ENFASIS 2

Técnicas de detección de anomalías y

Técnicas de detección de uso indebido.

Presentado por:
Gustavo Cortes Ballén

Presentado a:
Nixon Duarte Acosta

Facultad de Ciencias Básicas e Ingeniería

Ingeniería de Sistemas
Corporación Universitaria Remington
2019
 INTRODUCCION

La detección de situaciones anómalas es un objetivo de suma importancia en la

gestión de los servicios de una red de computadoras. Dichas situaciones pueden
ser consecuencia de errores de configuración o de ejecución de los servicios, o
aparecer como resultado de la ocurrencia de algún evento excepcional. La
detección y corrección temprana de estas anomalías es imprescindible para medir
la eficiencia en la gestión de una red de computadoras. En la actualidad, existe
una multitud de aplicaciones de gestión de redes que incorporan procesos
automáticos de detección de anomalías. El presente trabajo no tiene como
objetivo proponer un nuevo sistema en esta dirección, sino incursionar en una
nueva metodología que mejore el proceso de gestión y en particular el de gestión
de fallos. Se trata de una técnica que permita descubrir de forma automática o
semiautomática información de gestión útil a partir de las trazas de ejecución de
los servicios con el objetivo de detectar anomalías. Con el fin de realizar el diseño
e instrumentación de un prototipo de aplicación que permita analizar las trazas de
un servicio de redes utilizando técnicas de minería de datos se proponen los
siguientes objetivos: Proponer una metodología para la extracción de
conocimiento útil de gestión a partir de las trazas de un servicio de redes utilizando
técnicas de minería.
Actualmente los sistemas informáticos gestionan gran cantidad de datos a través
de la red. Este continuo crecimiento ha provocado a su vez un aumento en el
número de accesos y la manipulación de datos no autorizados con las
consiguientes violaciones de seguridad.

En este contexto nos encontramos con una serie de políticas y procedimientos de

seguridad de primer nivel, como pueden ser, los cortafuegos, la encriptación de
datos, antivirus, etc. Esta primera línea de defensa está siendo complementada
con herramientas que permiten monitorizar el comportamiento del tráfico y las
actividades de los usuarios de la red. En este ámbito, surgen los sistemas de
detección de intrusos (IDS) como uno de los campos más investigados en los
últimos años.
Un IDS se define, según NIST (Institute of Standards and Technology), como el
proceso de monitorización de eventos que suceden en un sistema informático o en
una red y el análisis de dichos eventos en busca de intrusiones.

Los IDS pueden ser clasificados en dos grandes grupos, atendiendo al tipo de
analizador o procesador de eventos: IDS basados en usos indebidos e IDS
basados en anomalías.
 JUSTIFICACION
La implementación de un sistema de detención de intrusos es una extensión de la
seguridad para una organización y que a su vez consiste en detectar actividades
inapropiadas o incorrectas desde el exterior e interior de un sistema informático. El
presente proyecto nace a raíz del aumento considerado de ataques informáticos
que se producen en internet y del avance tecnológico, y a que en la Ferretería
Corintios no se cuenta actualmente con una herramienta de defensa ante los
intentos de intrusión desde el interior o exterior de la red. Este Sistema de
Detección de Intrusos IDS, permitirá a la ferretería corintio estar a la vanguardia en
la seguridad tecnológica con respecto a ferreterías vecinas de la ciudad, lo cual
implicara tener un control del acceso e implementación de las políticas de
seguridad para reconocer ataques, mantener un registro y tomar las acciones
correctiva necesarias. Además con este sistema se reducirán los gastos
administrativos ya que para su implementación solo necesitaremos de un
computador sin muchos requerimientos. La implantación del Sistema de Detección
de Intrusos no solo beneficiara a la alta gerencia sino también al personal
administrativo y/o al personal encargado del área de sistema; ya que le permitirá
administrar y mantener un historial de intentos de intrusiones en la red, además
tendrá acceso en tiempo real ante un posible ataque. La decisión de la elaboración
del trabajo de grado con Snort, es que este es un sistema IDS basado en red
(NIDS). El cual, tiene como característica analizar y capturar paquetes en busca
de alertas, registro y cualquier anomalía que presente la red, con la finalidad de
evitar las vulnerabilidades que presente dicha información de la organización. Por
esta razón se hace necesario implementar un IDS ya que con el desarrollo de este
se pretende utilizar los mecanismos necesarios que justifiquen su validez y
ejecución beneficiando el manejo de la información en cuanto a seguridad e
integridad de la información y así dar pautas o recomendaciones para implementar
un IDS en la Ferretería Corintios, implementando la herramienta de detección de
intrusos para la red que permita proteger los activos reales de la información
digitalizada.
TECNICAS DE DETECCION DE ANOMALIAS EN UNA RED A PARTIR DE LAS
TRAZAS DE EJECUCION DE LOS SERVICIOS.

Diseño de la metodología La detección de fallos es una de las áreas funcionales

de la gestión de redes. Su objetivo fundamental es la localización y solución de los
problemas que se presentan en una red, ofreciendo un soporte preventivo y
correctivo a su funcionamiento. En muchos casos, permite incluso detectar y
subsanar los problemas antes de que se percaten los usuarios. Cuando una falla o
funcionamiento raro se detecta en la red se dedica un tiempo a identificar la causa
que le dio origen y, en caso de que sea necesario, se toman medidas para evitar
su repetición. Las trazas de ejecución de un servicio son una fuente importante de
la que se puede extraer gran cantidad de información acerca de su
comportamiento. Por esta razón, es usual que los administradores de una red las
examinen cuando se están buscando las causas de un error. Sin embargo, ocurre
con frecuencia que el cúmulo de datos que se almacena en estos archivos es tan
grande que termina por agotar al administrador sin haber encontrado nada útil.
Con la propuesta que se hace en este trabajo se pretende brindar el prototipo de
una herramienta de gestión que ayude a analizar las trazas de un servicio dentro
de la red y permita detectar anomalías a partir de la información obtenida de este
análisis. Para lograr este objetivo se definen determinadas variables a tener en
cuenta a partir de los datos que aparecen en los archivos de trazas y por cada una
se construye un perfil de comportamiento normal asociado a ella. Una vez
terminada esta fase se procede al análisis de nuevas trazas con el objetivo de
detectar comportamientos anómalos. En esta nueva etapa se comparan, por cada
variable, los valores obtenidos de las nuevas trazas con los que se tenían en el
perfil. Aquellos que se ajusten son sencillamente descartados o se almacenan
para posibles procesamientos a realizarse en el futuro, mientras que aquellos que
no se adecúen serán tratados como anomalías. Para construir el perfil que
describe el comportamiento normal de un servicio se propone la utilización de
técnicas de minería de datos que operen sobre las trazas. El objetivo es ser
capaces de construir un modelo matemático simple que cubra el rango completo
de comportamientos normales y que excluya, con la mayor precisión posible, las
anomalías u outliers. Dado que el prototipo a desarrollar no es más que una
aplicación de minería de datos, se tomó como guía de trabajo el modelo CRISP-
DM.

Se tomó como caso de estudio el análisis de las trazas de ejecución del servicio
que se utiliza como intermediario para la navegación por Internet en la red de la
Universidad, Este es el servicio de proxy conocido con el nombre de Squid.
SQUID
Entre sus características más importantes se encuentran: Permite la navegación a
través de sitios HTTP, HTTPS, FTP y GOPHER con la capacidad de acelerar los
pedidos a través de un cache Web. Es posible establecer relaciones jerárquicas
entre varios servidores Squid. Estas pueden ser relaciones de padre/hijo o
relaciones entre hermanos. Brinda un conjunto amplio de directivas para
instrumentar restricciones de acceso. Estas permiten establecer políticas de
control centralizado, simplificando la administración de la red. Squid, como la
mayoría de las aplicaciones que instrumentan servicios de redes, genera durante
su ejecución información referente a las actividades que va realizando.

Trazas de ejecución Squid crea varios archivos de trazas. Los tres ficheros de
trazas más importantes de Squid son: cache.log, store.log y access.log. De los
tres ficheros se seleccionó para el trabajo el tercero debido a que es el que
permite conocer información acerca de cada solicitud realizada al servicio de proxy
de Squid.

Una anomalía es una observación significativamente diferente al resto de

observaciones, de lo que se deduce que dicha observación puede haber sido
generada por un mecanismo diferente del resto de observaciones. La detección de
anomalías surge como un área de trabajo importante en los algoritmos de
aprendizaje. En algún caso la capacidad de detección de anomalías deriva de
forma natural de los algoritmos de agrupamiento, que se estudiarán a
continuación. El agrupamiento es una disciplina de la minería de datos que
consiste en la clasificación de las entradas de un set de datos en distintos grupos,
pero sin tener ningún tipo de información a priori sobre éstos. Es decir, trata de
buscar algún tipo de relación desconocida que pueda indicar que un subconjunto
de nuestros datos tenga algo en común entre sí. En este caso se explotará una de
sus utilidades: la detección de anomalías. Al hacer agrupamiento, lo normal es
obtener una serie de clústeres y, en función del tipo de algoritmo, ruido. El ruido
está formado por aquellos puntos que no cumplen las condiciones necesarias para
formar parte de ningún otro clúster; normalmente están demasiado lejos de otros
puntos. De esta forma, se puede definir el ruido como puntos que están fuera de la
norma, del comportamiento del resto del set de datos. En el caso de datos de uso
de redes Wifi, una anomalía sería que el tiempo de conexión de un usuario fuese
mayor a un día o que consumiese más ancho de banda del que debería. Por otro
lado, hay distintos métodos para agrupar datos: por distribución estadística,
asignando un centroide a cada grupo y calculando la distancia a éste, basados en
la densidad de puntos en el espacio bidimensional… A continuación se explica el
funcionamiento de algunos de estos métodos.

Agrupamiento por centroide:

En este modelo se asigna un centroide a cada clúster, de forma que todos los
elementos que pertenecen a ese clúster estén más cerca de su centroide que del
centroide de otros clústeres. El punto asignado al propio centroide depende de los
elementos que haya en el clúster, y su valor no tiene por qué ser un punto del set
de datos. Ejemplo: K-means. Se trata de un algoritmo de agrupamiento por
centroide en el que el número de clústeres está prefijado, y viene dado por el valor
k. De esta forma, para k=2 tendremos dos clústeres. El esquema que sigue es el
siguiente:
1. Asignar k centroides de forma aleatoria.
2. Asignar cada elemento del set de datos al centroide que proporcione la mínima
suma de distancias al centroide.
3. Recalcular los centroides.
4. Repetir hasta que converja. Se considera que el algoritmo converge cuando
durante el paso
3 los centroides no cambian, o cuando la distancia entre centroides de una
iteración a la siguiente es menor que cierto parámetro de precisión predefinido.
Agrupamiento por distribución:
Este modelo está basado en el ajuste de cada clúster a una distribución
estadística, de forma que cada punto se asigna al clúster al que tiene la máxima
probabilidad de pertenecer. Ejemplo: algoritmo esperanza-maximización. Se trata
de un método de agrupamiento por distribución en dos pasos: durante el primero,
llamado paso de “esperanza”, se calcula una función de la media de la función de
verosimilitud de los actuales parámetros; durante el segundo, el de
“maximización”, se maximiza dicha función para buscar una solución óptima.
Agrupamiento por densidad
En este modelo se considera un grupo como una zona del espacio en el que la
densidad de puntos es mayor que en el resto. Tienen la ventaja de que, si en una
zona no hay suficiente densidad de puntos, los que se encuentren en ella se
consideran ruido, que se puede interpretar como anomalías. Ejemplo: DBSCAN:
representa las siglas en inglés de “Agrupamiento Espacial Basado en Densidad de
Aplicaciones con Ruido”. En este algoritmo contamos con dos parámetros: minPts
(número mínimo de puntos) y ε (épsilon, que en el código se representa como
eps). Por otro lado, los puntos se clasifican en tres tipos: núcleos, nonúcleos y
ruido. Un núcleo es un punto que tiene a una distancia épsilon a al menos minPts-
1 puntos, por lo que juntos forman un vecindario de radio ε. Un no-núcleo es un
punto vecino de un núcleo, pero que no es núcleo por sí mismo. Y finalmente, un
punto es considerado ruido si no es vecino de ningún núcleo

TÉCNICAS DE DETECCIÓN DE USO INDEBIDO

Dentro de la clasificación de los sistemas de detección de intrusos en base a su
forma de actuar, la segunda gran familia de modelos es la formada por los
basados en la detección de usos indebidos. Este esquema se basa en especificar
de una forma más o menos formal las potenciales intrusiones que amenazan a un
sistema y simplemente esperar a que alguna de ellas ocurra; para conseguirlo
existen cuatro grandes aproximaciones ([Ko96]): los sistemas expertos, los análisis
de transición entre estados, las reglas de comparación y emparejamiento de
patrones (pattern matching) y la detección basada en modelos.

Los primeros sistemas de detección de usos indebidos, como NIDES ([L$^+$92]),

se basaban en los sistemas expertos para realizar su trabajo; en ellos las
intrusiones se codifican como reglas de la base de conocimiento del sistema
experto, de la forma genérica if-then (if CONDICIÓN then ACCIÓN). Cada una de
estas reglas puede detectar eventos únicos o secuencias de eventos que denotan
una potencial intrusión, y se basan en el análisis - generalmente en tiempo real -
de los registros de auditoría proporcionados por cualquier sistema Unix: esta es
una de las principales ventajas de los sistemas expertos, el hecho de que el
mecanismo de registro dentro de Unix venga proporcionado `de serie', ya que de
esta forma el sistema de detección trabaja siempre por encima del espacio del
sistema operativo, algo que facilita enormemente su integración dentro de
diferentes clones de Unix.

Podemos pensar en un caso real que nos ayude a comprender el funcionamiento

de los sistemas expertos a la hora de detectar intrusiones; el típico ejemplo es la
detección de un mismo usuario conectado simultáneamente desde dos
direcciones diferentes. Cada vez que un usuario se autentica correctamente en el
sistema, cualquier Unix genera una línea de registro que se guarda en el fichero
de log correspondiente; así, al conectar a un servidor Linux Slackware vía SSH, se
registra el evento de esta forma:

May 27 03:08:27 rosita sshd[5562]: User toni, coming from anita, authenticated.

Al leer este registro, un sistema experto comprobaría si el usuario toni ya tiene una
sesión abierta desde una máquina diferente de anita; si esta condición se cumple
(recordemos la forma genérica de las reglas del sistema experto, if-then) se
realizaría la acción definida en la regla correspondiente, por norma generar una
alarma dirigida al responsable de seguridad del sistema.

La segunda implementación de los sistemas de detección de usos indebidos era la

basada en los análisis de transición entre estados ([PK92]); bajo este esquema, una
intrusión se puede contemplar como una secuencia de eventos que conducen al
atacante desde un conjunto de estados inicial a un estado determinado,
representando este último una violación consumada de nuestra seguridad. Cada
uno de esos estados no es más que una imagen de diferentes parámetros del
sistema en un momento determinado, siendo el estado inicial el inmediatamente
posterior al inicio de la intrusión, y el último de ellos el resultante de la completitud
del ataque; la idea es que si conseguimos identificar los estados intermedios entre
ambos, seremos capaces de detener la intrusión antes de que se haga efectiva.
Sin duda el sistema de detección basado en el análisis de transición entre estados
más conocido es USTAT , basado en STAT. Este modelo fué desarrollado
inicialmente sobre SunOS 4.1.1 (en la actualidad está portado a Solaris 2), y utiliza
los registros de auditoría generados por el C2 Basic Security Module de este
operativo. En USTAT, estos registros del C2-BSM son transformados a otros de la
forma S, A, O, representando cada uno de ellos un evento de la forma `el sujeto S
realiza la acción A sobre el objeto O'; a su vez, cada elemento de la terna anterior
está formado por diferentes campos que permiten identificar unívocamente el
evento representado. El sistema de detección utiliza además una base de datos -
realmente, se trata de simples ficheros planos - formada principalmente por dos
tablas, una donde se almacenan las descripciones de los diferentes estados
(SDT, State Description Table) y otra en la que se almacenan las transiciones
entre estados que denotan un potencial ataque (SAT, Signature Action Table).
Cuando USTAT registre una sucesión determinada de eventos que representen un
ataque entrará en juego el motor de decisiones, que emprenderá la acción que se
le haya especificado (desde un simple mensaje en consola informando de la
situación hasta acciones de respuesta automática capaces de interferir en tiempo
real con la intrusión).

La tercera implementación que habíamos comentado era la basada en el uso de

reglas de comparación y emparejamiento de patrones o pattern matching ([SG91],
[KS94c]); en ella, el detector se basa en la premisa de que el sistema llega a un
estado comprometido cuando recibe como entrada el patrón de la intrusión, sin
importar el estado en que se encuentre en ese momento. Dicho de otra forma,
simplemente especificando patrones que denoten intentos de intrusión el sistema
puede ser capaz de detectar los ataques que sufre, sin importar el estado inicial en
que esté cuando se produzca dicha detección, lo cual suele representar una
ventaja con respecto a otros modelos de los que hemos comentado.

Actualmente muchos de los sistemas de detección de intrusos más conocidos (por

poner un ejemplo, podemos citar a SNORT o RealSecure) están basados en
el pattern matching. Utilizando una base de datos de patrones que denotan
ataques, estos programas se dedican a examinar todo el tráfico que ven en su
segmento de red y a comparar ciertas propiedades de cada trama observada con
las registradas en su base de datos como potenciales ataques; si alguna de las
tramas empareja con un patrón sospechoso, automáticamente se genera una
alarma en el registro del sistema. En el punto 18.8.2 hablaremos con más detalle
del funcionamiento de SNORT, uno de los sistemas de detección de intrusos
basados en red más utilizado en entornos con requisitos de seguridad media.

Por último, tenemos que hablar de los sistemas de detección de intrusos basados
en modelos ([GL91]); se trata de una aproximación conceptualmente muy similar a
la basada en la transición entre estados, en el sentido que contempla los ataques
como un conjunto de estados y objetivos, pero ahora se representa a los mismos
como escenarios en lugar de hacerlo como transiciones entre estados. En este
caso se combina la detección de usos indebidos con una deducción o un
razonamiento que concluye la existencia o inexistencia de una intrusión; para ello,
el sistema utiliza una base de datos de escenarios de ataques, cada uno de los
cuales está formado por una secuencia de eventos que conforman el ataque. En
cada momento existe un subconjunto de esos escenarios, denominado de
escenarios activos, que representa los ataques que se pueden estar presentando
en el entorno; un proceso denominado anticipador analiza los registros de
auditoría generados por el sistema y obtiene los eventos a verificar en dichos
registros para determinar si la intrusión se está o no produciendo (realmente, al
ser esos registros dependientes de cada sistema Unix, el anticipador pasa su
información a otro proceso denominado planner, que los traduce al formato de
auditoría utilizado en cada sistema). El anticipador también actualiza
constantemente el conjunto de escenarios activos, de manera que este estará
siempre formado por los escenarios que representan ataques posibles en un
determinado momento y no por la base de datos completa.

Hasta hace poco tiempo no existían sistemas de detección de intrusos basados en

modelos funcionando en sistemas reales ([Kum95]), por lo que era difícil determinar
aspectos como su eficiencia a la hora de detectar ataques. En 1998 se
presentó NSTAT ([Kem98]), una extensión de USTAT (del cual hemos hablado
antes) a entornos distribuidos y redes de computadores, y en el que se combina el
análisis de transición entre estados con la detección de intrusos basada en
modelos. A pesar de todo, este modelo es el menos utilizado a la hora de detectar
ataques y efectuar respuestas automáticas ante los mismos, especialmente si lo
comparamos con los basados en la comparación y emparejamiento de patrones.

Los IDSes basados en la detección de usos indebidos son en principio más

robustos que los basados en la detección de anomalías: al conocer la forma de los
ataques, es teóricamente extraño que generen falsos positivos (a no ser que se
trate de un evento autorizado pero muy similar al patrón de un ataque); es
necesario recalcar el matiz `teóricamente', porque como veremos más adelante, la
generación de falsos positivos es un problema a la hora de implantar cualquier
sistema de detección. No obstante, en este mismo hecho radica su debilidad: sólo
son capaces de detectar lo que conocen, de forma que si alguien nos lanza un
ataque desconocido para el IDS éste no nos notificará ningún problema; como ya
dijimos, es algo similar a los programas antivirus, y de igual manera que cada
cierto tiempo es conveniente (en MS-DOS y derivados) actualizar la versión del
antivirus usado, también es conveniente mantener al día la base de datos de los
IDSes basados en detección de usos indebidos. Aún así, seremos vulnerables a
nuevos ataques.
Otro grave problema de los IDSes basados en la detección de usos indebidos es
la incapacidad para detectar patrones de ataque convenientemente camuflados.
Volviendo al ejemplo de los antivirus, pensemos en un antivirus que base su
funcionamiento en la búsqueda de cadenas virales: lo que básicamente hará ese
programa será buscar cadenas de código hexadecimal pertenecientes a
determinados virus en cada uno de los archivos a analizar, de forma que si
encuentra alguna de esas cadenas el software asumirá que el fichero está
contaminado. Y de la misma forma que un virus puede ocultar su presencia
simplemente cifrando esas cadenas (por ejemplo de forma semialeatoria utilizando
eventos del sistema, como el reloj), un atacante puede evitar al sistema de
detección de intrusos sin más que insertar espacios en blanco o rotaciones
de bits en ciertos patrones del ataque; aunque algunos IDSes son capaces de
identificar estas transformaciones en un patrón, otros muchos no lo hacen.

CONCLUSIONES
or desgracia, los piratas informáticos, los intrusos, están cada día más de moda;
sin duda alguna los problemas de seguridad que más `gustan' a la sociedad son
los relacionados con hackers, crackers o como esta semana los medios hayan
decidido llamar a los piratas informáticos: evidentemente, es mucho más
interesante y sensacionalista cualquier atacante que modifique la página web del
Pentágono que las investigaciones o los descubrimientos de gente como Marcus
Ranum, Gene Spafford o Ross Anderson, por poner sólo unos ejemplos. Es así de
triste: al contrario de lo que grandes expertos en seguridad han manifestado en
repetidas ocasiones mucha gente considera a los intrusos como héroes, como
jóvenes inteligentes que utilizan sus ordenadores para poner en jaque a grandes
organizaciones - políticas, empresariales, militares...- con un simple teclado, sin
disparar ni un solo tiro, sin quemar autobuses o sin lanzar piedras desde una
barricada; seguramente nadie se ha parado a pensar que ese pirata al que hoy
admira mañana puede entrar en el PC de su casa y formatearle el disco duro
simplemente porque le apetecía.

Aparte de esta presunta `demostración de inteligencia', otro argumento muy

utilizado por los defensores de los crackers es el derecho a la libertad de
información de toda persona: ven a los piratas como un pequeño David que triunfa
sobre el gran Goliat y descubre todos sus secretos simplemente con un pequeño
ordenador casero; paradójicamente, son estas personas las que luego ponen el
grito en el cielo y reivindican ciegamente su derecho a la privacidad cuando se
enteran de la existencia de redes como ECHELON, dedicada en teoría al
espionaje de las telecomunicaciones (correo electrónico incluido) de todo el
mundo, y puesta en marcha por los gobiernos estadounidense y británico, en
colaboración con el canadiense, australiano y neozelandés. >Qué diferencia hay
entre un gobierno que espía nuestro correo y un cracker que esnifa nuestras
claves? Quién decide qué es más `privado' para mí, si mi correo o mis
contraseñas? Un juez que a duras penas conoce la diferencia entre `asterisco' y
`asteroide'? Sería muy interesante planteárselo.

La simpatía social hacia los piratas es tal que incluso existen empresas que se
jactan de contratar a estas personas, y mucho mejor - más publicidad - cuanto
más `malos' hayan sido en el pasado o cuanto más eleet haya sido o sea su
apodo (muy pocos contratarían a un pirata que se haga llamar `Manolo', pero si
su alias era `Z3roK00l' tiene más posibilidades ;-); así lo pueden disfrazar de
arrepentido, como alguien que cambia de bando (`hacking ético' es la palabra que
a los departamentos de marketing les gusta utilizar para hablar de esta tendencia).
Seguramente, de las personas que dejan auditar sus entornos informáticos a
piratas (ex-piratas, perdón), muy pocos dejarían una parcela de bosque de su
propiedad al cuidado de un pirómano (de nuevo, ex-pirómano), y eso a pesar de
que, siguiendo la teoría que han aplicado a sus redes y a sus sistemas, nadie
conocerá mejor que un antiguo pirómano los secretos de las tácticas de
provocación de incendios forestales, por lo que nadie mejor que él para evitar que
se produzcan verdad? Por supuesto, todos podemos haber cometido errores en el
pasado, pero si no existe un claro cambio de conducta por su parte, alguien que
haya sido un pirata es muy probable que lo siga siendo, aunque ahora cobre por
ello.
 BIBLIOGRAFIA

 RED IRIS: https://www.rediris.es/

 Una metodología para la detección de anomalías en una red a partir de las
trazas de ejecución de los servicios https://www.researchgate.net/
 Aplicación de técnicas de detección de anomalías a escenarios de ciudades
inteligentes https://pdfs.semanticscholar.org/