Articulo Deteccion Intrusos - En.es

Revista Internacional de Seguridad de la red, Vol.1, No. 2, PP.84-102, septiembre de 2005 (http://isrc.nchu.edu.
tw/ijns/) 84
La investigación sobre detección de intrusiones y Respuesta:

Una encuesta
Peyman Kabiri y Ali A. Ghorbani

(Autor correspondiente: Ali A. Ghorbani)
Facultad de Ciencias de la Computación de la Universidad de New Brunswick,
Fredericton, NB, E3B 5A3, Canadá (e-mail:

{Kabiri, ghorbani}@unb.ca)
(Recibido el 15 de junio de 2005; revisado y aceptaron 4 julio de 2005)
Abstracto ización de la amenaza puede tener consecuencias devastadoras. Asegurar una

infraestructura tan importante se ha convertido en una prioridad del área de
Con los recientes avances en la tecnología basada en la red y una mayor fiabilidad de investigación para muchos investigadores.
nuestra vida cotidiana en esta tecnología, asegurando un funcionamiento fiable de los
Objetivo de este trabajo es revisar las tendencias actuales en los sistemas de
sistemas basados en la red es muy importante. Durante los últimos años, el número
detección de intrusión (IDS) y analizar algunos de los problemas actuales que
de ataques a las redes ha aumentado dramáticamente y por lo tanto el interés en la
existen en esta área de investigación. En comparación con algunas áreas de
detección de intrusiones en la red ha aumentado entre los investigadores. En este
investigación maduros y bien asentados, IDS es un campo joven de la
trabajo se ofrece una revisión sobre las tendencias actuales en la detección de
investigación. Sin embargo, debido a su naturaleza de misión crítica, ha atraído la
intrusiones junto con un estudio sobre las tecnologías aplicadas por algunos
atención signi fi cativo hacia sí mismo. Densidad de investigación sobre este tema
investigadores en esta área de investigación. Los tarros de miel son los e ff
está en constante aumento y cada día más investigadores se dedican a este
herramientas de detección ectantes al sentido ataques como las actividades
campo de trabajo. La amenaza de una nueva ola de ataques cibernéticos o de red
portuarias o de análisis de correo electrónico en la red. Algunas de las características
no es sólo una probabilidad que debe ser considerado, pero es un hecho aceptado
y aplicaciones de los botes de miel se explican en este documento.
que puede ocurrir en cualquier momento. La tendencia actual para el IDS está lejos
de ser un sistema de protección fiable, sino que la idea principal es hacer posible la
detección de ataques de red novela.
Palabras clave: métodos de detección, potes de miel, detección de intrusos,
seguridad de redes
Una de las principales preocupaciones es asegurarse de que en caso de

un intento de intrusión, el sistema es capaz de detectar y reportar la misma.
1. Introducción
Una vez que la detección es fiable, el siguiente paso sería la de proteger la
En las últimas dos décadas con los rápidos avances en la tecnología basada en red (respuesta). En otras palabras, el sistema IDS será actualizado a un
Internet, han surgido nuevas áreas de aplicación de la red de ordenadores. Al sistema de detección de intrusiones y Respuesta (IDRS). Sin embargo,
mismo tiempo, el progreso de amplia difusión en la red de área local (LAN) y las ninguna parte del IDS se encuentra actualmente en un nivel totalmente fiable.
áreas de aplicación de red de área amplia (WAN) en las empresas, los sectores fi A pesar de que los investigadores están simultáneamente dedican a trabajar
nancieros, la industria, de seguridad y de salud nos hizo más dependiente de las en la detección y responder lados del sistema. Un problema importante en la
redes de ordenadores. Todas estas áreas de aplicación hicieron la red en un IDS es la garantía para la detección de intrusos. Esta es la razón por la cual
objetivo atractivo para el abuso y una gran vulnerabilidad para la comunidad. Un en muchos casos se utilizan los IDS junto con un experto humano. De esta
divertido hacer trabajo o un desafío para ganar la acción para algunas personas manera, IDS está ayudando a la seguridad de la red o fi cial y no es lo
se convirtió en una pesadilla para los demás. En muchos casos los actos suficientemente confiable para ser de confianza en sí mismo. La razón es la
maliciosos hicieron esta pesadilla para convertirse en una realidad. incapacidad de los sistemas IDS para detectar los patrones de ataque nuevos
o alterados.
Además de la piratería informática, nuevas entidades como gusanos,

troyanos y virus introducidos más pánico en la sociedad en red. A medida que
la situación actual es un fenómeno relativamente nuevo, defensas de la red
son débiles. Sin embargo, debido a la popularidad de las redes de Hay dos enfoques principales para intrusiones de detección, basados en
ordenadores, su conectividad y nuestra creciente dependencia de ellos, real firmas y detección de intrusiones basados en anomalías.
En el primer enfoque, los patrones de ataque o la
Revista Internacional de Seguridad de la red, Vol.1, No. 2, PP.84-102, septiembre de 2005 (http://isrc.nchu.edu.tw/ijns/) 85
el comportamiento del intruso se modela (firma de ataque se modela). Aquí el métodos lection / extracción implementados en esta área. En la sección 6, se
sistema indicará la intrusión una vez que se detecta una coincidencia. Sin discutirá la aplicación de tarros de miel en la seguridad de la red. Por último,
embargo, en la segunda comportamiento normal enfoque de la red es las conclusiones y el trabajo futuro se dan en las Secciones 7 y 8.
modelada. En este enfoque, el sistema le dé la alarma una vez que el
comportamiento de la red no coincide con su comportamiento normal. Hay
otro enfoque de detección de intrusiones (ID) que se llama detección de
intrusiones basado en especificación. En este enfoque, el comportamiento 2 de detección de intrusiones
normal (comportamiento esperado) del host es especi fi y, en consecuencia
modelado. En este enfoque, como un precio directo de la seguridad, la libertad El primer paso en la obtención de un sistema en red es detectar el ataque.
de operación para el anfitrión es limitado. En este trabajo, estos enfoques Incluso si el sistema no puede evitar que el intruso penetre en el sistema,
serán brevemente discutido y comparado. dándose cuenta de la intrusión proporcionará la cer fi o de seguridad a la
información valiosa. La detección de intrusiones (ID) puede ser considerada
como la primera línea de defensa para cualquier sistema de seguridad.
La idea de tener un intruso acceder al sistema sin ni siquiera ser capaz de darse
cuenta que es la peor pesadilla para cualquier seguridad de la red o fi cial. Dado que
la tecnología de identificación actual no es lo suficientemente precisa como para
2.1 la inteligencia artificial y de detección de intrusiones
proporcionar una detección fiable, metodologías heurísticas pueden ser una salida.
En cuanto a la última línea de defensa, y con el fin de reducir el número de
intrusiones no detectadas, métodos heurísticos tales como la miel Pots (HP) pueden La aplicación de la inteligencia artificial fi es ampliamente utilizado para el propósito
ser desplegados. De HP se pueden instalar en cualquier sistema y actuar como de identificación. Los investigadores han propuesto varios enfoques en este sentido.
trampa o cebo para un recurso. Algunos de los investigadores están más interesados en la aplicación de métodos
basados en reglas para detectar la intrusión. La minería de datos utilizando la regla
Otro problema importante en esta área de investigación es la velocidad de de asociación es también uno de los métodos utilizados por algunos investigadores
detección. Las redes de computadoras tienen un carácter dinámico en el sentido de para resolver el problema de detección de intrusos. Investigadores como Barbara et
que la información y los datos dentro de ellos están cambiando continuamente. Por al. [4, 5], Yoshido [43] y Lee et al. [30] han utilizado estos métodos.
lo tanto, la detección de una intrusión con precisión y rápidamente, el sistema tiene
que operar en tiempo real. Que opera en tiempo real no es sólo para llevar a cabo la
detección en tiempo real, sino que ha de adaptarse a las nuevas dinámicas de la red. Otros han propuesto la aplicación del concepto de lógica difusa en el área
en tiempo real IDS operativo es un área de investigación activa perseguido por del problema de detección de intrusos. Los trabajos informados por Dickerson
muchos investigadores. La mayor parte de los trabajos de investigación están et al. [16], Bridges et al. [8] y Botha et al. [7] son ejemplos de aquellos
dirigidas a introducir la mayor cantidad de metodologías e fi ciente tiempo. El objetivo investigadores que siguen este enfoque. Incluso, algunos investigadores
es hacer que los métodos implementados adecuado para la aplicación en tiempo utilizan un enfoque multidisciplinario, por ejemplo, Gómez et al.
real. [18]
han combinado la lógica difusa, algoritmo genético y las técnicas de reglas de
asociación en su trabajo. Cho [12] informa de un trabajo en el que la lógica
Desde una perspectiva Erent di ff, dos enfoques se pueden considerar en difusa y Hidden MarkovModel (HMM) se han desplegado junto a detectar
la implementación de un IDS. En este clasi fi cación, IDS puede ser host intrusiones. En este enfoque HMM se utiliza para la reducción de
basado o red basada. En el IDS basado en host, sistema sólo proteger su dimensionalidad. Debido a su naturaleza, el enfoque de la minería de datos es
propia máquina local (el anfitrión). Por otro lado, en los IDS basados red, el muy apreciado en este campo de investigación.
proceso de identificación se distribuye de alguna manera a lo largo de la red.
En este enfoque en el que la tecnología basada en agentes se aplica Algunos investigadores han tratado de usar la metodología bayesiana para
ampliamente, un sistema distribuido protegerá a la red en su conjunto. En resolver el problema de detección de intrusos. La idea principal detrás de este
esta arquitectura de IDS puede controlar o vigilar rewalls Fi, routers de red o enfoque es la característica única de la metodología bayesiana. Por consecuencia
conmutadores de red, así como las máquinas cliente. dado, utilizando la metodología de los cálculos de probabilidad Bayesiano puede
moverse atrás en el tiempo y encontrar la causa de los eventos. Esta
característica es adecuada para hallazgo la razón de una anomalía particular en
El énfasis principal de este trabajo es en la parte de detección de la el comportamiento de la red. Utilizando el algoritmo bayesiano, el sistema de
detección de intrusiones y problema de la respuesta. Los investigadores han alguna manera se puede mover hacia atrás en el tiempo y encontrar la causa de
buscado enfoques Erent di ff o una combinación de enfoques di ff Erent para los acontecimientos. Este algoritmo se utiliza a veces para los fines de
resolver este problema. Cada enfoque tiene su propia teoría y presunciones. agrupamiento también. Los trabajos informados de investigadores como Bulatovic
Esto es así porque no existe un modelo de comportamiento exacto para el et al. [9], Barbara et al. [5] y Bilodeau et al. [6] son ejemplos de este enfoque.
usuario legítimo, el intruso o la propia red.
Resto del trabajo se organiza de la siguiente manera: En la Sección

2, se explican la metodología de detección de intrusiones y teorías relacionadas. Aunque el uso de la bayesiano para la detección de intrusos o un intruso
La sección 3 presenta los métodos de modelización del sistema. predicción de comportamiento puede ser muy atractivo, sin embargo, hay
En la sección 4, tendencias Erent di ff en IDS de- algunas cuestiones que uno debe estar preocupado por ellos. Dado que la
Se presentan signo. La sección 5 describe la función SE- exactitud de este método
depende de ciertas presunciones, distanciamiento de esas presunciones Además de la reducción de dimensionalidad o los métodos de compresión de
disminuirá su exactitud. Por lo general, estas presunciones se basan en el modelo datos, hay otros dos métodos que se pueden tratar con el problema del
de comportamiento del sistema de destino. La selección de un modelo incorrecto tiempo de cálculo. Estos métodos se explican en las siguientes subsecciones.
puede dar lugar a un sistema de detección inexacta. Por lo tanto, la selección de
un modelo preciso es el primer paso hacia la solución del problema.
Desafortunadamente, debido a la complejidad del modelo de comportamiento
dentro de este sistema hallazgo de un modelo de este tipo es una tarea muy 2,2 programación integrado y de detección de intrusiones
dif'ıcil. Este artículo está dedicado a la modelización del sistema en la siguiente
sección.
Un enfoque es para preprocesar la información de red utilizando un hardware
preprocesador (procesador frontal). En este método algunas partes del
Investigadores como Zanero et al. [44], Kayacik et al. [23] y Lei et al. [32]
procesamiento se realiza antes de la IDS. Este preproceso será reducir
fi nd la fi Arti enfoque cial Neural Network (ANN) más atractivo. Estos
significativamente la carga de procesamiento en el IDS y por consiguiente la
investigadores tuvieron que superar la maldición de la dimensionalidad para
CPU principal. Otey et al. [37] han informado de una obra similar mediante la
el complejo problema de los sistemas. Un método adecuado es el de la
programación de la tarjeta de interfaz de red (NIC). Este enfoque puede tener
auto-organización de Kohonen características del mapa (SOM) que se han
muchas propiedades, incluyendo inferior tra computacional FFI c y mayor
propuesto. Hu et al. [20] informa de una mejora en el enfoque SOM utilizado
rendimiento para el procesador principal. La implementación de este enfoque
por Kayacik et al. [23], donde el método de máquinas de vectores soporte
hará que sea más fácil detectar variedad de ataques tales como ataque de
(SVM) se ha implementado para mejorar SOM. El uso de SOM será
denegación de servicio (DoS). Esto es porque el NIC está realizando la mayor
significativamente a mejorar la sensibilidad del modelo a la población de las
parte del procesamiento mientras que el procesador principal sólo supervisa la
entidades de entrada. Zanero et al. [44] utiliza el SOM para comprimir la
operación de NIC.
carga útil de cada paquete en un byte.
El objetivo principal de utilizar el enfoque ANN es proporcionar un método fi

cación clasificación no supervisada para superar la maldición de la dimensionalidad
Detección de Intrusos 2.3 Basada en Agentes
de un gran número de características de entrada. Dado que el sistema es complejo y
las características de entrada son numerosos, la agrupación de los eventos puede El segundo enfoque es el distribuido o la computación basada en agente. En
ser una tarea muy consume mucho tiempo. Utilizando el Análisis Principio de este enfoque no sólo la carga de trabajo se dividirá entre los procesadores
componentes (PCA) o métodos de descomposición en valores singulares (SVD) individuales, sino también el IDS será capaz de obtener un conocimiento
puede ser una solución alternativa [2]. Sin embargo, si no se utiliza correctamente, global de las redes de condiciones de trabajo. Tener una visión global de la
tanto de estos métodos pueden convertirse algoritmos computacionalmente costosos. red ayudará a los IDS para detectar la intrusión con más precisión y, al mismo
Al mismo tiempo, reduciendo el número de características dará lugar a un modelo tiempo que puede responder a las amenazas más e caz y ss. En este
menos preciso y por lo tanto se reducirá la exactitud de la detección. enfoque, los servidores pueden comunicarse entre sí y alarma lata entre sí.
En el área de la intrusión problema de detección de redes informáticas, el Con el fin de responder a un ataque, a veces puede ser su ciente fi
tamaño del espacio de características es, obviamente, muy grande. Una vez que las suficiente para desconectar una subred. En este tipo de sistema con el fin de
dimensiones del espacio de características se multiplican por el número de muestras contener una amenaza, los IDS distribuidos pueden ordenar Severs,
en el espacio de características, el resultado será seguramente presentar un número encaminadores o conmutadores de red para desconectar un host o una subred.
muy grande. Por eso, algunos investigadores seleccionar una pequeña ventana de Una de las preocupaciones con este tipo de sistema es la carga de trabajo
tiempo de muestreo o reducir la dimensionalidad del espacio de características. adicional que el IDS hará cumplir en la infraestructura de la red. La
Puesto que el tiempo de procesamiento es un factor importante en la detección comunicación entre los hosts Erent di FF y servidores de la red puede producir
oportuna de la intrusión, la ciencia e fi de los algoritmos implementados es muy un fi significativo tra FFI c en la red. El enfoque distribuido puede aumentar la
importante. limitación de tiempo puede a veces nos obliga a tener las características carga de trabajo de las capas de red dentro de los hosts o servidores y por
menos importantes podado (reducción de dimensionalidad). Sin embargo, el enfoque consiguiente puede reducir la velocidad hacia abajo.
de la poda no siempre es posible. La metodología de aplicación de minería de datos,
algunos investigadores han propuesto nuevos métodos de reducción de datos. La
compresión de datos puede ser considerado como un enfoque alternativo para Hay dos enfoques en la aplicación de una tecnología basada en agentes.
resolver el problema de alta dimensionalidad. Generación de reglas de asociación En el enfoque primero, agentes distribuidos autónomas se utilizan tanto para
como se propuso por Lee et al. [30, 31] es una alternativa para reducir el tamaño de supervisar el sistema y comunicarse con otros agentes en la red. Un sistema
los datos de entrada (enfoque basado Regla). basado multiagente disfrutará de una mejor percepción del mundo que lo
rodea. Zhang et al.
[46] Informe de imple-
Menting IDS basado en un multi-agente donde se han considerado cuatro
El tamaño y la dimensionalidad del espacio de características son dos tipos de agentes: agente básico, agente de Coordinación, agente de
problemas importantes en el desarrollo de IDS. Al mismo tiempo, los métodos Coordinación Global, agentes de interfaz. Cada uno de estos agentes realiza
tales como Bayesiano y HMM que utilizan cálculos estadísticos o de probabilidad una tarea Erent di ff y tiene sus propias subcategorías. Por ejemplo, el agente
pueden ser mucho tiempo. básico incluye:
agentes de estaciones de trabajo, agentes segmento de red y los agentes de tanto la velocidad de la programación y de la calidad del código final.
servidor público. Estos agentes trabajan subcategoría, respectivamente, en las
estaciones de trabajo de la red, así como, el nivel de subred y el nivel de servidor En un artículo de Vigna et al. [41] la atención principal se centra en el
público (agente de correo o el agente FTP). De esta manera, el sistema complejo aspecto de ingeniería de software del IDS. Cuestiones tales como la
con desglose en sistemas mucho más simples y será más fácil de manejar. programación orientada a objetos, la reutilización de componentes y el lenguaje
de programación para el IDS se discuten en este documento. Un nuevo marco
llamado Análisis de transición de estados Technique (STAT) se introduce en
En el segundo enfoque, los agentes móviles se utilizan para viajar a través este documento. En su marco implementado, Vigna et al. [41] proponen un tipo
de la red y recoger información o para realizar algunas tareas. Foo et al. [17] de sistema de máquina de estado de llamada STAT que sigue a la transición de
informa de un trabajo de desarrollo IDS [15] el uso de agentes móviles. Ellos estado de los patrones de ataque. Este marco es para el desarrollo de IDS
usan la plataforma de la Concordia Mitsubishi en su trabajo para desarrollar un basada en firmas (El concepto de los IDS basado en la firma será discutido más
agente móvil basada IDS. Uso del agente móvil, su IDS lleva a cabo tanto el adelante en este documento). Hay una clase de STAT-respuesta que contiene
análisis de puertos y las comprobaciones de integridad en el crítico fi les del módulos de respuesta. Estos módulos de respuesta incluyen biblioteca de
sistema. El IDS basados en agentes propuestos dar la alarma en caso de acciones que están asociados con el patrón de los escenarios de ataque. Todos
detectar cualquier alteración en la fi les crítico del sistema. Los agentes móviles juntos, este lenguaje producirá un código orientado a objeto encapsulado con
pueden ser enviados a otros sistemas para monitorear la salud del sistema de una alta capacidad de reutilización en el código. Hay un módulo de proveedor de
destino y para recopilar información. eventos que proporcionará el marco con los acontecimientos que ocurren en la
red.
Luo et al. [33] introducir un nuevo móvil Agente Desven-

IDS Tributado (MADIDS). Autores abordan número de deficiencias que
existen en IDS distribuido: “La sobrecarga de la transmisión de datos”, “El Otro enfoque en lenguajes de programación para el IDS es proporcionar
cuello de botella de cálculo del módulo central de procesamiento” y “El retraso medios para seguir el cambio de estado en el sistema. De esta manera, el IDS
de transmisión de la red”. Artículo reporta que uno de los principales objetivos tendrá la capacidad de tener su comportamiento alterado si es necesario. La
del sistema es mejorar el rendimiento del IDS en lo que respecta a la inclusión de esta característica en el IDS hará que sea más adaptable y recon fi
velocidad y la red de tra fi c. gurable. Posibilidad de alterar el comportamiento del IDS nos proporcionará una
forma dinámica recon fi gurable IDS. En un trabajo presentado, Sekar et al. [39]
En un trabajo informado por Ramachandran et al. [38] la idea de han puesto en práctica una El lenguaje de máquina de estado (SML) enfoque
barrio-reloj se aplique a la seguridad de la red. Hay tres tipos di ff Erent de basado en el Extended Autómatas de estados finitos (AESA) para modelar el
agentes en capas y siguientes tres Erent di. Todos los agentes se definen en comportamiento correcto o esperado de la red. El uso de un programa bien
Perl (Practical Extraction e Informe Language). En la primera línea (capa diseñado en SML, la máquina de estados será capaz de hacer un seguimiento
inferior) hay un agente de policía que es un agente móvil. Hay tipos di ff Erent con los eventos dentro de la red y para producir salidas apropiadas. Si no hay
de agentes Cop dependientes de sus asignaciones. Un agente de Policía se irregularidades detectadas, a continuación, la parte de detección de anomalías
encarga de recoger los datos de varios sitios e informar a su respectivo del proceso a analizar las salidas y detectará las anomalías.
agente detective. En este sistema, cada sitio almacenará toda la información
de seguridad importante acerca de sus vecinos. Esta información incluye la
suma de comprobación de los datos críticos y archivos binarios del sistema,
etc. También almacenará una lista de sus vecinos en el barrio. Hay vecinos
Hay dos enfoques en la implementación de un IDS. En el enfoque de
(hosts) dentro de cada barrio (subred) los cuales pueden ser inspeccionados
primera, IDS se implementa en forma de software que se implementa en un
por los agentes móviles llamada policías. Al votar entre sí, los vecinos van a
servidor o un host. En este enfoque, el final de productos fi no es un objeto
decidir sobre el curso de acción que tienen la intención de seguir. Este
físico, sino que es software. En el segundo enfoque, el IDS se construye
concepto se discutirá con más detalle en las siguientes secciones.
como un producto con su propia plataforma de hardware (dispositivo de IDS).
En este tipo de IDS, una vez que el producto se instala en la red se conectará
a la red en sí y se iniciará el seguimiento y análisis de la red. IDS pueden
llevar a cabo sus funciones de manera transparente a la red. Tales enfoques
podrían ayudar a los IDS para llevar a cabo la detección de la intrusión de
una manera más exitosa y no intrusiva. Al mismo tiempo, este tipo de
2.4 Ingeniería de Software y detección de intrusiones productos son más fáciles de instalar y será introducir una sobrecarga mínima
en la red. Por lo tanto, su precio podría ser mayor.
A medida que la complejidad de los aumentos de IDS, el problema de

desarrollar el IDS se vuelve más y más di fi culto. Un lenguaje de
programación dedicada al desarrollo de IDS puede ser útil para la comunidad
de desarrolladores. Tal lenguaje de programación con sus componentes
especiales mejorará el estándar de programación para el código de IDS. IDS 2.5 Documentos Algunos seleccionados
desarrolladores pueden disfrutar de los bene fi cios de un nuevo lenguaje
dedicada al desarrollo de IDS. Ese lenguaje mejorará Esta sección describirá los trabajos seleccionados en las áreas de investigación di ff
Erent de la tecnología IDS.
2.5.1 Enfoque bayesiano (estadístico) ery 24 horas para detectar las anomalías que se producen lenta pero de larga duración.
A continuación, el sistema aplicará los métodos de minería de nivel de dominio sobre
Como un ejemplo para la aplicación del método Bayesiano en IDS, Barbara et al. ellos para capturar las normas y funciones de extracción. En el trabajo, se informó de
[5] informar de un trabajo sobre el tema de detección de intrusión para la detección un número seleccionado de los atributos en los datos de entrenamiento para
de anomalías. Autores informan categorías similares (mal uso y la detección de caracterizar las clases. Estas clases reflejan propiedades resultaron en niveles de di ff
anomalías para la detección de intrusos), que también informan de las mismas Erent de la minería de datos. Clasi fi cador es entrenado utilizando los datos de
características para estos dos metodologías. Con el fin de ser capaz de manejar entrenamiento y más tarde se prueba utilizando los datos de prueba.
ataques desconocidos que han seleccionado el método de detección de
anomalías. Su objetivo es mejorar la detección y el índice de falsas alarmas
generadas por el sistema. Su informe indica que este trabajo es la continuación de En el trabajo, un pseudo Bayesiano clasificación er fi se utiliza para la
una investigación en curso sobre la base de “un sistema de detección de clasificacion. La parte de estimación de este ampli fi cación tiene la función de
anomalías denominado Análisis de Datos de Auditoría y Minería” (ADAM). Su suavizado. El estimador Bayesiano seudo es un método popular en el análisis
enfoque está principalmente orientada minería de datos, pero en este trabajo el multivariante discreta. En el trabajo descrito, Barbara et al. [5] utilizar la
trabajo presentado se relaciona con los estimadores de pseudo-Bayes. La solicitud función de densidad de probabilidad de la distribución Dirichlet como el núcleo
de estos estimadores es estimar las probabilidades a priori y a posteriori de nuevos de la función de probabilidad. Este método se utiliza para estimar los valores
ataques. En este trabajo, er fi cación Naive-Bayesiano se utiliza para clasificar las de celda para las mesas con gran número de ceros de muestreo. En estas
instancias de la red. También afirman que, debido a las propiedades de los tablas, también puede suceder que, debido a un muestreo repetido, algunas
estimadores de pseudo-Bayes, el sistema no necesita ningún conocimiento a priori células muestran más ceros que los otros (densidad de ceros) y esto es
con respecto a los nuevos patrones de ataque. cuando el método de Dirichlet nos ayudará. La etapa final de clasi fi cación se
lleva a cabo usando el Naive Bayesiano clasificacion.
ADAM consta de tres partes. La primera parte es el preprocesador y su Una de las partes más interesantes de esta investigación es el uso de Naive
trabajo consiste en recoger datos de los protocolos TCP / IP tra fi c de datos (red bayesiano er fi cación. En la descripción de la er clasi fi, Barbara et al. han
sni ff er). La segunda parte es el motor de la minería de datos que extrae reglas utilizado la distribución Dirichlet para obtener la función de densidad de
de asociación de los datos recogidos. Los motores de minería de datos principal probabilidad para la er fi cación. la distribución de Dirichlet [6] es una buena
tarea es la búsqueda de comportamientos inesperados. ADAM funciona en dos opción para este tipo de problema. la distribución de Dirichlet y distribución
modos: modos de entrenamiento y detección. La última parte del sistema es el gamma son las relacionadas con el tiempo. Por ejemplo, la distribución Gamma
motor de clasi fi cación y su tarea consiste en clasificar la asociación gobierna en [6] dará una estimación para el tiempo uno tiene que esperar ( “tiempo de espera
dos clases: normal y anormal. clases anormales pueden ser posteriormente en un proceso de Poisson” [6]) antes de conseguir al menos norte éxitos.
vinculados a algunos ataques. Bilodeau et al. en su libro [6] propuesto la siguiente fórmula para la función de
densidad de probabilidad utilizando una estimación Gamma:
Autores reportan dos ventajas principales para el sistema, en primer lugar la

capacidad de trabajar en tiempo real (operación de minería de datos en línea) y luego
F norte( t) = λe - λt ( λt) norte - 1 / ( norte - 1) !, t> 0 (1)
la estrategia de detección de anomalías del sistema. En su sistema, reglas
representan modelos de comportamiento. Estas reglas se guardan en una base de
En comparación con la distribución Gamma, Bilodeau et al. en su libro [6] han
datos y un seguimiento constante. Si una regla es una regla de nuevo y todavía no
descrito la distribución Dirichlet como “simplemente la proporción de tiempo
está registrada en la base de datos (anomalía) y sus apariciones han llegado a un
esperó”. Análisis: A medida que el tiempo y sus correos ECTS ff sobre los
valor umbral, entonces será etiquetado por el sistema como un evento sospechoso. El
resultados de cualquier IDS está sujeta a una gran importancia en la detección
motor de la minería trabaja en tres niveles: el nivel individual, a nivel de dominio y
de intrusos, abordar esta cuestión da una gran ventaja a este documento. El
nivel de funciones.
concepto es muy en materia de álgebra lineal y necesita más estudio. Al
mismo tiempo mirando a las fórmulas presentadas en cualquiera [5] o [6] lector
solo motor minera nivel funciona de dos modos di ff Erent: la minería y la puede esperar una alta carga de procesamiento de cómputo para realizar
minería estática dinámica. La primera es para el tiempo de funcionamiento múltiples multiplicaciones (a menos que de alguna manera se puede ir por este
normal del sistema cuando un per fi l se hace para el comportamiento del problema).
sistema. El segundo uno sin embargo “utiliza un método de ventana deslizante
que implementa incrementales, en línea asociado minería regla” [5].
Todavía hay una pregunta que queda por responder y que es: “¿Puede
En el motor de la minería a nivel de dominio, se controlan las direcciones IP de uno estar seguro de que los parámetros de entrada a un IDS son
origen y de destino. El informaron systemmay les resulta sospechoso que tanto el independientes el uno del otro” Dependiendo de la respuesta que podría ser
origen como el destino de IP de provenir de la misma subred. En el motor de sí o no, el método de enfoque puede ser di ff Erent . Tenemos dudas acerca
selección de características, una técnica de ventanas se implementa para registrar de tomar los parámetros como parámetros independientes (o condicionales
instancias de la red (cada ventana es de 3 segundos de ancho). De esta manera, independientes). Esto se debe a que tienen el mismo propósito que es la
se acumula sistema tiros rápidos del comportamiento de la red y luego los analiza. intrusión. Sin embargo, por el contrario, puede no necesariamente significa
que no dependen tampoco, porque no todas las actividades de la red son las
intrusiones
También hay una segunda tasa de muestreo más lento que es EV-
y la mayoría de ellos son actividades legítimas al azar. Desde nuestro punto sistema que se encarga de leer los paquetes o FF el alambre y almacenarlos en el
de vista, este tema merece más estudio. Esto es así porque durante la etapa disco. El tamaño de la muestra es tan grande que los autores se vieron obligados a
de diseño de la comprensión de la naturaleza estadística de estos eventos utilizar la técnica de minería de datos para crear una clave agregada compuesta de IP
nos ayudará a construir el modelo óptimo del sistema. de origen, de destino y puerto de destino fi campos IP para reducir el tamaño de los
datos. En este trabajo, el sistema de seguimiento de la varianza estadística de los
Barbara et al. [5] en su artículo, presentes resultados utilizando recuentos de paquetes en busca de cualquier aumento inusual en su número. Una
configuraciones fi dos con: En la fi primera configuración, datos de entrenamiento vez que se detecta un aumento inusual, significa que alguien está escaneando la red
dado después de Naive-Bayesiano Clasi fi er detectan la intrusión, el sistema lo con un pequeño número de paquetes.
eliminará de los datos de entrenamiento DARPA 1998 y luego se aplicará el er
clasi fi en la DARPA 1999 datos de prueba. En el segundo enfoque, sin embargo,
los datos de entrenamiento DARPA 1999 se selecciona con los mismos datos de Hay tres características difusos utilizados en este trabajo: COUNT, la
prueba (DARPA 1999). A continuación, los datos tanto de la prueba y de formación singularidad y la varianza. El motor de inferencia difusa implementado utiliza
se introducen en el ingenuo Bayesiano er fi cación y se analiza el resultado cinco conjuntos difusos para cada elemento de datos (LOW, medio-bajo,
(utilizando los datos de prueba). Los resultados presentados son satisfactorios, medio, medio-alto y alto) y reglas difusas apropiados para detectar la
pero aunque presentan un buen trabajo de investigación, existe una preocupación intrusión. En su informe, los autores no indican que ¿cómo se derivan su
en relación con el entorno de prueba. El problema surge cuando Barbara et al. [5] conjunto difuso. El conjunto difuso es un tema muy importante para el motor
dicen: “Para evaluar mejor el rendimiento de pseudoBayes estimador, recogemos de inferencia borrosa y en algunos casos el enfoque algoritmo genético puede
una serie de ataques que se comportan muy di ff erently, mientras que para los ser implementado para seleccionar la mejor combinación. El sistema
ataques que comparten algunas similitudes, sólo seleccionamos uno candidatos propuesto se prueba utilizando datos recogidos de la red de área local en la
para representar el resto”. En sus conclusiones a las que también hablan sobre el Facultad de Ingeniería de la Universidad Estatal de Iowa y los resultados se
problema de la detección de ataques similares en la naturaleza ( Análisis: podemos expresan en este documento. Los resultados reportados son descriptivos y no
traducir esto a:? variables de entrada dependientes). Análisis: Los resultados numérica por lo tanto es di fi culto para evaluar el desempeño del trabajo
presentados confirmaron nuestras ambiciones respecto a la elección de asumir los presentado.
parámetros de entrada de la red, ya sea como parámetros independientes o
dependientes! Desde una versión variable aleatoria del estimador de Bayes se
implementa en su trabajo y debido a las siguientes dos supuestos de este método:
Gómez et al. [18] Informe de una obra basada en el concepto de lógica difusa.
Este trabajo está dedicado al problema de detección de intrusiones en la red. El
conjunto de datos para este trabajo es KDD-cup'99 y 1998 conjuntos de datos de
DARPA. En este trabajo, el algoritmo genético (GA) se utiliza para optimizar las
reglas difusas para que puedan mejorar fi cio para el propósito. En este enfoque,
los conjuntos borrosos se normalizan a encajar dentro de los límites de 0,0 a 1,0.
1) El supuesto de distribución multinomial en el estimador de Bayes.
El valor de idoneidad para el GA se calcula utilizando los pesos de con fi

2) La hipótesis de la Naive Bayesiano es que los parámetros son
anza del sistema. Este proceso es muy similar a la forma en que la
condicionales independiente.
incertidumbre problema se maneja en los sistemas expertos. Más tarde, en su
artículo, la comparación se ha hecho entre las normas de comportamiento
Una vez que el comportamiento de las anomalías es similar, la propuesta de ampli fi
normal y anormal (hay dos grupos principales de normas en el sistema, uno
cación será misclassify los ataques, ya que es evidente en los resultados reportados. Sin
es para el normal y el otro es para los comportamientos anormales).
embargo, este documento presenta un buen trabajo de investigación en la detección de
intrusos.
En un gráfico presentado en este documento, la tasa de falsas alarmas y la

2.5.2 Enfoque de Lógica Difusa
tasa de detección del sistema fueron los parámetros de entrada y tres curvas
Como un ejemplo para el enfoque basado en la lógica difusa, Dickerson et al. para regla normal, regla anormal y las reglas normales-anormal (una con la
[16] informar de una investigación basada en el concepto de lógica difusa. En el confianza un y el otro con 1 - un) se representaron. El gráfico mostraba una
documento se informa de un motor de reconocimiento de intrusiones Fuzzy detección más alto y tasas de falsas alarmas más bajas para el uso de reglas
(FIRE) para detectar las actividades de intrusos maliciosos. En el trabajo, el difusas solamente anormales. El sistema se probó usando sólo el 1% de los
sistema de detección de intrusiones basado anomalía (IDS) se implementa originales 1998 DARPA conjuntos de datos donde se informó de 10,63% falsas
utilizando tanto la lógica difusa y las técnicas de minería de datos. La parte alarmas y tasa de detección de 95,47%. Los autores mencionan que esta
lógica difusa del sistema es el principal responsable de tanto manejar la gran abstracción es posible ya que el proceso de normalización producirá una
cantidad de parámetros de entrada y hacer frente a la inexactitud de los datos de distribución uniforme. Análisis: Selección de la relación 1% de todo el conjunto de
entrada. datos para el entrenamiento puede ser una indicación de que se requiere una
gran potencia de cálculo para esta tarea.
En el trabajo, un módulo de recopilación de datos de red (NDC) se
implementa para tomar muestras de la red (utilizando datos de paquete TCP)
con intervalos de 15 minutos. NDC es una especie de red de datos SNI er ff y En otro trabajo presentado en esta área, Botha et al. informar de un trabajo
grabador [7] para detectar la intrusión utilizando el usuario
el comportamiento y la metodología de la lógica difusa. En este trabajo, los supervisor debe conocer el patrón de comportamiento para una determinada
algoritmos de detección de intrusiones son similares a los dos enfoques anomalía con el fin de ser capaz de actualizar el sistema con las reglas
anteriores introducidas en trabajos anteriores. La visión de conjunto de los apropiadas. Así es como el sistema se convierte en adaptativa. Los autores han
autores es considerar fases genéricas de seis di ff Erent de una intrusión en una diseñado, implementado y probado varios conjuntos de reglas para varios patrones
red. El objetivo de este sistema es rastrear y monitorear el estado actual de la de ataque. La metodología de generación de reglas implementado en este trabajo
del usuario de comportamiento per fi l considerando estas categorías. Estos seis es interesante. Ellos definen una regla de asociación (conjunto de objetos) con la
fases son: siguiente forma genérica: X → Y, c, s dónde X
y Y son los conjuntos de elementos de la regla y X ∩ = Y ∅ es la relación entre

1) Fase de palpación. Intruso recoge información sobre el sistema ellos. s = apoyo (X ∪ Y) donde s es el valor de apoyo para la regla y c = apoyo (X ∪ Y
operativo, cortafuego y el usuario per fi l. Conocer esta información va a )
apoyo (X)
es el
reducir las opciones del intruso en hallazgo las debilidades en el
confianza para la regla. Sistema mantiene estas disposiciones durante un período de
sistema (el mando y el acceso ilegal cortafuego de sondeo).
tiempo y los utiliza como el modelo para el modelo de eventos y el comportamiento de
los usuarios. Como un ejemplo, Lee et al. [30, 31] dicen:
2) Obtener fase de acceso inicial. Esta fase incluye los siguientes

parámetros: intento contraseña inválida, terminal de usuario (dirección “Una regla de asociación para la fi shell historial de comandos le (que es una
de red) y horas de redes de usuario. corriente de mando y sus argumentos) de un usuario es: trn → rec.humor, 0,3, 0,1,
lo que indica que el 30% de las veces cuando invoca usuario TRN, él o ella está
leyendo las noticias en rec.humor, y la lectura de este grupo de noticias
3) Obtener acceso total al sistema. En esta fase se encuentran las representa el 10% de las actividades registradas en su historial de comandos fi l
siguientes actividades: contraseña ilegal intento fi l de acceso, el “.
acceso ilegal fi archivo / directorio intento, acceso a la aplicación ilegal.
Hay otra regla denominada regla episodio frecuente:
X, Y → Z, c, s, ventana dónde X y Y son los conjuntos de elementos de la
4) Realizar el intento de hacking. En esta fase intruso va a utilizar las regla y X ∩ = Y ∅ es la relación entre ellos. s = apoyo (X ∪ Y ∪ Z) donde s es el
instalaciones e información (acción del Intruso) del sistema. valor de apoyo para la regla y c = apoyo (X ∪ Y ∪ Z)
apoyo (X ∪ Y)
es la con fi anza para la
5) Cubrir las pistas de piratería. Aquí el intruso se borrará toda la pista o pistas gobernar y ventana es el intervalo de ventana de muestreo.
que conducen a la exposición de sus vías de acceso e identidad (Auditar Análisis: Su idea para el seguimiento de los usuarios suena muy interesante.
el acceso a registro). Como se explica en el documento, la aplicación de subintervalos adecuadas,
sistema reducirá la longitud de los registros de usuario. Al mismo tiempo, el sistema
6) La modificación de los servicios públicos para garantizar el acceso futuro. En mantendrá los registros históricos de las actividades en su base de datos
esta fase, el intruso crear una puerta trasera en el sistema por sí mismo a lo (reducción de datos). El uso de los registros de usuario, el sistema generará un
utilizan para su futuro acceso (Crear cuenta de usuario). conjunto de reglas para las actividades dentro de la red. En esta etapa, el sistema
puede notar las irregularidades e identificarlos (si se sabe). Varios escenarios de
prueba donde se presentan.
En este trabajo, se supone (autores razón era la falta de datos) que el
modelo para la transición de un estado al otro es lineal. En otras palabras, si
Dado que para los propósitos de la prueba se utilizó ningún tipo de datos estándar,
alguien no puede acceder el sistema fuera de las horas de trabajo regulares,
tales como DARPA, es difícil de evaluar y comparar sus resultados. Sin embargo, el
entonces será IDS 33.3% seguro de que se trataba de un intento de intrusión.
enfoque basado en la regla propuesta se implementa en el buen sentido.
Hay una función de pertenencia por separado asignado a cada una de las
entradas al sistema. Prede fi reglas definidas junto con la salida de las
No es una abstracción en el concepto de detección de anomalías en su
funciones antes mencionadas son utilizadas por el motor de inferencia
trabajo presentado. En el informe [30] autores dicen: “La detección de anomalías
borrosa para derivar conclusiones. Los resultados reportados usando sólo 12
se trata de establecer los patrones de uso normales partir de los datos de
sujetos de prueba que parece ser un pequeño número de casos de prueba.
auditoría”.
Su punto de vista parece ser el siguiente: La detección de anomalías es
detectar cualquier conocido anomalía (o un famoso patrón de anomalía) en la
red. Sin embargo, no necesariamente estamos de acuerdo con ellos en el conocido
Enfoque 2.5.3 Data Mining
anomalía o el enfoque basado en la firma y que en lugar de usar cualquier
En el enfoque de la minería de datos, Lee et al. [31] informe una detectado automáticamente intrusiva enfoque de detección de anomalías. La
trabajo basado en el concepto de minería de datos, donde se describen y adaptabilidad de su sistema informado requiere que alguien mantenga siempre
comparan inicialmente dos principales clases habituales de IDS. Más tarde, los la regla del sistema establece al día. Podría ser un gran reto para incluir una
autores han explicado su forma de resolver los problemas con el sistema y llevarlo función de adaptación automática en el IDS.
hasta donde está ahora. Su enfoque es un enfoque basado en reglas (utilizando
técnicas de aprendizaje automático). En su sistema propuesto, las anomalías se
detectan utilizando reglas prede fi nido. Sin embargo, el sistema de Lee et al. en otro documento [28] Informe de una obra para mejorar y continuar
con su trabajo anterior en el campo de la intrusión
detección sión. En su nuevo enfoque, se han puesto en práctica su sistema en es porque estrategias de ataque di ff Erent pueden tener diferentes
una con fi guración distribuida. Esto les ayudará a romper su carga de trabajo características y en una extracción de características sistema adaptativo
y llevar a cabo un tipo de procesamiento en paralelo. De esta manera, también tiene que ser automatizado. Sin embargo, los autores en su parte aplicación
pueden realizar tareas complejas e implementar algoritmos complicados. El del informe siguen informando de que se requiere la inspección humana en
análisis de su trabajo y teniendo en cuenta sus antecedentes en el enfoque su sistema.
basado en normas; uno puede conseguir fácilmente la idea de la estrategia de
3) Creemos en el enfoque de la caja Negro (BB) para este tipo de
“Junta Negro” como lo es en los sistemas expertos, fuera de su trabajo.
problemas. También es evidente que modelo-
ing un sistema tan enorme y complicado necesita tanto una gran
potencia de cálculo y un gran espacio de memoria. Sin embargo, hay
También han indicado que están muy interesados en el modelado “Caja
que aceptar el hecho de que algunas veces costo es alto! La cuestión no
Negro” del sistema. Esta es una gran idea y honestamente hablando, esto es
es el coste, sino por el contrario, se trata de la posibilidad. En muchas
la idea en nuestra mente también. Esto se debe a ataques no están en un
ocasiones, la velocidad de aprendizaje en el modelado BB es tan lento
modelo estático y de vez en cuando surge un nuevo patrón de ataque. Un
que es prácticamente imposible de utilizar en las aplicaciones del mundo
enfoque de la caja negro a este problema proporcionará el IDS con la
real. Sin embargo, si es posible poner en práctica, un modelo BB puede
capacidad de detectar la intrusión sin que sea necesario conocer su tipo /
nunca te dice cómo o por qué esta situación es un ataque! Sólo sabe
categoría o nombre. Lee et al. [28] señaló en su informe que
que esto es un ataque (parece que uno o se comporta como uno)!
“Un objetivo importante del diseño de CIDF es que los sistemas Idar
pueden ser tratados como‘cajas negras’que producen y consumen información
No hay resultados numéricos se presentan en este informe. Sólo se describen
relacionada con la intrusión”. Donde CIDF y IDAR representan,
el entorno experimental y los experimentos.
respectivamente, “Marco común de detección de intrusiones” y “Análisis de
detección de intrusiones y Respuesta”.
Teniendo en cuenta lo anterior, también se han observado en las partes

2.5.4 Di ff Erent Tiende Enfoque en Minería de Datos
anteriores de su informe que: “tenemos que primero seleccionar y construir el En otro grupo de la lógica difusa y documentos relacionados Algoritmos Genéticos (GA) que están
conjunto adecuado de las funciones del sistema que pueden contener evidencia relacionados con el concepto de IDS, el que para empezar es una obra de Bridges et al. [8]. Ellos
(indicadores) de lo normal o intrusiones. De hecho, la selección de características / informan de una obra en la lógica difusa se utiliza para modelar las incertidumbres en el
construcción es el problema más difícil en la construcción de IDS, sin tener en cuenta comportamiento de la red. El papel del GA aquí es la optimización de las funciones de pertenencia del
el enfoque de desarrollo en uso.”[28] que es una declaración muy cierto y es motor de lógica difusa. Los autores también informan de que han implementado S estándar, PI, y las
importante a fi nd características adecuadas. Hay algunos problemas para que funciones Z en su trabajo también. Esto hará que la función de pertenencia a mirar di ff Erent de sólo
aparezca en este sentido. Estos asuntos se discutirán a continuación. algunos triángulos superpuestos. Aquí, los triángulos se convertirán en las ondas sinusoidales medio.
Su enfoque es un enfoque basado en la anomalía. Están utilizando sistemas expertos y su enfoque,
basado en normas. Las reglas de asociación y sus correspondientes factores de con fi anza y de apoyo,
En la sección de experimentos del presente trabajo, los autores informan también se aplican en el sistema. Su resultado comunicado muestra que mediante la regulación de la
de un experimento en el que en un SYN simulada fl atacar ood el IDS no sólo función lógica fuzzy miembros, proceso de optimización del GA está mejorando el rendimiento de los
ha detectado el ataque, pero ha enviado agentes a los ordenadores esclavos IDS (mejora sus capacidades de extracción de características). En el documento se informa, resultados
(los que en atacar la red o el servidor) para matar con éxito los agentes difusos se compararon frente a los resultados de un sistema no difusa utilizando un diagrama. El
maliciosos allí. La idea parece multa, pero ¿qué pasa con las cuestiones diagrama representado indica la tasa de error positivo menor falsa para la metodología basada difusa.
legales y de privacidad? ¿Es legal para enviar agentes a computadoras de las El método está bien definida y como se indica en el documento, el trabajo es un trabajo en curso y
personas sin su consentimiento? Debe haber una solución legal al problema necesita seguir más arriba. El diagrama representado indica la tasa de error positivo menor falsa para la
de privacidad antes de la implementación de tales estrategias. Este enfoque metodología basada difusa. El método está bien definida y como se indica en el documento, el trabajo
puede ser factible para la red de una organización, pero no en internet. es un trabajo en curso y necesita seguir más arriba. El diagrama representado indica la tasa de error
positivo menor falsa para la metodología basada difusa. El método está bien definida y como se indica
en el documento, el trabajo es un trabajo en curso y necesita seguir más arriba.
Análisis: Este enfoque parece razonable, pero hay algunas cuestiones

que deben abordarse:
1) El trabajo que está fuertemente cuenta con la conectividad o la

En otro trabajo informado por Barbara et al. [4] informa el mismo trabajo
disponibilidad de la estructura de la red para su trabajo. En algunas
que se menciona anteriormente en este informe [5] y los informes de otros
ocasiones, esto no se puede esperar. Esto se debe a que en algunos
investigadores enfoques en esta área. Él no se satisface con la calidad del
ataques DOS no el servidor, pero los conmutadores de red pueden
resultado reportado por Lee et al. [30]. Sin embargo, dos artículos de Lee et
llegar a saturarse, lo que significa que no habrá ningún medio por el
al. se hace referencia en su artículo. En cuanto a las debilidades de su propio
cual estos sistemas distribuidos pueden comunicarse entre sí.
método, razonan que es debido a los umbrales inexactos en su sistema de
clasi fi cación. Los autores sugieren que con el fin de mejorar la exactitud y
2) La parte de detección de función tiene que ser automatizado, este

la tasa de detección para el sistema propuesto, de una forma puede ser para añadir calculado utilizando la siguiente fórmula:
más sensores para el sistema. Esta idea es similar a la que en el área de sistemas de
Σ norte
control de la investigación (la llamada fusión de datos de sensores múltiples). En su Entropy (D) = - pag yo Iniciar sesión 2 pag yo (3)
trabajo futuro, los autores objetivo es evitar la dependencia de los datos de i=1
entrenamiento (probablemente porque es muy dif'ıcil para obtener un conjunto de

los GRAMO yo es un subconjunto de D clasi fi ed por la prueba T y pag yo es la probabilidad de
datos tal) para los eventos normales.
clase yo.
Cabrera et al. [11] Informe una obra en la continuación
Como es evidente en esta última serie de trabajos reportados, la lógica difusa o de su trabajo anterior [10], donde se estudió la viabilidad de su enfoque. Los
trabajos basados estimador Bayesiano pueden incluirse en cualquiera de su propio autores utilizan el protocolo simple de administración de redes (SNMP) para
nombre o bajo el nombre de la categoría de minería de datos. Esto es debido a que el construir un sistema IDS. Se separan su enfoque de los enfoques comunes
área de trabajo de minería de datos es un área multidisciplinar de la investigación. en el área de seguridad de la red diciendo:
Yoshida [43] en su artículo reporta un nuevo enfoque para el diseño de “IDS o bien se basan en los registros de auditoría recogidos de anfitriones
IDS. En este trabajo, el autor indica que su / su objetivo es proporcionar (IDS basado en host) o en paquetes en bruto tra FFI c recogido del medio de
sistema con la capacidad de detectar ataques recién encontrado. Sin comunicación (red basada en IDS). basado en SNMP SMN por el contrario se
embargo, esta afirmación en el papel no está apoyada por los resultados basan en variables MIB poner trampas y realizar el sondeo”[10].
experimentales. El informe de Yoshida es principalmente descriptiva y se

refiere al nuevo enfoque sin mostrar ninguna prueba de su rendimiento. Más tarde, documento explica que los sistemas aunque estos dos
enfoques no tienen mucho en común, basados en SNMP administración de
red (NMS) que dependen de las variables Management Information Base
(MIB) puede ayudar al IDS para poner trampas y realizar el sondeo. Esto nos
Yoshido explica que la aplicación del algoritmo APRIORI que las minas rige la asociación del
permitirá diseñar un IDS distribuida. Autores intención es utilizar variables
conjunto de datos dado es más popular entre los investigadores en el área de investigación de la
MIB para mejorar la tasa de detección del IDS sobre todo para aquellos
minería de datos. Yoshido cree también que “el resultado de algoritmo APRIORI implica reglas de
ataques que son di fi culto de detectar. A IDS SNMP-amigable pueden utilizar
asociación con contradicción” [43]. También indica que el resultado de este algoritmo es ruidoso y con
el MIB para cubrir un amplio espectro de violaciónes de seguridad. También
el fin de utilizarlo dentro de un IDS, el resultado necesita de post-procesamiento. En cuanto a su
creen que “variables MIB se pueden utilizar no sólo para caracterizar
prueba, se ofrece un ejemplo donde en una base de datos dada, hay dos reglas de tal manera que:
violaciónes de seguridad, sino también para caracterizar precursores de
Regla X tiene 100 de apoyo y 200 elementos de datos de contratación en la base de datos y la regla Y,
violaciónes de seguridad” [10]. Los autores dicen que la idea de IDS
que tiene 99 de apoyo y no hay elementos de datos de contratación. MinSup (soporte mínimo) valor
proactivas se trata de predecir el ataque de intrusos antes de que realmente
dado igual a 100, el algoritmo APRIORI sólo hallar la X. regla Si se desea tener la regla Y así, entonces
llegue a su etapa final.
el valor MinSup debe disminuirse que a su vez dará lugar a un ruido más alto en el resultado. Con el fin
de mejorar los resultados, Yoshido propone un enfoque gráfico basado inducción (GBI) usando la
minería de datos basado en la entropía. El algoritmo GBI es como sigue: Primero el gráfico de entrada
Cabrera et al. se centran principalmente en la denegación de servicio
se contrae. Aquí “Cada aparición de la sub-gráfico extraído en el gráfico de entrada se sustituye por un
distribuido ataque (DDoS). En este tipo de ataque, en un principio un nodo
único nodo en el paso 1” [43]. En el segundo paso, el gráfico contraído se analiza y en consecuencia se
maestro instalará un programa de esclavos en los clientes de destino de la
extrae cada subgrafo que consta de dos nodos con enlaces que se llaman un par. Finalmente satisfacer
red. Luego, después de un tiempo se les ordena que comience el ataque
ciertos criterios se selecciona el mejor par. Más tarde en “El par seleccionado se expande a la gráfica
mediante el envío de un mensaje a ellos. En este sistema, los esclavos
original, y se añade al conjunto de sub-gráficos extraídos” [43]. Para el cálculo de la entropía que utiliza
generarán un arti fi cial tra fi c por el cual van a causar congestión de la red y
las siguientes fórmulas. Con el fin de mejorar los resultados, Yoshido propone un enfoque gráfico
traerá la red en alto. Cabrera et al. han caracterizado su sistema propuesto en
basado inducción (GBI) usando la minería de datos basado en la entropía. El algoritmo GBI es como
dos categorías:
sigue: Primero el gráfico de entrada se contrae. Aquí “Cada aparición de la sub-gráfico extraído en el
gráfico de entrada se sustituye por un único nodo en el paso 1” [43]. En el segundo paso, el gráfico
contraído se analiza y en consecuencia se extrae cada subgrafo que consta de dos nodos con enlaces 1) Reglas temporales:
que se llaman un par. Finalmente satisfacer ciertos criterios se selecciona el mejor par. Más tarde en “El En esta categoría en la regla de detección, el antecedente y la
par seleccionado se expande a la gráfica original, y se añade al conjunto de sub-gráficos extraídos” consecuencia aparecerán en un orden correcto en instantes de tiempo
[43]. Para el cálculo de la entropía que utiliza las siguientes fórmulas. Con el fin de mejorar los diferentes (primera antecedentes seguido por la consecuencia). El
resultados, Yoshido propone un enfoque gráfico basado inducción (GBI) usando la minería de datos análisis de series temporales en este trabajo tratará el diseño del IDS.
basado en la entropía. El algoritmo GBI es como sigue: Primero el gráfico de entrada se contrae. Aquí
“Cada aparición de la sub-gráfico extraído en el gráfico de entrada se sustituye por un único nodo en el
2) Reportar peligro entrante:
paso 1” [43]. En el segundo paso, el gráfico contraído se analiza y en consecuencia se extrae cada subgrafo que consta de dos nodos con enlaces que se llaman un par. Finalmente satisfacer ciertos criterios se selecciona el mejo
Si el antecedente es cierto, entonces después de un cierto tiempo de retraso

del ataque se iniciará. La extracción de las reglas temporales es una operación de
ganancia de información (D, T)
la línea FF o que implementa metodologías de minería de datos. La extracción de
| GRAMO i |
= Entropy (D) - Σ (2) las reglas se lleva a cabo en cuatro etapas en el análisis de un gran conjunto de
| D | Entropy (G yo)
GRAMO yo GRAMO datos de las evoluciones estado de la red a la historia de violaciónes de seguridad.
Estas etapas son las siguientes:
Dónde T es el nuevo conjunto de datos de prueba y D es el conjunto de datos
original que se va a clasificarse. La entropía puede
Paso 1 La extracción de los ff e ectantes parámetros / variables al el papel, dos de ellos parece muy interesante y que se explican en el apartado
el lado de destino dentro del conjunto de datos. Es muy importante siguiente:
saber dónde buscar las pistas.
regla causal "Si UN y segundo son dos eventos, de fi ne UN τ ⇒ segundo
Paso 2 La extracción de los parámetros / variables clave en el como la regla: Si ocurre A, entonces B se produce en el plazo
lado intruso dentro del conjunto de datos. IDS debe ser capaz de modelar el τ. Nosotros decimos eso UN τ ⇒ segundo Es una regla causal”[11].
comportamiento del intruso y estas variables se utilizan para detectar el

estado actual del proceso de intrusión. Esta información puede derivarse de
regla precursor "Si UN y segundo son dos eventos, de fi ne UN τ ⇐
segundo como la regla: Si segundo se produce, a continuación, UN ocurrido no antes de τ unidades
las pruebas de bajas estadísticos sobre algunas variables candidatas, de tiempo antes SEGUNDO. Nosotros decimos eso UN τ
además de las variables desde el paso 1.
⇐ segundo es un
regla precursor”[11].
Ambas reglas son casos especiales de las reglas temporales. Como una
Paso 3 La determinación de la evolución de la intrusión pro-
indicación del nivel de certidumbre para la corrección de las reglas, cada una
Cess usando las variables derivadas de la etapa 2 y compararlos frente
de estas reglas pueden estar asociados con un factor de confianza. Autores
a estado normal de la red. Está claro que este trabajo sigue el enfoque
mencionan que precursor se extraen reglas, pero se aplicaron sólo reglas
de detección de anomalías.
causales. Tres problemas para la extracción regla se abordan en este informe
y más tarde en las soluciones se han propuesto [11].
Etapa 4 En esta etapa, los eventos extraídos en el paso 3
están siendo verificable ed para ver si se siguen consistentemente por las
violaciónes de seguridad observados en variables extraídas en el paso 1.
3 Modelado de la red como una Sys
tem
En su descripción de este tipo de ataques, los autores describen un diagrama
de tiempos para una transferencia de cinco etapas para la saturación de la red El objetivo del hallazgo de un modelo para la red es para definir el comportamiento
final de DDoS. Estos pasos son: maestro inicia la instalación de los esclavos normal y, en consecuencia anomalía en el comportamiento del sistema. En la
(T0), Maestro completa la instalación de los esclavos (T1), el maestro ordena al literatura actual, los autores tienen de fi ne el comportamiento normal de la red con
esclavo para iniciar el ataque (T2), esclavos empezar a enviar la desactivación respecto a sus propios puntos de vista y no hay definiciones genéricas de fi se
tra red fi c para el objetivo (T3), Desactivación de la red de trá fi co alcanza el proporcionan necesariamente. Una definición genérica para el comportamiento
objetivo (T4), el objetivo se apaga (T5). normal y la anomalía se propone a continuación.
En este diagrama de tiempo, T0 es el comienzo del ataque y T5 es cuando la Genérica definición del comportamiento normal del sistema (red): El
red va a bajar. El período de tiempo entre T1-T2 depende únicamente de factor comportamiento más frecuente de eventos (dentro de) el sistema durante un
humano y cuando el maestro tomará la decisión de ordenar el esclavo para iniciar cierto período de tiempo se denomina el comportamiento normal del sistema.
el ataque. Teniendo en cuenta esta tabla y mediante el uso de los nuevos Estados Este comportamiento es el comportamiento dominante en el sistema y es el
miembros dentro de los IDS, el sistema podría ser capaz de predecir o reaccionar a que más se repite con frecuencia.
los ataques.
Genérica de fi nición de la anomalía en el sistema (red): El
Los autores del artículo han preparado un banco de pruebas para la comportamiento menos frecuente de (caso dentro de) el sistema durante un
simulación de ataque de intrusos y han llevado a cabo algunos experimentos cierto período de tiempo se denomina anomalía o comportamiento anormal.
interesantes en su banco de pruebas. Los resultados se controlan y registran. El período de repetición para un evento anomalía tiene un período de
De esta manera, pueden investigar el comportamiento de sus documentos de repetición muy largo y su intervalo está cerca del infinito.
identidad y estudiar los resultados. Su principal énfasis está en los datos
extraídos de las variables MIB. Se han incluido unos gráficos a partir de las El los eventos menos frecuentes y tendrá más, respectivamente, el más
variables MIB dentro del período de prueba en su papel y los han analizado. bajo y el más alto las diferencias entre todos los otros eventos. Por lo tanto, los
En intervalos de 2 horas y la frecuencia de muestreo de 5 segundos, 91 MIB parámetros reflexivos e ff serán: la duración del periodo de tiempo, la
variables correspondientes a 5 MIB grupos son recogidos por el NMS. Estos frecuencia y la varianza de los acontecimientos dentro de ese marco de tiempo.
gráficos están sincronizados para que puedan ser estudiados. Gráficos nos
proporcionará una comprensión del comportamiento del sistema durante los Como se desprende de la literatura, los investigadores han seguido
períodos de ataque normal y bajo. Dado que estas cartas están enfoques di ff Erent para mejorar la precisión y el rendimiento de sus IDS
sincronizados, propuestas. Sin embargo, la limitación de tiempo de ejecución es siempre un
obstáculo o un desafío a superar. Modelado de un sistema dinámico y
complejo como la red es muy dif'ıcil. De este modo, la abstracción y un
modelo parcial pueden ser una buena solución. Por eso, algunos
Más tarde, en su artículo, los autores explican cómo extraer reglas de este investigadores han optado por separar di ff partes Erent de la red y el modelo
conjunto de datos. En su descripción que han asumido que el intervalo de de forma individual. Toda la red se puede dividir en tres segmentos di ff Erent:
muestreo es constante muestras es decir, se toman en intervalos de tiempo host, el usuario y el entorno de red. El propio usuario puede
iguales. El resultado es una serie temporal multivariante. Entre di ff definiciones
Erent de fi de
se divide en dos partes: el usuario legítimo y usuario malicioso (intruso). Di ff escenarios (intruso modelado de la conducta). Su trabajo es especialmente
investigadores Erent han seleccionado uno de estos grupos. La asignación de un interesante, ya que tiene un marco STAT proceso de extensión que incluye la
modelo de comportamiento a cualquiera de estos grupos, se puede obtener un extensión del lenguaje de modelado ataque. Por lo tanto, el uso de este
modelo del comportamiento legítimo o anomalía para ellos. lenguaje de modelado sería posible modelar di ff escenarios de ataque Erent.
Para modelar el anfitrión, se requiere para controlar el sistema dentro de un

entorno de trabajo libre de intrusión por un tiempo. Utilizando los datos recogidos,
En otro trabajo se informa, Botha et al. informar de un trabajo [7] para
sería posible derivar un modelo para el comportamiento normal del huésped.
detectar la intrusión utilizando el comportamiento de los usuarios maliciosos y
Cualquier desviación de este modelo puede ser considerado como un
la lógica difusa. La visión de conjunto de los autores es considerar fases
comportamiento anomalía y se puede utilizar para la detección de intrusos. Por lo
genéricas de seis di ff Erent de una intrusión en una red. El objetivo de este
general, hay un valor umbral que determina la tolerancia aceptable para cualquier
sistema es el de rastrear y monitorear el estado actual de per fi l de considerar
desviación de este modelo. Cualquier actividad que somete el sistema a una
estas categorías de comportamiento del usuario. Estas seis fases son,
desviación más grande que un valor de umbral a partir de su modelo de
respectivamente: El sondeo, el acceso inicial, contraseña ilegal fi l intento de
comportamiento normal puede considerarse como una anomalía.
acceso, realizar el intento de destrucción, que cubre las pistas de piratería y fi
nalmente la modificación de los servicios públicos para garantizar el acceso
futuro. Una de las idas corto de este trabajo es una suposición que se hace por
Otro enfoque consiste en vigilar el sistema durante un período de tiempo y los autores. Se han informado de que debido a la falta de datos, el modelo para
luego asignar una línea de base a los parámetros de los sistemas. En este la transición de un estado al otro se supone que es lineal. Sin embargo, en el
enfoque, cruzando la línea de base denota un comportamiento anomalía. mundo real esta transición no es lineal.
También es posible asignar un modelo de comportamiento normal a un host y
considerar cualquier otro comportamiento de una anomalía. Sin embargo,
este enfoque requerirá la aplicación de la limitación en el sistema que podría
no ser deseable. Este enfoque podría ser adecuado para los casos en que el
El entorno de red en sí mismo puede ser considerado para el modelado.
sistema realiza tareas muy repetitivas y dentro de un área de trabajo fi nida
En este caso, las transacciones entre los miembros de la red pueden ser
así de. También requiere un conocimiento profundo del sistema. El enfoque
controlados. sistemas distribuidos basados en agentes son los principales
es un enfoque basado fi especificación a la ID y la Sección 4.1 proporcionará
contribuyentes a este enfoque. Sin embargo, este método es muy complicado
una discusión más detallada sobre la ID basada específico de cationes. Sekar
y el sistema de destino es compleja. En este enfoque, la relación entre los
et al. [39] informar de un trabajo en esta área en la que se implementa una
miembros de una red juega un papel importante. El procesamiento distribuido
máquina de estado basado IDS de seguir las transiciones de estado dentro
mejorará las limitaciones de tiempo para el procesamiento de la información
del sistema.
dentro de ese entorno. Un trabajo presentado por Lee et al. [28] es un
ejemplo de este enfoque. En las técnicas de minería de datos reportados
trabajo y un marco común de detección de intrusiones (CIDF) se utilicen para
construir un IDS distribuidos. En este sentido, el trabajo / registros de sección
se utilizan como características.
modelado de usuario puede ser un método alternativo para abordar el
problema de identificación. En este método, se puede decidir si se debe modelar el
usuario legítimo. El comportamiento anómalo es por lo general (pero no
necesariamente) una indicación de un usuario intruso. Este enfoque puede ser
utilizado para modelar el intruso y controlar sus acciones y su progreso. Determinar
el comportamiento normal del usuario legítimo también puede ser especí fi cación
basado que conducirá a limitar el usuario dentro de un cierto límite. Dado que el
4 Algunas Tendencias en Diseño de IDS
usuario es un ser humano y el ser humano puede ser impredecible, modelado de
comportamiento normal del usuario puede ser una tarea muy dif'ıcil. Lo mismo
puede ser cierto con la construcción de un modelo de comportamiento para el Antes de comenzar con la descripción de las tendencias en el diseño de IDS,
intruso. Intruso como un ser humano inteligente, que se da cuenta del debe tenerse en cuenta que IDS tiene una clasificación de núcleo fi cador. El
comportamiento habitual de los intrusos, puede alterar ligeramente su enfoque de núcleo del IDS es responsable de la clasificación de las características
intrusiones y engañar al sistema. Modelando el intruso puede ser una mejor adquiridas en dos grupos a saber normales y la anomalía, donde es probable
alternativa, ya que se puede suponer que los intrusos son un pequeño subconjunto que sea un ataque el patrón de anomalía. Sin embargo, hay ocasiones en las
de la comunidad de usuarios y con un atributo conocido (meta conocida), es decir que un uso legítimo de los recursos de la red puede conducir a un resultado fi
intrusión. Por el contrario, los usuarios legítimos son un subconjunto mucho más clasi positivo para la anomalía o la firma basado detección de intrusos. Como
grande de los usuarios en general y su atributo (s) pueden ser diversas, es decir resultado de este mal clasi fi cación, IDS elevará erróneamente la alarma y
que podrían tener intereses Erent di ff y metas Erent di ff. enviará una señal de ataque. Este es un problema común con los IDS y se
llama falso positivo (FP). Uno de los parámetros para medir la calidad de un
IDS es el número de sus alarmas de PF. Cuanto más pequeño es el número
de falsos positivos, mejor es el IDS.
En un trabajo presentado, Vigna et al. [41] implementar una técnica de análisis

de transición de estados (STAT) para modelar ataque
IDS base, Anomalía basada y especificaciones de cationes no requerir una línea de base más. Actualmente muchos sistemas de identificación
Basado 4,1 Signature comerciales utilizan un enfoque híbrido en el que se utiliza detección de intrusos
basado anomalía junto con el método de detección de intrusos basado firma.
detección de intrusos basado Firma (detección de mal uso) es uno de los Utilizando el sistema de métodos de identificación basada en firmas pueden identificar
métodos comúnmente utilizados y, sin embargo precisos de detección de con precisión los ataques conocidos con alarmas de baja PF. Si cualquier intrusión
intrusos. Una vez que se lanza un nuevo ataque, el patrón de ataque se estudió desconocidos se producen entonces los métodos de anomalías de identificación de
cuidadosamente y una firma se define por ello. La firma puede ser un nombre detección basados pueden detectar la intrusión y dar la alarma. Uso de la ID basada
(en caracteres) dentro del cuerpo del código de ataque, los recursos destinados en la detección de anomalías, los métodos basados en la firma también se pueden
durante el ataque o la forma en que se dirigen estos recursos (patrón de ataque). usar para refinar las alarmas de PF planteadas por este método. Este enfoque se
Estudiar el patrón de ataque, los especialistas en seguridad pueden diseñar una traducirá en el aumento de la precisión y fiabilidad de los IDS, manteniendo el número
defensa contra el ataque. Posteriormente, utilizando el método de defensa de alarmas de baja FP.
propuesto, el IDS se actualiza en consecuencia para reconocer los nuevos
patrones de ataque y de respuesta a ellos. Este enfoque es muy e ciente FFI
para los ataques conocidos y produce pequeño número de alarmas de PF. Sin Un enfoque recientemente introducido es el enfoque de detección de
embargo, como el principal venida corta de este enfoque, no es capaz de intrusos basado fi especificación. Algunos informaron obras destacan sólo en
detectar nuevos ataques. Una vez que el patrón de ataque es ligeramente la firma (mal uso) y los enfoques basados detección de intrusos basados
alterada, este enfoque no detectará las versiones alteradas de los viejos anomalía [16, 12, 42, 22]. Sin embargo, hay otros que hablan de los tres
ataques. Por lo tanto, este método sólo es e fi ciente en la detección de ataques enfoques. La restricción fi especificación en este enfoque se utiliza para
conocidos previamente. Hay otro método para la detección de los nuevos reducir el número de alarmas de PF [40, 39].
ataques e invisibles que sigue.
La aplicación de las IDS basado anomalía requiere un conocimiento

profundo del sistema. Las limitaciones fi caciones se extraen por el experto
Otro método ID ampliamente utilizado es el enfoque de detección de humano manualmente. Aunque la especificación de los recursos críticos del
anomalías [35, 34, 22, 26]. La idea básica detrás de este enfoque es aprender sistema y su utilización puede mejorar la seguridad, siempre puede haber
el patrón de comportamiento habitual de la red. En consecuencia, el ataque algunos puntos que faltan en este proceso que puede un ff reflejan la
se sospecha (detectada) una vez que la red se comporta fuera de su camino utilización del sistema. Especí fi cación basada no sólo es aplicable a los
normal (anomalía). Sin embargo, la red comportamiento regular no es similar sistemas de acogida, sino que también se puede aplicar en los usuarios
para las redes Erent di ff. El comportamiento de la red depende de la fecha o también. Se espera que un usuario legítimo para comportarse de una
las condiciones de trabajo en la organización donde se ha instalado la red. El determinada manera, o puede ser específico que un usuario debe
modelo de comportamiento regular de la red puede ser variable. Teniendo en comportarse de esta manera. Esta decisión va a mejorar la seguridad, pero
cuenta estas condiciones de trabajo, el grado de libertad para el problema es con el costo de una interfaz de usuario menos atractivo. La limitación de las
grande. Una forma de resolver este problema es hacer que el IDS adaptable acciones del usuario y la libertad puede conducir a la presentación de la
al entorno de red donde se va a instalar. Para ello, IDS comenzará a solicitud se vea menos atractiva para algunos usuarios.
monitorear y registrar el comportamiento de la red justo después de su
despliegue.
Suponiendo que el patrón grabado como el patrón regular para la red, IDS
4.2 red basada en IDS y basado en host IDS
lo utilizará como el comportamiento normal de la red y establecer una línea de
base. Una vez que el patrón de la red se desvía de este patrón de referencia
en más de un valor umbral, se indica una anomalía. Como se mencionó Como se mencionó anteriormente en la sección de introducción de este
anteriormente, no todas las anomalías indica una intrusión. Esto es artículo, la red basada y sistemas basados anfitrionas son dos categorías del
especialmente cierto en este caso, en el que el sistema es muy dinámico. Por IDS. El IDS basado en red es responsable de proteger todo el entorno de la
lo tanto, no está claro si la anomalía detectada debe ser asumido como una red de la intrusión. Esta tarea le pide pleno conocimiento del estado del
intrusión o no. Como consecuencia directa de esta incertidumbre, IDS sistema y seguimiento tanto de los componentes de la red y las transacciones
basados anomalía producirán alarmas de PF. Como remedio a este problema entre ellos. La tecnología de agentes juega un papel clave en esta estrategia.
debe haber un sistema de poda para detectar alarmas de PF y cancelarlos. La red es la infraestructura para un sistema distribuido. Por lo tanto, los
Mantener esta deficiencia en cuenta este enfoque tiene un gran beneficio, es agentes son una elección natural para este enfoque. La recopilación de
decir, que es capaz de detectar nuevos ataques o las nuevas versiones de los información dentro de la red y el procesamiento de ellos, respondiendo a las
viejos ataques. peticiones y órdenes del núcleo del IDS o trabajar como un individuo, todo se
puede lograr utilizando la tecnología basada en agentes. El IDS basado en
red es capaz de acceder a los routers de red y dándoles instrucciones para
Uno de los problemas en este campo de investigación es hallazgo ya sea las realizar tareas. Al utilizar esta función, el sistema puede pedir
características adecuadas o la correcta relación entre ciertas características de controlar.
Puede ser en algún momento en el futuro, la metodología de detección de anomalías se
vuelve lo suficientemente madura
el router para desconectar un terminal o una subred que se ha convertido en una amenaza de ese sitio.
para la seguridad. Ramachandran et al. [38] han propuesto este enfoque con la intención de
Hay varios trabajos reportados en esta área. En un artículo por Foo et al. distribuir la toma de decisiones y la carga de trabajo del IDS. El agente
[17] autores investigan la aplicación de los agentes móviles en la zona de IDS. detective es responsable de analizar los informes recibidos del agente de
De esta manera, tienen la intención de mejorar la velocidad de policía. Hay un agente principal en la capa superior que tendrá todos los
programdevelopment y actualización para el IDS. En otro artículo de Zhang et detectives de informes a él. Jefe es responsable de la seguridad tanto del
al. [46], se propone una nueva arquitectura para un IDS basado multi-agente. anfitrión, así como a los vecinos. Puede haber un Jefe seguimiento de un
Papel divide las amenazas a la seguridad en dos grandes grupos: las que número de otros jefes. Jefe supervisará y estudiar los informes de los
provienen de Ejecutivas intrusos y otros que vienen fromOutsider intrusos. El detectives. Si un jefe se da cuenta de que la seguridad de un sitio ha sido
papel también categoriza los IDS en tres categorías: IDS, basado enrutador comprometida, entonces se tomará una decisión para controlar, además, que
networkbased y basado en host. Los autores creen que en un IDS basado en un sitio o se ordenará otros sitios para protegerse de ese sitio. Papel informa
multi-agente, el sistema debe ser capaz de tener una percepción del mundo que de vez en cuando los sitios de inicio para comprobar entre sí para
que lo rodea. Finalmente, documento propone un modelo con una arquitectura determinar el nivel de seguridad de su vecino.
de red que consta de cuatro tipos de agentes: agente básico, agente de
coordinación, agente de coordinación global, agente de interfaz. Consola
consta de dos agentes, un agente de coordinación global y un agente de
interfaz. El agente de coordinación global es responsable de todos los
agentes de coordinación en el sistema. Esto incluye la recepción de informes Mukkamala et al. [34] creer que IDS tiene dos categorías: IDS basado en host
y envío de instrucciones a ellos. El agente de interfaz puede proporcionar y los identificadores de base de la red. Se definen estos dos tipos de la siguiente
información para el administrador en forma de interfaz gráfica de usuario manera: “Un host basado IDS supervisa todas las actividades en un único host
(GUI). También puede recibir comandos de control en forma de interfaz sistema de información. Asegura están siendo violado ninguna de las políticas de
gráfica de usuario. seguridad del sistema de información. Una red IDS supervisa las actividades de
toda una red y analiza tra fi c de las brechas de seguridad potenciales o
violaciónes “.
El IDS basado en host sólo se instala en un único host / terminal y es

En un artículo de Luo et al. [33] un nuevo Mobile Agent responsable de supervisar el estado de ese terminal / servidor único. Este tipo
se ha introducido IDS distribuidos (MADIDS). Artículo reporta que uno de los de IDS es responsable de la seguridad de su anfitrión y supervisará todas las
principales objetivos del sistema es mejorar el rendimiento del IDS en lo que actividades de la red en ese host [23]. Uno de los problemas con los IDS
respecta a la velocidad y la red de tra fi c. MADIDS consisten en cuatro partes: basado en host es la alta sobrecarga de procesamiento que imponen a su
Agente Evento Generación, agente de análisis de eventos, Agente de seguimiento anfitrión. Esta desaceleración voluntad por encima del anfitrión y por lo tanto
de eventos y servidor de agente. Los datos se transfieren por el Objeto no es bienvenida. Este enfoque es muy popular entre los investigadores.
Generalizado de detección de intrusiones (gido). generadores de eventos son
responsables de la recolección de datos y su conversión al formato apropiado.
analizadores de eventos son responsables de analizar los eventos y la generación
de GIDOs. unidades de respuesta procesarán GIDOs. Eventos y GIDOs son
4.3 Di ff Erent Enfoques de IDS Diseño
almacenados en servidores de eventos (bases de datos). La computación
distribuida en los ordenadores Erent di ff se forma significativa generando mejorar Un IDS activo proporcionará una respuesta Ned prede fi a las intrusiones
el rendimiento del procesamiento MADIDSs. detectadas. El IDS pasiva sólo es responsable de la supervisión del sistema y
para informar al administrador se produce una vez una intrusión o para producir
una advertencia anticipada. El concepto respuesta está relacionada con el IDS
En un trabajo informado por Ramachandran et al. [38] la idea de vigilancia activos. Esta respuesta puede ser una reacción a una brecha de seguridad en el
de la vecindad se implementa para la seguridad de la red. Hay tres tipos di ff sistema o una respuesta preventiva para evitar una violación de la seguridad. Uno
Erent de agentes en capas y siguientes tres Erent di. Hay tipos di ff Erent de de los principales objetivos de cualquier IDS activos es evitar que la brecha de
agentes Cop dependientes de sus asignaciones. Un policía se encarga de seguridad y no sólo para responder a la amenaza.
recoger los datos de varios sitios e informar a su respectivo agente detective.
El agente detective es responsable de analizar los informes recibidos del
agente de policía. Hay un agente principal en la capa superior que tendrá Continuando con su trabajo anterior [10], Cabrera et al. [11] informar de un
todos los detectives de informes a él. Jefe es responsable de la seguridad trabajo más avanzado, donde se estudia la viabilidad de su enfoque. Los
tanto del anfitrión y los vecinos. Es posible que haya un agente Jefe autores utilizan el protocolo simple de administración de redes (SNMP) para
seguimiento de un número de otros jefes. Jefe supervisará y estudiar los construir un sistema IDS. En este informe, los autores informan que la idea de
informes de los detectives. Si un jefe se da cuenta de que la seguridad de un IDS proactivas se trata de predecir el ataque de intrusos antes de que
sitio ha sido comprometida, realmente llegue a su etapa final. Proactivo IDS es un sistema que reacciona a
las amenazas impuestas, y en respuesta se aplicará fi nidas PREDE rutinas
defensivas dentro del sistema.
Hay dos tipos de líneas de productos en la industria de IDS comercial. En

un tipo de producción, el IDS es
producido en la forma de un paquete de software. Con el fin de proteger a un de búsqueda se refiere a la cabecera de los paquetes. Sin embargo,
huésped, el software IDS tiene que ser instalado en ese host. Una vez recientemente los investigadores han valorado el cuerpo o la carga útil de los
instalado el IDS, que acceden a la red módulos / puertos de host y que paquetes también. Esta parte de los paquetes fue generalmente ignorado debido
ganará el control sobre ellos. Más adelante, utilizando su control sobre el a su gran volumen y el extenso tiempo de procesamiento requerido para el
sistema IDS monitorear las transacciones de red y responderá a las procesamiento de ellos. Investigadores como Lee y col.
amenazas. A pesar de que se puede utilizar para los IDS distribuidos así, este [30, 31, 28] con los datos
enfoque es más adecuado para los IDS basado en host que los IDS basado intereses mineros abordar el problema utilizando las reglas de asociación. Sin
la red. embargo, extraen estas reglas utilizando la información en la cabecera de los
paquetes. Zanero et al. [44] informar de un trabajo donde cabecera TCP / IP y los
Sin embargo, la industria ha mostrado un gran interés en otro enfoque paquetes de carga útil se utilizan para extraer características. En este trabajo,
también. En este enfoque, la totalidad del producto IDS está incluido en una utilizando un algoritmo de agrupamiento no supervisado, la carga útil se comprime
caja (aparato IDS). Tanto el hardware y los módulos de software están dentro en un solo byte. En su trabajo, Zanero et al. han utilizado SOM para la
de esa caja. Otros anfitriones / servidores se pueden comunicar con el IDS clasificación de los paquetes. En otro trabajo se informa, Lei et al. método de la
utilizando la infraestructura de red. administrador de la red puede actualizar el Red de Aprendizaje (ICLN) [32] Informe de Mejora Competitiva basado en el SOM
IDS con nuevas políticas utilizando un terminal con una conexión de red. pero el 75% más rápido (experimentado en el conjunto de datos KDD-99).
Productos de empresas como CISCO (CISCI sensores IDS) y Mazu (Mazu
Enforcer) son ejemplos de este tipo de enfoque.
Sólo la extracción de características no es útil para la identificación. La
extracción debe ser seguido con una segunda etapa en la que los patrones se
La razón para el enfoque del aparato IDS siendo atractiva para el mercado y por lo tanto a la producen utilizando las características extraídas. El uso de estos patrones,
industria del IDS, es su facilidad de instalación y despliegue flexible. Al mismo tiempo, los núcleo inteligente del IDS analizará el estado de funcionamiento de la red y
administradores no tienen que preocuparse por la computación de alto sobrecarga ejercida sobre las dar la alarma en caso de necesidad. Empleando el método de extracción
máquinas host por el IDS. Una vez que una red está dirigido, el ataque está dirigido primero en el patrón, se debe considerar tanto la importancia de las características y la
propio IDS. Por lo tanto, en el caso de los IDS basado en host, el host y el IDS irán bajo ataque. Esta relación entre ellos en el espacio de características. El patrón resultante es de
situación aumentará la sobrecarga informática en el ordenador central, al mismo tiempo que reducirá su alguna manera una versión comprimida y abstraído del espacio de
tiempo de respuesta. Con el IDS aparato se resuelve este problema. Otro beneficio de este enfoque es características. Una de las cuestiones esenciales es cómo determinar el valor
para el fabricante. La producción de los IDS en forma de un aparato mejorará las medidas de seguridad de la información de las características o la forma de encontrar las relaciones
de la reingeniería producto también. Es fácil de descifrar un software y hacer copias ilegales fuera de él, y evaluar la importancia de las relaciones entre las características? Por lo
sin embargo, siguiendo este enfoque no será factible para el IDS de electrodomésticos. La general, los métodos estadísticos [6] se utilizan para este propósito. métodos
implementación de hardware del aparato hará más difícil y más caro para hacer una copia de la misma. de minería de datos también se utilizan comúnmente en este ámbito [30, 31,
El inconveniente de este enfoque es el coste de producción. El uso de los componentes de hardware 28, 29].
aumentará el costo de producción y en consecuencia el precio del producto. Otro beneficio de este
enfoque es la garantía para la configuración del hardware y un rendimiento óptimos para el IDS. Esto se
debe a que, la plataforma de hardware y la configuración del software ya ha tenido lugar y probados por
el fabricante que está familiarizado con el sistema. El inconveniente de este enfoque es el coste de
producción. El uso de los componentes de hardware aumentará el costo de producción y en
consecuencia el precio del producto. Otro beneficio de este enfoque es la garantía para la configuración
del hardware y un rendimiento óptimos para el IDS. Esto se debe a que, la plataforma de hardware y la
configuración del software ya ha tenido lugar y probados por el fabricante que está familiarizado con el
sistema. El inconveniente de este enfoque es el coste de producción. El uso de los componentes de

6 Honey Pot (HP)
hardware aumentará el costo de producción y en consecuencia el precio del producto. Otro beneficio de
A pesar de su cacia e ff, no fue hasta los últimos años este enfoque se ha
este enfoque es la garantía para la configuración del hardware y un rendimiento óptimos para el IDS.
tomado en serio en el mundo académico. Sin embargo, recientemente la
Esto se debe a que, la plataforma de hardware y la configuración del software ya ha tenido lugar y
investigación en esta área ha ganado algo de impulso. Tal vez este retraso se
probados por el fabricante que está familiarizado con el sistema.
debió al hecho de que no existe un concepto teórico que participan en el
enfoque de HP, es sólo un engaño. HP es principalmente un enfoque
heurístico y se basa en el concepto de cebo y trampa. No obstante, el sector
de la industria está muy atraído por este concepto. Hay una serie de
productos disponibles que utilizan el HP para atrapar a los intentos de
5 Dónde buscar las características? intrusión no detectados. En términos generales, HP es un enfoque basado en
el engaño para detectar actos de un enemigo engañoso (intruso). El concepto
características deseadas para los IDS dependen tanto de la metodología y el
HP ha llamado mucho la atención en internet y hay numerosos sitios
enfoque de modelado utilizado en la construcción del IDS. Estas características
dedicados a este concepto [19]. Algunos marcos basados en HP incluyen:
suelen ser numerosos. Por lo tanto teniendo en cuenta el volumen de datos, el
procesamiento de todos ellos llevará un tiempo tranquilo. Con el fin de acelerar el
proceso, estas características son generalmente preprocesados para reducir su
tamaño, al tiempo que aumenta su valor informativo. Hay numerosos enfoques
reportados en esta área. La mayor parte de la re informado • proyecto honeyd con Licencia Pública General de GNU [21] que crea
hosts virtuales en una red.
• Honeynet [36] del proyecto, es un proyecto de fi ne con el objetivo de tiempo podría ayudar en el hallazgo de la raíz de la conexión que
construir una red de miel virtual. el atacante está utilizando. Seguimiento de los atacantes puede
ser muy dif'ıcil y requiere una gran cantidad de experiencia y
• Spectre [13] es un producto comercial y es compatible con HP para tiempo para rastrear de nuevo a su origen.
obtener recursos Erent di ff dentro del sistema. Una de las
características importantes de este producto comercial es la amplia
3) Otro beneficio obtenido por HP manteniendo el atacante ocupado es
gama de sistemas operativos que cubre.
perder el tiempo atacantes e impedirle comprometer otros recursos
con una velocidad rápida. Por ejemplo, en un escenario de escaneo
• Proyecto Honeypot [1] está dirigido para proteger sitios web y servidores de correo de puertos manteniendo el atacante espera de una respuesta
electrónico de los spammers. puede signi fi cativamente desaceleración de todo el proceso. HP

puede hacer esto de una manera Erent di ff así, es decir, mediante
• Volver O ffi ce friendly (BOF) [14] es un software gratuito que despliega la emulación de un entorno de trabajo, HP puede convencer al
HP para varios servicios en el sistema de intruso que se encuentra en un sistema real y le permitirá tratar de
por ejemplo, SMTP, POP3, HTTP, FTP, Telnet y IMAP2. realizar la intrusión. La más convincente es la de HP, más tiempo
que el intruso gastará en el medio ambiente.
• Muchos otros proyectos de investigación en esta área se enumeran en
Honeypots.net sitio [19] que están fuera del alcance de este informe.
• Dentro de un sistema IDS vigilado, HP detectar ataques inadvertidos.

La idea general detrás de la tecnología de HP es colocar una trampa y el cebo De esta forma, HP aumentará la fiabilidad del IDS. La detección o FF
y esperar a que la caza a caer en él. Esto se suma a todas las otras herramientas Ered por el HP es independiente del tipo de ataque que se aplica en el
de detección desplegado para capturar la caza. Aquí HP se utiliza como un sistema.
suplemento a la IDS para detectar la intrusión IDS, donde fue incapaz de hacerlo.
De esta manera, se reduce la probabilidad de perder algunos ataques no
detectados. Aparte de la detección de ataques pasados por alto por el IDS, HP • Otro beneficio para el uso de un HP en un sistema es con respecto a la
puede ayudar a la IDS de muchas otras maneras. sobrecarga en el procesador. En los IDS acercarse a cada transacción de
paquete en el sistema tiene que ser controlada y analizada. Por lo tanto,
El supuesto principal en la implementación de un HP, es que, nadie volvería a el enfoque de IDS generará una alta demanda de potencia de cálculo
utilizar el recurso seleccionado para el HP. Por lo tanto, se espera que cualquier dentro del sistema. Lo mismo es cierto con la transferencia de datos
intento de utilizar esos recursos para ser malicioso y debe ser monitoreada. Algunos dentro del sistema. Debido al tamaño de los paquetes transferidos dentro
beneficios de la HP se enumeran en el apartado siguiente: del sistema, el tiempo de transferencia de datos va a consumir una gran
parte del tiempo de procesamiento. Además del tiempo de
procesamiento, la transferencia de datos consumirá di transferencia de
• HP mantendrá el atacante preocupado. En esto datos ff Erent recursos relacionados del sistema. Utilizando el HP
método, después de detectar el intento de intrusión, el sistema alertará a la
reducirá el procesamiento y recursos overhead consumo en el sistema.
seguridad o fi cial de inmediato mientras se mantiene el atacante ocupado. Este
Se proporcionará el tiempo de procesamiento para el proceso de HP sólo
enfoque tiene varios beneficios que se enumeran en el apartado siguiente:
cuando se utilizan los recursos de HP monitorizados dentro del sistema.
De este modo, la sobrecarga forzada en el sistema anfitrión por el HP
durante el HPs período de inactividad será insignificante. Este escenario
1) Mediante la selección de los recursos correctos para el HP para
es muy similar a los erences di ff entre la interrupción y en base al
emular como cebo, se pueden distinguir los intereses di ff Erent
sondeo métodos de manejo de IO en el diseño del hardware equipo
de los atacantes. Tener el intruso caído en la trampa, HP puede
basado.
empezar a estudiar el oponente. HP le permitirá al intruso a
navegar por el entorno emulado y registrará sus acciones. HP o
la seguridad o fi cial pueden obtener mucha información
mediante el estudio de acciones registradas del atacante, los
recursos dirigidos y atacantes información sobre el sistema,
Con el fin de mejorar el rendimiento de la operación de HP y para
como el nombre de usuario, contraseña, etc.
aumentar la probabilidad de éxito de la HP, por lo general un gran número de
los HP se colocan en una red. Estos son los HP cerca de los importantes
recursos en la red y operan tanto como un guardián y un señuelo para ellos.
2) Mantener el atacante ocupado. HP comprará más tiempo para que el Un grupo de HPs que se distribuyen en un sistema se llama una granja
sistema de respuesta o la seguridad o fi cial / administrador del Honey Pot.
sistema para venir arriba con una respuesta adecuada al intento de
ataque. Tiempo de respuesta de latencia es muy importante ya que Hoy en día, los intrusos consciente de la tecnología HP tratan de evitar las postas
los ataques podrían ser demasiado rápido para que el sistema de de salud o incluso tomar ventaja de ellos. Para ello, se han implementado
respuesta para reaccionar ante ellos. Al mismo tiempo, proporcionar al herramientas para detectar el HP y una vez detectado, se desenganchar el HP. Al
administrador del sistema con su ciente FFI mismo tiempo, las postas de salud suelen ser desplegados para proteger un recurso o
un dato. Una vez
HP es detectada, lo más probable es que encontrar un recurso valioso en su también afirman que a pesar de la itinerancia de la lógica de HP es más
vecindad. económico e ff caz, la itinerancia física sigue siendo necesaria para proteger la
Zhang et al. [45] Informe de una investigación sobre el concepto de HP. En red contra los ataques internos.
el diario, el concepto de HP se investiga y se describen HP y las redes de miel.
el control y captura de datos para el HP se ilustran. Los autores clasifican las
postas de salud en cuatro categorías: prevención, detección, reacción e 7. Conclusiones
Investigación. Por la prevención, Zhang et al. significa que la prevención de
HP retrasará la intrusión de desviar la atención intrusos al HP. En cuanto a la Teniendo en cuenta la literatura encuestados, está claro que con el fin de ser
detección de HP, puede generar alertas cuando se detecta el ataque. Los capaz de asegurar una red contra los nuevos ataques, la detección de intrusos
autores también creen que HP no puede ser utilizado de forma individual y es basados anomalía es la mejor salida. Sin embargo, debido a su inmadurez
un complemento de la IDS. Ellos definen la reacción de HP para ser un tipo de todavía hay problemas con respecto a su fiabilidad. Estos problemas
sistema de compañeros y el entorno de prueba de vulnerabilidades del conducirán a altos falsos positivos en cualquier IDS basado en anomalías.
sistema de prueba. El tarro de miel investigación es para registrar y estudiar el Para resolver este problema, se utiliza por lo general un enfoque híbrido. En el
oponente (el intruso) y para informar del resultado. Este tipo de HP actuará de enfoque híbrido, el enfoque signaturebased se utiliza junto con el enfoque
una manera flexible muy fl y proporcionará al intruso con un gran espacio de basado en anomalía. De esta manera, el segundo enfoque se utiliza sobre
maniobra. El objetivo principal de este tipo de HP es determinar el propósito y todo para las nuevas tácticas mientras que la precisión del primer enfoque
el objetivo del intruso. Un HP puede contener cualquiera o una combinación de (enfoque basado en la firma) proporcionará una detección fiable de los
estas categorías. ataques conocidos. enfoque basado en la especificación sólo es bueno
cuando se conocen sistemas de cationes y detalles especificaciones y la
aplicación de limitaciones en el usuario es aceptable. El genérico de fi nición
del comportamiento normal y el comportamiento anomalía en el sistema se
Kuwatly et al. [27] en su artículo, dividir HPs en dos categorías, es decir, presentan en este documento. La intensión para la introducción de estos
HPs de baja interacción y HPs de alta interacción. Low-interacción HP son las genéricos de fi niciones era ayudar a los investigadores convergen en la
que tienen capacidades de interacción limitado y puede emular ciertos definición del comportamiento normal de la red.
protocolos tales como FTP por ejemplo Spectre [13], Honeyd [21].
A medida que la tecnología de HP mejora también lo hace la tecnología

anti-HP. Por lo tanto, ya se ha iniciado una batalla sin fin. Los tarros de miel En IDS basados en red, los sistemas basados en agentes juegan un papel
tienen que mejorar constantemente lo contrario ellos mismos se convertirán esencial. En tales sistemas de una arquitectura de procesamiento distribuido es
en un punto débil en el sistema. En otras palabras, proteger u ocultar algo una necesidad y el sistema tiene que recoger información de componentes Erent di
demuestra que es importante para nosotros. Por lo tanto, al saber qué ff dentro de la red. La implementación de este tipo de arquitectura, se debe evitar el
recursos de HP está protegiendo, el intruso puede identificar el medio aumento de la red tra FFI c.
ambiente y los objetos de valor en el sistema de una mejor y más e fi ciente
manera [25]. Autores proponen un diseño para un tarro de miel dinámico, Gran volumen de datos y el comportamiento normal no determinista de la red
capaz de cambiar la con fi guración para que coincida con el entorno dinámico son dos de los principales retos en el diseño de IDS. A medida que el volumen de
y cambiante de una red. datos utilizando la cabecera de los paquetes ya es muy grande, utilizando la
información en la carga útil hará que el proceso sea aún más lento. Sin embargo,
hay trabajos reportados por algunos investigadores en esta área que muestran un
Khattab et al. [24] proponer itinerancia de HP para los ataques de denegación buen progreso en el uso de paquetes de carga útil para el análisis.
de servicio servicelevel (itinerancia física). El mecanismo propuesto permite al HP
para mover al azar su posición dentro de un grupo de servidores. características Los productos de detección de intrusiones se analizaron con respecto al
benéfico interesantes en este trabajo son el fi ltrado e ff ect y la conexión caen. El fi software o de producción basado aparato y los beneficios de cualquiera de los
ltrado e ff TEC es cuando el servidor inactivo que está actuando como un HP diseños fueron discutidos. La construcción de los dispositivos de hardware
detecta las direcciones de los atacantes y fi ltros de ellos o se les pone en lista puede ser más dif'ıcil para empresas con menor presupuesto de desarrollo. Sin
negra. La conexión de goteo se produce en un momento en el desplazamiento embargo, los IDS basados en dispositivos son más apreciado en el mercado.
aleatorio cuando el servidor está conmutando desde (modo HP) inactivo a activo. En Desde el punto de vista del consumidor, IDS basados en dispositivos es más
este momento el servidor cae todas las conexiones (conexiones atacante). Esta fácil de instalar y de mantener. En vista fabricantes, IDS basado aparato es un
caída de la conexión a su vez, se abrirá el espacio para las peticiones legítimas diseño más seguro de fabricar, pero como el mismo tiempo más caro de
antes de una nueva ola de ataques empezar de nuevo. En su artículo, los autores producir.
definen la lógica de itinerancia tarros de miel de la siguiente manera.
Otro aspecto del diseño IDS es el tema de los ataques perdidas. Si
algunos ataques no son detectados por el IDS, no hay medios para darse
cuenta de ellos. Este es especialmente el caso de los nuevos ataques.
Lógicamente itinerancia tarros de miel son similares a los saltitos IP, Además de todos los otros beneficios, la tecnología HP puede ayudar a
donde los clientes legítimos coordinados por los servidores cambian exponer a estos ataques. La precisión de la tecnología HP depende del
aleatoriamente la dirección de destino en sus paquetes. De esta manera, se número de los HP distribuidos en el sistema (población de la granja HP).
representará la inoportuna tra fi c que no se actualiza con la dirección de Cuanto mayor sea la población de las postas de salud del más
destino correcta. Ellos
exacta es la tasa de detección. El aumento de la precisión no es el único TEMS, señales y dispositivos, SSD05 vol. 3, Sousse, Túnez, marzo de
beneficio de la aplicación de la tecnología de HP, pero puede ser utilizado 2005. IEEE.
para otros propósitos también. Por ejemplo, HP puede ser utilizado para el [3] A. Zhong y CF Jia, “Estudio sobre las aplicaciones
estudio o ralentizar el intruso. de modelos ocultos de Markov para detección de intrusión
informática,”en Actas del V Congreso Mundial de Control y
Automatización Inteligente WCICA, vol. 5, pp. 4352-4356. IEEE, junio de
2004. [4] D. Barbara, J. Couto, S. Jajodia, y N. Wu, “Espe-
8 trabajos futuros
sección cial en la minería de datos para la detección de intrusiones y análisis
En cuanto al trabajo futuro, intensión es producir un IDS capaz de detección de la amenaza: Adam: un banco de pruebas para explorar el uso de minería de
de intrusos basado anomalía y firma. Hay dos opciones en frente de nosotros, datos en la detección de intrusos,” ACM SIGMOD Record, vol. 30, pp. 15-24,
es decir, IDS basado en host o red basada. El IDS basado en host puede ser diciembre de 2001. [5] D. Barbara, N. Wu, y S. Jajodia, “Detección de novela
más fácil de implementar, aunque la red basada en IDS necesita más tiempo
y e ORT ff para su implementación y diseño. A cambio, los IDS basado en red intrusiones en la red utilizando estimadores de Bayes “, en Actas de la
proporcionará un IDS más fiable y más precisa. La red IDS tiene que tener la Primera Conferencia Internacional sobre SIAM minería de datos (SDM
conciencia medio ambiente. Por lo tanto, el IDS basado en red necesita 2001), Chicago, EE.UU., abril
sensores especiales para su trabajo. tecnología basada en agente es uno de 2001.
los elementos esenciales en esta metodología de diseño de arquitectura
[6] M. Bilodeau y D. Brenner, Teoría de la multivariable
distribuida.
comió estadísticas. Springer - Verlag: Nueva York, 1999. Edición
electrónica en ebrary, Inc. [7] M. Botha y R. von Solms, “Utilizando la
lógica difusa
El enfoque elegido para nuestro trabajo futuro es el producto de software
y análisis de tendencias para e ff detección de intrusos reflexivo,”
basado en la red. Sin embargo, el enfoque basado en host se considera así. El
Computadoras y Seguridad, vol. 22, no. 5, pp. 423-434,
marco temporal del proyecto y el presupuesto son los principales problemas
2003.
con respecto a esta decisión. Sin embargo, la aceptación de los gastos,
[8] Susan M. Bridges y M. Vaughn Raimundo, “Fuzzy
siempre es posible convertir un IDS basado en software a la versión del
minería de datos y algoritmos genéticos aplicados a la detección de
aparato de la misma.
intrusos,”en Actas de la XXIII Conferencia Nacional de Seguridad de
los Sistemas de Información.
Desde el punto de vista teórico, se pretende mejorar la precisión de la
Instituto Nacional de Estándares y Tecnología, octubre
detección de intrusos basado anomalía. Una forma de hacerlo es utilizar la
2000.
carga útil de los paquetes. Por lo tanto, es necesario prever un método ya sea
[9] D. Bulatovic y D. Velašević, “A in- distribuido
para reducir el tamaño de los datos o para procesar los datos más
sistema de detección de trusion basado en redes de alarma
rápidamente. La idea principal es encontrar un método para manejar grandes
Bayesiano,” Lecture Notes in Computer Science (Secure Networking
volúmenes de datos con una menor pérdida de información. Por la misma
CQRE (Secure) 1999), vol. 1740, pp. 219-228, 1999.
razón, las características deben ser evaluados con respecto a su valor
informativo. De esta manera, cada característica se asocia con un coe fi ciente
[10] J. Cabrera, L. Lewis, X. Qin, W. Lee, R. Prasanth,
de la importancia que determina su cacia global e ff en comparación con las
B. Ravichandran, y R. Mehra, “La detección proactiva de ataques de
otras características. E algoritmos y programas fi ciente pueden proporcionar
denegación de servicio a través de variables MIB tra fi cientes c - un
una gran ayuda para este propósito.
estudio de viabilidad”, en Actas de la 7a / Simposio Internacional IEEE
sobre IFIP gestión de red integrada, pp. 609-622, Seattle, WA, mayo de
2001.
Reconocimiento [11] Joao BD Cabrera, L. Lewis, X. Qin, W. Lee, y

Raman K. Mehra, “detección de intrusiones proactiva y de denegación
Este trabajo fue financiado por la Agencia de Oportunidades del Atlántico de de estudio de caso de servicio attacksa en la gestión de la seguridad” Diario
Canadá (ACOA) a través del Fondo de Innovación del Atlántico (FIA) con el Dr. de Gestión de Redes y Sistemas, vol. 10, pp. 225-254, 2002. [12] SB
Ali A. Ghorbani. Cho, “La incorporación de técnicas de computación suaves
en un sistema de detección de intrusos probabilística,”
referencias IEEE Transactions on SYSTEMS, MAN, Y CYBERNETICSPART C:

Aplicaciones y REVIEWS, vol. 32, págs. 154-160, mayo de 2002. [13]
[1] Unspam; LLC, una com- anti-spam basado en Chicago NetSec de la Red de Seguridad Software Co. “Spectre”.
Pany. “El sitio web para el honeypot proyecto”.
http://www.projecthoneypot.org/. http://www.specter.com/.
[2] M. Analoui, A. Mirzaei, y P. Kabiri, “intrusión [14] NFR Co. “Página Web de co NFR.”. http://www.nfr.net/. [15] Mitsubushi
Corporation. “Agente móvil Concordia
detección utilizando análisis multivariante de algoritmo de varianza,”en Tercera
Conferencia Internacional sobre Sys kit de desarrollo,". Software, 1999.
[16] John E. Dickerson y Julie A. Dickerson, “Fuzzy Detección de Intrusos, 3er Simposio Internacional, (RAID 2000) ( H.
red pro fi ling para la detección de intrusos,”en Actas de NAFIPS 19ª Debar, LM, y SF Wu, eds.), Pp. 49-65, Toulouse, Francia, octubre de
Conferencia Internacional de la Sociedad de Procesamiento de la 2000. Lecture Notes in Computer Science, Springer-Verlag Heidelberg.
Información Fuzzy de América del Norte, pp. 301-306, Atlanta, USA, julio
2000. [17] Simon Y. Foo y M. Arradondo, “agentes móviles
[29] W. Lee y Salvatore J. Stolfo, “Un marco para
para la detección de intrusos computadora “, en Actas de la trigésimo la construcción de características y los modelos para sistemas de detección
sexta sudeste Simposio sobre Teoría de sistemas, pp. 517-521. IEEE, de intrusos,” ACM Transactions on Información y Seguridad del sistema
IEEE, 2004. [18] J. Gómez y D. Dasgupta, “Evolving clasifi- fuzzy (TISSEC), vol. 3, pp. 227-261, Nov. de 2000.
SI fi cadores para la detección de intrusos,”en Actas de la IEEE Taller [30] W. Lee, Salvatore J. Stolfo, y Kui W. Mok, “Mi-
2002 sobre la seguridad de la información, ing datos de auditoría para construir modelos de detección de intrusos,”en
West Point, Nueva York, EE.UU., junio de 2001. [19] Actas de la Cuarta Conferencia Internacional de Descubrimiento de
honeypots.net. "Sitio web para honeypot”. Conocimiento y Minería de Datos (KDD '98) ,, Nueva York, NY, EE.UU.,
http://www.honeypots.net/. agosto de 1998. [31] W. Lee, Salvatore J. Stolfo, y Kui WMok,
[20] PZ Hu y Malcolm I. Heywood, “Predicción de intrusión “adaptaciones
siones con el modelo lineal local “, en Actas de la Conferencia Conjunta detección de intrusos tiva: Un enfoque minería de datos,”
Internacional sobre Redes Neuronales, Arti fi cial Inteligencia Review, vol. 14, no. 6, pp. 533-
vol. 3, pp. 1780-1785. IEEE, IEEE, julio de 2003. [21] Sitio web es 567, 2000.
mantenida por: Niels Provos. “Honeyd [32] JZ Lei y Ali Ghorbani, “detec- intrusiones de red
marco de referencia,". http://www.honeyd.org/. [22] J. Guan, DX Liu, y ción usando una red neuronal de aprendizaje competitivo mejorada “,
BG Cui, “Una inducción en Actas de la Segunda Conferencia Anual de Redes de
enfoque de aprendizaje para la construcción de modelos de detección Comunicaciones y Servicios de Investigación (CNSR04), pp. 190-197.
de intrusos mediante algoritmos genéticos,”en Actas del V Congreso Sociedad IEEE-Ordenador, IEEE, mayo de 2004.
Mundial de Control y Automatización Inteligente WCICA, vol. 5, pp.
4339-4342. IEEE, junio [33] G. Luo, XL Lu, J. Li, y J. Zhang, “Madids: A
2004. novedosos distribuida ids basado en agente móvil,” ACM SIGOPS
[23] H. Gunes Kayacik, A. Nur Zincir-Heywood, y Mal- operativo revisión de los sistemas, vol. 37, pp. 46-
colm I. Heywood, “en la capacidad de un sistema de detección de 53, enero de 2003.
intrusos basado som,” en Actas de la Conferencia Conjunta [34] S. mukkamala, G. Janoski, y A. Sung, “intrusión
Internacional sobre Redes Neuronales, detección usando redes neuronales y máquinas de vectores
vol. 3, pp. 1808-1813. IEEE, IEEE, julio de 2003. [24] Sherif M. Khattab, soporte,”en Conferencia Conjunta Internacional sobre Redes
C. Sangpachatanaruk, D. Mosse, Neuronales IJCNN02, vol. 2, pp. 1702-1707, Honolulu, HI EE.UU., mayo
R. Melhem, y T. Znati, “honeypots de itinerancia para los ataques de 2002. IEEE, IEEE. Fuente: IEEE Xplore.
atenuante servicio de nivel de denegación de servicio”, en Actas de la
24ª Conferencia Internacional sobre sistemas de computación [35] F. Neri, “Comparación de la búsqueda local con respecto a las
distribuida (ICDCS04), la evolución genética para detectar intrusiones en redes informáticas “,
pp. 328-337. IEEE, IEEE Computer Society, marzo en Actas del Congreso de 2000, sobre la computación evolutiva, vol. 1,
2004. pp. 238-243, Marsella, Francia, julio de 2000. IEEE, IEEE. Fuente:
[25] N. Krawetz, “tecnología Anti-honeypot,” IEEE SE- IEEE Xplore.
Guridad y privacidad, vol. 2, pp. 76-79, enero-febrero.
2004. [36] Sitio Web del Proyecto Honeynet. “Honeynet
[26] C. Kruegel, T. Toth, y E. KInfrarrojos, “Servicio espe- proyecto,". http://www.honeynet.org/. [37] M. Otey, S. Parthasarathy, A.
ci fi c detección de anomalías para la detección de intrusiones de red “, Ghoting, G. Li, S. Nar-
en Actas de la ACM Symposium 2002 en la informática aplicada, pp. Ravula, y D. Panda, “Hacia detección de intrusos basado nic,” en Actas
201-208. ACM, Simposio sobre Informática Aplicada, ACM Press New de la Novena Conferencia Internacional ACM SIGKDD en el
York, NY, EE.UU., marzo de 2002. descubrimiento de conocimientos y minería de datos, pp. 723-728.
ACM, ACM Press, Nueva York, EE.UU., agosto de 2003. Sesión de
[27] I. Kuwatly, M. sraj, Z. Al Masri, y H. Artail, “A posters: Pista Industrial / gobierno.
diseño honeypot dinámico para detección de intrusos,”en Actas de la
Conferencia IEEE ACS / Internacional sobre Servicios Generalizados [38] G. Ramachandran y D. Hart, “A intrusión p2p de-
(ICPS04), pp. 95-104. IEEE, IEEE Computer Society, julio de 2004. [28] tección sistema basado en agentes móviles “, en Actas de la
W. Lee, Rahul A. Nimbalkar, Kam K. Yee, Sunil B. conferencia regional anual Sudeste 42a, pp. 185-190. ACM Press New
York, NY, EE.UU., abril de 2004.
Patil, Pragneshkumar H. Desai, Thuan T. Tran, y Salvatore J. Stolfo, “A
minería de datos y enfoque basado CIDF para detectar novela e [39] R. Sekar, A. Gupta, J. Frullo, T. Shanbhag, A. Ti-
intrusiones distribuidos,” en Proceedings of Recent Advances in wari, H. Yang y S. Zhou, “fi a base de cationes de detección de anomalías
Speci: un nuevo enfoque para la detección de
intrusiones en la red “, en Actas de la conferencia ACM noveno en el Profesor en la Universidad Azad Facultad de Ingeniería rama central tanto en
equipo y seguridad de las comunicaciones, pp. 265-274, Washington Teherán. Era un revisor en varias conferencias. Sus intereses de
DC, EE.UU., noviembre de 2002. ACM Press. investigación incluyen el Aprendizaje Automático, Robótica y detección de
intrusiones de red.
[40] T. Song, J. Alves-Foss, C. Ko, C. Zhang, y K.
Levitt, “Uso de acl2 para verificar las propiedades de seguridad de los sistemas de
detección de intrusiones basado en especificación,” en Ali A. Ghorbani ( M95) recibió su doctorado (1995) y
Cuarto Taller Internacional sobre la ACL2 Teorema demostrador y sus Masters (1979) de la Universidad de New
aplicaciones (ACL2-2003), julio Brunswick, y la Universidad George Washington,
2003. Washington DC, EE.UU., respectivamente. Él
[41] G. Vigna, F. Valeur, y Richard A. Kemmerer, “De- estaba en la facultad del Departamento de
la firma e implementación de una familia de sistemas de detección de Ingeniería Informática, Universidad de Irán de
intrusos,”en Actas de la conferencia de la ingeniería de software Europea Ciencia y Tecno-
novena celebradas conjuntamente con 10o Simposio Internacional ACM
SIGSOFT en Fundamentos de la ingeniería de software, pp 88-97, gía, Teherán, Irán, de 1987 a 1998. Desde 1999 ha estado en la Facultad de
Helsinki, Finlandia, 2003. Fuente:. ACM Portal. Ciencias de la Computación de la Universidad de New Brunswick (UNB),
Fredericton, Canadá, donde actualmente es profesor de Ciencias de la
[42] N. Ye, “Un modelo de cadena de Markov de comportamiento temporal Computación. Él es también un miembro de la privacidad, seguridad y confianza
para la detección de anomalías,”en Actas de la IEEE Taller 2000 sobre del equipo (PST) en el Consejo Nacional de Investigación (NRC) de Canadá.
seguridad de la información y la seguridad, Academia militar de Estados
Unidos, West Point, Nueva York, junio de 2000. Se ha desempeñado en una variedad de posiciones en el mundo académico
durante los últimos 24 años. Su investigación se originó en el desarrollo de
[43] Ken. Yoshida, “Entropy detección de intrusos basado,” software, donde diseñó y desarrolló una serie de sistemas a gran escala. Su
en Actas del IEEE Pacífico Conferencia llanta sobre Comunicaciones, investigación actual se centra redes neuronales, inteligencia Web, sistemas de
Ordenadores y procesamiento de señales (PACRIM2003), vol. 2, pp. agentes, sistemas adaptativos complejos, y la confianza y la seguridad. Se
840-843. IEEE, agosto de estableció el grupo de investigación de Sistemas Inteligentes y adaptativa (NIC) en
2003. IEEE Explore. 2002 en la Facultad de Ciencias de la Computación, UNB. El grupo de SAI
[44] Ste. Zanero y Sergio M. Savaresi, “no supervisada (http://ias.cs.unb.ca) persigue la investigación en la máquina y el aprendizaje
técnicas de aprendizaje para un sistema de detección de estadístico, minería de datos, agentes inteligentes y sistemas multiagente. El grupo
intrusiones,”en Actas del Simposio ACM 2004 en la informática es también el hogar de I + D en la inteligencia Web, seguridad de la red y la
aplicada, pp. 412-419, Nicosia, Chipre, marzo de 2004. ACM Press. aplicación de sistemas multiagente para la e-salud.
[45] F. Zhang, S. Zhou, Z. Qin, y J. Liu, “Honeypot: una

complementado sistema de defensa activa para la seguridad de la
Fue autor de más de 90 artículos de investigación en revistas y actas de
red,”en Actas de la Cuarta Conferencia Internacional sobre
congresos y ha editado cuatro volúmenes. Él es miembro del consejo editorial
computación paralela y distribuida, aplicaciones y tecnologías
de la Inteligencia Computacional (CI), una revista internacional. También es
(PDCAT2003),
editor asociado de la Revista Internacional de Tecnología de la Información e
pp. 231-235. IEEE, IEEE, agosto de de 2003.
Ingeniería Web.
[46] R. Zhang, D. Qian, C. Ba, W. Wu, y X. Guo,
“Arquitectura de detección de intrusos basado Multi-agente”, en Actas
El Dr. Ghorbani un miembro de la ACM, IEEE Computer Society, y ANNS.
de 2001 IEEE Conferencia Internacional sobre Redes de ordenadores y
la informática móvil,
pp. 494-501, octubre de 2001.
Peyman Kabiri recibió su PhD en Informática

(Robótica y Aprendizaje Automático) y Maestría en
Sistemas de tiempo real de la Nottingham Trent
University, Nottingham en el Reino Unido,
respectivamente, en los años 2000 y 1996. Recibió
su B.Eng. en Ingeniería de hardware Computación
de la Universidad de Irán de SCI
cia y Tecnología, Teherán-Irán en 1992. En la actualidad es con la Facultad de

Ciencias de la Computación / Universidad de New Brunswick como coordinador
del proyecto desde septiembre de 2004. Sus posiciones académicas anteriores
fueron los siguientes: Profesor Adjunto en el Departamento de Ingeniería
Informática de Irán Universidad de Ciencias y Tecnología y Auxiliar

Articulo Deteccion Intrusos - En.es

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Articulo Deteccion Intrusos - En.es

Uploaded by

Copyright:

Available Formats

Revista Internacional de Seguridad de la red, Vol.1, No. 2, PP.84-102, septiembre de 2005 (http://isrc.nchu.edu.

La investigación sobre detección de intrusiones y Respuesta:

Peyman Kabiri y Ali A. Ghorbani

Facultad de Ciencias de la Computación de la Universidad de New Brunswick,

Fredericton, NB, E3B 5A3, Canadá (e-mail:

(Recibido el 15 de junio de 2005; revisado y aceptaron 4 julio de 2005)

Abstracto ización de la amenaza puede tener consecuencias devastadoras. Asegurar una

Una de las principales preocupaciones es asegurarse de que en caso de

Además de la piratería informática, nuevas entidades como gusanos,

Resto del trabajo se organiza de la siguiente manera: En la Sección

El objetivo principal de utilizar el enfoque ANN es proporcionar un método fi

Luo et al. [33] introducir un nuevo móvil Agente Desven-

A medida que la complejidad de los aumentos de IDS, el problema de

Autores reportan dos ventajas principales para el sistema, en primer lugar la

El valor de idoneidad para el GA se calcula utilizando los pesos de con fi

En un gráfico presentado en este documento, la tasa de falsas alarmas y la

y Y son los conjuntos de elementos de la regla y X ∩ = Y ∅ es la relación entre

2) Obtener fase de acceso inicial. Esta fase incluye los siguientes

Teniendo en cuenta lo anterior, también se han observado en las partes

Su enfoque es un enfoque basado en la anomalía. Están utilizando sistemas expertos y su enfoque,

en el documento, el trabajo es un trabajo en curso y necesita seguir más arriba.

Análisis: Este enfoque parece razonable, pero hay algunas cuestiones

1) El trabajo que está fuertemente cuenta con la conectividad o la

2) La parte de detección de función tiene que ser automatizado, este

entrenamiento (probablemente porque es muy dif'ıcil para obtener un conjunto de

experimentales. El informe de Yoshida es principalmente descriptiva y se

Si el antecedente es cierto, entonces después de un cierto tiempo de retraso

comportamiento del intruso y estas variables se utilizan para detectar el

Para modelar el anfitrión, se requiere para controlar el sistema dentro de un

En un trabajo presentado, Vigna et al. [41] implementar una técnica de análisis

La aplicación de las IDS basado anomalía requiere un conocimiento

El IDS basado en host sólo se instala en un único host / terminal y es

Hay dos tipos de líneas de productos en la industria de IDS comercial. En

producción. El uso de los componentes de hardware aumentará el costo de producción y en

sistema. El inconveniente de este enfoque es el coste de producción. El uso de los componentes de

electrónico de los spammers. puede signi fi cativamente desaceleración de todo el proceso. HP

• Dentro de un sistema IDS vigilado, HP detectar ataques inadvertidos.

A medida que la tecnología de HP mejora también lo hace la tecnología

Reconocimiento [11] Joao BD Cabrera, L. Lewis, X. Qin, W. Lee, y

Ali A. Ghorbani. Cho, “La incorporación de técnicas de computación suaves

en un sistema de detección de intrusos probabilística,”

referencias IEEE Transactions on SYSTEMS, MAN, Y CYBERNETICSPART C:

[45] F. Zhang, S. Zhou, Z. Qin, y J. Liu, “Honeypot: una

Peyman Kabiri recibió su PhD en Informática

cia y Tecnología, Teherán-Irán en 1992. En la actualidad es con la Facultad de

You might also like