Modelado y arquitecturas para la caracterización de la intrusión en redes IP

Resumen

En este trabajo se desarrollan los aspectos relacionados con el problema de la seguridad informática y más concretamente el de la intrusión. Se realiza un recorrido por el estado del arte en la detección de intrusos, poniendo de manifiesto las deficiencias que todavía hoy existen en este campo, en particular se plantea caracterizar la intrusión por métodos alternativos a los sistemas expertos basados en reglas. Como punto de partida, se ha tenido en cuenta que el modelo OSI divide el proceso global de comunicación en funciones que son desempeñadas por varias capas, y en cada capa, un proceso en una computadora desarrolla una conversación con el proceso del mismo nivel en la otra máquina. Los parámetros necesarios para esta comunicación viajan en las cabeceras correspondientes a cada capa. Los datos de usuario de un determinado nivel contienen, de forma encapsulada, la cabecera y los datos del nivel inmediatamente superior. Desde el punto de vista funcional podemos reconsiderar la información que viaja en las cabeceras de los diferentes niveles en términos de sujeto, objeto y acción. Por ello, un paquete contendrá las acciones que desee realizar un sujeto para o con los objetos. En consecuencia un ataque quedará reflejado en esta tripla. Para distinguir qué triplas contienen ataques respecto de otras se plantea la función de intrusión que permite extraer un vector, denominado vector de intrusión, a partir del datagrama o paquete IP capaz de caracterizar el comportamiento respecto de su intencionalidad para con la máquina objetivo del paquete. Utilizando este vector como entrada a un sistema de clasificación es posible separar los paquetes maliciosos de los convencionales. Se propone la función de intrusión, en su aplicación no restringida, de manera que el vector de intrusión generado posee gran número de componentes y dominios de representación distintos para muchas de ellas; lo cual conlleva un retraso