Funcionamiento de ids
Páginas: 96 (23769 palabras)
Publicado: 2 de abril de 2011
Modelo de funcionamiento 4
3.1 Fuentes de información 4
3.1.1 Fuentes de información basadas en máquina 4
3.1.1.1 Registros de auditoría 4
3.1.1.2 Contenido de los registros de auditoría 5
3.1.1.2.1 Solaris BSM 5
3.1.1.2.2 Windows NT/2000 7
3.1.1.3 El problema de la reducción de auditoría 8
3.1.1.4 Registro de Sistema 93.1.1.5 Registros de sistema comunes 9
3.1.1.6 Información de aplicaciones 10
3.1.1.6.1 Bases de datos 10
3.1.1.6.2 Servidores Web 11
3.1.1.7 Información recogida de objetivos 12
3.1.2 Fuentes de información basadas en red 13
3.1.2.1 Paquetes de red 14
3.1.2.2 Redes TCP/IP 15
3.1.2.3 Pila de protocolos 15
3.1.2.4 Estructura de unadirección IP 16
3.1.2.5 Estructuras de datos 17
3.1.2.6 Captura 18
3.1.2.7 Dispositivos de red 19
3.1.2.8 Fuentes de información externas 19
3.1.3 Información de productos de seguridad 19
3.1.3.1 Otros componentes como fuentes de datos 20
3.2 Análisis 21
3.2.1 Objetivos y elementos principales 21
3.2.1.1 Objetivos principales 223.2.1.2 Requisitos y objetivos secundarios 22
3.2.1.3 Factores de detección 22
3.2.2 Modelos 23
3.2.2.1 Construcción del analizador 24
3.2.2.1.1 Recopilación y generación de eventos 24
3.2.2.1.2 Preproceso 24
3.2.2.1.3 Construcción de un motor o modelo de clasificación de comportamiento 25
3.2.2.1.4 Suministrar datos al modelo 26
3.2.2.1.5 Almacenar elmodelo abastecido en una base de conocimientos 26
3.2.2.2 Realización del análisis 26
3.2.2.3 Refinamiento y reestructuración 27
3.2.2.3.1 Detección de usos indebidos 27
3.2.2.3.2 Detección de anomalías 27
3.2.3 Técnicas 28
3.2.3.1 Detección de usos indebidos 28
3.2.3.1.1 Sistemas expertos o de producción 29
3.2.3.1.2 Sistema basado en modelos 313.2.3.1.3 Transiciones de estados 32
3.2.3.1.4 Soluciones basadas en Lenguaje/API 35
3.2.3.1.5 Monitorización de teclado 35
3.2.3.1.6 Recuperación de información en modo "batch" 36
3.2.3.2 Detección de anomalías 36
3.2.3.2.1 Modelo de Denning 36
3.2.3.2.2 Análisis cuantitativos 37
3.2.3.2.3 Medidas estadísticas 38
3.2.3.2.4 Medidas estadísticas no paramétricas 423.2.3.2.5 Sistemas basados en reglas 43
3.2.3.2.6 Redes neuronales 45
3.2.3.3 Métodos alternativos 46
3.2.3.3.1 Sistema inmune 46
3.2.3.3.2 Genética 47
3.2.3.3.3 "Data mining" (minería de datos) 48
3.2.3.3.4 Detección basada en agentes 49
3.2.3.3.5 Lógica difusa 50
3.2.3.3.6 Anomalías artificiales 51
3.3 Respuesta 52
3.3.1 Primeras consideraciones 523.3.2 Tipos de respuestas 53
3.3.2.1 Respuestas activas 53
3.3.2.1.1 Ejecutar acciones contra el intruso 53
3.3.2.1.2 Corregir el entorno 54
3.3.2.1.3 Recopilar más información 54
3.3.2.2 Respuestas pasivas 54
3.3.3 Observaciones sobre las respuestas 55
3.3.3.1 Aspectos de seguridad 55
3.3.3.1.1 Comunicación oculta 55
3.3.3.1.2 Redundancia 553.3.3.1.3 Protección de registros 55
3.3.3.2 Falsas alarmas 56
3.3.3.3 Almacenamiento de registros 56
3.3.4 Adopción de políticas de respuesta 56
3.3.4.1 Intermedia o crítica 56
3.3.4.2 Oportuna 57
3.3.4.3 Largo plazo - local 57
3.3.4.4 Largo plazo - global 57
Modelo de funcionamiento
En este capítulo se describe en detalle el modelomás aceptado para la detección de intrusiones. Tiene tres funciones principales, la fase de recogida de datos (fuentes de información), la fase de análisis, y la fase de respuesta. En líneas generales, para que la detección de intrusiones pueda obtener buenos resultados, debe llevar a cabo un proceso de recopilación de información, que posteriormente deberá someter a diversas técnicas...
3.1 Fuentes de información 4
3.1.1 Fuentes de información basadas en máquina 4
3.1.1.1 Registros de auditoría 4
3.1.1.2 Contenido de los registros de auditoría 5
3.1.1.2.1 Solaris BSM 5
3.1.1.2.2 Windows NT/2000 7
3.1.1.3 El problema de la reducción de auditoría 8
3.1.1.4 Registro de Sistema 93.1.1.5 Registros de sistema comunes 9
3.1.1.6 Información de aplicaciones 10
3.1.1.6.1 Bases de datos 10
3.1.1.6.2 Servidores Web 11
3.1.1.7 Información recogida de objetivos 12
3.1.2 Fuentes de información basadas en red 13
3.1.2.1 Paquetes de red 14
3.1.2.2 Redes TCP/IP 15
3.1.2.3 Pila de protocolos 15
3.1.2.4 Estructura de unadirección IP 16
3.1.2.5 Estructuras de datos 17
3.1.2.6 Captura 18
3.1.2.7 Dispositivos de red 19
3.1.2.8 Fuentes de información externas 19
3.1.3 Información de productos de seguridad 19
3.1.3.1 Otros componentes como fuentes de datos 20
3.2 Análisis 21
3.2.1 Objetivos y elementos principales 21
3.2.1.1 Objetivos principales 223.2.1.2 Requisitos y objetivos secundarios 22
3.2.1.3 Factores de detección 22
3.2.2 Modelos 23
3.2.2.1 Construcción del analizador 24
3.2.2.1.1 Recopilación y generación de eventos 24
3.2.2.1.2 Preproceso 24
3.2.2.1.3 Construcción de un motor o modelo de clasificación de comportamiento 25
3.2.2.1.4 Suministrar datos al modelo 26
3.2.2.1.5 Almacenar elmodelo abastecido en una base de conocimientos 26
3.2.2.2 Realización del análisis 26
3.2.2.3 Refinamiento y reestructuración 27
3.2.2.3.1 Detección de usos indebidos 27
3.2.2.3.2 Detección de anomalías 27
3.2.3 Técnicas 28
3.2.3.1 Detección de usos indebidos 28
3.2.3.1.1 Sistemas expertos o de producción 29
3.2.3.1.2 Sistema basado en modelos 313.2.3.1.3 Transiciones de estados 32
3.2.3.1.4 Soluciones basadas en Lenguaje/API 35
3.2.3.1.5 Monitorización de teclado 35
3.2.3.1.6 Recuperación de información en modo "batch" 36
3.2.3.2 Detección de anomalías 36
3.2.3.2.1 Modelo de Denning 36
3.2.3.2.2 Análisis cuantitativos 37
3.2.3.2.3 Medidas estadísticas 38
3.2.3.2.4 Medidas estadísticas no paramétricas 423.2.3.2.5 Sistemas basados en reglas 43
3.2.3.2.6 Redes neuronales 45
3.2.3.3 Métodos alternativos 46
3.2.3.3.1 Sistema inmune 46
3.2.3.3.2 Genética 47
3.2.3.3.3 "Data mining" (minería de datos) 48
3.2.3.3.4 Detección basada en agentes 49
3.2.3.3.5 Lógica difusa 50
3.2.3.3.6 Anomalías artificiales 51
3.3 Respuesta 52
3.3.1 Primeras consideraciones 523.3.2 Tipos de respuestas 53
3.3.2.1 Respuestas activas 53
3.3.2.1.1 Ejecutar acciones contra el intruso 53
3.3.2.1.2 Corregir el entorno 54
3.3.2.1.3 Recopilar más información 54
3.3.2.2 Respuestas pasivas 54
3.3.3 Observaciones sobre las respuestas 55
3.3.3.1 Aspectos de seguridad 55
3.3.3.1.1 Comunicación oculta 55
3.3.3.1.2 Redundancia 553.3.3.1.3 Protección de registros 55
3.3.3.2 Falsas alarmas 56
3.3.3.3 Almacenamiento de registros 56
3.3.4 Adopción de políticas de respuesta 56
3.3.4.1 Intermedia o crítica 56
3.3.4.2 Oportuna 57
3.3.4.3 Largo plazo - local 57
3.3.4.4 Largo plazo - global 57
Modelo de funcionamiento
En este capítulo se describe en detalle el modelomás aceptado para la detección de intrusiones. Tiene tres funciones principales, la fase de recogida de datos (fuentes de información), la fase de análisis, y la fase de respuesta. En líneas generales, para que la detección de intrusiones pueda obtener buenos resultados, debe llevar a cabo un proceso de recopilación de información, que posteriormente deberá someter a diversas técnicas...
Leer documento completo
Regístrate para leer el documento completo.