Detección de intrusos en host

Abstract

Exposing sensitive information to the Internet arises the need security tools that guarantee the detection of security violations. The present work offers a security tool that provides recording and analysis of information in search for intrusions. With this in mind, we profile users, a profile includes the behavior that a user’s exhibits, in terms of executions of programs and commands. Two profiles we keep; one characterizes its historical behavior and another one characterizes it dynamically. Using correlation coefficients, we obtain a reference of how close both profiles are; this way we determine if the user is who he or she claims or if we are facing an intrusion. In other words, the difference in profiles is an indicator of a difference in behaviors, which in turns alert us of a possible steal of an account and its associated rights. We conclude that we need to include other profiles to characterize users more completely. Such profiles will include additional information about the user preferences and resource usage (network, frequency of sessions, length of sessions, etc.). We made experiments with 24 usuarios plus root. The results were acceptable in terms of intrusion detection in the users.

El exponer información sensible a la Internet, implica contar con herramientas de seguridad que garanticen la detección de violaciones de seguridad. El presente trabajo ofrece una herramienta de seguridad que provee el registro y análisis de información en busca de intrusiones. Para esto se construyen perfiles de usuario, los cuales representan la abstracción del comportamiento que exhiben los usuarios en base a ejecuciones de programas y comandos. Para cada usuario se tienen dos perfiles, uno se caracteriza en base a su historia de ejecuciones y otro se caracteriza dinámicamente. Con la medida estadística del coeficiente de correlación obtenemos una referencia de la semejanza entre ambos perfiles, para saber si el usuario es quien dice ser o es un intruso. En otras palabras, la diferencia en perfiles es un indicador de diferencia en comportamientos, lo cual nos alerta de la posibilidad de una usurpación de cuenta y derechos. Concluimos con la necesidad de incluir otros perfiles para caracterizar de una manera m as completa a los usuarios. Dichos perfiles incluirán información adicional sobre las preferencias y necesidades de los usuarios con el sistema (red, frecuencia de sesiones, tiempo de sesiones, etc.). Se hicieron experimentos con 24 usuarios más el superusuario (root). Los resultados fueron buenos en términos de detecciones de intrusión con los usuarios.