Documente Academic
Documente Profesional
Documente Cultură
Aplicación de la Programación
Multiobjetivo en la Optimización
del Tráfico Generado por un IDS/IPS1
Application Programming Optimization
Multiobjective in Traffic Generated by an IDS / IPS
Carlos Arturo Castillo Medina2
Resumen Abstract
El presente artículo muestra de una manera clara y sencilla This paper presents a clear and simple way the working
el entorno de trabajo de los IDS/IPS, los conceptos de environment of the IDS/IPS, the concepts of Programming
la Programación Multi – Objetivo, un recuento de los Multi - Objective, a count of traffic modeled and articulating
modelados de tráfico y como articulando estos tres these three elements through the programming multi -
elementos por medio de la programación multi – objetivo objective can develop a model to optimize traffic reach in
se puede desarrollar un modelo que permita llegar a the work environment of the IDS/IPS.
optimizar el tráfico en el ambiente de trabajo de los IDS/IPS.
Keywords: IDS/IPS, optimization, network traffic.
Palabras Claves: IDS/IPS, optimización, tráfico en redes.
41
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
42
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
se considere servidor de recursos) [13] [14] [15]. En este Dado que los IDS han sido estudiados desde hace bastantes
sentido, las empresas han optado por utilizar los llamados años, existe gran diversidad de formatos y arquitecturas. Es
IDS/IPS1 [16] [17], para proteger sus recursos informáticos por tanto que desde hace algún tiempo se está realizado
[18], por una parte, de los ataques que se puedan dar por un esfuerzo por unificar, en la medida de lo posible, la
parte de intrusos, y por la otra, de vulnerabilidades que arquitectura y los formatos de los IDS [19]. Por lo tanto,
se presenten en el diseño e implementación de la Red. para este artículo se tomará la arquitectura definida por
En términos generales se puede decir que un IDS es, un el CIDF2 [20]. La visión tomada por el CIDF para los
elemento que escucha y analiza toda la información que Sistemas de Detección de Intrusos está basada en cuatro
circula por una red de datos e identifica posibles ataques. componentes que son:
Cuando aparece un ataque, el sistema reaccionará
informando al administrador y cerrará las puertas al • Generador de Eventos (E-Boxes).
posible intruso reconfigurando elementos de la red como • Motor de Análisis (A-Boxes).
firewalls y routers [2]. • Unidad de Almacenaje (D-Boxes).
• Unidades de Respuestas (R-Boxes).
43
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
obtención de datos del exterior del sistema de detección ataque en curso. Cuando el sistema cumple lo anterior se
de intrusos. Son los “ojos” del IDS. Las entradas de los dice que además de ser un sistema de detección de intrusos
generadores de eventos serán los datos en bruto del (lo cual implica pasividad), se le concede la denominación
entorno exterior al IDS. A su salida presentará esos datos de sistema de prevención de intrusos o IPS . En general, un
procesados en forma de eventos comprensibles por el IPS suele autocontener la noción de IDS, no obstante algunos
resto de los componentes. Los generadores pueden ser investigadores prefieren denominar a dichos sistemas como
diversos, dependiendo del tipo de datos que recogen, I(D\P)S.
aunque su funcionamiento a nivel conceptual suele ser muy
similar. Reciben los datos de entrada, los pre procesan para Existen distintos tipos de IDS, atendiendo a distintas
pasarlos a un formato común al resto de los componentes clasificaciones establecidas de acuerdo a las características que
y proporcionan los eventos al resto de componentes se usen para establecer dicha clasificación. Cada uno de ellos
prácticamente en tiempo real. se caracteriza por diferentes aproximaciones de monitoreo
y análisis y presenta distintas ventajas y desventajas. La Fig. 3
B Motor de Análisis muestra una posible clasificación de los IDS [12]:
El motor de análisis es el núcleo de los IDS. Es el motor
de inferencia que, gracias a unos conocimientos, será
capaz de discernir la relevancia de los eventos recibidos
de las E-boxes y generar nuevos eventos como salidas.
Estos motores de análisis pueden ser de muchos tipos,
sistemas estadísticos de profiling, reconocedores de
patrones, sistemas de correlación de eventos, etc. Los
motores de análisis han sido el componente que ha
estado sujeto a mayor desarrollo puesto que sobre él
recae la responsabilidad de analizar el flujo de eventos y
de extraer información relevante. Es por tanto uno de los
componentes más críticos y más complejos de un sistema
Fig. 3 Clasificación de los IDS.
de detección de intrusos.
C. Unidad de Almacenaje IV. Tendencias de los IDS [22].
Este componente es el encargado de almacenar físicamente A. Detección de Anomalías a Nivel de Aplicación
las inferencias del motor de análisis. Contendrá todos
los eventos generados por las A-boxes y normalmente En la actualidad la detección de datos de intrusión en el
se organizan en forma de bases de datos. Es por tanto contenido de los paquetes se realiza mediante el análisis
un componente esencial a la hora de aplicar técnicas de firmas. En cambio, el contenido o carga útil (payload) de
de datamining y correlación de datos como fuentes de una conexión es altamente variable, por lo que es mucho
información forense. más difícil de caracterizar y analizar. Por otro lado, cada
vez es más frecuente el tráfico cifrado, lo cual hace más
D. Unidad de Respuestas: difícil su análisis. En estos últimos tiempos se han realizado
Las unidades de respuesta son los componentes encargados varios trabajos que tratan de utilizar dicho contenido para
de realizar acciones en nombre de otros componentes del la detección. En muchos de los trabajos, suelen incluir
sistema. Este componente suele emplearse para desplegar ciertas características del campo de datos, aunque éstas
unidades que ejecuten contramedidas ante una intrusión. son meramente estadísticas de tipo: número de bytes, etc.
Es decir, permiten al sistema reaccionar de forma activa B. Correlación de Alertas
ante las acciones procesadas por otros componentes.
Estas acciones pueden ser muy variadas, aunque en la gran La correlación de alertas es un tema muy en boga en
mayoría de los casos están orientadas a prevenir ataques estos últimos tiempos. Ante la gran cantidad de alertas
de fuentes maliciosas previamente detectadas o a cortar un que generan los IDS (pueden lanzar miles de alarmas al
44
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
día, pudiendo ser falsas el 99% de las mismas), la gestión sido evidenciada en diferentes investigaciones, así como la
o revisión de las mismas se convierte en una tarea muy integración de los sistemas basados en agentes móviles y
complicada y la carga de trabajo se multiplica para los autónomos en el problema de detección de intrusiones.
administradores de sistemas. La mayoría del trabajo Algunos de los desarrollos más relevantes proponen
realizado en esta área se ha enfocado en la colección de modelos estadísticos donde aplicando matemática
alertas de múltiples detectores en un único lugar donde probabilística se puede determinar la sensibilidad de
poder mostrarlos, consultarlos o correlacionarlos. Por ello, un sistema ante posibles ataques combinando sus
se comienzan a utilizar diferentes técnicas de correlación probabilidades. Las Redes Neuronales Artificiales ayudan
también llamadas fusión de datos o de información para al proceso predictivo basado en patrones conocidos o
tratar de minimizar dicho impacto y también para reducir desconocidos, éstas pueden ser usadas para lograr una
la cantidad de falsas alarmas. técnica eficiente de aprendizaje que permita clasificar los
diferentes tipos de datos (a través de soluciones heurísticas)
C. Lógica Fuzzy y optimizar la búsqueda de patrones a partir de valores y
Los sistemas de detección de intrusos basados en la firmas ya existentes. En nuestra investigación hemos hecho
lógica fuzzy [23] o lógica difusa han ido tomando fuerza algunas simulaciones con resultados eficientes de predicción
en los últimos años. El primer trabajo sobre el uso de aplicando aprendizaje supervisado y No supervisado.
la aplicación de la lógica fuzzy en el área de la seguridad
informática que se conoce es el de T.Y. Lin, de la universidad V. Conceptos de Programación
norteamericana del estado de San José. Sin embargo, ha Multiobjetivo
sido a partir del año 2000 cuando comienzan a realizarse
multitud de trabajos sobre detección de intrusos que La vida misma involucra la toma de decisiones que permiten
incorporan componentes de la lógica fuzzy. el cambio y búsqueda de compromisos. Es natural que
siempre se quieran tomar las mejores decisiones, en
D. Sistemas Inmunes Artificiales otras palabras, que estas decisiones sean óptimas [25].
Los sistemas inmunes artificiales se consideran como un Sin embargo muchas de estas decisiones son tomadas al
sistema análogo al sistema inmune natural. El sistema azar, ó de forma intuitiva. Ahora bien, existen áreas en
inmune es el encargado de la defensa del organismo; donde el modelamiento matemático y la programación
controla lo que se introduce en él y lo identifica como son necesarias, como lo es la ingeniería o la economía
propio o no propio (self / non-self). El organismo trata con [26], en donde muchas decisiones son apoyadas por
ello de asegurar que los mecanismos defensivos que activan estos procesos que fundamentan la toma de decisiones en
el sistema inmunitario (Respuesta Inmune) se orienten hechos o comportamientos pasados que permiten, en un
contra aquello que lo puede dañar y evitar, por lo tanto, momento determinado, al tomador de decisiones tener un
dañarse así mismo. soporte modelado matemáticamente [27]. Por su parte, la
Investigación Operativa se puede definir como la aplicación
E. Modelos Markov de métodos científicos en la mejora de la efectividad en
las operaciones, decisiones y gestión, o como la ciencia de
Los modelos de Markov son un tipo de aprendizaje
aplicar los recursos disponibles para conseguir la satisfacción
basado en secuencias. Se pueden distinguir, entre otros,
óptima de un objetivo específico deseado [28]. En este
las cadenas de Markov y los modelos ocultos de Markov
sentido, dentro de la Investigación Operativa se encuentran
(HMM ó Hidden Markov Models). Una cadena de Markov
disciplinas típicas como es el caso de la Optimización,
es una secuencia de eventos, donde la probabilidad del
en donde se encuentran metodologías propias como lo
resultado de un evento depende sólo del resultado del
es la Programación Lineal (LP), Programación No Lineal
evento anterior. De esa misma manera, los HMM son una
(NLP), Programación Entera (EP), Programación Dinámica
técnica probabilística para el estudio de series en el tiempo.
(DP), Programación Multiobjetivo (MP), Flujos de Redes,
F. Inteligencia Computacional [24] Simulación, Teoría de Colas, Teoría de la Decisión y de
Juegos [5]. La Optimización consiste en la selección de
La aplicación de la inteligencia artificial en la seguridad una alternativa mejor, en algún sentido, que las demás
informática, y en concreto en la detección de ataques, ha alternativas posibles. Los problemas de Optimización se
45
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
componen de tres elementos [28]: metodología PM. En segundo lugar, representa el nacimiento
de los métodos de regresión no paramétricos [29] [30].
A. Función Objetivo
Desarrollada en los años 70 por Ljiri, Lee, Ignizio y Romero,
Es la medida cuantitativa del funcionamiento del sistema en donde los trabajos realizados por Ignazio la situación
que se desea optimizar (maximizar ó minimizar). Como problémica se centraba en el campo de la ingeniería en
ejemplo llevado al sector de las telecomunicaciones se la organización del sistema de antenas para el proyecto
podría citar, maximizar el ancho de banda de un canal, Saturno/Apolo. Este problema implicaba metas múltiples,
maximizar la potencia de un transmisor, minimizar los funciones no lineales, así como variables enteras. Ignizio
costos asociados a un enlace. consiguió obtener soluciones razonables (satisfacientes)
B. Variables mediante la adaptación del concepto de PM introducido por
Charnes y Cooper [29]. En la actualidad la Programación
Representan las decisiones que se pueden tomar para Multiobjetivo es uno de los enfoques multicriterio que más
afectar el valor de la función objetivo. Desde un punto se utilizan. En principio fue dirigida a resolver problemas
de vista funcional se pueden clasificar en variables industriales, sin embargo posteriormente se ha extendido
independientes o de control y variables dependientes o a muchos otros campos como la ingeniería, economía,
de estado, aunque matemáticamente todas son iguales. agricultura, recursos ambientales, recursos pesqueros,
etc. Resulta de gran interés, sobre todo, en problemas
C. Restricciones
complejos de gran tamaño [31] [32].
Representan el conjunto de relaciones (expresadas
Filosóficamente la MP se apoya en el concepto de
mediante ecuaciones e inecuaciones) que ciertas variables
soluciones satisfacientes introducido por Herbert Simon en
están forzadas a satisfacer.
1956 que conduce a una teoría de la racionalidad acotada
En este contexto, cuando se resuelve un problema de (bounded rationality) con profundas raíces psicológicas y
optimización lo que se busca es encontrar el valor que que representa una clara alternativa a las teorías clásicas
deben tomar las variables de tal forma que satisfaga las basadas en una racionalidad perfecta.
restricciones y optimice (maximice o minimice) la función
El término satisfaciente deriva de un término en escocés
objetivo [7] .
antiguo (“satisficing”), que intenta fusionar los términos
Ahora bien, teniendo en cuenta lo anterior, la Programación satisfactorio y suficiente. Simon conjetura que en las
por Metas ó Programación Multiobjetivo (MP) (Goal complejas organizaciones actuales (grandes empresas,
Programming) fue inicialmente introducida por Charnes y agencias gubernamentales, sindicatos, etc), el contexto
Cooper en los años 50. El trabajo pretendía desarrollar un decisional está definido por información incompleta,
método que permitiera determinar las compensaciones recursos limitados, multiplicidad de objetivos, conflicto de
salariales a los ejecutivos de una importante compañía intereses, etc.
(General Electric). La situación problema exigió la introducción
En este tipo de contexto, el centro decisor no está en
de restricciones y condiciones de signo en algunos de los
condiciones de maximizar nada, y menos una bien definida
coeficientes de regresión lo que hizo imposible recurrir a
función objetivo como supone el análisis económico
los métodos tradicionales de regresión. Dada la insuficiencia
tradicional. Por el contrario, Simon conjetura que en este
de las técnicas estadísticas clásicas para abordar este tipo de
tipo de contexto decisional complejo, el centro decisor
problema estos autores formularon un modelo de regresión
no optimiza, porque no puede, pero si intenta en cambio
con restricciones (“constrained regression”) en el que se
obtener soluciones satisfacientes, en el sentido de ser
minimiza la suma de las desviaciones absolutas. Dado que
satisfactorias y suficientes.
la desviación absoluta es una forma no lineal que no puede
optimizarse de una manera directa, Charnes y Cooper Este tipo de cambio de lógica situacional, de la optimización
linealizaron el modelo introduciendo, por primera vez en la a la búsqueda de soluciones satisfacientes, implica asumir
literatura, variables de desviación positivas y negativas. El valor que el centro decisor en vez de maximizar o minimizar una
seminal de este trabajo es enorme al menos por dos tipos determinada función objetivo intenta que una serie de metas
de razones. En primer lugar, representa el embrión de la relevantes para su problema se aproximen lo más posible a
46
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
47
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
objetivo del problema como aisladas. Nótese que el vector de los vectores óptimos se pueden extraer por simple
ideal es inalcanzable, excepto en el caso en que no existe inspección. Dichos vectores son aquellos en donde ninguno
ningún conflicto entre las funciones objetivo del problema. de sus componentes puede causar deterioro al resto de
los otros componentes [26]. Una definición mucho más
formal de la Optimalidad de Pareto, se puede expresar
como: Se dice que un vector de variables de decisión
es un óptimo de Pareto si
no existe otro para toda
y para al menos una j [35].
En otras palabras, esta definición dice que es un óptimo
de Pareto si no existe ningún vector factible de variables
de decisión que decremente algún criterio
sin causar un incremento simultáneo en al menos un
criterio. Desafortunadamente, este concepto casi siempre
produce no una solución única sino un conjunto de ellas
a las que se les llama conjunto de óptimos de Pareto.
Los vectores correspondientes a las soluciones incluidas
en el conjunto de óptimos de Pareto son llamados no
dominados.
Para un problema multiobjetivo dado , el conjunto de
Fig. 5 Vector Objetivo Ideal óptimos de Pareto ( ) se define como:
48
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
problemas multiobjetivo. De primera instancia, resulta La tratabilidad analítica del modelo, esto es, la capacidad
fundamental distinguir las dos etapas en las que puede intrínseca del modelo de arrojar resultados analíticos, sin
dividirse la solución de un problema multiobjetivo [37]: la necesidad de simulación.
optimización de las diversas funciones objetivo involucradas
y el proceso de decidir qué tipos de “compromisos” son La facilidad de implementación, ya sea vía software para
más convenientes desde la perspectiva del tomador de proceder a simulaciones o vía hardware con el objetivo de
decisiones (a este segundo proceso se le denomina “Toma disponer de un generador de tráfico sintético en tiempo
de Decisiones multicriterio”. Es muy común adoptar la real. Esta característica exige simplicidad no sólo a la propia
propuesta de Cohon & Marks (1975) porque dichos autores estructura del modelo sino también a la algoritmia y a los
enfocan su clasificación hacia la forma en la que cada técnica costes computacionales que exige su implementación.
maneja los dos sub-problemas principales de la optimización Capacidad de modelar otros tipos de tráfico y, en especial,
multiobjetivo, la cual corresponde a buscar la solución y tráfico agregado. En numerosas ocasiones se puede
tomar la decisión. Dichas técnicas son: exigir de un modelo, en especial de los generalistas, la
Articulación A priori de Preferencias: Tomar decisiones ductilidad suficiente para que, mediante ciertos cambios
antes de buscar (decidir => buscar). de sus parámetros, este sea capaz de imitar otros tipos
de tráficos o incluso el propio tráfico agregado que resulta
Articulación A posteriori de Preferencias: Buscar antes de de multiplexar sobre un canal varias fuentes individuales.
tomar decisiones (buscar => decidir).
Teniendo en cuenta los anteriores puntos, la determinación
Articulación Progresiva de Preferencias: Integrar la búsqueda del modelo es crucial en la realización del proyecto, ya que
con la toma de decisiones (decidir buscar). con él se pueden obtener excelentes acercamientos al
comportamiento del sistema en la realidad, sin embargo si
los parámetros a tener en cuenta han sido mal enfocados y
VII. Tráfico en las Redes LAN
se toma un modelo que no responda a nuestras necesidades,
La teoría de tráfico consiste en la aplicación de modelos se ha perdido tiempo muy importante. Así pues, dado
matemáticos para explicar la relación que existe entre la un Modelo de Tráfico particular, el desempeño de la red
capacidad de una red de comunicaciones, la demanda se podría predecir, en principio, aplicando herramientas
de servicio que los usuarios le imponen y el nivel de adecuadas proporcionadas principalmente por la Teoría de
desempeño que la red puede alcanzar. Como dicha Procesos Estocásticos y otros recursos matemáticos [40]. Los
demanda es de naturaleza aleatoria, se suele representar resultados de dicho análisis de desempeño son los puntos de
mediante algún proceso estocástico adecuado, con lo partida para el diseño de mecanismos de control de la red en
que se constituyen diferentes Modelos de Tráfico. A lo aspectos tan variados como el control de admisión, el control
largo del desarrollo de las redes de comunicaciones en los de flujo, el control de congestión, el control de la memoria
últimos cien años, se han propuesto diferentes modelos en las colas, la asignación de recursos (especialmente la
de tráfico, cada uno de los cuales ha resultado útil dentro administración dinámica del ancho de banda en los enlaces
del contexto particular para el que se propuso. Esto es, al y de la memoria en los buffers de transmisión), el caché
utilizar estos modelos en el estudio de desempeño de redes dinámico, el enrutamiento dinámico adaptable, etc. [38]
(mediante análisis o simulación), se obtienen resultados
B. Análisis de Conductas de los Nodos (usuarios)
estadísticamente significativos [38].
de una Red LAN
A. Criterios de Selección de un Modelo
Se han propuesto diferentes métricas para describir y
El objetivo básico de un Modelo de Tráfico es el de ser comparar las conductas de los nodos de red (usuarios)
capaz de imitar el “comportamiento” del tráfico real. Sin individuales en los ambientes de redes LAN (cableadas
embargo, esta cualidad, la correspondencia con la realidad, y/o wireless), a partir de la colección de trazas de nodos
no es el único baremo que debe considerarse a la hora de de red. Estas métricas corresponden a diferentes aspectos
elegir una estrategia de modelado. Así resultan de especial de las conductas de asociaciones de nodos de red en
interés otros aspectos, tales como [39]: una LAN, siendo algunas más apropiadas para las redes
cableadas y otras para las redes wireless. Por ejemplo,
49
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
50
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
a. Modelos de Tráfico sin Memoria Modelos Autorregresivos: Estos modelos están diseñados
de modo que el comportamiento de una variable en un
En este tipo de modelos los procesos que se analizan son
instante de tiempo depende de valores pasados de la propia
aquellos en donde la variable es estocástica y toma valores
variable. Así, si el valor de la variable u en el momento
no negativos, es decir, procesos de Poisson con tasa lambda.
t depende de su valor en el periodo anterior más un
Son adecuados para modelar el tráfico de las conversaciones
término aleatorio se dice que el proceso es autorregresivo
telefónicas o el tráfico interactivo de datos, en donde una
de primer orden ( ). Si la relación de dependencia
gran cantidad de usuarios son similares e independientes. Los
se establece con los p valores anteriores el proceso será
tiempos entre llegadas se denominan T, son independientes
autorregresivo de orden . Matemáticamente estos
y exponencialmente distribuidos con promedio de uno sobre
procesos se expresan del siguiente modo [43]:
lambda, de modo que el tiempo que toca esperar hasta
observar la próxima llegada es independiente del momento
en que se empiece a examinar, a lo cual se conoce como
“falta de memoria” [38].
...
b. Modelos de Renovación
Los procesos de renovación son una extensión de los
Modelos de Tráfico sin memoria, en los que los intervalos Donde es un proceso de ruido blanco y por lo tanto
de tiempo entre llegadas de paquetes son independientes con esperanza nula, varianza constante y covarianza nula.
e idénticamente distribuidos, aunque no necesariamente
exponenciales o geométricos. Además tienen la ventaja de Modelos de Medias Móviles: Los procesos de medias
permitir seleccionar una distribución más cercana a la de móviles, por su parte, se estructuran estableciendo una
los tiempos observados entre llegadas. relación de dependencia entre la variable que se modeliza
y un conjunto de retardos de la variable de ruido blanco
c. Modelos de Tráfico Correlacionados con dependencia . Si sólo existe un retardo de la variable de ruido blanco
de Rango Corto el proceso será de orden 1, mientras que si existe una
combinación lineal de q términos de error de ruido blanco
Dados los últimos avances que se vienen desarrollando
el proceso se denomina , se denota por [43]:
en materia de aplicaciones y dispositivos para el uso de
banda ancha, se hace necesario encontrar herramientas
que permitan modelar las características del tráfico real,
especialmente las características de los tiempos entre
llegadas que no se podían realizar con los modelos
de Renovación. Algunos modelos se basan en medir ...
las correlaciones que decaen rápidamente de forma
exponencial en el tiempo, es decir, aquellos que
representan relaciones muy cortas en tiempo entre sus
variables. Entre ellas se puede mencionar: Modelos ARMA: Los modelos ARMA son el resultado
Modelos Markovianos: Este tipo de modelo se encuentra en de la combinación de los dos modelos básicos para
la paquetización de la voz, en donde cuando existe tráfico series estacionarias AR y MA descritos anteriormente,
es constante de lo contrario se encuentra inactivo y no produciendo los modelos ARMA (p, q). Estos métodos
se generan paquetes. Para poder resolver los tiempos de modelan las series de tiempo estudiando la estructura de
envío de paquetes y no-envío de paquetes se consideran correlación que el tiempo, o el índice, o la distancia induce
independientes y exponencialmente distribuidos con en las variables aleatorias que originan la serie.
promedios de uno sobre lambda1 y uno sobre lambda2
d. Modelos de Tráfico Correlacionados con dependencia
respectivamente, para caracterizar la actividad de los
de Rango Largo
abonados de voz mediante una cadena de Markov de
dos estados con tasas de transición lambda1 para envío y Son procesos estocásticos que permiten modelar
lambda2 para no-envío [38]. tráfico para una red de datos, en donde el proceso es
51
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
exactamente autosemejante con parámetro Hurst H, y palabras se puede afirmar que en forma sistémica las
se cumple [38]: redes de computadoras se consideran compuestas
por el tráfico que fluye por toda la red, por usuarios
que generan demandas a la red, y por algoritmos de
distribución de parte de la red que controlan la asignación
de recursos de esta (compuesto por routers, switches y
en general cualquier elemento que se considere servidor
Esto es, si y están idénticamente distribuidas de recursos).
para todo y . La autosemejanza se refiere al
hecho de que, de acuerdo con la ecuación anterior, las Por otra parte, para “asegurar” la Red las compañías usan
características estadísticas del proceso no varían con la los denominados IDS/IPS en donde para detectar los
escala. ataques se utilizan dos técnicas diferentes: uso indebido y
de anomalías.
Modelos ARIMA: El acrónimo ARIMA significa modelo
autorregresivo integrado de media móvil (AutoRegresive En los IDS basados en uso indebido se analiza el tráfico
Integrated Moving Average). Cada una de las tres partes de la red y se compara con unas firmas (rules). Si el tráfico
del acrónimo se le denomina componente y modela coincide con la firma (p. e. dirección IP, puerto, datos del
un comportamiento distinto de la serie. Los modelos paquete, etc) entonces el paquete se considerará como
ARIMA se construyen a partir de los modelos ARMA, ataque. Y en los IDS basados en anomalías se va analizando
pero considerando que la serie en estudio para que sea el tráfico de la red para ver si el comportamiento de los
estacionaria en media tendrá que diferenciarse una serie usuarios se clasifica como ataque [12].
de veces. Un modelo ARIMA (p,d,q) es un modelo
ARMA(p,q) sobre la serie diferenciada d veces. Es decir, Para ello, el IDS genera un autómata en el que asocia las
su expresión algebraica será [44]: comunicaciones a un determinado estado, y dependiendo
de la actividad va cambiando la comunicación de estado
hasta que se termine la comunicación o que llegue a un
estado que se considera como ataque [45].
Los modelos comentados anteriormente serían perfectos si
se tiene actualizada la base de datos de firmas y anomalías con
En donde es la serie de las diferencias de orden d y lo que se considera como ataque; y todas sus combinaciones
es la serie de los errores que se cometen en la serie y variaciones posibles [46] [4]. Pero esta labor es imposible
anterior. ya que no se pueden guardar las firmas de ataques que no
se conocen y sería imposible guardar todas las variaciones
Modelos Wavelet: El análisis Wavelet es una técnica
de cualquier ataque. Además porque el IDS tiene que procesar
naturalmente adecuada para el estudio de procesos
casi en tiempo real los paquetes ya que de nada sirve que el
autosemejantes, puesto que está orientado al estudio
IDS informe de lo que detectó en días anteriores.
multiresolución de señales, el cual permite analizar el
comportamiento de la señal a diferentes escalas de tiempo En el momento que un IDS toma una decisión, éste puede
simultáneamente [38]. tomarla de forma correcta o incorrecta, existen cuatro
posibles estados [12]:
VIII. Modelamiento Multiobjetivo • Falso positivo. También se conoce como falsa alarma
para el Tráfico de un IDS y corresponde a tráfico inofensivo que se considera
como ataque.
En la actualidad los administradores de redes se enfrentan
• Falso negativo. Ataque que no detecta el IDS.
a problemas muy significativos en aspectos de seguridad
• Verdadero positivo. Evento inofensivo que se
informática, dada la multiplicidad de formas que día a día
etiqueta como tráfico normal.
se dan para hackear las Redes LAN. Para dar solución a
• Ve r d a d e r o n e g a t i v o . A t a q u e d e t e c t a d o
este problema, se han realizado desarrollos de software
correctamente.
muy significativos, como lo son los IDS/IPS. En otras
52
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
53
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
54
Rev. Tecnol. – Journal of Technology • Vol. 11 No. 1 - Enero a Junio 2012 - Carlos Arturo Castillo Medina
Aplicación de la programación multiobjetivo en la optimización del tráfico generado por un IDS/IPS p. 41-55
[39] E. Casilari, “Modelado de tráfico telemático,” 2005. [46] A. Ariza Quintana, Encaminamiento en Redes con Calidad
[40] G. Millan Alonso, Predicción de Tráfico en Redes de de Servicio. Málaga: Universidad de Málaga - Escuela
Telecomunicaciones basado en Técnicas de Inteligencia Técnica Superior de Ingenieros de Telecomunicación, 2001.
Artificial. México: Instituto Politécnico Nacional, 2006. [47] H. Gascón Polanco, Estudio de un IDS Open Source frente
[41] S. Pérez, F. Higinio, and A. Dantiacq, “Modelación desde a herramientas de análisis y exploración de vulnerabilidades.
el análisis del comportamiento del tráfico en LANs,” 2007. España: Universidad Carlos III de Madrid, 2010.
[42] C. A. Hernández S, O. J. Salcedo P., and L. Pedraza, [48] S. Giraldo Sánchez, “Modelo Matemático para Apoyar el
“Modelo de tráfico basado en series de tiempo para Montaje de Sistemas de Detección de Intrusos,” 2003.
pronosticar valores futuros de tráfico en una red de datoS [49] C. A. Oropeza Clavel, Modelado y Simulación de un
WI-FI,” 2008. Sistema de Detección de Intrusos Utilizando Redes
[43] J.M. Arranz and M.M. Zamora, Análisis de Autocorrelación. Neuronales Recurrentes. Puebla - México: Universidad de
Andalucia: Universidad de Andalucia, 2007. las Américas - Puebla, 2007.
[44] C. Maté, “Modelos Arima,” 2005. [50] E. L. Robayo Santana, Detección de Intrusos en Redes de
[45] C. Jiménez, Diseño y Optimización de un Sistema de Telecomunicaciones usando Modelos Ocultos de Markov.
Detección de Intrusos Híbrido. Almería: Universidad de Bogotá: Universidad Nacional de Colombia, 2009.
Almería, 2009.
Autor
Carlos Arturo Castillo Medina
Docente de la Facultad de Ingeniería de la Universidad El Bosque en la Facultad de Ingeniería. Se encuentra
vinculado a la línea de investigación en Redes de Telecomunicaciones de la Universidad El Bosque.
Candidato a Magister en Ciencias de la Información y las Comunicaciones de la Universidad Distrital
“Francisco José de Caldas”. Especialista en Gerencia de Proyectos de la Universidad El Bosque.
Ingeniero de Sistemas Universidad Distrital FJC. Estudios de Ingeniería Eléctrica de la Universidad
Nacional de Colombia. Instructor Certificado CCNA Cisco Systems.
castillocarlos@unbosque.edu.co
55