Next: Detección de abusos
Up: Mecanismos de detección
Previous: Mecanismos de detección
Se detectan a partir de la caracterización anómala del comportamiento y del uso que hacen de los recursos del sistema. Este tipo de
detección pretende cuantificar el comportamiento normal de un usuario. Para una correcta
distinción hay que tener en cuenta las tres distintas posibilidades que existen en un ataque atendiendo a quién
es el que lo lleva a cabo:
- Penetración externa. Que se define como la intrusión que se lleva
a cabo a partir un usuario o un sistema de computadores no autorizado.
- Penetraciones internas. Son aquellas que llevan a cabo por usuarios
autorizados de sistemas de ordenadores que no están autorizados al acceso a los datos
que se están siendo comprometidos.
- Abuso de recursos. Se define como el abuso que un usuario lleva a cabo
sobre unos datos o recursos de un sistema al que está autorizado su acceso.
La idea central de este tipo de detección es el hecho de que la actividad intrusiva
es un subconjunto de las actividades anómalas[KS94]. Esto puede parecer razonable
por el hecho de que si alguien consigue entrar de forma ilegal en nuestro sistema,
no actuará como un usuario comprometido, seguramente el comportamiento se alejará
del de un usuario normal.
Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agregado
de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún
tipo. Idealmente el conjunto de actividades anómalas es el mismo del conjunto de
actividades intrusivas, de todas formas esto no siempre es así:
- Intrusivas pero no anómalas. Se les denomina falsos negativos o
errores de tipo I. En este caso la actividad es intrusiva pero como no es anómala no conseguimos
detectarla. Se denominan falsos negativos porque el sistema erróneamente indica
ausencia de intrusión.
- No intrusivas pero anómalas. Se denominan falsos positivos o errores de
tipo II. En este caso la actividad es no intrusiva, pero como es anómala el sistema
decide que es intrusiva. Se denominan falsos positivos, porque el sistema erróneamente
indica la existencia de intrusión.
- Ni intrusiva ni anómala. Son negativos verdaderos, la actividad
es no intrusiva y se indica como tal.
- Intrusiva y anómala. Se denominan positivos verdaderos, la actividad es
intrusiva y es detectada.
Los primeros no son deseables, porque dan una falsa sensación de seguridad
del sistema, el intruso en este caso puede operar libremente en el sistema. Los falsos
positivos se deben de minimizar, en caso contrario lo que puede pasar es que se
ignoren los avisos del sistema de seguridad, incluso cuando sean acertados.
Los detectores de intrusiones anómalas requieren mucho gasto computacional, porque
se siguen normalmente varias métricas para determinar cuánto se aleja el usuario
de lo que se considera comportamiento normal.
Next: Detección de abusos
Up: Mecanismos de detección
Previous: Mecanismos de detección
Celestino Gomez Cid (adm)
Fri Mar 22 16:20:52 MET 1996