Inicio

Nuestra sociedad depende cada vez más del acceso y procesamiento rápido de información, lo que ha supuesto la proliferación del empleo de los ordenadores y de las redes de comunicaciones y con ello la existencia de problemas de acceso desautorizado y manipulación de datos: la cantidad de intentos de accesos no autorizados a la información que existe en Internet ha crecido durante estos últimos años. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los sistemas desde Internet, usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal uso de los privilegios que se les han asignado. También, se puede entender por intrusión a una violación de la política de seguridad del sistema. En todo caso, cualquier definición de intrusión es necesariamente imprecisa, al igual que los requisitos de política de seguridad no siempre se traducen en un conjunto totalmente definido de acciones.

La detección de intrusos es el área aplicada de la auditoría informática encargada de informar de eventos que puedan tener lugar en un sistema informático y pueda ser considerado, por unas u otras razones, como parte de un intento de intrusión, esto es, la realización de un acto no autorizado, como pueda ser el acceso a un sistema, la ejecución de programas no autorizados o el ataque a una red informática. Por tanto, la utilidad de un sistema de detección como mecanismo previo de alarma radica en facilitar la distinción entre un acceso normal y habitual al sistema, que puede surgir de la puesta en marcha de servicios ofrecidos al exterior (entendiendo como exterior cualquier otro sistema ajeno al que ofrece los servicios), de un intento de vulnerar de algún modo dichos servicios, e incluso de aquellos que no debieran ser públicos, como parte del ataque a dicho sistema. Así, se podrá proporcionar conocimiento de la puesta en marcha de un ataque sobre el sistema antes de que dicho ataque tenga éxito, con lo que se podrán poner en marcha las medidas necesarias para mitigar el impacto.

Las técnicas tradicionalmente aplicadas a la detección de intrusos, en todos sus ámbitos, consisten generalmente en el uso de reconocimientos de patrones para determinar ataques conocidos. Como en el caso de la tecnología aplicada a la detección de virus, basada en la introducción de firmas más algunos heurísticos para detectar ligeras desviaciones, la detección de intrusos habitualmente busca en patrones que permiten discriminar un ataque de algo que no lo es. No obstante, la aplicación de estas técnicas no está exenta de problemas entre los que cabe mencionar en la incapacidad de tratar aplicaciones a medida, la falta de interoperabilidad entre fabricantes, la sobrecarga de análisis que lleva a la posibilidad de ataques contra el propio detector de intrusos, así como, finalmente, la necesidad de actualizaciones y ajustes continuos del cortafuegos. A mayor abundamiento, en un intento de formalizar este fenómeno, parece evidente que la tendencia natural, basada en la representación en términos de certeza de la información disponible, parece alejarse de lo que la propia realidad demanda. Así, se han empleado técnicas estocásticas, más como una solución suplementaria ante la ausencia de otras, que si bien se muestran como herramientas poderosas para determinados problemas, pierden capacidad representativa cuando la información disponible posee altos niveles de subjetividad o vaguedad. Además, el entorno actual se caracteriza por una mutabilidad constante, por lo que difícilmente resulta factible considerar que la toma de decisiones basada en el comportamiento pasado pueda llevar a un resultado acertado en el futuro. Incluso, el sentido de esta tendencia no parece que vaya a disminuir, sino más bien todo lo contrario, se puede aventurar que dicho entorno reflejará situaciones continuamente cambiantes y complejas.

Ante la escasa capacidad de estos modelos para ayudar a la toma de decisiones en entornos cambiantes o turbulentos, en este proyecto se han planteado dos líneas conjuntas de actuación: Por un lado, la aplicación de técnicas de minería de datos que ofrece una cobertura de ataques que no puede conseguirse mediante la utilización de técnicas de firma de ataques conocidos. Así, las herramientas de minería de datos para detección de intrusos suponen un complemento más al bagaje de herramientas de este tipo que permitirá, en un futuro, reducir el número de falsos positivos y falsos negativos de forma global al integrarse con otras técnicas de detección de intrusos. Por otro, la aplicación de la Teoría de los Subconjuntos Borrosos y la Lógica Borrosa, máxime si se tiene en cuenta que aparejados con ellas se han elaborado un conjunto de técnicas operativas que permiten llevar a cabo los procesos de la toma de decisiones en situaciones caracterizadas por la incertidumbre, en las que cada vez más a menudo pueden encontrarse los responsables de la detección de intrusos. En efecto, con la Lógica Borrosa se hace posible el tratamiento tanto de lo subjetivo como de lo incierto, en un intento por representar los fenómenos tal como se muestran en la realidad y de llevar a cabo su tratamiento sin intentar deformarlos o hacerlos precisos o ciertos, de ahí que su aplicación permita realizar un claro cambio de mentalidad, pasando de la utilización de las herramientas disponibles a contar con una "nueva caja de instrumentos" que suministre rigor en el razonamiento secuencial (aproximado), y operatividad práctica ante condiciones de incertidumbre. De acuerdo con lo anterior, y dado que las posibilidades que los subconjuntos borrosos ofrecen para abordar los problemas de decisión en el campo de la detección de intrusos son amplísimas, con este trabajo, centrado en la construcción de sistemas expertos borrosos de detección de intrusos, se pretende dotar a los informáticos y los economistas de nuevos esquemas que permiten una representación más cercana a la realidad, en un intento de que la toma de decisiones relativa a la detección de intrusos, realizada en ambientes cambiantes y complejos, deje de estar abandonada a su suerte y sea entonces posible seleccionar la solución correcta y acertar en los objetivos esperados de la misma.

Título del proyecto: DETECCION DE INTRUSOS EN AUDITORIA INFORMATICA UTILIZANDO SISTEMAS BASADOS EN REGLAS DIFUSAS Y PROCESOS DE APRENDIZAJE CON ALGORITMOS GENETICOS.

Proyecto financiado por el Ministerio de Ciencia y Tecnología desde el 28/12/2001 al 27/12/2004. Referencia: DPI2001-0105

PROYECTO FINALIZADO