Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resultados Preliminares
Introducción
A pesar de los avances en las investigaciones referentes a seguridad Informática en el mundo, los
resultados no cubren las expectativas. El incremento a nivel mundial del número de computadoras
y su alta conectividad hacen difícil mantener los niveles de seguridad necesarios. Nuestro país no
está ajeno a esta situación, presentando un considerable crecimiento del número de computadoras
al pasar de los años. En el 2001 el país ya contaba con más de 220 000 computadoras, de ellas
más del 60% conectadas en red1.
Otro elemento que influye de manera directa en la seguridad informática es la gran importancia que
han adquirido las computadoras en el desarrollo tanto investigativo como empresarial siendo
entonces portadoras de información sensible que precisa no ser alterada y muchas veces no ser
consultada por personal no autorizado. Por esas razones son estas informaciones las principales
víctimas de intrusiones a través de la red.
La actividad informática delictiva también ha comenzado a ser un problema para Cuba. En los dos
primeros meses del 2005 Cuba reportó el doble de ataques cibernéticos en comparación con igual
2
periodo del año precedente .
Esta compleja situación de seguridad en las redes de cómputo producto del elevado número de
ataques, ha traído consigo el desarrollo de una contrapartida de investigadores dedicados a poner
freno a esta situación ideando herramientas informáticas con el objetivo de mantener segura las
3
redes :
•Antivirus
•Monitores de red y sistemas
•Detectores de vulnerabilidades
•Analizadores de logs
•Proxies
•Cortafuegos
•IDS (Intruder Detection Systems)
Los detectores de intrusiones son la alternativa tratada en la presente investigación por las
potencialidades, aún no explotadas, que poseen.
Una intrusión puede entenderse como un conjunto de acciones dirigidas a poner en riesgo la
integridad, confidencialidad y/o disponibilidad de un recurso. La confidencialidad logra que la
información sea accedida únicamente por personal autorizado. La disponibilidad permite que la
aplicación se mantenga trabajando sin sufrir ninguna degradación de accesos y provea los
recursos que requieran los usuarios. La integridad requiere que la información se mantenga
inalterada.
Los IDS, son herramientas que fortalecen la labor de seguridad en la red, introduciendo novedosos
métodos de trabajo y complementando el trabajo de soluciones ya establecidas y maduras como
3
los cortafuegos .
Los IDS más usados de los existentes en el mercado, basan la detección de intrusiones en
comparación de patrones. Para ello se apoyan en patrones de ataques conocidos, y buscan
semejanza entre estos y los paquetes que analizan. El buen funcionamiento de un sistema de este
tipo depende en gran medida del óptimo nivel de actualización de su base de patrones de ataques.
Todos los días aparecen noticias de empresas cuyos sistemas han sido víctimas de intrusiones,
puesto que existe un gran número de herramientas implementadas para el ataque a través de la
red, lo que hace de cualquier persona con conocimientos mínimos de Informática un atacante en
potencia. Luego, aquellos IDS que no sean capaces de adaptarse rápidamente a los cambios
fracasan4.
Existe otro grupo de IDS que basan su detección en la definición de un comportamiento normal y
consideran intrusiones a todos aquellos comportamientos que difieran del considerado normal,
basándose en métodos estadístico y técnicas de Inteligencia Artificial. Con este tipo de
procesamiento se logra la detección de ataques nuevos de los cuales aún no se tiene información
pero son se generan numerosas falsas alarmas.
Una de las formas de detección de anomalías más prometedoras es la basada en redes
neuronales. El concepto consiste en aprovechar la características de aprendizaje de estas redes,
para predecir las acciones de los usuarios, dado un número determinado de acciones previas
5
conocidas .
En el mundo, se ha incursionado en IDS que usan una u otra arquitectura de red neuronal sin
quedar claro cual ofrece mejores resultados en situaciones específicas.
Se han reportado algunos IDS que basan su funcionamiento en RNs multicapas, cuyas
arquitecturas y selección de los datos del paquete TCP/IP se obtienen a partir de criterios
básicamente empíricos6-9. Por tanto resulta de utilidad disponer de algunas aproximaciones que
ayuden a sistematizar las propuestas estructurales de redes neuronales multicapas aplicables a la
construcción de IDS que se basan en estas técnicas, así como para la selección eficiente de datos
del paquete TCP/IP que disminuyan el número de entradas necesarias a la RN.
Estrategias de Análisis:
La estrategia de análisis se refiere a la técnica que utiliza el IDS, una vez recuperada la
información, para determinar de esta los datos de interés e identificar si hubo o no una intrusión.
Estas estrategias dividen a los IDS en dos grandes grupos:
? IDS de detección del mal uso o uso Indebido.
? IDS de detección de anomalías.
Los IDS basados en detección de uso indebido cuentan con el conocimiento a priori de las
secuencias y actividades que conforman un ataque almacenado en una base de datos. Por tanto
para detectar intrusiones dentro de la información recopilada de la fuente se hace una comparación
de esta con los patrones de ataques almacenados, y en caso de encontrar similitud se genera una
alarma. Con este método se logran detectar intentos de explotación de vulnerabilidades típicos, de
4
los cuales ya existe información. Esta estrategia es la más utilizada en los IDS comerciales .
La detección de uso indebido tiene entre sus grandes ventajas la amplia seguridad que ofrece al
detectar una intrusión, puesto que el ser clasificada una actividad como intrusiva significa que se
correspondió con un patrón (de la base de datos) que fue reconocido con anterioridad como un
ataque, luego el índice de falsos positivos, que no es más que una conducta normal erróneamente
identificada como anormal, es muy bajo.
Las desventajas principales de este tipo detección radican en su incapacidad para detectar nuevos
tipos de ataques y en la necesidad de mantener constantemente actualizada la base de patrones
de ataques, ya que estos representan el núcleo del buen funcionamiento de este tipo de sistema.
Estas debilidades son de vital importancia en la actualidad donde los ataques son cada vez más
creativos y cada vez más frecuentes.
Los IDS de detección de anomalías tienen un conocimiento contrario a los de uso indebido parten
del conocimiento de lo normal y toda actividad que se aleje de este comportamiento es
considerada una intrusión.
Este tipo de detección evita el proceso de actualización de una base de datos de patrones de
intrusión y brinda la posibilidad de detectar ataques nuevos de los cuales no se tenga información
alguna. No obstante este tipo de IDS tiene algunas desventajas que han impedido su uso aceptado
por la mayoría de los administradores de redes. Por ejemplo son generadores de un gran número
de falsas alarmas ya que el comportamiento normal de los usuarios es extremadamente difícil de
modelar por lo variable que puede llegar a ser, y por tanto un comportamiento inusual, no tiene
necesariamente por qué ser ilícito. Otra debilidad importante de este tipo de sistema es que
necesita un largo período de entrenamiento, previo a su uso, para detectar los comportamientos
4
normales de los usuarios y sistemas dentro de la red .
Los IDS basados en patrones (uso indebido) no son funcionales en las condiciones actuales donde
se generan nuevos ataques con tan alta frecuencia mientras que los IDS basados en anomalías
surgen para eliminar esta limitante pero generan nuevos problemas.
Tipo de Respuestas:
Los resultados obtenidos en la fase de análisis, son utilizados para tomar decisiones que
conducirán a una respuesta. La respuesta que da un IDS ante la detección de una intrusión
también es un factor determinante en su clasificación. Estas respuestas pueden ser pasivas o
activas. Las pasivas se refieren a emisiones de informes, sonidos o el registro de las acciones
ocurridas. Las activas son las que ejecutan alguna acción en particular como ejecución de
programas, cierre de una cuenta o reconfiguración del cortafuego.
Es deseable que un IDS soporte ambos tipos de respuesta, no son excluyentes, todo lo contrario,
ya que es recomendable reaccionar de manera pasiva ante determinadas anomalías de poco
envergadura y activamente ante ataques que pongan seriamente en peligro la seguridad de los
sistemas10.
Esta última cuestión guarda relación con la primera aunque se enmarca en el problema más
general ya que puede existir un número considerable de arquitecturas de redes neuronales
capaces de aprender las características de un conjunto de datos
6
Se han propuesto algunas soluciones a estos problemas. Por ejemplo en se propone utilizar
solamente 29 datos del paquete TCP/IP: 10 de la cabecera IP, 11 de la cabecera TCP, 1 de la UDP
y 3 de la ICMP. Se tuvieron en cuenta además los datos del contenido del paquete, pero por la
dificultad que trae consigo utilizar todos estos datos utilizaron solamente 4 características del
mismo en forma estadística de probabilidad de los cuatro caracteres más frecuentes que aparecen
en él. Se logró utilizar un número pequeño de entradas factible para el funcionamiento de la RN,
pero se desestimó información importante del contenido del paquete que es precisamente donde
viajan los datos referentes a los protocolos de aplicación, que son grandes portadores de ataques.
7
En , no se analizan los datos del contenido del paquete, tomándose como entradas al clasificador
neuronal: 9 campos de la cabecera IP, 8 de la cabecera TCP, 3 de UDP y 2 de ICMP. En 8
solamente se analiza la información del protocolo HTTP, que es un protocolo de aplicación que se
encuentra en el contenido del paquete.
En 9 se utiliza una red neuronal con 402 datos de entrada (cosa que hace ineficiente el
funcionamiento del clasificador) ya que a pesar de no tomarse en cuenta protocolos como el UDP y
el ICMP se tomaron los primeros 393 caracteres del contenido del paquete.
Referencias bibliográficas
1. Ministerio de las Informáticas y las Comunicaciones. “Internet VoIP. República de Cuba”, Cuba, 2001
2. Indymedia. “Se multiplica en Cuba ataques informáticos”http://www.porsiemprecuba.com/, 2006.
3. BALUJA, Walter. “Acercamiento a los sistemas detectores de intrusos.”Telem@tica Revista Digital de
las Tecnologías de la Información y las Comunicaciones, Año I No. 2 ISSN: 1729-3804. 2001.
4. ZURUTUSA, Urko. “Estado del Arte: Sistemas de detección de intrusos”, Universidad Politécnica de
Mondragón, Departamento de Informática, Octubre 2004.
5. LUNT, Teresa F.A “Survey of Intrusion Detection Techniques”, Computer and Security,p 405-
418,1993.