Anais IV WSEG – Workshop em Segurança de Sistemas Computacionais, SBRC – Gramado, RS – 2004. P. 63-74

Proteção de detectores de intrusão através de máquinas virtuais
Marcos Laureano, Carlos Maziero, Edgard Jamhour Programa de Pós-Graduação em Informática Aplicada Pontifícia Universidade Católica do Paraná 80.215-901 Curitiba – PR, Brasil
{laureano,maziero,jamhour}@ppgia.pucpr.br

Resumo: Os sistemas de detecção de intrusão monitoram continuamente a atividade de um sistema ou rede, buscando evidências de intrusões. Entretanto, detectores de intrusão baseados em host podem ser adulterados ou desativados por invasores bem sucedidos. Este trabalho apresenta uma arquitetura que visa proteger detectores de intrusão baseados em host através de máquinas virtuais. A proposta aqui apresentada usa o isolamento de espaços de execução provido por um ambiente de máquinas virtuais para separar o detector de intrusão do sistema a monitorar. Em conseqüência, o detector de intrusão torna-se invisível e inacessível a eventuais intrusos. Os testes realizados mostram a viabilidade dessa solução. Palavras-chave: detecção de intrusão, máquinas virtuais, segurança, sistemas operacionais de rede. Abstract: Intrusion detection systems continuously watch the activity of a network or system, looking for intrusion evidences. However, host-based intrusion detectors may be tampered or disabled by successful intruders. This work presents an architecture aimed to protect intrusion detectors by means of virtual machines. The proposal presented here uses the execution space isolation provided by a virtual machine environment to separate the intrusion detector from the system to monitor. Consequently, the intrusion detector becomes invisible and inaccessible to intruders. The evaluation tests showed the viability of the proposal. Keywords: intrusion detection, virtual machines, operating systems, security.

1. Introdução
Diversas ferramentas contribuem para aumentar a segurança de um