Titulo Estágio
Segurança de Dados em Sistemas de Data Warehousing
Área Tecnológica
Bases de Dados
Local do Estágio
Grupo de Engenharia de Software e Sistemas do CISUC
Enquadramento
Os dados representam hoje um dos activos mais importantes de uma organização ou de uma empresa. Alguns destes dados valem milhões e por isso as organizações assumem uma importância crescente no controlo do acesso a estes dados, tanto por utilizadores internos como externos à organização. Uma vez que as Data Warehouses (DW) armazenam todos os dados históricos dos negócios e servem de suporte à tomada de decisão dos seus gestores, as DW representam o repositório dos segredos do negócio. Desta forma, proteger os dados das DW é actualmente um tema crítico.
As organizações têm também vindo a perceber que as técnicas de ataque actuais são mais sofisticadas, organizadas e orientadas do que no passado. Além disso, com a maior integração, agregação e divulgação de dados, impedir o roubo ou acesso a dados confidenciais tornou-se um grande desafio. No entanto, apesar de tradicionalmente ter existido um grande foco em termos da construção de sistemas de detecção de intrusão para redes e sistemas operativos, existem ainda pouco sistemas de detecção de intrusão especificamente desenvolvidos para Sistemas de Gestão de Bases de Dados (SGBD).
Recentemente, surgiram soluções de monitorização da actividade das bases de dados, que vigiam continuamente a actividade de um SGBD e todas as actividades relevantes suspeitas. Todavia, estas soluções estão tipicamente focadas em prevenir a corrupção de dados, ou seja, em evitar alterações indesejadas que comprometam a integridade dos dados. Dado que as DW servem fundamentalmente para apoio à decisão, os seus utilizadores apenas executam acções de consulta de dados, ao invés de alteração de dados. Isto faz com que a maioria das soluções existentes para detecção de intrusões em SGBD sejam inadequadas em ambientes de Data Warehousing.
Outra dificuldade revelada pelas actuais soluções de detecção de intrusões consiste na identificação da intenção do atacante. Atacantes mascarados que consigam obter as permissões de acesso aos dados pertencentes a terceiros podem obter todo o tipo de informação que pode comprometer o negócio. No entanto, para o sistema, como o acesso é autorizado, estas acções não são detectadas. Dadas as características ad hoc e de diversidade típicas das consultas para apoio à decisão realizadas na DW, a identificação da intenção do utilizador é uma tarefa extremamente difícil de realizar de modo eficiente, uma vez que a esmagadora maioria das soluções produzem um número demasiado elevado de alarmes falsos.
Deste modo, as soluções existentes propostas para a detecção de actividades suspeitas nos SGBD não são eficientes para ambientes que envolvam bases de dados com propósitos de apoio à decisão e, que seja do nosso conhecimento, não existe nenhum sistema de detecção de intrusão específico para DWs.
Objetivo
O objectivo deste trabalho é desenvolver um detector de intrusões em sistemas de Data Warehousing. Conforme já referido, os detectores de intrusão têm sido largamente estudados, nomeadamente a nível da rede. O problema é que estes detectores não conseguem detectar ataques elaborados ao nível da camada aplicacional (por exemplo, não conseguem lidar com roubo de credenciais).
Mais recentemente, têm sido estudados detectores de intrusão específicos para bases de dados e aplicações de BD. Estes funcionam a nível da aplicação (basicamente detectam intrusões com base no comportamento da aplicação) ou a nível do próprio motor. São tipicamente “anomaly-based” ou “signature-based”. No primeiro caso, as intrusões são detectadas porque o intruso executa uma acção que se afasta do seu padrão habitual de comportamento. No segundo caso, as intrusões são detectadas porque o intruso executa uma ou mais acções pertencentes a um padrão de intrusão bem conhecido e previamente definido. Ambos os tipos de detectores funcionam bem quando as pesquisas autorizadas são conhecidas, ou seja não há pesquisas ad hoc.
O problema nas DW é mais complexo devido ao facto das pesquisas tipicamente serem ad hoc, ou seja, a diversidade e flexibilidade das acções de consulta de dados por parte dos utilizadores não permite definir à partida o conjunto de pesquisas esperadas.
O objectivo deste trabalho é desenvolver arquitecturas, mecanismos e algoritmos para a detecção de intrusão em DW. Dentro deste contexto, algumas das questões a que pretendemos dar resposta são as seguintes:
1. Criação de perfis que representam sucintamente o comportamento de interacção entre o utilizador e a DW.
2. Desenvolvimento de algoritmos eficientes para a detecção em tempo real de comportamentos anómalos por parte do utilizador.
3. Desenvolvimento de estratégias para responder às intrusões no contexto de uma DW.
4. Propor uma arquitectura para um sistema de detecção de intrusão e implementação de um protótipo de aplicação da mesma num sistema de data warehousing.
É também objectivo do estágio a realização de uma avaliação experimental do protótipo, estando prevista a escrita e submissão de um artigo científico a uma conferência de topo mundial.
Plano de Trabalhos - Semestre 1
Plano de Trabalhos 1º Semestre
(a) Estudo de técnicas de intrusão em SGBD: Estado da arte. (Setembro 2011)
(b) Estudo do padrão de acesso a dados numa DW e definição de perfis que representem o comportamento de interacção entre o utilizador e a DW. (Setembro a Outubro 2011)
(c) Definição de algoritmos eficientes para a detecção online de comportamentos anómalos por parte do utilizador e desenvolvimento de estratégias para responder às intrusões no contexto de uma DW. (Outubro a Novembro 2011)
(d) Propor uma arquitectura para um sistema de detecção de intrusão e implementação de um protótipo de aplicação da mesma num sistema de data warehousing. (Novembro a Dezembro de 2011)
(e) Escrita e defesa da proposta de dissertação (Dezembro de 2011 e Janeiro de 2012)
Plano de Trabalhos - Semestre 2
Plano de Trabalhos 2º Semestre
(f) Especificação da arquitectura, design, e testes (Janeiro a Março de 2012)
(g) Implementação e avaliação experimental (Fevereiro a Abril de 2012)
(h) Escrita de um artigo científico e submissão a uma conferência de topo mundial (Abril e Maio de 2012)
(i) Escrita e defesa da dissertação (Abril a Julho de 2012)
Condições
Este trabalho será realizado nas instalações do Grupo de Engenharia de Software e Sistemas do CISUC. Será disponibilizado um local de trabalho apropriado e todos os recursos computacionais necessários. Existe a possibilidade de atribuição de uma bolsa de iniciação à investigação científica.
Observações
Este estágio será co-orientado pelo Prof. Marco Vieira (mvieira@dei.uc.pt) do DEI.
Orientador
Jorge Bernardino
jorge@isec.pt 📩