Modelo para la integración de técnicas heterogéneas de detección de intrusos en sistemas distribuidos

Resumen

En la presente tesis se ha llevado a cabo una investigación detallada sobre los problemas de seguridad de las redes de computadores, dentro del ámbito de los Sistemas de Detección de Intrusos Distribuidos o DIDS y centrada fundamentalmente en el campo de la correlación e integración de las alertas generadas por este tipo de sistemas. El principal resultado de este trabajo ha sido la creación de un modelo general de detección de intrusos distribuido que permite de manera sistemática la integración de múltiples métodos de correlación de alertas. El trabajo aborda los siguientes aspectos fundamentales: *Una revisión del estado del arte sobre los aspectos relacionados con los sistemas de detección de intrusos distribuidos y los mecanismos empleados por éstos para correlacionar las alertas producidas. *Desarrollo de un marco formal que constituye el contexto en el cual definir y especificar formalmente el modelo. *Creación y formulación de un modelo general de detección distribuido que permite la integración de múltiples métodos de correlación de alertas. *Definición de un método de integración que, basándose en técnicas de aprendizaje de máquina y empleando una métrica de evaluación de IDS, permite la integración de múltiples métodos de correlación, mejorando el rendimiento de estos métodos por separado gracias al aprovechamiento de la información sobre las capacidades de las técnicas de correlación que forman parte de dicha integración *Diseño de una arquitectura completamente distribuida del sistema con criterios de escalabilidad, flexibilidad y adaptación que permite implantar el modelo en entornos reales. *Diseño y realización de un conjunto de experimentos cuyos resultados demuestran la validez de la propuesta y, por ende, de la hipótesis de partida.