Sistema de detección de intrusos mediante el modelado del URI

Resumen

Cada vez son más las actividades diarias que dependen del uso de las redes de computadoras, en especial del uso del Internet y sus servicios. El acceso a los datos y a la información cada vez cobra mayor relevancia, desde la lectura de los periódicos, hasta las compras de diversos productos y servicios por la red. Esto ha dado pie a que cada día surjan nuevas amenazas o ataques cibernéticos que pueden alcanzar elevados niveles de peligrosidad y con un potencial alto impacto. Así, acciones como el robo de datos, la suplantación de identidad, la intrusión a equipos de cómputo y redes de computadoras, al igual que otras de muy diversa naturaleza, ponen en riesgo las operaciones diarias de cualquier persona o institución. En este contexto se desarrollan herramientas informáticas y procedimientos cuya finalidad es mitigar o anular cualquier amenaza que ponga en riesgo las operaciones en la red y/o la seguridad de los sistemas y los usuarios. Entre estas podemos mencionar algunas como los analizadores de vulnerabilidades, los antivirus, los cortafuegos o los sistemas de detección de intrusos, que abordan la seguridad desde diferentes enfoques tanto preventivos, como de detección y respuesta. Motivados por ayudar a minimizar el riesgo asociado a las intrusiones o ataques a los recursos de una red de computadores, surge el presente trabajo, centrado en los sistemas de detección de intrusiones. Así, este tiene como objetivo principal el desarrollo de mejoras a un sistema de detección de intrusos en red basado en el modelado de los mensajes intercambiados por un protocolo de comunicaciones. Este sistema, denominado SSM (del inglés, Structural Stochastic Model), utiliza el modelado de Markov para representar las cargas útiles asociadas a protocolos basados en el paso de mensajes. En particular, sus autores mostraron su operación con éxito para la detección de ataques basados en web, es decir, que utilicen el protocolo HTTP para transportar cargas útiles maliciosas. El sistema resultante es un detector de intrusos basado en anomalías, ya que la detección se realiza a partir del análisis de las desviaciones de dichas cargas útiles respecto del modelo de normalidad establecido. Los buenos resultados obtenidos por este IDS en los entornos de laboratorio considerados para la experimentación motivan la exploración de potenciales modificaciones orientadas a mejorar sus prestaciones para su operación en escenarios reales e incluso en servicios web en explotación. En este sentido, en el presente trabajo se proponen y evalúan diversas propuestas de diferente calado en el sistema SSM. Así, inicialmente, y tras analizar las limitaciones operativas de la técnica original, se desarrollan modificaciones cuya finalidad es mejorar el rendimiento y aplicabilidad de la misma, aunque sin afectar a la esencia de dicho sistema de detección de intrusiones. Estas mejoras están relacionadas con la aplicación del sistema en escenarios con grandes vocabularios, es decir, con una variabilidad significativa en los posibles valores de las cadenas que pueden observarse, lo que está asociado a sitios web complejos y con gran dinamicidad en sus contenidos. Así, a diferencia de como se aplica en el sistema original, se propone un tratamiento diferenciado de los vocabularios en cada uno de los estados del modelo, lo que afecta a la implementación, al suavizado de las probabilidades de observación utilizadas por el sistema y a la/s probabilidad/es de observaciones fuera del vocabulario. En particular, se propone y evalúa la utilización de probabilidades de fuera de vocabulario diferenciadas por estado a fin de tener en cuenta los diferentes tamaños de los vocabularios asociados a cada uno de ellos. Previamente, en relación al escenario experimental a utilizar, se propone y aplica una metodología para la adquisición de trazas de tráfico, tanto normal como de ataques, que garanticen la obtención de un modelado suficientemente representativo y una evaluación adecuada de las capacidades del detector en escenarios reales. Para ello se establecen varias particiones del conjunto de datos de diversa naturaleza y con diferente finalidad. Adicionalmente, a fin de evitar los problemas de privacidad asociados al análisis de las cargas útiles de un protocolo, se propone una técnica de anonimización, desarrollada el efecto, que preserva la información necesaria para la aplicación del modelado y la evaluación de las secuencias. Utilizando las bases de datos obtenidas, se constata una evidente mejora de los resultados con las modificaciones propuestas, que es especialmente relevante para el caso de grandes vocabularios. Seguidamente, dado que la técnica de modelado utilizada es independiente de la naturaleza maliciosa o no de las cadenas a modelar, se presenta y evalúa una propuesta basada en la utilización del modelado tanto para representar las cadenas normales como las de ataque. Así, el sistema de detección de intrusiones resultante evolucionaría de ser basado en anomalías, a partir de la detección mediante un umbral de anormalidad, a un sistema híbrido que determina la naturaleza de cada cadena a partir del modelo (normal o ataque) que proporciona mayor probabilidad. El sistema de reconocimiento inicialmente propuesto es modificado para mejorar sus prestaciones mediante la incorporación de nuevo de un detector de umbral. Este detector únicamente se utilizaría en aquellos casos considerados dudosos por el reconocedor, es decir, aquellos casos en los que las probabilidades de generación por el modelo normal y de ataque son similares. Finalmente, y utilizando como medida objetiva a minimizar durante el entrenamiento de los modelos la diferencia de dichas probabilidades, se propone la utilización de una técnica de entrenamiento discriminativa que mejore las prestaciones del sistema resultante. Las diversas propuestas presentadas son convenientemente evaluadas y los resultados son comparados con los que se obtienen mediante el sistema SSM original, constatándose una mejora en las prestaciones del sistema de detección de intrusiones. Estos resultados son también validados mediante la utilización de particiones de las bases de datos que habían sido establecidas con anterioridad y que no se había utilizado previamente para evaluar el sistema.