Sistema de detección de intrusiones

Dispositivo o software de protección de red

Un sistema de detección de intrusiones ( IDS ) es un dispositivo o una aplicación de software que monitorea una red o sistemas para detectar actividades maliciosas o violaciones de políticas. ^[1] Cualquier actividad de intrusión o violación generalmente se informa a un administrador o se recopila de manera centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM) . Un sistema SIEM combina salidas de múltiples fuentes y utiliza técnicas de filtrado de alarmas para distinguir la actividad maliciosa de las falsas alarmas . ^[2]

Los tipos de IDS varían en alcance desde computadoras individuales hasta redes grandes. ^[3] Las clasificaciones más comunes son los sistemas de detección de intrusiones de red ( NIDS ) y los sistemas de detección de intrusiones basados ​​en host ( HIDS ). Un sistema que monitorea archivos importantes del sistema operativo es un ejemplo de HIDS, mientras que un sistema que analiza el tráfico de red entrante es un ejemplo de NIDS. También es posible clasificar los IDS por enfoque de detección. Las variantes más conocidas son la detección basada en firmas (reconocer patrones malos, como malware ) y la detección basada en anomalías (detectar desviaciones de un modelo de tráfico "bueno", que a menudo se basa en el aprendizaje automático ). Otra variante común es la detección basada en reputación (reconocer la amenaza potencial de acuerdo con los puntajes de reputación). Algunos productos IDS tienen la capacidad de responder a las intrusiones detectadas. Los sistemas con capacidades de respuesta generalmente se denominan sistemas de prevención de intrusiones ( IPS ). ^[4] Los sistemas de detección de intrusiones también pueden cumplir propósitos específicos al aumentarlos con herramientas personalizadas, como usar un honeypot para atraer y caracterizar el tráfico malicioso. ^[5]

Comparación con los cortafuegos

Aunque ambos se relacionan con la seguridad de la red , un IDS se diferencia de un firewall en que un firewall de red convencional (distinto de un firewall de próxima generación ) utiliza un conjunto estático de reglas para permitir o denegar conexiones de red. Impide implícitamente las intrusiones, suponiendo que se haya definido un conjunto adecuado de reglas. Básicamente, los firewalls limitan el acceso entre redes para evitar intrusiones y no señalan un ataque desde dentro de la red. Un IDS describe una intrusión sospechada una vez que ha tenido lugar y señala una alarma. Un IDS también vigila los ataques que se originan desde dentro de un sistema. Esto se logra tradicionalmente examinando las comunicaciones de red, identificando heurísticas y patrones (a menudo conocidos como firmas) de ataques informáticos comunes y tomando medidas para alertar a los operadores. Un sistema que termina las conexiones se denomina sistema de prevención de intrusiones y realiza el control de acceso como un firewall de capa de aplicación . ^[6]

Categoría de detección de intrusiones

Los IDS se pueden clasificar según el lugar donde se realiza la detección (red o host ) o el método de detección que se emplea (basado en firmas o anomalías). ^[7]

Actividad analizada

Sistemas de detección de intrusiones en la red

Los sistemas de detección de intrusiones en la red (NIDS) se colocan en un punto estratégico o puntos dentro de la red para monitorear el tráfico hacia y desde todos los dispositivos en la red. ^[8] Realiza un análisis del tráfico que pasa en toda la subred y hace coincidir el tráfico que pasa en las subredes con la biblioteca de ataques conocidos. Una vez que se identifica un ataque o se detecta un comportamiento anormal, se puede enviar la alerta al administrador. Los NIDS funcionan para proteger todos los dispositivos y toda la red del acceso no autorizado. ^[9]

Un ejemplo de un NIDS sería instalarlo en la subred donde se encuentran los cortafuegos para ver si alguien está intentando entrar en el cortafuegos. Lo ideal sería escanear todo el tráfico entrante y saliente, sin embargo, al hacerlo se podría crear un cuello de botella que perjudicaría la velocidad general de la red. OPNET y NetSim son herramientas de uso común para simular sistemas de detección de intrusiones en la red. Los sistemas NID también son capaces de comparar firmas de paquetes similares para vincular y descartar paquetes detectados dañinos que tengan una firma que coincida con los registros en el NIDS. Cuando clasificamos el diseño del NIDS según la propiedad de interactividad del sistema, hay dos tipos: NIDS en línea y fuera de línea, a menudo denominados modo en línea y tap, respectivamente. El NIDS en línea se ocupa de la red en tiempo real. Analiza los paquetes Ethernet y aplica algunas reglas para decidir si es un ataque o no. El NIDS fuera de línea se ocupa de los datos almacenados y los pasa a través de algunos procesos para decidir si es un ataque o no.

Los sistemas de detección de intrusos ( NIDS) también se pueden combinar con otras tecnologías para aumentar las tasas de detección y predicción. Los sistemas de detección de intrusos basados ​​en redes neuronales artificiales (ANN) son capaces de analizar grandes volúmenes de datos debido a las capas ocultas y al modelado no lineal, sin embargo, este proceso requiere tiempo debido a su estructura compleja. ^[10] Esto permite que los sistemas de detección de intrusos reconozcan patrones de intrusión de manera más eficiente. ^[11] Las redes neuronales ayudan a los sistemas de detección de intrusos a predecir ataques aprendiendo de los errores; los sistemas de detección de intrusos basados ​​en ANN ayudan a desarrollar un sistema de alerta temprana, basado en dos capas. La primera capa acepta valores únicos, mientras que la segunda capa toma la salida de la primera capa como entrada; el ciclo se repite y permite que el sistema reconozca automáticamente nuevos patrones imprevistos en la red. ^[12] Este sistema puede tener una tasa de detección y clasificación promedio del 99,9%, según los resultados de la investigación de 24 ataques de red, divididos en cuatro categorías: DOS, Probe, Remote-to-Local y user-to-root. ^[13]

Sistemas de detección de intrusiones en el host

Los sistemas de detección de intrusiones en el host (HIDS) se ejecutan en hosts o dispositivos individuales en la red. Un HIDS monitorea los paquetes entrantes y salientes solo del dispositivo y alertará al usuario o administrador si se detecta actividad sospechosa. Toma una instantánea de los archivos del sistema existentes y la compara con la instantánea anterior. Si se modificaron o eliminaron los archivos críticos del sistema, se envía una alerta al administrador para que investigue. Un ejemplo del uso de HIDS se puede ver en máquinas de misión crítica, que no se espera que cambien sus configuraciones. ^{[14] [15]}

Método de detección

Basado en firma

El sistema de detección de ataques basado en firmas consiste en detectar ataques mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de la red o secuencias de instrucciones maliciosas conocidas utilizadas por malware. ^[16] Esta terminología tiene su origen en el software antivirus , que denomina firmas a estos patrones detectados. Aunque el sistema de detección de ataques basado en firmas puede detectar fácilmente ataques conocidos, es difícil detectar ataques nuevos, para los que no hay patrones disponibles. ^[17]

En los sistemas de identificación basados ​​en firmas, las firmas son publicadas por el proveedor para todos sus productos. La actualización oportuna de los sistemas de identificación con la firma es un aspecto clave.

Basado en anomalías

Los sistemas de detección de intrusiones basados ​​en anomalías se introdujeron principalmente para detectar ataques desconocidos, en parte debido al rápido desarrollo del malware. El enfoque básico es utilizar el aprendizaje automático para crear un modelo de actividad confiable y luego comparar el nuevo comportamiento con este modelo. Dado que estos modelos se pueden entrenar de acuerdo con las aplicaciones y las configuraciones de hardware, el método basado en el aprendizaje automático tiene una mejor propiedad generalizada en comparación con los sistemas de detección de intrusiones tradicionales basados ​​en firmas. Aunque este enfoque permite la detección de ataques previamente desconocidos, puede sufrir falsos positivos : la actividad legítima previamente desconocida también puede clasificarse como maliciosa. La mayoría de los sistemas de detección de intrusiones existentes sufren el consumo de tiempo durante el proceso de detección que degrada el rendimiento de los sistemas de detección de intrusiones. Un algoritmo de selección de características eficiente hace que el proceso de clasificación utilizado en la detección sea más confiable. ^[18]

Gartner está considerando nuevos tipos de lo que podrían llamarse sistemas de detección de intrusiones basados ​​en anomalías, como User and Entity Behavior Analytics (UEBA) ^[19] (una evolución de la categoría de análisis del comportamiento del usuario ) y análisis del tráfico de red (NTA). ^[20] En particular, el NTA se ocupa de los ataques internos maliciosos, así como de los ataques externos dirigidos que han comprometido una máquina o cuenta de usuario. Gartner ha observado que algunas organizaciones han optado por el NTA en lugar de los sistemas de detección de intrusiones más tradicionales. ^[21]

Prevención de intrusiones

Algunos sistemas pueden intentar detener un intento de intrusión, pero esto no es ni necesario ni se espera de un sistema de monitoreo. Los sistemas de detección y prevención de intrusiones (IDPS) se centran principalmente en identificar posibles incidentes, registrar información sobre ellos y reportar intentos. Además, las organizaciones utilizan los IDPS para otros fines, como identificar problemas con las políticas de seguridad, documentar amenazas existentes y disuadir a las personas de violar las políticas de seguridad. Los IDPS se han convertido en un complemento necesario para la infraestructura de seguridad de casi todas las organizaciones. ^[22]

Los IDPS suelen registrar información relacionada con los eventos observados, notificar a los administradores de seguridad sobre eventos importantes observados y generar informes. Muchos IDPS también pueden responder a una amenaza detectada intentando evitar que tenga éxito. Utilizan varias técnicas de respuesta, que implican que el IDPS detenga el ataque en sí, cambie el entorno de seguridad (por ejemplo, reconfigurando un firewall) o cambie el contenido del ataque. ^[22]

Los sistemas de prevención de intrusiones ( IPS ), también conocidos como sistemas de detección y prevención de intrusiones ( IDPS ), son dispositivos de seguridad de red que monitorean las actividades de la red o del sistema en busca de actividad maliciosa. Las principales funciones de los sistemas de prevención de intrusiones son identificar la actividad maliciosa, registrar información sobre esta actividad, informarla e intentar bloquearla o detenerla. ^[23] .

Los sistemas de prevención de intrusiones se consideran extensiones de los sistemas de detección de intrusiones porque ambos monitorean el tráfico de la red y/o las actividades del sistema en busca de actividad maliciosa. Las principales diferencias son que, a diferencia de los sistemas de detección de intrusiones, los sistemas de prevención de intrusiones se colocan en línea y pueden prevenir o bloquear activamente las intrusiones que se detectan. ^{[24] : 273  [25] : 289} Los IPS pueden tomar acciones como enviar una alarma, descartar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico de la dirección IP infractora. ^[26] Un IPS también puede corregir errores de verificación de redundancia cíclica (CRC) , desfragmentar flujos de paquetes, mitigar problemas de secuenciación TCP y limpiar opciones de capa de red y transporte no deseadas . ^{[24] : 278  [27]}

Clasificación

Los sistemas de prevención de intrusiones se pueden clasificar en cuatro tipos diferentes: ^{[23] [28]}

1. Sistema de prevención de intrusiones basado en red (NIPS) : monitorea toda la red en busca de tráfico sospechoso mediante el análisis de la actividad del protocolo.
2. Sistema de prevención de intrusiones inalámbricas (WIPS) : supervisa una red inalámbrica para detectar tráfico sospechoso mediante el análisis de protocolos de redes inalámbricas.
3. Análisis del comportamiento de la red (NBA) : examina el tráfico de la red para identificar amenazas que generan flujos de tráfico inusuales, como ataques de denegación de servicio distribuido (DDoS), ciertas formas de malware y violaciones de políticas.
4. Sistema de prevención de intrusiones basado en host (HIPS) : un paquete de software instalado que monitorea un solo host para detectar actividad sospechosa mediante el análisis de eventos que ocurren dentro de ese host.

Métodos de detección

La mayoría de los sistemas de prevención de intrusiones utilizan uno de tres métodos de detección: basado en firmas, basado en anomalías estadísticas y análisis de protocolo con estado. ^{[25] : 301  [29]}

1. Detección basada en firmas : el sistema de detección de intrusos basado en firmas monitorea los paquetes en la red y los compara con patrones de ataque predeterminados y preconfigurados, conocidos como firmas. Si bien es el método más simple y efectivo, no detecta ataques desconocidos ni variantes de ataques conocidos. ^[30]
2. Detección basada en anomalías estadísticas : un sistema de detección de anomalías basado en anomalías supervisará el tráfico de la red y lo comparará con una línea base establecida. La línea base identificará lo que es "normal" para esa red: qué tipo de ancho de banda se utiliza generalmente y qué protocolos se utilizan. Sin embargo, puede generar una alarma de falso positivo por uso legítimo del ancho de banda si las líneas base no están configuradas de forma inteligente. ^[31] Los modelos de conjunto que utilizan el coeficiente de correlación de Matthews para identificar el tráfico de red no autorizado han obtenido una precisión del 99,73 %. ^[32]
3. Detección de análisis de protocolos con estado : este método identifica desviaciones de los estados del protocolo comparando los eventos observados con "perfiles predeterminados de definiciones generalmente aceptadas de actividad benigna". ^[25] Si bien es capaz de conocer y rastrear los estados del protocolo, requiere recursos significativos. ^[33]

Colocación

La correcta colocación de los sistemas de detección de intrusiones es fundamental y varía según la red. La colocación más común es detrás del cortafuegos, en el borde de la red. Esta práctica proporciona al IDS una alta visibilidad del tráfico que entra a la red y no recibirá ningún tráfico entre los usuarios de la red. El borde de la red es el punto en el que una red se conecta a la extranet. Otra práctica que se puede llevar a cabo si hay más recursos disponibles es una estrategia en la que un técnico colocará su primer IDS en el punto de mayor visibilidad y, según la disponibilidad de recursos, colocará otro en el siguiente punto más alto, continuando ese proceso hasta que todos los puntos de la red estén cubiertos. ^[34]

Si se coloca un IDS más allá del cortafuegos de una red, su principal propósito sería defenderse contra el ruido de Internet, pero, más importante aún, defenderse contra ataques comunes, como escaneos de puertos y mapeadores de red. Un IDS en esta posición monitorearía las capas 4 a 7 del modelo OSI y estaría basado en firmas. Esta es una práctica muy útil, porque en lugar de mostrar las infracciones reales en la red que lograron atravesar el cortafuegos, se mostrarán las infracciones intentadas, lo que reduce la cantidad de falsos positivos. El IDS en esta posición también ayuda a disminuir la cantidad de tiempo que lleva descubrir ataques exitosos contra una red. ^[35]

En ocasiones, un sistema de detección de intrusos con funciones más avanzadas se integrará con un cortafuegos para poder interceptar ataques sofisticados que ingresen a la red. Algunos ejemplos de funciones avanzadas incluirían múltiples contextos de seguridad en el nivel de enrutamiento y el modo de puenteo. Todo esto, a su vez, reduce potencialmente los costos y la complejidad operativa. ^[35]

Otra opción para la colocación de IDS es dentro de la red misma. Estos revelarán ataques o actividad sospechosa dentro de la red. Ignorar la seguridad dentro de una red puede causar muchos problemas, ya sea que permita a los usuarios generar riesgos de seguridad o que un atacante que ya ha entrado en la red ande libremente por ella. Una seguridad intensa en la intranet hace que sea difícil incluso para los piratas informáticos dentro de la red maniobrar y aumentar sus privilegios. ^[35]

Limitaciones

• El ruido puede limitar gravemente la eficacia de un sistema de detección de intrusiones. Los paquetes defectuosos generados por errores de software , datos DNS corruptos y paquetes locales que se escapan pueden generar una tasa de falsas alarmas significativamente alta. ^[36]
• No es raro que el número de ataques reales sea muy inferior al de falsas alarmas . El número de ataques reales suele ser tan inferior al de falsas alarmas que los ataques reales suelen pasarse por alto y ser ignorados. ^{[36] [ necesita actualización ]}
• Muchos ataques están dirigidos a versiones específicas de software que, por lo general, están desactualizadas. Para mitigar las amenazas, se necesita una biblioteca de firmas que cambie constantemente. Las bases de datos de firmas desactualizadas pueden dejar al sistema de detección de intrusos vulnerable a estrategias más nuevas. ^[36]
• En el caso de los sistemas de detección de amenazas basados ​​en firmas, habrá un retraso entre el descubrimiento de una nueva amenaza y la aplicación de su firma al sistema de detección de amenazas. Durante este lapso, el sistema de detección de amenazas no podrá identificar la amenaza. ^[31]
• No puede compensar los mecanismos de identificación y autenticación débiles ni las debilidades de los protocolos de red . Cuando un atacante obtiene acceso debido a mecanismos de autenticación débiles, el sistema de detección de intrusos no puede evitar que el adversario cometa algún delito.
• La mayoría de los dispositivos de detección de intrusiones no procesan los paquetes cifrados, por lo que pueden permitir una intrusión en la red que no se detecta hasta que se producen intrusiones más importantes en la red.
• El software de detección de intrusiones proporciona información basada en la dirección de red asociada con el paquete IP que se envía a la red. Esto es beneficioso si la dirección de red contenida en el paquete IP es precisa. Sin embargo, la dirección contenida en el paquete IP podría ser falsa o estar alterada.
• Debido a la naturaleza de los sistemas NIDS y a la necesidad de que analicen los protocolos a medida que se capturan, los sistemas NIDS pueden ser susceptibles a los mismos ataques basados ​​en protocolos a los que pueden ser vulnerables los hosts de red. Los datos no válidos y los ataques a la pila TCP/IP pueden provocar que un NIDS se bloquee. ^[37]
• Las medidas de seguridad en la computación en la nube no tienen en cuenta la variación de las necesidades de privacidad de los usuarios. ^[38] Proporcionan el mismo mecanismo de seguridad para todos los usuarios, sin importar si son empresas o personas individuales. ^[38]

Técnicas de evasión

Hay una serie de técnicas que utilizan los atacantes, las siguientes se consideran medidas "simples" que se pueden tomar para evadir IDS:

• Fragmentación: al enviar paquetes fragmentados, el atacante estará bajo el radar y podrá eludir fácilmente la capacidad del sistema de detección para detectar la firma del ataque.
• Evitar los valores predeterminados: el puerto TCP utilizado por un protocolo no siempre proporciona una indicación del protocolo que se está transportando. Por ejemplo, un sistema de detección de intrusos puede esperar detectar un troyano en el puerto 12345. Si un atacante lo hubiera reconfigurado para utilizar un puerto diferente, es posible que el sistema de detección de intrusos no pueda detectar la presencia del troyano.
• Ataques coordinados de bajo ancho de banda: coordinar un escaneo entre numerosos atacantes (o agentes) y asignar diferentes puertos o hosts a diferentes atacantes dificulta que el IDS correlacione los paquetes capturados y deduzca que se está realizando un escaneo de red.
• Falsificación de direcciones o proxy: los atacantes pueden dificultar que los administradores de seguridad determinen el origen del ataque utilizando servidores proxy mal configurados o poco seguros para que reboten el ataque. Si un servidor falsifica la fuente y la rebota, a los sistemas de detección de intrusos les resulta muy difícil detectar el origen del ataque.
• Evasión de cambios de patrones: los sistemas de detección de intrusos generalmente se basan en la "coincidencia de patrones" para detectar un ataque. Al cambiar ligeramente los datos utilizados en el ataque, es posible evadir la detección. Por ejemplo, un servidor de Protocolo de acceso a mensajes de Internet (IMAP) puede ser vulnerable a un desbordamiento de búfer, y un sistema de detección de intrusos puede detectar la firma de ataque de 10 herramientas de ataque comunes. Al modificar la carga útil enviada por la herramienta, de modo que no se parezca a los datos que el sistema de detección de intrusos espera, es posible evadir la detección.

Desarrollo

El primer concepto preliminar de IDS fue delineado en 1980 por James Anderson en la Agencia de Seguridad Nacional y consistía en un conjunto de herramientas destinadas a ayudar a los administradores a revisar los registros de auditoría. ^[39] Los registros de acceso de usuarios, los registros de acceso a archivos y los registros de eventos del sistema son ejemplos de registros de auditoría.

Fred Cohen señaló en 1987 que es imposible detectar una intrusión en todos los casos y que los recursos necesarios para detectar intrusiones aumentan con la cantidad de uso. ^[40]

Dorothy E. Denning , con la ayuda de Peter G. Neumann , publicó un modelo de un IDS en 1986 que formó la base de muchos sistemas actuales. ^[41] Su modelo utilizaba estadísticas para la detección de anomalías y dio como resultado un IDS temprano en SRI International llamado Sistema experto en detección de intrusiones (IDES), que se ejecutaba en estaciones de trabajo Sun y podía considerar datos tanto de nivel de usuario como de red. ^{[42] IDES tenía un enfoque dual con un} sistema experto basado en reglas para detectar tipos conocidos de intrusiones más un componente de detección de anomalías estadísticas basado en perfiles de usuarios, sistemas host y sistemas de destino. La autora de "IDES: Un sistema inteligente para detectar intrusos", Teresa F. Lunt, propuso agregar una red neuronal artificial como un tercer componente. Dijo que los tres componentes podrían entonces informar a un solucionador. SRI siguió a IDES en 1993 con el Sistema experto en detección de intrusiones de próxima generación (NIDES). ^[43]

El sistema de detección y alerta de intrusiones Multics (MIDAS), un sistema experto que utiliza P-BEST y Lisp , se desarrolló en 1988 basándose en el trabajo de Denning y Neumann. ^[44] Haystack también se desarrolló ese año utilizando estadísticas para reducir los registros de auditoría. ^[45]

En 1986, la Agencia de Seguridad Nacional inició un programa de transferencia de investigación sobre detección de intrusos bajo la dirección de Rebecca Bace . Bace publicó posteriormente en 2000 el texto seminal sobre el tema, Intrusion Detection . ^[46]

Wisdom & Sense (W&S) fue un detector de anomalías basado en estadísticas desarrollado en 1989 en el Laboratorio Nacional de Los Álamos . ^[47] W&S creó reglas basadas en análisis estadístico y luego utilizó esas reglas para la detección de anomalías.

En 1990, la máquina inductiva basada en el tiempo (TIM) detectó anomalías mediante el aprendizaje inductivo de patrones secuenciales de usuario en Common Lisp en una computadora VAX 3500. ^[48] El monitor de seguridad de red (NSM) enmascaró matrices de acceso para detectar anomalías en una estación de trabajo Sun-3/50. ^[49] El asistente del oficial de seguridad de la información (ISOA) fue un prototipo de 1990 que consideró una variedad de estrategias que incluían estadísticas, un verificador de perfiles y un sistema experto. ^[50] ComputerWatch en AT&T Bell Labs utilizó estadísticas y reglas para la reducción de datos de auditoría y la detección de intrusiones. ^[51]

Luego, en 1991, investigadores de la Universidad de California, Davis crearon un prototipo de Sistema de Detección de Intrusiones Distribuidas (DIDS), que también era un sistema experto. ^[52] El Sistema de Detección de Anomalías de Red e Informe de Intrusiones (NADIR), también de 1991, fue un prototipo de IDS desarrollado en la Red de Computación Integrada (ICN) del Laboratorio Nacional de Los Álamos, y estuvo fuertemente influenciado por el trabajo de Denning y Lunt. ^[53] NADIR utilizó un detector de anomalías basado en estadísticas y un sistema experto.

El Laboratorio Nacional Lawrence Berkeley anunció Bro en 1998, que utilizaba su propio lenguaje de reglas para el análisis de paquetes a partir de datos de libpcap . ^[54] Network Flight Recorder (NFR) en 1999 también utilizó libpcap. ^[55]

APE fue desarrollado como un rastreador de paquetes, también usando libpcap, en noviembre de 1998, y fue renombrado Snort un mes después. Desde entonces, Snort se ha convertido en el sistema IDS/IPS más utilizado del mundo, con más de 300.000 usuarios activos. ^[56] Puede monitorear tanto sistemas locales como puntos de captura remotos usando el protocolo TZSP .

En 2001, el sistema de análisis y minería de datos de auditoría (ADAM) IDS utilizó tcpdump para crear perfiles de reglas para clasificaciones. ^[57] En 2003, Yongguang Zhang y Wenke Lee argumentaron sobre la importancia del sistema de análisis y minería de datos de auditoría (IDS) en redes con nodos móviles. ^[58]

En 2015, Viegas y sus colegas ^[59] propusieron un motor de detección de intrusiones basado en anomalías, con el objetivo de utilizar sistemas en chip (SoC) para aplicaciones en Internet de las cosas (IoT), por ejemplo. La propuesta aplica aprendizaje automático para la detección de anomalías, lo que proporciona eficiencia energética a una implementación de clasificadores de árbol de decisiones, Naive-Bayes y k-Nearest Neighbors en una CPU Atom y su implementación compatible con hardware en un FPGA. ^{[60] [61]} En la literatura, este fue el primer trabajo que implementó cada clasificador de manera equivalente en software y hardware y midió su consumo de energía en ambos. Además, fue la primera vez que se midió el consumo de energía para extraer cada característica utilizada para realizar la clasificación de paquetes de red, implementada en software y hardware. ^[62]

Véase también

• Sistema de detección de intrusiones basado en protocolo de aplicación (APIDS)
• Sistema inmunológico artificial
• Interruptor de derivación
• Ataque de denegación de servicio
• Análisis de DNS
• Detección de extrusión
• Formato de intercambio de mensajes de detección de intrusiones
• Sistema de detección de intrusiones basado en protocolos (PIDS)
• Seguridad adaptativa en tiempo real
• Gestión de seguridad
• Escudos Arriba
• Protección definida por software

Referencias

1. "¿Qué es un sistema de detección de intrusiones (IDS)?". Check Point Software Technologies. 2023. Consultado el 27 de diciembre de 2023 .
2. Martellini, Maurizio; Malizia, Andrea (30 de octubre de 2017). Desafíos cibernéticos, químicos, biológicos, radiológicos, nucleares y explosivos: amenazas y contraataques. Springer. ISBN 9783319621081.
3. Axelsson, S (2000). "Sistemas de detección de intrusiones: un estudio y una taxonomía" (consultado el 21 de mayo de 2018)
4. Newman, RC (23 de junio de 2009). Seguridad informática: protección de los recursos digitales. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0. Recuperado el 27 de diciembre de 2023 .
5. Mohammed, Mohssen; Rehman, Habib-ur (2 de diciembre de 2015). Honeypots y enrutadores: recopilación de ataques de Internet. CRC Press. ISBN 9781498702201.
6. Vacca, John R. (26 de agosto de 2013). Seguridad de redes y sistemas. Elsevier. ISBN 9780124166950.
7. Vacca, John R. (4 de mayo de 2009). Manual de seguridad informática y de la información. Morgan Kaufmann. ISBN 9780080921945.
8. Gurley, Bace, Rebecca (2001). Sistemas de detección de intrusiones. [Departamento de Comercio de los EE. UU., Administración de Tecnología, Instituto Nacional de Estándares y Tecnología]. OCLC  70689163.{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )
9. Ahmad, Zeeshan; Shahid Khan, Adnan; Wai Shiang, Cheah; Abdullah, Johari; Ahmad, Farhan (16 de octubre de 2020). "Sistema de detección de intrusiones en la red: un estudio sistemático de enfoques de aprendizaje automático y aprendizaje profundo". Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN  2161-3915.
10. Ahmad, Zeeshan; Shahid Khan, Adnan; Wai Shiang, Cheah; Abdullah, Johari; Ahmad, Farhan (2021). "Sistema de detección de intrusiones en la red: un estudio sistemático de enfoques de aprendizaje automático y aprendizaje profundo". Transactions on Emerging Telecommunications Technologies . 32 (1). doi :10.1002/ett.4150. ISSN  2161-3915.
11. Garzia, Fabio; Lombardi, Mara; Ramalingam, Soodamani (2017). "Una Internet integrada de todo: controlador de algoritmos genéticos: marco de trabajo de redes neuronales artificiales para la gestión y el soporte de sistemas de seguridad y protección". Conferencia Internacional Carnahan sobre Tecnología de Seguridad (ICCST) de 2017. IEEE. págs. 1–6. doi :10.1109/ccst.2017.8167863. ISBN . 9781538615850.S2CID 19805812  .
12. Vilela, Douglas WFL; Lotufo, Anna Diva P.; Santos, Carlos R. (2018). "Evaluación de IDS de redes neuronales difusas ARTMAP aplicada a una base de datos IEEE 802.11w real". Conferencia conjunta internacional sobre redes neuronales (IJCNN) de 2018. IEEE. págs. 1–7. doi :10.1109/ijcnn.2018.8489217. ISBN . 9781509060146. Número de identificación del sujeto  52987664.
13. Dias, LP; Cerqueira, JJF; Assis, KDR; Almeida, RC (2017). "Uso de redes neuronales artificiales en sistemas de detección de intrusiones para redes de computadoras". 2017 9.° Congreso de Ciencias de la Computación e Ingeniería Electrónica (CEEC) . IEEE. págs. 145–150. doi :10.1109/ceec.2017.8101615. ISBN . 9781538630075. Número de identificación del sujeto  24107983.
14. Mundo de la red. IDG Network World Inc. 15 de septiembre de 2003.
15. Groom, Frank M.; Groom, Kevin; Jones, Stephan S. (19 de agosto de 2016). Seguridad de redes y datos para no ingenieros. CRC Press. ISBN 9781315350219.
16. Brandon Lokesak (4 de diciembre de 2008). "Una comparación entre sistemas de detección de intrusiones basados ​​en firmas y anomalías" ( PPT ) . www.iup.edu .
17. Douligeris, Christos; Serpanos, Dimitrios N. (9 de febrero de 2007). Seguridad de redes: estado actual y direcciones futuras. John Wiley & Sons. ISBN 9780470099735.
18. Rowayda, A. Sadek; M Sami, Soliman; Hagar, S Elsayed (noviembre de 2013). "Sistema eficaz de detección de intrusiones anómalas basado en redes neuronales con variable indicadora y reducción de conjuntos aproximados". Revista internacional de cuestiones de informática (IJCSI) . 10 (6).
19. "Informe de Gartner: Guía de mercado para el análisis del comportamiento de usuarios y entidades". Septiembre de 2015.
20. "Gartner: Ciclo de publicidad para la protección de infraestructura, 2016".
21. "Gartner: Definición de sistemas de detección y prevención de intrusiones" . Consultado el 20 de septiembre de 2016 .
22. Scarfone, Karen; Mell, Peter (febrero de 2007). "Guía de sistemas de detección y prevención de intrusiones (IDPS)" (PDF) . Centro de recursos de seguridad informática (800–94). Archivado desde el original (PDF) el 1 de junio de 2010 . Consultado el 1 de enero de 2010 .
23. Scarfone, KA; Mell, PM (febrero de 2007). "NIST – Guía de sistemas de detección y prevención de intrusiones (IDPS)" (PDF) . doi :10.6028/NIST.SP.800-94 . Consultado el 27 de diciembre de 2023 .
24. Newman, RC (19 de febrero de 2009). Seguridad informática: protección de los recursos digitales. Jones & Bartlett Learning. ISBN 978-0-7637-5994-0. Recuperado el 27 de diciembre de 2023 .
25. Michael E. Whitman; Herbert J. Mattord (2009). Principios de seguridad de la información. Cengage Learning EMEA. ISBN 978-1-4239-0177-8. Recuperado el 25 de junio de 2010 .
26. Tim Boyles (2010). Guía de estudio de seguridad CCNA: examen 640-553. John Wiley and Sons. pág. 249. ISBN 978-0-470-52767-2. Recuperado el 29 de junio de 2010 .
27. Harold F. Tipton; Micki Krause (2007). Manual de gestión de seguridad de la información. CRC Press. pág. 1000. ISBN 978-1-4200-1358-0. Recuperado el 29 de junio de 2010 .
28. John R. Vacca (2010). Gestión de la seguridad de la información. Syngress. pág. 137. ISBN 978-1-59749-533-2. Recuperado el 29 de junio de 2010 .
29. Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Avances recientes en detección de intrusiones: 12.º simposio internacional, RAID 2009, Saint-Malo, Francia, 23-25 ​​de septiembre de 2009, Actas. Springer. pág. 162. ISBN 978-3-642-04341-3. Recuperado el 29 de junio de 2010 .
30. Liao, Hung-Jen; Richard Lin, Chun-Hung; Lin, Ying-Chih; Tung, Kuang-Yuan (1 de enero de 2013). "Sistema de detección de intrusiones: una revisión exhaustiva". Revista de aplicaciones informáticas y de redes . 36 (1): 16–24. doi :10.1016/j.jnca.2012.09.004. ISSN  1084-8045.
31. nitin.; Mattord, verma (2008). Principios de seguridad de la información. Curso de tecnología. págs. 290–301. ISBN 978-1-4239-0177-8.
32. Nti, Isaac Kofi; Nyarko-Boateng, Owusu; Adekoya, Adebayo Felix; Arjun, R (diciembre de 2021). "Detección de intrusiones en la red con StackNet: un enfoque de selección de estudiantes débiles basado en el coeficiente phi". 2021 22.ª Conferencia Árabe Internacional sobre Tecnología de la Información (ACIT) . págs. 1–11. doi :10.1109/ACIT53391.2021.9677338. ISBN 978-1-6654-1995-6.S2CID246039483  .​
33. Liao, Hung-Jen; Richard Lin, Chun-Hung; Lin, Ying-Chih; Tung, Kuang-Yuan (1 de enero de 2013). "Sistema de detección de intrusiones: una revisión exhaustiva". Revista de aplicaciones informáticas y de redes . 36 (1): 16–24. doi :10.1016/j.jnca.2012.09.004. ISSN  1084-8045.
34. "Mejores prácticas de IDS". cybersecurity.att.com . Consultado el 26 de junio de 2020 .
35. Richardson, Stephen (24 de febrero de 2020). "Colocación de IDS: seguridad CCIE". Experto certificado de Cisco . Consultado el 26 de junio de 2020 .
36. Anderson, Ross (2001). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables. Nueva York: John Wiley & Sons . págs. 387–388. ISBN 978-0-471-38922-4.
37. Schupp, Steve (1 de diciembre de 2000). "Limitaciones de la detección de intrusiones en la red" (PDF) . Certificación de seguridad de la información global . Consultado el 17 de diciembre de 2023 .
38. Hawedi, Mohamed; Talhi, Chamseddine; Boucheneb, Hanifa (1 de septiembre de 2018). "Sistema de detección de intrusiones multiusuario para la nube pública (MTIDS)". The Journal of Supercomputing . 74 (10): 5199–5230. doi :10.1007/s11227-018-2572-6. ISSN  0920-8542. S2CID  52272540.
39. Anderson, James P. (15 de abril de 1980). "Computer Security Threat Monitoring and Surveillance" (PDF) . csrc.nist.gov . Washington, PA, James P. Anderson Co. Archivado (PDF) del original el 14 de mayo de 2019 . Consultado el 12 de octubre de 2021 .
40. David M. Chess; Steve R. White (2000). "Un virus informático indetectable". Actas de la conferencia Virus Bulletin . CiteSeerX 10.1.1.25.1508 . 
41. Denning, Dorothy E., "Un modelo de detección de intrusiones", Actas del Séptimo Simposio IEEE sobre Seguridad y Privacidad, mayo de 1986, páginas 119-131
42. Lunt, Teresa F., "IDES: Un sistema inteligente para detectar intrusos", Actas del Simposio sobre seguridad informática: amenazas y contramedidas; Roma, Italia, 22 y 23 de noviembre de 1990, páginas 110-121.
43. Lunt, Teresa F., "Detección de intrusos en sistemas informáticos", Conferencia de 1993 sobre auditoría y tecnología informática, SRI International
44. Sebring, Michael M. y Whitehurst, R. Alan., "Sistemas expertos en detección de intrusiones: un estudio de caso", 11.ª Conferencia Nacional de Seguridad Informática, octubre de 1988
45. Smaha, Stephen E., "Haystack: un sistema de detección de intrusiones", Cuarta Conferencia sobre aplicaciones de seguridad informática aeroespacial, Orlando, Florida, diciembre de 1988
46. McGraw, Gary (mayo de 2007). "Silver Bullet Talks with Becky Bace" (PDF) . Revista IEEE Security & Privacy . 5 (3): 6–9. doi :10.1109/MSP.2007.70. Archivado desde el original (PDF) el 19 de abril de 2017. Consultado el 18 de abril de 2017 .
47. Vaccaro, HS y Liepins, GE, "Detección de actividad anómala en sesiones informáticas", Simposio IEEE sobre seguridad y privacidad de 1989, mayo de 1989
48. Teng, Henry S., Chen, Kaihu y Lu, Stephen CY, "Detección de anomalías adaptativa en tiempo real utilizando patrones secuenciales generados inductivamente", Simposio IEEE sobre seguridad y privacidad de 1990
49. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff y Wolber, David, "A Network Security Monitor", Simposio de 1990 sobre investigación en seguridad y privacidad, Oakland, CA, páginas 296-304
50. Winkeler, JR, "Un prototipo UNIX para detección de intrusiones y anomalías en redes seguras", Decimotercera Conferencia Nacional de Seguridad Informática, Washington, DC, páginas 115-124, 1990
51. Dowell, Cheri y Ramstedt, Paul, "La herramienta de reducción de datos ComputerWatch", Actas de la 13.ª Conferencia Nacional de Seguridad Informática, Washington, DC, 1990
52. Snapp, Steven R, Brentano, James, Dias, Gihan V., Goan, Terrance L., Heberlein, L. Todd, Ho, Che-Lin, Levitt, Karl N., Mukherjee, Biswanath, Smaha, Stephen E., Grance, Tim, Teal, Daniel M. y Mansur, Doug, "DIDS (Sistema de detección de intrusiones distribuidas): motivación, arquitectura y un prototipo temprano", 14.ª Conferencia Nacional de Seguridad Informática, octubre de 1991, páginas 167-176.
53. Jackson, Kathleen, DuBois, David H. y Stallings, Cathy A., "Un enfoque por fases para la detección de intrusiones en la red", 14.ª Conferencia Nacional de Seguridad Informática, 1991
54. Paxson, Vern, "Bro: Un sistema para detectar intrusos en la red en tiempo real", Actas del 7.º Simposio de seguridad de USENIX, San Antonio, TX, 1998
55. Amoroso, Edward, "Detección de intrusiones: Introducción a la vigilancia, correlación, rastreo, trampas y respuesta en Internet", Intrusion.Net Books, Sparta, Nueva Jersey, 1999, ISBN 0-9666700-7-8 
56. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip) Jr., Esler, Joel., Foster, James C., Jonkman Marty, Raffael y Poor, Mike, "Kit de herramientas Snort IDS e IPS", Syngress, 2007, ISBN 978-1-59749-099-3 
57. Barbara, Daniel, Couto, Julia, Jajodia, Sushil, Popyack, Leonard y Wu, Ningning, "ADAM: detección de intrusiones mediante minería de datos", Actas del taller IEEE sobre seguridad y garantía de la información, West Point, Nueva York, 5 y 6 de junio de 2001
58. Técnicas de detección de intrusiones para redes inalámbricas móviles, ACM WINET 2003 <http://www.cc.gatech.edu/~wenke/papers/winet03.pdf>
59. Viegas, E.; Santin, AO; Fran?a, A.; Jasinski, R.; Pedroni, VA; Oliveira, LS (1 de enero de 2017). "Hacia un motor de detección de intrusiones basado en anomalías energéticamente eficiente para sistemas integrados". IEEE Transactions on Computers . 66 (1): 163–177. doi :10.1109/TC.2016.2560839. ISSN  0018-9340. S2CID  20595406.
60. França, AL; Jasinski, R.; Cemin, P.; Pedroni, VA; Santin, AO (1 de mayo de 2015). "El costo energético de la seguridad de la red: una comparación entre hardware y software". Simposio internacional IEEE sobre circuitos y sistemas (ISCAS) de 2015. págs. 81–84. doi :10.1109/ISCAS.2015.7168575. ISBN 978-1-4799-8391-9.S2CID6590312  .​
61. França, ALP d; Jasinski, RP; Pedroni, VA; Santin, AO (1 de julio de 2014). "Trasladar la protección de la red del software al hardware: un análisis de la eficiencia energética". Simposio anual de la IEEE Computer Society sobre VLSI de 2014. págs. 456–461. doi :10.1109/ISVLSI.2014.89. ISBN 978-1-4799-3765-3.S2CID12284444  .​
62. "Hacia un motor de detección de intrusiones basado en anomalías y energéticamente eficiente para sistemas integrados" (PDF) . SecPLab .

 Este artículo incorpora material de dominio público de Karen Scarfone, Peter Mell. Guía de sistemas de detección y prevención de intrusiones, SP800-94 (PDF) . Instituto Nacional de Normas y Tecnología . Consultado el 1 de enero de 2010 .

Lectura adicional

• Bace, Rebecca Gurley (2000). Detección de intrusiones. Indianápolis, IN: Macmillan Technical. ISBN 978-1578701858.
• Bezroukov, Nikolai (11 de diciembre de 2008). "Problemas arquitectónicos de la infraestructura de detección de intrusiones en grandes empresas (revisión 0.82)". Softpanorama . Consultado el 30 de julio de 2010 .
• PM Mafra y JS Fraga y AO Santin (2014). "Algoritmos para un IDS distribuido en MANET". Revista de Ciencias de la Computación y de Sistemas . 80 (3): 554–570. doi : 10.1016/j.jcss.2013.06.011 .
• Hansen, James V.; Benjamin Lowry, Paul; Meservy, Rayman; McDonald, Dan (2007). "Programación genética para la prevención del ciberterrorismo mediante la detección de intrusiones dinámica y evolutiva". Decision Support Systems (DSS) . 43 (4): 1362–1374. doi :10.1016/j.dss.2006.04.004. SSRN  877981.
• Scarfone, Karen; Mell, Peter (febrero de 2007). "Guía de sistemas de detección y prevención de intrusiones (IDPS)" (PDF) . Centro de recursos de seguridad informática (800–94). Archivado desde el original (PDF) el 1 de junio de 2010 . Consultado el 1 de enero de 2010 .
• Singh, Abhishek. "Evasiones en los sistemas de prevención y detección de intrusiones". Virus Bulletin . Consultado el 1 de abril de 2010 .
• Dubey, Abhinav. "Implementación de un sistema de detección de intrusiones en la red mediante aprendizaje profundo". Medium . Consultado el 17 de abril de 2021 .

• Al_Ibaisi, T., Abu-Dalhoum, AE-L., Al-Rawi, M., Alfonseca, M., y Ortega, A. (nd). Detección de intrusiones en la red mediante algoritmos genéticos para encontrar la mejor firma de ADN. http://www.wseas.us/e-library/transactions/systems/2008/27-535.pdf

• Ibaisi, TA, Kuhn, S., Kaiiali, M. y Kazim, M. (2023). Detección de intrusiones en redes basada en la estructura de secuencias de aminoácidos mediante aprendizaje automático. Electronics, 12(20), 4294. https://doi.org/10.3390/electronics12204294

Enlaces externos

• Sistemas de detección de intrusiones en Curlie
• Vulnerabilidades y exposiciones comunes (CVE) por producto
• NIST SP 800-83, Guía para la prevención y el manejo de incidentes de malware
• NIST SP 800-94, Guía para sistemas de detección y prevención de intrusiones (IDPS)
• Estudio de Gartner "Cuadrante mágico para dispositivos de prevención de intrusiones en la red"