PDF de programación - Sistemas detección de intrusos y sistemas expertos en la seguridad informáticas

SITEMAS DETECCIÓN DE INTRUSOS Y SISTEMAS EXPERTOS

EN LA SEGURIDAD INFORMÁTICAS.

Ing. Juliet Díaz Lazo, MSc. Adriana Pérez Gutiérrez, Dr.C. René Florido Bacallao

Instituto Nacional de Ciencias Agrícolas, carretera Tapaste Km. 3 ½ San José,



Mayabeque

[email protected]


Resumen:

En este artículo se podrá ver la aplicación de los sistemas informáticos inteligentes (SII)
para la detección de intrusos en la actualidad. Las temáticas van desde las más triviales
como son los virus, los cortafuegos, el cifrado de información, los sistemas de detección
de intrusos (SDI), agentes móviles, lógica difusa, hasta las más complejas como técnicas
para la detección de intrusos, sistemas de expertos, redes neuronales y minería de datos.
Algo muy interesante que caracteriza el artículo son los ejemplos que se exponen de los
sistemas de detección de intrusos que utilizan sistemas expertos, su utilidad y
características específicas de cada uno de ellos. El objetivo de este trabajo es que sea
ampliamente consultado con el propósito que cada vez más toda esta comunidad este
consciente de la importancia que tiene la seguridad informática y el auge que existe en
los sistemas informáticos inteligentes que utilizan sistemas de expertos.

Palabras claves: Sistemas Expertos, sistema de detección de intrusos, seguridad
informática, sistemas informáticos inteligentes.

Abstract:

By reading this article you can see the see the implementation of intelligent computer
systems (SII) for intrusion detection today. The topics range from the most trivial as they
are viruses, firewalls, encryption of information, intrusion detection systems (IDS), mobile
agents, fuzzy logic, even the most complex techniques for intrusion detection expert
systems, neural networks, data mining. An interesting that characterized the paper are the
examples presented of intrusion detection systems using expert systems, its utility and
specific characteristics of each one of them. The aim of this work is to be widely consulted
by teachers and students of computer science in order that more and more throughout this
community be aware of the importance of computer security and the growth that exists in
computer systems that use smart expert systems.
KEY WORDS: Expert System, intrusion detection system, information security, intelligent
computer systems.

Introducción

La seguridad informática tiene como objetivo principal disminuir los riesgos a que se
exponen los sistemas informáticos.
Las vulnerabilidades de software contribuyen el factor principal a los problemas de
seguridad de Internet desde hace mucho tiempo, oportunidad que utilizan los hacker para
apropiarse de información, intercambiarla o distribuirla a otras personas, así como alterar
o modificar el comportamiento de las aplicaciones, todas estas causas han originado
técnicas, métodos y sistemas inspirados en estrategias de defensa, ataque y
contraataque teniendo como propósito general proteger la información almacenada e

instalada en los medios de cómputos, convirtiéndose en un medio de defensa para que la
información que existe en un sistema no se vea comprometida. Por lo general los
mecanismos de seguridad necesitan obrar de manera conjunta para complementarse
unas con otras y perfeccionar sus debilidades y alcances.
En la actualidad se ha logrado disminuir los ataques ya conocidos y un retrazo en los que
no se conocen. En la seguridad informática se utilizan herramientas entre las que
encontramos:

Los antivirus:
Son programas que exploran periódicamente el contenido del ordenador donde está
instalado, detecta si hay virus y los elimina. Están compuestos por un motor y un conjunto
de vacunas que se actualizan de manera automática en el servidor.
Los antivirus son esenciales en sistemas operativos cuya seguridad es baja, como
Microsoft Windows, pero existen situaciones en las que es necesario instalarlos en
sistemas más seguros, como Unix y similares(1).

Cortafuegos:
Es un sistema que previene el uso y el acceso desautorizados a tu ordenador o a las
redes privadas conectadas con Internet, especialmente intranets.
Es importante recordar que un cortafuego no elimina problemas de virus del ordenador,
sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema
operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales
para tu ordenador o red(2).

Cifrado de la información:
Es una técnica muy usada para aumentar la seguridad de las redes informáticas. Esta
técnica convierte el texto normal en algo ilegible, por medio de algún esquema reversible
de codificación desarrollado en torno a un clave privada que sólo conocen el emisor y el
receptor(3).
Estos mecanismos de seguridad controlan y restringen el acceso a un sistema pero
teniéndolos debidamente instalados y configurados no quiere decir que nuestra
computadora este totalmente protegida ya que los atacantes pueden utilizar técnicas de
evasión que les permite penetrar el sistema, esta situación a provocado que nos
encontremos inmersos en una continua revolución para mejorar las estrategias de
seguridad en aplicaciones.
Los sistemas de detección de intrusos (IDS) es otra de las herramientas de seguridad que
informa cuando un atacante quiere penetrar o se encuentra dentro de un sistema,
permitiéndole realizar una revisión detallada y profunda con el propósito de clasificar los
datos y determinar cuales son los que pueden comprometer el sistema, los IDS son el
complemento de los cortafuegos y antivirus

Sistema de detección de intrusos (IDS)
Los IDS se encuentran integrados por módulos que trabajan de forma conjunta y con
funciones específicas para monitorear el tráfico de una red y los sistemas de una
organización en busca de señales de intrusión, actividades de usuarios no autorizados y
la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que
intentan sobrepasar sus límites de restricción de acceso a la información(4).

Tipos de IDS
Existen varios tipos de IDS, clasificados según el tipo de situación física, del tipo de
detección que posee o de su naturaleza y reacción cuando detecta un posible ataque.

tráfico de

la

Los NIDS analizan el
los paquetes
individualmente, comprendiendo todas las diferentes opciones que pueden coexistir
dentro de un paquete de red y detectando paquetes armados maliciosamente y diseñados
para no ser detectados por los cortafuegos.
Los NIDS tienen dos componentes:
• Un sensor: situado en un segmento de la red, la monitoriza en busca de tráfico

red completa, examinando

sospechoso


Clasificación por situación


Según la función del software IDS, estos pueden ser:
• NIDS (Network Intrusion Detection System)
• HIDS (Host Intrusion Detection System)

• Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la

configuración reacciona a las alarmas recibidas.

En cambio, los HIDS analizan el tráfico sobre un servidor o un PC, se preocupan de lo
que está sucediendo en cada host y son capaces de detectar situaciones como los
intentos fallidos de acceso o modificaciones en archivos considerados críticos.

Clasificación según los modelos de detecciones


Los dos tipos de detecciones que pueden realizar los IDS son:
• Detección del mal uso: La detección del mal uso involucra la verificación sobre
tipos ilegales de tráfico de red. Este tipo de detección puede incluir los intentos
de un usuario por ejecutar programas sin permiso.

• Detección del uso anómalo: se apoya en estadísticas tras comprender cual es
el tráfico “normal” en la red del que no lo es. Esto se consigue realizando un
modelo estadístico que contenga una métrica definida y compararlo con los
datos reales analizados en busca de desviaciones estadísticas significantes.



Mosmo

Modelo IDS en una red simple


Modelos de IDS.
Desarrollar un modelo de un sistema de detección de intrusos requiere considerar los
factores que lo integran y la vulnerabilidad que es inherente a éste, a través del uso de la
terminología que denote la interacción con el entorno y la secuencia de pasos que
describen el proceso de intrusión(5).




Sistema
Es un conjunto de equipos de cómputo o programas que brindan servicios que son
utilizados por los usuarios.
Usuario
Persona que tiene acceso a un sistema por medio de permisos otorgados por el
propietario del sistema.
Propietario
Persona que es dueña de la información contenida en el sistema.
Normal
Parámetro que sólo se puede establecer a criterio personal por el propietario de un
sistema.
Anormal
Todo lo que se encuentra fuera del parámetro denotado como normal.
Anómalo (Anomalía)
Es la alteración o desviación que se presenta en un parámetro normal.
Intruso (Interno o Externo)
Puede ser una persona que accede local o remotamente a un sistema de forma ilegal, así
como un programa que no se ha registrado previamente como parte de un sistema, y sus
intenciones son de irrupción a la privacidad del propio sistema.
Atacante
Una persona o programa que trata de acceder de manera ilegal a un sistema y busca
comprometer (poner en riesgo) su seguridad.
Las técnicas de detección no pueden ser generalizadas dentro de un Modelo, esto se
debe a que en la búsqueda de un mejor análisis y clasificación de la información que
recibe, se ha propiciado un ambiente idóneo para la exploración de nuevas