Detección de intrusiones en redes basada en anomalías mediante técnicas de modelado de protocolos

Abstract

El trabajo de tesis doctoral presentado en esta memoria supone una contribución a las soluciones existentes para el problema de la detección de intrusiones en redes basada en anomalías. Los objetivos de mayor importancia alcanzados con este trabajo pueden resumirse en los puntos siguientes: 1. Se ha efectuado un análisis crítico de las soluciones existentes para el problema de la detección de anomalías en sistemas de detección e intrusiones en redes. A través de él han sido identificados, clasificados y discutidos los principales enfoques actuales en este campo. En suma, se puede concluir que definir una noción de lo que significa "el comportamiento normal de una red de comunicaciones" es un problema para el que en la actualidad se dispone únicamente de soluciones imprecisas y parcialmente satisfactorias. Como consecuencia, la detección de eventos anómalos a partir de tales esquemas ofrece unos resultados ineficaces para su aplicación real. 2. Como alternativa, ha sido propuesta una arquitectura, denominada LAND, para la concepción y desarrollo de técnicas NIDS basadas en la detección de usos anómalos de protocolos de red. Contrariamente a las aproximaciones existentes y basadas en el modelado conjunto de toda la actividad de la red, la idea subyacente a esta propuesta consiste en considerar exclusivamente las relaciones establecidas entre entidades paritarias durante el proceso de la comunicación. Este enfoque conduce a un modelado y monitorización autónomos de cada protocolo de red. Con independencia de los resultados experimentales, han sido identificadas algunas ventajas en esta propuesta, tales como: (a) Una mayor simplicidad y precisión téorica de las técnicas. (b) La posibilidad de introducir de una forma natural la especificación del protocolo como herramienta adicional para efectuar la detección. (c) Una mayor versatilidad y modularidad del sistema global de detección. (d) La posibilidad