¿Cómo detectar intrusos en Internet?
Dr. Vicente Alarcón Aquino,
Director Académico
Computación, Electrónica y Mecatrónica
E-mail: vicente.alarcon@udlap.mx
La aparición en los últimos años de las redes informáticas y fundamentalmente del Internet ha sido el factor principal que ha hecho que la seguridad informática sea transcendental en el uso de sistemas informáticos. Desde el momento en que una computadora se conecta a Internet, se abren ante los usuarios toda una nueva serie de posibilidades; sin embargo, éstas traen consigo toda una serie de nuevos y, en ocasiones complejos tipos de ataque o intrusiones. Dichos ataques pueden ser caracterizados como anomalías en el comportamiento usual del flujo de datos en dicha red de comunicaciones. Un sistema de detección de intrusos (o IDS por sus siglas en inglés, Intruder Detection System) es una herramienta de seguridad encargada de monitorear los eventos que ocurren en un sistema informático en busca de intentos de intrusión. Se define intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o red. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los sistemas desde el Internet, usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal uso de los privilegios que se les han asignado.
Un IDS recolecta y analiza información procedente de distintas áreas de una red de comunicaciones con el objetivo de identificar posibles fallos de seguridad. Este análisis en busca de intrusiones incluye tanto los posibles ataques externos como los internos. Debido a que la seguridad de una red de comunicaciones es vulnerable a ataques e intrusión, y el uso de Firewalls (un firewall es un dispositivo que permite o deniega las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial) ya no es suficiente para frenar este fenómeno, es por ello que se ha optado por el uso de sistemas capaces de observar y analizar el tráfico en una red de comunicaciones para la detección de intrusos. La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red y la dependencia que tenemos hacia los sistemas de información. Los IDS han ganado aceptación como una pieza fundamental en la infraestructura de seguridad de una organización.
Para diseñar un IDS existen dos tipos de técnicas: la basada en detección de anomalías y la basada en patrones (o firmas). La técnica basada en patrones tiene la limitante de que únicamente puede ser capaz de detectar ataques conocidos y es la técnica usada por la mayoría de sistemas comerciales. Las firmas utilizadas en estos IDS usualmente son simples patrones que permiten detectar ataques previamente registrados. Mientras que la técnica basada en detección de anomalías, utilizada de forma limitada por un pequeño número de IDS, se centra en identificar comportamientos inusuales en una computadora o una red y funcionan asumiendo que los ataques son diferentes a la actividad normal. Esto es, la detección de anomalías permite detectar ataques nuevos y totalmente desconocidos. Los IDS basados en detección de anomalías detectan comportamientos inusuales y de esta forma tienen la capacidad de detectar ataques para los cuales no tienen un conocimiento específico. Los resultados generados por los IDS basados en la detección de anomalías pueden producir información que puede ser utilizada para definir firmas en la detección basada en patrones. En el campo de detección de anomalías se han desarrollado distintos diseños que permiten trabajar de manera eficiente [1-3]; sin embargo, aún no se ha alcanzado un estado definitivo en el cual la detección de intrusos se lleve a cabo de forma confiable. Para mejorar el nivel de confiabilidad de la detección se pueden colocar varios IDS en diferentes puntos de la red con el fin de combinar la información y reducir el número de falsas alarmas.
Referencias
- 1. V. Alarcon-Aquino, J. M. Ramirez-Cortes, P. Gomez-Gil, O. Starostenko, Y. Garcia-Gonzalez, Network Intrusion Detection Using Self-Recurrent Wavelet Neural Networks with Multidimensional Radial Wavelons, in Information Technology and Control, Vol. 43, No. 4, December 2014; pp. 347-358 [pdf]
- 2. V. Alarcon-Aquino, P. Gomez-Gil, J.M. Ramirez-Cortes, Design of an Intruder Detection System Using Neural Networks, Chapter in Don’t Be Mocked, Secure Your System E-Book, Edited by Ewa Dudzic, Ed. Hakin9 Media 02-682 Warszawa, Poland. Pages: 75-86, October 2012 [pdf]
- 3. V. Alarcon-Aquino, J. A. Barria, Anomaly Detection in Communication Networks Using Wavelets, IEE Proceedings-Communications, Vol.148, No.6; December 2001; pp. 355-362 [pdf]
Descarga el PDF aquí.