Letal
Páginas: 40 (9794 palabras)
Publicado: 10 de mayo de 2012
CAPÍTULO 2
El motor de detección
1
Introducción
Como se ha comentado en el capítulo anterior, hay dos grandes grupos de IDS: los sistemas basados en firmas, que trabajan en la detección de uso indebido y los sistemas adaptables, que trabajan en la detección de anomalías. Los sistemas de detección de usos indebidos, comparan firmas con la información recogida en busca de coincidencias.Mientras que los IDS de detección de anomalías, utilizan técnicas estadísticas para distinguir el comportamiento usual del anormal. Llamamos análisis, al método de detección de intrusos utilizado por los IDS, podemos diferenciar dos estrategias en los métodos de detección:
Figura 2-1. Estrategias de análisis Para cada una de las técnicas de detección de anomalías y de uso indebido se han utilizadodiferentes tipos de algoritmos para dotar al sistema de conocimiento y de aprendizaje autónomo. En la figura 2-2, se puede ver un resumen de las diferentes estrategias que se han implementado y que estudiaremos posteriormente [Noe02], [Laz04].
20
Diseño y optimización de un sistema de detección de intrusos híbrido
Figura 2-2. Técnicas de inteligencia en los IDS
2
Estrategias de análisis
Acontiniuación se describen las tres estrategias de análisis en las que se puede basar un IDS : detección de anomalías, detección de uso indebido, detección híbrida .
2.1 Detección de Anomalías
Se define anomalía como la existencia de una discrepancia de una regla o de un uso [Rae04]. Así pues, para poder detectar dicha discrepancia tenemos que definir primero lo que se considera como un comportamientonormal de un sistema. Una vez defino esto, se realizará una clasificación como de sospechosa o intrusiva a aquellos comportamientos que se desvíen de lo que se considera como normal. La detección de anomalías se basa en la suposición de que el comportamiento que tienen los usuarios y la red es lo suficientemente regular como para sacar una patrón , de forma que cualquier desviación significantepueda ser considerada como una evidencia de una intrusión en el sistema. Una gran ventaja de la detección de anomalías es que el sistema es capaz de aprender el comportamiento normal del objeto de estudio, y partir de ahí detectar las posibles desviaciones del mismo, clasificándolas como intrusiones. Así se pueden detectar ataques desconocidos. Como desventaja, como su propia definición señala,únicamente se detectan comportamientos inusuales pero éstos no tienen porque ser necesariamente comportamientos
Capítulo 2. Motor de Detección
21
ilícitos. Por ello , se destaca el problema de su alta tasa de falsos positivos. Otra de las desventajas que presenta es que un intruso podría actuar lenta y cuidadosamente para así modificar el perfil de los usuarios de modo que sus actividades seríanaceptadas como legales. En otras ocasiones no es suficiente con avisar de un comportamiento anómalo sin explicar los posibles orígenes. Se pueden encontrar diferentes variantes en el método de implementar los sistemas de detección de anomalías. Se hacen uso de mecanismos heurísticos y estadísticos para adaptarse a los cambios en el comportamiento del objeto a estudio así como para detectar cambiosimprevistos. Otras aproximaciones tratan de incorporar otras técnicas para realizar esta función.
2.2 Detección de uso indebido
Los sistemas de detección basados en uso indebido monitorizan las actividades que ocurren en un sistema y las compara con una serie de firmas de ataques previamente almacenadas en una base de datos. Cuando se monitorizan actividades que coinciden con las firmas se generauna alarma. Este tipo de análisis se atiene al conocimiento previo de las secuencias y actividades que forman un ataque. Se detectan las tentativas de explotación de vulnerabilidades conocidas o patrones de ataques típicos. Es la estrategia más utilizada por los IDS comerciales Un sistema de detección de uso indebido contiene dos componentes principales [Kum94]: • • Un lenguaje o modelo para...
El motor de detección
1
Introducción
Como se ha comentado en el capítulo anterior, hay dos grandes grupos de IDS: los sistemas basados en firmas, que trabajan en la detección de uso indebido y los sistemas adaptables, que trabajan en la detección de anomalías. Los sistemas de detección de usos indebidos, comparan firmas con la información recogida en busca de coincidencias.Mientras que los IDS de detección de anomalías, utilizan técnicas estadísticas para distinguir el comportamiento usual del anormal. Llamamos análisis, al método de detección de intrusos utilizado por los IDS, podemos diferenciar dos estrategias en los métodos de detección:
Figura 2-1. Estrategias de análisis Para cada una de las técnicas de detección de anomalías y de uso indebido se han utilizadodiferentes tipos de algoritmos para dotar al sistema de conocimiento y de aprendizaje autónomo. En la figura 2-2, se puede ver un resumen de las diferentes estrategias que se han implementado y que estudiaremos posteriormente [Noe02], [Laz04].
20
Diseño y optimización de un sistema de detección de intrusos híbrido
Figura 2-2. Técnicas de inteligencia en los IDS
2
Estrategias de análisis
Acontiniuación se describen las tres estrategias de análisis en las que se puede basar un IDS : detección de anomalías, detección de uso indebido, detección híbrida .
2.1 Detección de Anomalías
Se define anomalía como la existencia de una discrepancia de una regla o de un uso [Rae04]. Así pues, para poder detectar dicha discrepancia tenemos que definir primero lo que se considera como un comportamientonormal de un sistema. Una vez defino esto, se realizará una clasificación como de sospechosa o intrusiva a aquellos comportamientos que se desvíen de lo que se considera como normal. La detección de anomalías se basa en la suposición de que el comportamiento que tienen los usuarios y la red es lo suficientemente regular como para sacar una patrón , de forma que cualquier desviación significantepueda ser considerada como una evidencia de una intrusión en el sistema. Una gran ventaja de la detección de anomalías es que el sistema es capaz de aprender el comportamiento normal del objeto de estudio, y partir de ahí detectar las posibles desviaciones del mismo, clasificándolas como intrusiones. Así se pueden detectar ataques desconocidos. Como desventaja, como su propia definición señala,únicamente se detectan comportamientos inusuales pero éstos no tienen porque ser necesariamente comportamientos
Capítulo 2. Motor de Detección
21
ilícitos. Por ello , se destaca el problema de su alta tasa de falsos positivos. Otra de las desventajas que presenta es que un intruso podría actuar lenta y cuidadosamente para así modificar el perfil de los usuarios de modo que sus actividades seríanaceptadas como legales. En otras ocasiones no es suficiente con avisar de un comportamiento anómalo sin explicar los posibles orígenes. Se pueden encontrar diferentes variantes en el método de implementar los sistemas de detección de anomalías. Se hacen uso de mecanismos heurísticos y estadísticos para adaptarse a los cambios en el comportamiento del objeto a estudio así como para detectar cambiosimprevistos. Otras aproximaciones tratan de incorporar otras técnicas para realizar esta función.
2.2 Detección de uso indebido
Los sistemas de detección basados en uso indebido monitorizan las actividades que ocurren en un sistema y las compara con una serie de firmas de ataques previamente almacenadas en una base de datos. Cuando se monitorizan actividades que coinciden con las firmas se generauna alarma. Este tipo de análisis se atiene al conocimiento previo de las secuencias y actividades que forman un ataque. Se detectan las tentativas de explotación de vulnerabilidades conocidas o patrones de ataques típicos. Es la estrategia más utilizada por los IDS comerciales Un sistema de detección de uso indebido contiene dos componentes principales [Kum94]: • • Un lenguaje o modelo para...
Leer documento completo
Regístrate para leer el documento completo.