Sistema Detector De Intrusos
Páginas: 13 (3111 palabras)
Publicado: 18 de octubre de 2012
Algoritmos de Reconocimiento de Patrones en Sistemas de Detección de Intrusos
Felipe Cardona C. Juan G. Lalinde-Pulido
Universidad EAFIT. Universidad EAFIT.
fcardon2@eafit.edu.co jlalinde@eafit.edu.co
Resumen
En este documento se presenta una descripción sobre la aplicación de los conceptos de reconocimiento de patrones en sistemas de detección de intrusos (IDS), identificandolos principales factores que puedan contribuir en el desarrollo de mejores herramientas.
Estas definiciones, que se generan a partir del estudio de los fundamentos teóricos y análisis de los sistemas actuales, constituyen el soporte de este documento que refleja el desarrollo actual de una investigación en el área de seguridad informática.
Palabras clave: IDS, Reconocimiento de patrones,Signatures.
1. Introducción
Una parte muy importante de la seguridad informática es el uso de herramientas tecnológicas para afrontar las amenazas, tanto internas como externas, a la organización y a los sistemas de información de la misma. Estas herramientas, dentro de las que se encuentran los sistemas de detección de intrusos (IDS por su sigla en inglés), se ven diariamente enfrentadas aamenazas de seguridad cada vez más complejas y con repercusiones a gran escala, que exigen un mayor compromiso por parte de éstas como elementos de soporte a las políticas y procedimientos de seguridad de una organización.
Este documento es un aporte al estudio de los algoritmos de reconocimiento de patrones en sistemas de detección de intrusos bajo diferentes enfoques, con el fin de ayudar adefinir nuevas estrategias en el desarrollo y aplicación de estas herramientas. En él se presentan algunos de los conceptos empleados en el estudio de los algoritmos de reconocimiento de patrones y su aplicabilidad en el desarrollo de IDS.
El resultado, es un conjunto de estrategias que orienten las decisiones facilitando el desarrollo de mejores herramientas en el campo de detección de intrusos.De esta forma, se pueden generar diversas propuestas para mejorar el nivel de seguridad de las redes actuales.
2. Sistemas de detección de intrusos
Los IDS son sistemas que tienen como función monitorear la actividad de los recursos computacionales para detectar posibles intrusos. En este contexto, un intruso lleva a cabo actividades no autorizadas, posiblemente tratando de identificarvulnerabilidades. El IDS recolecta y analiza información para determinar la existencia o no del intruso.
Los intrusos se clasifican en internos y externos. Los internos son miembros de la organización que tienen acceso a los recursos informáticos y aprovechan esta situación para intentar realizar actividades para las cuales no están autorizados. Los externos son ajenos a la organización y supresencia en las redes internas se debe a que han encontrado alguna forma para evitar los mecanismos de protección de perímetro que posee la organización.
Para su buen funcionamiento, un IDS debe cumplir con lo siguiente: [Castaño, 2000].
Vigilar y analizar las actividades de los usuarios y del sistema.
Evaluar la integridad de los datos y archivos críticos del sistema.
Reconocer los modelos deactividad que son generados por los ataques conocidos.
Realizar análisis estadístico de los modelos anormales de actividad.
Gerenciar el rastro de las actividades que son violaciones con respecto a la política establecida.
Supervisar el cumplimiento de las políticas.
A grandes rasgos, se puede establecer una clasificación de los IDS a partir de las siguientes características:
Análisis detráfico en línea (tiempo real) vs. fuera de línea.
Ubicación centralizada vs. distribuida.
Arquitectura de host vs. de red.
Análisis de muestras vs. análisis total de tráfico.
Configuración basada en patrones vs. adaptativa.
Estos criterios son únicamente para establecer claridad en la clasificación, pero en la realidad un IDS puede estar definido en terrenos intermedios o incluso abarcar...
Felipe Cardona C. Juan G. Lalinde-Pulido
Universidad EAFIT. Universidad EAFIT.
fcardon2@eafit.edu.co jlalinde@eafit.edu.co
Resumen
En este documento se presenta una descripción sobre la aplicación de los conceptos de reconocimiento de patrones en sistemas de detección de intrusos (IDS), identificandolos principales factores que puedan contribuir en el desarrollo de mejores herramientas.
Estas definiciones, que se generan a partir del estudio de los fundamentos teóricos y análisis de los sistemas actuales, constituyen el soporte de este documento que refleja el desarrollo actual de una investigación en el área de seguridad informática.
Palabras clave: IDS, Reconocimiento de patrones,Signatures.
1. Introducción
Una parte muy importante de la seguridad informática es el uso de herramientas tecnológicas para afrontar las amenazas, tanto internas como externas, a la organización y a los sistemas de información de la misma. Estas herramientas, dentro de las que se encuentran los sistemas de detección de intrusos (IDS por su sigla en inglés), se ven diariamente enfrentadas aamenazas de seguridad cada vez más complejas y con repercusiones a gran escala, que exigen un mayor compromiso por parte de éstas como elementos de soporte a las políticas y procedimientos de seguridad de una organización.
Este documento es un aporte al estudio de los algoritmos de reconocimiento de patrones en sistemas de detección de intrusos bajo diferentes enfoques, con el fin de ayudar adefinir nuevas estrategias en el desarrollo y aplicación de estas herramientas. En él se presentan algunos de los conceptos empleados en el estudio de los algoritmos de reconocimiento de patrones y su aplicabilidad en el desarrollo de IDS.
El resultado, es un conjunto de estrategias que orienten las decisiones facilitando el desarrollo de mejores herramientas en el campo de detección de intrusos.De esta forma, se pueden generar diversas propuestas para mejorar el nivel de seguridad de las redes actuales.
2. Sistemas de detección de intrusos
Los IDS son sistemas que tienen como función monitorear la actividad de los recursos computacionales para detectar posibles intrusos. En este contexto, un intruso lleva a cabo actividades no autorizadas, posiblemente tratando de identificarvulnerabilidades. El IDS recolecta y analiza información para determinar la existencia o no del intruso.
Los intrusos se clasifican en internos y externos. Los internos son miembros de la organización que tienen acceso a los recursos informáticos y aprovechan esta situación para intentar realizar actividades para las cuales no están autorizados. Los externos son ajenos a la organización y supresencia en las redes internas se debe a que han encontrado alguna forma para evitar los mecanismos de protección de perímetro que posee la organización.
Para su buen funcionamiento, un IDS debe cumplir con lo siguiente: [Castaño, 2000].
Vigilar y analizar las actividades de los usuarios y del sistema.
Evaluar la integridad de los datos y archivos críticos del sistema.
Reconocer los modelos deactividad que son generados por los ataques conocidos.
Realizar análisis estadístico de los modelos anormales de actividad.
Gerenciar el rastro de las actividades que son violaciones con respecto a la política establecida.
Supervisar el cumplimiento de las políticas.
A grandes rasgos, se puede establecer una clasificación de los IDS a partir de las siguientes características:
Análisis detráfico en línea (tiempo real) vs. fuera de línea.
Ubicación centralizada vs. distribuida.
Arquitectura de host vs. de red.
Análisis de muestras vs. análisis total de tráfico.
Configuración basada en patrones vs. adaptativa.
Estos criterios son únicamente para establecer claridad en la clasificación, pero en la realidad un IDS puede estar definido en terrenos intermedios o incluso abarcar...
Leer documento completo
Regístrate para leer el documento completo.