1
Estado del arte de los sistemas inteligentes de detección de
intrusos
TRABAJO ACADEMICO PARA EL SEMINARIO TALLER DE PERFECCIONAMIENTO “DISEÑO Y
ADMINISTRACIÓN DE REDES EN TELECOMUNICACIONES LAN, MAN Y WAN” COMO OPCIÓN DE
GRADO EN EL PROGRAMA DE INGENIERÍA DE SISTEMAS DE LA UNIVERSIDAD COOPERATIVA DE
COLOMBIA SECCIONAL CALDAS.
Autores
Ing. Gloria lorena hurtado alvarez
Ing. Oscar fernando briñez.
Asesor: Esp: Gustavo Isaza Echeverry
Abstract: Due to the interest of subject of information
security and the different problems that have appeared by
crimes, an interest arises to study some intelligent systems
of detection intruders; with the purpose of learning as they
act to find conclusions and recommendations that allow to
make a good decision at the moment for implementing one
of these systems in a networking. Now we presented a
restlessness in front of the tools of detection of intruders,
who presents static elements and they do not allow an
immediate reaction before the different changes in the
attack strategies to the systems, detected this disadvantage
its propose out then to study the state-of-the-art of some
intelligent systems of intruders detection, so that of this
form the IDS can be in front of the vandals and to offer
preventive solutions but that corrective.
I. PRESENTACIÓN
D ebido al auge en el tema de seguridad informática y
los diferentes problemas que se han presentado por
delitos informáticos, surge un interés por estudiar algunos
sistemas inteligentes de detección intrusos; con el fin de
aprender como actúan para encontrar conclusiones y
recomendaciones que permitan tomar un buena decisión en
el momento de implementar uno de estos sistemas en un red
informática. Ahora presentamos una inquietud frente a las
herramientas de detección de intrusos informáticos, las
cuales presentan elementos estáticos y no permiten una
reacción inmediata ante los diferentes cambios en las
estrategias de ataque a los sistemas, detectado este
inconveniente se propone entonces estudiar el estado del
arte de algunos sistemas inteligentes de detección de
intrusos, para que de esta forma los IDS puedan estar un pie
delante de los vándalos informáticos y brindar soluciones
preventivas mas que correctivas.
El impacto que puede generar el aporte de este estudio a la
seguridad informática a nivel social y tecnológico va desde
aplicar diferentes políticas que se deben utilizar para
manejar correctamente los sistemas de información desde el
punto de vista del usuario final, hasta mantener altos niveles
de ciframiento en los datos mas críticos y sensibles de la
empresa.
Por todo lo anterior es importante que se le de la atención
necesaria a este tipo de estudios ya que aportan ideas
interesantes en la investigación de soluciones en el campo
de la seguridad informática
II. FORMULACIÓN DEL PROBLEMA
Un IDS (Intrusion Detection System) es un sistema que se
dedica a monitorear (un equipo informático, una red de
comunicaciones,…) en busca de intentos de posibles malos
usos o accesos no autorizados. Enfocado en términos
informáticos seria un proceso de seguridad que monitorea
un equipo específico o una red, en busca de comprometer el
sistema. Por lo general funcionan buscando patrones
definidos de actividad sospechosa.
Desafortunadamente los IDS actuales basan su
funcionamiento en un esquema estático lo cual los convierte
en sistemas muy ineficientes en el momento en el que un
atacante codifica los datos de entrada.
La base de datos de las firmas de ataques sufren los mismos
inconvenientes que los anti-virus, si la base de datos está
desactualizada es muy probable que el sistema sea atacado
sin ser detectado.
Adicionalmente el tiempo entre el descubrimiento de un
nuevo ataque, la publicación de este y su inclusión en los
IDS es bastante larga, teniendo en cuenta que el tiempo
entre la publicación de dicho ataque y el uso indebido por
parte de un posible atacante es muy corto, es probable que
aparezca un programa exploit que haga uso de esa
vulnerabilidad para irrumpir en un sistema. Hasta que el
exploit no es difundido en Internet (lo cual no quiere decir
que no sea utilizado), los analistas de seguridad no pueden
elaborar reglas para detectarlo e incorporarlas a sus IDSs.
Se hace necesario, por tanto, un sistema que disminuya este
tiempo y detecte automáticamente la existencia de nuevos
ataques de forma fiable, que resista las últimas técnicas
anti-IDS y que además sea escalable.
Viendo las limitaciones de los IDS actuales, algunos centros
de investigación en el mundo empezaron a analizar el
comportamiento para determinar la existencia de anomalías
para la identificación de ataques. Los inicios del análisis de
comportamientos se enfocaron principalmente en el
desarrollo de mecanismos estadísticos para determinar
anomalías en el comportamiento de los usuarios de un

sistema determinado. La gran ventaja que presenta un
mecanismo estadístico es que este es fácilmente adaptable a
las nuevas condiciones cambiantes en el tiempo. Pero esa
adaptabilidad es susceptible a cambios progresivos
programados, lo cual permite la inclusión de actividades
intrusivas evitando su detección.
III. JUSTIFICACIÓN
Los sistemas y redes cotidianamente están sujetos a ataques
electrónicos, éstos son tan frecuentes que es necesario
imponer una gran cantidad de requerimientos de seguridad
para la protección de los datos y de los equipos. La
vulnerabilidad de los equipos se chequea mediante
herramientas del sistema a nivel de red, que permiten la
corrección de problemas y errores de configuración
potencialmente responsables de ocasionar fallas en la
seguridad de un sistema de información. Para el manejo de
detección de intrusos se recolecta información desde una
variedad de fuentes del sistema, analizando esta
información de diferentes maneras.
Los ataques a un sistema pueden ser externos a éste o
provenientes del interior, por ejemplo, usuarios autorizados
o intrusos que se hacen pasar como usuarios legítimamente
autenticados por el sistema. Las herramientas del sistema y
los sistemas de detección de intrusos en conjunto permiten a
una organización protegerse a sí misma de perdidas
asociadas con estos problemas de seguridad.
¿Existe una mejora sustancial al construir un sistema de
detección de intrusos aplicando Inteligencia Artificial?
Los sistemas de detección de intrusos son herramientas que
han sido diseñadas para aumentar la seguridad de una red
de datos. Los estudios realizados en esta área tuvieron su
origen en el análisis de los flujos de datos de los sistemas
vulnerados, inicialmente personal experto en el tema dedicó
todo su tiempo a identificar el origen de las anomalías y
evitar que afectara de nuevo al sistema de información, esto
evolucionó en lo que se conoce como sistemas de detección
basados en reglas, que han sido estándar hasta la actualidad.
Los sistemas basados en reglas requieren actualización
permanente ya que si un ataque es modificado levemente el
sistema es incapaz de detectarlo. Por esto la inteligencia
artificial se ha planteado como una solución a las
limitaciones de los sistemas tradicionales. En este trabajo se
presentara una investigación que proporcione como
resultado una visión más amplia de la participación de la
inteligencia artificial en el campo de la seguridad en redes
informáticas. Así mismo se plantearan algunas
características comparativas entre IDS y finalmente
recomendaciones y conclusiones que faciliten el diseño de
una posible arquitectura genérica.
2
IV. OBJETIVOS
OBJETIVO GENERAL
Investigar el estado del arte de algunos Sistemas
Inteligentes de Detección de Intrusos mediante un rastreo
de información de diferentes fuentes, para plantear
conclusiones y recomendaciones que faciliten el diseño de
una posible arquitectura genérica.
OBJETIVOS ESPECIFICOS
• Investigar los elementos técnicos más relevantes de los
principales sistemas inteligentes de detección de
intrusos analizando la información encontrada para
evidenciar los principales elementos que tienen en
común y definir algunos para profundizar en ellos.
• Investigar qué técnicas de Inteligencia Artificial (Redes
Neuronales, Lógica Difusa, Agentes Inteligentes, etc.)
se han aplicado a los IDS como un mecanismo para
mejorar su arquitectura.
• Plantear recomendaciones y conclusiones basados en la
diversa información recolectada a lo largo del estudio
para proyectar el diseño de una posible arquitectura
genérica.
V. ALCANCE
El alcance de este proyecto esta definido por los objetivos
generales y específicos aprobados en los que se basa la
realización misma de este trabajo. El proyecto esta
enfocado a la investigación del estado del arte de algunos
sistemas inteligentes de detección de intrusos, para plantear
conclusiones y recomendaciones tendientes a proyectar, una
posible arquitectura genérica que pueda reducir las
limitaciones de los IDS actuales, analizando ciertos
enfoques actuales, la mayoría de ellos provenientes del
desarrollo académico de los IDS. Aunque este proyecto
tiene un alcance claro, es campo fértil para la continuación
de nuevas investigaciones que permitan generar nuevas
tecnologías aplicables a la realidad de la seguridad
informática.
VI. ANTECEDENTES
Es posible encontrar en el mercado numeroso IDSs
comerciales. La gran mayoría revelan pocos o ningunos
detalles sobre su arquitectura y funcionamiento interno:
obviamente esta es una información muy sensible. Sin
embargo, algunos IDSs no comerciales, de distribución
gratuita o concebida en ambientes académicos revelan
pormenores de su funcionamiento y arquitectura; a
continuación se enumeran algunos de los ejemplos de
arquitecturas de IDSs reales encontrados, no se pretende en
ningún momento dar una descripción exhaustiva de éstos, ni
de sus ventajas y fallas.
SNORT: Este es un sistema “liviano” de detección de
intrusos en redes. Es multiplataforma y puede ser

implantado para monitorear pequeñas redes TCP/IP. Un
detalle muy interesante para el estudio de los IDSs, es que
está disponible bajo la licencia pública general GNU, puede
usarse gratuitamente en cualquier ambiente, y la totalidad
de su código es de libre distribución.
NFR NID: Network Flight Recorder Network Intrusion
Detection es un sistema de detección comercial, que de
manera discreta monitorea redes en tiempo real y genera
alertas cuando algo sospechoso es detectado. Busca
actividades tales como ataques conocidos, comportamiento
anormal, intentos de acceso no autorizado y transgresiones
a las políticas de seguridad, guardando la información
asociada y generando alertas según sea necesario. La
actividad sospechosa puede ser categorizada en uso
inapropiado y anomalías.
EMERALD : EMERALD (Event monitoring enabling
responses to anomalous live Disturbances) es un framework
para efectuar detección de intrusos escalable, distribuido e
interoperable a nivel de host y a nivel de red. Más que un
IDS, es una propuesta de arquitectura para un IDS, que se
supone debe contener componentes que permitan al sistema
responder activamente ante amenazas, principalmente de
atacantes externos a una organización, aunque no se
excluye la detección de atacantes internos.
DIDS: DIDS (Distributed Intrusion Detection System) es
un prototipo que actualmente está siendo diseñado e
implementado por la división de Computer Science de la
Universidad de California, que combina monitoreo
distribuido y reducción de datos (por medio de monitores
individuales en hosts y LANs) con análisis centralizado de
datos (por medio del DIDS director), para monitorear una
red heterogénea de computadores.
AAFID: Una última opción entre las arquitecturas
enumeradas, es la de usar Agentes autónomos para
detección de intrusiones. Un agente de software se define
como “Una entidad de software que funciona de manera
continua y autónoma en un ambiente en particular, capaz de
llevar a cabo actividades de una manera flexible e
inteligente de forma tal que pueda responder a los cambios
en el ambiente. Idealmente, debe aprender de su experiencia
y ser capaz de comunicarse con otros agentes y procesos”.
VII. METODOLOGÍA
Aun no existe una metodología definida para realizar un
estado del arte no importa cual sea el tema central de este;
en la actualidad solo se encuentran aportes de algunos
autores para llevarlo a feliz termino. Teniendo en cuenta lo
anterior y después de realizar un análisis de la información
disponible, a continuación se presentan algunos pasos que
se pueden seguir para completar el estudio:
• Determinar o definir los aspectos esenciales y críticos
sobre los cuales se basara el estudio del estado del arte.
(metodologías, técnicas, herramientas, niveles de
3
seguridad, alcances, etc.). Ventajas, tendencias,
comparaciones, características.
• Estudiar una porción substancial de la literatura en el
área de los sistemas inteligentes de detección de
intrusos.
• Entender bien la literatura para tener la visión global de
los sistemas inteligentes de detección de intrusos.
• Definir una estructura secuencial para la
sistematización de los referentes encontrados acerca de
los sistemas inteligentes de detección de intrusos.
• Revisar la literatura de acuerdo con esta estructura para
determinar los aspectos relevantes que aun no se han
tenido en cuenta.
• Organizar el trabajo consecuentemente
• Plantear Recomendaciones y Conclusiones.
VIII. SISTEMAS DE DETECCION DE INTRUSOS
Un IDS tiene la capacidad de prevenir y dar aviso de
posibles ataques, además de facilitarnos el análisis posterior
en caso de una intrusión en el sistema.
Un IDS no debe ser nunca un sustituto de una buena
política de seguridad en la red que vayamos a instalar. No
serviría de nada tener un IDS instalado si se dejan puertos
abiertos en nuestros servidores, password de administrador
vació o conocido por todos, ya que cualquier atacante
podría ingresar al sistema. Por tanto, un IDS siempre deberá
ser un complemento al sistema de seguridad ya instalado, es
decir, corresponde a una capa adicional de protección del
sistema.
Un IDS nos permite una pronta detección de los ataques
que se pudiesen producir dentro de nuestro sistema y una
mayor capacidad de reacción ante estos.
IX. ELEMENTOS DE LA DETECCIÓN DE
INTRUSIONES
Arquitectura : A la hora de proteger un sistema basándose
en los registros que se analizan mediante una auditoría
requiere que estos registros sean almacenados de una
forma segura en un entorno distinto al del sistema
protegido. Este requisito lo cumple cualquier sistema
de detección de intrusiones con un mínimo de calidad.
Esto se hace por varias razones. Para evitar que el intruso
pueda eliminar los registros, para evitar que el intruso
pueda alterar la información contenida en los registros y
para no perjudicar con el mecanismo de detección de
intrusiones el rendimiento del sistema a proteger. En este
tipo de arquitectura el sistema que ejecuta el sistema de
detección de intrusiones se denomina "host" y el sistema
monitorizado "target" (objetivo).
Fuentes de datos, monitoreo: La fuente de datos es una de
las primeras cosas a tener en cuenta a la hora de diseñar un
sistema de detección de intrusiones. Estas fuentes se
pueden clasificar de muchas maneras. En lo que respecta
a la detección de intrusiones las clasificaremos por

localización. De esta forma, la monitorización de
sistemas, y por tanto la detección de intrusiones, se
puede dividir en cuatro categorías: "host", red,
aplicación y objetivo. Usaremos el término "monitorizar"
como el acto de recoger datos de una determinada fuente y
enviarlos a un motor de análisis.

Monitores basados en máquina ("host based"):
Recogen los datos generados por un ordenador,
normalmente a nivel del sistema operativo. Los
registros de sucesos y las colas de auditoría pertenecen
a este grupo.

Monitores basados en múltiples máquinas ("multi-
host based"): Como su propio nombre indica,
utiliza la información recogida en dos o más
máquinas. Su enfoque es muy similar al basado en
máquina, con la dificultad añadida de tener que
coordinar los datos de varias fuentes.

Monitores basados en redes ("network based"):
Capturan paquetes de red. Para ello, normalmente se
utilizan dispositivos de red en modo promiscuo,
convirtiendo al sistema en un "sniffer" o rastreador.

Monitores basados en aplicación ("application based"):
Registran la actividad de una determinada aplicación.
Por ejemplo, los registros de un servidor ftp.

Monitores basados en objetivos ("target based"):
Estos monitores difieren ligeramente del resto
porque generan sus propios registros. Utilizan
funciones de cifrado para detectar posibles
alteraciones de sus objetivos, y contrastan los
resultados con las políticas. Este método es
especialmente útil cuando se usa contra elementos
que, por sus características, no permiten ser
monitorizados de otra forma.

Monitores híbridos ("hybrid"): Combinan dos o más
fuentes de distinto tipo. Cada vez es más frecuente
encontrarse con productos de detección de intrusiones
basados en este punto de vista. Así, amplían sus
posibilidades de detección.
Existen productos que combinan varias estrategias de
monitorización. Estas soluciones se denominan soluciones
integradas.
Hay que añadir que existen sistemas de detección de
intrusiones que reciben el nombre de NNID ("Network
Node Intrusion Detector"), es decir, Detector de
Intrusiones de Nodo de Red. En realidad, son un caso
especial de la detección basada en red. Este nombre se
aplica cuando el monitor basado en red se sitúa en un
"host", monitorizando los paquetes destinados u originados
por la máquina anfitriona. Una de las razones más
importantes para hacer esto es para sortear el problema de
las encriptaciones durante la comunicación, ya que el
tráfico es cifrado o descifrado por el propio "host". Un
detector basado en red convencional no podría analizar
el tráfico en un punto intermedio entre dos nodos que
cifraran sus comunicaciones. Los NNIDS son también
útiles en entornos de red con conmutadores
4
("switches") en los que un "host", aunque esté en
modo promiscuo, sólo percibe el tráfico destinado a él.
Tipos de análisis: Después del proceso de recopilación de
información, se lleva a cabo el proceso de análisis. La
detección de intrusiones también se puede clasificar
según los objetivos del motor de análisis. Los dos tipos
principales de análisis son:

Detección de usos indebidos ("misuse"): Para
encontrar usos indebidos se comparan firmas
(Patrones de a taques conocidos) con la información
recogida en busca de coincidencias.

Detección de anomalías: Para la detección de
anomalías se manejan técnicas estadísticas que
definen de forma aproximada lo que es el
comportamiento usual o normal.
La siguiente figura muestra un esquema general de
detector de intrusiones de usos indebidos (mediante
comparación de patrones) y de anomalías.
Esquema general de un Sistema de Detección de Intrusos
La mayoría de los detectores son de usos indebidos,
anomalías o una mezcla de ambos.
Algunas empresas están empezando a utilizar también
técnicas específicas para la detección de ataques de
denegación de servicio (DoS), dadas sus características
especiales.
Aparte del análisis basado en firmas y estadísticas, también
existe el análisis de integridad.
Este es el método utilizado por las herramientas de
chequeo de integridad de ficheros, que complementan a
los Sistemas de Detección de Intrusiones. Estas
herramientas detectan cambios en ficheros u objetos,
utilizando mecanismos robustos de encriptación tales como
funciones resumen ("hash functions").
Otro enfoque a la hora de distinguir formas de
detección de intrusiones es teniendo en cuenta el uso que
hacen los análisis del tiempo:


Por lotes ("batch mode"): Cada intervalo de tiempo se
procesa una porción de los datos recibidos, enviando
las posibles alarmas de intrusiones después de que
hayan ocurrido.

Tiempo real: Los datos son examinados en el tiempo
en que son recibidos (o con un retardo mínimo). La
aparición de los análisis en tiempo real hizo posible las
respuestas automáticas.
Respuestas
5
Otra forma de solucionar el control de la detección de
intrusiones centralizada es hacer que forme parte de las
funciones de gestión de redes. Muchos productos
comerciales de detección de intrusiones ofrecen la
posibilidad de generar mensajes SNMP (Protocolo de
Gestión de Redes Simple) para la herramienta de captura
de gestión de redes.
X. COMPARATIVO ENTRE LOS SISTEMAS
INTELIGENTES EVALUADOS

El mecanismo de respuesta, es otro de los factores que

Comparativo entre los Sistemas Inteligentes evaluados
ayudan a definir el tipo de sistema de detección de
intrusiones:
Alternativa

Respuestas pasivas: En este caso, el detector no toma Alternativa con
Tecnología
acciones que puedan cambiar el curso de un ataque. Software Libre
CARACTERISTICAS Propietaria
En vez de esto, se limita a enviar o registrar la
alarma correspondiente al responsable cualificado. REAL
SNORT

Respuestas activas: Pertenecen esta categoría SECURE
aquellos sistemas que, además de generar la alarma Plataforma MySQL,
Propietario
correspondiente, reaccionan modificando el entorno. PostgreSQL
Un ejemplo de este tipo de respuesta activa consiste Captura de
Libreria Libcap Propietario
en el bloqueo de las acciones del intruso, o el paquetes
cierre de la sesión del usuario sospechoso. Gestión y Manual y Manual y
Actualizan firmas Automática Automática
Objetivos: Los objetivos de la detección son otro factor a Tipo de aprendizaje Via Web y Via Web y
tener en cuenta en el análisis de la detección de intrusiones. utilizado Scripting Scripting
Software
Si además de detectar posibles errores de seguridad, LIBRE PROPIETARIO
propietario o libre
se pretende perseguir al atacante mediante acciones Clasificación
legales, es importante dedicar tiempo a la apropiada NIDS NIDS, HIDS
conservación y formato de los registros generados por el
sistema. Si, por el contrario, sólo se desea mantener Requerimientos
mínimos del UNIX y todas sus
seguro el sistema, utilizando las posibles intrusiones CUALQUIER
Sistema variantes (Solaris,
para corregir los posibles errores que puedan ir SISTEMA
Linux, AIX, etc),
surgiendo, los datos de las auditorías se pueden eliminar. OPERATIVO
WINDOWS
Por otra parte, como ya se comentó, la mejora de las Escalabilidad a IPS
capacidades de proceso ha hecho posible el análisis en SI SI
tiempo real. Esto ha permitido desarrollar mecanismos
automáticos de respuesta ante posibles ataques, como XI. CONCLUSIONES
por ejemplo denegando el acceso a un posible intruso,
o reflejando contra el atacante los ataques realizados. Estos • Una de las principales ventajas que presentan los IDS
métodos se describen con más detalle en capítulos es un mayor grado de integridad al resto de la
posteriores. infraestructura de seguridad, proporcionando capas
adicionales de protección a un sistema asegurado. La
Control : La forma de administrar un sistema de detección estrategia de un atacante del sistema incluirá a menudo
de intrusiones es otro elemento a tener en cuenta. Existen los dispositivos de seguridad que atacan, que anulan o
dos acercamientos, según el sistema monitorice que protegen. Los IDS pueden reconocer estos
múltiples "hosts" o redes: la centralización y la primeros sellos de ataque, y potencialmente responden
integración con herramientas de gestión de redes. a ellos, atenuando daños. Además, cuando estos
dispositivos fallan, debido a la configuración, al ataque,
La centralización consiste en concentrar las funciones de o al error del usuario, los IDS puede reconocer el
control en un nodo, que dirige a los demás elementos de problema y notificar a la gente adecuada.
detección de intrusiones. Para este punto de vista es
• Los IDS permiten que los administradores y los
necesario establecer comunicaciones seguras entre los
encargados ordenen y comprendan lo que les dicen las
elementos del sistema. También es necesario poder
fuentes de información suministradas antes de que
mostrar los resultados recogidos por todos los elementos de
ocurran las pérdidas en el sistema monitoreado.
forma coherente y clara.
• Los IDS pueden rastrear la actividad del usuario de la
punta de entrada a la punta de salida o del impacto.

Además, las identificaciones pueden detectar las
acciones de un "mal individuo " ya dentro, un ataque ya
iniciado o un camino previamente desconocido de la
entrada a la red.
• Pueden reconocer y señalar alteraciones a los archivos
críticos del sistema y de datos. Las herramientas de
integridad del archivo utilizan sumas de comprobación
criptográficas fuertes por bloques, y en el caso de un
problema, comprobar rápidamente el fragmento del
daño.
• Existen muchos IDS en el mercado, desde software con
un alto coste económico a ofertas totalmente gratuitas y
capaces. Lo que hay que tener en cuenta es quién se
encargará del soporte del IDS y si esta lo
suficientemente capacitado para actualizar la base de
datos del IDS y conocer todos los tipos de ataques y
sus variaciones.
• La gran ventaja de utilizar productos de detección de
intrusos es que proporcionan a los administradores una
visión en tiempo real de lo que realmente está
ocurriendo en la red. Sin monitoreo activo, muchos
sitios están volando sin rumbo. Pocas personas revisan
sus logs de sistema y quienes lo hacen casi nunca las
examinan en tiempo real. La consecuencia es una serie
de posibles problemas, sin tener idea de cómo entraron
los intrusos, qué hicieron ni qué tan lejos llegaron.
• Un IDS inteligente permite detectar nuevos paquetes
peligrosos a partir del conocimiento previamente
adquirido, lo que no sucede con los sistemas
tradicionales. Esto permite que el administrador de una
red se convierta en un contribuyente de conocimiento y
no simplemente en un usuario de sistemas de detección
de intrusos.
• Existen diferentes técnicas de Inteligencia Artificial
como la Lógica Difusa, los Árboles de Decisión, reglas
de asociación, inducción de reglas, etc; para optimizar
el aprendizaje autónomo de los IDS’s.
• La Importancia de los Sistemas distribuidos aplicados a
los IDS’s radica en la capacidad de reacción de los
sensores que están distribuidos en diferentes puntos de
la red y que envían las alertas a un sistema centralizado
donde el operador podrá analizarlas y tomar decisiones
para optimizar la calidad del monitoreo.
RECOMENDACIONES
• La arquitectura basada en agentes autónomos, basa su
desarrollo en las carencias y limitaciones que presentan
los IDS existentes. La principal carencia de los viejos (y
primeros) IDS es que los datos son recogidos por un
solo host, además, algunos de los que intentan
solucionar esta desventaja utilizan una colección de
datos distribuida, pero analizada por una consola
central.
• Basándose en estas limitaciones, se ha introducido el
término de Agente Autónomo definido como una
entidad software capaz de analizar actividades de una
manera flexible e inteligente, capaz de funcionar
continuamente y de aprender por su experiencia y la de
otros agentes, además de comunicarse y cooperar con
6
ellos. Los agentes son autónomos porque son
entidades que se ejecutan independientemente y no
necesitan información de otros agentes para realizar su
trabajo.
• Las principales ventajas que puede aportar una
arquitectura basada en Agentes Autónomos residen en
que si un agente para de trabajar por cualquier motivo,
solamente sus resultados se pierden, sin afectar a otros
agentes autónomos. Además, la posible organización
de los agentes en estructuras jerárquicas con diferentes
capas hace un sistema escalable. Por estos motivos, un
agente autónomo puede cruzar la barrera de los HIDS y
los NIDS y realizar ambas funciones, así como estar
implementado en el lenguaje que mejor le convenga
para cada caso.
• La arquitectura basada en Agentes Autónomos se basa
en tres componentes esenciales: agentes, transceivers y
monitores.
• Un agente autónomo puede ser distribuido sobre
cualquier número de hosts en una red. Cada host puede
contener un número de agentes que monitorea una
cierta característica (cada uno). Todos los agentes de
un host envían sus resultados a un transceiver y estos
envía sus resultados globales del host a uno o más
monitores.
• La aplicación de redes neuronales para la detección de
intrusos en redes puede ser de gran apoyo para los
sistemas de detección tradicionales gracias a su
capacidad de generalización y aprendizaje.
• El éxito de un sistema de redes neuronales se basa en el
entrenamiento y en la selección de un universo
adecuado y familiar a la red donde se planea utilizar el
sistema. Los niveles de incertidumbre que ofrecen las
redes neuronales permiten que se puedan detectar
patrones o comportamientos que para otros sistemas
basados en reglas son descartados debido a las
características discretas de estos.
• La creación de un sistema de entrenamiento daría la
posibilidad de actualizar el sistema autónomamente,
según las necesidades del administrador.
• Uno de los principales problemas que pueden
presentarse por la configuración de un IDS en una red
informática es la sobrecarga en la red y en los
dispositivos que la componen ya que el analisis que
realiza el IDS del trafico tanto saliente como entrante
retarda la velocidad en la red.
• Una extensión de este trabajo sería la implementación
de un simulador de IDS inteligente posiblemente con
una arquitectura Multiagente capaz de diferenciar y
clasificar los diferentes tipos de ataques que pueden
aparecer en una red informática.
BIBLIOGRAFIA
[Att76] C.R. Attanasio, P.W. Markstein and R.J. Phillips,
Penetrating an Operating System: A Study of VM/370
Integrity, IBM System Journal, vol. 15, 1, pp. 102-116,
1976.

[Bel73] D. E. Bell and J. L. LaPadula. Secure Computer
Systems: Mathematical Foundations and Model. Technical
Report M74-244, MITRE Corporation, Bedford,
Massachusetts, May 1973.
[Bib77] K. J. Biba. Integrity Constraints for Secure
Computer Systems. Technical Report ESD-TR-76-372,
USAF Electronic Systems Division, Bedford,
Massachusetts, April 1977.
[DAR04] DARPA Intrusion Detection Evaluation, Lincoln
Laboratory, Massachusetts Institute of Technology.
http://www.ll.mit.edu/IST/ideval/pubs/pubs_index.html,
(07/10/2004).
[Den82] Dorothy E. Denning. Cryptography and Data
Security. Addison-Wesley, Reading, Massachusetts, 1982.
[Dif76] Whitfield Diffie and Martin E. Hellman. New
Directions in Cryptography. IEEE Transactions on
Information Theory, vol. IT-22, num. 6, pp. 644-654, 1976.
[Gar91] Simson Garfinkel and Gene Spafford. Practical
UNIX Security. O’Reilly and Associates, Sebastopol,
California, 1991.
[Jay97] N.D. Jayaram and P.L.R. Morse, Network Security
- A Taxonomic View, In Proceedings of the European
Conference on Security and Detection, School of Computer
Science, University of Westmister, UK, Publication No.
437, 28-30, April 1997.
[Ken98] K. Kendall, A Database of Computer Attacks for
the Evaluation of Intrusion Detection Systems,
Massachusetts Institute of Technology Master's Thesis,
1998.
[Krs98] I. Krsul, Software Vulnerability Analysis, Purdue
University Ph.D. dissertation, May 1998.
[Kum95] Sandeep Kumar. Classification and Detection of
Computer Intrusions. PhD thesis, Purdue University, West
Lafayette, IN, USA, Aug 1995.
[Kum95b] S. Kumar, Classification and Detection of
Computer Intrusion, Computer Science Department, Purdue
University Ph.D. dissertation, August 1995.
[Lam71] B. W. Lampson. Protection. Proceedings of the
5th Princeton Syrup. of lnformation $ci. and $yst.,
Princeton Univ., (1971), pp. 437-443
[Lan94] C. Landwehr, A. Bull, J. McDermott and W. Choi,
A Taxonomy of Computer Program Security Flaws, ACM
Computing Surveys, vol. 26, 3, pp. 211-254, September
1994.
[Lind97] U. Lindqvist and E. Jonsson, How to
Systematically Classify Computer Security Intrusions,
IEEE Security and Privacy, pp. 154-163, 1997.
7
[Lou01] D. Lough. A Taxonomy of Computer Attacks
with Applications to Wireless Networks. Virginia
Polytechnic Institute PhD Thesis, April 2001.
[Mar01] D. Marchette, Computer Intrusion Detection and
Network Monitoring, A Statistical Viewpoint. New York,
Springer, 2001.
[Neu89a] P.G. Neumann and D.B. Parker. A Summary of
Computer Misuse Techniques. In Proceedings of the 12th
National Computer Security Conference, 396-407, 1989.
[Neu89b] P.G. Neumann and D.B. Parker, COMPUTER
CRIME Criminal Justice Resource Manual, U.S.
Department of Justice National Institute of Justice Office of
Justice Programs, Prepared by SRI International under
contract to Abt Associates for National Institute of Justice,
U.S. Department of Justice, contract #OJP-86-C-002., 1989.
[Neu95] P.G. Neumann. Computer Related Risks. The
ACM Press, a division of the Association for Computing
Machinery, Inc. (ACM), 1995.
[NSA89] National Security Agency. A Guide to
Understanding Identification and Authentication in Trusted
Systems NCSC-TG-017 Library No. 5-235,479 Version 1
[Light Blue Book]
[Par75] D.B. Parker, Computer Abuse Perpetrators and
Vulnerabilities of Computer Systems, Stanford Research
Institute, Menlo Park, CA 94025 Technical Report,
December 1975.
[Pow95] Richard Power. Current and Future Danger.
Computer Security Institute, San Francisco, California,
1995.
[Ric99] T. Richardson, J. Davis, D. Jacobson, J. Dickerson
and L. Elkin. Developing a Database of Vulnerabilities to
Support the Study of Denial of Service Attacks. IEEE
Symposium on Security and Privacy, May 1999.
[Ric01] T. Richardson, The Development of a Database
Taxonomy of Vulnerabilities to Support the Study of Denial
of Service Attacks., Iowa State University PhD Thesis,
2001.
[Rus91] Deborah Rusell and G. T. Gangemi Sr. Computer
Security Basics. O’Reilly & Associates, Inc., Sebastopol,
California, December 1991.
[Sha49] Claude E. Shannon. Communication Theory of
Secrecy Systems. Bell System Technical Journal, vol.28-4,
page 656--715, 1949.
[Was68] Wasserman, Joseph J. The Vanishing Trail. Bell
Telephone Magazine 47, no. 4, July - August 1968: 12 -
15.
[Ncsc88] National Computer Security Center. Glossary of
Computer Security y Terms. Versión 1, Rainbow Series,
Octubre 1988.

[Ncsc85] National Computer Security Center. Department
of Defense Trusted Computer System Evaluation Criteria.
Orange Book, DOD 5200.28-std, December 1985.
[Ncsc88b] National Computer Security Center. A Guide to
Understanding audit in Trusted Systems. Versión 2, June
1988.
8
[Br00] Bace, R. Intrusion Detection. Macmillan
Technical Publishing, 2000.
[Rae94] Real Academia Española. Diccionario de la
lengua Española. Espasa Calpe, S.A. 1994.
[Cor05] CORDOBA Gregorio , LeFORT Guillermo y
HODALI George. Paper IDS. Informaciòn [online]. Enero
de 2005. Pàgina 3 y 4.

[Aj72] Anderson, James, P. Computer Security [Lee98a] Wenke Lee and Sal Stolfo. Data Mining
Technology Planning Study. ESD-TR-73-51, v II. Approaches for Intrusion Detection. In Proceedings of the
Electronic Systems Division, Air Force Systems Seventh USENIX Security Symposium (SECURITY '98),
Command, Hanscom Filed, Bedford, MA, octubre 1972. San Antonio, TX, January 1998.

[Aj80] Anderson, James P. Computer Security Threat [Bio04] Elementos de Inmunología.

Monitoring and Surveillance. Fort Washington, PA: James http://www.biologia.edu.ar/inmunologia/immunidad.htm
P. Anderson Co., 1980. (17/09/04).

[Dde86] Denning, Dorothy E. An Intrusion Detection [Aic04] Aickelin U, Greensmith J and Twycross J. Immune
Model. Proceedings of the 1986 IEEE Symposium on System Approaches to Intrusion Detection - A Review.
Security and Privacy, Oakland, CA, April 1986. Proceedings ICARIS-2004, 3rd International Conference on
Artificial Immune Systems, pp tba, Springer, Catania, Italy.
[Sri03] SRI International. System Design Laboratory
Laborator y - Intrusion Detection. [En línea]. Fecha no [Mor03] Eduardo F. Morales. Descubrimiento de
disponible [consultado en enero, 2003]. Next-Generation Conocimiento en Bases de Datos.
IDES (NIDES). Disponible desde Internet http://dns1.mor.itesm.mx/~emorales/ (18/10/2004).
<http://www.sdl.sri.com/programs/intrusion/history.html>
. http://www.deaddrop.com/InfoSec/Papers/IDSeval.html
[Twt86] Tener, William T. Discovery: An Expert System
in the Commercial Data Security Environment
.Proceedings of the IFIP Security Conference, Monte
Carlo, 1986.

[Sse88] Smaha Steve E. An Intrusion Detection Syst em

for the Air Force. Proceedings of the Fourth Aurospace
Computer Security Applications Conference, Orlando, FL,
December 1988.

[Smm88] Sebring, Michael M., E. Shellhouse, M. E.

Hanna, and R. A. Whitehurst. Expert Systems in Intrusion
Detection: A Case Study. Proceedings of the Eleventh
National Computer Security Conference, Washington,
DC, October 1988.

[Ht95] Heberlein, Todd. Network Security Monitor

(NSM) - Final Report . Lawrence Livermore National
Laboratory, Davis, CA, February 1995.
[Vhs89] Vaccaro, Henry S. and G. E. Liepins. Detection
of Anomalous Computer Session Activity. Proceedings of
the 1989 IEEE Symposium on Security and Privacy,
Oakland, CA, May 1989.

[Seh89] Safford, Eugene H. The Internet Worm: Crisis

and Aftermath; Communications of the ACM; 32(6): 678 -
687, June 1989.

[Ssr92] Snapp, S.R. et al. DIDS (Distributed Intrusion

Detection System) œ Motivation, Architecture, and An
Early Prototype. Proceedings of the Fifteen the National
Computer Security Conference, Baltimore, MD, October
1992.