formularioHidden
formularioRDF
Login

Regístrate

O si lo prefieres...

 

Panel Información

Utilizamos cookies propias y de terceros para mejorar tu experiencia de navegación. Al continuar con la navegación entendemos que aceptas nuestra política de cookies.

ESIDE-Depian: Entorno de seguridad inteligente para la detección y prevención de intrusiones de red basado en la detección unificada de patrones y anomalías

Thesis

In

University of Deusto , Bilbao , January , p.

Abstract

Ante la creciente magnitud del problema del aseguramiento de la Seguridad de la Información en sistemas y redes de comunicaciones de todo tipo, los tradicionales mecanismos pasivos de aislamiento y control de acceso se muestran insuficientes para contener el extraordinariamente ascendente número de ataques e intentos de intrusión, bien indiscriminados, bien selectivos, que se producen en la actualidad. De este modo, en dichas circunstancias, el área de conocimiento de la Detección de Intrusiones, caracterizada fundamentalmente por su comportamiento activo y por el uso de técnicas de Inteligencia Artificial más o menos ambiciosas y sofisticadas, se muestra como una de las tecnologías de seguridad más prometedoras, a medio plazo.

Así, es posible encontrar actualmente soluciones comerciales de detección sólidas y de reconocido prestigio, las cuales, bien orientadas a la monitorización de equipamientos específicos, bien orientadas a la supervisión de redes de comunicación completas, abogan por la utilización de modelos de representación de conocimiento e inferencia basados en el concepto de Sistema Experto, de encadenamiento de reglas. De esta manera, por lo general, el conocimiento disponible en relación con ataques documentados contra dichos equipamientos o redes de comunicación, queda representado en forma de reglas de producción, confeccionadas por el administrador humano. Dichos Sistemas de Detección de Usos Indebidos, se caracterizan por ser muy precisos en sus decisiones, amén de por un habitual alto nivel de eficiencia. Sin embargo, presentan una importante limitación: no son capaces de responder ante lo que no conocen. O lo que es lo mismo, ante la posibilidad de que un hipotético atacante pueda disponer del conocimiento del sistema de detección (cuestión realmente factible en la mayoría de casos), para a partir de él introducir ligeras modificaciones en sus procedimientos de ataque que camuflen sus acciones, o bien ante ataques completamente novedosos, simplemente no hay respuesta.

Por ello, la comunidad científica estudia actualmente posibles soluciones a este inconveniente, apareciendo el concepto de Detección de Anomalías como un elemento de análisis indispensable a medio plazo, bien en forma de complemento al tradicional enfoque de detección de usos indebidos, patrones o firmas, o bien como superconjunto semántico de éste. Para ello, en general, dicho enfoque de Detección de Anomalías, persigue el objetivo de ser capaz de proporcionar una respuesta incluso ante situaciones de riesgo no conocidas de antemano, en base a la elaboración del perfil de comportamiento del sistema a monitorizar, y al cálculo de desviaciones de la actividad cotidiana con respecto a dicho perfil. Así, toda desviación suficientemente significativa será considerada como una anomalía del sistema, y susceptible por tanto de ser notificada al operador humano en forma de señal de alarma, de manera que sea posible un análisis pormenorizado de las causas de dicha alarma, o de procesarse automáticamente, en la línea del paradigma de Prevención de Intrusiones.

De esta forma, con el objetivo de proporcionar una respuesta completa por parte del sistema de detección, tanto ante ataques conocidos como ante ataques no conocidos, la presente tesis doctoral explora el camino de la unificación de los dos grandes paradigmas de Detección de Intrusiones, mediante la utilización de modelos de representación de conocimiento e inferencia de conclusiones basados en el concepto de Red Bayesiana, el cual contempla de manera intrínseca toda la potencia de representatividad de los tradicionales Sistemas Expertos basados en reglas, amén de un amplio conjunto de poderosas capacidades adicionales, como son: inferencia explicativa de conclusiones, encadenamiento omnidireccional de relaciones de causalidad y/o correlación, representación intrínseca de la magnitud temporal, aprendizaje estructural (o Data Mining Bayesiano) a partir de los datos, aprendizaje paramétrico completo o secuencial a partir de dichos datos, capacidad de adaptación del modelo de conocimiento a variaciones del sistema observado, o posibilidad de obtención, mediante análisis de sensibilidades, de un esquema cualitativo y cuantitativo de la representatividad y grado de interdependencia de los parámetros que componen el ámbito del problema.

De este modo, a partir de los estudios y experimentaciones llevadas a cabo en la presente tesis doctoral, se consigue un potente modelo de representación de conocimiento a partir del cual se desarrolla un motor de razonamiento adaptativo capaz de inferir conclusiones que contemplan, de un modo unificado y homogéneo en el tratamiento de los diversos tipos de parámetros de detección, tanto conocimiento propio del paradigma de Detección de Usos Indebidos, por un lado, como conocimiento característico del paradigma de Detección de Anomalías, por otro.

Acerca de este recurso...

Visitas 166

Categorías: