Sistema híbrido para la detección de código malicioso

Abstract

Los Sistemas Detectores de Intrusos deben formar parte de la seguridad de todo tipo de redes y sistemas informáticos. Actualmente, la mayoría de estos sistemas de detección se basan en firmas para localizar ataques ya conocidos. Este trabajo propone y desarrolla un prototipo de IDS híbrido que proporciona seguridad ante ataques conocidos y ante ataques nuevos. Para ello, usa un conocido IDS basado en firmas llamado Snort y propone un sistema de creación de patrones del tráfico legítimo para detectar anomalías. El sistema está diseñado para detectar código malicioso ya que analiza todo el payload de los paquetes. Sin embargo, los resultados muestran que puede detectar otro tipo de intrusiones. [ABSTRACT] Intrusion Detection Systems must be included in security system of any networks or computer systems. Nowadays, the great majority of detection systems are based on signatures to find already known assaults. This paper proposes and develops a prototype of hybrid IDS that provides safety with known and new assaults. To that effect, the system uses a known IDS based on signatures called Snort and proposes a system based on usual traffic´s patterns to detect anomalies. This system is designed to detect malicious code since analyzes complete package´s payload. However, results show that it can detect another type of intrusions.