En enkel foretaksmodell

A seguir, são detalhadas as interações entre os agentes e os papéis que cada agente desempenha no processo de detecção. O funcionamento da arquitetura pode ser visualizado na Figura 5.1. Na seção seguinte é detalhada a forma como foi implementada a arquitetura para a realização de testes.

5.1.1 Agente Sensor

O agente sensor é o inicializador do tratamento de detecção. Ele é um agente fixo que está na base da cadeia de funcionamento, capturando o tráfego de rede bruto como um sniffer, selecionando nesse tráfego as informaçõs dos pacotes que são interessantes para o agente analisador, transformando essa informação para um formato predefinido que pode ser entendido por esse agente e deixando ela disponível para que ele execute a análise. Ele fica ativo durante todo o funcionamento do sistema de detecção, sempre atualizando as informações fornecidas ao agente analisador.

5.1.2 Agente Analisador

O agente analisador é um agente fixo, responsável por analisar os dados gerados pelo agente sensor e por controlar o processo de detecção em si, aplicando as regras de detecção. A análise realizada por ele pode utilizar somente os dados locais gerados pelo agente sensor, assim como os dados disponíveis na ontologia global, ou ainda, os dados locais de outros hosts que fazem parte do sistema. De acordo com o resultado da análise dos dados gerados pelo agente sensor, se houver confirmação ou suspeita de intrusão, o agente analisador irá iniciar um

tratamento externo.

Dois casos são possíveis: no primeiro caso, uma atividade maliciosa é confirmada e ele comunicará o resultado ao agente atuador para executar as ações necessárias; no segundo caso, a atividade é julgada como suspeita pelas regras de detecção do sistema e ele demandará por informações suplementares para verificar a natureza da atividade. Nesse caso, são acionados primeiramente os agentes de ontologia que irão providenciar o acesso às informações contidas na ontologia para verificar se a suspeita realmente representa uma intrusão.

Caso a consulta à ontologia resulte em informações que confirmem as suspeitas, o agente analisador aciona o agente atuador. Caso a consulta à ontologia não resulte em informa- ções que confirmem as suspeitas, são acionados os agentes gerentes. Caso os agentes gerentes confirmem as suspeitas, o agente analisador aciona o agente atuador. Caso o agente gerente não chegue a nenhuma conclusão sobre as atividades suspeitas, a informação dessa atividade fica armazenada no agente analisador que descobriu a mesma para possíveis consultas por demais agentes gerentes de outros hosts do sistema.

Sempre que o sistema conclui que uma suspeita representa realmente uma ameaça, além se ser chamado um agente atuador é chamado também um agente de ontologia com o objetivo de que seja acrecentado o atacante na ontologia global (se ele ainda não constar na mesma). O agente analisador fica ativo durante todo o funcionamento do sistema de detecção, analisando as informações providas pelo agente sensor (que são constantemente atualizadas) e esperando o retorno dos agentes de ontologia e gerentes que foram criados devido à sua análise. Além disso, ele precisa estar sempre disponível para responder às solicitações dos agentes gerentes gerados em outros hosts do sistema, devido às solicitações de seus respectivos agentes analisadores.

5.1.3 Agente de Ontologia

Os agentes de ontologia são agentes móveis, responsáveis pelo compartilhamento de dados entre os diferentes agentes do sistema. Ao ser criado para verificar uma atividade suspeita, um agente de ontologia se move para o container principal (se já não estiver localizado nesse container), onde se localiza o agente ontologia global e a ontologia global e repassa para esse agente as informações relativas à atividade para que possa ser feito a consulta à ontologia global.

Após receber o resultado da consulta, ele se move de volta para seu host original, repassa a resposta da consulta ao agente analisador cuja análise foi responsável pela sua criação e encerra a sua execução. Ao ser criado para adicionar uma intrusão na ontologia global, o agente de ontologia se move para o container principal e repassa a informação da intrusão para o agente ontologia global incluir na ontologia. Depois ele retorna ao host e, como não possui

mais nenhum papel a desempenhar, tem sua execução encerrada. 5.1.4 Agente Gerente

Os agentes gerentes também são agentes móveis, responsáveis por gerenciar o pro- cesso de compartilhamento de informação diretamente entre os hosts que compoem o sistema, sem a utilização da ontologia global. Ao ser criado para verificar uma atividade suspeita, um agente gerente se move entre os hosts, um a um, consultando seus respectivos agentes analisa- dores até que se confirmem as suspeitas com as informações locais ou que sejam percorridos todos os hosts do sistema, sem que se chegue a uma confirmação. Após desempenhar essas atividades, ele se move de volta para seu host original, repassa a resposta conseguida com o seu percurso pelo sistema de detecção ao agente analisador cuja análise foi responsável pela sua criação e encerra a sua execução.

5.1.5 Agente Atuador

Os agentes atuadores são agentes fixos, responsáveis pelas ações tomadas quando o sistema detecta que realmente ocorreu um ataque à rede monitorada. Essas ações podem ser simples alertas para os usuários ou para o gerente de segurança, ou ainda, numa abordagem mais ativa, podem ser iniciados processos de encerramento de conexões, por exemplo. Toda a vez que uma intrusão é confirmada, o agente analisador aciona um agente atuador, que executa a ação programada para a intrusão e depois encerra a sua execução.

5.1.6 Agente Ontologia Global

O agente ontologia global é um agente fixo, localizado no container principal, res- ponsável por manter e realizar consultas ao repositório de informações da arquitetura sobre intrusões. Todas as suas interações com o sistema de detecção são realizadas por meio dos agentes de ontologia que solicitam que ele realize buscas em seu repositório de intrusões, para as quais ele produz as repostas adequadas, e que ele inclua intrusões detectadas no repositório. Ele fica ativo durante todo o funcionamento do sistema de detecção.