Un sistema de detección de intrusiones basado en anomalías es un sistema de detección de intrusiones para detectar intrusiones tanto en la red como en la computadora y el uso indebido al monitorear la actividad del sistema y clasificarlo como normal o anómalo . La clasificación se basa en heurísticas o reglas, en lugar de patrones o firmas , e intenta detectar cualquier tipo de mal uso que se salga del funcionamiento normal del sistema. Esto es a diferencia de los sistemas basados en firmas, que solo pueden detectar ataques para los que se ha creado previamente una firma. [1]
Para identificar positivamente el tráfico de ataque, se debe enseñar al sistema a reconocer la actividad normal del sistema. Las dos fases de la mayoría de los sistemas de detección de anomalías consisten en la fase de entrenamiento (donde se construye un perfil de comportamientos normales) y la fase de prueba (donde el tráfico actual se compara con el perfil creado en la fase de entrenamiento). [2] Las anomalías se detectan de varias formas, la mayoría de las veces con técnicas de inteligencia artificial . Los sistemas que utilizan redes neuronales artificiales se han utilizado con gran éxito. Otro método consiste en definir qué comprende el uso normal del sistema mediante un modelo matemático estricto y marcar cualquier desviación de este como un ataque. Esto se conoce como detección estricta de anomalías. [3]Otras técnicas utilizadas para detectar anomalías incluyen métodos de minería de datos , métodos basados en la gramática y el sistema inmunológico artificial . [2]
Los sistemas de detección de intrusos anómalos basados en la red a menudo proporcionan una segunda línea de defensa para detectar tráfico anómalo en las capas física y de red después de que ha pasado a través de un firewall u otro dispositivo de seguridad en el borde de una red. Los sistemas de detección de intrusos anómalos basados en host son una de las últimas capas de defensa y residen en los puntos finales de las computadoras. Permiten una protección detallada y granular de los puntos finales en el nivel de la aplicación. [4]
La detección de intrusiones basada en anomalías tanto a nivel de red como de host tiene algunas deficiencias; es decir, una alta tasa de falsos positivos y la capacidad de dejarse engañar por un ataque realizado correctamente. [3] Se han hecho intentos para abordar estos problemas mediante técnicas utilizadas por PAYL [5] y MCPAD. [5]
Ver también
- Cfengine : 'cfenvd' se puede utilizar para realizar una ' detección de anomalías'
- Detección de cambios
- Análisis de DNS
- Hogzilla IDS : es un sistema de detección de intrusos basado en anomalías de software gratuito (GPL).
- RRDtool : se puede configurar para marcar anomalías
- Sqrrl : búsqueda de amenazas basada en NetFlow y otros datos recopilados [6]
Referencias
- ^ Wang, Ke (2004). "Detección de intrusiones de red basada en cargas útiles anómalas" (PDF) . Avances recientes en la detección de intrusiones . Apuntes de conferencias en Ciencias de la Computación. Springer Berlín. 3224 : 203–222. doi : 10.1007 / 978-3-540-30143-1_11 . ISBN 978-3-540-23123-3. Archivado desde el original (PDF) el 22 de junio de 2010 . Consultado el 22 de abril de 2011 .
- ^ a b Khalkhali, yo; Azmi, R; Azimpour-Kivi, M; Khansari, M. "Sistema de detección de intrusiones de anomalías web basado en host, un enfoque del sistema inmunológico artificial". ProQuest . Falta o vacío
|url=
( ayuda ) - ^ a b Un modelo estricto de detección de anomalías para IDS, Phrack 56 0x11, Sasha / Beetle
- ^ Beaver, K. "IDS basado en host frente a IDS basado en red: ¿cuál es mejor?". Tech Target, Seguridad de búsqueda . Falta o vacío
|url=
( ayuda ) - ^ a b Perdisci, Roberto; Davide Ariu; Prahlad Fogla; Giorgio Giacinto; Wenke Lee (2009). "McPAD: un sistema de clasificador múltiple para la detección precisa de anomalías basada en la carga útil" (PDF) . Redes informáticas . 5 (6): 864–881. doi : 10.1016 / j.comnet.2008.11.011 .
- ^ Alonso, Samuel. "Cyber Threat hunting with Sqrrl (From Beaconing to Lateral Movement)" . Consultado el 17 de agosto de 2019 .