Propuestas de diseño de un sistema de detección de intrusión y definición de un modelo analítico para arquitecturas multiprocesador
- Juan José Unzilla Galán Director
Universidad de defensa: Universidad del País Vasco - Euskal Herriko Unibertsitatea
Fecha de defensa: 11 de junio de 2002
- Joan Vinyes Sanz Presidente/a
- Eduardo Jacob Taquet Secretario
- Victor Abraham Villagrá González Vocal
- Joseba Iñaki Goirizelaia Ordorika Vocal
- Jesús Villadangos Alonso Vocal
Tipo: Tesis
Resumen
En este trabajo se proponen una serie de soluciones para el diseño de un sistema de detección de intrusión (IDS) orientado a analizar tráfico de red buscando el aprovechamiento óptimo de los recursos de una plataforma hardware multiprocesador. Para ello se proponen soluciones que buscan paralelizar el análisis de detección en procesos o hilos independientes que puedan trabajar de una forma cooperativa aprovechando la potencialidad de la plataforma multiprocesador para hacer el seguimiento de actividades maliciosas que se pudieran producir. La paralelización del análisis en procesos supone una serie de problemas que es necesario resolver y para ello se propone la creación de unos recursos especiales que permiten resolver la sincronizacion y cooperación entre instancias de análisis diferentes. En el trabajo se presenta también un modelo analítico basado en redes cerradas de colas que permiten modelizar adecuadamente el proceso de detección de intrusión propuesto. Este modelo permite estudiar de forma analítica casos más complejos de los que se pudieran reproducir en laboratorio. Se proponen en el trabajo una serie de simplificaciones del modelo que permiten identificar diferentes estadísticos de interés. Para su resolución teórica se propone un método de cálculo iterativo basado en el análisis del valor medio (MVA). Casos más sencillos son abordables de forma matemática. La validación del trabajo se ha enfocado en apartados diferentes: - Validación de las propuestas de diseño. - Obtención de datos de modelado para el modelo teórico. - Validación del modelo teórico. Para ello se han realizado pruebas sobre tres plataformas multiprocesador diferentes que representan los modelos de planificación de procesos clásicos; planificación de hilos de usuario (FreeBSD), planificación de hilos de kernel (Linux) y planificación mixta (Solaris). Las pruebas realizadas sobre diferentes modelos de detección de