BroFlow: Um Sistema Eficiente de Detecção e Prevenção de Intrusão em Redes Definidas por Software

  • Martin Lopez UFRJ
  • Ulisses Figueiredo UFRJ
  • Antonio Lobato UFRJ
  • Otto Carlos Duarte UFRJ

Resumo


Os Sistemas de Detecção e Prevenção de Intrusão são fundamentais para inspecionar o tráfego da rede em tempo real, em busca de padrões anômalos causados por intrusos ou abusos de usuários internos, para garantir a segurança dos sistemas de comunicação. Este artigo propõe o BroFlow, um Sistema de Detecção e Prevenção de Intrusão, baseado nas características da ferramenta de análise de tráfego Bro e na visão de rede global da Interface de Programação de Aplicação OpenFlow. As principais contribuições do BroFlow são: (i) detecção de intrusão através de algoritmos simples implementados através de uma arquitetura modular e flexível; (ii) reação imediata a um ataque e descarte dos pacotes atacantes desde a sua origem; e (iii) posicionamento estratégico de sensores para detecção de ataques em uma infraestrutura de rede compartilhada com diversos inquilinos. Um protótipo do sistema proposto foi implementado e avaliado no ambiente de redes virtuais Future Internet Testbed with Security (FITS). A avaliação do sistema sob ataque mostra que o BroFlow garante o encaminhamento de pacotes benignos na rede na taxa máxima do enlace e reduz, em até dez vezes, o atraso na rede provocado pelo ataque, mesmo quando os atacantes são inquilinos legítimos agindo em conluio.

Referências

Braga, R., Mota, E. e Passito, A. (2010). Lightweight DDoS ooding attack detection using NOX/OpenFlow. Em IEEE 35th Conference on Local Computer Networks, páginas 408–415.

Chung, C., Khatkar, P., Xing, T., Lee, J. e Huang, D. (2013). NICE: Network intrusion detection and countermeasure selection in virtual network systems. IEEE Transactions on Dependable and Secure Computing, 10(4):198–211.

Guimaraes, P. H. V., Ferraz, L. H. G., Torres, J. V., Mattos, D. M. F., Murillo P., A. F., Andreoni L., M. E., Alvarenga, I. D., Rodrigues, C. S. C. e Duarte, O. C. M. B. (2013). Experimenting content-centric networks in the future internet testbed environment. Em IEEE ICC Workshops, páginas 1383–1387.

Guimarães, P. H. V., Murillo P., A. F., Andreoni L., M. E., Mattos, D. M. F., Ferraz, L. H. G., Pinto, F. A. V., Costa, L. H. M. K. e Duarte, O. C. M. B. (2013). Comunicação em redes elétricas inteligentes: Eciência, conabilidade, segurança e escalabilidade. Em Minicursos do SBRC'13, páginas 101–164.

Lynch, D. M. (2006). Securing against insider attacks. Information Systems Security, 15(5):39–47.

Mattos, D. M. F. e Duarte, O. C. M. B. (2012). QFlow: Um sistema com garantia de isolamento e oferta de qualidade de serviço para redes virtualizadas. Em XXX SBRC'12.

Mattos, D. M. F., Ferraz, L. H. G. e Duarte, O. C. M. B. (2013). Um mecanismo para isolamento seguro de redes virtuais usando a abordagem híbrida Xen e OpenFlow. Em XIII SBSeg'13, páginas 128–141.

McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S. e Turner, J. (2008). OpenFlow: enabling innovation in campus networks. SIGCOMM Computer Communication.

Nagahama, F. Y., Farias, F., Aguiar, E., Gaspary, L., Granville, L., Cerqueira, E. e Abelém, A. (2012). IPSFlow uma proposta de sistema de prevenção de intrusão baseado no framework openow. Em III WPEIF-SBRC'12, páginas 42–47.

Pfaff, B., Pettit, J., Koponen, T., Amidon, K., Casado, M. e Shenker, S. (2009). Extending networking into the virtualization layer. Em 8th ACM Workshop on Hot Topics in Networks-HotNets. Citeseer.

Porras, P., Shin, S., Yegneswaran, V., Fong, M., Tyson, M. e Gu, G. (2012). A security enforcement kernel for OpenFlow networks. Em Proceedings of the rst workshop on Hot topics in software dened networks, páginas 121–126. ACM.

Radware (2014). DefenseFlow resources. http://www.radware.com/Products/DefenseFlow/. Acessado em abril de 2014.

Shin, S., Porras, P., Yegneswaran, V., Fong, M., Gu, G. e Tyson, M. (2013). FRESCO: Modular composable security services for software-dened networks. Em Proceedings of Network and Distributed Security Symposium.

Siris, V. A. e Papagalou, F. (2006). Application of anomaly detection algorithms for detecting syn ooding attacks. Computer communications, 29(9):1433–1442.

Sommer, R. (2003). Bro: An open source network intrusion detection sys tem. Em DFN-Arbeitstagung über Kommunikationsnetze, páginas 273–288.

Sommer, R. e Paxson, V. (2010). Outside the closed world: On using machine learning for network intrusion detection. Em IEEE Symposium on Security and Privacy, páginas 305–316.

Xing, T., Huang, D., Xu, L., Chung, C.-J. e Khatkar, P. (2013). SnortFlow: A OpenFlow-based intrusion prevention system in cloud environment. Em 2nd GENI Research and Educational Experiment Workshop, páginas 89–92.
Publicado
28/07/2014
LOPEZ, Martin; FIGUEIREDO, Ulisses; LOBATO, Antonio; DUARTE, Otto Carlos. BroFlow: Um Sistema Eficiente de Detecção e Prevenção de Intrusão em Redes Definidas por Software. In: WORKSHOP EM DESEMPENHO DE SISTEMAS COMPUTACIONAIS E DE COMUNICAÇÃO (WPERFORMANCE), 13. , 2014, Brasília. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2014 . p. 108-121. ISSN 2595-6167.