Sistema de detección de intrusos

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 17 de septiembre de 2020; las comprobaciones requieren 2 ediciones .

El Sistema de Detección de Intrusos ( IDS [1] ) es una herramienta de software o hardware diseñada para detectar los hechos de acceso no autorizado a un sistema o red informática o el control no autorizado de los mismos principalmente a través de Internet . El término inglés correspondiente es Sistema de detección de intrusos (IDS) . Los sistemas de detección de intrusos proporcionan una capa adicional de protección para los sistemas informáticos.

Los sistemas de detección de intrusos se utilizan para detectar ciertos tipos de actividad maliciosa que pueden comprometer la seguridad de un sistema informático. Dicha actividad incluye ataques de red contra servicios vulnerables , ataques de escalada de privilegios , acceso no autorizado a archivos importantes y actividades de software malicioso ( virus informáticos , troyanos y gusanos )

Por lo general, una arquitectura IDS incluye:

• un subsistema de sensor diseñado para recopilar eventos relacionados con la seguridad del sistema protegido
• subsistema de análisis diseñado para detectar ataques y actividades sospechosas basado en datos de sensores
• almacenamiento que proporciona acumulación de eventos primarios y resultados de análisis
• una consola de administración que le permite configurar el IDS, monitorear el estado del sistema protegido y el IDS, ver los incidentes detectados por el subsistema de análisis

Hay varias formas de clasificar los IDS según el tipo y la ubicación de los sensores, así como los métodos utilizados por el subsistema de análisis para detectar actividades sospechosas. En muchos IDS simples, todos los componentes se implementan como un solo módulo o dispositivo.

Tipos de sistemas de detección de intrusos

En un IDS en red , los sensores están ubicados en puntos de interés de la red para la vigilancia, a menudo en una zona desmilitarizada , o en el borde de la red. El sensor intercepta todo el tráfico de la red y analiza el contenido de cada paquete en busca de componentes maliciosos. Los IDS de protocolo se utilizan para rastrear el tráfico que viola las reglas de ciertos protocolos o la sintaxis de un lenguaje (como SQL ). En host IDS , el sensor suele ser un agente de software que supervisa la actividad del host en el que está instalado. También hay versiones híbridas de los tipos de IDS enumerados.

• El IDS basado en la red (NIDS) monitorea las intrusiones al inspeccionar el tráfico de la red y monitorear múltiples hosts. Un sistema de detección de intrusos en la red accede al tráfico de la red mediante la conexión a un concentrador o conmutador configurado para la duplicación de puertos o un dispositivo TAP de la red . Un ejemplo de un IDS en red es Snort .
• El IDS basado en protocolos (PIDS) es un sistema (o agente) que supervisa y analiza los protocolos de comunicación con los sistemas o usuarios asociados. Para un servidor web, dicho IDS generalmente monitorea los protocolos HTTP y HTTPS. Al usar HTTPS, el IDS debe estar ubicado en dicha interfaz para poder inspeccionar los paquetes HTTPS antes de que se cifren y se envíen a la red.
• Un IDS basado en el protocolo de aplicación (APIDS)  es un sistema (o agente) que supervisa y analiza los datos transmitidos mediante protocolos específicos de la aplicación. Por ejemplo, en un servidor web con una base de datos SQL, el IDS monitoreará el contenido de los comandos SQL enviados al servidor.
• IDS basado en host (HIDS) :  un sistema (o agente) ubicado en un host que supervisa las intrusiones mediante el análisis de llamadas al sistema , registros de aplicaciones, modificaciones de archivos (ejecutables, archivos de contraseña, bases de datos del sistema), estado del host y otras fuentes. Un ejemplo es OSSEC .
• Un IDS híbrido combina dos o más enfoques para el desarrollo de IDS. Los datos de los agentes en los hosts se combinan con la información de la red para brindar la imagen más completa de la seguridad de la red. Un ejemplo de un OWL híbrido es el Prelude .

Sistemas de detección de intrusos pasivos y activos

En un IDS pasivo , cuando se detecta una violación de seguridad, la información sobre la violación se registra en el registro de la aplicación y las señales de peligro se envían a la consola y/o al administrador del sistema a través de un canal de comunicación específico. En un sistema activo , también conocido como Sistema de prevención de intrusiones ( IPS )   , el IDS responde a una infracción interrumpiendo la conexión o reconfigurando el firewall para bloquear el tráfico del atacante. Las acciones de respuesta se pueden realizar automáticamente o por orden del operador.

Comparación de IDS y cortafuegos

Aunque tanto IDS como firewall son herramientas de seguridad de la información, un firewall difiere en que restringe ciertos tipos de tráfico a un host o subred para evitar intrusiones y no rastrea las intrusiones que ocurren dentro de la red. El IDS, por el contrario, permite el paso del tráfico, analizándolo y señalando cuando se detecta actividad sospechosa. La detección de una brecha de seguridad generalmente se lleva a cabo utilizando reglas heurísticas y análisis de firmas de ataques informáticos conocidos.

Historia del desarrollo de SOW

El primer concepto de IDS surgió gracias a James Anderson y el artículo [2] . En 1984, Fred Cohen (ver Detección de intrusiones ) afirmó que todas las intrusiones son indetectables y que los recursos necesarios para la detección de intrusiones aumentarán con el grado de tecnología informática que se utilice.

Dorothy Denning, con la ayuda de Peter Neumann, publicó el modelo IDS en 1986, que constituyó la base de la mayoría de los sistemas modernos. [3] Su modelo utilizaba métodos estadísticos para la detección de intrusos y se llamaba IDES (Sistema experto en detección de intrusos). El sistema se ejecutó en estaciones de trabajo Sun y analizó tanto el tráfico de la red como los datos de las aplicaciones de los usuarios. [cuatro]

IDES utilizó dos enfoques para la detección de intrusiones: utilizó un sistema experto para identificar tipos conocidos de intrusiones y un componente de detección basado en métodos estadísticos y perfiles de usuarios y sistemas de la red protegida. Teresa Lunt [5] sugirió utilizar una red neuronal artificial como tercer componente para mejorar la eficiencia de detección. Después de IDES, se lanzó NIDES (Sistema experto en detección de intrusos de próxima generación) en 1993.

MIDAS ( sistema de alerta y detección de intrusos Multics ), un sistema experto que utiliza P-BEST y LISP , se desarrolló en 1988 basándose en el trabajo de Denning y Neumann. [6] En el mismo año, se desarrolló el sistema Haystack basado en métodos estadísticos. [7]

W&S (Wisdom & Sense - sabiduría y sentimiento), un detector de anomalías basado en estadísticas, fue desarrollado en 1989 en el Laboratorio Nacional de Los Álamos . [8] W&S creó reglas basadas en análisis estadísticos y luego usó estas reglas para detectar anomalías.

En 1990, TIM (Máquina inductiva basada en el tiempo) implementó la detección de anomalías mediante el aprendizaje inductivo basado en patrones secuenciales del usuario en el lenguaje Common LISP . [9] El programa fue desarrollado para el VAX 3500. Casi al mismo tiempo, NSM (Network Security Monitor) fue desarrollado para comparar matrices de acceso para la detección de anomalías en estaciones de trabajo Sun-3/50. [10] También en 1990, se desarrolló ISOA (Asistente del oficial de seguridad de la información), que contiene muchas estrategias de detección, incluidas estadísticas, verificación de perfiles y un sistema experto. [11] ComputerWatch, desarrollado en AT&T Bell Labs, utilizó métodos y reglas estadísticos para la validación de datos y la detección de intrusos. [12]

Además, en 1991, los desarrolladores de la Universidad de California desarrollaron un prototipo del sistema distribuido DIDS (Sistema de detección de intrusos distribuido), que también era un sistema experto. [13] También en 1991, el sistema NADIR (detección de anomalías en la red y reportero de intrusos) fue desarrollado por el Laboratorio Nacional de Redes de Computación Embebida (ICN). La creación de este sistema estuvo muy influenciada por el trabajo de Denning y Lunt. [14] NADIR utilizó un detector de anomalías estadísticas y un sistema experto.

En 1998, el Laboratorio Nacional. Lawrence en Berkeley presentó Bro , que utiliza su propio lenguaje de reglas para analizar datos de libpcap . [15] NFR (Network Flight Recorder), desarrollado en 1999, también se basó en libpcap. [16] En noviembre de 1998, se desarrolló APE, un rastreador de paquetes que también usa libpcap. Un mes después, APE pasó a llamarse Snort . [17]

ADAM IDS (Análisis de datos de auditoría e IDS de minería) se desarrolló en 2001. El sistema utilizó los datos de tcpdump para crear las reglas. [Dieciocho]

IDS de código abierto

• Bufido
• Suricatá

Véase también

• Detección de anomalías
• Sistema de prevención de intrusiones (IPS)
• Sistema de detección de intrusos en la red (NIDS   )
• Sistema de detección de intrusos basado en host (HIDS   )
• Sistema de detección de intrusos basado en protocolo (PIDS   )
• Sistema de detección de intrusos basado en protocolo de aplicación (APIDS   )
•  Sistema de detección de intrusos basado en anomalías
•  sistema inmunológico artificial
• Agentes Autónomos para  Detección de Intrusos

Notas

1. ↑ "IT.SOV.S6.PZ. Documento metodológico del FSTEC de Rusia. Perfil de protección de los sistemas de detección de intrusos del nivel de red de la sexta clase de protección" (aprobado por el FSTEC de Rusia el 06/03/2012)
2. ↑ Anderson, James P., "Supervisión y vigilancia de amenazas a la seguridad informática", Washing, PA, James P. Anderson Co., 1980.
3. ↑ Denning, Dorothy E., "Un modelo de detección de intrusos", Actas del séptimo simposio de IEEE sobre seguridad y privacidad, mayo de 1986, páginas 119-131
4. ↑ Lunt, Teresa F., "IDES: un sistema inteligente para detectar intrusos", Actas del simposio sobre seguridad informática; amenazas y contramedidas; Roma, Italia, 22-23 de noviembre de 1990, páginas 110-121.
5. ↑ Lunt, Teresa F., "Detección de intrusos en sistemas informáticos", Conferencia sobre auditoría y tecnología informática de 1993, SRI International
6. ↑ Sebring, Michael M. y Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study", The 11th National Computer Security Conference, octubre de 1988
7. ↑ Smaha, Stephen E., "Haystack: un sistema de detección de intrusos", La Cuarta Conferencia de Aplicaciones de Seguridad Informática Aeroespacial, Orlando, FL, diciembre de 1988
8. ↑ Vaccaro, HS y Liepins, GE, "Detección de actividad de sesión de computadora anómala", Simposio IEEE de 1989 sobre seguridad y privacidad, mayo de 1989
9. ↑ Teng, Henry S., Chen, Kaihu y Lu, Stephen CY, "Detección adaptativa de anomalías en tiempo real mediante patrones secuenciales generados inductivamente", Simposio IEEE de 1990 sobre seguridad y privacidad
10. ↑ Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff y Wolber, David, "A Network Security Monitor", Simposio de 1990 sobre investigación en seguridad y privacidad, Oakland, CA, páginas 296-304
11. ↑ Winkeler, JR, "Un prototipo de UNIX para la detección de intrusiones y anomalías en redes seguras", The Thirteenth National Computer Security Conference, Washington, DC., páginas 115-124, 1990
12. ↑ Dowell, Cheri y Ramstedt, Paul, "La herramienta de reducción de datos ComputerWatch", Actas de la 13.ª Conferencia Nacional de Seguridad Informática, Washington, DC, 1990
13. ↑ Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. y Mansur, Doug, "DIDS (Sistema de detección de intrusos distribuidos): motivación, arquitectura y un prototipo temprano", 14.ª Conferencia Nacional de Seguridad Informática, octubre de 1991, páginas 167-176.
14. ↑ Jackson, Kathleen, DuBois, David H. y Stallings, Cathy A., "Un enfoque por fases para la detección de intrusos en la red", 14.ª Conferencia Nacional de Seguridad Informática, 1991
15. ↑ Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time", Actas del 7º Simposio de Seguridad de USENIX, San Antonio, TX, 1998
16. ↑ Amoroso, Edward, "Detección de intrusiones: Introducción a la vigilancia, correlación, rastreo, trampas y respuesta en Internet", Intrusion.Net Books, Sparta, Nueva Jersey, 1999, ISBN 0-9666700-7-8
17. ↑ Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael y Poor, Mike, "Snort IDS and IPS Toolkit", Syngress, 2007, ISBN 978-1-59749-099-3
18. ↑ Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard y Wu, Ningning, "ADAM: Detecting Intrusions by Data Mining", Actas del taller IEEE sobre garantía y seguridad de la información, West Point, NY, 5 de junio -6, 2001

Software malicioso
Malware infeccioso	Virus de computadora gusano de red troyano virus de arranque Virus por lotes Historia
Ocultar métodos	Puerta trasera Cuentagotas Marcador Criptador computadora zombi Polimorfismo rootkit
Malware con fines de lucro	publicidad Software invasivo de privacidad Ransomware ( Trojan.Winlock ) software espía Bot red de bots Amenazas web registrador de teclas capturador de formas Scareware ( antivirus falso ) Marcador porno
Por sistemas operativos	software malicioso de linux Virus para Palm OS macrovirus virus movil
Proteccion	Computación defensiva Programa antivirus cortafuegos Sistema de detección de intrusos Prevención de fugas de información Cronología de los antivirus
contramedidas	Coalición Anti Spyware vigilancia informática tarro de miel Operación: Asado Bot