Sistema Inmunológico para la Detección
de Intrusos a nivel del Protocolo HTTP
____________________________________
Efraín Torres Mejía
Departamento de Ingeniería de Sistemas
Pontificia Universidad Javeriana
Junio 20, 2003
Director: Ing. Enrique Ruiz
Introducción
• En los últimos años la generación de nuevas
tecnologías para la detección de intrusos solo se ha
presentado en el ámbito académico, sin dar el salto
final necesario. Pasar a la realidad.
• Los sistemas comerciales actuales además de ser
sumamente costosos y complejos, teniendo en
cuenta su labor, siguen estancados en modelos que
no se han modificado, lo cual los hace candidatos a
quedar relegados, si acaso ya no lo son.
• Relegados por sus limitaciones, las cuales son
aprovechadas como técnicas anti-ids.
Antecedentes
• IDS Convencionales
• Red (NIDS) - Host (HIDS)
• Aplicación (Application Firewalls)
• Básicamente sus limitaciones provienen:
– Firmas de ataques = Antivirus
– Nivel inadecuado de captura y análisis de datos
• NIDS (Sensores = Sniffers)
• Tráfico codificado o encriptado (SSL)
– Arquitectura
• Application Firewalls dependientes de la
aplicación a proteger
Antecedentes
• Sistemas inmunológicos computacionales
• Sistemas inmunológicos naturales.
Sistemas dinámicos
• Su rol en el cuerpo es análogo a los
sistemas de detección, protección y
prevención computacionales. (IDS)
• 1993, Computer Immune Systems,
University of New Mexico
http://www.cs.unm.edu/~immsec/
• Análisis de Comportamientos
• Redes neuronales (Elman)
Prototipo IDS
• Los estudios actualmente desarrollados sobre el
análisis de comportamientos para detección de
intrusos, han sido desarrollados para analizar campos
muy genéricos de datos.
• El enfoque inmunológico demuestra la necesidad de
sistemas multiniveles. (Especialización y Balance)
• El nivel propicio de análisis es el nivel mismo del
protocolo. Además, este análisis esta determinado por
patrones de comportamiento. (Redes Neuronales)
• El prototipo no se enfoca en un punto o paradigma
determinado. Replantea su uso.
Prototipo IDS
• ARQUITECTURA
• Proxy-INVERSO
• SQUID Proxy
• Red Neuronal Elman
Prototipo IDS
•
•
Nivel de Filtrado
– Piel – Decodificación (HEX, UNICODE, SSL)
– Adecuación lógica de las tareas realizadas por
un firewall de aplicación. (max. Longitudes)
Nivel de detección
– Problemas de seguridad (HTTP)
• Problemas de seguridad previamente
publicados pero que se presentan de igual
forma en otra aplicación o servidor Web.
• Variaciones de un problema de seguridad
previamente publicado.
• Conjunto de varios problemas de seguridad
previamente publicados.
Prototipo IDS
•
•
•
La detección de ataques no conocidos esta basado en
desacoplar el recurso vulnerable de la vulnerabilidad en
sí.
Detección, Identificación y Clasificación de ataques.
Clasificación basada en causa y no en efecto.
Prototipo IDS
•
Entrenamiento red
neuronal Elman
– Ej.
parametro=../../archivo
(3) @=../../@ (@=255)
(1) Codificación ASCII/255
(3) Codificación 8 bits/ Norm
(2) Codificación 8 bits
Pruebas y resultados
• Scanners que realizan
ataques
– Nikto, nessus (HTTP)
– Whisker NO!.
– Prototipo vs Snort
(www.snort.org)
– 23.1% mejor.
NIKTO
IDS
NESSUS
%
DETECCIÓN
DETECTADOS
NO
DETECTADOS
DETECTADOS
NO
DETECTADOS
SNORT
1256
420
303
207
71,3
PROTOTIPO
1381
48
9908
594
94,4
Conclusiones
• A mayor nivel OSI en el cual trabajen los IDS, menores serán
las limitaciones dependientes de la arquitectura.
• El balanceo de tareas de los niveles establecidos depende
directamente de las limitaciones de las tecnologías
implementadas en cada uno de ellos y del funcionamiento
básico de los ataques a detectar.
• Es viable implementar un sistema de detección de intrusos
que elimina las limitaciones de los IDS actuales por medio de:
– Un diseño simple multi-nivel balanceado,
– Una arquitectura de red acorde a las necesidades reales y
tecnologías adaptivas, como las redes neuronales,
• Replantean la forma como comúnmente se han clasificado,
detectado e identificado las vulnerabilidades conocidas y
por conocer.
FIN
GRACIAS…
?
Descargar

No Slide Title