Next: Clasificación de comportamiento
Up: Detección de intrusos
Previous: Detección de intrusos
Como ya hemos mencionado, las técnicas de IA requieren de información de los audits. La cantidad de información que un usuario puede generar
oscila entre 3 y 35 Mbytes[Fra94]. Analizar toda esta información es labor extremadamente difícil incluso para un sistema automático. Si pretendemos
descubrir intrusiones en tiempo real, va a ser necesario que reduzcamos la cantidad de datos a procesar para ello vamos a pasarlos por tres
procesos[Fra94]:
- Filtrado de datos.
- El propósito es la reducción de la cantidad de datos que el sistema debe manejar, eliminando los datos que no son
útiles para el sistema de detección. Este filtrado se suele llevar a cabo mediante sistemas expertos, que implementan mediante reglas los
heurísticos adecuados. También existen sistemas que implementan esto de una manera adaptativa empleando redes neuronales. Estos sistemas
asumen que la actividad de los usuarios poseen modelos que pueden detectarse, y que existen correlaciones entre los datos de los audits.
- Selección de características.
- En los sistemas de clasificación, puede haber algunos datos que pueden dificultar el proceso,
además, es posible, que haya rasgos redundantes en la información. Esta selección de características pretende buscar aquellas
que mejor clasifican los datos. Las características provienen de los sistemas de control de seguridad y los modelos de entrenamiento se obtienen
a partir de intentos de intrusiones y del comportamiento normal.
- Agrupamiento de datos.
- Se puede usar para descubrir modelos ocultos y características, especiales que pueden usarse en detección. También
pueden usarse estas técnicas de agrupamiento( clustering) para la reducción del almacenamiento de características guardando los grupos de
datos semejantes en lugar de la información individualmente. Estas técnicas se basan esencialmente en técnicas de generalización, que
son apropiadas a la hora de reducir el espacio necesario para almacenamiento puesto que vamos hacia características generales[IEE90].
Next: Clasificación de comportamiento
Up: Detección de intrusos
Previous: Detección de intrusos
Celestino Gomez Cid (adm)
Fri Mar 22 16:20:52 MET 1996