Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises...
Transcript of Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises...
![Page 1: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/1.jpg)
Sistemas de Detecção de Intrusão
Gabriel Antonio Fontes Rebello
Matheus Lemos dos Reis
Rafael Gonçalves Damasceno
Raphael Oliveira Sathler de Souza
Rodrigo Carvalho Ribeiro de Jesus
![Page 2: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/2.jpg)
Contexto para Sistemas de detecção de intrusão (IDS)
● Segurança na Internet
● Segurança em IoT e na "nova internet"
○ Dispositivos vulneráveis e representativos de
grande fluxo
○ Presença de muitos dispositivos
■ 50 bilhões de dispositivos IoT até 2020
○ Ataque DDoS ao servidor DynDNS
■ Picos de 1.2 Tbps
![Page 3: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/3.jpg)
Conceituação do IDS
● Sistema de monitoramento da rede
○ Eventos que possam violar as regras de segurança
■ Evasão acima do fluxo de tráfego permitido
■ Escaneamento de portas
○ Coleta de dados
■ Dispositivos de Entrada e Saída
■ Arquivos locais
■ Conexões estabelecidas
○ Avaliação de padrões
■ Análise estatística
![Page 4: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/4.jpg)
IDS e IPS
● IDS
○ Também chamado de IDS Passivo
○ Alertas para o administrador da rede
● IPS
○ Também chamado de IDS Ativo
○ Medidas preventivas
■ Bloquear conexões
![Page 5: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/5.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 6: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/6.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 7: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/7.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 8: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/8.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 9: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/9.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 10: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/10.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 11: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/11.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 12: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/12.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 13: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/13.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 14: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/14.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 15: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/15.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 16: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/16.jpg)
IDS e IPS
Figura 2.1: Comparação entre o funcionamento do IDS e IPSFonte: https://krystalchisholm.wordpress.com/
![Page 17: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/17.jpg)
Tipos de IDS
● HIDS
○ Sistema Hospedeiro de Detecção de Intrusão
○ Foco em examinar ações específicas com base
nos hospedeiros
■ Arquivos acessados
■ Aplicativos utilizados
■ Informações de Logs
![Page 18: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/18.jpg)
Tipos de IDS
● NIDS
○ Sistema de Rede de Detecção de Intrusão
○ Foco em analisar o fluxo de informações que
transitam pela rede
○ Busca encontrar padrões comportamentais
suspeitos
○ Implementado em lugares estratégicos
![Page 19: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/19.jpg)
Posicionamento de um NIDS
Figura 3.1: Exemplo de uma topologia de rede com um NIDS colocado logo depois de um firewall externo. Fonte: http://itm455.itmbsu.net/Notes/L8_NetworkSec.htm
![Page 20: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/20.jpg)
Vantagens e Desvantagens HIDS
● Vantagens
○ Restrição e Controle Local
■ Monitora o comportamento do sistema
■ Tráfego de Rede Local
■ Estado do Sistema Operacional e Hardware
○ Identifica ações fora de seu escopo
■ Software tentando realizar uma atividade
que foge do seu funcionamento
![Page 21: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/21.jpg)
Vantagens e Desvantagens HIDS
● Vantagens
○ Executa ações preventivas
■ Alterar permissões
■ Mover arquivos
○ Análise de Tráfego Criptografado
● Desvantagens
○ Obrigatoriamente Descentralizado
○ Suscetíveis a ataques por estarem dentro do
Host
![Page 22: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/22.jpg)
Vantagens e Desvantagens NIDS
● Vantagens
○ Centralizado
○ Analisa todo o fluxo de informações de uma
rede de computadores
■ Monitora Serviços e Portas
■ Controla Fluxo de Pacotes
■ Avalia Requisições
○ Provê maior segurança por rodar em
máquinas projetadas para tal.
![Page 23: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/23.jpg)
Vantagens e Desvantagens NIDS
● Desvantagens
○ Incapaz de analisar tráfego criptografado
○ Incapaz de analisar atividades de host.
![Page 24: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/24.jpg)
Tipos de IDS
● IDS baseado em anomalia
○ Monitoramento das ações que ocorrem na
rede
○ Treinos e identificação de padrões
■ Definições codificadas de padrões normais
de tráfego
■ Uso de heurísticas
![Page 25: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/25.jpg)
Tipos de IDS
● IDS baseado em assinatura
○ Banco de dados com ataques conhecidos
○ Comparação com o padrão
■ Pacotes suspeitos
● Associados a determinados serviços
● Destinado a uma determinada porta
![Page 26: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/26.jpg)
Exemplos de assinaturas
● Tentativa de conexão a IP reservado
● Combinação de flags TCP ilegal
● E-mail contendo um vírus em particular
● Ataque de negação de serviço
● Ataque em um servidor FTP
![Page 27: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/27.jpg)
IDS Virtualizada
● Uso de NFV
○ Funções de redes feitas em máquinas virtuais
■ Facilidade de manutenção e implementação
■ Logicamente centralizado
● Vantagens e Desvantagens
○ Monitoramento facilitado
■ Controlador como o OpenStack
○ Menor custo com hardware
○ Melhor flexibilidade
![Page 28: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/28.jpg)
Exemplos de IDS
● SNORT
○ IPS open source
○ Análises de protocolos, buscar e associar padrões
de conteúdo, detecção de ataques, entre outras.
○ Suportado em arquiteturas RISC e CISC
○ SourceFire, empresa da CISCO
■ Libera frequentemente databases de assinaturas
![Page 29: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/29.jpg)
Exemplos de IDS
● Tripwire
○ IDS open source
○ Monitoramento de alerta de mudanças e integridade
de arquivos
○ Funciona como um HIDS, coletando detalhes sobre o
sistema de arquivos e a configuração da máquina
■ Uso de um banco de dados com snapshots de
arquivos e diretórios
● O conteúdo deve ser gerado antes que o
sistema esteja em risco de intrusão
![Page 30: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/30.jpg)
Exemplos de IDS
● RealSecure
○ NIDS
■ Monitora o tráfego TCP, UDP e ICMP
● Procurar padrões de ataque
● Realiza o monitoramento em várias
plataformas e ambientes de rede
○ Utiliza arquitetura cliente-servidor distribuída
composta por um controlador e sensores
![Page 31: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/31.jpg)
Exemplos de IDS
● BRO
○ Um dos principais IDS open source baseado em Unix
○ Baseia-se tanto na parte da assinatura quanto na busca
por anomalia
○ Análises convertem o tráfego capturado em eventos a
serem interpretados
○ Linguagem própria
○ Altamente customizável
![Page 32: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/32.jpg)
Questões
![Page 33: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/33.jpg)
Diferencie NIDS e HIDS
![Page 34: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/34.jpg)
Diferencie NIDS e HIDS
HIDS é o tipo de IDS baseado em hosts, isto é, que atua
sob sistema operacional em um computador específico,
analisando seus processos, programas, conexão, etc., sem
ter a visão geral da rede.
Um NIDS é um IDS para monitoramento de pacotes em
uma rede, que analisa o tráfego e toma decisões. Em geral,
é localizada em um ponto estratégico da topologia da rede,
em um nó configurado para isto, e possui ampla visão do
fluxo.
![Page 35: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/35.jpg)
Diferencie tipos de detecção
![Page 36: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/36.jpg)
Diferencie tipos de detecção
Uma detecção por assinatura baseia-se na manutenção de um
banco de dados com ataques conhecidos e na comparação dos
pacotes recebidos com algum deles. Para isto, geralmente
utiliza-se uma função de correlação e é crucial ter o banco sempre
atualizado.
No caso de detecções por anomalia, o IDS é treinado
constantemente para conhecer o padrão de fluxo da rede através,
geralmente, de aprendizado de máquina. Assim, quando alguma
alteração significativa acontece, o sistema pode reconhecê-la
comparando com o comportamento normal da rede e, em seguida,
tomar as devidas ações.
![Page 37: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/37.jpg)
Diferencie IDS passivo e ativo
![Page 38: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/38.jpg)
Diferencie IDS passivo e ativo
Um IDS passivo é projetado apenas para
monitoramento, isto é, ele apenas registra ou alerta sobre
acontecimentos e ataques, exigindo que a resposta seja
dada manualmente.
Um IDS ativo (por vezes também chamado de IPS), além
de monitorar, toma decisões automaticamente, de acordo
com o que for programado. Os dados são processados e a
resposta dada, quando possível, pelo próprio programa.
![Page 39: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/39.jpg)
O que é um IDS virtualizado? Como pode
ser utilizado?
![Page 40: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/40.jpg)
O que é um IDS virtualizado? Como pode ser utilizado?
Um IDS virtualizado é a substituição de um IDS físico
(hardware) por uma função de rede virtualizada (software).
Isto significa trocar um dispositivo de rede por um
programa em uma máquina comum. Sua principal
utilização é em ambientes virtualizados de rede,
geralmente com objetivo de processamento distribuído,
que necessitam de flexibilidade e atualização constante de
seus dispositivos.
![Page 41: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/41.jpg)
Cite algumas características do Bro IDS (diferenças,
vantagens, etc.)
![Page 42: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/42.jpg)
Cite algumas características do Bro IDS (diferenças, vantagens, etc.)
O Bro é uma implementação e extensão em
software de um NIDS capaz de realizar detecções
tanto por assinatura quanto por anomalia. Sua
principal vantagem é possuir grande versatilidade na
forma com que lida com eventos, já que todas as suas
respostas são programáveis através de scripts.
![Page 43: Rodrigo Carvalho Ribeiro de Jesus Sistemas de Detecção de ... · SNORT IPS open source Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre](https://reader033.fdocumentos.tips/reader033/viewer/2022052715/5c4cc8dd93f3c304f47a3d9d/html5/thumbnails/43.jpg)
Prática