Reconocimiento de anomalías para la detección de intrusiones en nuevos escenarios de monitorización

  1. Maestre Vidal, Jorge
Dirigida por:
  1. Ana Lucila Sandoval Orozco Director/a
  2. Luis Javier García Villalba Director

Universidad de defensa: Universidad Complutense de Madrid

Fecha de defensa: 18 de diciembre de 2018

Tribunal:
  1. Javier Portela García-Miguel Presidente
  2. Antonio Sarasa Cabezuelo Secretario
  3. Julio César Hernández Castro Vocal
  4. Jesús Esteban Díaz Verdejo Vocal
  5. Andrés Caro Lindo Vocal
Departamento:
  1. Ingeniería del Software e Inteligencia Artificial

Tipo: Tesis

Resumen

La protección de la información y el ciberespacio se ha convertido en un aspecto esencial en el soporte que garantiza el avance hacia los principales desafíos que plantean la sociedad de la información y las nuevas tecnologías. Pero a pesar del progreso en esta área, la eficacia de los ataques dirigidos contra sistemas de la información ha aumentado drásticamente en los últimos años. Esto es debido a diferentes motivos: en primer lugar, cada vez más usuarios hacen uso de tecnologías de la información para llevar a cabo actividades que involucren el intercambio de datos sensibles. Por otro lado, los atacantes cada vez disponen de una mayor cantidad de medios para la ejecución de intentos de intrusión. Finalmente, es de especial relevancia la evolución de los escenarios de monitorización. Éste hecho es propiciado por el avance tecnológico, dando lugar a sistemas de cómputo mucho más complejos, con mayor capacidad de procesamiento y que son capaces de manejar información masiva proporcionada por fuentes de diferente naturaleza. Por lo tanto, los nuevos sistemas defensivos deben hacer frente al análisis de una mayor cantidad de información, cuyas características son mucho más variables y heterogéneas. A este problema se le añaden los desafíos que ya planteaban los sistemas de detección de intrusiones convencionales, como la evolución de las técnicas intrusivas de evasión, o los nuevos retos de la sociedad de la información, como su accesibilidad universal o la salvaguarda de la privacidad de los usuarios. La consecuencia directa de estos cambios es que los resultados obtenidos al evaluar los sistemas de detección de intrusiones convencionales no presentan coherencia con los resultados obtenidos al operar sobre entornos de monitorización reales, ya sujetos a las características imbuidas por las nuevas tecnologías. Las diferentes organizaciones para la seguridad de la información se han hecho eco de este problema, alertando de la necesidad de disponer de herramientas de detección mucho más eficaces, y adaptadas a las nuevas amenazas. Con el fin de contribuir al estudio de sus causas y plantear soluciones, el trabajo de investigación realizado se centra en una de las estrategias de detección de intrusiones con mayor impacto en la última década: el reconocimiento de anomalías. Las propuestas que implementan estas técnicas analizan comportamientos discordantes observados en el entorno de monitorización, y asumen que, si alguna de estas observaciones difiere de manera significativa de su modo de uso habitual, es indicadora de una posible acción intrusiva. A lo largo de esta tesis se ha llevado a cabo una revisión en profundidad de los esquemas de detección de anomalías más relevantes, analizando sus características y las consecuencias que implican al operar sobre escenarios actuales. A continuación se han estudiado diferentes casos de uso, para los cuales se ha llevado a cabo la identificación de las dificultades y riesgos inherentes al despliegue de estos sistemas, indagándose en sus causas y el cómo han sido afrontados desde la comunidad investigadora. Finalmente se han introducido nuevos principios de diseño, metodologías y estrategias de detección capaces de mitigar estas inconveniencias. A partir de la amplia experimentación realizada y los resultados obtenidos, es posible comprobar que la adaptación de la detección de anomalías a la identificación de amenazas en escenarios de monitorización actuales sigue siendo viable, incluso a pesar de las nuevas dificultades que puedan llegar a plantear.