6
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomu
n
ic
a
ciones de Cub
a
S.A.
I
n
t
r
o
d
u
cc
i
ó
n
L
a
ev
o
l
u
c
i
ó
n
de
l
o
s
S
i
st
e
m
a
s
de
D
e
t
e
cc
i
ó
n
de
I
n
t
r
u
s
o
s
El o 1987 puede considerarse
como el período en que se inicia
públicamente el tratamiento de la
tecnología de sondeo de las intru-
s
ione
s
; y el trabajo de D. Denning
[1], el artículo cienfico de re-
ferencia sobre este importantísimo
tema. Existen numerosos sistemas
comerciales de Deteccn de Intru-
s
o
s
y varios proyectos desarro-
llado
s
por la comunidad Open
Sou
r
ce; pero n son muchos los
problemasporresolverylas
oportunidades de investigación son
s
ignificativas.
De
s
de el momento que los ID
S
s
urgieron como sistemas
d
e
p
ro-
tección para una infraestructura
limitada, es natural que su ámbito
tradicional sea aquel del data cen-
te
r
o de la Intranet empresarial. El
de
s
arrollo reciente de las redes
informáticas caracterizadas por un
aumento casi exponencial de las
banda
s
disponibles, un crecimiento
de la conectividad de tipo always on
y de la movilidad gracias al uso de
la
s
tecnologías celulares de nueva
generación e inalámbricas, conlleva
s
iempre un aumento de los límites
a proteger. El ID
S
se convierte en
un componente estratégico que
L
o
s
s
i
s
tema
s
que realizan el
levantamiento y la prevención
de la
s
intru
s
ione
s
—(ID
S
) Int
r
u-
convertido, en lo
s
último
s
veinte
años, en uno de lo
s
elemento
s
fundamentales de la arquitectura
de
s
eguridad de una red informá-
tica. Un Si
s
tema de Detección de
Intru
s
os es el
s
imilar informático
de los
s
istema
s
de alarma que
protegen una habitacn o un
banco. Como un verdadero
s
i
s
tema
de alarma
s
, un ID
S
s
e caracteriza
por lo
s
sen
s
ore
s
para el
s
ondeo de
los hechos no de
s
eado
s
o de la
s
condiciones anómala
s
en el am-
biente monitoreado; el
s
i
s
tema de
recogida y de correlacn de la
s
informaciones
s
umini
s
trada
s
por
lo
s
sensore
s
para decidir
s
i e
s
efectivamente nece
s
ario emitir una
salización; y el mecani
s
mo de
salización, picamente multi-
modal por ejemplo, la
s
irena e
s
un avi
s
o enviado a la
s
fuerza
s
del
orden—.
También los Sistema
s
de Detección
de Intrusos
s
e caracterizan funda-
mentalmente por lo
s
mi
s
mo
s
com-
ponentes y, como lo
s
s
i
s
tema
s
de
alarma
s
tradicionale
s
, lo
s
ID
S
al
s
er
automáticos pueden
s
er abordado
s
si se tiene un conocimiento muy
profundo de mo e
s
tán colocado
s
y
configurado
s
.
El objetivo de e
s
te arculo e
s
presentar la temática a tra
s
de
un análi
s
is detallado del e
s
tado
del arte, que ilustre, por lo tanto,
lo
s
resultados obtenidos de la
bú
s
queda desarrollada en el labo-
debe operar en diferentes niveles, a
partir del cliente inexperto pasa por
la clientela gra
n
clie
n
te de tipo
sion Detection Sy
s
tem /
S
i
s
tema
s
ratorio Be-
S
ecure de Telecomtradicional hasta llegar a involucrar
de Deteccn de Intru
s
o
s
s
e hanItalia Lab.directamente al gestor de la infra-
estructura y, luego, a los grandes
operadores nacionales de teleco-
municaciones.
Los
S
istemas de Detección de
Intrusos se originaron en un ámbito
principalmente militar, aunque es-
taban muy relacionado
s
con la
actividad de algunos investigado-
res universitarios cuyos trabajos
versaban sobre la seguridad de la
información. En 1980, el a
r
tículo de
J. Anderson [2] introdujo el pro-
blema del monitoreo de lo
s
sistemas
informativos, en específico, los
utilizados para las operaciones mili-
tares; poco después D. Denning
comenzó a trabajar sobre los
S
iste-
mas de Detección de Intrusos tambn
gracias al apadrinamiento de diferen-
tes entidades gubernamentales. A fi-
nales de los años ochenta, muchas
estructuras universitarias tenían un
proyecto centrado en el tema de la
detección de intrusos, por ejemplo,
el Haystack de la unive
r
sidad de
Davis en California [3], el IDE
S
en
el Computer Science
L
aboratory
del
S
RI [4] y el proyecto IDIOT [5]
en el CERIA
S
de la universidad de
P
urdue.
Al inicio del decenio de los
noventa, la red Internet salió del
contextopuramenteacadémico-
militar convirtiéndose en la s
grande estructura informática del
T
e
c
no
l
o
g
í
a
s
i
nno
v
a
do
r
a
s
p
a
r
a
l
a
d
e
t
e
cc
i
ón
y
l
a
c
o
m
p
a
r
a
c
i
ón
d
e
l
o
s
a
t
a
qu
e
s
i
n
f
o
r
m
á
t
i
c
o
s
P
o
r
I
n
g
.
G
e
r
a
r
do
L
a
m
a
s
t
r
a
e
I
n
g
.
L
u
c
a
V
i
a
l
e
Ver
s
n traducida y editada del artículo original “Tecnologie innnovative per il rilevamento e il cont
r
a
s
to
degli attacchi informatici”, que aparece en el Notiziario
T
ecnico
T
elecom Italia, anno 14, no. 1 (Giugno
2005). La Redacción de esta revista, a tras del grupo de Asistencia Técnica de ETEC
S
A, ha cedido
amablemente los derechos para su publicación en
T
ono.
Tono Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S
.A.
7
planeta, y la problemática de lablack out informático.
S
urgen, devention System. Los I
PS
, a dife-
seguridad pa
s
ó a
s
egundo planoe
s
te modo, los primeros sistemasrencia de los sensores que operan
respecto a aquella de la u
s
abilidad.que fueron ideados expcitamenteen modo pasivo, se vuelven ele-
Ades, la mayor parte de lo
s
para la protección de la infraes-mentos activos de la infraestru-
ataques fue asignada a una élitetructura como los routers y otrosctura, actúan directamente en los
exclusiva y todavía no llegaba a
s
i
s
tema
s
de interconexn. Lasniveles 2 y 3 de la secuencia proto-
todos. Se con
s
idera que el nivel deempre
s
a
s
más importantes en el sec-colar, para intervenir sobre el
seguridad que ofrece un fi
r
ewalltor informático como la Cisco,tránsito de los paquetes, con un
sería indi
s
pensable para proteger
S
ymantec, Internet
S
ecurity
S
ys-nivel de análisis notablemente s
la propia infrae
s
tructura.
M
ientra
s
tem
s
invierten cifras considerablescomplejo con relación al del fi
r
ewall
tanto, con una tendencia ba
s
tantepara adquirir la tecnoloa de variastradicional.
S
u adopción, sin em-
típica, alguno
s
grupo
s
de inve
s
ti-
s
ta
r
t up con el objetivo de brindarbargo, es contrastada por los efec-
gación que tenían producto
s
yen
s
u oferta de seguridad tambiéntos colaterales en relación con su
prototipo
s
interesante
s
de
S
i
s
tema
s
un
S
i
s
tema de Detección de Intru-elevada complejidad debido, en
de Detección de Intru
s
o
s
, comen-
s
o
s
.muchos casos, a la necesidad de
zaron a evolucionar en empre
s
a
s
Lo
s
años sucesivos al 2000, semantener el estado de las sesiones y
start up —Hay
s
tack Lab
s
, quecaracterizan por un relativo estan-de utilizar algoritmos s compli-
comercializa el producto homónimocamiento, al menos en el sector de lacados respecto a los tradicional-
de NFR (Netwo
r
k Flight Reco
r
de
r
),inve
s
tigación y el desarrollo. Lamente empleados en el firewall y el
aún pre
s
ente en el mercado o Net-tecnología dominante está repre-antivirus que podrían obstacu-
work ICE, fundada por R. Gram, hoy
s
entada por los sistemas de Net-lizar la misma infraestructura.
S
i, en
líder del área de I+D de Inte
r
net Se-work-ID
S
, que operan analizandoefecto, un dispositivo de este tipo
curity Se
r
vice
s
(ISS)—. Al mi
s
mocon extremada optimización losdebiese por algún motivo volverse
tiempo, lo
s
ataque
s
fueron má
s
flujo
s
de paquetes que atraviesaninoperante, la subred protegida
difíciles de detectar, má
s
fácile
s
delo
s
perímetros empresariales. Laestaría en riesgo de ser desconec-
implementar y má
s
al alcance deatencn de los productores se des-tada.
todo
s
. Se hace evidente el fraca
s
ovía hacia la problemática de laTambn, la tecnología basada
de la
s
eguridad con el u
s
o de unadmini
s
tración, centrada en la nece-indirectamente en el enfoque de
solo dispo
s
itivo y, por lo tanto,
s
idad de reducir la enorme cantidadtipo network based transita por una
los IDS comienzan a convertir
s
ede dato
s
generados por estos siste-etapa difícil, rigurosa, enmarcada
en elementos cada vez má
s
e
s
en-ma
s
. Comienzan a difundirse dudasentre la disyuntiva de los sistemas
ciales de una infrae
s
tructura de
s
obre la validez efectiva de este tipoantivirus y del siempre más di-
proteccn cuyo paradigma e
s
lade tecnología [7]. Muchas empresasfundido firewall, los sistemas ID
S
llamada Defense in Depth [6].compran las sondas y las instalande tipo host based logran con
Tambn la tecnoloa ID
S
co-pero la inversión necesaria para man-dificultad difundirse seriamente.
mienza a desarrollar
s
e por otra
s
tener un verdadero grupo interno
P
redomina la tendencia del enfoque
vías. Aparecen los primero
s
s
i
s
-que
s
e ocupe del monitoreo resultaintegrador firewall e ID
S
, especial-
tema
s
que integran el fi
r
ewall alprohibitiva. A menudo, los costosmente en el puesto de trabajo donde
IDS, la línea de demarcación quedel manejo de un servicio de segu-es posible obtener con eficacia
separa los si
s
tema
s
de detecciónridad
s
on insostenibles a menos queretroalimentación directa del clien-
de los de contramedida
s
s
e vuelve
s
e po
s
ea una tecnología propia dete. Muchos administradores de sis-
más sutil. Así, de una parte lo
s
ID
S
y un equipo propio para latemas continúan con dudas acerca
firewalls comienzan a integrar lo
s
pue
s
ta en marcha de las actualiza-de la instalación de un ID
S
host
mecanismo
s
de in
s
pección delcione
s
necesarias al sistema para elbased, a causa del elevado poten-
tfico cada vez má
s
s
ofi
s
ticado
s
,reconocimiento de nuevos ataques.cial computacional que gravaría el
mientra
s
que lo
s
ID
S
aprenden aHoy, la tendencia de los produc-sistema.
responderdirectamentealo
s
tore
s
e
s
proponer soluciones de
P
or otra parte, los grandes adminis-
ataque
s
detectado
s
tran
s
formán-tipo All in One —todo en uno quetradores de infraestructuras tienen la
dose en
s
i
s
tema
s
de prevención.integren en una sola aplicacnnecesidad siempre mayor de dotarse
La aparición de lo
s
ataque
s
defi
r
ewall, ID
S
y antivirus. Este tipode sistemas espeficos para pro-
tipo distribuido y lo
s
efecto
s
drá
s
-de mecanismo desplaza el centro deteger sus recursos tecnológicos.
ticos del número creciente de vi-gravedad de la tecnoloa de losLos instrumentos estándares para la
rus que se propagan en la red, pre-
s
i
s
tema
s
pasivos hacia tecnologíasdetección de intrusos se adaptan
sagian la posibilidad de un enormede prevención I
PS
—Intrusion Pre-mal a este propósito. En particular,
8
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomu
n
ic
a
ciones de Cub
a
S.A.
la banda admini
s
trada por el
equipo o pueden crear
s
e pro-
I
DS no re
su
lta
n
s
iem
p
re
adecuados re
sp
ecto a la
s
exigencias de lo
s
o
p
era
d
ore
s
de telecomu
n
icacio
n
e
s
. De
hecho, e
s
to
s
s
i
s
tema
s
han
s
ido ideado
s
para ámbito
s
de
tipo Intranet/Corporativo. La
infraestructura de red de un
gran operador de telecomu-
nicacione
s
requiere en cam-
bio amplia flexibilidad al tener
que administrar una multipli-
cidad de tipología
s
de rede
s
,
,
lladas por año [8] se nota cla-
ramente una tendencia en
vadísimo,sobretodo,en
ambientes muy heterogéneos
o en aquellos donde sea
difícil operar una configura-
cn muy fina de los sen-
s
ores.Cadaalarmafalsa
genera un costo debido a la
necesidaddeadministrar,
aunque de forma mínima, el
hecho; pero tiene un efecto
mucho más negativo y menos
medible relacionado con la
tendencia, por parte de quien
para la previsión de la
s
tran
s
for-a partir de la clientela resi-ejecuta el monitoreo, de va-
maciones de las rede
s
telefónica
s
dencial bajo la forma delorar todos los hechos como
tradicionales en una red ba
s
ada enADSL, hasta la oferta paraalarmas falsas y así, para-
el protocolo I
P
. Uno de lo
s
empresas con requisitos es-dójicamente, un sensor ID
S
aspectos
s
crítico
s
de
s
de elpeficos de seguridad comoacaba siendo utilizado en
punto de vi
s
ta del admini
s
tradorlo
s
bancos o la salud. Existe,reiteradas ocasiones como un
de red e
s
tá repre
s
entado por lapor lo tanto, la dorsal de trans-instrumento para el análisis
problemática relacionada con lo
s
porte el backbone queposterior de un hecho peli-
protocolo
s
de encaminamiento.
S
itiene obviamente las caracte-groso ocurrido en la red, en
bien algunos protocolo
s
integranrí
s
ticas y peculiaridades dife-vez de ser utilizado como la
determinada
s
caracterí
s
tica
s
derentes con relación a las redesprimera sal de alarma para
seguridad —como la po
s
ibilidadconvencionales. El uso de unadarse cuenta de que ocurre
de autenticar e
s
trechamente la
ss
olución estándar es difícil dealgo negativo.
tran
s
acciones entre lo
s
encami-aplicar.El objetivo de la actividad de
nadores o exi
s
ten
s
olucione
s
La co
n
statació
n
d
e
qu
e elinvestigacióndesarrolladaen
específica
s
a nivel de lo
s
equipo
s
co
n
trol
d
e los costos asocia-Telecom Italia Lab en el último
como la posibilidad de realizar
d
o
s
alID
S
es
b
asta
n
tebienio ha sido crear, donde fuese
un filtrado
s
ofi
s
ticado de lo
sp
roblemático. s allá de losposible, una serie de soluciones
paquete
s
, la mayor parte de lo
s
co
s
tos iniciales de las son-tecnogicas focalizadas en la
administradores de rede
s
tiende ada
s
, los ID
S
son sistemas quedetección de las intrusiones en los
no utilizar e
s
to
s
mecani
s
mo
s
. Lo
s
requieren una actualizacióndiferentes dominios conceptua-
motivo
s
son ltiple
s
: a menudocontinua.
S
i se observa elles. Esto es, a nivel de sistema
el potencial computacional e
s
número promedio reciente de(host), a nivel de redes wired y
elevado y por lo tanto
s
e reducevulnerabilidades nuevas ha-wireless hasta llegar al nivel del
sistema de infraestructura. La
actividad de investigación ha sido
blemas de interoperabilidad entreconcordancia con la ley dedistribuidaentresproyectos:
las solucione
s
de lo
s
diferente
sM
oore, la misma ley queEAGLE —Innovative Intrusion De-
productore
s
hasta, inclu
s
o, comocaracteriza en general la di-tection—, RD
S
—Routing Detec-
ocurre en los pee
r
BG
P
, la habi-fu
s
n de todo aquello que estion Security y WID
S
Wireless
litación y la configuración de lacomputing technology. Ade-Intrusion Detection System .
S
e
funcionalidad de
s
eguridad re-má
s
, más allá de los costoshan obtenido muchos resultados
quiere la colaboración de diferen-debidos a la actualización, esinteresantes, ya sea en lo que
te
s
operadore
s
.necesario tener en cuentaconcierne al aspecto innovador
La actividad de
s
arrollada a partirtambn los costos de fun-que ha dado lugar a numerosos
de 2003 en el grupo de
s
eguridadcionamiento lo s confiablepedidos patentados o en lo que
infortica de Telecom Italia Labpo
s
ible en el sistema deconcierne a los prototipos de los
(Be-Secure)
s
e concentra en do
s
detección. Es bien conocidosistemas que ha visto la rea-
aspecto
s
fundamentalmente:que el número de alarmaslización de sistemas en funcio-
La evidencia
d
e
qu
e lo
s
fal
s
asgeneradasporlosnamiento, en laboratorios o durante
s
istema
s
tra
d
icio
n
ale
s
d
e
s
en
s
ores puede resultar ele-pruebas de campo particulares.
E
st
a
d
o
de
l
a
r
t
e
e
i
n
ve
st
i
g
a
c
i
ó
n
c
i
e
n
t
í
f
i
c
a
Los
S
istemas de Deteccn de
Intrusos ya no son una tecnología
innovadora, sino desde cierto pun-
to de vista, se pueden considerar
relativamente maduros a partir del
momento que numeroso
s
produc-
tores ofrecen soluciones comerciales.
No obstante, los ID
S
requieren una
competencia superior por parte del
personal de administración respecto
Tono Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S
.A.
9
de la identificación de un
intento de ataque hacia una
máquina que no e
s
vulnera-
ble del hecho que el paquete
peligro
s
o podría, por cual-
quier otro motivo, no alcanzar
nunca el si
s
tema de objetivo
s
o más
s
imple de un verdadero
error de detección.
Número de Fal
s
o
s
Negativo
s
(#FN): los falsos negativo
s
s
on
hechos dino
s
que el
s
i
s
tema
no logra identificar. E
s
to ocurre
solamente porque
s
e realiza un
ataque que el
s
i
s
tema no
conoce o porque el ataque e
s
tá
enmascarado de algún modo.
La fragmentación e
s
uno de lo
s
proximarse a un ID
S
.
a otro
s
equipo
s
de
s
eguridad, y unaCa
p
aci
d
a
d
d
e carga: a diferencia de los dos factores indicados an-
puesta en marcha no optimizadateriormente, relacionados con la eficiencia del funcionamiento del
puede generar un número elevado
s
i
s
tema, la capacidad de carga es una medida de la eficiencia. De
de hecho
s
inútile
s
. Una valoraciónhecho, es una valoracn del ximo de carga que el ID
S
puede
incorrecta de la
s
pre
s
tacione
s
nece-
s
o
s
tener manteniendo la capacidad de ejecutar el análisis. En el
saria
s
podría volver al
s
i
s
temacontexto de los sistemas de la red, se puede medir en términos de
incapaz de responder de modobyte/
s
o en rminos de paquetes. Incluso es importante disponer
adecuado. Ades, mucha
s
vece
s
,de ambos valores para tener un estimado total del sistema. En el
esdifícilcomprenderquéhacontexto de los sistemas host based se miden picamente los
ocurrido a partir de la
s
indicacio-recur
s
os sustraídos del ID
S
huésped. Es evidente que un ID
S
host
nes suministrada
s
por el ID
S
.ba
s
ed que sustrae más del 50 % de los recursos de cálculo y/o
Esta
s
problemática
s
delu
s
omemoria disponible al sistema huésped tiene pésimas prestaciones.
tienen un notable impacto prácticoE
s
obvio que en un ámbito estratégico-comercial, la medición relacionada
ademá
s
del económico, lo cualcon lo
s
costos es más importante que aquella de tipo tecnogico.
S
i bien
está fuertemente amplificado en ele
s
te artículo no profundiza en el tema, es bueno observar que el costo
contexto de grande
s
in
s
talacio-a
s
ociado a un ID
S
puede ser considerado como la suma de cuatro
nes. Es importante comprendercontribuciones sustanciales: el costo del hardware necesario, el de las
cómo valorar, de modo apropiado,licencia
s
de software, el de las actualizaciones, y el costo asociado a la
al meno
s
lo
s
a
s
pecto
s
e
s
enciale
s
admini
s
tración del sistema es decir, el costo debido a que el sistema es
que caracterizan un ID
S
paracontrolado por personal especializado.
ejecutar una correcta
s
elecciónDe
s
de el punto de vista científico, al tratarse de una tecnoloa anticuada, es
sobre la tecnología a emplear o,oportuno basarse en un enfoque taxonómico para describir mejor los aspectos
valorar a fondo, cuále
s
s
on la
ss
ignificativos relacionados con un ID
S
. La clasificación adoptada se resiente
ventaja
s
que cierto mecani
s
model hecho de que, históricamente, los primeros ID
S
fueron de tipo network
puede sumini
s
trar con efectividad.ba
s
ed.
S
in embargo, la clasificacn es suficientemente general como
Las tricas más importante
s
parapara adaptarse también a los sistemas de tipo host y a aquellos pensados
valorar un IDS
s
on tre
s
:con preci
s
n para la protección de las infraestructuras.
Número de Falso
s
Po
s
itivo
s
La cla
s
ificación a la que se hace referencia es a la del CID
F
Common
(#FP): un falso po
s
itivo e
s
unInt
r
u
s
ion Detection Framework [9]. Este resultado es uno de los frutos
hecho que el ID
S
con
s
iderade la actividad comenzada por T. Luna en la Information Technology
significativo y que, por elOffice del AR
P
A y desarrollada después como esfuerzo dirigido a definir
contrario, no tiene ningúnuna arquitectura para la interoperabilidad de los ID
S
.
efecto real sobre el
s
i
s
tema.De acuerdo con esta clasificación, un ID
S
está compuesto por 4
Podría derivar
s
e, por ejemplo,elementos esenciales, como se ilustra en la figura 1:
mecani
s
mo
s
clásico
s
para a-
F
i
g
u
r
a
1
A
r
qu
i
t
e
ct
u
r
a
g
e
n
é
ri
c
a
d
e
un
s
i
s
t
e
m
a
I
D
S
10
Tono Revista cnic
a
de l
a
Empres
a
de Telecomunic
a
ciones de Cub
a
S.A.
Š
E-Box:
s
e ocupa de recoger lo
s
hecho
s
relevantes del sistema bajotécnica de individualización de
alisis. E
s
te elemento e
s
el verdadero
s
ensor y realiza la interfazuna o s secuencias bien especi-
con el si
s
tema de modo pa
s
ivo para capturar todas las infor-ficadas y contiguas de símbolos,
macione
s
significativa
s
para el análi
s
i
s
dichas signaturas, en el interior de
Š
A-Box: e
s
el corazón del
s
i
s
tema que efectúa el análisis yun flujo continuo de
s
ímbolos.
e
s
tablece si efectivamente el hecho e
s
un ataque o noTípicamente, los símbolos, en la
Š
D-Box: es el
s
i
s
tema de memorización que tiene por objetivomayoa de los casos, son en
mantener la traza de aquello que ha ocurridoesencia byte, pero también pueden
Š
R-Box: e
s
el
s
i
s
tema de reacción que puede limitarse a emitir unaser caracteres unicode, word de 32
alarma para el per
s
onal de monitoreo o ejecutar automáticamentebit u otros.
una contramedida apropiada al ataque identificadoExisten diferentes modelos for-
De acuerdo con e
s
te e
s
quema, e
s
po
s
ible clasificar un ID
S
sobre la basemales para encuadrar el problema
de los cuatro mecani
s
mo
s
e
s
enciale
s
relacionados con las Box que lodel pattern matching. En la prác-
componen. Por ejemplo, el mecani
s
mo de recogida de los hechos —la E-tica, casi siempre se utilizan las
Box puede ser picamente la red, el único host, un sistema híbridoexpresiones regulares por su inme-
ho
s
t/netwo
r
k o un componente repre
s
entado por un dispositivodiatez de uso y también porque
e
s
pecífico.existen algoritmos óptimos aplica-
Obviamente en lo que re
s
pecta a la metodoloa de análisis, existe lables al caso en que se quiera
diversificación
s
amplia, aunque
s
e pueden individualizar dosseguir una investigación simul-
grande
s
paradigma
s
: Mi
s
u
s
e Detection y Anomaly Detection. En lasnea de numerosas signaturas so-
fa
s
es iniciales de la inve
s
tigacn
s
e destinaron diferentes proyec-bre un único flujo de datos. No
tos universitario
s
para que profundizaran en el uso de una técnicahay que olvidar que, ades de
algorítmica específica. A
s
í, e
s
tán lo
s
ID
S
que trabajan con el mecanismodisponer de un buen sistema para
clásico del patte
r
n matching o
s
i
s
tema
s
que trabajan con la utilizacnel análisis de las reglas, es nece-
de algoritmo
s
de tipo red neural,
s
i
s
tema experto, genético y estadístico.sario poder codificar los rasgos
Los mecani
s
mo
s
de reaccn pueden
s
er de dos tipos: los pasivos, quecaracterísticos de un ataque con
se limitan a enviar un avi
s
o al per
s
onal que se ocupa de la adminis-una signatura específica.
P
or lo
tración, o lo
s
activo
s
que ejecutan, en cambio, alguna contramedida detanto, el uso de un enfoque s
manera automática.
S
i bien la adopción de los mecanismos de reaccnsimple —aunque sea menos po-
activo
s
ha llevado al de
s
arrollo de lo
s
llamados
S
istemas de
P
revencióntente es preferible, en vista de
de Intruso
s
(IPS), no hay que olvidar que un sistema de este tipo corre ella rapidez con la cual es necesario
rie
s
go de convertir
s
e en un arma de doble filo en el caso de que lasescribir una signatura luego de
contramedidas
s
e de
s
aten frente a un fal
s
o positivo que está, por elque el ataque se hace visible.
contrario, a
s
ociado a un paquete correcto que se asemeja aparentementeEn los últimos años, el esfuerzo de
a un paquete peligro
s
o.desarrollo de los ID
S
tradicionales
En lo que respecta al apoyo de memoria en general, se pueden teneren el ámbito open source se ha
si
s
tema
s
que utilizan una infrae
s
tructura clásica fundamentada en unaconcentrado en torno al proyecto
ba
s
e de datos relacional o
s
i
s
tema
s
s
s
ofisticados que, a menudo,
S
nort [11] de M. Roesch que se ha
evolucionan en producto
s
independiente
s
utilizados como verdaderosvuelto con prontitud uno de los
sistema
s
de recogida y correlación, lo
s
cuales agregan hechos pro-instrumentos de referencia de toda
venientes de un número de orígene
s
muy elevado, con frecuencia, muyla comunidad de la ICT security.
diferentes. Los hecho
s
s
on tran
s
formados, primero, en una repre-Comomuchosproyectosopen
sentación normaliza
d
a y, de
s
pué
s
,
s
on confrontados con una serie desource de éxito,
S
nort ha generado
regla
s
escritas en cualquier lenguaje con especificación s o menosuna comunidad muy activa que
formal para evidenciar macroanomalía
s
, comportamientos irregulares ocontinúa el desarrollo del sistema.
cualquier hecho de interé
s
que pueda
s
er descrito sin desaprovechar elAdemás, la posibilidad de disponer
lenguaje
s
umini
s
trado.de un sistema abierto, permite pro-
Sin duda
s
, el enfoque
s
difundido en el ámbito de los sistemas ID
S
bar rápido la eficacia de un nuevo
está repre
s
entado por el u
s
o de
s
i
s
tema
s
de tipo network con una gicaalgoritmo o de un mecanismo de
ba
s
ada en el patte
r
n matching. E
s
te enfoque caracteriza casi todas lasanálisis diferente al usual, lo que
solucione
s
comerciale
s
má
s
difundida
s
ISSNetworkSensor,permite confrontar, de modo in-
SourceFire, Ente
r
a
s
y
s
D
r
agon y muchos sistemas open source yamediato y transparente, el efecto
E
se
n
an
el
n
c
u
a
e
s
v
o
o
e
s
s
(
p
S
e
n
c
o
íf
r
i
t
c
)
o
[
,
1
a
1
l
]
h
o
a
v
b
i
l
e
a
j
r
o
d
s
e
pa
S
t
h
t
a
e
d
r
n
ow
ma
[1
tc
2
h
],
in
N
g
I
,
D
se
[1
e
3
n
]
ti
I
e
D
nd
IO
e
T
po
[
r
5]
u
na
.
en términos de eficacia y eficiencia.
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
11
Uno de lo
s
re
s
ultado
s
s
inte-cito
s
alar un com
p
ortamie
n
to sos
p
ec
h
oso. Los enfoques pueden ser
resantes aparecido
s
durante la
s
u
s
tancialmente reconducidos a dos líneas principales: Characteristic
evolución del proyecto e
s
la opti-Deviation y Statistical Deviation. Un desvío característico ofrece una
mización del algoritmo de patte
r
nmedida cualitativa por ejemplo, de manera general el cliente root no
matching en el contexto e
s
pe-utiliza el servicio ftp mientras una desviación estadística es una
cífico del IDS. Las primera
s
imple-medida cuantitativa observable por ejemplo, el tráfico icmp de la red
mentacione
s
del motor de patte
r
nmonitoreada no supera normalmente el 15 % del tráfico total—.
matching se ba
s
aron en el algo-En relación con la naturaleza de las informaciones necesarias para
ritmo de Boyer-Moore [15]. E
s
teefectuar la medicn, los sistemas de tipo Anomaly Detection pueden
algoritmo es en esencia heurí
s
ticocla
s
ificar
s
e:
que en la mayoría de lo
s
ca
s
o
s
e
s
,
Š
Behavioral Based: se trata de sistemas que miden desviaciones
desde el punto de vi
s
ta computa-de tipo característico en ocasiones integrándolas con algunas
cional,máseficientequeelmedidas estadísticas, los cuales se basan en la creación de un
algoritmo óptimo. El número cre-perfil que caracteriza el comportamiento estándar del objeto
ciente de
s
ignatura
s
ha condu-monitoreado. Generalmente estos sistemas trabajan en dos mo-
cido recientemente a la adopcndalidades distintas: al inicio, durante la fase de adiestramiento
de un algoritmo de Aho-Cora
s
ic(t
r
aining), que muestra el objeto monitoreado para definir el
[16] que está creado para elcomportamiento admisible. Es esencial que el sistema en esta fase
análisi
s
simulneo de numero
s
a
ss
e proteja de cualquier ataque. En una segunda fase aprovecha lo
signatura
s
de una sola vez.que ha recogido y eventualmente reajustado de modo opor-
El enfoque apoyado en el u
s
o detuno para identificar las desviaciones de la norma. La tecnología
modelos formale
s
de
s
crito
s
por
s
ubyacente a tales sistemas está picamente basada en redes
medio de regla
s
o por medioneurales, sistemas fuzzy o emulación del sistema inmunitario.
de modelo
s
ba
s
ado
s
en la
s
tran
s
i-
Š
Tr
affic Pattern: se trata de sistemas muy típicos en el ámbito de
cione
s
de e
s
tado e
s
tá carac-netwo
r
k/infraestructura. Trabajan mayormente aprovechando mo-
terizado por un discreto éxito en eldelo
s
estadísticos, que valoran la distribución temporal y espacial
ámbito académico.
P
ero
s
e hadel tráfico, al extrapolar las características significativas por
encontrado con la dificultad prác-ejemplo, número de conexiones por unidad de tiempo, mero de
tica de codificar lo
s
ataque
s
apaquetes intercambiados, etc.. Este prototipo de sistema halla su
través de lo
s
in
s
trumento
s
s
umi-ámbito aplicativo natural al detectar los ataques de tipo DDo
S
nistrado
s
. En particular
S
TAT [17]Di
s
t
r
ibuted Denial of Services que buscan agotar los recursos
[18] de la Universidad de Califor-di
s
ponibles al convoyar de modo coordinado un enorme número de
nia de S. Bárbara e
s
uno de lo
ss
olicitudes hacia los sistemas a atacar. Los perfiles de tfico,
ejemplo
s
s intere
s
ante
s
:
s
edurante estas condiciones particulares, difieren sensiblemente de
aprovecha una de
s
cripcn ab
s
-la
s
s
ituaciones estándares.
P
or lo tanto, es posible identifica
r
el
tracta del si
s
tema en término
s
decomportamiento anómalo desde los primeros instantes.
modelo reducido del e
s
tado y
s
eEl paradigma de la llamada Inmunología Computacional es uno de los
busca configurar lo
s
ataque
s
alenfoque
s
que ha tenido mayor éxito en el ámbito de la investigacn
sistema como conjunto de tran
s
-
s
obre lo
s
ID
S
de tipo Anomaly Detection. La inspiración de matriz
misiones sobre dicho modelo.biogica es tan precisa que los sistemas biogicos están en
Si bien el enfoque
s
obre la ba
s
econdiciones de reconocer una cantidad de ataques, incluso,
s
i son
del paradigma del Mi
s
u
s
e Detec-de
s
de el punto de vista estructural muy diferentes, y de emitir una
tion resulta predominante, exi
s
tenre
s
pue
s
ta adecuada por medio del sistema inmunitario. El funciona-
sin embargo,
s
istema
s
implemen-miento real del sistema inmunitario de un organismo superior e
s
muy
tados con la gica del Anomalycomplejo al estar en posicn de reconocer un ata
qu
e obvio en la
Detection que vale la pena citar. Irconfrontación con el mismo la reacción está dirigida y casi siempre es
a la investigación de anomalía
s
eneficaz o bien identificar ataques desconocidos sobre la base de un
el si
s
tema de monitoreo requieremecani
s
mo que es similar al nivel de paradigma del Anomaly Detection.
medir una variación de algunaLa idea de aplicar los principios que gobiernan el sistema inmunitario
propiedad del objeto bajo examen.natural a la protección de los sistemas delculo, fue expuesta en elo
Es nece
s
ario tener una indicación1994 por el grupo de investigacn de
S
.
F
orrest de la Universidad de
medible de aquello que
s
e tieneNuevo
M
éxico [19], [20]. El objetivo del proyecto es construir un sistema
por comportamie
n
to a
d
mi
s
i
b
le yinmunitario artificial para las computadoras [21]. Los ID
S
realizados en el
un umbral má
s
allá del cual e
s
ámbito del proyecto cubren prácticamente todos los contexto
s
apli-
12
Tono Revista cnic
a
de l
a
Empres
a
de Telecomunic
a
ciones de Cub
a
S.A.
D
e
l
a
t
e
c
n
o
l
o
g
í
a
a
l
p
r
o
d
u
c
t
o
:
I
n
t
r
a
n
e
t
y
B
a
c
k
b
o
n
e
I
DS
Desde finales de lo
s
año
s
noventa, mucha
s
de las soluciones elaboradas,
en el ámbito militar o en el acamico, comenzaron a implementarse
directamente en contexto
s
comerciale
s
s
iguiendo la lógica s clásica de
cativo
s
tradicionale
s
: Application Ba
s
ed, U
s
er Based, Host Based y Net-los productos de seguridad. La
wo
r
k Ba
s
ed. El principio común implementado por tales sistemas estánecesidad de ofrecer un producto
nombrado Negative Selection, un algoritmo que realiza la distinción entrecompleto requiere considerar otros
aquello que e
s
legítimo cliente
s
, accione
s
sobre el sistema operativo,aspectos que no están unidos a la
conexione
s
de red y aquello que no lo e
s
.problemática de la deteccn en
El enfoque ba
s
ado en el Anomaly Detection de tipo
T
raffic Pattern essentido estrecho. En cualquier caso,
dominante en el contexto de la
s
eguridad del backbone. En ese sector lael paso del laboratorio al ambiente
investigación e
s
tá mucho meno
s
de
s
arrollada respecto al contexto sde aplicacn evidencia muchos
típico de la detección de intru
s
o
s
y lo
s
problemas que han sido másproblemas y, tambn, algunos lími-
e
s
tudiados
s
on fundamentalmente do
s
: por una parte, la tentativa detes estructurales de las soluciones
individualizar y bloquear lo
s
DDo
S
que
s
e realiza con técnicas esta-identificadas en el contexto de la
dí
s
tica
s
; y por otra, el análi
s
i
s
centrado en los protocolos de encami-investigación.
namiento. Con la funcn de di
s
tribuir la
s
informaciones relacionadas conLa solucn s difundida en el
la topología de la red, lo
s
protocolo
s
de encaminamiento permiten enviarámbito ID
S
está representada por
correctamente lo
s
paquete
s
hacia el de
s
tino final. En ausencia deun sensor de tipo network-based
informaciones de encaminamiento exacta
s
o en presencia de informacionesque trabaja esencialmente con un
fal
s
as, la transmi
s
n de lo
s
paquete
s
a travé
s
de la red resulta ineficiente oparadigma de detección de me-
imposible. E
s
te hecho e
s
problemático por cuanto un eventual ataque a ladidas, en particular con una gica
infrae
s
tructura de encaminamiento que regula el funcionamiento normalde tipo pattern matching. Todos
del backbone, podría tener con
s
ecuencia
s
muy graves pues el ataquelos productos comerciales más
tendría efectos
s
erio
s
también
s
obre la
s
otras redes interconectadas alimportantesI
SSP
roventia
TM
,
backbone, que
s
e encontrarían en parte o completamente aisladas del
S
ourcefire
TM
, Dragon Enerasys
TM
o
resto de la red.
S
ymantec Manhunt
TM
implemen-
El estado del arte en e
s
te campo no ve emerger por el momento unatan este tipo de lógica. Y luego la
solución de referencia, inclu
s
o,
s
i de
s
de hace un tiempo los proveedoresapoyanconvariastecnologías
de soluciones de
s
eguridad han di
s
pue
s
to algunas soluciones que seespecíficas que intentan reducir la
proponen responder al problema de la
s
eguridad del backbone. Estasincidencia de los falsos positivos y
soluciones, en teoría,
s
e proponen trabajar no sólo a nivel protocolarde los falsos negativos.
típico de los end-point del tran
s
porte hacia delante—, sino tambn aEl problema de los falsos ne-
nivel de internetwo
r
king —e
s
encialmente en el nivel 3. En la práctica,gativos es el más dramático en el
muchas de la
s
s
olucione
s
di
s
ponible
s
no intervienen, de manera activa, alcontexto de los ID
S
. Un falso
actuar en interfa
s
e con lo
s
s
i
s
tema
s
de encaminamiento utilizados en elnegativo está, a menudo, asociado
contexto a controlar, por el contrario, utilizan informaciones derivadas dea la posibilidad de modificar de
lo
s
equipo
s
mediante la técnica e
s
ndar —retiro de variables
S
NM
P
demodo más o menos arbitrario la
la
s
MIB dedicada
s
a lo
s
a
s
pecto
s
de encaminamiento u otros recursosforma del ataque sin variar la
de información (NetFlow). El enfoque clá
s
ico de la Network Intrusion De-sustancia. Una clase entera de
tection es difícil de aplicar en e
s
te contexto de
s
de el momento que el uso delataques basados en esta proble-
pattern matching no permite identificar de inmediato una condición demática está representada por el
funcionamiento anómala. En la actualidad, algunos productores específicosuso de la técnica de fragmen-
—en particular Arbor Network y Riverhead ofrecen soluciones puntualestación. De hecho, la descompac-
para determinado
s
problema
s
, por ejemplo, el contraste de los ataques Dis-tación en paquetes s pequeños
tributed-DoS, mientra
s
que lo
s
mayore
s
productores en específico Ciscodel payload aplicativo que con-
y Juniper de
s
arrollan intere
s
ante
s
iniciativas de investigación ytiene el ataque, impide al sistema
desarrollo.de pattern matching funcionar de
Con el discurso
s
obre el backbone, concluye la panorámica acerca delmodo eficaz. Un enfoque más sutil
e
s
tado del arte.
S
e ha con
s
iderado oportuno limitar la descripción a lasconsiste en el envío de fragmentos
solucione
s
que re
s
ultan
s
intere
s
ante
s
. El panorama ofrecido debe serque se sobreponen en parte. Des-
suficiente para enmarcar lo
s
a
s
pecto
s
relevantes de las tecnologías sde el momento que el criterio con
difundida
s
relacionada
s
con el contexto de deteccn de intrusos.que vienen tratados fragmentos
sobrepuestos, de manera parcial,
no es unívoco, es posible que el
sensor y el sistema blanco vean
dos contenidos diferentes y, por
lo tanto, el efecto neto es aquel de
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
13
una errata de interpretación de logenerar,
s
obre todo, cuando no esn bien configurados. También, en
que está ocurriendo. La figura 2e
s
te ca
s
o, las técnicas de análisis del protocolo pueden reducir bastante
muestra gráficamente un ejemplo delo
s
fal
s
o
s
positivos, con la eliminación de todas aquellas alarmas que
lo que puede ocurrir en e
s
te ca
s
o.corre
s
ponden a situaciones que no son efectivamente admisibles.
P
or
Otra cla
s
e de ataque
s
s
iempreejemplo, un paquete sospechoso en una conexión TC
P
que, sin embargo,
basados en el mi
s
mo paradigmano ha completado el 3-way handshake evidencia una falsa alarma. El
está representada por la llamadapaquete no será procesado jamás por el nivel aplicativo y, en conse-
denormalización. Alguno
s
pro-cuencia, está destinado al fracaso.
tocolo
s
soportan di
s
tinta
s
forma
s
El problema de la administración de los falsos positivos ha sido enfrentado
decodificación por el contenidode vario
s
modos por los diferentes productores. En muchos ca
s
os, la
aplicativo. Con el aprovechamien-tendencia es ir a sistemas multiniveles que relacionen las informaciones
to de las codificacione
s
alternati-generadas por el ID
S
con las obtenidas de otras fuentes, picamente
vas es po
s
ible rodear la
s
ignatu
r
a
s
i
s
tema
s
de escaneo de la vulnerabilidad o, en general, otros sistemas que
específica por un ataque. Ade
s
permiten ejecutar una valoración de los sistemas que se pretenden proteger.
es impo
s
ible insertar la
s
forma
s
En el contexto backbone, los enfoques s comunes son los de tipo
diferentes con que puede
s
er codi-Anomaly Detection, las tecnologías s importantes son aquellas
relacionadas con el análisis estadístico del tráfico. El problema esencial en
la detección de los ataques de denegación del servicio está caracte
r
izado
por la dificultad de distinguir situaciones de carga elevada debido a una
condición específica de servicio —por ejemplo, se piensa en lo que ocurre
cuando
s
e busca adquirir una entrada para un gran concierto y el intervalo
temporal para ejecutar el pedido es muy pequeño: el número enorme de
pedido
s
en un reducido espacio de tiempo se asemeja grandemente a un
S
Y
N-flood distribuido.
Uno de los problemas fundamentales en este ámbito está representado
por la necesidad de recoger un número de informaciones relevantes para
lo
s
flujos. Es evidente que si cada aparato de red exporta estas
informaciones de modo propietario, se torna mucho más complejo hacer
funcionar cualquier sistema de monitoreo que es uno de los com-
ponente
s
esenciales de cualquier arquitectura tendente a resolver este
tipo de problemas. El IET
F
se ha dirigido en esta direccn y ha hecho
s
uya una específica de Cisco, denominada NetFlow [23], que permite a
vario
s
administradores de red obtener, en un formato estándar,
informaciones sobre los flujos de datos que atraviesan la red. NetFlow
nace, en principio, para apoyar la actividad de recogida de datos de
tfico y tarifarla.
P
ero, las informaciones que esto genera pueden ser
u
s
ada
s
de modo natural para el análisis de los problemas de seguridad.
Hoy, la mayor parte de los aparatos —Enterasys,
F
oundry Networks, Ex-
treme Networks, Juniper, Riverstone, InMon Networks integran este
protocolo. Además existen varias aplicaciones capaces de interpretar y
analizar estas informaciones.
P
ueden citarse
P
eakflow
TM
creado por Ar-
bor Networks y Ntop, un producto open-source desarrollado en el centro
S
ERRA de la Universidad de
P
isa. Net
F
low es capaz de capturar un buen
conjunto de datos estadísticos, los cuales incluyen entre otras el protocolo,
lo
s
puertos, el tipo de servicio que combinado suministran, como se ha
dicho, una base informativa útil para una vasta gama de servicios.
La entidad medida por Net
F
low y el fl
u
jo, identificado como un
conjunto de paquetes entre una fuente y un destino, son reconocidos
por lo
s
campos: Source IP Address, Destination IP Address, Source
Po
r
t Number, Destination Port Number, Protocol
T
ype,
T
ype of Service
e Input Interface.
La
s
informaciones generadas por Net
F
low son transmitidas a través de
paquete
s
UD
P
, el protocolo ha sufrido varias evoluciones —hoy la
ficado un ataque. Claramente el
enfoque ideal consi
s
te en reportar
el contenido del paquete en una
forma e
s
tándar ante
s
de ejecutar el
patte
r
n matching.
Con el propósito de no prolongar
demasiado la de
s
cripción,
s
e
s
u-
giere el trabajo de
P
tacek et al [22]
para profundizar en lo
s
ataque
s
que
s
on posible
s
hacia un ID
S
.
Hoy la mayor parte de lo
s
s
i
s
tema
s
comerciale
s
utiliza la técnica de
análi
s
is del protocolo para admi-
nistrar lo
s
problema
s
relacionado
s
con la fragmentacn, denorma-
lizacn y ofu
s
camiento. E
s
ta
s
técnicas no
s
on innovadora
s
,
s
in
embargo, el e
s
fuerzo requerido
para realizar un
s
istema robu
s
to y
eficiente es notable, y puede
s
er
afrontado sólo en
s
i
s
tema
s
que
sean admini
s
trados con la lógica
del producto.
Otro problema tradicional de lo
s
IDS e
s
el enorme número de alarma
s
que estos dispositivo
s
tienden a
F
i
g
u
r
a
2
E
l
p
r
ob
l
e
m
a
d
e
l
a
r
e
c
on
s
-
t
r
u
cc
i
ón
d
e
l
p
a
y
l
o
a
d
a
p
a
r
t
ir
d
e
f
r
a
g
m
e
n
t
o
s
s
ob
r
e
pu
e
s
t
o
s
14
Tono Revista cnic
a
de l
a
Empres
a
de Telecomunic
a
ciones de Cub
a
S.A.
L
a
a
c
t
i
v
i
d
a
d
de
I
n
ve
st
i
g
a
c
i
ó
n
y
D
e
s
a
rr
o
ll
o
e
n
T
I
L
A
B
A partir del o 2003, han
s
ido
ejecutado
s
en Telecom Italia Lab
una
s
erie de proyecto
s
s
obre el tema
de la detección de intru
s
o
s
. La
motivacn principal e
s
tá vincu-
lada al hecho de que la
s
s
olucione
s
propuestas por el mercado, ademá
s
de ser económicamente onero
s
a
s
,
no
s
on
s
iempre adaptada
s
, de modo
funcional, a un contexto hetero-
géneo como aquel que caracteriza a
un gran operador de telecomunica-
cione
s
que requiere una enorme
flexibilidad para operar en vario
s
segmentos de red de la conectivi-
dad de la red de banda ancha para
clientes doméstico
s
ha
s
ta el back-
bone.
La actividad de inve
s
tigación
s
e
ha articulado en tre
s
proyecto
s
. El
proyecto EAGLE
s
e ha centrado en
la ideación y la creación del
prototipo de nueva
s
tecnología
s
que podrían
s
er utilizada
s
en el
ámbito s tradicional con e
s
pe-
cial atención a lo
s
a
s
pecto
s
de
flexibilidad y e
s
calabilidad men-
cionados anteriormente. El pro-
yecto RDS Routing Detection
Security
s
e ha centrado en la
s
probletica
s
relacionada
s
con la
red de backbone, tiene énfa
s
i
s
en
losataquesque
s
onpo
s
ible
s
sobre la infrae
s
tructura, en par-
ticular, a los protocolo
s
de enca-
minamiento. En re
s
umen, en el
ámbito del proyecto dedicado a la
seguridad de la
s
rede
s
inalám-
bricas —con especial énfa
s
i
s
en el
mundo IEEE 802.11 y Wi
F
i
s
e ha
logías de mayor interé
s
en e
s
te
ámbito e
s
n repre
s
entada
s
por
Riverhead y Arbor Network
s
.
inve
s
tigación son notables y pue-
den
s
er resumidos del siguiente
modo:
Š
Š
Pate
n
tes: toda la actividad
ha conducido al pedido de
s
ei
s
patentes centradas en la
tecnoloa tipo network, dos
pedidos de patentes centra-
do
s
en la tecnología host,
uno centrado en el contexto
Wi
F
i y otro de patente para el
contexto backbone.
Š
Š
Prototi
p
os: cada proyecto
individual ha producido uno o
má
s
prototipos, en particular
e
s
tá disponible una solucn
que funciona para el sistema
network-ID
S
. Asimismo, se
han integrado al sistema dos
componentesdeprototipos
relacionados con el contexto
Wi
F
i. El sistema host-ID
S
, por
el contrario, está disponible
únicamente en estado de pro-
totipo avanzado y sólo para la
plataforma Linux. En lo que
re
s
pecta al ámbito backbone,
e
s
n listas las sondas para el
protocolo O
SPF
y para el pro-
tocolo BG
P
, además de un
s
i
s
tema definido para la reco-
gida y la elaboracn de las
informacionesalmacenadas
por las sondas.
Š
Lí
n
eas
d
e có
d
igos glo
b
ales:
por cuanto esta cuantificación
puede quedar imprecisa al
de
s
cribir la complejidad efec-
tiva de los sistemas que se han
realizado, no obstante, resulta
útil suministrar al menos una
indicación de máxima sobre su
dimensión c
u
a
n
titativa. Exis-
ten cerca de 150 000 líneas de
códigos para el sensor de tipo
red —más 2 000 para el soporte
Wi
F
i, 20 000 neas para el
versn utilizada e
s
la 5. Ladi
s
puesto estudiar y hacer unsistema de tipo host-based y
modificacn má
s
importante e
s
táprototipo de los componentes de-otras 20 000 para los si
s
temas
representada por la introducciónfinidos para este entorno, que, node tipo backbone.
de las informacione
s
relativa
s
alob
s
tante, podrían ser integradosA continuación se de
s
criben
protocolo de encaminamiento BG
P
en un sistema tradicional de tipobrevemente las caracte
r
ísticas
y a la
s
sequence numbe
rs
. A unnetwork.más importantes de cada una
nivel
s
aplicativo, la
s
tecno-Lo
s
resultados de la actividad dede las soluciones.
E
l
s
e
n
s
o
r
N
e
t
w
o
r
k
-
I
DS
:
n
E
A
G
L
E
T
M
nEAGLE
TM
es la solución network-
ID
S
desarrollada en el ámbito del
proyecto honimo (
F
igura 3). El
sistema está basado en la tecno-
logía estado del arte en lo que
respecta al pattern matching. Junto
con esta tecnoloa implementa
tambn tres mecanismos inno-
vadores en trámite de pedido de
patente descritos a continua-
cn:
Š
ElBidirectionalRule
Matching (BRM) es un meca-
nismo que analiza la res-
puesta del servidor después
de que un paquete ha sido
identificado como peligroso.
La respuesta, a menudo, per-
mite determinar si el ataque
ha tenido éxito o no. De este
modo, el número de falsos
positivos se reduce drásti-
camente trabajando a nivel
del sensor. También, mien-
tras las reglas que describen
F
i
g
u
r
a
3
n
E
A
G
L
E
TM
:
e
s
qu
e
m
a
d
e
l
a
a
r
qu
i
t
e
ct
u
r
a
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
15
enfoques: el pipeline o la di
s
tribución de la carga sobre un único
CPU. nEAGLE
TM
aprovecha el enfoque del load balancing, y
lo
s
ataques requieren de actualizacn continua, las reglas denEAGLE
TM
soportaasimismoun
respue
s
ta
s
on relativamente e
s
table
s
y e
s
tán relacionadas con lasmecanismo para la detección de los
característica
s
del protocolo aplicativo. Un ejemplo de uso delataques específicos para redes Wi
F
i.
BRM: el éxito de un ataque directo a un servidor Web, queEste mecanismo está en grado de detec-
aprovecha la vulnerabilidad de un
s
c
r
ipt determinado instalado portar ataques llevados al nivel físico y
defecto, puede
s
er deducido con cierto grado de precisión por ladatalink del snack TC
P
/I
P
como los Au-
re
s
pue
s
ta del servidor
s
i, de hecho, el
s
ervidor responde con unthentication-Deauthentication,
código de error 400 por ejemplo Acce
ss
Forbidden u Object notFrame-Flooding, Association-Disasso-
Found e
s
extremadamente probable que el ataque no sea efec-ciation-Reassociation, Request-Flood-
tivo. Un re
s
ultado de tipo 200 (OK)
s
eguido de paquetes queing. Además de estos mecanismos, la
contienen elemento
s
pico
s
de una interaccn basada en unaactividad de investigación y desarrollo
command-line
s
hell, e
s
una indicación clara de que el ataque haha llevado a la realización de una
tenido éxito. Por
s
upue
s
to, e
s
te e
s
cenario no tiene como objetivofuncionalidad concreta —cubie
r
ta ac-
presentar de modo exhau
s
tivo y profundo el BRM, sino ofrecer unatualmente por pedidos de patentes.
idea demo funciona e
s
to en la práctica.Está orientada a la reducción de los
Š
El Dynami
s
Auto
T
uning (DAT) permite al sensor adaptar el juegofalsos positivos y a la individuali-
de regla
s
a la configuración de la red. De e
s
te modo, el sistema estázación de los ataques o tentativas
en grado de identificar autoticamente la presencia de unde violacn del mecanismo de
servicio/protocolo por ejemplo HTT
P
,
F
T
P
, Telnet en puertosautenticación para redes Wi
F
i IEEE
no e
s
ndares. E
s
to permite reducir lo
s
fal
s
os negativos debidos a802.1xporejemplo,THC-
ataque
s
no detectado
s
porque
s
e han dirigido hacia el servidorLeapCracker [25], A
S
LEA
P
[26],
conectados en puerto
s
no e
s
tándare
s
. El DAT utiliza reglas de tipo4Way Handshake
S
tart Dos [27].
pattern matching o de p
r
otocol analy
s
i
s
para identificar en unTal funcionalidad está basada en la
flujo de paquete
s
bien definido
s
la pre
s
encia de los elementoscorrelacn de las informaciones
distintivo
s
de un protocolo aplicativo e
s
pecífico.
F
rente a talintercambiadas en la red Wi
F
i con
situación, el DAT reconfigura de manera automática el sensor, paralas informaciones recibidas de los
que toda
s
la
s
regla
s
utilizada
s
por el protocolo específico sean deelementos de red como Access-
otro modo adoptada
s
por aquella conexión específica.Point y servidor de autenticación
Š
El
s
oporte para multiproce
s
ador
s
imétrico es un sistema de—por ejemplo RADIU
S
que rea-
network-IDS que funciona analizando lo
s
paquetes.
P
ara lograrliza la red Wi
F
i.
extraer ventaja
s
de la pre
s
encia de
s
C
P
U son posibles dosnEAGLE
TM
ha sido verificada en
laboratorio donde se han obtenido
prestaciones verdaderamente no-
reparte entre lo
s
C
P
U di
s
ponible
s
la actividad de deteccn de lostables hasta en un orden de
ataques. El algoritmo de
s
cheduling que
s
elecciona la actividadtamaño superior en relación con
determinada a ejecutar
s
obre cada C
P
U e
s
de tipo applicationaquellas basadas en la tecnología
ba
s
ed, a diferencia de la mayor parte de los enfoques estándaresactualmente disponible sob
r
e los
que, por el contrario,
s
on de tipo ke
r
nel based y no pueden, ensistemas hardware de bajo costo.
modo alguno, aprovechar el conocimiento del dominio aplicativoEn lo referido a la eficacia falsos
para pilotar las deci
s
ione
s
del
s
cheduling. Este enfoque permitepositivos y falsos negativos,
obtener prestacione
s
muy
s
uperiore
s
s
obre los sistemas
S
M
P
nEAGLE
TM
ha demostrado ser extre-
re
s
pecto a aquella
s
que
s
e obtendrían con sistemas tradicionalesmadamente lida, ya sea durante
sin tener que recurrir a algún load balance
r
separado.las pruebas de laboratorio o durante
Además de la adopción de tecnología
s
e
s
pecíficas innovadoras, ella actividad de field trial. En par-
sistema completo ha
s
ido
s
ometido a una programacn, centrada en laticular, nEAGLE
TM
está apta para
reducción notable del elevado computacional asociado a la captura deadministrar un número de paquetes
los paquete
s
. Con la utilizacn de un
s
i
s
tema ad hoc realizado por mediosuperiores a un orden de magnitud
de un device-d
r
ive
r
per
s
onalizado,
s
e pueden evitar desde la raíz losrespecto a soluciones convencio-
problemas del livelock [24] y aprovechar do
s
enfoques clásicos de lanales sobre hardware bajo costo
teoría de los si
s
tema
s
operativo
s
: implementación de canales deen condiciones de sobrecarga
comunicación entre device-d
r
ive
r
y u
s
e
r
s
pace que sean 0-copy y lacon un aumento de la banda media
admini
s
tración del di
s
po
s
itivo de red a poling en vez de con lasadministrada de 5 Mbits/s acerca
interrupciones.de 34 Mbits/s. En relacn con el
contexto high end, al aprovechar
16
Tono Revista cnic
a
de l
a
Empres
a
de Telecomunic
a
ciones de Cub
a
S.A.
E
l
s
e
n
s
o
r
H
I
DS
:
S
P
I
D
T
M
La sonda del si
s
tema
SP
ID Sy
s
-
tem Photo Intru
s
ion Detection
(Figura 4) utiliza un enfoque
innovador basado en el paradigma
del Anomaly Detection para iden-
tificar lo
s
ataque
s
.
La mefora en la que
s
e ba
s
a
está bien descrita por el nombre
que lo distingue. De hecho,
SP
ID
ejecuta una serie de fotografía
s
instannea
s
del
s
i
s
tema centrán-
do
s
e en lo
s
elemento
s
de u
s
o de
las diferentes fuente
s
di
s
ponible
s
un
s
istema SM
P
de do
s
C
P
U,ge la
s
informaciones que caracterizan el uso normal de host. Al final del
nEAGLE logra admini
s
trar con de-adie
s
tramiento, la base de conocimiento obtenida de ese modo es
tenimiento una banda del orden denormalizada. En otras palabras, se identifican todos los intervalos
Gbits/
s
.típico
s
de variabilidad del sistema, por ejemplo, la utilizacn de files
temporales o eventuales periodicidades con las que se utilizan apli-
caciones concretas. Estas informaciones extrapoladas de los datos
ob
s
ervables, se incluyen en los datos que luego serán usados durante la
s
egunda fase del funcionamiento (análisis). En esta fase
SP
ID confronta
el e
s
tado del sistema con las informaciones de la base de conocimiento.
S
i
s
e detecta una anomalía, se emite una señal. Un sistema oportuno de
recogida y agregacn de estas salizaciones se ocupa de codificar en
una alarma verdadera la anomalía detectada por los componentes
individuales que lo constituyen.
SP
ID está constituido por un sistema de componentes organizados
s
obre la base de una arquitectura de tres estratos. El estrato más bajo se
ocupa de la adquisición de las informaciones del sistema operativo. La
técnica adoptada por
SP
ID es aquella de intercepción de los sistemas de
alerta
s
. A diferencia de otros sistemas en que se interceptan indis-
tintamente todos los sistemas de alertas para suministrar un modelo que
caracterice la ejecución de un dato proceso,
SP
ID se limita a interceptar
s
i
s
temas de alertas que implican directamente una fuente del sistema
operativo en particular: file, socket, device-driver, procesos, iden-
tificación del cliente. De este sistema de alertas se registran los
parámetros y el proceso que ha ejecutado la solicitud. Con su empleo, el
s
egundo estrato está en grado de construir un modelo analógico
reducido del sistema; en la práctica este estrato tiene dos objetivos:
traducir el sistema de alertas determinado en una solicitud ab
s
tracta de
utilización de recurso del sistema operativo y ofrecer al estrato superior
una vi
s
ión abstracta de aquello que es el estado instantáneo del sistema
monitoreado. El último estrato es el más complejo y se ocupa de recoger
y controlar los esquemas con los que se usan varios recursos. Debido a
que cada recurso tiene su especificidad, se han implementado diferentes
módulos cada uno con una gica:
Š
U
s
er
T
able: muestra las relaciones de tipo cliente/aplicativo/file,
s
uministra una vista global del comportamiento del sistema
recogido directamente a partir del modelo analógico reducido
pre
s
ente en el segundo estrato. El módulo tiene trazas de todas las
fuentes que son utilizadas en el curso del funcionamiento del
s
i
s
tema. Además, por medio de contadores adecuados se mide
tambn el número total de instancias de un objeto. Cada vez que
aparece un objeto nuevo que no se había visto por el sistema
durante la fase de adiestramiento, o bien cada vez que uno de los
contadores excede el mite requerido por la fase de adiestramiento,
s
e emite una señal.
Š
P
r
ocess
T
ree: traza las relaciones de uso entre las aplicaciones. Es
decir, se trata de comprender qué aplicaciones pueden ser eje-
cutadas a partir de una aplicación dada. La relación en forma de árbol
e
s
muy útil para capturar aquellos casos en que por efecto de un
overflow se crea una shell abusiva en el contexto de un servidor de
red.
Š
Network: este módulo tiene trazas de las conexiones de red que
identifican las aplicaciones que desempeñan el papel de clientes y/
o
s
ervidor, los puertos sobre los cuales operan y las caracterís-
tica
s
estadísticas de la duración de las conexiones.
en el único ho
s
t.
P
or ejemplo,
s
e
monitorean la
s
relacione
s
pa
r
ent/
child exi
s
tentes entre todo
s
lo
s
proce
s
os activo
s
, la
s
relacione
s
entre lo
s
cliente
s
, aplicacione
s
y
file
s
, aquella
s
entre la
s
aplica-
ciones y conexione
s
de red, etc.
Cada aspecto específico del
s
i
s
te-
ma es analizado por un componente
ad hoc de la base de conocimiento.
Como todos lo
s
s
i
s
tema
s
de tipo
Anomaly Detection,
SP
ID trabaja
en do
s
fases. En la primera fa
s
e
(adiestramiento), el
s
i
s
tema reco-
F
i
g
u
r
a
4
A
r
qu
i
t
e
ct
u
r
a
e
s
e
n
c
i
a
l
d
e
un
a
s
ond
a
S
P
I
D
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
17
cancelación de file
s
que e
s
n
todavía abiertos o el exce
s
ivo
mero de vínculo
s
s
imbóli-
co
s
asociado
s
a un file. Tam-
bn, en este ca
s
o, el u
s
o de
lo
s
contadores y la aplicación
del procedimiento de normali-
zación permiten di
s
criminar la
s
acciones admisible
s
de aque-
lla
s
que no lo son.
SPID ha sido verificado en labo-
ratorio sobre alguno
s
s
ervidore
s
específicos de la red interna.
P
or el
momento e
s
con
s
iderado un
s
i
s
te-
ma incompleto. Lo
s
re
s
ultado
s
obtenido
s
durante la experimen-
tación son positivo
s
. En e
s
pecial
SPID parece inmune a alguno
s
ata-
ques que, por el contrario, carac-
terizan a otro
s
s
i
s
tema
s
ba
s
ado
s
en la
syscall interception y en el para-
digma de Anomaly Detection.
Š
File Sy
s
tem: e
s
te duloLa arquitectura del sistema (
F
igura 5) prevé que las sonda
s
sean
tiene traza
s
de toda
s
la
s
mo-intru
s
a
s
en grado mínimo; pero en condiciones de recibir todas las
dificacione
s
del
s
i
s
tema, eninformaciones de encaminamiento. El sistema, en su conjunto, está
particular,puededetectarcaracterizado por una estructura jerquica en la cual las operaciones de
mount/unmount no correcto
s
,deteccn esn segmentadas en varios niveles en funcn de la
la creación o la cancelación decomplejidad y de la necesidad de entrada proveniente de otros compo-
un elevado número de file
s
, lanente
s
. La confiabilidad, que en el contexto del backbone es una
El proyecto RDS Routing De-caracterí
s
tica irrenunciable, está garantizada por la presencia de s
tection Sy
s
tem e
s
creado con elelementos redundantes no lo a nivel de las sondas, sino tambn de
objetivo de realizar un
S
i
s
tema deotro
s
componentes.
P
articular atención tiene la estructura de varios
Deteccn de Intru
s
o
s
dedicadomódulo
s
del sistema que presentan una configuración, la cual facilita la
por completo al análi
s
i
s
de lo
s
realización e integración de nuevas gicas de detección y nuevas
ataque
s
dirigidos al protocolo detipologías de sondas para protocolos no consideradas aún en el si
s
tema.
encaminamiento. Una de
s
u
s
carac-El
s
i
s
tema consta de dos niveles conceptuales: las sondas que son
terística
s
e
s
enciale
s
e
s
s
u capaci-objeto
s
especializados capaces de hacer interfase según dife
r
entes
dad de adaptacn al ambiente demodalidades con los procesos de encaminamiento, y el llamado Data
uso recogiendo de modo diferente,Ba
s
e Ring que es un sistema de alta confiabilidad que recibe las
según el protocolo de encamina-informaciones de las sondas, las procesa sen lógicas codificadas y
mientomonitoreado, toda
s
la
s
memoriza los datos obtenidos en una base de datos. Un ataque al
informacione
s
que determinan el
s
i
s
tema de encaminamiento puede provocar la
d
esa
p
arició
n
momennea
comportamiento de la red. Tal en-de algunas zonas de red a monitorearse; la estructura de anillo garantiza
foque permite identificar de modoque, incluso en condiciones críticas, el sistema pueda continuar su
preventivo, al verificar
s
e, hecho
s
funcionamiento correcto. La presencia de más elementos capaces de
específico
s
que pueden e
s
tar a
s
o-recoger las informaciones, permite tambn subdividir la carga de t
r
abajo
ciado
s
a mal funcionamiento o ay garantizar, de este modo, un buen nivel de escalabilidad. Obviamente,
verdadero
s
ataque
s
que, directa oel operador puede interrogar la base de datos a través de una interfase
indirectamente, provocan el malc
s
ica GUI. Hoy RD
S
es capaz de funcionar con dos protocolos de
funcionamiento de la infrae
s
truc-encaminamiento: O
SPF
Open Shortest Path First y BG
P
Border
tura.Gateway Protocol descritos a continuación:
L
a
T
e
c
n
o
l
o
g
í
a
R
DS
F
i
g
u
r
a
5
A
r
qu
i
t
e
ct
u
r
a
e
s
e
n
c
i
a
l
d
e
l
s
i
s
t
e
m
a
R
D
S
18
Tono Revista cnic
a
de l
a
Empres
a
de Telecomunic
a
ciones de Cub
a
S.A.
Š
la sonda y lo
s
aparato
s
de red
s
e realiza mediante una sesn de
pee
r
ing BGP. La
s
onda e
s
capaz de trabajar en configuracn iBG
P
por cuanto permite tran
s
portar información de encaminamiento con
un nivel de detalle
s
uperior. En e
s
te caso no se ejecutan varia-
cione
s
s
obre el campo Next Hop de lo
s
mensajes BG
P
y, también, se
utiliza el campo Local
P
referente. Al mi
s
mo tiempo, en detalle, la
s
onda e
s
capaz de ejecutar mucho
s
controles entre los que esn:
-Detección de un exce
s
ivo intercambio de mensajes entre los
puntos.
-Detección del flapping:
s
e refiere a una modificación muy
frecuente de la
s
informacione
s
pre
s
entes en la tabla de enca-
minamiento, ya
s
ea en update o en withd
r
awn.
-Distribución de lo
s
prefijo
s
/rede
s
no autorizados, no asignados y
de u
s
o privado.
-Deteccn de lo
s
conflicto
s
MOA
S
Multiple Origin AS [29]:
este control permi-te verificar la correspondencia de los A
S
de
origen de un update con lo exi
s
tente en los archivos del RI
P
E y
evidenciar di
s
crepancia
s
y/o conflicto
s
.
Š
Sonda OSPF: ejecuta el análi
s
i
s
de los paquetes O
SPF
, ya sea-Detección de anomalías so-
mediante una gica clá
s
ica de
s
niffing del tráfico o haciendobre los Next-Hop: surgidas,
interfa
s
e directamente con el proce
s
o de encaminamiento que unedesaparición, modificación de
la
s
onda a la red monitoreada. La
s
onda e
s
capaz de controlar variaslos Next-Hop asociada
s
a las
anomalías entre la
s
cuale
s
pueden mencionarse:rutas.
-Redes de acce
s
o
s
obre la
s
que e
s
tá activo O
SPF
: control que-Detección de ataques a la sonda:
permite identificar y
s
eñalar la pre
s
encia o la aparición de redes derealización de un honeypot BG
P
acce
s
o
s
obre la
s
cuale
s
e
s
tá activo el protocolo O
SPF
; tal situacncapaz de identificar eventuales
no es necesariamente indicativa de un ataque pero señala latentativas de instauración de se-
pre
s
encia de un punto de ataque potencial.siones BG
P
no autorizadas.
-Creación de nueva adyacencia: e
s
te hecho señala la creacn de-Detección de anomalías en el
una nueva adyacencia
s
obre una red en la cual O
SPF
está activo ycampo A
S
-
P
ath: análisis para
puede repre
s
entar el inicio de un ataque.valorar las variaciones signi-
-Detección del ataque
M
AX
S
EQ-
M
AXAGE y del ataque LOWCO
S
T [28].ficativas en el tiempo.
-Variacione
s
del mero de ruta: e
s
te control sirve para señalar-Monitoreo de las rutas de
modificacione
s
en aumento o di
s
minución de la tabla de enca-los A
S
clientes: monitoreo de
minamiento. El hecho e
s
pecialmente, en el caso de variaciones sig-la accesibilidad de las redes
nificativas o de numero
s
a
s
variacione
s
en la unidad de tiempo, es ade los A
S
clientes.
menudo indicación de un ataque.El sistema RD
S
ha sido verificado
-Aparición de ruta
s
no perteneciente
s
al propio dominio I
P
: laen los laboratorios de Telecom
inyección de ruta
s
no perteneciente
s
al dominio es un error deItalia Lab, para tal finalidad se
configuración. La deteccn ocurre mediante el análisis cruzado deutilizó una red simulada con-
la tabla de encaminamiento O
SPF
con los files de configuraciónsistente en 18 encaminamientos
hecho
s
por el operador.distintos. Los experimentos han
-Detección de anomalía
s
s
obre la mi
s
ma sonda: el sistema es capazsido exitosos y se ha iniciado con
de detectar la pre
s
encia de criticidades en la conexión con lasun primer field trial con las
s
ondas que pueden indicar un mal funcionamiento o el inicio de unsondas posicionadas en la red de
ataque a la infrae
s
tructura.TelecomItaliaLab.Eneste
Š
Sondas BGP: el análi
s
i
s
de lo
s
paquetes BG
P
está basado en unambiente las sondas han eviden-
verdadero
s
i
s
tema de encaminamiento insertado directamenteciado buena capacidad de detec-
dentro de la
s
onda. Unido a un mecani
s
mo de protocol analysiscn de las anomalías, ya fuese en
desarrollado e
s
pecialmente para el protocolo BG
P
. El dlogo entreámbito O
SPF
ó BG
P
.
C
o
n
c
l
u
s
i
o
n
e
s
Con este arculo se pretende
ofrecer una panorámica, lo s
amplia posible, en relación con el
ámbito de la detección de intrusos
inforticos. En ese sentido, por
tratarse de un tema muy extenso,
se limita a brindar un punto de
partida para profundizar en las
características de las diferentes
tecnologías disponibles. El pro-
blema de la detección es crucial en
el contexto de una arquitectura de
seguridad construida según el
paradigma de la Defense in Depth,
porque es evidente que sólo a
través de un
S
istema de Detección
Ton
o
Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
19
verdaderamente eficiente e
s
po
s
ible
pensar en la adopción de tecno-
logía
s
automática
s
de re
s
pue
s
ta y
protección. La inve
s
tigación de
s
a-
rrollada en Telecom Italia Lab
s
obre
este tema, en el pa
s
ado bienio,
s
e ha
centrado en la problemática de la
eficacia y la eficiencia en la capaci-
dad de hacer el proce
s
o de detec-
cn lo s exacto po
s
ible con
reducción de los fal
s
o
s
po
s
itivo
s
y
negativo
s
, con el aprovechamiento
máximo del desempo del hardware
disponible y la intervencn huma-
na centrada
s
ólo en lo
s
problema
s
verdaderamente significativo
s
. La
experiencia madurada en el cur
s
o de
los diferentes experimento
s
indica
que esto
s
aspecto
s
s
on fundamen-
tales para permitir un u
s
o óptimo de
las tecnología
s
ID
S
tambn en el
contexto de la
s
grande
s
rede
s
de
telecomunicaciones.
T
r
ad
u
cc
i
ó
n
:
L
i
c.
J
o
a
qu
í
n
A
.
F
e
rr
e
r
Á
l
v
a
r
e
z
B
i
b
li
o
g
r
a
f
í
a
[
1
]
D
e
nn
i
n
g
D
.
E
:
A
n
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
M
o
d
e
l
I
EEE
T
r
a
n
s
a
c
tio
n
s
o
n
S
oftw
a
r
e
E
n
g
i
n
ee
r
i
n
g
,
V
ol
S
E
-
13
,
N
o.
2
,
f
e
b
r
u
a
r
y
1987
,
222
-
232
[
2
]
A
n
d
e
r
s
o
n
,
J
:
Co
m
p
u
t
e
r
S
e
c
u
r
it
y
T
h
r
e
a
t
a
n
d
S
u
r
v
e
ill
a
n
c
e
,
T
e
c
h
.
R
e
p
. J
a
me
s
P
.
A
n
d
e
r
s
o
n
Co
,
F
o
r
t
W
a
s
h
i
n
g
to
n
,
P
a
,
1980
[
3
]
S
m
a
h
a
,
S.
E
:
H
a
y
s
t
a
c
k
.
A
n
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
S
y
s
t
em
,
i
n
P
r
o
c
. of t
h
e
I
EEE
4
t
h
A
e
r
o
s
p
a
c
e
Co
m
p
u
t
e
r
S
e
c
u
r
it
y
A
pp
li
c
a
tio
n
s
Co
n
f
e
r
e
n
c
e
,
O
r
l
a
n
d
o
,
F
L
,
D
e
c
.
1988
[
4
]
D
.
E
.
D
e
nn
i
n
g
,
N
e
u
m
a
nn
P
.
G
.
:
R
e
q
u
i
r
eme
n
t
s
a
n
d
M
o
d
e
l fo
r
I
D
E
S
a
R
e
a
l
-
T
i
me
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
E
x
p
e
r
t
S
y
s
t
em
,
T
e
c
h
.
R
e
p
.
,
Co
m
p
u
t
e
r
S
c
i
e
n
c
e
L
a
b
o
r
a
to
r
y
,
S
R
I
I
n
t
e
r
n
a
tio
n
a
l
,
1985
[
5
]
K
u
m
a
r
S.
,
Cl
a
ss
ifi
c
a
tio
n
a
n
d
D
e
t
e
c
tio
n
of Co
m
p
u
t
e
r
I
n
t
r
u
s
io
n
,
M
.S.
T
h
e
s
i
s
,
Co
m
p
u
t
e
r
S
c
i
e
n
c
e
D
e
p
.
,
P
u
r
d
u
e
U
n
i
v
e
r
s
it
y
,
A
g
o
s
to
1995
[
6
]
I
n
fo
r
m
a
tio
n
A
ss
u
r
a
n
c
e
t
h
r
o
u
g
h
D
e
f
e
n
s
e
i
n
D
e
p
t
h
,
D
i
r
e
c
to
r
a
t
e
fo
r
Co
mm
a
n
d
,
Co
n
t
r
ol Co
mm
un
i
c
a
tio
n
s
,
a
n
d
Co
m
p
u
t
e
r
S
y
s
t
em
s
,
U
.S.
D
e
p
a
r
t
me
n
t of
D
e
f
e
n
s
e
Joi
n
t
S
t
a
ff
,
F
e
b
r
u
a
r
y
2000
[
7
]
G
a
r
t
n
e
r
G
r
o
u
p
:
G
a
r
t
n
e
r
I
n
fo
r
m
a
-
tio
n
S
e
c
u
r
it
y
H
yp
e
C
y
c
l
e
D
e
c
l
a
r
e
s
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
S
y
s
t
em
s
a
M
a
r
k
e
t
F
a
il
u
r
e
,
2003
P
r
e
ss
R
e
l
e
a
s
e
www.
g
a
r
t
n
e
r
.
c
o
m
/
5
_
a
b
o
u
t/
p
r
e
ss
_
r
e
l
e
a
s
e
s
/
p
r
11
j
un
e
2003
c
.
j
s
p
[
8
]
Co
r
m
a
c
k
,
A
.
:
M
oo
r
e
s
L
a
w of
Co
m
p
u
t
e
r
S
e
c
u
r
it
y
,
T
e
r
e
n
a
N
e
two
r
k
i
n
g
Co
n
f
e
r
e
n
c
e
2002
,
3
-
6
j
un
e
2002
,
I
r
e
l
a
n
d
.
[
9
]
S
t
a
n
fo
r
d
-
C
h
e
n
,
S.
:
Co
mm
o
n
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
F
r
a
me
wo
r
k
,
h
tt
p
:
//
s
e
c
l
a
b
s
.
c
s
.
u
c
d
a
v
i
e
s
..
e
d
u
/
c
i
d
f/
[
10
]
V
e
r
wo
e
r
d
,
T
.
a
n
d
H
un
t
,
R
.
:
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
T
e
c
hn
i
q
u
e
s
a
n
d
A
pp
r
o
a
c
h
e
s
,
Co
m
p
u
t
e
r
Co
mm
un
i
c
a
tio
n
s
,
E
l
s
e
v
i
e
r
,
U
.
K
,
V
ol
.
25
,
N
o
.15
,
S
p
e
t
em
b
e
r
2002
,
pp
1356
-
1365
[
11
]
R
o
e
s
c
h
M
:
T
h
e
S
n
o
r
t
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
S
y
s
t
em
,
www
.
s
n
o
r
t
.
o
r
g
/
[
12
]
N
a
v
a
l
S
u
r
f
a
c
e
W
a
r
f
a
r
e
C
e
n
t
e
r
D
a
h
l
g
r
e
n
L
a
b
:
T
h
e
S
h
a
d
ow
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
S
y
s
t
em
,
www
.
n
s
w
c
.
n
a
vy
.
m
il/
I
SS
E
C/C
I
D
/
[
13
]
D
e
p
a
r
t
me
n
t of
E
n
e
r
g
y
.
T
h
e
N
I
D
N
e
two
r
k
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
S
y
s
t
em
,
I
l
s
i
s
t
em
a
è
s
t
a
to
r
iti
r
a
to
d
e
l
6
/
11
/
2004.
L
a
cc
e
ss
o
a
ll
a
d
o
c
u
me
n
t
a
z
io
n
e
è
r
i
s
t
e
tto
a
l
p
e
r
s
o
n
a
l
e
d
e
l
D
e
p
a
r
t
a
me
n
to
d
e
ll
a
D
if
u
s
a
(
D
o
D
U
S
A
)
[
14
]
K
u
m
a
r
S.
,
S
p
a
ffo
r
d
E
.
H
.
,
A
n
A
pp
li
c
a
tio
n
of
P
a
tt
e
r
n
M
a
t
c
h
i
n
g
i
n
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
,
T
e
c
hn
i
c
a
l
R
e
p
o
r
t
,
G
i
u
g
n
o
1994
[
15
]
Bo
y
e
r
R
.S
,
M
oo
r
e
J
.
S
,
:
A
F
a
s
t
S
t
r
i
n
g
S
e
a
rc
h
A
l
g
o
r
it
h
m
C
o
mm
un
i
c
a
t
i
o
n
s
o
f
A
C
M
,
20
(
10
)
,
pp
762
-
772
,
Otto
b
r
e
1977
[
16
]
A
h
o
A
Co
r
a
s
i
c
M
.
:
F
a
s
t
P
a
tt
e
r
n
M
a
t
c
h
i
n
g
:
a
n
A
i
d
to Bi
b
lio
g
r
a
p
h
i
c
S
e
a
rc
h
,
C
o
mm
un
i
c
a
t
i
o
n
s
o
f
A
C
M
,
18
(
6
)
,
pp
333
-
340
,
G
i
u
g
n
o
1975
[
17
]
I
l
g
un
K
,
K
emme
r
e
r
R
.
A
,
a
n
d
P
o
rr
a
s
,
P
.
A
:
S
t
a
t
e
T
r
a
n
s
itio
n
A
n
a
l
y
s
i
s
:
A
R
u
l
e
-
B
a
s
e
d
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
A
pp
o
r
a
c
h
,
I
EEE
T
r
a
n
s
a
c
t
i
o
n
o
n
S
o
f
t
w
a
r
e
E
n
gi
n
ee
r
i
n
g
21
,
M
a
r
z
o
1995
[
18
]
V
i
g
n
a
,
G
.
,
E
c
k
m
a
nn
S.
T
.
,
a
n
d
K
emme
r
e
r
R
.
A
.
,
T
h
e
S
T
A
T
T
ool
S
u
it
e
,
i
n
P
r
o
c
ee
d
i
n
g
s
of
D
I
S
C
E
X
2000
,
H
ilto
n
H
e
a
d
,
S
o
u
t
h
C
a
r
oli
n
a
,
G
e
nn
a
io
2000
I
EEE
P
r
e
ss
[
19
]
F
o
rr
e
s
t
S.
,
H
of
me
y
r
S.
A
,
S
o
m
a
y
a
li
A
,
L
oo
n
g
s
t
a
ff
T
.
A
.
A
S
e
n
s
e
o
d
S
e
ll fo
r
U
n
i
x
P
r
o
c
e
ss
e
s
,
P
r
o
c
ee
d
i
n
g
s
of t
h
e
1996
I
EEE
S
y
m
p
o
s
i
u
m
o
n
S
e
c
u
r
it
y
a
n
d
P
r
i
v
a
c
y
,
1996
[
20
]
F
o
rr
e
s
t
S.
,
P
e
r
e
l
s
o
n
A
.S
,
A
ll
e
n
L
,
.
C
h
r
u
k
u
r
R
.
,
S
e
lf
-
N
o
n
s
e
lf
D
i
s
cr
i
m
i
n
a
tio
n
i
n
a
Co
m
p
u
t
e
r
,
I
EEE
S
y
m
p
o
s
i
u
m
o
n
S
e
c
u
r
it
y
a
n
d
P
r
i
v
a
c
y
,
1994
[
21
]
F
o
rr
e
s
t
S.
,
P
e
r
e
l
s
o
n
A
.S
,
A
ll
e
n
L
,
S
o
m
a
y
a
li
A
.
,
Co
m
p
u
t
e
r
I
n
m
un
olo
g
y
,
C
o
mm
un
i
c
a
t
i
o
n
s
o
f
t
h
e
A
C
M
,
40
10
)
,
1994
[
22
]
P
t
a
c
e
k
t
.
,
N
e
w
s
h
a
m
,
T
.
,
I
n
s
e
r
tio
n
,
E
v
a
s
io
n
a
n
d
D
e
n
i
a
l of
S
e
r
v
i
c
e
:
E
l
u
d
i
n
g
N
e
two
r
k
I
n
t
r
u
s
io
n
D
e
t
e
c
tio
n
.
S
e
c
u
r
e
N
e
two
r
k
I
n
c
.
W
h
it
e
p
a
p
e
r
,
1998
[
23
]
R
F
C
3954
:
Ci
s
c
o
S
y
s
t
em
s
N
e
t
F
low
S
e
r
v
i
c
e
s
E
x
p
o
r
t
V
e
r
s
io
n
9
y
R
F
C
3955
E
v
a
l
u
a
tio
n
of C
a
n
d
i
d
a
t
e
P
r
oto
c
ol
s
fo
r
I
P
F
low
I
n
fo
r
m
a
tio
n
E
x
p
o
r
t
(
I
PF
I
X
)
[
24
]
M
o
g
u
l J
.
C
.
,
R
a
m
a
k
n
s
hh
a
nn
K
.
K
.
:
E
li
n
i
n
a
ti
n
g
R
e
c
e
i
v
e
L
i
v
e
L
o
c
k
i
n
a
n
I
n
t
e
rr
u
p
t
D
r
i
v
e
n
K
e
r
n
e
l
,
i
n
A
C
M
T
r
a
n
s
c
a
t
i
o
n
s
o
n
C
o
m
pu
t
e
r
S
y
s
t
em
s
,
15
(
3
)
,
A
g
o
s
to
1997
,
pp
217
-
252
[
25
]
V
.
H
a
u
s
e
r
:
T
H
C
-
L
e
a
p
C
r
a
c
k
e
r
(
v
.0.1
)
r
e
l
e
a
s
e
d
by
T
h
e
H
a
c
k
e
r
s
C
h
oi
c
e
o
n
2
/
10.2004.
www
.
t
h
c
.
o
r
g
/
[
26
]
W
r
i
g
h
t J
.
:
T
h
e
A
S
-
L
E
AP
,
h
tt
p
:
//
a
s
l
e
a
p
.
s
o
u
rc
e
fo
r
g
e
.
n
e
t/
[
27
]
H
e
C
.
,
M
it
c
h
e
ll J
.
C
.
:
A
n
a
l
y
s
i
s
of
t
h
e
802.11
/
4
-
W
a
y
H
a
n
d
s
h
a
k
e
,
i
n
P
r
o
c
ee
d
i
n
g
s
of t
h
e
3
r
d
A
C
M
I
n
t
e
r
n
a
tio
n
a
l
W
o
r
k
s
h
o
p
o
n
W
i
r
e
l
e
ss
S
e
c
u
r
it
y
(
W
I
S
e
04
)
P
h
il
a
d
e
l
p
h
i
a
,
PA
,
O
c
t
.2004
[
28
]
Jo
n
e
s
E
.
,
L
e
M
oi
g
n
e
O
.
:
O
S
PF
S
e
c
u
r
it
y
V
u
l
n
e
r
a
b
iliti
e
s
A
n
a
l
y
s
i
s
,
I
n
t
e
r
n
e
t
D
r
a
ft
,
1
D
i
c
i
em
b
r
e
2004
[
29
]
Z
h
a
o X
.
,
P
e
i
D
.
,
W
a
n
g
L
.
,
M
a
ss
e
y
D
.
,
M
a
n
k
i
n
A
.
,
W
u
F
.S.
Z
h
a
n
g
L
.
,
:
A
n
A
n
a
l
y
s
i
s
of B
G
P
M
u
lti
p
l
e
O
r
i
g
i
n
A
S
(
M
O
A
S
)
Co
n
fli
c
t
s
,
P
r
o
c
.
A
C
M
S
I
G
CO
MM
I
n
t
e
r
n
e
t
M
e
a
s
u
r
eme
n
t
W
o
r
k
s
h
o
p
,
2001.
Nota: se ha decidido no traducir la bibliografía y las frases que aparecen, tanto
en italiano como en inglés, dentro de las figuras; y se ha respetado la forma en
que los autores han empleado las referencias bibliográficas debido, en ambo
s
casos, a su particularidad.