Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
os algoritmos e os mecanismos <strong>de</strong> <strong>de</strong>tecção dos ataques.<br />
Yee e seus colegas [Yee, Shin e Rao 2007] aplicaram um framework adaptável<br />
para tentar compensar as diferenças entre a <strong>de</strong>tecção baseada em anomalias e<br />
assinaturas, através da integração <strong>de</strong> agentes, técnicas <strong>de</strong> mineração <strong>de</strong> dados e técnicas<br />
<strong>de</strong> lógica difusa. Para os autores, o uso <strong>de</strong>stas técnicas permite tomar <strong>de</strong>cisões em<br />
ambientes incertos e imprecisos. Porém, nenhum resultado concreto foi apresentado.<br />
A abordagem <strong>de</strong> Bravenboer e seus colegas [Bravenboer, Dolstra e Visser 2010]<br />
sugere a incorporação <strong>de</strong> sintaxe, <strong>de</strong> acordo com as linguagens utilizadas no guest e<br />
host (e.g. XPath com Java), para gerar automaticamente o código que irá prevenir<br />
vulnerabilida<strong>de</strong>s para ataques <strong>de</strong> injection (e.g. adicionando funções para filtrar<br />
caracteres inválidos). Os autores argumentam que a proposta é genérica, po<strong>de</strong>ndo ser<br />
aplicada com facilida<strong>de</strong> a qualquer combinação <strong>de</strong> linguagens. Porém, uma limitação<br />
apontada é o fato <strong>de</strong> nem todas as linguagens possuírem uma sintaxe livre <strong>de</strong> contexto.<br />
A proposta <strong>de</strong> Un<strong>de</strong>rcoffer e seus colegas [Un<strong>de</strong>rcoffer et al. 2004] aplica<br />
ontologia para categorizar classes <strong>de</strong> ataques baseando-se principalmente no<br />
componente alvo dos mesmos, também consi<strong>de</strong>ra os meios e as conseqüências do<br />
ataque e a localização do atacante. Esta ontologia é compartilhada por diversos sistemas<br />
<strong>de</strong> <strong>de</strong>tecção <strong>de</strong> intrusão – o intuito é disseminar a todos um ataque <strong>de</strong>scoberto por um<br />
<strong>de</strong>les. Porém, não é mencionado o uso <strong>de</strong> axiomas ou inferência, além disto, os autores<br />
não avaliam a proposta com testes.<br />
Vorobiev e Han [Vorobiev e Han 2006] propuseram a abordagem que está mais<br />
próxima <strong>de</strong>ste trabalho, os autores aplicaram uma ontologia especificamente para<br />
abordar o domínio <strong>de</strong> ataques a web services. Entretanto, a implementação da ontologia<br />
não foi encontrada e a proposta não utiliza inferência para <strong>de</strong>tectar novos ataques. A<br />
ontologia é principalmente um ‘dicionário’ comum para diferentes ambientes.<br />
6. Conclusão<br />
Este artigo apresentou uma abordagem baseada em ontologia (XID) para proteger web<br />
services <strong>de</strong> ataques <strong>de</strong> XML injection e para mitigar o problema dos ataques que são<br />
variações <strong>de</strong> ataque conhecidos. Os ataques <strong>de</strong> XML injection que já estavam na base<br />
<strong>de</strong> conhecimento foram <strong>de</strong>tectados com sucesso utilizando SPARQL para consultar a<br />
ontologia. Adicionalmente, as variações <strong>de</strong> payload foram <strong>de</strong>tectadas utilizando<br />
inferência com nenhuma ocorrência <strong>de</strong> falsos positivos, já que novos payloads<br />
(instâncias) foram <strong>de</strong>tectados baseando-se somente em classes e axiomas <strong>de</strong> ataques<br />
pré-existentes. Os novos payloads foram automaticamente adicionados à base <strong>de</strong><br />
conhecimento da ontologia como instâncias – abaixo das classes relacionadas,<br />
eliminando os ataques que são variantes <strong>de</strong> ataques conhecidos.<br />
O XID agrega as principais vantagens das abordagens clássicas <strong>de</strong> <strong>de</strong>tecção.<br />
Permite a <strong>de</strong>tecção <strong>de</strong> ataques conhecidos, como na abordagem baseada em assinaturas,<br />
e permite a <strong>de</strong>tecção <strong>de</strong> novos ataques, como na abordagem baseada em anomalias. Esta<br />
segunda abordagem <strong>de</strong> <strong>de</strong>tecção é feita pelo XID através <strong>de</strong> inferência na ontologia.<br />
Como relação ao <strong>de</strong>sempenho a proposta é comparável à <strong>de</strong>tecção baseada em<br />
assinaturas quando os ataques são conhecidos. Quando os ataques não são conhecidos a<br />
proposta per<strong>de</strong> em <strong>de</strong>sempenho quando comparada à abordagem por assinaturas, porém,<br />
neste caso po<strong>de</strong>m ser <strong>de</strong>tectadas variações <strong>de</strong> payloads com taxa nula <strong>de</strong> falsos<br />
positivos, mitigando ataques zero-day, por exemplo. Esta inferência <strong>de</strong> ataques que não<br />
estão pré-cadastrados na base não é possível na abordagem clássica <strong>de</strong> <strong>de</strong>tecção baseada<br />
em assinaturas e imprecisa na baseada em anomalias.<br />
55