Una Aproximación Basada en Snort para el Desarrollo e Implementación de IDS Híbridos

Jesús Esteban Díaz Verdejo; Pedro García-Teodoro; Pablo Muñoz; Gabriel Maciá-Fernández; Francisco de Toro Negro

Abstract:

El desarrollo y despliegue de sistemas de detección de intrusiones basados en anomalías aún presenta, adicionalmente a la mejora de las técnicas de modelado, dos importantes problemas. El primero está relacionado con la adquisición y gestión de tráfico real para su utilización en el entrenamiento de los sistemas. El segundo concierne al mejor rendimiento que presentan los sistemas basados en firmas para la detección de ataques conocidos. En este artículo se propone el uso de una versión modificada de Snort para que opere como detector/clasificador híbrido. Esta versión puede ser utilizada durante la fase de entrenamiento del sistema basado en anomalías y como detector híbrido. Adicionalmente, puede ser ajustado para operar únicamente como detector basado en firmas, como detector basado en anomalías o como ambos (detector híbrido). Por otra parte, la versión resultante puede ser directamente utilizada para la captura y clasificación de tráfico de acuerdo a su naturaleza maliciosa o no, lo que facilita la adquisición y gestión del tráfico de entrenamiento.

Research areas: