Propuestas de diseño de un sistema de detección de intrusión y definición de un modelo analítico para arquitecturas multiprocesador

  1. FERRO VÁZQUEZ, ARMANDO
Supervised by:
  1. Juan José Unzilla Galán Director

Defence university: Universidad del País Vasco - Euskal Herriko Unibertsitatea

Fecha de defensa: 11 June 2002

Committee:
  1. Joan Vinyes Sanz Chair
  2. Eduardo Jacob Taquet Secretary
  3. Victor Abraham Villagrá González Committee member
  4. Joseba Iñaki Goirizelaia Ordorika Committee member
  5. Jesús Villadangos Alonso Committee member
Department:
  1. Ingeniería de Comunicaciones

Type: Thesis

Teseo: 90087 DIALNET

Abstract

En este trabajo se proponen una serie de soluciones para el diseño de un sistema de detección de intrusión (IDS) orientado a analizar tráfico de red buscando el aprovechamiento óptimo de los recursos de una plataforma hardware multiprocesador. Para ello se proponen soluciones que buscan paralelizar el análisis de detección en procesos o hilos independientes que puedan trabajar de una forma cooperativa aprovechando la potencialidad de la plataforma multiprocesador para hacer el seguimiento de actividades maliciosas que se pudieran producir. La paralelización del análisis en procesos supone una serie de problemas que es necesario resolver y para ello se propone la creación de unos recursos especiales que permiten resolver la sincronizacion y cooperación entre instancias de análisis diferentes. En el trabajo se presenta también un modelo analítico basado en redes cerradas de colas que permiten modelizar adecuadamente el proceso de detección de intrusión propuesto. Este modelo permite estudiar de forma analítica casos más complejos de los que se pudieran reproducir en laboratorio. Se proponen en el trabajo una serie de simplificaciones del modelo que permiten identificar diferentes estadísticos de interés. Para su resolución teórica se propone un método de cálculo iterativo basado en el análisis del valor medio (MVA). Casos más sencillos son abordables de forma matemática. La validación del trabajo se ha enfocado en apartados diferentes: - Validación de las propuestas de diseño. - Obtención de datos de modelado para el modelo teórico. - Validación del modelo teórico. Para ello se han realizado pruebas sobre tres plataformas multiprocesador diferentes que representan los modelos de planificación de procesos clásicos; planificación de hilos de usuario (FreeBSD), planificación de hilos de kernel (Linux) y planificación mixta (Solaris). Las pruebas realizadas sobre diferentes modelos de detección de