Diseño de filtros para el análisis en la detección de anomalías

Abstract

Este trabajo presenta una descripción de los Sistemas de Detección de Anomalías, haciendo énfasis por su convergencia con la investigación propuesta, en las técnicas: Detección Estadística de Anomalías y Análisis de las Cabeceras de Paquetes. Como primera fase de un posible Sistema de Detección de Intrusos se realiza la descripción general, diseño e implementación de un conjunto de filtros usando la herramienta de Linux TCPDump, para detectar paquetes implicados en algunos ataques de Escaneo y Denegación de Servicio. Las capturas de estos filtros son almacenadas en distintos ficheros para un futuro análisis, en busca de un número representativo de patrones propios de los ataques descritos. Los resultados obtenidos en las pruebas de validación realizadas, demuestran que es posible capturar con los nueve filtros diseñados los paquetes involucrados en múltiples ataques, realizados con el empleo de hping2 y nmap, así como otros ataques relacionados con las expresiones de los filtros.