Modelo de detección de intrusos basado en técnicas de reducción de características. Solución al dilema capacidad-eficiencia

Resumen

La presente tesis se centra en el estudio de los Sistemas de Detección de Intrusos (IDS) que utilizan el tráfico de red como fuente de información para realizar el proceso de detección, Existe un alto consenso en las investigaciones recientes en cuanto a las ventajas que presentan la aplicación de las técnicas de aprendizaje de máquina para la construcción del motor de análisis de los IDS. Entre las diferentes propuestas destacan las que utilizan Redes Neuronales Artificiales (ANN), aunque éstas resultan muy sensibles al número de entradas necesarias para la correcta detección, lo que provoca, a su vez, un considerable incremento de las dimensiones de la ANN y, en consecuencia, un aumento del costo computacional asociado. Esta investigación propone un Modelo de IDS (MIDS) fundamentado en la aplicación del algoritmo de Análisis de Componentes Principales (PCA) para la reducción de las dimensiones del vector de entrada manteniendo la eficiencia del clasificador sin afectar la capacidad de detección. Por otra parte, debido a la complejidad de las tecnologías y tareas involucradas en los actuales sistemas de gestión de redes, es imprescindible que cualquier solución presentada en este ámbito posea características intrínsecas que aseguren su sostenibilidad al mayor largo plazo posible. De esta forma, el objetivo principal de la investigación se puede sintetizar en: la creación de un Modelo IDS de amplio espectro de detección, viable en tiempo de ejecución, adaptable dinámicamente a los cambios del entorno, de mantenimiento mínimo y escalable. El trabajo de investigación se ha desarrollado partiendo de la especificación de un Marco Formal que propone un método en el que se definen las diferentes fases para concebir el MIDS. Este método está basado en separar la concepción del modelo en tres vistas fundamentales (conceptual, funcional y arquitectural) al tiempo que identifica las herramientas formales más adecuadas para cada fase. Según lo anterior, a partir del objetivo propuesto y del marco formal establecido, el MIDS se concibe como tres modelos que no son otra cosa que diferentes vistas del mismo centrándose, cada una de ellas, en aspectos concretos. Estos modelos son: Modelo Conceptual. Esta vista se ocupa fundamentalmente de la fase de análisis y captura de requisitos a partir de la experiencia acumulada por los administradores de red expertos en tareas de seguridad informática y se basa en el modelado de procesos para desarrollar su función. Modelo Funcional. Una vez determinados los procesos que componen el sistema, es necesario conseguir un modelo algorítmico distribuido que pueda desplegarse sobre un sistema distribuido tanto para asegurar características como la adaptabilidad y la escalabilidad como porque esa es la naturaleza del sistema cuya seguridad se desea gestionar. Puesto que el Modelo Conceptual ya ha permitido identificar a los agentes responsables de la ejecución de cada proceso, el método propone, precisamente, distribuir las tareas en función de estos agentes, aplicando técnicas de Sistemas Multi-Agente por la capacidad expresiva que proporciona. El resultado final es un modelo computacional del IDS independiente de la tecnología. Modelo Arquitectural. El cometido de este modelo es hacer compatible el modelo funcional con las tecnologías existentes en cada momento que permitan implementar y desplegar el sistema en entornos reales de producción manteniendo todos los requisitos establecidos: eficiencia, eficacia, adaptabilidad, escalabilidad y mantenimiento cero. Los fundamentos tecnológicos que guían esta fase se encuentran en las arquitecturas de n-Niveles, las arquitecturas de componentes software distribuidos y las arquitecturas orientadas a servicios. Finalmente, se han identificado, diseñado y realizado una batería de experimentos para validar los diferentes aspectos de la investigación, desde las hipótesis de partida, hasta las diferentes decisiones de diseño que se han ido tomando a lo largo de la investigación. Para complementar los aspectos de la investigación básica que han supuesto el grueso de este trabajo, se ha abordado la implementación de un prototipo plenamente funcional de IDS basado en el modelo propuesto. Así mismo se ha diseñado un completo escenario de pruebas en el que se han tenido en cuenta todos los elementos tecnológicos especificados en el Modelo Arquitectural y sobre el que se ha podido validar la bondad de la propuesta también desde un punto de vista más aplicado.