Home | Sistema de detección "cross-layer"
 

Sistema de detección "cross-layer"

La mayor parte de los esquemas de detección planteados para la seguridad de redes MANET se refieren a IDS. Los IDS tradicionales se centran principalmente en la detección de intrusiones mediante la monitorización de la capa de red (capa 3 en el modelo OSI) y superiores, confiando que resultará de gran dificultad la obtención de acceso físico al cable o a los dispositivos a proteger. La aparición de las redes 802.11 provocó la propuesta de heurísticas de detección de intrusiones a nivel de enlace y nivel físico que también fueron incorporados a los IDS inalámbricos, siendo actualmente ésta una área activa de investigación [16]. Debido a las ya nombradas características inherentes a las redes MANET, éstas se ven expuestas a una serie de ataques específicos que pueden producirse en todas las capas de la pila de protocolos (ver Tabla 1 en el apartado de Aspectos de seguridad). Este hecho hace que el diseño de un IDS específico para redes MANET se convierta en todo un reto. La presente propuesta aborda la elaboración de medidas de detección en este ámbito.


Para la consecución de este objetivo surge la idea de la detección cross-layer, o multicapa. Un diseño que contemple la comunicación entre las distintas capas de la pila de protocolos, o que haga uso de la información disponible en cada una de ellas, permitirá llevar a cabo un proceso de detección multinivel, previéndose una mayor eficiencia en la detección. En los IDS cross-layer (CIDS), las características de comportamiento (o features) son extraídas de varias capas, dando lugar a dos posibles enfoques o aproximaciones [17]:

 

  • Análisis múltiple o MCMA (Multiple Collection & Multiple Analysis): cada capa sobre la que se realiza la detección dispone de un módulo propio de recopilación de datos y análisis, por lo que los procesos de detección se realizan de forma independiente. Las predicciones de las distintas capas individuales son posteriormente ponderadas y correladas entre sí, dando lugar a la decisión final. Sin embargo, realizar el análisis (proceso computacionalmente costoso) sobre cada capa aumenta la capacidad de procesamiento necesaria.

 

  • Análisis único o MCSA (Multiple Collection & Single Analysis): frente a la configuración anterior, puede disponerse de un único módulo de análisis que procese los datos recopilados de las distintas capas, tomando una decisión final. Comparado con el enfoque MCMA, esta aproximación reduce la sobrecarga usando un único componente de análisis.


En esta propuesta de proyecto se pretende explorar ambas aproximaciones con el fin de determinar los diseños óptimos en la implementación de IDS para MANET. Otra de las decisiones críticas a la hora de implementar un IDS cross-layer  es la selección de las capas sobre las que se realizará la detección. Diferentes combinaciones de capas darán como consecuencia la detección de distintos tipos de ataques. Por ejemplo, las características de los protocolos de routing y de la capa física son adecuadas para detectar ataques de routing; los ataques a la capa de aplicación se podrían detectar combinando las capas de aplicación y de transporte; los ataques DoS de fuerza bruta se detectan de forma óptima en la capa MAC, etc. También este aspecto se considerará cuidadosamente a lo largo del proyecto.