Título del proyecto: MIAU; Unidad de Detección de Intrusos Mondragon

Desde: 2005    hasta: 2007

Áreas: Seguridad

Tema: Detección de intrusos

Investigadores participantes: Roberto Uribeetxeberria, Jesús Lizarraga, Miguel Fernández

Entidades participantes: MGEP

Entidad financiadora: Diputación Foral de Gipuzkoa

Publicaciones relacionadas: xxxxxx

Abstract:

Los ordenadores se han convertido en un elemento imprescindible para nuestras vidas. Su versatilidad, potencia de cálculo y cada vez más fácil manejo hacen de ellos una herramienta indispensable en gran variedad de actividades, desde la científica o la laboral a la lúdica. Con la posibilidad de interconectar múltiples ordenadores formando redes, surgieron nuevos retos y aplicaciones. Hoy en día empresas, instituciones, universidades, etc. están presentes en Internet, de forma que cualquier usuario del planeta puede acceder a información, compra-venta, transacción o entretenimiento a través de la red. Algunos datos que se manejan deben mantenerse a salvo de cualquier intrusión de modo que la seguridad en este tipo de actividades tiene una importancia crítica. Según un boletín de RedIRIS de mediados del 2000 respecto a la XII Reunión del FIRST, Forum of Incident and Response Security Teams, la detección de los ataques se estaba convirtiendo en la nueva palabra clave para definir la seguridad informática. Hoy en día, al inicio del 2005, la vigencia de esta afirmación se mantiene. Así, un sólo agujero de seguridad relativa a los accesos pueden suponer pérdidas de hasta 141 millones de dólares según el estudio CSI/FBI 2004 Computer Crime and Security Survey. Se puede definir intrusión como cualquier conjunto de acciones que tratan de comprometer la integridad, confidencialidad o disponibilidad de un recurso. El NIST (National Institute of Standards and Technology) define la detección de intrusos como el proceso de monitorización de eventos que suceden en un sistema informático y el análisis de dichos eventos en busca de signos de intrusiones. Un sistema de detección de intrusos alertaría de intentos de acceso no autorizados, violación de la política de seguridad, cambios o robos de información, propagación de virus y gusanos informáticos, o incluso de intentos de denegación de servicio.

 
Desde la aparición del primer modelo de detección de intrusos, se han desarrollado múltiples proyectos de investigación creando así diferentes tipos de sistemas. Estos se diferencian en tres aspectos principales:

• Las fuentes de datos, que corresponden a los datos que maneja el sistema de detección para analizar las posibles intrusiones. En este ámbito se diferencian tres fuentes principales: basadas en los registros de auditoría que generan las máquinas (host-based), basadas en las aplicaciones informáticas (application-based), y basadas en la información que circula en las redes telemáticas (network-based). De este modo, los tipos de datos que deben procesar los IDS pueden ser paquetes de red, llamadas al sistema de procesos en ejecución, registros de auditoría, logs producidos por diferentes aplicaciones, o incluso comandos del teclado.
• Los tipos de análisis de los datos recogidos, cuyos paradigmas principales son el de la detección de usos indebidos (misuse detection) que compara la información recogida con descripciones (o firmas) de ataques conocidos, y la detección de anomalías (anomaly detection), que haciendo uso de datos históricos sobre la actividad de un sistema y/o de especificaciones sobre el comportamiento deseado de usuarios y aplicaciones, construyen un perfil que representa la operación normal del sistema monitorizado, e identifica patrones de actividades que se desvían del perfil definido.
• El mecanismo de respuesta. Se pueden diferenciar los sistemas de respuesta pasiva, que en lugar de tomar acciones, se limitan a generar la alerta correspondiente, y por otro lado, los sistemas de respuestas activas, que además de generar las alertas correspondientes, reaccionan modificando el entorno (ya sea generando nuevas reglas en el cortafuegos, o cortando la conexión correspondiente, entre otras muchas posibilidades)

En este proyecto se propone avanzar en el método de correlación de alertas en sus distintas fases, con el objeto de adquirir un conocimiento suficiente y manejable que permita proporcionar una respuesta eficiente a las intrusiones. Además de los aspectos inherentes al campo de la seguridad: tipos de ataques, definición de características del sistema que permitan construir perfiles de ataques o de un comportamiento normal, etc.; se analizará la bondad de la aplicación de diversos paradigmas del mundo del data mining para automatizar, en la medida de lo posible, el proceso de construcción de un sistema de detección de intrusos.