La actividad de los hackers y los piratas informáticos. La existencia de numerosos virus y su aparición incesante. La desconfianza que sigue despertando en la sociedad el comercio electrónico. No faltan razones para abordar con seriedad el problema de la seguridad en Internet. En esta línea, el Departamento de Electrónica de la Universidad de Granada ha publicado en la revista internacional Computer Networks un artículo en el que se propone una serie de técnicas para modelar el tráfico normal en la red y la identificación de intrusiones basada en la detección de anomalías.
En concreto, las técnicas se han centrado principalmente en el protocolo HTTP “sobre el que funciona más del 70% de la actividad de la red, tales como los principales servicios de comercio de la web”, señala Juan Manuel Estévez Tapiador, autor del artículo junto a Pedro García Teodoro y Jesús Díaz Verdejo.
El trabajo se ha desarrollado en dos fases: análisis estadístico del tráfico normal y hostil, y propuesta de un nuevo enfoque para detectar ataques en el tráfico HTTP. La primera parte sirve para definir estadísticamente, mediante técnicas como las cadenas de Markov, una noción de comportamiento normal para una red y la posterior detección de eventos anómalos en su funcionamiento. “En general, el concepto de ataque no está bien definido a no ser que se parta de una política de seguridad, establecida por el administrador del sistema para mantener el control de la red”, apunta Estévez.
La idea es diseñar alarmas como contramedidas frente a las amenazas que se plantean en Internet. Estos trabajos suponen un perfeccionamiento de los IDS actuales (siglas en inglés de sistemas de detección de intrusiones). Se trata de softwares (programas informáticos) capaces de monitorizar todo lo que ocurre en la red, por ejemplo, las peticiones que hacen los usuarios a un servidor web. En definitiva, todo lo que entra y sale de la red, identificando si se corresponde con actividad normal o si hay alguien que está intentando violar el sistema de seguridad.
Tesis doctoral
En esta línea, desde el Departamento de Electrónica de la UGR, se ha propuesto una metodología general para construir detectores, incluyendo aspectos como dónde se deben ubicar en la red, y qué información deben supervisar. El artículo parte de la revisión teórica de aportaciones previas realizadas por un grupo de investigación de la Universidad de California sobre seguridad en Internet, y ha abierto una vía para el diseño de nuevas técnicas de detección, en la que profundiza la tesis doctoral de Estévez Tapiador, que se leerá a principios del curso 2004-05.
Nota 1: Un incidente hace referencia a una acción que supone un ataque contra la infraestructura informática y de comunicaciones de una organización, pudiendo afectar a numerosos usuarios y redes. Por ejemplo, un virus puede afectar a millones de ordenadores y, sin embargo, es considerado como un único incidente.
Nota 2: Las estadísticas anteriores son elaboradas por el CERT/CC a partir de los informes recibidos por parte de diversas organizaciones (sitios gubernamentales, empresas, etc.). No obstante, son muchos los casos en los que los incidentes sufridos no son denunciados. Esto obedece a varios motivos: posible daño de la imagen de la empresa u organización, desconocimiento de la existencia de un lugar al que notificar los ataques, etc.
Nota 3: Actualmente, el CERT/CC se nutre principalmente de información recopilada en EE.UU. Los datos correspondientes a toda Internet deben ser aún mayores.
Referencia: Dr. Juan M. Estévez Tapiador.
Tfno: 625 091677.
Correo e: tapiador@ugr.es
