Para alcanzar el reto de proveer y disponer de servicios confiables de forma continuada, los sistemas de detección de intrusiones previamente explicados necesitan tener continuidad con posteriores acciones que aporten las propiedades de adaptabilidad y recuperación requeridas. Este punto ha sido tradicionalmente considerado del dominio de los administradores de los sistemas, encargados de proporcionar una respuesta manual a las alarmas de intrusión obtenidas del IDS. En esta línea, las respuestas de los administradores suelen ser del tipo: restricción de privilegios, aislamiento de nodos, terminación de conexiones, etc.

Sin embargo, la dependencia de un administrador que compruebe las alarmas generadas en la etapa de detección implica que la respuesta del sistema raramente se producirá en tiempo real y, por lo tanto, será considerado como un proceso offline, con las implicaciones y riesgos que ello conlleva. Asimismo, este procedimiento de actuación es claramente ineficiente y del todo inabarcable cuando el número de usuarios y elementos de la red a gestionar crece, siendo la escalabilidad otro de sus puntos débiles. Es por estas razones que la implantación de herramientas sofisticadas que proporcionen una respuesta automática se convierte en un punto de vital importancia, apareciendo así los ya citados sistemas de respuesta a intrusiones o IRS.

Una de las clasificaciones más ampliamente aceptadas hoy día para los IRS [18] se basa en el mecanismo de selección de respuesta que rige su funcionamiento:

• De decisión estática (static mapping): se basan en la realización de un mapeo estático entre las alertas generadas por el detector y las respuestas desplegadas. El IRS dispone de una tabla en la que el administrador incluye todas las alertas posibles en el sistema, así como la respuesta determinada a ejecutar frente a cada una de ellas. Son sistemas sencillos de implementar y mantener pero muy predecibles y, por tanto, vulnerables. Asimismo, no son capaces de monitorizar el estado global del sistema, por lo que no tienen en cuenta el posible impacto de la respuesta sobre el mismo.

• De decisión dinámica (dynamic mapping): en esta categoría se encuentran los IRS que realizan un razonamiento sobre el ataque en curso dependiendo de las alarmas observadas, y seleccionan la respuesta apropiada en función de ello. La elección de la respuesta se toma teniendo en cuenta diversos factores o métricas, como el grado de evidencia que presenta el incidente o la severidad del mismo. Una alerta de seguridad estará, por tanto, asociada a un conjunto de posibles respuestas. El ajuste de las citadas métricas dota a estos sistemas de una mayor flexibilidad, proporcionando también un mayor control.

• Sensibles al coste (cost-sensitive): intentan compensar el posible daño producido por la intrusión con el coste de la respuesta, determinando aquella que sea óptima según un modelo sensible a factores de coste y riesgo. La medición precisa de estos factores es uno de los mayores retos en este tipo de sistemas. Adicionalmente, una desventaja de estos sistemas es la necesidad de actualizar los factores a lo largo del tiempo, proceso generalmente llevado a cabo de forma manual.

De modo análogo al caso de los IDS, en este proyecto se abordará el diseño de un sistema de respuesta basado en cross-layering. Se prevé con ello la consecución de una mayor eficiencia de la respuesta desplegada, gracias a la capacidad de comunicación e interactuación entre las distintas capas. A modo de ejemplo de una situación del esquema de tolerancia multicapa completo, sirva decir que como posible mecanismo de reacción ante la determinación de un envenenamiento de las rutas, detectado éste, digamos, a partir de información proporcionada por las capas de red y MAC, podría llevarse a cabo una doble actuación: modificación del algoritmo de routing y/o las rutas a considerar, además de la diversificación en frecuencia a través de la reorientación de las antenas de emisión/recepción.