Científicos de la Universidad Carlos III de Madrid (UC3M) han desarrollado un sistema capaz de detectar intrusiones en los ordenadores y de decidir, de forma autónoma, si se debe responder a ellas.
Los sistemas de detección de intrusiones (IDS, por sus siglas en inglés) son herramientas de seguridad preparadas para monitorizar los eventos sospechosos que se producen en un sistema informático. Para reducir el riesgo de intrusión, una de las amenazas que afecta a la seguridad informática, un equipo de investigadores de la UC3M ha desarrollado un sistema multiagente que identifica eventos sospechosos e indica de forma autónoma si procede tomar acciones de respuesta frente a ellos. Ambas capacidades son deseables a la hora de diseñar un IDS, según Agustín Orfila, uno de los creadores de este software, del Departamento de Informática de la UC3M.
Actualmente, en España no se han impulsado las investigaciones sobre arquitecturas multiagente para IDS en contraposición a otros países. Lo innovador del estudio, según el investigador, radica en el uso de agentes deliberativos que se adaptan al entorno afrontado y al éxito pasado para decidir de forma autónoma si se debe responder o no ante un evento sospechoso. Esto lo consigue mediante “un modelo cuantitativo que contempla las pérdidas que provocaría una intrusión así como el coste de tomar acciones de respuesta", indica Orfila. De esta manera, el IDS multiagente establece la mejor configuración del sistema para cada escenario de actuación y decide si conviene responder a un determinado incidente, cuantificando en qué medida el IDS aporta certeza a dicha decisión. Las intrusiones más comunes son los ataques de escaneo de puertos (averiguar qué puertos tiene abiertos el dispositivo objetivo), la denegación de servicio, la consecución de un acceso sin restricciones al objetivo o el intento de acceso al mismo desde un ordenador remoto, por ejemplo.
Adiós a las intrusiones
Un sistema de detección de intrusiones es un software o hardware que automatiza el proceso de monitorización de eventos que acontecen en un ordenador o red de ordenadores en busca de indicios de problemas de seguridad, según el National Institute of Standards and Technologies de Estados Unidos. Orfila añade que a un agente se le presuponen capacidades como reactividad, sociabilidad, iniciativa propia, adaptación, movilidad, con la finalidad de que actúe en representación de una persona. “De esta manera, la arquitectura IDS multiagente nos permite distribuir la carga de la detección y mejorar la coordinación del proceso, con la finalidad de conseguir una detección más eficaz”, explica el profesor.
Los administradores de seguridad podrían ser los usuarios idóneos del sistema porque “les permitiría cuantificar el valor que los IDS aportan a sus decisiones y, además les indicaría cómo sintonizar adecuadamente su IDS a su entorno”, según Orfila. Sin embargo, para utilizarlo, añade, habría que adaptar el IDS al tráfico de red real, entrenar el sistema para el entorno concreto y, finalmente, observar su funcionamiento en ese entorno real.
El estudio, publicado en la revista Computer Communication bajo el título “Autonomous decision on intrusion detection with trained BDI agents”, ha sido desarrollado por Agustín Orfila, Javier Carbó y Arturo Ribagorda, del Grupo de Seguridad de las Tecnologías de la Información y las Comunicaciones y del Grupo de Inteligencia Artificial Aplicada del Departamento de Informática de la UC3M.
Más información
Imagen en alta resolución
Oficina de Información Científica de la UC3M
Solo para medios:
Si eres periodista y quieres el contacto con los investigadores, regístrate en SINC como periodista.