Estado Del Arte Seguridad

1

Estado del arte de los sistemas inteligentes de detección de intrusos TRABAJO ACADEMICO PARA EL SEMINARIO TALLER DE PERFECCIONAMIENTO “DISEÑO Y ADMINISTRACIÓN DE REDES EN TELECOMUNICACIONES LAN, MAN Y WAN” COMO OPCIÓN DE GRADO EN EL PROGRAMA DE INGENIERÍA DE SISTEMAS DE LA UNIVERSIDAD COOPERATIVA DE COLOMBIA SECCIONAL CALDAS. Autores Ing. Gloria lorena hurtado alvarez Ing. Oscar fernando briñez. Asesor: Esp: Gustavo Isaza Echeverry Abstract: Due to the interest of subject of information security and the different problems that have appeared by crimes, an interest arises to study some intelligent systems of detection intruders; with the purpose of learning as they act to find conclusions and recommendations that allow to make a good decision at the moment for implementing one of these systems in a networking. Now we presented a restlessness in front of the tools of detection of intruders, who presents static elements and they do not allow an immediate reaction before the different changes in the attack strategies to the systems, detected this disadvantage its propose out then to study the state-of-the-art of some intelligent systems of intruders detection, so that of this form the IDS can be in front of the vandals and to offer preventive solutions but that corrective. I. PRESENTACIÓN

D

ebido al auge en el tema de seguridad informática y los diferentes problemas que se han presentado por delitos informáticos, surge un interés por estudiar algunos sistemas inteligentes de detección intrusos; con el fin de aprender como actúan para encontrar conclusiones y recomendaciones que permitan tomar un buena decisión en el momento de implementar uno de estos sistemas en un red informática. Ahora presentamos una inquietud frente a las herramientas de detección de intrusos informáticos, las cuales presentan elementos estáticos y no permiten una reacción inmediata ante los diferentes cambios en las estrategias de ataque a los sistemas, detectado este inconveniente se propone entonces estudiar el estado del arte de algunos sistemas inteligentes de detección de intrusos, para que de esta forma los IDS puedan estar un pie delante de los vándalos informáticos y brindar soluciones preventivas mas que correctivas. El impacto que puede generar el aporte de este estudio a la seguridad informática a nivel social y tecnológico va desde aplicar diferentes políticas que se deben utilizar para manejar correctamente los sistemas de información desde el punto de vista del usuario final, hasta mantener altos niveles de ciframiento en los datos mas críticos y sensibles de la empresa. Por todo lo anterior es importante que se le de la atención necesaria a este tipo de estudios ya que aportan ideas

interesantes en la investigación de soluciones en el campo de la seguridad informática II. FORMULACIÓN DEL PROBLEMA Un IDS (Intrusion Detection System) es un sistema que se dedica a monitorear (un equipo informático, una red de comunicaciones,…) en busca de intentos de posibles malos usos o accesos no autorizados. Enfocado en términos informáticos seria un proceso de seguridad que monitorea un equipo específico o una red, en busca de comprometer el sistema. Por lo general funcionan buscando patrones definidos de actividad sospechosa. Desafortunadamente los IDS actuales basan su funcionamiento en un esquema estático lo cual los convierte en sistemas muy ineficientes en el momento en el que un atacante codifica los datos de entrada. La base de datos de las firmas de ataques sufren los mismos inconvenientes que los anti-virus, si la base de datos está desactualizada es muy probable que el sistema sea atacado sin ser detectado. Adicionalmente el tiempo entre el descubrimiento de un nuevo ataque, la publicación de este y su inclusión en los IDS es bastante larga, teniendo en cuenta que el tiempo entre la publicación de dicho ataque y el uso indebido por parte de un posible atacante es muy corto, es probable que aparezca un programa exploit que haga uso de esa vulnerabilidad para irrumpir en un sistema. Hasta que el exploit no es difundido en Internet (lo cual no quiere decir que no sea utilizado), los analistas de seguridad no pueden elaborar reglas para detectarlo e incorporarlas a sus IDSs. Se hace necesario, por tanto, un sistema que disminuya este tiempo y detecte automáticamente la existencia de nuevos ataques de forma fiable, que resista las últimas técnicas anti-IDS y que además sea escalable. Viendo las limitaciones de los IDS actuales, algunos centros de investigación en el mundo empezaron a analizar el comportamiento para determinar la existencia de anomalías para la identificación de ataques. Los inicios del análisis de comportamientos se enfocaron principalmente en el desarrollo de mecanismos estadísticos para determinar anomalías en el comportamiento de los usuarios de un

2 sistema determinado. La gran ventaja que presenta un mecanismo estadístico es que este es fácilmente adaptable a las nuevas condiciones cambiantes en el tiempo. Pero esa adaptabilidad es susceptible a cambios progresivos programados, lo cual permite la inclusión de actividades intrusivas evitando su detección. III. JUSTIFICACIÓN Los sistemas y redes cotidianamente están sujetos a ataques electrónicos, éstos son tan frecuentes que es necesario imponer una gran cantidad de requerimientos de seguridad para la protección de los datos y de los equipos. La vulnerabilidad de los equipos se chequea mediante herramientas del sistema a nivel de red, que permiten la corrección de problemas y errores de configuración potencialmente responsables de ocasionar fallas en la seguridad de un sistema de información. Para el manejo de detección de intrusos se recolecta información desde una variedad de fuentes del sistema, analizando esta información de diferentes maneras. Los ataques a un sistema pueden ser externos a éste o provenientes del interior, por ejemplo, usuarios autorizados o intrusos que se hacen pasar como usuarios legítimamente autenticados por el sistema. Las herramientas del sistema y los sistemas de detección de intrusos en conjunto permiten a una organización protegerse a sí misma de perdidas asociadas con estos problemas de seguridad. ¿Existe una mejora sustancial al construir un sistema de detección de intrusos aplicando Inteligencia Artificial? Los sistemas de detección de intrusos son herramientas que han sido diseñadas para aumentar la seguridad de una red de datos. Los estudios realizados en esta área tuvieron su origen en el análisis de los flujos de datos de los sistemas vulnerados, inicialmente personal experto en el tema dedicó todo su tiempo a identificar el origen de las anomalías y evitar que afectara de nuevo al sistema de información, esto evolucionó en lo que se conoce como sistemas de detección basados en reglas, que han sido estándar hasta la actualidad. Los sistemas basados en reglas requieren actualización permanente ya que si un ataque es modificado levemente el sistema es incapaz de detectarlo. Por esto la inteligencia artificial se ha planteado como una solución a las limitaciones de los sistemas tradicionales. En este trabajo se presentara una investigación que proporcione como resultado una visión más amplia de la participación de la inteligencia artificial en el campo de la seguridad en redes informáticas. Así mismo se plantearan algunas características comparativas entre IDS y finalmente recomendaciones y conclusiones que faciliten el diseño de una posible arquitectura genérica.

IV. OBJETIVOS OBJETIVO GENERAL Investigar el estado del arte de algunos Sistemas Inteligentes de Detección de Intrusos mediante un rastreo de información de diferentes fuentes, para plantear conclusiones y recomendaciones que faciliten el diseño de una posible arquitectura genérica. OBJETIVOS ESPECIFICOS •

•

•

Investigar los elementos técnicos más relevantes de los principales sistemas inteligentes de detección de intrusos analizando la información encontrada para evidenciar los principales elementos que tienen en común y definir algunos para profundizar en ellos. Investigar qué técnicas de Inteligencia Artificial (Redes Neuronales, Lógica Difusa, Agentes Inteligentes, etc.) se han aplicado a los IDS como un mecanismo para mejorar su arquitectura. Plantear recomendaciones y conclusiones basados en la diversa información recolectada a lo largo del estudio para proyectar el diseño de una posible arquitectura genérica. V. ALCANCE

El alcance de este proyecto esta definido por los objetivos generales y específicos aprobados en los que se basa la realización misma de este trabajo. El proyecto esta enfocado a la investigación del estado del arte de algunos sistemas inteligentes de detección de intrusos, para plantear conclusiones y recomendaciones tendientes a proyectar, una posible arquitectura genérica que pueda reducir las limitaciones de los IDS actuales, analizando ciertos enfoques actuales, la mayoría de ellos provenientes del desarrollo académico de los IDS. Aunque este proyecto tiene un alcance claro, es campo fértil para la continuación de nuevas investigaciones que permitan generar nuevas tecnologías aplicables a la realidad de la seguridad informática. VI. ANTECEDENTES Es posible encontrar en el mercado numeroso IDSs comerciales. La gran mayoría revelan pocos o ningunos detalles sobre su arquitectura y funcionamiento interno: obviamente esta es una información muy sensible. Sin embargo, algunos IDSs no comerciales, de distribución gratuita o concebida en ambientes académicos revelan pormenores de su funcionamiento y arquitectura; a continuación se enumeran algunos de los ejemplos de arquitecturas de IDSs reales encontrados, no se pretende en ningún momento dar una descripción exhaustiva de éstos, ni de sus ventajas y fallas. SNORT: Este es un sistema “liviano” de detección de intrusos en redes. Es multiplataforma y puede ser

3 implantado para monitorear pequeñas redes TCP/IP. Un detalle muy interesante para el estudio de los IDSs, es que está disponible bajo la licencia pública general GNU, puede usarse gratuitamente en cualquier ambiente, y la totalidad de su código es de libre distribución.

• •

NFR NID: Network Flight Recorder Network Intrusion Detection es un sistema de detección comercial, que de manera discreta monitorea redes en tiempo real y genera alertas cuando algo sospechoso es detectado. Busca actividades tales como ataques conocidos, comportamiento anormal, intentos de acceso no autorizado y transgresiones a las políticas de seguridad, guardando la información asociada y generando alertas según sea necesario. La actividad sospechosa puede ser categorizada en uso inapropiado y anomalías. EMERALD : EMERALD (Event monitoring enabling responses to anomalous live Disturbances) es un framework para efectuar detección de intrusos escalable, distribuido e interoperable a nivel de host y a nivel de red. Más que un IDS, es una propuesta de arquitectura para un IDS, que se supone debe contener componentes que permitan al sistema responder activamente ante amenazas, principalmente de atacantes externos a una organización, aunque no se excluye la detección de atacantes internos. DIDS: DIDS (Distributed Intrusion Detection System) es un prototipo que actualmente está siendo diseñado e implementado por la división de Computer Science de la Universidad de California, que combina monitoreo distribuido y reducción de datos (por medio de monitores individuales en hosts y LANs) con análisis centralizado de datos (por medio del DIDS director), para monitorear una red heterogénea de computadores. AAFID: Una última opción entre las arquitecturas enumeradas, es la de usar Agentes autónomos para detección de intrusiones. Un agente de software se define como “Una entidad de software que funciona de manera continua y autónoma en un ambiente en particular, capaz de llevar a cabo actividades de una manera flexible e inteligente de forma tal que pueda responder a los cambios en el ambiente. Idealmente, debe aprender de su experiencia y ser capaz de comunicarse con otros agentes y procesos”. VII. METODOLOGÍA Aun no existe una metodología definida para realizar un estado del arte no importa cual sea el tema central de este; en la actualidad solo se encuentran aportes de algunos autores para llevarlo a feliz termino. Teniendo en cuenta lo anterior y después de realizar un análisis de la información disponible, a continuación se presentan algunos pasos que se pueden seguir para completar el estudio: •

Determinar o definir los aspectos esenciales y críticos sobre los cuales se basara el estudio del estado del arte. (metodologías, técnicas, herramientas, niveles de

• • • •

seguridad, alcances, etc.). Ventajas, tendencias, comparaciones, características. Estudiar una porción substancial de la literatura en el área de los sistemas inteligentes de detección de intrusos. Entender bien la literatura para tener la visión global de los sistemas inteligentes de detección de intrusos. Definir una estructura secuencial para la sistematización de los referentes encontrados acerca de los sistemas inteligentes de detección de intrusos. Revisar la literatura de acuerdo con esta estructura para determinar los aspectos relevantes que aun no se han tenido en cuenta. Organizar el trabajo consecuentemente Plantear Recomendaciones y Conclusiones. VIII. SISTEMAS DE DETECCION DE INTRUSOS

Un IDS tiene la capacidad de prevenir y dar aviso de posibles ataques, además de facilitarnos el análisis posterior en caso de una intrusión en el sistema. Un IDS no debe ser nunca un sustituto de una buena política de seguridad en la red que vayamos a instalar. No serviría de nada tener un IDS instalado si se dejan puertos abiertos en nuestros servidores, password de administrador vació o conocido por todos, ya que cualquier atacante podría ingresar al sistema. Por tanto, un IDS siempre deberá ser un complemento al sistema de seguridad ya instalado, es decir, corresponde a una capa adicional de protección del sistema. Un IDS nos permite una pronta detección de los ataques que se pudiesen producir dentro de nuestro sistema y una mayor capacidad de reacción ante estos. IX. ELEMENTOS DE LA DETECCIÓN DE INTRUSIONES Arquitectura : A la hora de proteger un sistema basándose en los registros que se analizan mediante una auditoría requiere que estos registros sean almacenados de una forma segura en un entorno distinto al del sistema protegido. Este requisito lo cumple cualquier sistema de detección de intrusiones con un mínimo de calidad. Esto se hace por varias razones. Para evitar que el intruso pueda eliminar los registros, para evitar que el intruso pueda alterar la información contenida en los registros y para no perjudicar con el mecanismo de detección de intrusiones el rendimiento del sistema a proteger. En este tipo de arquitectura el sistema que ejecuta el sistema de detección de intrusiones se denomina "host" y el sistema monitorizado "target" (objetivo). Fuentes de datos, monitoreo: La fuente de datos es una de las primeras cosas a tener en cuenta a la hora de diseñar un sistema de detección de intrusiones. Estas fuentes se pueden clasificar de muchas maneras. En lo que respecta a la detección de intrusiones las clasificaremos por

4 localización. De esta forma, la monitorización de sistemas, y por tanto la detección de intrusiones, se puede dividir en cuatro categorías: "host", red, aplicación y objetivo. Usaremos el término "monitorizar" como el acto de recoger datos de una determinada fuente y enviarlos a un motor de análisis.















Monitores basados en máquina ("host based"): Recogen los datos generados por un ordenador, normalmente a nivel del sistema operativo. Los registros de sucesos y las colas de auditoría pertenecen a este grupo. Monitores basados en múltiples máquinas ("multihost based"): Como su propio nombre indica, utiliza la información recogida en dos o más máquinas. Su enfoque es muy similar al basado en máquina, con la dificultad añadida de tener que coordinar los datos de varias fuentes. Monitores basados en redes ("network based"): Capturan paquetes de red. Para ello, normalmente se utilizan dispositivos de red en modo promiscuo, convirtiendo al sistema en un "sniffer" o rastreador. Monitores basados en aplicación ("application based"): Registran la actividad de una determinada aplicación. Por ejemplo, los registros de un servidor ftp. Monitores basados en objetivos ("target based"): Estos monitores difieren ligeramente del resto porque generan sus propios registros. Utilizan funciones de cifrado para detectar posibles alteraciones de sus objetivos, y contrastan los resultados con las políticas. Este método es especialmente útil cuando se usa contra elementos que, por sus características, no permiten ser monitorizados de otra forma. Monitores híbridos ("hybrid"): Combinan dos o más fuentes de distinto tipo. Cada vez es más frecuente encontrarse con productos de detección de intrusiones basados en este punto de vista. Así, amplían sus posibilidades de detección.

Existen productos que combinan varias estrategias de monitorización. Estas soluciones se denominan soluciones integradas. Hay que añadir que existen sistemas de detección de intrusiones que reciben el nombre de NNID ("Network Node Intrusion Detector"), es decir, Detector de Intrusiones de Nodo de Red. En realidad, son un caso especial de la detección basada en red. Este nombre se aplica cuando el monitor basado en red se sitúa en un "host", monitorizando los paquetes destinados u originados por la máquina anfitriona. Una de las razones más importantes para hacer esto es para sortear el problema de las encriptaciones durante la comunicación, ya que el tráfico es cifrado o descifrado por el propio "host". Un detector basado en red convencional no podría analizar el tráfico en un punto intermedio entre dos nodos que cifraran sus comunicaciones. Los NNIDS son también útiles en entornos de red con conmutadores

("switches") en los que un "host", aunque esté en modo promiscuo, sólo percibe el tráfico destinado a él. Tipos de análisis: Después del proceso de recopilación de información, se lleva a cabo el proceso de análisis. La detección de intrusiones también se puede clasificar según los objetivos del motor de análisis. Los dos tipos principales de análisis son:





Detección de usos indebidos ("misuse"): Para encontrar usos indebidos se comparan firmas (Patrones de a taques conocidos) con la información recogida en busca de coincidencias. Detección de anomalías: Para la detección de anomalías se manejan técnicas estadísticas que definen de forma aproximada lo que es el comportamiento usual o normal.

La siguiente figura muestra un esquema general de detector de intrusiones de usos indebidos (mediante comparación de patrones) y de anomalías.

Esquema general de un Sistema de Detección de Intrusos La mayoría de los detectores son de usos indebidos, anomalías o una mezcla de ambos. Algunas empresas están empezando a utilizar también técnicas específicas para la detección de ataques de denegación de servicio (DoS), dadas sus características especiales. Aparte del análisis basado en firmas y estadísticas, también existe el análisis de integridad. Este es el método utilizado por las herramientas de chequeo de integridad de ficheros, que complementan a los Sistemas de Detección de Intrusiones. Estas herramientas detectan cambios en ficheros u objetos, utilizando mecanismos robustos de encriptación tales como funciones resumen ("hash functions"). Otro enfoque a la hora de distinguir formas de detección de intrusiones es teniendo en cuenta el uso que hacen los análisis del tiempo:

5





Por lotes ("batch mode"): Cada intervalo de tiempo se procesa una porción de los datos recibidos, enviando las posibles alarmas de intrusiones después de que hayan ocurrido. Tiempo real: Los datos son examinados en el tiempo en que son recibidos (o con un retardo mínimo). La aparición de los análisis en tiempo real hizo posible las respuestas automáticas.

Otra forma de solucionar el control de la detección de intrusiones centralizada es hacer que forme parte de las funciones de gestión de redes. Muchos productos comerciales de detección de intrusiones ofrecen la posibilidad de generar mensajes SNMP (Protocolo de Gestión de Redes Simple) para la herramienta de captura de gestión de redes. X. COMPARATIVO ENTRE LOS SISTEMAS INTELIGENTES EVALUADOS

Respuestas







El mecanismo de respuesta, es otro de los factores que ayudan a definir el tipo de sistema de detección de intrusiones: Respuestas pasivas: En este caso, el detector no toma acciones que puedan cambiar el curso de un ataque. En vez de esto, se limita a enviar o registrar la alarma correspondiente al responsable cualificado. Respuestas activas: Pertenecen esta categoría aquellos sistemas que, además de generar la alarma correspondiente, reaccionan modificando el entorno. Un ejemplo de este tipo de respuesta activa consiste en el bloqueo de las acciones del intruso, o el cierre de la sesión del usuario sospechoso.

Objetivos: Los objetivos de la detección son otro factor a tener en cuenta en el análisis de la detección de intrusiones. Si además de detectar posibles errores de seguridad, se pretende perseguir al atacante mediante acciones legales, es importante dedicar tiempo a la apropiada conservación y formato de los registros generados por el sistema. Si, por el contrario, sólo se desea mantener seguro el sistema, utilizando las posibles intrusiones para corregir los posibles errores que puedan ir surgiendo, los datos de las auditorías se pueden eliminar. Por otra parte, como ya se comentó, la mejora de las capacidades de proceso ha hecho posible el análisis en tiempo real. Esto ha permitido desarrollar mecanismos automáticos de respuesta ante posibles ataques, como por ejemplo denegando el acceso a un posible intruso, o reflejando contra el atacante los ataques realizados. Estos métodos se describen con más detalle en capítulos posteriores.

Comparativo entre los Sistemas Inteligentes evaluados

CARACTERISTICAS

Plataforma Captura de paquetes Gestión y Actualizan firmas Tipo de aprendizaje utilizado Software propietario o libre Clasificación Requerimientos mínimos del Sistema

Escalabilidad a IPS

Alternativa Tecnología Propietaria

SNORT

REAL SECURE

MySQL, PostgreSQL

Propietario

Libreria Libcap

Propietario

Manual y Automática Via Web y Scripting

Manual y Automática Via Web y Scripting

LIBRE

PROPIETARIO

NIDS

NIDS, HIDS

UNIX y todas sus variantes (Solaris, Linux, AIX, etc), WINDOWS

CUALQUIER SISTEMA OPERATIVO

SI

SI

XI. CONCLUSIONES •

Control : La forma de administrar un sistema de detección de intrusiones es otro elemento a tener en cuenta. Existen dos acercamientos, según el sistema monitorice múltiples "hosts" o redes: la centralización y la integración con herramientas de gestión de redes. La centralización consiste en concentrar las funciones de control en un nodo, que dirige a los demás elementos de detección de intrusiones. Para este punto de vista es necesario establecer comunicaciones seguras entre los elementos del sistema. También es necesario poder mostrar los resultados recogidos por todos los elementos de forma coherente y clara.

Alternativa con Software Libre

•

•

Una de las principales ventajas que presentan los IDS es un mayor grado de integridad al resto de la infraestructura de seguridad, proporcionando capas adicionales de protección a un sistema asegurado. La estrategia de un atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan, que anulan o que protegen. Los IDS pueden reconocer estos primeros sellos de ataque, y potencialmente responden a ellos, atenuando daños. Además, cuando estos dispositivos fallan, debido a la configuración, al ataque, o al error del usuario, los IDS puede reconocer el problema y notificar a la gente adecuada. Los IDS permiten que los administradores y los encargados ordenen y comprendan lo que les dicen las fuentes de información suministradas antes de que ocurran las pérdidas en el sistema monitoreado. Los IDS pueden rastrear la actividad del usuario de la punta de entrada a la punta de salida o del impacto.

6

•

•

•

•

•

•

Además, las identificaciones pueden detectar las acciones de un "mal individuo " ya dentro, un ataque ya iniciado o un camino previamente desconocido de la entrada a la red. Pueden reconocer y señalar alteraciones a los archivos críticos del sistema y de datos. Las herramientas de integridad del archivo utilizan sumas de comprobación criptográficas fuertes por bloques, y en el caso de un problema, comprobar rápidamente el fragmento del daño. Existen muchos IDS en el mercado, desde software con un alto coste económico a ofertas totalmente gratuitas y capaces. Lo que hay que tener en cuenta es quién se encargará del soporte del IDS y si esta lo suficientemente capacitado para actualizar la base de datos del IDS y conocer todos los tipos de ataques y sus variaciones. La gran ventaja de utilizar productos de detección de intrusos es que proporcionan a los administradores una visión en tiempo real de lo que realmente está ocurriendo en la red. Sin monitoreo activo, muchos sitios están volando sin rumbo. Pocas personas revisan sus logs de sistema y quienes lo hacen casi nunca las examinan en tiempo real. La consecuencia es una serie de posibles problemas, sin tener idea de cómo entraron los intrusos, qué hicieron ni qué tan lejos llegaron. Un IDS inteligente permite detectar nuevos paquetes peligrosos a partir del conocimiento previamente adquirido, lo que no sucede con los sistemas tradicionales. Esto permite que el administrador de una red se convierta en un contribuyente de conocimiento y no simplemente en un usuario de sistemas de detección de intrusos. Existen diferentes técnicas de Inteligencia Artificial como la Lógica Difusa, los Árboles de Decisión, reglas de asociación, inducción de reglas, etc; para optimizar el aprendizaje autónomo de los IDS’s. La Importancia de los Sistemas distribuidos aplicados a los IDS’s radica en la capacidad de reacción de los sensores que están distribuidos en diferentes puntos de la red y que envían las alertas a un sistema centralizado donde el operador podrá analizarlas y tomar decisiones para optimizar la calidad del monitoreo.

•

• •

•

•

• •

RECOMENDACIONES • La arquitectura basada en agentes autónomos, basa su desarrollo en las carencias y limitaciones que presentan los IDS existentes. La principal carencia de los viejos (y primeros) IDS es que los datos son recogidos por un solo host, además, algunos de los que intentan solucionar esta desventaja utilizan una colección de datos distribuida, pero analizada por una consola central. • Basándose en estas limitaciones, se ha introducido el término de Agente Autónomo definido como una entidad software capaz de analizar actividades de una manera flexible e inteligente, capaz de funcionar continuamente y de aprender por su experiencia y la de otros agentes, además de comunicarse y cooperar con

•

ellos. Los agentes son autónomos porque son entidades que se ejecutan independientemente y no necesitan información de otros agentes para realizar su trabajo. Las principales ventajas que puede aportar una arquitectura basada en Agentes Autónomos residen en que si un agente para de trabajar por cualquier motivo, solamente sus resultados se pierden, sin afectar a otros agentes autónomos. Además, la posible organización de los agentes en estructuras jerárquicas con diferentes capas hace un sistema escalable. Por estos motivos, un agente autónomo puede cruzar la barrera de los HIDS y los NIDS y realizar ambas funciones, así como estar implementado en el lenguaje que mejor le convenga para cada caso. La arquitectura basada en Agentes Autónomos se basa en tres componentes esenciales: agentes, transceivers y monitores. Un agente autónomo puede ser distribuido sobre cualquier número de hosts en una red. Cada host puede contener un número de agentes que monitorea una cierta característica (cada uno). Todos los agentes de un host envían sus resultados a un transceiver y estos envía sus resultados globales del host a uno o más monitores. La aplicación de redes neuronales para la detección de intrusos en redes puede ser de gran apoyo para los sistemas de detección tradicionales gracias a su capacidad de generalización y aprendizaje. El éxito de un sistema de redes neuronales se basa en el entrenamiento y en la selección de un universo adecuado y familiar a la red donde se planea utilizar el sistema. Los niveles de incertidumbre que ofrecen las redes neuronales permiten que se puedan detectar patrones o comportamientos que para otros sistemas basados en reglas son descartados debido a las características discretas de estos. La creación de un sistema de entrenamiento daría la posibilidad de actualizar el sistema autónomamente, según las necesidades del administrador. Uno de los principales problemas que pueden presentarse por la configuración de un IDS en una red informática es la sobrecarga en la red y en los dispositivos que la componen ya que el analisis que realiza el IDS del trafico tanto saliente como entrante retarda la velocidad en la red. Una extensión de este trabajo sería la implementación de un simulador de IDS inteligente posiblemente con una arquitectura Multiagente capaz de diferenciar y clasificar los diferentes tipos de ataques que pueden aparecer en una red informática. BIBLIOGRAFIA

[Att76] C.R. Attanasio, P.W. Markstein and R.J. Phillips, Penetrating an Operating System: A Study of VM/370 Integrity, IBM System Journal, vol. 15, 1, pp. 102-116, 1976.

7 [Bel73] D. E. Bell and J. L. LaPadula. Secure Computer Systems: Mathematical Foundations and Model. Technical Report M74-244, MITRE Corporation, Bedford, Massachusetts, May 1973. [Bib77] K. J. Biba. Integrity Constraints for Secure Computer Systems. Technical Report ESD-TR-76-372, USAF Electronic Systems Division, Bedford, Massachusetts, April 1977.

[Lou01] D. Lough. A Taxonomy of Computer Attacks with Applications to Wireless Networks. Virginia Polytechnic Institute PhD Thesis, April 2001. [Mar01] D. Marchette, Computer Intrusion Detection and Network Monitoring, A Statistical Viewpoint. New York, Springer, 2001.

[Den82] Dorothy E. Denning. Cryptography and Data Security. Addison-Wesley, Reading, Massachusetts, 1982.

[Neu89a] P.G. Neumann and D.B. Parker. A Summary of Computer Misuse Techniques. In Proceedings of the 12th National Computer Security Conference, 396-407, 1989. [Neu89b] P.G. Neumann and D.B. Parker, COMPUTER CRIME Criminal Justice Resource Manual, U.S. Department of Justice National Institute of Justice Office of Justice Programs, Prepared by SRI International under contract to Abt Associates for National Institute of Justice, U.S. Department of Justice, contract #OJP-86-C-002., 1989.

[Dif76] Whitfield Diffie and Martin E. Hellman. New Directions in Cryptography. IEEE Transactions on Information Theory, vol. IT-22, num. 6, pp. 644-654, 1976.

[Neu95] P.G. Neumann. Computer Related Risks. The ACM Press, a division of the Association for Computing Machinery, Inc. (ACM), 1995.

[Gar91] Simson Garfinkel and Gene Spafford. Practical UNIX Security. O’Reilly and Associates, Sebastopol, California, 1991.

[NSA89] National Security Agency. A Guide to Understanding Identification and Authentication in Trusted Systems NCSC-TG-017 Library No. 5-235,479 Version 1 [Light Blue Book]

[DAR04] DARPA Intrusion Detection Evaluation, Lincoln Laboratory, Massachusetts Institute of Technology. http://www.ll.mit.edu/IST/ideval/pubs/pubs_index.html, (07/10/2004).

[Jay97] N.D. Jayaram and P.L.R. Morse, Network Security - A Taxonomic View, In Proceedings of the European Conference on Security and Detection, School of Computer Science, University of Westmister, UK, Publication No. 437, 28-30, April 1997. [Ken98] K. Kendall, A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems, Massachusetts Institute of Technology Master's Thesis, 1998. [Krs98] I. Krsul, Software Vulnerability Analysis, Purdue University Ph.D. dissertation, May 1998. [Kum95] Sandeep Kumar. Classification and Detection of Computer Intrusions. PhD thesis, Purdue University, West Lafayette, IN, USA, Aug 1995. [Kum95b] S. Kumar, Classification and Detection of Computer Intrusion, Computer Science Department, Purdue University Ph.D. dissertation, August 1995. [Lam71] B. W. Lampson. Protection. Proceedings of the 5th Princeton Syrup. of lnformation $ci. and $yst., Princeton Univ., (1971), pp. 437-443 [Lan94] C. Landwehr, A. Bull, J. McDermott and W. Choi, A Taxonomy of Computer Program Security Flaws, ACM Computing Surveys, vol. 26, 3, pp. 211-254, September 1994. [Lind97] U. Lindqvist and E. Jonsson, How to Systematically Classify Computer Security Intrusions, IEEE Security and Privacy, pp. 154-163, 1997.

[Par75] D.B. Parker, Computer Abuse Perpetrators and Vulnerabilities of Computer Systems, Stanford Research Institute, Menlo Park, CA 94025 Technical Report, December 1975. [Pow95] Richard Power. Current and Future Danger. Computer Security Institute, San Francisco, California, 1995. [Ric99] T. Richardson, J. Davis, D. Jacobson, J. Dickerson and L. Elkin. Developing a Database of Vulnerabilities to Support the Study of Denial of Service Attacks. IEEE Symposium on Security and Privacy, May 1999. [Ric01] T. Richardson, The Development of a Database Taxonomy of Vulnerabilities to Support the Study of Denial of Service Attacks., Iowa State University PhD Thesis, 2001. [Rus91] Deborah Rusell and G. T. Gangemi Sr. Computer Security Basics. O’Reilly & Associates, Inc., Sebastopol, California, December 1991. [Sha49] Claude E. Shannon. Communication Theory of Secrecy Systems. Bell System Technical Journal, vol.28-4, page 656--715, 1949. [Was68] Wasserman, Joseph J. The Vanishing Trail. Bell Telephone Magazine 47, no. 4, July - August 1968: 12 15. [Ncsc88] National Computer Security Center. Glossary of Computer Security y Terms. Versión 1, Rainbow Series, Octubre 1988.

8

[Ncsc88b] National Computer Security Center. A Guide to Understanding audit in Trusted Systems. Versión 2, June 1988.

[Br00] Bace, R. Intrusion Detection. Macmillan Technical Publishing, 2000. [Rae94] Real Academia Española. Diccionario de la lengua Española. Espasa Calpe, S.A. 1994. [Cor05] CORDOBA Gregorio , LeFORT Guillermo y HODALI George. Paper IDS. Informaciòn [online]. Enero de 2005. Pàgina 3 y 4.

[Aj72] Anderson, James, P. Computer Security Technology Planning Study. ESD-TR-73-51, v II. Electronic Systems Division, Air Force Systems Command, Hanscom Filed, Bedford, MA, octubre 1972.

[Lee98a] Wenke Lee and Sal Stolfo. Data Mining Approaches for Intrusion Detection. In Proceedings of the Seventh USENIX Security Symposium (SECURITY '98), San Antonio, TX, January 1998.

[Aj80] Anderson, James P. Computer Security Threat Monitoring and Surveillance. Fort Washington, PA: James P. Anderson Co., 1980.

[Bio04] Elementos de Inmunología. http://www.biologia.edu.ar/inmunologia/immunidad.htm (17/09/04).

[Dde86] Denning, Dorothy E. An Intrusion Detection Model. Proceedings of the 1986 IEEE Symposium on Security and Privacy, Oakland, CA, April 1986.

[Aic04] Aickelin U, Greensmith J and Twycross J. Immune System Approaches to Intrusion Detection - A Review. Proceedings ICARIS-2004, 3rd International Conference on Artificial Immune Systems, pp tba, Springer, Catania, Italy.

[Ncsc85] National Computer Security Center. Department of Defense Trusted Computer System Evaluation Criteria. Orange Book, DOD 5200.28-std, December 1985.

[Sri03] SRI International. System Design Laboratory Laborator y - Intrusion Detection. [En línea]. Fecha no disponible [consultado en enero, 2003]. Next-Generation IDES (NIDES). Disponible desde Internet . [Twt86] Tener, William T. Discovery: An Expert System in the Commercial Data Security Environment .Proceedings of the IFIP Security Conference, Monte Carlo, 1986. [Sse88] Smaha Steve E. An Intrusion Detection Syst em for the Air Force. Proceedings of the Fourth Aurospace Computer Security Applications Conference, Orlando, FL, December 1988. [Smm88] Sebring, Michael M., E. Shellhouse, M. E. Hanna, and R. A. Whitehurst. Expert Systems in Intrusion Detection: A Case Study. Proceedings of the Eleventh National Computer Security Conference, Washington, DC, October 1988. [Ht95] Heberlein, Todd. Network Security Monitor (NSM) - Final Report . Lawrence Livermore National Laboratory, Davis, CA, February 1995. [Vhs89] Vaccaro, Henry S. and G. E. Liepins. Detection of Anomalous Computer Session Activity. Proceedings of the 1989 IEEE Symposium on Security and Privacy, Oakland, CA, May 1989. [Seh89] Safford, Eugene H. The Internet Worm: Crisis and Aftermath; Communications of the ACM; 32(6): 678 687, June 1989. [Ssr92] Snapp, S.R. et al. DIDS (Distributed Intrusion Detection System) œ Motivation, Architecture, and An Early Prototype. Proceedings of the Fifteen the National Computer Security Conference, Baltimore, MD, October 1992.

[Mor03] Eduardo F. Morales. Descubrimiento de Conocimiento en Bases de Datos. http://dns1.mor.itesm.mx/~emorales/ (18/10/2004). http://www.deaddrop.com/InfoSec/Papers/IDSeval.html