Mecanismos Para La Detección De Ataques E Intrusiones

Mecanismo de protección de datos

Técnicas criptográficas

Fase de vigilancia

Fase de explotación del servicio

Fase de ocultación de huellas

Fase de extracción de información

Realizar una extracción de muestras
del conjunto de atributos del
sistema

Los resultados obtenidos son organizados y
comparados con, al menos, un conjunto de
referencia

Se genera un informe con las
diferencias entre ambos conjuntos de
datos.

Técnicas para la evaluación

Prueba por explotación

Métodos de inferencia

Aplicaciones que se pueden utilizar
para desarrollar esta herramienta es
hogwash

HTTP

FTP

DNS

Primera fase inicialización de perfiles

Segunda fase, las acciones son
comparadas por el sistema contra estos
perfiles.

Su método de detección está basado en políticas,
como el de los sistemas cortafuegos a nivel de
aplicación

Años 50

Bell Telephone System creo un
grupo de desarrollo

Auditoria mediante el
procesamiento electrónico

Años 70

Departamento de EEUU invirtió en
investigación de políticas de
seguridad

Se define el concepto de “Sistema
de Confianza”

El Trusted Computer System Avaluation Criteria
(TSCSEC) un apartado sobre los mecanismos de las
auditorías como requisito para cualquier sistema de
confianza

Años 80

Se desarrolla el proyecto Instrusion
Detection Expert System (IDES)

Años 90

Fusión de los sistemas de detección basados en la
monitorización del sistema operativo junto con
sistemas distribuidos de detección de redes

Aparecen los primeros programas de
detección de intrusos de uso
comercial.

Requisitos

Precisión

Eficiencia

Rendimiento

Escalabilidad

Tolerancia en fallos

Elementos para la construcción de
un sistema detección de intrusos

Recolectores de información
también conocido como sensor

Tipos de sensores

Sensores basados en equipos

Sensores basados en red

Sensores basados en aplicación

Elección de sensores soluciones híbridas

Sensores basados en equipos y en
aplicación

Sensores basados en red

Procesadores de eventos

Esquema de detección basado en
usos indebidos (conocimiento a priori)

Analizadores basados en
reconocimiento de patrones (regla if-then-else)

Analizadores basados en transiciones
de estados

Esquema de detección basado en
anomalías

Unidades de respuestas

Tipos de respuestas

Automáticas

Requerir interacción humana

Categorías

Unidades de respuesta basadas en equipo

Unidades de respuesta basadas en red

Elementos de almacenamiento

Análisis a corto plazo

Análisis a medio plazo

Equipos de decepción

Estos equipos suelen estar diseñados para imitar
el comportamiento de equipos de producción
reales

Deben ser instalados detrás de sistemas cortafuegos
configurados para que se permitan conexiones de
entrada al equipo de decepción

Celdas de aislamiento

Dispositivo intermedio

Equipo de decepción

Redes de decepción

Todo el tráfico que entra en cualquiera de
los equipos se debe considerar
sospechoso.

Deben contemplar como herramientas de análisis
para mejorar la seguridad de las redes de
producción

Unificar la recogida de información
utilizando esquemas y modelos
centralizados.

Son vulnerables a errores o a ataques
deliberados contra la infraestructura de
procesado de eventos.

Análisis descentralizado mediante
código móvil

A medida que estos detectores móviles vayan
recogiendo la información que les ofrezcan los sensores,
los agentes irán realizando un proceso de análisis
descentralizado.

Análisis descentralizado mediante
paso de mensajes

Tata de eliminar la necesidad de nodos centrales o
intermediarios ofreciendo, en lugar de una o más
estaciones de monitorización dedicadas.