Por definición, cualquier cosa que sea diferente, anormal,
peculiar o de difícil clasificación puede ser una anomalía. En el contexto de
la seguridad informática, se puede definir una anomalía como una acción o dato
que no se considera normal para un determinado sistema, usuario o red. Esta
definición abarca un rango bastante amplio y puede incluir cosas tales como
patrones de tráfico [WMM04b], actividades de usuarios y comporta miento de
aplicaciones. Se cree que al menos una fracción significativa de las amenazas o
condiciones que les conciernen debería manifestarse como anomalía y, por tanto,
debería resultar detectable[Her03].
Un detector de anomalías debe ser capaz de distinguir entre
la anomalía y lo normal. Se pueden dividir las técnicas de detección de
anomalías en estáticas y dinámicas [JS99].
Un detector de anomalías estático se basa en la premisa de
que existe una porción del sistema observado que debe permanecer constante. La
porción estática de un sistema se compone de dos partes: código del sistema y
datos del sistema. Las porciones estáticas del sistema pueden ser representadas
por cadenas binarias de bits o un conjunto cadenas (como archivos por ejemplo).
Si la porción estática de un sistema se llega a desviar de su forma original,
ha ocurrido un error o un intruso ha alterado la porción estática del sistema.
Es por esto que se dice que los sistemas de detección de anomalía estáticos
revisan la integridad de los datos.
La detección dinámica de anomalías incluye una definición
de comporta miento. Frecuentemente los diseñadores de sistemas emplean la noción
de evento. El comporta miento de un sistema se define como la secuencia ( o
secuencia parcialmente ordenada ) de eventos distintos. Por ejemplo, muchos
sistemas de detección de intrusiones utilizan los registros de auditoría que
son (generalmente por omisión) generados por el sistema operativo para definir
los eventos de interés. En este caso, el único comporta miento que puede ser
observado es aquél que resulta de la creación de los registros de auditoría del
sistema operativo. Los eventos pueden ocurrir en una secuencia estricta, pero a
menudo, como en el caso de los sistemas distribuidos, el ordenamiento parcial
es más apropiado. Incluso en otros casos, el orden no está representado
directamente; sólo información acumulativa, como: la carga acumulada de uso del
procesador durante un intervalo de tiempo. En este caso, se definen límites
para separar el consumo normal del recurso del consumo anómalo de este.
Cuando existe incertidumbre sobre si el comportamiento es
anómalo o no, el sistema puede confiar en parámetros establecidos durante la
inicialización para medir el comportamiento. El comportamiento inicial se asume
como ``normal''. Se mide y después se utiliza para establecer parámetros que
describan el comportamiento nominal o ``normal''. Típicamente no existe un
límite preciso entre el comportamiento normal y el anómalo
El
comportamiento anómalo debe ser distinguido del comportamiento normal.
Si el comportamiento incierto no considera anómalo,
entonces la actividad de intrusión puede no ser detectada. Si el comportamiento
incierto se considera anómalo, el administrador del sistema puede recibir
alertas falsas, es decir en casos donde no existe una intrusión.
La manera más común de establecer este límite, es a través
de una distribución estadística que tenga un promedio y una desviación
estándar. Una vez que la distribución ha sido establecida, se puede delimitar
la frontera utilizando algún número de desviaciones estándar. Si una
observación cae en un punto fuera del número (parametrizado) de desviaciones
estándar, se reporta como una posible intrusión.
Un detector de anomalías dinámico debe definir alguna
noción del ``actor'', el intruso potencial. Un actor frecuentemente es definido
como un usuario, esto es, la actividad que se puede identificar con una cuenta
y presumiblemente entonces con un ser humano en específico. Alternativamente,
se observan procesos o usuarios en particular. La relación que existe entre
procesos, cuentas y seres humanos solo puede determinarse cuando se emite una
alerta. En la mayoría de los sistemas operativos existe una clara relación
entre cualquier proceso y el usuario o cuenta de usuario que lo ejecuta. De
manera similar, un sistema operativo mantiene una lista que relaciona a los
procesos con los dispositivos físicos que utiliza.
Es importante hacer notar que la detección de anomalías,
limitada a los eventos visibles al sistema operativo, o el comportamiento de
dicho sistema operativo como reacción a los usuarios, se ve acotada a
actividades de importancia para el sistema operativo. Dado que una de las
intrusiones más peligrosas es que un usuario obtenga los privilegios de un
administrador del sistema, la semántica del sistema operativo es precisamente
la que debe ser observada para detectar este tipo de intrusión.
Detecta
anomalías en el equipo de computo y periféricos
en este tema se nos dio un problema que teníamos que
resolver, el cual nos llevo tiempo en descubrir cual era, lo primero que
hicimos fue comenzar a platicar entre nosotros el posible problema que era,
comenzamos con hacer que la tarjeta madre reconozca al bios lo primero que conectamos fue el
disco duro después los buses, conectamos la fuente de poder a la toma de
corriente y encendimos la pantalla, comenzó a encender pero no cargo por
completo por que el problema que tenia era que había que quitarle la contraseña
del bios para que pueda dar vídeo por completo, entonces lo que hicimos fue
pagarla nuevamente y retirar la batería por un momento, ya después la volvimos
a colocar de nuevo en su lugar y conectamos todo otra vez en su lugar y ahora
la encendimos de nuevo, cargo completamente y ahora si dio vídeo, el pequeño
problema fue que solamente teníamos que quitarle la contraseña y listo lo
reparamos...
Un Sistema de Prevención de Intrusos (IPS) es un
dispositivo que ejerce el control de acceso en una red informática para
proteger a los sistemas computacionales de ataques y abusos. La tecnología de
Prevención de Intrusos es considerada por algunos como una extensión de los
Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de
control de acceso, más cercano a las tecnologías cortafuegos.
Los IPS fueron inventados de forma independiente por Jed
Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes
de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los
IPS presentan una mejora importante sobre las tecnologías de cortafuegos
tradicionales, al tomar decisiones de control de acceso basados en los
contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después,
algunos IPS fueron comercializados por la empresa One Secure, la cual fue
finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por
Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los
sistemas IDS, continúan en relación.
También es importante destacar que los IPS pueden actuar al
nivel de equipo, para combatir actividades potencialmente maliciosas.
o
No hay comentarios:
Publicar un comentario