2013 IEEE Ingeniería comercial e industrial Aplicaciones Coloquio (BEIAC)
Red de Detección de Intrusos y su estratégica
Importancia
Muhammad K. Asif, Talha A. Khan,
Talha A. Taj, Umar Naeem
Departamento de Ingeniería Eléctrica, Universidad
Rey Saud, Riad, Arabia Saudita. E-mail:
mkasif@ksu.edu.sa, talha.ali@ieee.org
ttaj@ksu.edu.sa, umar.n85@gmail.com
Abstracto seguridad de redes informáticas -en una Red
Detección de Intrusos (NID) es un meca- nismo de detección de intrusiones
que intenta descubrir el acceso no autorizado a una red informática mediante el
análisis de trá fi co en la red en busca de signos de actividad maliciosa. Hay
muchas áreas de la investigación en este vasto campo de la Red de Detección
de Intrusos (NID), pero en este documento encuesta, que se centrarán en su
tecnología, el desarrollo y la importancia estratégica. ataques de virus, el
acceso no autorizado, robo de información y ataques de denegación de servicio
fueron los mayores contribuyentes a la delincuencia informática, una serie de
técnicas se han desarrollado en los últimos años para ayudar a los expertos en
seguridad cibernética en el fortalecimiento de la seguridad de un único host o
toda la red de ordenadores. Detección de Intrusos es importante tanto para
militares, así como los sectores comerciales para el saco de su seguridad de la
información,
Términos del Índice -Red de detección de intrusiones, de intrusiones
Sistema de detección, detección de intrusiones.
I. INTRODUCCIÓN
Los ataques a las infraestructuras de red son el gran problema de
las redes del mundo de hoy, con las que crecen con rapidez las
actividades ilegales en el mundo de las redes; la seguridad de la red
se convierte en un gran reto que no es ni esperanza ni resuelto. En los
primeros días cortafuegos son la única línea de principio de defensa
para la seguridad de las redes, el primer Internet de ancho de ataque
y penetración se produjeron por Morris Worm el 2 de noviembre de
1988 en el programa de correo Enviar, desde entonces, se han
desarrollado métodos para superarla y para proporcionar las redes
con mayor seguridad. En los primeros días, una de las formas más
comunes que utilizan las empresas proveedoras era enviar el nombre
de usuario y contraseña junto con el
978-1-4673-5968-9 / 13 / $ 31.00 © 2013 IEEE
sufyan Yakoob
Departamento de Ingeniería Eléctrica,
Universidad de Malasia, Kuala
Lumpur, Malasia. E-mail:
Sufyan.yakoob@hotmail.com
equipo para superar el riesgo de penetración. Por primera vez muy a mediados de la
década de 1980 se desarrolló la primera publicación de la fi conocido el trabajo de
Denning acerca de Detección de Intrusos (ID). Denning asume que las actividades
intrusivas son diferentes de las actividades habituales [1] y que el trabajo principal
IDS es descubrir los modelos apropiados para el comportamiento normal, de modo
que la actividad intrusiva puede ser fácilmente diferenciado. detección de intrusos es
la zona más reciente e importante investigación en el campo de las redes de
computadoras. ID es el tema candente del área de investigación y muchos prototipos
se han desarrollado, que funciona en diferentes enfoques, tanto para usos
comerciales, así como aplicaciones militares. ID se basa en la combinación de
técnicas de intrusión y la fuerza bruta. En estos días un IDS (Intrusion Detection
System) es una parte vital de la seguridad de la red, ya que ofrece una protección
completa de la red, IDS identi fi ca dos intentos exitosos y no exitosos de intrusión. El
propósito de la IDS es dar a conocer todo el comportamiento anormal del sistema y
negativamente identificar todos los no-ataques. Un estudio profundo sobre los
comportamientos y la firma de la detección de intrusos, IDS puede dar una verdadera
respuesta en el tiempo de todos estos eventos de intrusión. IDS también puede
realizar las siguientes tareas. IDS puede dar una verdadera respuesta en el tiempo de
todos estos eventos de intrusión. IDS también puede realizar las siguientes tareas.
IDS puede dar una verdadera respuesta en el tiempo de todos estos eventos de
intrusión. IDS también puede realizar las siguientes tareas.
• Mantenga un ojo en las actividades del sistema y del usuario.
• La verificación de los errores del sistema.
• La evaluación de la integridad de los sistemas y datos de archivos.
• Anotar cualquier comportamiento anormal de hacer discos
estáticamente.
140
 • Reconocimiento mapeo del modelo de actividad ataques conocidos y
alertas.
El propósito de IDS no sólo está impidiendo el ataque que se
ha pasado, pero a identificar y notificar al administrador de la red,
hay algunos IDS que responden a la intrusión ilegal en el sistema
mediante la terminación de la conexión de red [2] criterios de
medida .Primary para IDS son los siguientes.
• Verdadero positivo: ataque legítimo (IDS da la alarma).
• FALSO POSITIVO: ningún ataque (IDS da la alarma).
• Falsos negativos: ataque legítimo (IDS da ninguna alarma)
• NEGATIVO VERDADERO: ningún ataque (IDS da ninguna alarma).
sistemas de redes seguras y protegidas deben proporcionar los
siguientes servicios.
• con los datos de confidencialidad
• integridad de los datos y las comunicaciones
• Seguridad contra ataques de denegación de servicios
con los datos de confidencialidad no da a conocer los datos
contra cualquier persona no autorizada y permitir el acceso junto
con la conexión segura, por lo que ningún intruso pueda dañarlo.
servicio de integridad de datos y comunicaciones se refiere a la
exactitud, fidelidad, sin dañar los trozos de información, y la
credibilidad de la transferencia de información entre redes y
mundo exterior. Todo este servicio debe garantizar un perfecto
funcionamiento del hardware y software del sistema y debe
protegerse contra autorizado modi fi cación de los datos. De
denegación de servicio es una página web ataques de piratería y
el riesgo. Se produce cuando el acceso a una entidad (remoto)
no está disponible. Si bien este tipo de ataques no son
completamente evitables, pero podemos reducir la probabilidad
de estos ataques. El enfoque común para garantizar un sistema
informático o red es la construcción de una cubierta protectora
alrededor de ella en términos de configuración de seguridad.
141
II. Tecnología y el enfoque de la intrusión DETECCIÓN En esta
sección se presentan los enfoques de la identificación que
incluye las categorías de IDS y las técnicas de identificación.
A. Tipos de sistema de detección de intrusiones
Hay dos categorías principales de IDS:
• Red Basado Intrusión detección
sistema. (NIDS)
• sistema de detección de intrusiones basado (HIDS) Anfitrión.
HIDS tomar su decisión basándose en la información que
obtuvieron de los usuarios individuales; en los otros NIDS mano
supervisar todo el trá fi co de la red desde la que se conectan los
anfitriones, que obtiene datos de ellos y tomar sus decisiones.
NIDS es rentable y proporciona detección en tiempo real
inmediato de los ataques a la red por lo que se reduce y
disminuye la probabilidad de averías de la red debido a las
actividades de intrusión .Por el contrario, HIDS permite la
recogida de los datos sobre todos y cada uno solo host lo que da
una mejor imagen de lo que está pasando en cada host en lugar
de controlar toda la red. Por ejemplo, si tenemos en cuenta la red
de alta trá fi co donde la pérdida de paquetes pasado por el
sistema de supervisión de la red, mientras que el monitor de
acogida puede reportar cada paso y el evento se produce en
cada host.
• Per-Host IDS de red
• Equilibra la carga de red IDS
• IDS cortafuegos.
B. Métodos y Técnicas en detección de intrusiones
Sistemas de detección de intrusiones (IDS) se refiere a un
programa usado para detectar una intrusión cuando sucede y para
evitar que un sistema se vean comprometidas [4]. Hay dos tipos de
IDS.
• La detección de anomalías de intrusiones
• IDS basado en la firma o de detección de mal uso.
 1) ANOMALÍA INTRUSIÓN DETECCIÓN:
IDS basados ​Anomalía a establecer una línea de base de los patrones
de uso normales, actividades y cualquier otra cosa que se desvía de su
patrón original se identifican como un posible intrusión. método de
detección de anomalías puede investigar los patrones de usuario, como
pro fi ling los programas ejecutados diariamente, ejecutados con acceso
a los recursos que son inaccesibles para los usuarios normales.
detección de intrusos Anomalía depende del patrón de uso del
ordenador. Se da cuenta del rendimiento del equipo e informó si algún
comportamiento anormal y la tendencia se producen en la red. El
sistema de anomalía depende del principio de que las actividades
intrusivas son completamente diferentes de actividades no intrusivos. La
principal ventaja de la detección de anomalías es su fuerza para
identificar nuevos ataques. Su desventaja incluye la necesidad de la
formación del sistema en materia de ruido, con los consiguientes di fi
cultades de seguimiento de los cambios naturales en la distribución del
ruido. Los cambios pueden causar falsas alarmas, mientras que una
actividad intrusiva que parece ser normal puede causar fallas en la
detección. Es difícil para los sistemas basados ​en anomaly- para
clasificar o ataques de nombre. No impide e informar si el ataque es
completamente nuevo; por lo que con el fin de que funcione
correctamente tiene que actualizar su auto que consumen mucho
tiempo. Los principales enfoques de detección de intrusos anomalía son
los siguientes:
a. Redes neuronales
Las redes neuronales están hechas para que puedan identificar
los patrones arbitrarios en datos de entrada, y comparar dichos
patrones con un resultado, que puede ser una indicación binaria de si
se ha producido una intrusión.
segundo. Generación del modelo de predicción
Teniendo en cuenta los resultados de los eventos anteriores se
trata de predecir el futuro evento.
2) DETECCIÓN DE MAL: IDS basados ​en firmas o de detección de
mal uso depende principalmente de la identificación de firmas
conocidas. Esto indica que el ataque se puede representar en la forma
del patrón o firma particular. Por lo tanto, las ligeras modificaciones en
el ataque pueden ser fácilmente mal detectado. Hay ciertas formas de
desarrollar una firma.
142
• difícil traducción de ataques.
• Formación automática.
• El aprendizaje a partir de datos de sensor de etiqueta.
A IDS basado en la firma monitorearán los paquetes en la red
y compararlas con una base de datos de firmas de amenazas
maliciosas conocidas. Operan de manera igual que un escáner
de virus, mediante la búsqueda de un ataque conocido o firma
para cada caso específico fi co intrusión [5]. IDS basada en
firmas es muy e fi ciente en snif fi ng ataque fuera conocida, al
igual que lo hace el software anti-virus, depende de la recepción
de actualizaciones de firmas regulares, para mantenerse en
contacto con las variaciones en la técnica de hackers [6]. Los
ataques más comunes y populares pueden ser fácilmente identi
fi cado por este enfoque. Sin embargo, uno de los principales
problemas en que es cómo desarrollar una firma de tal manera
que incluye todos los cationes y variaciones del ataque fi
caciones. Esta técnica no es adoptable a un ligero cambio de la
firma de ataque y si el patrón de ataque es completamente
desconocido.
a. Las tablas de transición de estados
En él se describe una cadena de la evidencia de que un hacker hace en la
forma de un diagrama de transición de estado. Cuando el comportamiento del
sistema coincide con esos estados, se detecta una intrusión.
segundo. La coincidencia de patrones
Este método permite la codificación de la famosa firma como
patrones que luego se comparan con los datos de algunas de las
otras técnicas de detección de intrusiones para detectar la
intrusión son los siguientes:
do. Algoritmos genéticos
Los algoritmos genéticos como algoritmo de optimización de
enjambre de partículas utilizado en la aplicación ID.The de gas en la
investigación de IDS comenzaron a principios de 1995 e implica la
evolución de una firma que indica la intrusión. Otro método similar es
el sistema fi er Learning Classi en el que se desarrollaron normas
binarios, que reconoce colectivamente patrones de
intrusión [4].
re. Lógica difusa
Es la colección de ideas y conceptos realizados para resolver la
ambigüedad y error. Un conjunto de principios componer para
describir una relación entre las variables de entrada y las variables de
salida, que pueden identificar si se ha producido una intrusión.
mi. Sistema inmune
sistemas inmunes naturales imitan la inmunología como se observa
en la biología. Hay muchos métodos diferentes presentes, tales como la
selección negativa, modelo de red inmune y la selección clonal [7]
describe que las células no sólo pueden decir la evidencia de la
presencia de antígenos, sino también señales de peligro.
F. Método bayesiano
Es un modelo gráfico que contiene el conjunto de las
variables aleatorias y sus dependencias condicionales; en el que
cada nodo representa la variable aleatoria y el nodo no
conectado representan las variables que son independientes
unos de otros. El principal beneficio de esta técnica es tratar con
los datos incompletos.
gramo. Árbol de decisión
Es un modelo que se puede utilizar para mostrar los posibles
resultados para ocurrencias particulares en las que se asignan las
probabilidades condicionales para cada aparición. Esas ocurrencias
de intrusiones forman una estructura basada árbol que contiene nodo
raíz y un número de nodos de hoja. árbol de decisión es muy útil
incluso para la gran cantidad de datos.
III. MECANISMO DE INFORMACIÓN PARA IDS y recopilación de
datos La recogida de datos es una parte muy importante de
cualquier IDS. Se compone de muchos niveles de datos que se
recogen como sigue:
• datos de red
• solicitado por el sistema de sistema operativo
• Dentro de cualquier aplicación
• pulsaciones de teclado
• línea de comandos del sistema operativo
143
Los sistemas que recogen los datos desde el sistema operativo que
son objeto de ataque se llaman datos basado en host. El otro a la
detección basado en host es observar el tráfico c de la red que va desde
y hacia el sistema o sistemas que están siendo monitoreados y buscar
posibles ataques de intrusión en que los datos. El beneficio de este
método es que un solo sensor puede controlar un número de servidores y
se puede buscar a los ataques que se dirigen a varios hosts. El único
inconveniente de este enfoque es que no puede ver los ataques como las
realizadas a partir de una consola del sistema, los fabricados a partir de
un módem de acceso telefónico conectado directamente al host.
IV. Investigación y desarrollo de la intrusión y detección
Existen muchas técnicas; algunos de ellos se analizan a
continuación:
A. Sobre la base de datos IDS técnica de minería
Minería de datos (DM) es un método en el que alguna información
predictiva oculta se extrae de un grande, incompletas, ruidosos y poco
claras de datos al azar. [8] Un enfoque de la minería de datos se basa en
la extracción automática de características de un gran conjunto de datos.
Tiene un gran potencial de resolver los patrones desconocidos de la gran
cantidad de datos de auditoría, los algoritmos utilizados para la minería de
datos de auditoría son los siguientes:
• Clasi fi cación
• Análisis de enlace
• Análisis de Secuencias
El único problema con las pistas de auditoría es que la recolección
de datos es tan grande que el análisis de que es muy caro. Por el
contrario, a pesar de sus inmensas ventajas, todavía es una técnica
inmaduro y requiere una gran cantidad de investigación que se
realiza en ella.
B. IDS Basado en datos de fusión Técnica
técnica de datos de detección de múltiples es relativamente un nuevo
método utilizado para integrar los datos de las múltiples fuentes y sensores
a fin de que las interferencias entre eventos, actividades y situaciones; así
que podemos usar la técnica de sensores de fusión múltiple para la
intrusión
detección [9]. Fusión de datos utiliza conocido y los patrones de
identificación y plantillas famoso; se centra en el estado actual de la
red con la ayuda de los datos pasado. El principal problema de la
técnica basada fusión de datos es cómo combinar las múltiples
fuentes en la red. enfoque bayesiano es uno de los métodos clave
para lograrlo, técnicas de fusión de datos es la más caliente campo
de investigación fi en un futuro próximo.
V. FUTURO de la intrusión de detección en los últimos
años, el campo de la intrusión
detección es de mayor importancia que nunca. Los sistemas de detección
de intrusiones existentes tienen muchos problemas, por ejemplo, falta de
velocidad sobre la red, la falta de apoyo con respecto a IPv6 esquema de
direccionamiento, los altos niveles de los tipos de alarma positivos falsos y
negativos falsos, la falta de la evaluación comparativa de detección de
intrusos, la falta de precisión en el detección en tiempo real.
Con el fin de resolver todos estos problemas y para seguir avanzando,
nuestros futuros sistemas de detección de intrusos deben tener alguna
dirección prometedora. La investigación debe centrarse en el desarrollo de
técnicas de respuesta rápida para disminuir daños dentro del sistema para
reducir al mínimo dentro mejores momentos en un sistema de información
es atacado, el trabajo futuro debe abordar las técnicas y enfoques de la
realización de defensa activa a la red comportamientos de ataque, debe
haber una enorme cantidad de trabajo sigue hay que hacer para el
seguimiento y la obtención de técnicas de pruebas de comportamiento
adjuntar y técnicas para el diagnóstico de los eventos de seguridad.
VI. CONCLUSIÓN
En este artículo se presenta una breve descripción de la
tecnología de detección de intrusiones y también destaca por su
importancia la evaluación y el análisis de la tecnología actual de
detección de intrusiones,
desafíos en el momento y las futuras direcciones prometedoras
de La tecnología de detección de intrusiones.
En la actualidad, la detección de intrusiones no es una tecnología
madura, lo que tiene gran número de oportunidades disponibles y
los dominios de trabajo frescas para Investigador, ingenieros y
científicos. Sus aplicaciones son ampliamente utilizados en todo el
mundo; mayor cantidad de gasto militar y comercial están ahora
enfocado hacia la investigación y desarrollo de nuevos sistemas de
detección de intrusos. Dado que, tener un mayor potencial ataque no
desaparecería para siempre, por lo que la tecnología de detección de
intrusiones mejorará sin fin.
R EFERENCIAS
[1] DE Denning, “Un modelo de detección de intrusiones,” software Inge-
niería, IEEE Transactions on, no. 2, pp 222-232, 1987. [2], “sistemas de detección
de Y. Bai y H. Kobayashi Intrusión:. Tecnolo-
gía y el desarrollo “, en Avanzada Información Redes y Aplicaciones, 2003. AINA
2003. 17ª Conferencia Internacional sobre.
IEEE, 2003, pp. 710-715.
[3] B. Mukherjee, LT Heberlein, y KN Levitt, “Red
detección de intrusos,” Red, IEEE, vol. 8, no. 3, pp. 26-41,
1994.
[4] MF Marhusin, D. Cornforth, y H. Larkin, “Una visión general
de los recientes avances en la detección de intrusos,”en Informática y Tecnología de la
Información, 2008. CIT 2008. octava Conferencia Internacional IEEE sobre.
IEEE, 2008, pp. 432-437.
[5] E. Nikolova y V. Jecheva, “detección de intrusos basado Anomalía
el uso de minería de datos y de cadena métricas “, en Las comunicaciones y la
informática móvil, 2009. CMC'09. cia Internacional de la IRG en Con-, vol. 3.
IEEE, 2009, pp. 440-444.
[6] J. McHugh, A. Christie, y J. Allen, “La defensa de sí mismo: La
papel de los sistemas de detección de intrusos,” Software, IEEE, vol. 17, no. 5, pp. 42-51,
2000.
[7] D. Dasgupta, “avances en los sistemas inmunes arti fi ciales,” Compu
tational Inteligencia Magazine, IEEE, vol. 1, no. 4, pp. 40-49,
2006.
[8] S. Naiping y Z. Genyuan, “Un estudio sobre la detección de intrusiones
basado en la minería de datos “, en Ingeniería de Gestión (ISME) Ciencias de la
Información y de 2010 Conferencia Internacional de, vol. 1. IEEE, 2010, pp. 135-138.
[9] M. Shankar, N. Rao, y S. Batsell, “fusión de datos de intrusión
para la detección y la contención,”en Conferencia de Comunicaciones Militares,
2003. MILCOM'03. 2003 IEEE, vol. 2. IEEE, 2003, pp. 741-746.
sus
144