Sistemas de deteccion de intrusos
Páginas: 22 (5377 palabras)
Publicado: 8 de junio de 2011
RESUMEN DOCUMENTO DE ESTUDIO DE SISTEMAS DE DETECCION DE INTRUSOS EXISTENTES
1) INTRODUCCION
2) CLASIFICACION Y COMPARACION DE IDS
3) TENDENCIAS Y EVOLUCION DE LOS IDS
4) ANEXO
1) INTRODUCCIÓN:
Introducimos brevemente los conceptos de intrusión, detección de intrusión y sistema de detección de intrusiones.
intrusión: “cualquier conjunto de acciones que intentecomprometer la integridad, confidencialidad, o accesibilidad de un recurso”
detección de intrusión: “la metodología mediante la cual se detectan las intrusiones”
sistema de detección de intrusiones (IDS, Intrusion Detection System): cualquier mecanismo de seguridad cuyo propósito sea la detección de intrusiones o intentos de intrusión en el sistema.
El objetivo principal de cualquier IDS esdetectar intentos de intrusión en un sistema, mediante la monitorización y análisis continuos del comportamiento de los procesos y usuarios del sistema objetivo. Como resultado del proceso de monitorización y análisis, un IDS alerta, bien de forma activa o pasiva, de los potenciales intentos de intrusión.
Como precursor de los IDS se puede citar el método Denning: En 1987, Dorothy Denning presentóla idea de que se podría detectar las intrusiones de un sistema informático, asumiendo que los usuarios actúan siguiendo un perfil de actuación que puede ser definido de forma automática. Es decir, Dorothy Denning defendía que un sistema de detección de intrusiones podría generar un modelo representativo del comportamiento de cada usuario, de forma que se pudieran contrastar los comportamientosfuturos de un supuesto usuario con el modelo generado previamente para dicho usuario.
El propósito del método de Denning era que aquellos comportamientos que se alejasen suficientemente de la norma pudieran ser clasificados como anómalos y por tanto pudieran ser detectados como indicativo de una posible intrusión.
Dorothy Denning esbozó modelos de representación del comportamiento de un usuariobasados en: estadísticas, cadenas de Markov, series de tiempo, u otros mecanismos de medición, que permitían que el sistema de detección de intrusiones funcionara en tiempo-real (o en un periodo de tiempo aceptable).
2) CLASIFICACION Y COMPARACION DE IDS
A continuación se establecen diferentes criterios que permiten clasificar IDS:
- Alcance de la monitorización:
o Ámbitode nodo o de host (HIDS, host IDS)
▪ Verificador de integridad del sistema (SIV, System Integrity Verifier).
Un verificador de integridad del sistema o SIV (System Integrity Verifier) es una herramienta de monitorización de ficheros sensibles cuyo objetivo es detectar modificaciones no autorizadas en el sistema. Habitualmente, estos intentos de modificaciónsuelen ser indicativos de que un intruso pretende establecer una puerta trasera13 para un posterior acceso no autorizado.
El verificador de integridad del sistema más conocido es el HIDS Tripwire.
▪ Monitor de ficheros log (LFM, Log File Monitor).
Un monitor de ficheros log o LFM (Log File Monitor) es una herramienta que analiza losficheros log generados por los demonios de servicios sensibles, con el objetivo de detectar patrones de intrusión conocidos entre los ficheros log analizados.
Uno de los monitores de ficheros más extendido es SWATCH (Simple WATCHdog).
▪ IDS de kernel.
Un IDS de kernel es un caso particular de HIDS, cuyo objetivo es securizar el kerneldel sistema operativo en el que reside, incorporando parches de seguridad, como por ejemplo, listas de control de acceso para ficheros y para procesos.
El IDS de kernel más extendido en sistemas operativos Linux es LIDS (Linux Intrusion Detection System).
▪ IDS de aplicación.
Un IDS de aplicación es un caso particular de HIDS...
1) INTRODUCCION
2) CLASIFICACION Y COMPARACION DE IDS
3) TENDENCIAS Y EVOLUCION DE LOS IDS
4) ANEXO
1) INTRODUCCIÓN:
Introducimos brevemente los conceptos de intrusión, detección de intrusión y sistema de detección de intrusiones.
intrusión: “cualquier conjunto de acciones que intentecomprometer la integridad, confidencialidad, o accesibilidad de un recurso”
detección de intrusión: “la metodología mediante la cual se detectan las intrusiones”
sistema de detección de intrusiones (IDS, Intrusion Detection System): cualquier mecanismo de seguridad cuyo propósito sea la detección de intrusiones o intentos de intrusión en el sistema.
El objetivo principal de cualquier IDS esdetectar intentos de intrusión en un sistema, mediante la monitorización y análisis continuos del comportamiento de los procesos y usuarios del sistema objetivo. Como resultado del proceso de monitorización y análisis, un IDS alerta, bien de forma activa o pasiva, de los potenciales intentos de intrusión.
Como precursor de los IDS se puede citar el método Denning: En 1987, Dorothy Denning presentóla idea de que se podría detectar las intrusiones de un sistema informático, asumiendo que los usuarios actúan siguiendo un perfil de actuación que puede ser definido de forma automática. Es decir, Dorothy Denning defendía que un sistema de detección de intrusiones podría generar un modelo representativo del comportamiento de cada usuario, de forma que se pudieran contrastar los comportamientosfuturos de un supuesto usuario con el modelo generado previamente para dicho usuario.
El propósito del método de Denning era que aquellos comportamientos que se alejasen suficientemente de la norma pudieran ser clasificados como anómalos y por tanto pudieran ser detectados como indicativo de una posible intrusión.
Dorothy Denning esbozó modelos de representación del comportamiento de un usuariobasados en: estadísticas, cadenas de Markov, series de tiempo, u otros mecanismos de medición, que permitían que el sistema de detección de intrusiones funcionara en tiempo-real (o en un periodo de tiempo aceptable).
2) CLASIFICACION Y COMPARACION DE IDS
A continuación se establecen diferentes criterios que permiten clasificar IDS:
- Alcance de la monitorización:
o Ámbitode nodo o de host (HIDS, host IDS)
▪ Verificador de integridad del sistema (SIV, System Integrity Verifier).
Un verificador de integridad del sistema o SIV (System Integrity Verifier) es una herramienta de monitorización de ficheros sensibles cuyo objetivo es detectar modificaciones no autorizadas en el sistema. Habitualmente, estos intentos de modificaciónsuelen ser indicativos de que un intruso pretende establecer una puerta trasera13 para un posterior acceso no autorizado.
El verificador de integridad del sistema más conocido es el HIDS Tripwire.
▪ Monitor de ficheros log (LFM, Log File Monitor).
Un monitor de ficheros log o LFM (Log File Monitor) es una herramienta que analiza losficheros log generados por los demonios de servicios sensibles, con el objetivo de detectar patrones de intrusión conocidos entre los ficheros log analizados.
Uno de los monitores de ficheros más extendido es SWATCH (Simple WATCHdog).
▪ IDS de kernel.
Un IDS de kernel es un caso particular de HIDS, cuyo objetivo es securizar el kerneldel sistema operativo en el que reside, incorporando parches de seguridad, como por ejemplo, listas de control de acceso para ficheros y para procesos.
El IDS de kernel más extendido en sistemas operativos Linux es LIDS (Linux Intrusion Detection System).
▪ IDS de aplicación.
Un IDS de aplicación es un caso particular de HIDS...
Leer documento completo
Regístrate para leer el documento completo.