Un software de Detección y Prevención de Intrusos, IDS/IPS, monitoriza redes y equipos en tiempo real en busca de comportamientos sospechosos no susceptibles de ser detectados por dispositivos de seguridad convencionales. ¿Por qué el empleo de data-mining? ¿Qué nos puede proporcionar a nivel de IDS? Idealmente, un sistema IDS identificaría todo tipo de intrusiones (o intentos de intrusión) y llevaría a cabo o recomendaría las acciones necesarias para parar el ataque.Para determinar como pueden ayudarnos las técnicas de data-mining en la detección de intrusos más avanzada es importante conocer cómo trabajan los sistemas IDS actualmente para identificar una intrusión. Existen dos aproximaciones para la detección de intrusiones: detección de usos incorrectos/fraudulentos y detección de comportamientos “anormales” en la red. La detección de usos “fraudulentos” es la habilidad para identificar intrusiones basadas en un patrón conocido para la actividad “maliciosa” (denominadas firmas). La segunda aproximación, detección de “comportamientos anormales”, constituye el intento de identificar tráfico malicioso basado en desviaciones respecto a los patrones establecidos de tráfico de red normales. La mayor parte de los sistemas IDS que pueden ser adquiridos emplean la primera de las dos técnicas. La mayoría ellos incorporan un conjunto de “firmas” específicas para vulnerabilidades o exploits específicos de los sistemas. La mayoría de los proveedores de sistemas IDS también proporcionan actualizaciones de firmas regulares en un intento de mantener el ritmo de aparición de nuevas vulnerabilidades en los sistemas. La justificación del empleo de técnicas de data-mining en los sistemas IDS viene determinada por las deficiencias o carencias que estos sistemas presentan al margen de la efectividad de las firmas desarrolladas para la detección de vulnerabilidades:
- Variantes: El problema viene determinado por las modificaciones temporales o inmediatas que puede sufrir el exploit para el cual ha sido diseñada la firma del IDS.
- Falsos positivos: se fundamenta en la consideración por parte del IDS de tráfico normal de red como tráfico malicioso básicamente por la dificultad intrínseca vinculada al desarrollo de firmas para vulnerabilidades específicas.
- Falsos negativos: detección de ataques para las que no existen firmas de manera que el sistema IDS no alerta de una posible intrusión maliciosa al no disponer de una firma que detecte la misma.
- Sobrecarga de datos: otro aspecto no vinculado a la detección de usos fraudulentos de tráfico en red viene determinado por la necesidad de un análisis de tráfico efectivo y eficiente. Dependiendo de la herramienta IDS la cantidad de datos que
requiere verificar aumenta de forma considerable y logs generados pueden llegar a alcanzar millones de registros.
¿Cómo pueden ayudarnos las técnicas de datamining? Mediante la adicción de mayor nivel de análisis o “refinamiento” en la detección de tráfico de red no convencional.
Variantes: la técnica de datamining posibilita la detección de patrones comunes en la explotación de vulnerabilidades específicas a través de variantes distintas de un mismo exploit, actividad difícilmente realizable a través del establecimiento de firmas concretas.
Falsos positivos: las técnicas de datamining permiten detectar secuencias recurrentes de alarmas con objeto de detectar tráfico de red válido.
