Sistema inteligente de detección de intrusiones

Abstract

El sistema diseñado es un sistema de detección de intrusiones mediante el análisis del payload del tráfico de la red en busca de algún tipo de malware. Este sistema implementa su algoritmo de detección como “preprocesador dinámico” de Snort. Mediante el trabajo conjunto de Snort y del Sistema diseñado puede afirmarse que se obtiene un sistema altamente eficaz ante ataques conocidos (mediante el paso de reglas de Snort) e igualmente eficaz ante ataques nuevos o desconocidos (que era el objetivo prioritario del sistema diseñado). Para resumir su funcionamiento bastaría decir que, como la mayoría de este tipo de sistemas, consta de dos fases: entrenamiento y detección. Durante la fase de entrenamiento se crea un modelo estadístico del tráfico legítimo de la red mediante las técnicas Bloom Filters, N-Grams y Redes Neuronales (SOM y LVQ). Posteriormente se comparan los resultados obtenidos al analizar un dataset de ataques con dicho modelo de manera que se obtienen un conjunto de reglas que serán capaces de determinar si un determinado payload analizado corresponde a algún tipo de malware o por el contrario puede clasificarse como tráfico legítimo. Durante la fase de detección se pasa el tráfico a analizar por el Bloomfilter creado en la fase de entrenamiento y se comparan los resultados obtenidos con las reglas que se produjeron durante la fase de entrenamiento. [ABSTRACT] The designed system is an intrusion detection system by analysis of Payload from network traffic to look for some kind of Malware. This system implements its detection algorithm as "dynamic pre-processor" of Snort. By working together of Snort and this system someone can affirm that a highly effective system to known attacks (by passing Snort rules) and equally effective against new and unknown attacks (which was the main objective of the designed system) is obtained. To summarize the system working would suffice to say that, like most such systems, it consists of two phases: an initial training phase and a second phase of detection. During the training phase a statistical model of legitimate network traffic through the techniques Bloom Filters, N-Grams and Neuronal Networks (SOM and LVQ) is created. Then the results obtained by analyzing a dataset of attacks with this model is compared and thus a set of rules that will be able to determine whether a payload analyzed corresponds to some kind of Malware or otherwise be classified as legitimate traffic is obtained. During the detection phase the traffic for analyzing is passed by the Bloom Filter which it is created in the training phase and the obtained results with the rules that occurred during the training phase are compared.