Modelo para la integración de técnicas heterogéneas de detección de intrusos en sistemas distribuidos

• Autores: Francisco José Mora Gimeno
• Directores de la Tesis: Francisco Maciá Pérez (dir. tes.)
• Lectura: En la Universitat d'Alacant / Universidad de Alicante ( España ) en 2010
• Idioma: español
• ISBN: 978-84-695-3230-0
• Número de páginas: 171
• Tribunal Calificador de la Tesis: Juan Manuel García Chamizo (presid.), José García Rodríguez (secret.), Vicente R. Tomás López (voc.), José María Zamanillo Sainz de la Maza (voc.), José Javier Samper Zapater (voc.)
• Enlaces
  • Tesis en acceso abierto en: RUA
• Resumen
  • español

    En la presente tesis se ha llevado a cabo una investigación detallada sobre los problemas de seguridad de las redes de computadores, dentro del ámbito de los Sistemas de Detección de Intrusos Distribuidos o DIDS y centrada fundamentalmente en el campo de la correlación e integración de las alertas generadas por este tipo de sistemas. El principal resultado de este trabajo ha sido la creación de un modelo general de detección de intrusos distribuido que permite de manera sistemática la integración de múltiples métodos de correlación de alertas.

    El trabajo aborda los siguientes aspectos fundamentales:

    *Una revisión del estado del arte sobre los aspectos relacionados con los sistemas de detección de intrusos distribuidos y los mecanismos empleados por éstos para correlacionar las alertas producidas.

    *Desarrollo de un marco formal que constituye el contexto en el cual definir y especificar formalmente el modelo.

    *Creación y formulación de un modelo general de detección distribuido que permite la integración de múltiples métodos de correlación de alertas.

    *Definición de un método de integración que, basándose en técnicas de aprendizaje de máquina y empleando una métrica de evaluación de IDS, permite la integración de múltiples métodos de correlación, mejorando el rendimiento de estos métodos por separado gracias al aprovechamiento de la información sobre las capacidades de las técnicas de correlación que forman parte de dicha integración *Diseño de una arquitectura completamente distribuida del sistema con criterios de escalabilidad, flexibilidad y adaptación que permite implantar el modelo en entornos reales.

    *Diseño y realización de un conjunto de experimentos cuyos resultados demuestran la validez de la propuesta y, por ende, de la hipótesis de partida.

  • English

    In this thesis a detailed investigation on the security problems of computer networks has been carried out within the field of Intrusion Detection Systems Distributed of DIDs and focused primarily on the field of correlation and integration of warnings generated by such systems. The main result of this work has been the creation of a general model of distributed intrusion detection that allows a systematic way to integrate multiple methods of correlating alerts.

    The work address the following aspects:

    *A review of the state of the art on system aspects of distributed intrusion detection mechanisms used by them to correlate the alerts produced.

    *Develop a formal framework is the context in which to define and specify the model formally.

    *Creating and developing a general model of distributed detection that allows the integration of multiple methods of correlating of alerts.

    *Define a method of integration based on machine learning techniques and using and evaluation metric of IDS, enabling integration of multiple methods of correlation, improving the performance of these methods separately by leveraging information about the capabilities of correlation techniques as part of this integration.

    *Design of a fully distributed architecture of the system with criteria of scalability, flexibility and adaptability that allows us to deploy the model in real environments.

    *Design and broad of a set of experiments whose results demonstrate the validity of the proposal and hence the initial hypotheses.