Detección de Intrusos en la red utilizando redes neuronales.

Resultados Preliminares

Ing. Iren Lorenzo Fonseca, Dr. Rogelio Lau Fernández

Instituto Superior Politécnico José Antonio Echeverría
ilorenzo@ceis.cujae.edu.cu

Resumen: La seguridad de redes ha comenzado a ser un problema importante en el mundo

moderno. El número de computadoras, la conectividad entre ellas y la importancia de su uso para
la vida cotidiana del hombre es cada vez mayor y por tanto se hace cada vez más complejo
mantener los estándares de seguridad esperados. Para poner freno a esta situación han surgido
un grupo significativo de herramientas, entre las que se destacan por sus grandes potencialidades
los Sistemas de Detección de Intrusos (IDS). Estos son los encargados de monitorizar los eventos
que ocurren en un sistema o red, para analizarlos en busca de problemas de seguridad. La
inteligencia artificial ha sido ampliamente utilizada en este tipo de herramientas, destacándose
algunas técnicas específicas como las redes neuronales (RN).
El uso de RN con estos fines ha producido algunos logros aunque aún no se han obtenido los
resultados esperados.
La selección de la arquitectura de RN adecuada para la clasificación de comportamientos en la red,
es el problema principal a solucionar, primeramente con una correcta selección de datos de
entradas al clasificador neuronal y luego con una definición de las salidas a tener en cuenta.
El presente trabajo propone una manera de resolver algunos de los problemas existentes para la
clasificación de ataques a partir de paquetes TCP/IP con redes neuronales, utilizando para ello el
Análisis de Componentes Principales (PCA) como técnica de reducción de rasgos para la selección
de las entradas.

Introducción
A pesar de los avances en las investigaciones referentes a seguridad Informática en el mundo, los
resultados no cubren las expectativas. El incremento a nivel mundial del número de computadoras
y su alta conectividad hacen difícil mantener los niveles de seguridad necesarios. Nuestro país no
está ajeno a esta situación, presentando un considerable crecimiento del número de computadoras
al pasar de los años. En el 2001 el país ya contaba con más de 220 000 computadoras, de ellas
más del 60% conectadas en red1.
Otro elemento que influye de manera directa en la seguridad informática es la gran importancia que
han adquirido las computadoras en el desarrollo tanto investigativo como empresarial siendo
entonces portadoras de información sensible que precisa no ser alterada y muchas veces no ser
consultada por personal no autorizado. Por esas razones son estas informaciones las principales
víctimas de intrusiones a través de la red.
La actividad informática delictiva también ha comenzado a ser un problema para Cuba. En los dos
primeros meses del 2005 Cuba reportó el doble de ataques cibernéticos en comparación con igual
2
periodo del año precedente .
Esta compleja situación de seguridad en las redes de cómputo producto del elevado número de
ataques, ha traído consigo el desarrollo de una contrapartida de investigadores dedicados a poner
freno a esta situación ideando herramientas informáticas con el objetivo de mantener segura las
3
redes :
 •Antivirus
•Monitores de red y sistemas
•Detectores de vulnerabilidades
•Analizadores de logs
•Proxies
•Cortafuegos
•IDS (Intruder Detection Systems)
Los detectores de intrusiones son la alternativa tratada en la presente investigación por las
potencialidades, aún no explotadas, que poseen.
Una intrusión puede entenderse como un conjunto de acciones dirigidas a poner en riesgo la
integridad, confidencialidad y/o disponibilidad de un recurso. La confidencialidad logra que la
información sea accedida únicamente por personal autorizado. La disponibilidad permite que la
aplicación se mantenga trabajando sin sufrir ninguna degradación de accesos y provea los
recursos que requieran los usuarios. La integridad requiere que la información se mantenga
inalterada.
Los IDS, son herramientas que fortalecen la labor de seguridad en la red, introduciendo novedosos
métodos de trabajo y complementando el trabajo de soluciones ya establecidas y maduras como
3
los cortafuegos .
Los IDS más usados de los existentes en el mercado, basan la detección de intrusiones en
comparación de patrones. Para ello se apoyan en patrones de ataques conocidos, y buscan
semejanza entre estos y los paquetes que analizan. El buen funcionamiento de un sistema de este
tipo depende en gran medida del óptimo nivel de actualización de su base de patrones de ataques.
Todos los días aparecen noticias de empresas cuyos sistemas han sido víctimas de intrusiones,
puesto que existe un gran número de herramientas implementadas para el ataque a través de la
red, lo que hace de cualquier persona con conocimientos mínimos de Informática un atacante en
potencia. Luego, aquellos IDS que no sean capaces de adaptarse rápidamente a los cambios
fracasan4.
Existe otro grupo de IDS que basan su detección en la definición de un comportamiento normal y
consideran intrusiones a todos aquellos comportamientos que difieran del considerado normal,
basándose en métodos estadístico y técnicas de Inteligencia Artificial. Con este tipo de
procesamiento se logra la detección de ataques nuevos de los cuales aún no se tiene información
pero son se generan numerosas falsas alarmas.
Una de las formas de detección de anomalías más prometedoras es la basada en redes
neuronales. El concepto consiste en aprovechar la características de aprendizaje de estas redes,
para predecir las acciones de los usuarios, dado un número determinado de acciones previas
5
conocidas .
En el mundo, se ha incursionado en IDS que usan una u otra arquitectura de red neuronal sin
quedar claro cual ofrece mejores resultados en situaciones específicas.
Se han reportado algunos IDS que basan su funcionamiento en RNs multicapas, cuyas
arquitecturas y selección de los datos del paquete TCP/IP se obtienen a partir de criterios
básicamente empíricos6-9. Por tanto resulta de utilidad disponer de algunas aproximaciones que
ayuden a sistematizar las propuestas estructurales de redes neuronales multicapas aplicables a la
construcción de IDS que se basan en estas técnicas, así como para la selección eficiente de datos
del paquete TCP/IP que disminuyan el número de entradas necesarias a la RN.

Sistemas de detección de Intrusos

Los IDS se pueden clasificar en diferentes grupos: primeramente por la fuente de información que
utilizan para detectar la intrusión, por el tipo de detección de intrusión que realizan una vez
recopilada la información y por el tipo de respuesta que dan después de haber detectado una
intrusión.(Figura 1)
Fuentes de Información:
Las fuentes de información clasifican a los IDS ID
en IDS basados en red (NIDS siglas en Inglés
de Network Intruder Detection Systems) y IDS S
basados en host (HIDS siglas en Inglés de
Host Intruder Detection Systems).
Los NIDS utilizan el tráfico de red, paquetes Fuentes de Estrategias Tipo de
TCP/IP, como fuente de información, revisando Información de Análisis Respuestas
los paquetes que circulan por la red en busca
de elementos que denoten un ataque contra Basados en Uso indebido Pasiva
alguno de los sistemas ubicados en ella. De host

dichos paquetes verifican la validez de algunos

parámetros y el comportamiento de los Basados en Anomalía Activa
10 red
protocolos de la familia TCP/IP empleados .
Este tipo de IDS tiene la ventaja de al utilizar
como fuente el tráfico de red no afecta el Figura 1
rendimiento de todas las computadoras a las
cuales protege, pero tiene una gran limitante en las actuales redes conmutadas ya que su
ubicación es un elemento clave para su buen funcionamiento. Además entre sus desventajas se
encuentra su incapacidad para detectar intrusiones en paquetes cifrados, ya que estos pueden ser
únicamente descifrados en los nodos extremos de la comunicación y no en un elemento
intermedio.
Mientras que los NIDS operan en toda una red protegiendo a un conjunto de máquinas, los HIDS
protegen únicamente a la máquina en la que son instalados. Estos utilizan como fuente de
información los datos generados por la computadora en la que operan, especialmente a nivel de
sistema operativo: ficheros de auditoria del sistema, ficheros logs o cualquier fichero que el usuario
desee proteger. Los HIDS tienen como ventaja su capacidad de detectar situaciones como los
intentos fallidos de acceso o modificaciones en archivos considerados críticos. Las desventajas
principales de este tipo de IDS son que, al ser instalado en la propia máquina que desea proteger,
consume recursos de la misma, además está expuesto él mismo a ser víctima de algún ataque.
10
Existe una tercera clasificación, referenciada por algunos autores que se refieren a un caso
especial de detección basada en red. Estos son IDS que utilizan paquetes TCP/IP para detectar
intrusiones, pero no monitorean una red completa sino una máquina dentro de la red. Son llamados
en la bibliografía Detector de Intrusiones de Nodo de Red (NNID siglas en Inglés de Network Node
Intruder Detector). Este tipo de sistema elimina la limitación existente en los NIDS para paquetes
con información cifrada, ya que el tráfico puede ser únicamente encriptado o desencriptado en los
extremos de la transmisión, por tanto un NNID es capaz de detectar intrusiones en este tipo de
paquetes, pero adquiere las desventajas del HIDS al consumir recursos de la máquina y estar
expuesto a ataques.

Estrategias de Análisis:
La estrategia de análisis se refiere a la técnica que utiliza el IDS, una vez recuperada la
información, para determinar de esta los datos de interés e identificar si hubo o no una intrusión.
Estas estrategias dividen a los IDS en dos grandes grupos:
? IDS de detección del mal uso o uso Indebido.
? IDS de detección de anomalías.
Los IDS basados en detección de uso indebido cuentan con el conocimiento a priori de las
secuencias y actividades que conforman un ataque almacenado en una base de datos. Por tanto
para detectar intrusiones dentro de la información recopilada de la fuente se hace una comparación
de esta con los patrones de ataques almacenados, y en caso de encontrar similitud se genera una
alarma. Con este método se logran detectar intentos de explotación de vulnerabilidades típicos, de
4
los cuales ya existe información. Esta estrategia es la más utilizada en los IDS comerciales .
La detección de uso indebido tiene entre sus grandes ventajas la amplia seguridad que ofrece al
detectar una intrusión, puesto que el ser clasificada una actividad como intrusiva significa que se
correspondió con un patrón (de la base de datos) que fue reconocido con anterioridad como un
ataque, luego el índice de falsos positivos, que no es más que una conducta normal erróneamente
identificada como anormal, es muy bajo.
Las desventajas principales de este tipo detección radican en su incapacidad para detectar nuevos
tipos de ataques y en la necesidad de mantener constantemente actualizada la base de patrones
de ataques, ya que estos representan el núcleo del buen funcionamiento de este tipo de sistema.
Estas debilidades son de vital importancia en la actualidad donde los ataques son cada vez más
creativos y cada vez más frecuentes.
Los IDS de detección de anomalías tienen un conocimiento contrario a los de uso indebido parten
del conocimiento de lo normal y toda actividad que se aleje de este comportamiento es
considerada una intrusión.
Este tipo de detección evita el proceso de actualización de una base de datos de patrones de
intrusión y brinda la posibilidad de detectar ataques nuevos de los cuales no se tenga información
alguna. No obstante este tipo de IDS tiene algunas desventajas que han impedido su uso aceptado
por la mayoría de los administradores de redes. Por ejemplo son generadores de un gran número
de falsas alarmas ya que el comportamiento normal de los usuarios es extremadamente difícil de
modelar por lo variable que puede llegar a ser, y por tanto un comportamiento inusual, no tiene
necesariamente por qué ser ilícito. Otra debilidad importante de este tipo de sistema es que
necesita un largo período de entrenamiento, previo a su uso, para detectar los comportamientos
4
normales de los usuarios y sistemas dentro de la red .
Los IDS basados en patrones (uso indebido) no son funcionales en las condiciones actuales donde
se generan nuevos ataques con tan alta frecuencia mientras que los IDS basados en anomalías
surgen para eliminar esta limitante pero generan nuevos problemas.

Tipo de Respuestas:
Los resultados obtenidos en la fase de análisis, son utilizados para tomar decisiones que
conducirán a una respuesta. La respuesta que da un IDS ante la detección de una intrusión
también es un factor determinante en su clasificación. Estas respuestas pueden ser pasivas o
activas. Las pasivas se refieren a emisiones de informes, sonidos o el registro de las acciones
ocurridas. Las activas son las que ejecutan alguna acción en particular como ejecución de
programas, cierre de una cuenta o reconfiguración del cortafuego.
Es deseable que un IDS soporte ambos tipos de respuesta, no son excluyentes, todo lo contrario,
ya que es recomendable reaccionar de manera pasiva ante determinadas anomalías de poco
envergadura y activamente ante ataques que pongan seriamente en peligro la seguridad de los
sistemas10.

Utilización de Redes Neuronales en los IDS

Las redes neuronales artificiales (RNA) son una de las técnicas que ha presentado amplias
ventajas en su aplicación para la detección de intrusos6-9,11-14. Estas han demostrado ser potentes
clasificadores con grandes capacidades de generalización y aprendizaje que presentan
características que hacen muy factible su aplicación en los IDS:

Características de las RNA Ventajas en la detección de intrusiones

Forma de representación del conocimiento En los IDS se trabaja precisamente con un
muy apropiada para problemas de problema de clasificación, posibilitando tomar
clasificación ventajas de la facilidad de representación del
conocimiento.
 Alta tolerancia a errores siendo capaces de Esta característica es de gran importancia
clasificar datos que presentan ruidos o están sobre todo en los NIDS y NNIDS que analizan
incompletos. paquetes TCP/IP que pueden haber sufrido
algunas modificaciones por problemas en la
red.
Devuelven un valor numérico que da idea del Da una idea más clara al administrador acerca
nivel de seguridad de la clasificación de la decisión a tomar.
realizada.
Pueden clasificar datos desconocidos Brinda la posibilidad de detectar ataques de
los cuales aún no se tiene conocimiento.
Tabla1
No obstante a sus ventajas, el uso de las RNA para la detección de intrusos es aún un campo
activo de investigación cuyos principales esfuerzos van dirigidos a resolver los problemas de los
IDS actuales a través de esta técnica. Entre los principales temas que se abordan dentro de ese
campo están:
? Seleccionar que datos procesar por la red. En caso de un NIDS o un NNIDS, un paquete
TCP/IP tiene demasiados parámetros que evaluar por lo que es necesario distinguir cuales
de ellos llevan información importante sobre ataques.
? Identificar el tipo y la estructura de red neuronal a utilizar para obtener los resultados
esperados.

Esta última cuestión guarda relación con la primera aunque se enmarca en el problema más
general ya que puede existir un número considerable de arquitecturas de redes neuronales
capaces de aprender las características de un conjunto de datos
6
Se han propuesto algunas soluciones a estos problemas. Por ejemplo en se propone utilizar
solamente 29 datos del paquete TCP/IP: 10 de la cabecera IP, 11 de la cabecera TCP, 1 de la UDP
y 3 de la ICMP. Se tuvieron en cuenta además los datos del contenido del paquete, pero por la
dificultad que trae consigo utilizar todos estos datos utilizaron solamente 4 características del
mismo en forma estadística de probabilidad de los cuatro caracteres más frecuentes que aparecen
en él. Se logró utilizar un número pequeño de entradas factible para el funcionamiento de la RN,
pero se desestimó información importante del contenido del paquete que es precisamente donde
viajan los datos referentes a los protocolos de aplicación, que son grandes portadores de ataques.
7
En , no se analizan los datos del contenido del paquete, tomándose como entradas al clasificador
neuronal: 9 campos de la cabecera IP, 8 de la cabecera TCP, 3 de UDP y 2 de ICMP. En 8
solamente se analiza la información del protocolo HTTP, que es un protocolo de aplicación que se
encuentra en el contenido del paquete.
En 9 se utiliza una red neuronal con 402 datos de entrada (cosa que hace ineficiente el
funcionamiento del clasificador) ya que a pesar de no tomarse en cuenta protocolos como el UDP y
el ICMP se tomaron los primeros 393 caracteres del contenido del paquete.

Selección de los datos a procesar. Una propuesta

En el caso de las redes Perceptrón multicapa, el número de nodos de entrada tiene relación directa
con el tamaño de las capas ocultas, ya que cada nodo representa características diferentes del
patrón que se utilice. Esto es, una mayor cantidad de nodos de entrada implica registrar en la red
una mayor cantidad de información para distinguir las clases entre sí en el esspacio de
características. Se reporta que el tiempo requerido para el entrenamiento de la red se incrementa
15
en forma cuadrática con la cantidad de datos de entrada . Por tanto, es recomendable que la
adición de nuevos datos de entrada a la red neuronal se realice solo si ellos contribuyen a mejorar
la calidad de la clasificación de manera significativa. Algo similar sucede con la decisión de la
cantidad de salidas de la red.
Este trabajo propone una aproximación al problema anteriormente planteado. Para lograr la mayor
generalidad y el mayor poder de detección se utilizarán la mayoría de los campos de la cabecera
IP, la ICMP, la TCP y la UDP. Además con el objetivo de detectar también los ataques que ocurran
a nivel de aplicación se tendrán en cuenta los primeros 400 caracteres del área de datos así como
la longitud total de esta área:
Datos de la cabecera IP:
? Versión
? Longitud de la cabecera
? Tipo de servicio
? Longitud tota
? Identificación l
? Bandera de fragmentación
? Offset del fragmento.
? Tiempo de Vida (TTL)
? Checksum de la cabecera
? Dirección Origen
? Dirección destino
? Número de opciones IP.
Datos de la cabecera TCP:
? Puerto Origen
? Puerto destino
? Numero de ACK
? Longitud de datos
? Flag 1 (bandera reservada 1).
? Flag 2 (bandera reservada 2).
? Flag U (bandera Urgent Pointer).
? Flag A (bandera Acknowledgement).
? Flag P (bandera Push Function).
? Flag R (bandera Reset connection).
? Flag S (bandera Synchronize sequence numbers).
? Flag F (bandera FIN, no more data from sender).
? Tamaño de la ventana
? Checksum
? Apuntador ‘urgente’
? Número de opciones TCP.
? Tamaño cabecera TCP
Datos de la cabecera UDP:
? Puerto Origen
? Puerto destino
? Tamaño de la cabecera UDP + datos
? Suma de verificación.
Datos de la cabecera ICMP:
? Tipo de mensaje
? Código del mensaje
? Suma de verificación.
Datos del contenido del paquete:
? Longitud
? 400 primeros caracteres.
Los 437 datos que se tienen en cuenta para la construcción del IDS, serán sometidos durante el
período de entrenamiento de la red a un algoritmo de redimensionamiento (en Inglés “feature
reduction”) con el objetivo de captar los elementos principales del paquete TCP/IP y no sobrecargar
el funcionamiento de la red con un número elevado de entradas.
El Análisis de Componentes Principales (PCA siglas en Inglés de Principal Component Analysis) es
el algoritmo que se propone utilizar para estos fines, para eliminar correlaciones entre los datos y
disminuir la cantidad de características a analizar16.
El objetivo del PCA es resumir un grupo amplio de variables en un nuevo conjunto (menor en
cantidad) sin perder una parte significativa de la información original. Algebraicamente, el PCA
genera nuevas variables (componentes), mediante una combinación lineal de las p variables
originales (bandas). Aunque se requieren los p componentes principales para reproducir la
variabilidad total, muchas veces la mayor parte de ella está contenida en un número menor de
componentes m. En ese caso, reemplazando las p bandas por los m componentes y se reduce la
dimensionalidad del problema conservando casi la totalidad de la información17.
De esta manera se facilita el trabajo con los datos y se elimina el ruido producido por datos
irrelevantes. Además se logra, en la etapa de uso posterior al entrenamiento, una mayor rapidez de
procesamiento, siendo esta una característica necesaria para la detección en tiempo real que debe
realizar un IDS.
La cantidad de salidas que posea la red está también directamente relacionada con la eficiencia en
funcionamiento de la misma. La mayoría de las investigaciones realizadas en el campo proponen
una única salida que expresa si el paquete analizado es o no intrusivo. Esto es una ventaja para la
red neuronal pero una desventaja para los administradores de red que no obtienen más
información acerca del problema ocurrido.
En este trabajo se propone que la red tenga dos salidas binarias, permitiendo valores entre 0 y 3:
? 0: se corresponde con paquetes clasificados como normales.
? 1: paquetes clasificados como peligrosos, con anomalías a nivel de protocolo TCP.
? 2: paquetes clasificados como peligrosos, con anomalías a nivel de protocolo UDP.
? 3: paquetes clasificados como peligrosos, con anomalías a nivel de aplicación.

Conclusiones y trabajos futuros

Cada vez se producen con mayor frecuencia ataques a los sistemas informáticos principalmente
debido al auge experimentado por las redes de comunicaciones. Las técnicas empleadas para
realizar estos ataques son muy variadas y se caracterizan por una constante y rápida evolución. Un
elemento clave para minimizar sus efectos será intentar detectarlos inmediatamente. Con esta
finalidad nace toda una serie de técnicas y aplicaciones denominadas genéricamente Sistemas de
Detección de Intrusiones.
Las redes neuronales presentan característica que hacen ventajoso su uso en el problema de la
detección de intrusos. Estas poseen la habilidad de aprender y generalizar siendo capaces de
resolver problemas complejos. Además pueden procesar grandes cantidades de datos y según su
diseño hacer predicciones con buena precisión.
El número de entradas de una red neuronal, determina de manera directa el buen desempeño de la
misma. Un número grande de entradas dificulta el trabajo de la RN, haciendo más lento el
funcionamiento de esta.
Para detectar intrusiones a través del análisis de los paquetes TCP/IP, es necesario el estudio de
un gran número de variables, con el objetivo de tener en cuenta los campos de los diferentes
protocolos que pueden ser portadores de intrusiones.
La problemática generada por la necesidad de incorporar varias variables al clasificador para
hacerlo general y la importancia de utilizar pocas variables como entradas de la red neuronal,
puede ser resuelta con la aplicación del algoritmo de Análisis de Componentes principales. Con
este algoritmo se logra eliminar redundancias y ruidos y realizar el análisis sobre un grupo de datos
redimensionado y solo con información relevante.
Esta propuesta de solución será evaluada en las posteriores etapas de esta investigación.

Referencias bibliográficas

1. Ministerio de las Informáticas y las Comunicaciones. “Internet VoIP. República de Cuba”, Cuba, 2001
2. Indymedia. “Se multiplica en Cuba ataques informáticos”http://www.porsiemprecuba.com/, 2006.
3. BALUJA, Walter. “Acercamiento a los sistemas detectores de intrusos.”Telem@tica Revista Digital de
 las Tecnologías de la Información y las Comunicaciones, Año I No. 2 ISSN: 1729-3804. 2001.
4. ZURUTUSA, Urko. “Estado del Arte: Sistemas de detección de intrusos”, Universidad Politécnica de
Mondragón, Departamento de Informática, Octubre 2004.
5. LUNT, Teresa F.A “Survey of Intrusion Detection Techniques”, Computer and Security,p 405-
418,1993.

6. GREDIAGA, Angel, et al. “Utilización de redes neuronales para la detección de intrusos”.

Departamento de Tecnología Informática y Computación. Universidad de Alicante, España, 2000
7. CORTADA, Pere, et al. “IDS basado en mapas autoorganizados”. Boletín de RedIRIS [en línea],2002
8. MEJÍA, Juan. “Sistema de detección de intrusos en redes de comunicaciones utilizando redes
neuronales”, Tesis Profesional, Universidad de las América, Puebla, Escuela de Ingeniería, 2004.
9. PEREZ, Carlos; BRITTO, Jaime; ISAZA, Gustavo. “Aplicación de redes neuronales para la detección
de intrusos en redes y sistemas de información”. Scientia et Técnica. No 27,.p. 225-230. ISSN 0122-
1701, Abril 2005.
10. GONZÁLEZ, Diego. “Sistemas de Detección de Intrusos”. España, Julio, 2003.
11. RYAN, Jake; LIN, Meng-Jang; Risto, MIIKKULAINEN. “Intrusion Detection with Neural Networks”,
Departamento de Ciencias de la Computación, Universidad de Texas, Estados Unidos, 1998.
12. MAURO, Adriano. “Adaptive Intrusion Detection System Using Neural Networks”, 2do Congreso
Iberoamericano de Seguridad Informática, Universidad de Sao Pablo, Brasil, 2002.
13. CHEBROLUA Srilatha; ABRAHAMA Ajith; THOMASA Johnson. ”Feature deduction and ensemble
design of intrusion detection systems”. Computers & Security , 2004.
14. TJADEN, Brett, et al. “ INBOUNDS: The Integrated Network-Based Ohio University Network Detective
Service”, School Of Electrical Engineering and Computer Science, Ohio University Athens, USA,
2000.
15. KAUZOGLU, T. “Determining Optimum Structure for Artificial Neural Networks”, Proceedin of then 25th
Annual Technical Conference and Exhibition of the Remote Sensing Society, Cardiff, K, pp 675-682,8-
10 Septiembre 1999.
16. YE, Nong (Ed.): “The Handbook of Data Mining”, ISBN 0-8058-4081-8, Estados Unidos, 2003.
17. FERRERO, Susana; PALACIO, María; CAMPANELLA, Osvaldo. “Análisis de Componentes
Principales en Teledetección. Consideraciones estadísticas para optimizar su interpretación”.
Universidad Nacional de Río Cuarto, Argentina.