Nuevo modelo de detección/prevención de amenazas para la seguridad integral de los sistemas de información

  1. Lobato Lastra, Kenneth
Dirigida por:
  1. Pablo García Bringas Director

Universidad de defensa: Universidad de Deusto

Fecha de defensa: 10 de diciembre de 2015

Tribunal:
  1. Emilio Santiago Corchado Rodríguez Presidente/a
  2. Asier Perallos Ruiz Secretario
  3. Antonio Bahamonde Rionda Vocal

Tipo: Tesis

Teseo: 416053 DIALNET

Resumen

El mundo de la Seguridad de la Información está tomando una importancia significativa en la actualidad para proteger a los usuarios y a las empresas. Dentro de este área, existen una serie de herramientas tradicionales denominadas Intrusion Detection Systems que bien, basadas en detección de usos indebidos, bien basadas en detección de anomalías, llevan décadas funcionando y proporcionando una detección de actividades subversivas. El problema radica en que estas herramientas han dejado de ser completamente fiables, teniendo altas tasas de falsos positivos/negativos, ya que se enfrentan a un volumen de información inusitado en el momento en el que fueron diseñadas. El paso natural que dio la industria fue la creación de sistemas más avanzados, que aunando las evidencias de varios tipos de IDSs: Host, Red, etc., pudieran diagnosticar de forma más adecuada las amenazas, reduciendo el número de alertas que se generasen. La primera evolución fueron los Sistemas de Detección de Intrusiones Colaborativos, y finalmente el estándar de facto en las grandes compañías están siendo los sistemas SIEM, que se ocupan de centralizar las evidencias de múltiples fuentes heterogéneas. La pega es que se siguen basando en modelos (centralización), arquitecturas (jerárquicas) y tecnologías tradicionales (RDBMs). La presente tesis, plantea un cambio de paradigma para llevar a todos estos sistemas de detección de intrusiones al siguiente nivel evolutivo, el área de Big Data. A pesar de la cantidad de información que se tiene que procesar, el opción elegida es no abordar el procesado por lotes como en el caso de MapReduce, si no en flujos de datos en tiempo real: Streaming. Sobre la base de un entorno controlado dónde se realizarán ataques a máquinas vulnerables y con tráfico real, se despliega un piloto, denominado ESIDE-BIDS, que usando las fuentes de un sistema SIEM open-source (OSSIM), demostrará las capacidades de procesamiento en un clúster escalable de máquinas para analizar las evidencias en tiempo real. Como segunda línea de trabajo, sobre la infraestructura anterior, se aplicarán técnicas de cauterización y de clasificación para las evidencias en búsqueda de una extracción de conocimiento capaz de detectar correlaciones que ofrezcan la detección de ataques Zero-Day, el gran reto al que se enfrenta la Industria de la Seguridad de la información.