SOMIDS: sistema de detección de intrusos basado en mapas autoorganizados


El software desarrollado es un IDS que analiza registros con información de tráfico de red de forma pasiva, utilizando una copia de los registros generados por otros dispositivos de seguridad

Estado de protección de la tecnología

Software registrado: C-435-2016; número de asiento: 03/2017/229. Fecha de solicitud: 18/11/
2016. Fecha de concesión: 07/04/2017.

Descripción

El software desarrollado es un IDS que analiza registros con información de tráfico de red de forma pasiva, utilizando para ello una copia de los registros de datos generados por otros dispositivos de seguridad como, por ejemplo, un firewall. Dichos registros están compuestos por veinte propiedades de naturaleza numérica y categórica.

Como resultado del análisis, el software detecta intrusiones o violaciones de la política de seguridad de la organización, en los registros de datos analizados.

Cabe destacar que la herramienta desarrollada determina el modelo de comportamiento normal de la red mediante un algoritmo de aprendizaje que aprovecha la paralelización y la computación distribuida, lo que lo dota de un gran rendimiento, escalabilidad y tolerancia a fallos, además de hacer viable la utilización del IDS con ingentes conjuntos de datos.

Valores añadidos

La herramienta desarrollada, a diferencia de los IDSs convencionales, es capaz de detectar cualquier tipo de intrusión y no necesita ningún tipo de conocimiento a priori sobre las vulnerabilidades y ataques existentes. Este enfoque hace a estos sistemas mucho más flexibles y efectivos ante atacantes experimentados. Este sistema basa su capacidad de detección de intrusiones en la comparación de la información de las conexiones con un modelo que representa el comportamiento normal (tráfico habitual y permitido) de la red, en vez de su comparación con un conjunto discreto de firmas. Así, detecta intrusiones en base a la anormalidad de las conexiones con respecto al modelo de comportamiento base, lo que proporciona al sistema la habilidad de detectar cualquier tipo de ataque. Además, debido a la naturaleza flexible de su mecanismo de detección, este sistema no requiere una supervisión y mantenimiento constante, dado que sus resultados son válidos siempre y cuando no varíe de forma significativa el comportamiento normal de la red, limitándose a estos casos la necesidad de calcular un nuevo modelo y entrenar de nuevo el sistema.

Aplicaciones por sector

Se trata de una tecnología aplicable en cualquier ámbito en el que se necesite la utilización de un IDS para la detección de intrusiones de seguridad. Destacar que está en explotación en dos empresas del sector TIC.


TIC

Grupo de investigación

    • Laboratorio Interdisciplinar de Aplicaciones de la Inteligencia Artificial
    • ((LIA2))
    • Telemática

Responsable

  • José Carlos Dafonte Vázquez
  • Francisco Javier Nóvoa Manuel
  • Diego Fustes Villadóniga
  • Marco Antonio Álvarez González
  • Daniel Garabato Míguez

Contacta con nosotros

Última actualización

2021-12-13