Detección de anomalías en redes de cómputo utilizando modelos ocultos de Markov y programación evolutiva
| Autor: | Antolino Hernández, Anastacio |
|---|---|
| Přispěvatelé: | Juan José Flores Romero, Juan Manuel García García |
| Jazyk: | Spanish; Castilian |
| Rok vydání: | 2011 |
| Předmět: | |
| Zdroj: | Universidad Michoacana de San Nicolás de Hidalgo UMSNH Repositorio Institucional de la Universidad Michoacana de San Nicolás de Hidalgo |
| Popis: | Facultad de Ingeniería Eléctrica. Doctorado en Ciencias en Ingeniería Eléctrica Information security is an important and growing need. Attacks on computer systems are constant and increasing in number, while they become more complex and difficult to detect. Unlike systems that try to detect and prevent, anomaly detection systems advance in shorter steps. The most common schemes used which serve as a basis for detection systems, include pattern or signature-based and anomaly-based. Each scheme has its advantages and disadvantages, for example pattern-based schemes are fast and have a priori knowledge of the threats, but are unable to detect new attacks or even variations of known attacks. Anomaly-based schemes using a set of metrics, which outline the normal system behavior and any deviation that exceeds a threshold value, corresponding to the profile established, will be treated as an anomaly. This scheme has the disadvantage that false alarms can occur; but the advantage they present is to detect new attacks and also detect variations of known attacks. This thesis contributes with an anomaly-based scheme that monitors the bandwidth consumption of subnetwork, used in the División de Estudios de Posgrado de la Facultad of Ingeniría Eléctrica de la Universidad Michoacana de San Nicolás de Hidalgo (UMSNH). Normal behavior model is based on bandwidth consumption of subnetwork and the generated model is used to detect anomalies or changes in the bandwidth consumption of network. The presence of an anomaly indicates that it is misusing the network (viruses, worms, denial of service, etc). La seguridad de la información es una necesidad importante y creciente. Los ataques a los sistemas informáticos son constantes y cada vez en mayor número, a la vez que se vuelven más complejos y difíciles de detectar. Los sistemas que tratan de detectarlos y prevenirlos están avanzando, pero a paso muy lento. Los esquemas utilizados más comunes y sobre los cuales se basan los sistemas de detección son: los basados en patrones o formas y los basados en anomalías. Cada esquema tiene sus ventajas y desventajas, por ejemplo, los basados en patrones son rápidos y cuentan con conocimiento a priori de las amenazas informáticas, pero son incapaces de detectar nuevos ataques o variaciones de ataques conocidos. Los esquemas basados en anomalías utilizan un conjunto de métricas, las cuales perfilan el comportamiento normal del sistema, y cualquier desviación que supere un valor de umbral, respecto al perfil establecido, será tratado como anomalía. Este esquema tiene la desventaja que puede presentar falsos positivos; pero la ventaja que resaltan es que detectan nuevos y variaciones de ataques conocidos. Este trabajo de tesis contribuye con un esquema de detección de anomalías, basado en el consumo de ancho de banda de red, utilizado en la subred de la División de Estudios de Posgrado de la Facultad de Ingeniería Eléctrica, de la Universidad Michoacana de San Nicol as de Hidalgo (UMSNH). Se determina el modelo de comportamiento normal de uso de ancho de banda, de acuerdo a los datos proporcionados por el centro de cómputo de la universidad. El modelo generado se utiliza en la detección de anomalías o variaciones en el consumo del ancho de banda de red. La presencia de una anomalía indica que se está haciendo un mal uso de la red (existencia de virus, gusanos, denegación de servicio, etc.). |
| Databáze: | OpenAIRE |
| Externí odkaz: |
|