Efraín Torres Mejía Departamento de Ingeniería de Sistemas Pontificia Universidad Javeriana

1. Sistema Inmunológico para la Detección de Intrusos a nivel del Protocolo HTTP____________________________________ Efraín Torres Mejía Departamento de Ingeniería de Sistemas Pontificia Universidad Javeriana Junio 20, 2003 Director: Ing. Enrique Ruiz

2. Introducción • En los últimos años la generación de nuevas tecnologías para la detección de intrusos solo se ha presentado en el ámbito académico, sin dar el salto final necesario. Pasar a la realidad. • Los sistemas comerciales actuales además de ser sumamente costosos y complejos, teniendo en cuenta su labor, siguen estancados en modelos que no se han modificado, lo cual los hace candidatos a quedar relegados, si acaso ya no lo son. • Relegados por sus limitaciones, las cuales son aprovechadas como técnicas anti-ids.

3. Antecedentes • IDS Convencionales • Red (NIDS) - Host (HIDS) • Aplicación (Application Firewalls) • Básicamente sus limitaciones provienen: • Firmas de ataques = Antivirus • Nivel inadecuado de captura y análisis de datos • NIDS (Sensores = Sniffers) • Tráfico codificado o encriptado (SSL) • Arquitectura • Application Firewalls dependientes de la aplicación a proteger

4. Antecedentes • Sistemas inmunológicos computacionales • Sistemas inmunológicos naturales. Sistemas dinámicos • Su rol en el cuerpo es análogo a los sistemas de detección, protección y prevención computacionales. (IDS) • 1993, Computer Immune Systems, University of New Mexico http://www.cs.unm.edu/~immsec/ • Análisis de Comportamientos • Redes neuronales (Elman)

5. Prototipo IDS • Los estudios actualmente desarrollados sobre el análisis de comportamientos para detección de intrusos, han sido desarrollados para analizar campos muy genéricos de datos. • El enfoque inmunológico demuestra la necesidad de sistemas multiniveles. (Especialización y Balance) • El nivel propicio de análisis es el nivel mismo del protocolo. Además, este análisis esta determinado por patrones de comportamiento. (Redes Neuronales) • El prototipo no se enfoca en un punto o paradigma determinado. Replantea su uso.

6. Prototipo IDS • ARQUITECTURA • Proxy-INVERSO • SQUID Proxy • Red Neuronal Elman

7. Prototipo IDS • Nivel de Filtrado • Piel – Decodificación (HEX, UNICODE, SSL) • Adecuación lógica de las tareas realizadas por un firewall de aplicación. (max. Longitudes) • Nivel de detección • Problemas de seguridad (HTTP) • Problemas de seguridad previamente publicados pero que se presentan de igual forma en otra aplicación o servidor Web. • Variaciones de un problema de seguridad previamente publicado. • Conjunto de varios problemas de seguridad previamente publicados.

8. Prototipo IDS • La detección de ataques no conocidos esta basado en desacoplar el recurso vulnerable de la vulnerabilidad en sí. • Detección, Identificación y Clasificación de ataques. • Clasificación basada en causa y no en efecto.

9. Prototipo IDS • Entrenamiento red neuronal Elman • Ej. parametro=../../archivo (3) @=../../@ (@=255) (1) Codificación ASCII/255 (3) Codificación 8 bits/ Norm (2) Codificación 8 bits

10. Pruebas y resultados • Scanners que realizan ataques • Nikto, nessus (HTTP) • Whisker NO!. • Prototipo vs Snort (www.snort.org) • 23.1% mejor.

11. Conclusiones • A mayor nivel OSI en el cual trabajen los IDS, menores serán las limitaciones dependientes de la arquitectura. • El balanceo de tareas de los niveles establecidos depende directamente de las limitaciones de las tecnologías implementadas en cada uno de ellos y del funcionamiento básico de los ataques a detectar. • Es viable implementar un sistema de detección de intrusos que elimina las limitaciones de los IDS actuales por medio de: • Un diseño simple multi-nivel balanceado, • Una arquitectura de red acorde a las necesidades reales y tecnologías adaptivas, como las redes neuronales, • Replantean la forma como comúnmente se han clasificado, detectado e identificado las vulnerabilidades conocidas y por conocer.

12. FIN GRACIAS… ?