Detector de intrusos en sistema experto

Abstract

Los sistemas de detección de intrusos representan un mecanismo de defensa ante los intentos de intrusión desde el interior o exterior de una red, éstos buscan prevenir o reconocer un patrón de intrusión hacia un sistema (red, aplicaciones, ordenador (host), información, etc.); por medio de la aplicación de las metodologías basadas en abusos y las metodologías basadas en perfiles, las cuales emplean diversas técnicas para lograr su objetivo (detección de intrusiones).

El presente trabajo de tesis tiene como objetivo el detectar un intruso que evadió los mecanismos de seguridad de una red y llega a un host que no cuenta con un mecanismo de seguridad adicional para su protección.

Se presenta una propuesta de un modelo que permite el aislamiento de un ordenador (host) que se encuentre comprometido por un atacante (interno o externo) y éste pueda a su vez, comprometer la seguridad de una red por medio del control e instalación de códigos maliciosos. Para dicho fin, se propone un filtro de direcciones IP (Fira) que permita aislar la comunicación entre los hosts, el cual es regulado por un mecanismo de causa-reacción basado en reglas, las cuales pueden crecer en su grado de granularidad con base a los parámetros previamente determinados por el propietario del sistema.

Su operatividad está inspirada en el análisis de la reunión de las mejores cualidades que emplean diferentes técnicas para la detección de intrusos (IPS, cortafuegos, honeypots, Sistemas Expertos y Sistema Inmune). La fortaleza del modelo propuesto es el arte del engaño buscando obtener con ello, que un atacante no detecte el periodo del aislamiento, pudiendo ser usado éste, ya sea para retroalimentar al motor de análisis de un IDS de tipo red o para que el administrador del sistema realice las acciones pertinentes. Asimismo, su diseño le permite ser flexible para evaluación de diferentes parámetros en un host y posteriormente emitir el sistema de alerta correspondiente. // The intrusion detection systems represent a mechanism of defense against intrusion attempts from inside or outside a network. They seek to prevent or recognize a pattern of intrusion into a system (network, applications, computer –host, information, etc.) through the application of methodologies based on abuse and profile-based methodologies, which employ various techniques to achieve their goal (intrusion detection).

This thesis work aims to detect an intruder which evades the security of a network and comes to host that does not have an additional safety mechanism for its protection.

We introduce a model that allows the isolation of a computer (host) that is compromised by an attacker (internal o external) which, in time, may compromise the security of a network through the control and installation of malicious codes. For this purpose, we propose an IP filter (Fira) that allows to isolate the communication between the hosts. It is governed by a cause-reaction mechanism based on rules, which can grow in their granularity level based on the parameters previously defined by the owner of the system.

Its operation is based on the analysis of the union of the best qualities used by different techniques for intrusion detection (IPS, firewalls, honeypots, Expert Systems and Immune System). The strength of the proposed model is the art of deception, seeking that an attacker cannot detect the isolation period, allowing to use it to either provide feedback to some kind of IDS’s analysis engine or allow the network administrator to perform adequate actions. Also, its design allows it to be flexible to the evaluation of different parameters on a host and then issue the corresponding warning system.