Por definición, cualquier cosa que sea diferente, anormal, peculiar o de difícil clasificación puede ser una anomalía. En el contexto de la seguridad informática, se puede definir una anomalía como una acción o dato que no se considera normal para un determinado sistema, usuario o red. Esta definición abarca un rango bastante amplio y puede incluir cosas tales como patrones de tráfico [WMM04b], actividades de usuarios y comportamiento de aplicaciones. Se cree que al menos una fracción significativa de las amenazas o condiciones que les conciernen debería manifestarse como anomalía y, por tanto, debería resultar detectable[Her03].
Un detector de anomalías debe ser capaz de distinguir entre
la anomalía y lo normal. Se pueden dividir las técnicas de detección de
anomalías en estáticas y dinámicas [JS99].
Un detector de anomalías estático se basa en la
premisa de que existe una porción del sistema observado que debe permanecer
constante. La porción estática de un sistema se compone de dos partes: código
del sistema y datos del sistema. Las porciones estáticas del sistema pueden ser
representadas por cadenas binarias de bits o un conjunto cadenas (como archivos
por ejemplo). Si la porción estática de un sistema se llega a desviar de su
forma original, ha ocurrido un error o un intruso ha alterado la porción
estática del sistema. Es por esto que se dice que los sistemas de detección de
anomalía estáticos revisan la integridad de los datos.
La detección dinámica de anomalías incluye una
definición de comportamiento. Frecuentemente los diseñadores de sistemas
emplean la noción de evento. El comportamiento de un sistema se define
como la secuencia ( o secuencia parcialmente ordenada ) de eventos distintos.
Por ejemplo, muchos sistemas de detección de intrusiones utilizan los registros
de auditoría que son (generalmente por omisión) generados por el sistema
operativo para definir los eventos de interés. En este caso, el único
comportamiento que puede ser observado es aquél que resulta de la creación de
los registros de auditoría del sistema operativo. Los eventos pueden ocurrir en
una secuencia estricta, pero a menudo, como en el caso de los sistemas
distribuidos, el ordenamiento parcial es más apropiado. Incluso en otros casos,
el orden no está representado directamente; sólo información acumulativa, como:
la carga acumulada de uso del procesador durante un intervalo de tiempo. En
este caso, se definen límites para separar el consumo normal del recurso del
consumo anómalo de este.
Cuando existe incertidumbre sobre si el comportamiento es
anómalo o no, el sistema puede confiar en parámetros establecidos durante la
inicialización para medir el comportamiento. El comportamiento inicial se asume
como ``normal''. Se mide y después se utiliza para establecer parámetros que
describan el comportamiento nominal o ``normal''. Típicamente no existe un
límite preciso entre el comportamiento normal y el anómalo, como se ilustra en
la figura 2.3.
Si el comportamiento incierto no considera anómalo, entonces
la actividad de intrusión puede no ser detectada. Si el comportamiento incierto
se considera anómalo, el administrador del sistema puede recibir alertas
falsas, es decir en casos donde no existe una intrusión.
La manera más común de establecer este límite, es a través
de una distribución estadística que tenga un promedio y una desviación
estándar. Una vez que la distribución ha sido establecida, se puede delimitar
la frontera utilizando algún número de desviaciones estándar. Si una
observación cae en un punto fuera del número (parametrizado) de desviaciones
estándar, se reporta como una posible intrusión.
Un detector de anomalías dinámico debe definir alguna noción
del ``actor'', el intruso potencial. Un actor frecuentemente es definido como
un usuario, esto es, la actividad que se puede identificar con una cuenta y
presumiblemente entonces con un ser humano en específico. Alternativamente, se
observan procesos o usuarios en particular. La relación que existe entre
procesos, cuentas y seres humanos solo puede determinarse cuando se emite una
alerta. En la mayoría de los sistemas operativos existe una clara relación
entre cualquier proceso y el usuario o cuenta de usuario que lo ejecuta. De
manera similar, un sistema operativo mantiene una lista que relaciona a los
procesos con los dispositivos físicos que utiliza.
Es importante hacer notar que la detección de anomalías,
limitada a los eventos visibles al sistema operativo, o el comportamiento de
dicho sistema operativo como reacción a los usuarios, se ve acotada a
actividades de importancia para el sistema operativo. Dado que una de las
intrusiones más peligrosas es que un usuario obtenga los privilegios de un
administrador del sistema, la semántica del sistema operativo es precisamente
la que debe ser observada para detectar este tipo de intrusión.
Detecta anomalías en el equipo de computo y periféricos
en este tema se nos dio un problema que teníamos que
resolver, el cual nos llevo tiempo en descubrir cual era, lo primero que
hicimos fue comenzar a platicar entre nosotros el posible problema que era,
comenzamos con hacer que la tarjeta madre reconozca al bios lo
primero que conectamos fue el disco duro después los buses, conectamos la
fuente de poder a la toma de corriente y encendimos la pantalla, comenzó a
encender pero no cargo por completo por que el problema que tenia era que había
que quitarle la contraseña del bios para que pueda dar video por completo,
entonces lo que hicimos fue pagarla nuevamente y retirar la batería por un
momento, ya después la volvimos a colocar de nuevo en su lugar y conectamos
todo otra vez en su lugar y ahora la encendimos de nuevo, cargo completamente y
ahora si dio video, el pequeño problema fue que solamente teníamos que quitarle
la contraseña y listo lo reparamos...
Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que
ejerce el control de acceso en una red informática para proteger a los
sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern
Paxon para resolver ambigüedades en el monitoreo pasivo de redes de
computadoras, al situar sistemas de detecciones en la vía del tráfico.
Los IPS presentan una mejora importante sobre las tecnologías de
cortafuegos tradicionales, al tomar decisiones de control de acceso
basados en los contenidos del tráfico, en lugar de direcciones IP o
puertos. Tiempo después, algunos IPS fueron comercializados por la
empresa One Secure, la cual fue finalmente adquirida por NetScreen
Technologies, que a su vez fue adquirida por Juniper Networks en 2004.
Dado que los IPS fueron extensiones literales de los sistemas IDS,
continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel de
equipo, para combatir actividades potencialmente maliciosas.
me encanta me pueden ayudar en como detectar una anomalia de los dispositivos de EN/S
ResponderEliminarque software es ?
ResponderEliminar