PDF de programación - Sistemas de detección de intrusos

Imágen de pdf Sistemas de detección de intrusos

Sistemas de detección de intrusosgráfica de visualizaciones

Publicado el 14 de Enero del 2017
397 visualizaciones desde el 14 de Enero del 2017
509,9 KB
143 paginas
Creado hace 14a (13/06/2005)
Sistemas de detección de intrusos

Antonio Villalón Huerta

toni@aiind.upv.es

Mayo, 2005

Sistemas de Detección de Intrusos

Índice de materias
• Introducción
• Técnicas de análisis
• IDSes basados en máquina
• IDSes basados en red
• IDSes distribuidos
• Respuesta automática
• Estándares de detección de intrusos
• Para acabar. . .

Antonio Villalón

Sistemas de detección de intrusos

Página 2

Introducción

Introducción
• Conceptos básicos
• Historia
• Clasificación
• Arquitectura

Antonio Villalón

Sistemas de detección de intrusos

Página 3

Introducción: Conceptos básicos

La seguridad de la información se define como la preservación
de. . .
• . . . su confidencialidad: sólo quienes estén autorizados

pueden acceder a la información.

• . . . su integridad: la información y sus métodos de proceso son

exactos y completos.

• . . . su disponibilidad: los usuarios autorizados tienen acceso a

la información y los sistemas que la tratan siempre que lo
requieran

Antonio Villalón

Sistemas de detección de intrusos

Página 4

Introducción: Conceptos básicos

• Debemos considerar la información y los sistemas que la tratan
como activos de una organización: elementos que dan valor a
la misma, y que por tanto hay que salvaguardar.

• Los activos presentan vulnerabilidades (debilidades de

cualquier tipo que comprometen su seguridad).

• Por definición existen amenazas (escenarios en los que un

evento o acción, deliberada o no, compromete la seguridad de
un activo).

• Si un sistema presenta una vulnerabilidad y existe una

amenaza, aparece un riesgo asociado (probabilidad de que el
evento se materialice).

• Cuando el riesgo se materializa, la medida del daño causado se

denomina impacto.

Antonio Villalón

Sistemas de detección de intrusos

Página 5

Introducción: Conceptos básicos

¿Qué queremos proteger?

Antonio Villalón

Sistemas de detección de intrusos

Página 6

PrimergyPrimergyPrimergyWANHubEthernet HubEthernet HubEthernet HubEthernet Introducción: Conceptos básicos

¿Cómo protegerlo?
A las medidas que eliminen la vulnerabilidad o la amenaza, o
disminuyan el riesgo o impacto asociados, se les denomina
defensas, salvaguardas, controles. . .
• Políticas, normativas, procedimientos. . .
• Formación.
• . . .
• Controles técnicos:

– Cortafuegos.
– Antivirus.
– Analizadores de vulnerabilidades.
– . . .
– Sistemas de detección de intrusos.

Antonio Villalón

Sistemas de detección de intrusos

Página 7

Introducción: Conceptos básicos

Algunas definiciones
• Intrusión: Conjunto de acciones que intentan comprometer la

integridad, confidencialidad o disponibilidad de un recurso.
– No sólo penetraciones contra un sistema.

• Detección de intrusos: Análisis automático de parámetros
que modelan la actividad de un entorno con el propósito de
detectar e identificar intrusiones.

• Sistema de detección de intrusos (IDS): Mecanismo de

seguridad que lleva a cabo la detección de intrusos.
– No tiene por qué ser un programa o producto concreto.

Antonio Villalón

Sistemas de detección de intrusos

Página 8

Introducción: Conceptos básicos

¿Por qué un IDS?
• La prevención no siempre es suficiente.

– Los sistemas cortafuegos no son mágicos.

• Proporcionan conocimiento del entorno.
• Detección rápida de actividades sospechosas. . .
• . . . ¡y respuesta ante ellas!
• Registro adicional de incidentes (¿Pruebas judiciales?).
• . . .
NOTA: Ningún mecanismo de seguridad sustituye a, sino que
trabaja junto a.

Antonio Villalón

Sistemas de detección de intrusos

Página 9

Introducción: Historia

Década de los ochenta
• Primer trabajo sobre IDSes: 1980 (James P. Anderson).
• 1984–1986: diseño del primer sistema (IDES, Intrusion

Detection Expert System), que funcionaba en tiempo real
(Dorothy Denning, Peter Neumann).

• Detección orientada al host.

⇒ Excepción: NSM, Network System Monitor,

Universidad de California.

• Fuerte implicación militar en todos los proyectos.

Antonio Villalón

Sistemas de detección de intrusos

Página 10

Introducción: Historia

Década de los noventa
• Crecimiento exponencial de las redes de ordenadores: se orienta

el trabajo hacia la detección en red.

• Aparecen los primeros productos comerciales (1990).
• Auge desde 1995 (crisis de los firewalls).

Antonio Villalón

Sistemas de detección de intrusos

Página 11

Introducción: Historia

Actualmente. . .
• Uno de los campos con más investigación y avances:

– Correlación de eventos.
– Aprendizaje automático.
– Minería de datos.
– . . .

• Multitud de productos comerciales.
• Entornos complejos:

– Orientación hacia sistemas distribuidos.
– Intentos por facilitar la gestión.
– . . .

Antonio Villalón

Sistemas de detección de intrusos

Página 12

Introducción: Clasificación

Clasificación de los IDSes
• En función del origen de los datos a analizar:

– IDSes basados en máquina (HIDS, Host–based IDS).
– IDSes basados en red (NIDS, Network–based IDS).

• En función de la técnica de análisis utilizada:

– Detección de anomalías (Anomaly detection).
– Detección de usos indebidos (Misuse detection).

• Otras clasificaciones:

– Tiempo real vs. periódicos.
– Activos vs. pasivos.
– Centralizados vs. distribuidos.
– . . .

Antonio Villalón

Sistemas de detección de intrusos

Página 13

Introducción: Clasificación

Clasificación → Origen de datos → HIDS
• Sólo procesa datos asociados a un recurso.
• Tipos:

– Verificadores de integridad del sistema (SIV, System

Integrity Verifiers).

– Monitores de registros (LFM, Log File Monitors).
– Sistemas de decepción (Deception Systems).

Antonio Villalón

Sistemas de detección de intrusos

Página 14

Introducción: Clasificación

Clasificación → Origen de datos → NIDS
• Procesa datos asociados a varios recursos.
• No tienen por qué estar ubicados en toda la red (de hecho casi

ningún NIDS lo está).

• En la actualidad, los más utilizados.

Antonio Villalón

Sistemas de detección de intrusos

Página 15

Introducción: Clasificación

Clasificación → Técnica de análisis → Anomaly Detection
• IDEA: Una intrusión es una anomalía. Conozco lo que es
‘normal’ en un sistema, para poder detectar lo que no lo es
(anomalías).

• PROBLEMA: La modelización del comportamiento es muy

compleja.

• Sistemas expertos o aprendizaje automático (redes neuronales,

reconocimiento geométrico. . . ).

• Poco utilizados en sistemas reales.

Antonio Villalón

Sistemas de detección de intrusos

Página 16

Introducción: Clasificación

Clasificación → Técnica de análisis → Misuse Detection
• IDEA: No conozco lo que es ‘normal’ en un sistema, sino que

directamente conozco lo anormal y lo puedo detectar.
• PROBLEMA: Sólo detecto los ataques que conozco.
• Diferentes aproximaciones. La más habitual: pattern matching

(cada intrusión tiene un patrón asociado).

• En la actualidad, los más utilizados en sistemas reales.

Antonio Villalón

Sistemas de detección de intrusos

Página 17

Introducción: Clasificación

Clasificación → Otros
• Tiempo real vs. Periódicos:

⇒ El IDS trabaja permanentemente o a intervalos.

• Activos vs. Pasivos:

⇒ El IDS es capaz de iniciar una respuesta automática o

simplemente informa.

• Centralizados vs. Distribuidos:

⇒ El IDS y la lógica asociada al mismo se implementan

en un único sistema o se distribuyen en una red.

Antonio Villalón

Sistemas de detección de intrusos

Página 18

Introducción: Arquitectura

Premisa: Las actividades de un entorno informático pueden ser
modelizadas y monitorizadas.

Tres elementos clave en un IDS:
• Fuente de datos que genere eventos significativos del entorno

(sensor).

• Motor de análisis de los datos registrados (árbitro).
• Procesador de los resultados del análisis (actor).

Antonio Villalón

Sistemas de detección de intrusos

Página 19

Introducción: Arquitectura

Gráficamente. . .

Antonio Villalón

Sistemas de detección de intrusos

Página 20

REGISTROPROCESORespuestaBB.DD.Almacenamiento...DATOSDATOSDATOSANÁLISIS Introducción: Arquitectura

¿Dónde detectar?

Antonio Villalón

Sistemas de detección de intrusos

Página 21

FirewallLANHostHubEthernet Introducción: Arquitectura

Diseño: propiedades cuantitativas

• Tasa de falso positivo (FPR, False Positive Rate).

⇒ Frecuencia con la que el IDS informa de actividades

maliciosas que en realidad no lo son.

• Tasa de falso negativo (FNR, False Negative Rate).
⇒ Frecuencia con la que el IDS no informa de

actividades maliciosas reales.

• Tasa de error cruzado (CER, Crossover Error Rate).

⇒ Frecuencia en la que FPR=FNR.
⇒ Medida común para evaluar IDSes.

Antonio Villalón

Sistemas de detección de intrusos

Página 22

Introducción: Arquitectura

Diseño: propiedades cualitativas

• Mecanismos automatizados: no requieren supervisión en su

funcionamiento habitual.

• Aceptabilidad por parte de usuarios y administradores.
• Adaptabilidad ante nuevas situaciones.

⇒ ¡Escalabilidad!

• Tolerancia a fallos.
• . . .

Antonio Villalón

Sistemas de detección de intrusos

Página 23

Técnicas de análisis

Técnicas de análisis
• Introducción
• Detección de anomalías
• Detección de usos indebidos

Antonio Villalón

Sistemas de detección de intrusos

Página 24

Análisis: Introducción

Introducción
• El primer paso para detectar una intrusión es el análisis de

ciertos datos. . . ¿Cuáles?
– Patrones de tráfico sospechosos.
– Actividades no habituales de un usuario.
– Consumo excesivo de ancho de banda.
– Degradación en el rendimiento de un sistema.
– . . .

• Dos grandes técnicas de análisis:

– Detección de anomalías (Anomaly Detection).
– Detección de usos indebidos (Misuse Detection).

Antonio Villalón

Sistemas de detección de intrusos

Página 25

Análisis: Detección de anomalías

• Toda intrusión se puede considerar una anomalía (uso o

comportamiento anormal de un entorno).

⇒ Si puedo detectar anoma
  • Links de descarga
http://lwp-l.com/pdf147

Comentarios de: Sistemas de detección de intrusos (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad