Implementación de un sistema de detección de intrusos en redes IP con Inteligencia Artificial

Abstract

[ES] En unos tiempos donde cada vez se depende más de la tecnología en todos los aspectos (desde comprar hasta trabajar pasando por el contenido de ocio, consulta de información, ¿) la sociedad se enfrenta a un mundo donde a priori todo son facilidades y donde la falta de formación por la mayoría de sus usuarios es clara y abre un mundo a un nuevo tipo de delincuentes que no se tienen que mover de su domicilio para hacer daño, los ciberdelincuentes.

Hay gente que cree que estos son simples personas aburridas en su casa, no más lejos de la realidad, los más peligrosos viven de descubrir vulnerabilidades y diseñar nuevos ataques desconocidos por su víctima (los ataques de día cero), tienen un horario de trabajo normal y trabajan para empresas que se lo pueden permitir, con objetivos muy claros, como, por ejemplo, robar información sensible de la competencia para obtener beneficios.

Para protegerse, las empresas deben implementar servicios (hardware y software) que monitoricen el comportamiento de las comunicaciones y sean capaces de detectar un ataque e informar al departamento de seguridad para que éste pueda reaccionar cuanto antes. Hay distintos dispositivos que se deben tener en consideración, en este documento se detalla la implementación de un IDS (Sistema de detección de intrusos, de sus siglas en inglés). Primeramente, uno basado en firmas. Estos son capaces de detectar todos aquellos ataques cuyo comportamiento tienen previamente almacenado. A continuación, uno basado en anomalías. En este tipo de IDS específico, se modela cuál es el comportamiento normal del sistema y todo aquello que esté fuera de unos márgenes se considera un ataque. Con este tipo de IDS se pueden detectar ataques ya conocidos y, sobre todo, ataques de día cero, los más peligrosos y dañinos hoy en día.

[EN] In a time when we are increasingly dependent on technology in all aspects of life (from shopping to work to leisure to consulting data) society is facing a world where, a priori everything is easy, but where a lack of knowledge on the part of most users is clear and opens up the world to a new type of criminal who does not have to move from his home to do harm, the cybercriminal.

There are those who believe that the culprits are bored people at home, but this far from the truth. The most dangerous ones live from discovering vulnerabilities and designing new attacks which are unknown to their victims (zero-day attacks). They work nine to five for companies that can afford them. They have very clear objectives, like stealing sensitive information from competitors for profit.

To protect themselves, companies must implement services (hardware and software) that monitor communication behaviour and are able to detect an attack and inform the security department, which must then react as quickly as possible. There are a number of devices that must be taken into consideration. This document details the implementation of an IDS (Intrusion Detection System). Firstly, one based on signature. This type of device stores a limited amount of attack's behaviour which are used to decide whether the scanned traffic is a danger or not depending on matching both behavior. Then, one based on anomalies. In this specific type of IDS, the normal behaviour of the system is modelled and anything outside a certain range is considered to be an attack. With this type of IDS, it is possible to detect previously-known attacks and, above all, zero day attacks. These are the most dangerous nowadays, producing the most damage to the target if the attack is successfully completed.