Reducción de datos

Como ya hemos mencionado, las técnicas de IA requieren de información de los audits. La cantidad de información que un usuario puede generar oscila entre 3 y 35 Mbytes[Fra94]. Analizar toda esta información es labor extremadamente difícil incluso para un sistema automático. Si pretendemos descubrir intrusiones en tiempo real, va a ser necesario que reduzcamos la cantidad de datos a procesar para ello vamos a pasarlos por tres procesos[Fra94]:

Filtrado de datos.

El propósito es la reducción de la cantidad de datos que el sistema debe manejar, eliminando los datos que no son útiles para el sistema de detección. Este filtrado se suele llevar a cabo mediante sistemas expertos, que implementan mediante reglas los heurísticos adecuados. También existen sistemas que implementan esto de una manera adaptativa empleando redes neuronales. Estos sistemas asumen que la actividad de los usuarios poseen modelos que pueden detectarse, y que existen correlaciones entre los datos de los audits.

Selección de características.

En los sistemas de clasificación, puede haber algunos datos que pueden dificultar el proceso, además, es posible, que haya rasgos redundantes en la información. Esta selección de características pretende buscar aquellas que mejor clasifican los datos. Las características provienen de los sistemas de control de seguridad y los modelos de entrenamiento se obtienen a partir de intentos de intrusiones y del comportamiento normal.

Agrupamiento de datos.

Se puede usar para descubrir modelos ocultos y características, especiales que pueden usarse en detección. También pueden usarse estas técnicas de agrupamiento( clustering) para la reducción del almacenamiento de características guardando los grupos de datos semejantes en lugar de la información individualmente. Estas técnicas se basan esencialmente en técnicas de generalización, que son apropiadas a la hora de reducir el espacio necesario para almacenamiento puesto que vamos hacia características generales[IEE90].