Español | English
rss facebook linkedin Twitter

Fiabilidad en los IDS

Hoy, leyendo la noticia sobre el sistema del DNI facial y, más concretamente, leyendo los comentarios que acompañan a la noticia, se podía leer que el sistema no era del todo fiable. El sistema tiene una fiabilidad del 95% dentro de un escenario controlado, o lo que es lo mismo, un error en la identificación de personas del 5%.

Y es la fiabilidad de los sistemas automáticos lo que más me ha llamado la atención. Extrapolando el término de fiabilidad a la seguridad informática, y más concretamente, al concepto de sistemas de detección de intrusiones, me ha llevado a formularme la pregunta ¿cuán fiables son los sistemas automáticos frente a los configurados manualmente? Para responder a esta pregunta, en primer lugar, debemos diferenciar entre los sistemas automáticos, conocidos como detectores de anomalías, de los configurados manualmente, también denominados detectores basados en firmas o del mal uso.

Los sistemas basados en detección de anomalías, son sistemas basados en comportamientos inusuales del sistema. Estos sistemas se basan en el aprendizaje de patrones dentro de un escenario exento de ataques o intrusiones. Para llevar a cabo este aprendizaje, estos sistemas hacen uso de técnicas de inteligencia artificial tales como modelos de clasificación y modelos de predicción.

Los sistemas basados en firmas o en detección del mal uso, son sistemas capaces de monitorizar las actividades de un sistema y compararlas con las firmas de ataques ya conocidos, almacenadas a su vez en Bases de datos. Estos sistemas son incapaces de predecir un ataque debido a su propia naturaleza ya que, solo detecta aquellos ataques ya identificados por el sistema.

En la realidad, cabe mencionar que son los sistemas basados en firmas son los que máyor número de ataques identifican correctamente, alcanzando cotas del 90-100% de ataques bien identificados, gracias a su bajo nivel de falsos positivos. Por otro lado, los sistemas basados en la detección de anomalías ofrecen ratios bastante altos, alcanzando cotas de 85-95% de los ataques bien identificados, dependiendo del escenario de uso.

En consecuencia, mencionar que a pesar de que los sistemas de detección basados en firmas son bastante más fiables que los basados en anomalías, estos últimos no ofrecen malos resultados, acercándose rápidamente al rango de fiabilidad deseado.

Aitor Corchero Rodríguez
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login