ES A2 ESPAÑA 11. Número de publicación: Número de solicitud: G06N 3/12 ( )

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ES 2 429 425 A2 ESPAÑA 11. Número de publicación: 2 429 425. Número de solicitud: 201230142 G06N 3/12 (2006.01) 31.01.2012"

Transcripción

1 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA Número de publicación: Número de solicitud: Int. CI.: G06N 3/12 (06.01) 12 SOLICITUD DE PATENTE A2 22 Fecha de presentación: Fecha de publicación de la solicitud: Solicitantes: TELEFONICA, S.A. (0.0%) GRAN VIA, N MADRID ES 72 Inventor/es: SUÁREZ DE TANGIL, Guillermo y PALOMAR GONZÁLEZ, Esther 74 Agente/Representante: ARIZTI ACHA, Monica 4 Título: MÉTODO Y SISTEMA PARA DETECTAR SOFTWARE MALINTENCIONADO 7 Resumen: Método y sistema para detectar software malintencionado. En el método de la invención, dicha detección de software malintencionado, o malware, se realiza al menos aplicando reglas de correlación de eventos de seguridad a una red. Se caracteriza porque comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado; - inferir información de correlación a partir de malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual; y - generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. El sistema está dispuesto para implementar el método de la invención. ES A2

2 Método y sistema para detectar software malintencionado Campo de la técnica DESCRIPCIÓN La presente invención en general se refiere, en un primer aspecto, a un método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red y, más particularmente, a un método que comprende capturar malware por medio de un colector de red trampa, implantar una red virtual dedicada para cada malware capturado, inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual y generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. Un segundo aspecto de la invención se refiere a un sistema dispuesto para implementar el método del primer aspecto. Estado de la técnica anterior La correlación de eventos de seguridad ha surgido como una potente herramienta de detección de intrusión para mejorar la comprensión del comportamiento de ataques complejos y así conseguir la reacción más rápida. Se ha demostrado que los sistemas de detección de intrusión (IDS) tradicionales, tal como Snort, padecen de una gestión abrumadora: aunque las recientes arquitecturas multihilo de Snort están muy optimizadas para las plataformas multinúcleo actuales, aún son necesarios muchos esfuerzos para romper los cuellos de botella provocados por los requisitos de rendimiento de la tasa de transmisión de llegada de paquetes de los IDS actuales [1]. Adicionalmente, los ataques (multietapa) distribuidos no sólo dejan rastro en un sistema centralizado (tal como el IDS de red mencionado anteriormente), sino también en muchas otras fuentes (conocidas como sensores), por ejemplo: IDS de host, servidores web, cortafuegos, y registros de DNS, por mencionar algunos. Por ejemplo, se han usado con éxito técnicas de correlación para detectar el diálogo de redes robot (botnets) [2] [3] [4]. Los sistemas de gestión de eventos e información de seguridad (SIEM) aparecen entonces para facilitar el análisis de eventos de seguridad por medio de su detección, almacenamiento, procesamiento, y correlación. Se diseñan sistemas SIEM para centralizar toda la información de seguridad generada por los sensores implantados en cualquier entorno de red. Una centralización de este tipo ayuda a (a) normalizar las alertas recopiladas en un formato común, (b) proporcionar un rápido acceso a datos de registro centralizados, (c) realizar un análisis eficaz de alertas dispersas, y también (d) generar alarmas de correlación siempre que detecte varios eventos potencialmente relacionados con una determinada actividad sospechosa. Por otro lado, se han aplicado diferentes técnicas de inteligencia artificial (IA) para optimizar la detección de intrusión especialmente dirigidas a tratar las desventajas mencionadas anteriormente []. En particular, se usan diversas técnicas de procesamiento basadas en IA para datos de seguridad de IDS como sistemas expertos [6], minería de datos [7], análisis estadístico [8], redes neuronales [9], aprendizaje automático [] [11], y sistemas inmune artificiales [12]. Sin embargo, sólo hay unas cuantas propuestas para el uso de técnicas de IA satisfactorias para optimizar la correlación de eventos de seguridad [13]. La inmensa mayoría de los trabajos presentados se topan con el mismo problema fundamental cuando se estudian los atributos relacionados con el evento y sus asociaciones en escenarios de ataque multietapa, es decir la clasificación previa del conocimiento antes de aplicar IA. Además, varias decisiones son cruciales cuando se introduce IA en sistemas SIEM, es decir o bien implantar un entorno controlado supervisado para entrenar ataques seleccionados previamente o bien aprender directamente de la actividad de red real. En este contexto, los señuelos (honeypots) son sistemas ampliamente conocidos usados para atrapar malware mediante descarga oculta (drive-by download) exponiendo un recurso vulnerable no protegido. Aparte de esto, los señuelos se monitorizan constantemente con el fin de estudiar el comportamiento del malware. Los señuelos se ubican habitualmente en el perímetro de una organización, habitualmente denominada zona desmilitarizada (DMZ). Algunos trabajos han usado rastreadores para estimular las actividades de los señuelos [47]. Dos o más señuelos forman una red trampa (honeynet) y, cuando se usan herramientas de análisis dentro de la red trampa, se denomina conjunto de redes trampa (honeyfarm). Recientemente, un nuevo concepto, concretamente telescopio de red, parece examinar mejor ataques a gran escala estudiando eventos multietapa producidos en Internet. Por ejemplo, muchos trabajos presentados hasta ahora desarrollan el análisis de malware automático en el extremo de host [14] [1] [16] [17]. Por ejemplo, Kapoor et al. [18] presentan varios métodos y sistemas, incluyendo señuelos, para unificar la gestión de amenazas, mientras se proporcionan instalaciones de procesamiento de flujo para el reconocimiento de patrones. Además Neysstadt et al. [19] proponen un sistema de reputación para ayudar a los sistemas de gestión de amenazas unificadas en la detección de intrusiones. En algunas realizaciones, los señuelos se usan para alimentar ese sistema de reputación. En cambio, en lugar de aplicar reconocimiento de patrones, Feeney et al. [] utilizan modelos ocultos de Markov factoriales para inferir automáticamente la estructura jerárquica del tipo de archivo del malware dentro de un modelo probabilístico. 2

3 Finalmente, las ventajas principales de las máquinas virtuales (VM), por ejemplo la recreación de múltiples plataformas que coexisten en el mismo ordenador, permiten construir un entorno de red informática económico en lugar de implantar ordenadores y redes físicas. A este respecto, el trabajo de Jiang y Wang [21] desarrolla señuelos de monitorización usando virtualización. Además, Syversen [22] presenta un enfoque de red trampa de red virtual para clonar una determinada configuración de red de empresa y que, a su vez, sirve como un sistema de detección temprana. Finalmente, los monitores de VM recientes incluyen extensiones de hardware para garantizar resistencia frente a técnicas de detección anti-vm [23], aumentando así la robustez de otros simuladores de red más sencillos tales como Honeyd [24]. Problemas con las soluciones existentes Muchos trabajos de investigación se han enfrentado al desafío de proporcionar soluciones eficaces para la detección, almacenamiento y procesamiento de información de seguridad durante la última década. Los primeros esfuerzos se concentraron en la gestión crítica de alertas heterogéneas (en datos y ubicación) en masa. A este respecto, se concibieron esquemas de agregación de datos [2] [26] [27] como paliativo para ese desafío reduciendo la cantidad de eventos almacenados y normalizando registros de auditoría y de registro [28] [29] [30]. Como resultado, se han desarrollado recientemente varios productos de software SIEM la mayoría a modo de marcos de seguridad en capas, al tiempo que se proporciona inteligencia esencial. A pesar de una centralización y agregación de datos de este tipo, la inmensa cantidad de los eventos de seguridad notificados es aún el desafío principal que hay que lograr [31] así como el papel de los administradores el cual está aún sobrecargado [32] [33] [34] [3]. Además, la inmensa mayoría de los marcos propuestos [13] [] [36] son ineficaces cuando tratan ataques distribuidos multietapa complejos [37]. Por ejemplo, dependiendo de dónde se sitúe el motor de detección, capturará algunos tipos de comportamientos pero omitirá otros, por ejemplo la información registrada en otros dispositivos tales como cortafuegos, encaminadores, servidores web, o registros de sistema. Los autores en [37] se centran en identificar ataques multietapa complejos agrupando las alertas notificadas por la dirección IP y/o puerto de destino dentro una determinada ventana de tiempo. Sin embargo, estos enfoques siguen siendo incompletos puesto que no garantizan que eventos filtrados determinarán un único ataque multietapa. Por otro lado, Zhuge et al. [38] extienden con éxito un enfoque basado en red trampa para extraer información de correlación de alto nivel de escenarios de ataque, supervisándose aún la adquisición de comportamientos de ataque por expertos humanos ( La adquisición de conocimiento es una tarea pesada pero necesaria para construir una base de conocimiento práctica, y es tan complicada que en la actualidad no puede esperarse que el ordenador realice tal trabajo sin supervisión humana [38]). Otras propuestas presentadas hasta ahora se centran en recopilar tanto software malintencionado como sea posible con el fin de estudiar su comportamiento general. Sin embargo, debe ponerse en marcha una estrategia diferente cuando se identifica un comportamiento aislado, habitualmente abordado por expertos tal como se mencionó anteriormente. Por ejemplo, Sudaharan et al. [39] introducen un enfoque basado en un conjunto de redes trampa para combatir automáticamente los ataques aprendidos a través de una red trampa. En este caso se necesitan filtros apropiados para determinar qué acciones o datos en la red trampa se consideran un ataque. Otros trabajos [1] aplican agrupamiento para filtrar alarmas relacionadas por medio de técnicas de minería de datos. Un problema principal subyacente a estos enfoques es que a veces el comportamiento del malware evoluciona de manera impredecible con el fin de evadir su detección, como hacen las redes robot de nueva generación para ofuscar mensajes de control de red [40]. Por tanto, enfoques de rastreo basados en señuelos tradicionales [41] carecen de escalabilidad debido a tal evolución del malware. Por otro lado, al igual que los problemas clásicos encontrados en la minería de datos, la extracción inteligente de reglas de correlación aún se enfrenta a sobrecargas de tiempo de ejecución en términos de potencia computacional y consumo de memoria, especialmente impuestos por la aplicación de técnicas de IA. Ciertamente, se han aplicado varias técnicas de IA para detección de ciberataques [], [42], [43], principalmente motivadas por la evolución continua de los ataques, que hace que las soluciones previas sean inválidas para ataques nuevos y evolucionados. Finalmente, el objetivo global de un motor de correlación de eventos es hallar conexiones entre alertas que pertenecen potencialmente a un determinado ataque distribuido (o multietapa). Por definición, las correlaciones son útiles porque pueden indicar una relación predictiva que va a explotarse. En este contexto, la correlación de eventos se ha abordado ampliamente en diferentes áreas relacionadas con la seguridad tales como diagnóstico de fallos de red [44], redes de sensores [4] y detección de ataques [46], pero aplicando múltiples estrategias. Recientemente, la mayoría de científicos están de acuerdo en que la correlación es mucho más efectiva cuando se considera una estrategia centralizada [32]. Sin embargo, aparte de estas escasas propuestas, la aplicación de técnicas de autoaprendizaje inteligentes para la generación de reglas de correlación de eventos se considera un desafío importante. Descripción de la invención Es necesario ofrecer una alternativa al estado de la técnica que cubra las lagunas encontradas en la 3

4 misma, particularmente en relación con la falta de propuestas que realmente eliminen la supervisión del experto en seguridad en la identificación de comportamiento de malware y la generación de la regla de correlación específica que coincide con ese comportamiento encontrado. Para ello, la presente invención proporciona en un primer aspecto un método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red. A diferencia de las propuestas conocidas, el método de la invención, de una manera característica, comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado incluyendo varios dispositivos virtuales denominados VM; - inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado tanto a nivel de red como de host en cada red virtual; y 1 - generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. Otras realizaciones del método del primer aspecto de la invención se describen según las reivindicaciones adjuntas 2 a 16 y en una sección posterior relativa a la descripción detallada de varias realizaciones. Un segundo aspecto de la presente invención se refiere a un sistema para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red. En el sistema del segundo aspecto de la invención, a diferencia de los sistemas conocidos mencionados en la sección del estado de la técnica anterior, y de una manera característica, comprende los siguientes elementos: un colector de red trampa encargado de capturar malware, incluyendo dicho colector de red trampa al menos un señuelo; - un conjunto de máquinas virtuales encargado de al menos construir redes virtuales en el que cada una de dichas redes virtuales está dedicada para cada malware capturado incluyendo varios dispositivos virtuales denominados VM; - un módulo analizador encargado de inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado tanto a nivel de red como de host en cada una de dichas redes virtuales; - un módulo de aprendizaje encargado de generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial; y 3 - un módulo central conectado a dicho colector de red trampa, dicho conjunto de máquinas virtuales, dicho módulo analizador y dicho módulo de aprendizaje, encargado de coordinar el rendimiento entre dichos elementos del sistema. Otras realizaciones del sistema del segundo aspecto de la invención se describen según la reivindicación adjunta 18 y en una sección posterior relativa a la descripción detallada de varias realizaciones. Breve descripción de los dibujos 40 Las anteriores y otras ventajas y características se entenderán más completamente a partir de la siguiente descripción detallada de realizaciones, con referencia a los dibujos adjuntos, que deben considerarse de una manera ilustrativa y no limitativa, en los que: La figura 1 muestra un esquema general y el contexto del método y sistema de la invención propuesta en este documento. 4 La figura 2 muestra los módulos constructivos principales del sistema del segundo aspecto de la invención, según una posible realización. La figura 3 muestra el algoritmo seguido cuando se captura un malware en el colector de red trampa, según una realización de la presente invención. 4

5 La figura 4 muestra una exploración de un antivirus basado en firmas usada para extraer información dañina de un malware capturado en el colector de red trampa, según una realización de la presente invención. La figura muestra el algoritmo seguido por el conjunto de malware virtualizado usado para evaluar el impacto de ataques encontrados de malware capturado, según una realización de la presente invención. La figura 6 muestra el diagrama de flujo usado para analizar los eventos notificados por la SIEM implantada en cada red virtual, según una realización de la presente invención. La figura 7 muestra el diagrama de flujo de la generación de las reglas de correlación de eventos, según una realización de la presente invención. La figura 8 muestra un esquema detallado del sistema del segundo aspecto de la invención y los algoritmos que afectan a cada uno de los elementos de dicho sistema, según una realización de la presente invención. Descripción detallada de varias realizaciones 1 La presente invención se centra en proporcionar un subsistema de correlación de eventos de seguridad automático que elimina la intervención humana tanto en la detección de ataques como en la generación de reglas de correlación de eventos. Los objetivos principales van desde reducir el gran número de alertas notificadas para identificar escenarios de ataque multietapa, hasta identificar nuevas firmas de ataque. En primer lugar, el subsistema en cuestión proporciona un telescopio de red para observar actividad de malware. Adicionalmente, el telescopio en cuestión se alimenta con malware capturado por una red trampa. Para cada malware capturado se crea su propia red virtual aislada de las demás. 2 Así, el motor de correlación infiere información adicional a partir de tales alertas hallando conexiones entre las mismas. En general, las alertas de correlación se disparan basándose en directrices preestablecidas, es decir un conjunto de reglas. A este respecto, las directrices de correlación son generalmente ineficaces sin una configuración apropiada. Por ejemplo, la creación de directrices se lleva a cabo habitualmente por el administrador del sistema como experto. Ahora, el subsistema en cuestión extrae información de correlación de los eventos recopilados en cada red virtual. Este subsistema en cuestión genera automáticamente reglas de correlación de eventos a partir de la información inferida extraída en cada telescopio. También se proporciona un módulo adicional para instanciar y gestionar cada telescopio por medio de virtualización de red. De esta manera, el subsistema puede analizar archivos ejecutables de malware y su comportamiento basándose en los eventos generados En otra realización adicional de la invención, está presente un subsistema para monitorizar cada telescopio de red usando un sistema SIEM. La presente invención entonces integra detección y correlación de eventos de seguridad semisupervisadas como un todo en un marco SIEM usando técnicas de inteligencia artificial. Por motivos de ilustración, la figura 1 representa el contexto de la propuesta. La presente invención se ubica físicamente en dos segmentos de red principales. Por un lado, la captura (por una red trampa) del malware entrante se produce en la zona desmilitarizada (DMZ) que está expuesta públicamente. Por otro lado, el análisis de malware y la generación de reglas de correlación se sitúan en una subred separada, aislada de la altamente protegida intranet. El propósito del subsistema de correlación de eventos basado en red trampa inteligente, tal como se muestra en la figura 2, es en primer lugar atrapar automáticamente y recopilar malware, y entonces crear después un entorno de red informática aislado. La idea clave es aprender tanta información como sea posible acerca del comportamiento del malware recopilado que sirve para generar automáticamente reglas de correlación de eventos para una SIEM. Tal como se muestra en la figura 2, el subsistema de correlación basado en red trampa debe gestionar cuatro bloques constructivos principales, es decir un colector de malware basado en red trampa (HMC) que compila el software malintencionado producido, un analizador de malware y eventos de seguridad que ayuda a inferir información de correlación, un conjunto basado en maquina virtual para evaluar el impacto de los ataques encontrados (VMP) y, finalmente, la generación de reglas de correlación (CRG) que se encarga de crear automáticamente reglas de correlación de eventos por medio de técnicas de inteligencia artificial supervisadas. En primer lugar, el HMC consiste en un grupo de señuelos que pretenden capturar el software malintencionado entrante. El malware recopilado no se analiza en esta fase sino que se almacena en una base de datos con el fin de ejecutarse después, tal como se representa en la figura 3. Los señuelos se diseñan para exponer sistemas vulnerables en una subred no protegida para capturar malware descargado de manera oculta. Cuando el atacante explota una vulnerabilidad (conocida o desconocida), el sistema atrapa el ejecutable descargado. En una posible realización, sería posible usar rastreadores para estimular la actividad de la red trampa. Si el hash del

6 malware capturado coincide con otro almacenado previamente, entonces se descarta el ejecutable En segundo lugar, debe ponerse en marcha una exploración de firmas y vulnerabilidad por medio del módulo de analizador de malware que extrae información, tal como se muestra en la figura 4, usando métodos de detección de malware [32], tal como sigue. Normalmente, los sistemas de antivirus (AV) tradicionales operarán usando la detección de cargas dañinas basadas en firmas para patrones conocidos malintencionados. Una actualización continua de las firmas de AV a partir de diferentes servicios activos reducirá el coste y esfuerzo a la hora de etiquetar malware ampliamente conocido. En una posible realización, podría obtenerse información adicional para eliminar la duplicación potencial de malware a partir de depositarios normalizados según se define en MAEC (caracterización y enumeración de atributos de malware) [33]. En otra realización, el analizador de malware también puede producir la siguiente información en relación con una determinada especificación de malware: nombre, vulnerabilidades comunes explotadas, y el sistema operativo y servicios afectados. En aún otra realización, pueden implantarse técnicas estáticas [34] y dinámicas [3] para un análisis de código malintencionado para este módulo. La tercera fase tiene lugar dentro del VMP que representa un subsistema separado para instanciar una configuración de red usando máquinas virtuales para probar los ataques encontrados, tal como se representa en la figura. En este contexto, cuanta más información haya acerca de las vulnerabilidades afectadas proporcionadas por el analizador de malware en la fase anterior, más información tendrá el VMP para implantar la configuración de red virtual más apropiada. En cambio, cuando no se devuelve ninguna información por el analizador, entonces se ha descubierto un malware de día cero y, por tanto, se establece por defecto una configuración adecuada para la red virtual. En cualquier caso, las máquinas virtuales alojarán el software malintencionado junto con una instancia de sistema SIEM que es responsable de recopilar los eventos virtualizados como resultado de la actividad del malware demostrada. En cierta medida, la instancia de SIEM podría configurarse por defecto, o incluso incorporar información de seguridad adicional con respecto a ejecuciones previas del subsistema entero. Por tanto, este telescopio virtual también alojará diferentes productos de software en diferentes sistemas operativos. Cada sistema de red implantará un sensor conectado a la SIEM con el fin de acumular eventos críticos producidos en el sistema. El malware anidado entonces producirá un patrón y una secuencia de eventos diferente de sistemas no infectados. Productos de software típicos tales como cortafuegos, IDS, etc. notificarán eventos valiosos para una correlación adicional; y, por tanto, también se incluirán en una red virtual implantada. En esta invención se presenta un proceso de aprendizaje de dos fases basado en una clasificación sencilla: evaluación de (i) eventos positivos, y (ii) eventos negativos. En esta fase, los eventos se definen como positivos cuando se notifican desde sensores a la SIEM. Por tanto, se analizan eventos notificados desde la SIEM una vez más por el módulo analizador tal como se representa en la figura 6. Este análisis adicional es esencial para generar automáticamente un conjunto de entrenamiento. El conjunto de entrenamiento reúne de una manera organizada todas las características de eventos extraídas de la prueba de VMP. Este conjunto de entrenamiento consiste en los eventos etiquetados como positivos extraídos de la fase de VMP tal como se mencionó anteriormente, junto con los eventos, etiquetados como negativos, inferidos de, por ejemplo, un sistema inmune artificial (AIS). Por ejemplo, la técnica de AIS ampliamente conocida, concretamente, selección negativa [48] [49] completa el proceso de clasificación con los eventos discriminatorios. Con esta técnica, pueden retirarse eventos perjudiciales del conjunto positivo de eventos, llevando a una mejor convergencia del proceso de aprendizaje. Por tanto, la salida de este análisis implica dos grupos diferentes de eventos, es decir registros positivos y registros negativos. Adicionalmente, si el malware analizado es parte del ataque de día cero mencionado anteriormente, se extrae información de MAEC ausente con el fin de aliviar el impacto de los ataques basados en día cero. Por ejemplo, si sólo se notifican eventos de instancias de Windows XP SP3, pero no de SP1 y SP2, entonces los atributos de malware se caracterizarán apropiadamente según este escenario de ataque. El conjunto de entrenamiento permite aplicar cualquier técnica de inteligencia artificial supervisada así como servir como guía para la evaluación de reglas sin supervisión humana. Finalmente, la CRG crea reglas de correlación de eventos evaluando el conjunto de entrenamiento y la información estadística producidos por un proceso de minería de datos en los eventos positivos, tal como sigue. La minería de datos proporciona algunos datos estadísticos útiles, tal como el tiempo entre llegadas entre eventos con respecto a una de sus características, como los puertos o direcciones IP; estas estadísticas ayudan a la siguiente fase, es decir la generación de reglas inteligente, al clasificar los eventos relacionados en un tipo específico de ataque. Este módulo produce reglas de correlación genéricas para ese malware específico aplicando cualquier técnica basada en IA. Tal como se representa en la figura 7, la CRG entonces evalúa las reglas de correlación automáticamente generadas con los dos grupos mencionados anteriormente de registros positivos y negativos, con el objetivo de maximizar los positivos al tiempo que se minimizan los negativos. Por tanto, la técnica basada en IA devolverá la mejor regla de correlación generada basándose en el conocimiento capturado a partir del comportamiento del malware. Además, en una realización podría usarse CAPEC (clasificación y enumeración de patrones de ataque común) [36] o AKDL (lenguaje de descripción de conocimiento de ataque) [38] como una representación intermedia antes de traducir las reglas de correlación a una sintaxis específica de SIEM. Las reglas producidas se exportan entonces al motor de correlación de la SIEM de la organización en 6

7 producción, mientras se realimenta el motor de correlación de SIEM implantado sobre el VMP. Realizaciones de esta invención comprenden un marco como un todo que automatiza la correlación de eventos, eliminando la intervención humana durante ese proceso. En una realización preferida, el marco propuesto es adecuado para que se integre en una SIEM de fuente abierta tal como OSSIM [0] que puede usarse no sólo para unificar la gestión de marco de seguridad sino también para monitorizar las actividades de los sensores. En una posible realización, y con respecto al módulo de HMC, se usan redes trampa en la subred de DMZ para capturar el malware descargado de manera oculta. En otra realización, podrían usarse rastreadores para estimular la actividad de la red trampa. 1 2 En otra posible realización, y con respecto al analizador de malware, podrían usarse esfuerzos colaborativos (mayormente en forma de servicios de exploración en línea tales como Anubis [1], CWSandbox [2], Virus Total [3], Norman Sandbox [4], por mencionar algunos) para obtener información acerca de malware ampliamente conocido. En una realización particular, la invención propuesta puede aplicar Xen Hypervisor [], es decir un monitor de máquina virtual que mejora el proceso de virtualización ejecutado en el subsistema de VMP. Usando extensiones de hardware, se desea construir por consiguiente las vulnerabilidades recibidas desde cada telescopio de red, no sólo en términos de software. En otra realización, también podrían usarse herramientas de rastreo de llamada de sistema y otros kits de herramientas de análisis de malware genéricos tales como VMScope [21], TTAnalyze [6], o Ether [23] para extraer de manera eficaz información de malware dentro de nuestra propia zona protegida. Realizaciones del subsistema de analizador de eventos van desde adoptar métodos de agrupamiento hasta aprendizaje de reglas de asociación, entre otros [7]. En una realización ventajosa, el subsistema de CRG puede aplicar técnicas de computación evolutiva (EC), por ejemplo programación genética (GP), para proporcionar un aprendizaje automático de reglas de correlación de eventos. Este proceso se guía por un conjunto de entrenamiento generado previamente, que contiene la clasificación de eventos proporcionados por nuestros subsistemas de VMP. Más específicamente, la GP alcanza de manera eficaz la regla de correlación del ataque objetivo como el individuo más adecuado (para más detalles sobre esta estrategia genética, se remite a [7]). A este respecto, el AIS representa otro algoritmo de EC potencial para su uso en otra realización. Las realizaciones dadas a conocer son ilustrativas y no restrictivas Ventajas de la invención La finalidad principal de esta invención es eliminar totalmente la necesidad de supervisión del experto en seguridad especialmente en dos tareas principales, concretamente la identificación del comportamiento de malware y la generación de la regla de correlación específica que coincide con ese comportamiento encontrado. Por ejemplo, las SIEM actuales en producción ya dependen de la existencia de esa supervisión. Otra ventaja importante se centra en problemas de escalabilidad. La presente invención genera reglas de correlación que pueden integrarse fácilmente o bien en diferentes productos de SIEM o bien en diferentes infraestructuras de red. Una finalidad importante en este caso es la supresión de cualquier implantación de marco adicional in-situ. Además, se garantiza el proceso de aprendizaje en tiempo real suponiendo recursos ilimitados. Sin embargo, los experimentos muestran que es viable poner en marcha varias implantaciones que ejecutan hasta 0 máquinas virtuales sobre dos nodos que comprenden 4 núcleos hexagonales cada uno. Además, se ha demostrado que sistemas SIEM actuales como OSSIM pueden incorporar de manera dinámica y eficaz las reglas de correlación de eventos extraídas. Con respecto a problemas de optimización, se alivian esfuerzos en términos de tiempo y recursos. Como consecuencia de las dos ventajas anteriores, los costes a largo plazo de la invención automática son potencialmente menores que los costes, por ejemplo salarios y entrenamiento, derivados de la contratación de expertos en estas tareas de correlación complejas. No obstante, debe considerarse la evaluación de la compensación entre costes humanos y hardware. Adicionalmente, la introducción de sistemas SIEM como un requisito esencial en nuestro subsistema proporciona un punto de vista holístico de análisis de malware puesto que no sólo la tecnología de detección está evolucionando y cambiando constantemente sino también la complejidad de nuevos ataques multietapa. Una ventaja clave derivada del subsistema de VMP es que las actividades sospechosas producidas por un malware específico se aíslan de las actividades producidas por cualquier otro malware, eliminando así el ruido en fases anteriores. 7

8 Además, otra ventaja de la presente invención es que se detectan tanto firmas de malware ampliamente conocidas como desconocidas. Finalmente, la mutación y/o evolución del comportamiento de malware existente también se identifican ciertamente. A este respecto, la realimentación y colaboración entre sistemas SIEM en producción y las instanciaciones virtuales en zonas protegidas hacen que el reconocimiento del malware relacionado sea más rápido respecto a uno categorizado previo. Un experto en la técnica puede introducir cambios y modificaciones en las realizaciones descritas sin apartarse del alcance de la invención tal como se define en las reivindicaciones adjuntas. 8

9 SIGLAS 1 2 AI AIS AKDL CAPEC CRG CVE DMZ DNS EC GP HMC IDMEF IDS IP MAEC OSSIM SIEM SPx US VM VMP WO Artificial Intelligence; inteligencia artificial Artificial Immune System; sistema inmune artificial Attack Knowledge Description Language; lenguaje de descripción de conocimiento de ataque Common Attack Pattern Enumeration and Classification; clasificación y enumeración de patrones de ataque común Correlation Rule Generation; generación de reglas de correlación Common Vulnerabilities y Exposures; exposiciones y vulnerabilidades comunes De Militarized Zone; zona desmilitarizada Domain Name System; sistema de nombres de dominio Evolutionary Computation; computación evolutiva Genetic Programming; programación genética Honeynet-based Malware Collector; colector de malware basado en red trampa Intrusion Detection Message Exchange Format; formato de intercambio de mensajes de detección de intrusión Intrusion Detection System; sistema de detección de intrusión Internet Protocol; protocolo de Internet Malware Attribute Enumeration and Characterization; caracterización y enumeración de atributos de malware Open Source Security Information Management; gestión de información de seguridad de fuente abierta Security Information and Event Management; gestión de eventos e información de seguridad Servi Pack one, two o three; paquete de servicio uno, dos o tres United States; Estados Unidos Virtual Machine; máquina virtual Virtualized Malware Pool; conjunto de malware virtualizado World Intellectual Property Organization; Organización mundial de la propiedad intelectual 9

10 BIBLIOGRAFÍA [1] A data mining approach for analysis of worm activity through automatic signature generation. Zurutuza, Urko, Uribeetxeberria, Roberto y Zamboni, Diego. Alexandria: ACM Nueva York, 08. 1st ACM workshop on AISec [2] Bothunter: Detecting malware infection through ids-driven dialog correlation. Gu, Guofei, y otros. Boston: USENIX Association, th USENIX Security Symposium on USENIX Security Symposium. Vol. 12, págs [3] BotSniffer: Detecting botnet command and control channels in network traffic. Gu, G. and Zhang, J. and Lee, W. San Diego, CA, febrero: s.n., 08. Proceedings of the 1th Annual Network and Distributed System Security Symposium. [4] On the detection and identification of botnets. Seewald, A.K. and Gansterer, W.N. 1, s.l.: Elsevier,, Computers & Security, Vol. 29, págs [] The use of computational intelligence in intrusion detection systems: A review. Wu, Shelly Xiaonan y Banzhaf, Wolfgang. 1,, Applied Soft Computing, Vol., págs [6] Lunt, T., y otros. A real-time intrusion-detection expert system (IDES). SRI International [7] Brugger, S.T. Data mining methods for network intrusion detection. Universidad de California, Davis. s.l.: Technique Report, 04. [8] Detecting network intrusions via a statistical analysis of. Bykova, M., Ostermann, S. y Tjaden, B. Athens, OH, EE.UU.: s.n., 01. Proceedings of the 33rd Southeastern Symposium on System. págs [9] Network intrusion detection using an improved competitive learning neural network. Ripley, BD. 3, s.l.: JSTOR, 1994, Journal of the Royal Statistical Society, Vol. 6, págs [] An application of machine learning to network intrusion detection. Sinclair, C., Pierce, L. y Matzner, S. s.l.: IEEE, 199. Proceedings of the 1th Annual Computer Security Applications Conference. págs [11] A safe mobile agent system for distributed intrusion detection. Zhong, S.C., y otros. 03. International Conference on Machine Learning and Cybernetics. Vol. 4, págs [12] Towards an artificial immune system for network intrusion. Kim, Jungwon y Bentley, P.J. 01. Proceedings of the 01 Congress on Evolutionary Computation. Vol. 2, págs [13] A survey of coordinated attacks and collaborative intrusion detection. Zhou, Chenfeng Vincent, Leckie, Christopher y Karunasekera, Shanika. 1, s.l.: Elsevier,, Computers & Security, Vol. 29, págs [14] A honeypot architecture for detecting and analyzing unknown network attacks. P, Diebold, A, Hess y G, Schäfer. s.l.: Springer, 0. Kommunikation in Verteilten Systemen. págs [1] Effective and efficient malware detection at the end host. Kolbitsch, C., y otros. Montreal: USENIX Association, th Conference on USENIX security symposium. págs [16] Toward Automated Dynamic Malware Analysis Using CWSandbox. Willems, Carsten, Holz, Thorsten y Freiling, Felix. 2, s.l.: IEEE, 07, Security and Privacy Magazine, Vol.. [17] Automated Classification and Analysis of Internet Malware. Bailey, Michael, y otros. Gold Coast, Australia: Springer Berlin/ Heidelberg, 07. th international conference on Recent advances in intrusion detection. págs [18] KAPOOR, Harsh, y otros. Systems and Methods for Processing Data Flows. WO 07/ International, 21 de junio de 07. System and Method. [19] NEYSTADT, John y HUDIS, Efim. Detection of adversaries Through Collection and Correlation of Assessments. WO 08/ International, 23 de octubre de [] FEENEY, Bryan, POULSON, Steven y EDWARDS, John. Malware Detection. WO / International, 17 de junio de. [21] Out-of-the-box monitoring of VM-based high-interaction honeypots. Jiang, X. and Wang, X. Gold Goast, Australia: Springer-Verlag, 07. Proceedings of the th international conference on Recent advances in intrusion detection. págs

11 [22] Syversen, Jason M. Method and Apparatus for defending against Zero-day Worm based attack US, 24 de abril de 08. Method; Aparatus. [23] Ether: Malware analysis via hardware virtualization extensions. Dinaburg, A. and Royal, P. and Sharif, M. and Lee, W. s.l.: ACM, 08. Proceedings of the 1th ACM conference on Computer and communications security. págs [24] A virtual honeypot framework. Provos, Niels. San Diego, CA: USENIX Association, 04. Proceedings of the 13th conference on USENIX Security Symposium. Vol [2] Aggregation and correlation of intrusion-detection alerts. Debar, Hervé y Wespi, Andreas. Davis, CA, EE.UU.: Springer, 01. 4th International Symposium on Recent Advances in Intrusion Detection. págs [26] An Alert Fusion Framework for Situation Awareness of Coordinated Multistage Attacks. Mathew, Sunu, Shah, Chintan y Upadhyaya, Shambhu. Oahu, Hawai: IEEE Computer Society, 0. International Workshop on Innovative Architecture for Future Generation High-Performance Processors and Systems. págs [27] Towards scalable and robust distributed intrusion alert fusion with good load balancing. Li, Zhixhun, Chen, Yan y Beach, Aaron. s.l.: ACM, Proceedings of the SIGCOMM workshop on Large-scale attack defense. [28] A standard audit trail format. Bishop, Matt. Madrid: DIANE Publishing, 199. Proceedings of the National Information Systems Security Conference. págs [29] Debar, H., Curry, D. y Feinstein, B. IETF RFC 476. France Telecom, Guardian, Inc. SecureWorks The Intrusion Detection Message Exchange Format. [The Internet Engineering Task Force]. s.l.: RFC Editor, marzo de 07. [30] Lonvick, C. ISOC RFC Cisco Systems The BSD syslog Protoco. [The Internet Society]. Agosto: RFC Editor, 07. [31] Event Correlation in Integrated Management: Lessons Learned and Outlook. Martin-Flatin, Jean Philippe, Jakobson, Gabriel y Lewis, Lundy. 4, s.l.: Springer, 07, Journal of Network and Systems Management, Vol. 1, págs [32] M2D2: A formal data model for IDS alert correlation. Morin, Benjamin, y otros. Zurich, Switzerland: Springer- Verlag, 02. Proceedings of the th international conference on Recent advances in intrusion detection. págs [33] Event summarization for system management. Peng W, Perng C, Li T, Wang H. San Jose, CA, USA: ACM, 07. Proceedings of the 13th ACM SIGKDD international conference on Knowledge discovery and data mining. págs [34] An Online Adaptive Approach to Alert Correlation. Ren, Hanli, Stakhanova, Natalia y Ghorbani, Ali. Bonn, Alemania: s.n.,. págs [3] Employing Honeynets For Network Situational Awareness. Barford, P, y otros. XII, s.l.: Springer,, Cyber Situational Awareness, Vol. 46, págs [36] Honeycomb: creating intrusion detection signatures using honeypots. Kreibich, Christian y Crowcroft, Jon. 1, s.l.: ACM, 04, ACM SIGCOMM Computer Communication Review, Vol. 34, págs [37] Automatic Multi-step Attack Pattern Discovering. Wang L, Ghorbani A, Li Y. 2,, International Journal of Network Security, Vol., págs [38] Towards High Level Attack Scenario Graph through Honeynet Data Correlation Analysis. Zhuge, Jianwei, y otros. s.l.: IEEE, 06. Information Assurance Workshop. págs [39] Sudaharan, Sushanthan, y otros. Honeynet Farms as an Early Warning System for Production Networks US, 11 de mayo de 06. Software. 4 [40] Active Botnet Probing to Identify Obscure Command and Control Channels. Kolbitsch, Clemens, y otros. Montreal: USENIX Association, th USENIX Security Symposium [41] A multifaceted approach to understanding the botnet phenomenon. Rajab, Moheeb Abu, y otros. Río de Janeiro: USENIX, 06. 6th ACM SIGCOMM Conference on Internet Measurement. págs [42] A Survey of Cyber Attack Detection Systems. Singh, Shailendra y Silakari, Sanjay., 09, IJCSNS, Vol. 9, págs

12 [43] Intrusion detection by machine learning: A review. Tsai, Chih-Fong and Hsu, Yu-Feng and Lin, Chia-Ying and Lin, Wei-Yang., s.l.: Elsevier Ltd, 09, Expert Systems with Applications, Vol. 36, págs [44] Event detection and correlation for network environments. Sifalakis, Manolis, Fry, Michael y Hutchison, David. 1,, IEEE Journal on Selected Areas in Communications, Vol. 28, págs [4] RESTORE: A real-time event correlation and storage service for sensor networks. Krishnamurthy, Sudha, y otros. Chicago, IL, EE.UU.: Transducer Research Foundation TRF, 06. Proceedings of the 3rd International Conference on Networked Sensing Systems (INSS). [46] Limmer, Tobias y Dressler, Falko. Survey of Event Correlation Techniques for Attack Detection in Early Warning Systems. Department of Computer Science, Universidad de Erlangen. 08. pág. 37. [47] All your iframes point to us. Provos N, Mavrommatis P, Rajab MA, Monrose F. San Jose, California: s.n., 08. Proceedings of the 17th conference on security symposium. págs [48] Self-nonself discrimination in a computer. Forrest, S., y otros. Los Alamos, CA: IEEE Computer Society Press, Proceedings of the 1994 IEEE Symposiumon Research in Security and Privacy. págs [49] Real-valued negative selection algorithm with variable-sized detectors. Ji, Z. y Dasgupta, D. Seattle, Washington: Springer, 04. Genetic and Evolutionary Computation Conference. págs [0] Alienvault. Open Source Security Information Management. [1] Anubis. Analyzing unknown binaries. [2] Toward Automated Dynamic Malware Analysis Using CWSandbox. Willems, Carsten, Holz, Thorsten y Freiling, Felix. 2, 07, IEEE Security and Privacy Magazine, Vol., págs [3] Virustotal. Free online virus and malware scan. [4] Norman Proactive IT Security. SandBox Online Analyzer. [] Xen. Xen Hypervisor. 2 [6] Dynamic analysis of malicious code. Bayer, Ulrich, y otros. 1, s.l.: Springer, 06, Journal in Computer Virology, Vol. 2, págs /S [7] Automatic Rule Generation Based on Genetic Programming for Event Correlation. Suarez-Tangil, G., y otros. Burgos: Springer, 09. Computational Intelligence in Security for Information. págs Advances in Soft Computing. 12

13 REIVINDICACIONES 1. Método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red, caracterizado porque comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado; - inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual; y 1 - generar reglas de correlación de eventos a partir de información de correlación inferida por medio de técnicas de inteligencia artificial. 2. Método según la reivindicación 1, que comprende almacenar un ejecutable del malware capturado en una base de datos o descartar dicho ejecutable si el hash de dicho malware capturado coincide con otro almacenado previamente, usándose dicho ejecutable en cada dicha red virtual con el fin de obtener información a partir de dicho malware capturado. 3. Método según la reivindicación 1 ó 2, que comprende extraer información a partir de dicho malware capturado usando detección basada en firma de cargas útiles para patrones conocidos de mala intención y/o técnicas estáticas y dinámicas para análisis de código malintencionado. 4. Método según la reivindicación 3, que comprende además usar repositorios convencionales según caracterización y enumeración de atributos de malware con el fin de eliminar duplicación potencial de malware cuando se realiza dicha extracción de información de dicho malware capturado.. Método según la reivindicación 3 ó 4, en el que dicha información extraída comprende al menos uno de: nombre de dicho malware capturado, vulnerabilidades comunes explotadas por dicho malware capturado y sistema operativo y servicios afectados por dicho malware capturado Método según cualquiera de las reivindicaciones anteriores, que comprende implantar dicha red virtual con al menos un host virtual encargado de alojar malware capturado y con una instancia de implantación de gestión de eventos e información de seguridad, o SIEM, encargada de recopilar eventos activados por la actividad de dicho malware capturado. 7. Método según la reivindicación 6 cuando depende de la reivindicación 3, que comprende aplicar una configuración por defecto a dicha red virtual si no ha sido posible extraer información de dicho malware capturado. 8. Método según la reivindicación 6 ó 7, que comprende ejecutar dicha captura en dicha red virtual con el fin de recopilar eventos producidos a partir de dicha ejecución Método según la reivindicación 8, que comprende extraer información de clasificación y enumeración de atributos de malware ausente a partir de la ejecución en dicha red virtual de dicho malware capturado si no ha sido posible extraer información del malware capturado en dicha red trampa.. Método según la reivindicación 8 ó 9, que comprende generar dichas reglas de correlación de eventos evaluando un conjunto de entrenamiento e información estadística producidos por un proceso de minería de datos en al menos parte de dichos eventos recopilados a partir de la ejecución de dicho malware capturado, generándose dicho conjunto de entrenamiento mediante el análisis de eventos notificados desde dicha instancia de implantación de SIEM. 11. Método según la reivindicación, que comprende clasificar dichos eventos recopilados a partir de la ejecución de dicho malware capturado en eventos positivos y eventos negativos, en el que los eventos positivos se extraen de una prueba de conjunto de malware virtualizado y los eventos negativos se infieren de un sistema inmune artificial. 12. Método según la reivindicación 11, que comprende usar una selección negativa en dicho sistema inmune artificial. 13. Método según la reivindicación 12, en el que dicho conjunto de entrenamiento consiste en dichos eventos positivos y dichos eventos negativos Método según la reivindicación 13, que comprende además generar dichas reglas de correlación de eventos aplicando una técnica de inteligencia artificial a la información producida por un proceso de minería 13

14 de datos en dichos eventos positivos y evaluar dichas reglas de correlación de eventos con dicho conjunto de entrenamiento, comprendiendo dicha evaluación de dichas reglas de correlación de eventos maximizar eventos positivos y minimizar eventos negativos. 1. Método según la reivindicación 1, que comprende traducir dichas reglas de correlación de eventos a una sintaxis de SIEM por medio de enumeración de patrones de ataque común o lenguaje de descripción de conocimiento de ataque. 16. Método según la reivindicación 14 ó 1, que comprende realimentar dicha instancia de implantación de SIEM con dichas reglas de correlación de eventos Sistema para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red, caracterizado porque comprende los siguientes elementos y medios para implementar el método según cualquiera de las reivindicaciones 1 a 16: - un colector de red trampa encargado de capturar malware, incluyendo dicho colector de red trampa al menos un señuelo; - un conjunto de máquinas virtuales encargado de al menos construir redes virtuales en las que cada una de dichas redes virtuales está dedicada para cada malware capturado; - un módulo analizador encargado de inferir información de correlación a partir de malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada una de dichas redes virtuales; - un módulo de aprendizaje encargado de generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial; y - un módulo central conectado a dicho colector de red trampa, dicho conjunto de máquinas virtuales, dicho módulo analizador y dicho módulo de aprendizaje, encargado de coordinar el rendimiento entre dichos elementos del sistema. 14

15 1

16 16

17 17

18 18

19 19

20

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Actualidad de la tecnología de detección de intrusos en las redes

Actualidad de la tecnología de detección de intrusos en las redes VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Actualidad de la tecnología de detección de intrusos en las redes MSc. Walter Baluja García walter@tesla.cujae.edu.cu Dpto. Telemática

Más detalles

Capítulo 1. Introducción. 1.1. Antecedentes

Capítulo 1. Introducción. 1.1. Antecedentes Capítulo 1. Introducción En este capítulo se presenta una descripción general del problema a investigar y el enfoque con el que se aborda. Se establece la necesidad de incorporar técnicas de análisis novedosas

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa La Pampa 4 y 5 de Diciembre de 2009 AGENDA Primera Parte Definiciones

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL PUNTOS DESTACADOS Presentación de RSA Security Analytics, que proporciona: Monitoreo de seguridad Investigación de incidentes Creación

Más detalles

MS_20247 Configuring and Deploying a Private Cloud

MS_20247 Configuring and Deploying a Private Cloud Gold Learning Gold Business Intelligence Silver Data Plataform Configuring and Deploying a Private Cloud www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. Este curso

Más detalles

Honeypots (parte II) GSI Fing

Honeypots (parte II) GSI Fing Honeypots (parte II) GSI Fing Honeypots (parte II) Agenda Honeynet virtuales (alto nivel de interacción) Honeypots de bajo nivel de interacción Los 3 principios que gobiernan a los Honeypot Recolección,

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

51 Int. CI.: G06F 11/34 (2006.01) 71 Solicitantes: 72 Inventor/es: 74 Agente/Representante:

51 Int. CI.: G06F 11/34 (2006.01) 71 Solicitantes: 72 Inventor/es: 74 Agente/Representante: 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 427 645 Número de solicitud: 201131833 51 Int. CI.: G06F 11/34 (2006.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

ES 2 408 054 R1 ESPAÑA 11. Número de publicación: 2 408 054. Número de solicitud: 201001433 G06N 5/02 (2006.01) 10.11.2010

ES 2 408 054 R1 ESPAÑA 11. Número de publicación: 2 408 054. Número de solicitud: 201001433 G06N 5/02 (2006.01) 10.11.2010 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 408 054 Número de solicitud: 201001433 51 Int. CI.: G06N 5/02 (2006.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

La heurística en los virus

La heurística en los virus La heurística en los virus Francisco Eleazar Delgado Contreras Jesús Humberto Rojas Rangel José Luis Mares Monsiváis Coautor: Julio César González Cervantes FCFM-UANL Facultad de Ciencias Físico Matemáticas

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Descripción general brinda protección de alto rendimiento contra el tiempo fuera

Más detalles

DISEÑO E IMPLANTACIÓN DE UN HONEYPOT

DISEÑO E IMPLANTACIÓN DE UN HONEYPOT Fernando Cócaro Mauricio García María Jose Rouiller DISEÑO E IMPLANTACIÓN DE UN HONEYPOT InCo Facultad de Ingeniería - Universidad de la República Julio 2007 Agenda Estudio del arte de Honeypots María

Más detalles

SAQQARA. Correlación avanzada y seguridad colaborativa_

SAQQARA. Correlación avanzada y seguridad colaborativa_ SAQQARA Correlación avanzada y seguridad colaborativa_ Tiene su seguridad 100% garantizada con su SIEM?_ Los SIEMs nos ayudan, pero su dependencia de los eventos y tecnologías, su reducida flexibilidad

Más detalles

mantiene la productividad de los empleados y protege Confidence in a connected world. Page 1 of 5

mantiene la productividad de los empleados y protege Confidence in a connected world. Page 1 of 5 Seguridad galardonada de los sistemas de mensajería que protege los mensajes entrantes y controla los mensajes salientes. Descripción general ofrece seguridad de la mensajería entrante y saliente para

Más detalles

Comparative Study of the Effectiveness of Intrusion Detection Systems

Comparative Study of the Effectiveness of Intrusion Detection Systems Comparative Study of the Effectiveness of Intrusion Detection Systems ANGÉLICA FLÓREZ ABRIL ÁLVARO ERNESTO ROBLES RINCÓN DAMIÁN FERNANDO PINTO NIÑO Agenda Introducción Información de la Investigación Parámetros

Más detalles

MS_20246 Monitoring and Operating a Private Cloud

MS_20246 Monitoring and Operating a Private Cloud Gold Learning Gold Business Intelligence Silver Data Plataform Monitoring and Operating a Private Cloud www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. Este curso

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

La Inteligencia Analítica: Una Herramienta para el Mejoramiento en la Administración Pública

La Inteligencia Analítica: Una Herramienta para el Mejoramiento en la Administración Pública La Inteligencia Analítica: Una Herramienta para el Mejoramiento en la Administración Pública Dr. Viterbo H. Berberena G. Coordinador de la Maestría en Inteligencia Analítica Consultor Sénior en Inteligencia

Más detalles

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Notas de la versión McAfee Advanced Threat Defense 3.0 Revision A Contenido Acerca de este documento Funciones de McAfee Advanced Threat Defense 3.0 Problemas resueltos Notas de instalación y ampliación

Más detalles

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Carlos Figueira. Carlos Figueira. Universidad Simón Bolívar Basado en láminas del Profesor Henric Johnson (http://www.its.bth.se/staff/hjo/

Más detalles

VNUML: UNA HERRAMIENTA DE VIRTUALIZACIÓN DE REDES BASADA EN SOFTWARE LIBRE

VNUML: UNA HERRAMIENTA DE VIRTUALIZACIÓN DE REDES BASADA EN SOFTWARE LIBRE VNUML: UNA HERRAMIENTA DE VIRTUALIZACIÓN DE REDES BASADA EN SOFTWARE LIBRE Fermín Galán 1, David Fernández 2 1 Agora Systems S. A.; 2 Departamento de Ingeniería Telemática, UPM fermin.galan@agora-2000.com

Más detalles

Introducción. Francisco J. Martín Mateos. Dpto. Ciencias de la Computación e Inteligencia Artificial Universidad de Sevilla

Introducción. Francisco J. Martín Mateos. Dpto. Ciencias de la Computación e Inteligencia Artificial Universidad de Sevilla Francisco J. Martín Mateos Dpto. Ciencias de la Computación e Inteligencia Artificial Universidad de Sevilla Qué es la (KE)? Definición de Wikipedia: La es una disciplina cuyo objetivo es integrar conocimiento

Más detalles

Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012

Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012 Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012 PAGE 2 Protección ante Nuevas Amenazas Escenario de las amenazas y respuestas Escenario de las amenazas: crecimiento del malware > 200,000,000

Más detalles

Propuesta de proyecto de investigación: desarrollo de un rastreador web capaz de aprender a identificar la información más relevante

Propuesta de proyecto de investigación: desarrollo de un rastreador web capaz de aprender a identificar la información más relevante Propuesta de proyecto de investigación: desarrollo de un rastreador web capaz de aprender a identificar la información más relevante 30 de enero de 2016 Responsables Dr. Ricardo Marcelín Jiménez y M. en

Más detalles

TIVOLI. GERZEL, Stella Maris. stellagerzel@yahoo.com.ar

TIVOLI. GERZEL, Stella Maris. stellagerzel@yahoo.com.ar TIVOLI GERZEL, Stella Maris stellagerzel@yahoo.com.ar Temas a Desarrollar: Definición de Tivoli. Tivoli Storage Manager. Tivoli Monitoring for Web Infrastructure Utilización del Tivoli Business Systems

Más detalles

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011

Más detalles

MS_10981 Infrastructure Provisioning with System Center Virtual Machine Manager

MS_10981 Infrastructure Provisioning with System Center Virtual Machine Manager Gold Learning Gold Business Intelligence Silver Data Plataform Infrastructure Provisioning with System Center Virtual Machine Manager www.ked.com.mx Por favor no imprimas este documento si no es necesario.

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

ES 2 427 488 R1 ESPAÑA 11. Número de publicación: 2 427 488. Número de solicitud: 201230634 H04L 12/54 (2013.01) 27.04.2012

ES 2 427 488 R1 ESPAÑA 11. Número de publicación: 2 427 488. Número de solicitud: 201230634 H04L 12/54 (2013.01) 27.04.2012 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 427 488 Número de solicitud: 201230634 51 Int. CI.: H04L 12/54 (2013.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT

DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT TABLA DE CONTENIDO INTRODUCCION... 3 ESTRUCTURA DEL DIPLOMADO... 4 TEMA 1: ADMINISTRACION, SOPORTE Y MANTENIMIENTO DE WINDOWS SERVER 2012... 4 Preparar

Más detalles

Inteligencia artificial en redes de comunicaciones

Inteligencia artificial en redes de comunicaciones Inteligencia artificial en redes de comunicaciones APLICACIONES Autor: Pablo Borches Juzgado ARQUITECTURA DE RED INTELIGENTE INAP: Intelligent Network Application Protocol Objetivo: implantación de nuevos

Más detalles

Programa de Capacitación y Certificación.

Programa de Capacitación y Certificación. NIVEL 1.- INFRAESTRUCTURA DE REDES Programa de Capacitación y Certificación. INFORMES@COMPUSUR.COM.MX WWW.COMPUSUR.COM.MX 1 Contenido NIVEL 1. INFRAESTRUCTURA DE REDES... 4 6421 CONFIGURANDO Y RESOLVIENDO

Más detalles

MS_20696 Managing Enterprise Devices and Apps using System Center Configuration Manager

MS_20696 Managing Enterprise Devices and Apps using System Center Configuration Manager Gold Learning Gold Business Intelligence Silver Data Plataform Managing Enterprise Devices and Apps using System Center Configuration Manager www.ked.com.mx Por favor no imprimas este documento si no es

Más detalles

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,

Más detalles

INFORME Nº 014-2015-GTI. A : María Elena Quiroz González Superintendente Adjunto de Administración General. DE : Gerente de Tecnologías de Información

INFORME Nº 014-2015-GTI. A : María Elena Quiroz González Superintendente Adjunto de Administración General. DE : Gerente de Tecnologías de Información INFORME Nº 014-2015-GTI A : María Elena Quiroz González Superintendente Adjunto de Administración General DE : Gerente de Tecnologías de Información ASUNTO : Informe Técnico Previo de Evaluación de Software

Más detalles

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Programa de Capacitación y Certificación. INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Contenido PERFIL DE UN ESPECIALISTA EN BASES DE DATOS.... 3 6231. MANTENIENDO UNA BASE DE DATOS DE SQL SERVER 2008

Más detalles

Dell Printer Management Pack versión 6.0 para Microsoft System Center Operations Manager Guía del usuario

Dell Printer Management Pack versión 6.0 para Microsoft System Center Operations Manager Guía del usuario Dell Printer Management Pack versión 6.0 para Microsoft System Center Operations Manager Guía del usuario Notas, precauciones y avisos NOTA: Una NOTA proporciona información importante que le ayuda a utilizar

Más detalles

Registro Proyectos 2012 PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) 1. DESCRIPCIÓN DEL PROYECTO

Registro Proyectos 2012 PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) 1. DESCRIPCIÓN DEL PROYECTO PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) Institución INSTITUTO TECNOLOGICO DE MORELIA Título del proyecto Sistema de Detección de Anomalías en Tráfico de Red de Computadoras, basado en un Modelo probabilístico

Más detalles

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas TRITON AP-EMAIL Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas Desde señuelos diseñados para las redes sociales, hasta

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

Cómo defenderse de los ataques actuales de phishing dirigidos

Cómo defenderse de los ataques actuales de phishing dirigidos Cómo defenderse de los ataques actuales de phishing dirigidos Introducción Este mensaje es un engaño o es legítimo? Esta es la pregunta que hacen cada vez con mayor frecuencia los empleados y, en especial,

Más detalles

Leonardo Uzcátegui uzcategui@gmail.com

Leonardo Uzcátegui uzcategui@gmail.com Leonardo Uzcátegui uzcategui@gmail.com WALC 2012 Ciudad de Panamá 09/10/2012 1 Problemática Monitoreo, definición Clases de Monitoreo Monitoreo de Desempeño Indicadores de Desempeño Orientados al Servicio

Más detalles

GLOSARIO. Backbone.- Nivel más alto en una red jerárquica, generalmente el más rápido y capaz de transportar la mayoría del tráfico en una red.

GLOSARIO. Backbone.- Nivel más alto en una red jerárquica, generalmente el más rápido y capaz de transportar la mayoría del tráfico en una red. GLOSARIO AIIH (Assignment of IPv4 Global Addresses to IPv6 Hosts).- Método que permite asignar temporalmente direcciones IPv4 a hosts Dual Stack dentro de una red IPv6. Anycast.- Un identificador para

Más detalles

Arquitectura de sensores de seguridad para. la correlación de eventos

Arquitectura de sensores de seguridad para. la correlación de eventos Arquitectura de sensores de seguridad para la correlación de eventos Lic. Javier Diaz Lic. Nicolás Macia Lic. Paula Venosa Lic. Miguel Luengo Ms. Lía Molinari C.C. Viviana Ambrosi (*) { javierd, nmacia,

Más detalles

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes.

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes. SISTEMAS DISTRIBUIDOS DE REDES 2.- MODELOS ORIENTADOS A OBJETOS DISTRIBUIDOS 2.1. Tecnologías de sistemas distribuidos Para la implementación de sistemas distribuidos se requiere de tener bien identificados

Más detalles

Programación de red con Cisco Application Centric Infrastructure

Programación de red con Cisco Application Centric Infrastructure Informe técnico Programación de red con Cisco Application Centric Infrastructure Descripción general En este documento se examina la compatibilidad de la programación de Cisco Application Centric Infrastructure

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/05/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD 1. Instrucciones Generales de Presentación de Propuestas, Sección

Más detalles

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES Defensa equipo a equipo INTERNET Redes Externas Defensa perimetral Cliente Herramientas para la seguridad en Firewall Servicios

Más detalles

Donde puedo instalar GFI EventsManager en mi red?

Donde puedo instalar GFI EventsManager en mi red? Instalación Introducción Donde puedo instalar GFI EventsManager en mi red? GFI EventsManager se puede instalar en cualquier equipo que reúna los requisitos mínimos del sistema independientemente de la

Más detalles

11 Número de publicación: 2 321 774. 21 Número de solicitud: 200600040. 51 Int. Cl.: 74 Agente: Urízar Anasagasti, Jesús María

11 Número de publicación: 2 321 774. 21 Número de solicitud: 200600040. 51 Int. Cl.: 74 Agente: Urízar Anasagasti, Jesús María 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: 2 321 774 21 Número de solicitud: 200600040 51 Int. Cl.: H04W 88/00 (2009.01) G08B 23/00 (2006.01) 12 SOLICITUD DE PATENTE A1 22

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Gestión de la Seguridad con OSSIM

Gestión de la Seguridad con OSSIM Mayo del 2006 www.itdeusto.com Gestión de la Seguridad con OSSIM Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática gasensio@itdeusto.com La Seguridad en IT-Deusto Área de Seguridad IT Deusto

Más detalles

Práctica de Seguridad en Redes

Práctica de Seguridad en Redes Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción

Más detalles

11 Número de publicación: 2 293 257. 51 Int. Cl.: 74 Agente: Ponti Sales, Adelaida

11 Número de publicación: 2 293 257. 51 Int. Cl.: 74 Agente: Ponti Sales, Adelaida 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: 2 293 27 1 Int. Cl.: H04L 29/06 (06.01) H04L 29/12 (06.01) 12 TRADUCCIÓN DE PATENTE EUROPEA T3 86 Número de solicitud europea:

Más detalles

Cloud Email Firewall

Cloud Email Firewall Cloud Email Firewall Protección contra software malicioso y Antispam para el Correo Electrónico Si el correo de su empresa no es seguro entonces la información no está segura Cloud Email Firewall es una

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM Security Information and Event Management (SIEM) está diseñado para brindar monitoreo de TI continuo, inteligencia

Más detalles

51 Int. CI.: H04L 29/06 (2006.01) TRADUCCIÓN DE PATENTE EUROPEA. 96 Número de solicitud europea: 05250157.4. Fecha de presentación: 14.01.

51 Int. CI.: H04L 29/06 (2006.01) TRADUCCIÓN DE PATENTE EUROPEA. 96 Número de solicitud europea: 05250157.4. Fecha de presentación: 14.01. 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: 2 382 361 1 Int. CI.: H04L 29/06 (2006.01) 12 TRADUCCIÓN DE PATENTE EUROPEA 96 Número de solicitud europea: 02017.4 96 Fecha de

Más detalles

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Volumen 12 JULIO DICIEMBRE DE 2011 PRINCIPALES CONCLUSIONES www.microsoft.com/sir Microsoft Security Intelligence Report Este documento se publica exclusivamente

Más detalles

Symantec Protection Suite Small Business Edition Una solución sencilla, eficaz y asequible diseñada para la pequeña empresa

Symantec Protection Suite Small Business Edition Una solución sencilla, eficaz y asequible diseñada para la pequeña empresa Una solución sencilla, eficaz y asequible diseñada para la pequeña empresa Presentación Symantec Protection Suite Small Business Edition es una solución de seguridad y copia de seguridad sencilla y asequible.

Más detalles

BMC ProactiveNet Performance Management

BMC ProactiveNet Performance Management SERVICE ASSURANCE INFORMACIÓN DE PRODUCTO DATASHEET BMC ProactiveNet Performance Management Beneficios clave» Genera menos eventos y más inteligentes a través del motor de análisis de autoaprendizaje y

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

Maquinas virtuales Conceptos Básicos

Maquinas virtuales Conceptos Básicos Jimenez Zamudio Eduardo Aplicaciones de redes de computadoras 13 de septiembre de 2014 Maquinas virtuales Conceptos Básicos Concepto Básicamente, es un equipo dentro de un equipo, implementado en el software.

Más detalles

MS_20462 Administering Microsoft SQL Server Databases

MS_20462 Administering Microsoft SQL Server Databases Gold Learning Gold Business Intelligence Silver Data Plataform Administering Microsoft SQL Server Databases www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. Este curso

Más detalles

Botnets: el lado oscuro del cloud computing

Botnets: el lado oscuro del cloud computing Botnets: el lado oscuro del cloud computing De Angelo Comazzetto, Senior Product Manager Las botnets representan una amenaza seria para su red, su empresa, sus socios y sus clientes. Las botnets compiten

Más detalles

Protección contra. Protección para su empresa frente a pérdidas financieras y de reputación con la protección contra DDoS de Kaspersky

Protección contra. Protección para su empresa frente a pérdidas financieras y de reputación con la protección contra DDoS de Kaspersky Protección contra DDoS de Kaspersky Protección para su empresa frente a pérdidas financieras y de reputación Un ataque de denegación de servicio distribuido (DDoS, del inglés "Distributed Denial of Service")

Más detalles

Trabajo final de Ingeniería

Trabajo final de Ingeniería UNIVERSIDAD ABIERTA INTERAMERICANA Trabajo final de Ingeniería Weka Data Mining Jofré Nicolás 12/10/2011 WEKA (Data Mining) Concepto de Data Mining La minería de datos (Data Mining) consiste en la extracción

Más detalles

Título de la pista: Windows Server 2012 Detalles técnicos de redes

Título de la pista: Windows Server 2012 Detalles técnicos de redes Título de la pista: Windows Server 2012 Detalles técnicos de redes Módulo 2: Administración de la dirección IP Manual del módulo Autor: James Hamilton-Adams, Content Master Publicado: [introducir fecha]

Más detalles

WINDOWS SERVER 2003 - SERVICIOS DE RED Y DIRECTORIO ACTIVO

WINDOWS SERVER 2003 - SERVICIOS DE RED Y DIRECTORIO ACTIVO WINDOWS SERVER 2003 - SERVICIOS DE RED Y DIRECTORIO ACTIVO ESTRUCTURA DEL SEMINARIO Descripción del Seminario: Este Seminario combina contenidos del seminario de Infraestructura de Redes, Tecnología Especializad

Más detalles

W49_Virtualizing Enterprise Desktops and Apps

W49_Virtualizing Enterprise Desktops and Apps W49_Virtualizing Enterprise Desktops and Apps Presentación Este práctico curso de cinco días está diseñado para enseñarle la amplitud de la tecnología del escritorio virtual de Microsoft, en el curso se

Más detalles

Presentación de las soluciones: Protección de datos

Presentación de las soluciones: Protección de datos Archivado, copia de seguridad y recuperación para alcanzar la promesa de la virtualización Gestión unificada de la información para entornos empresariales Windows La explosión de la información no estructurada

Más detalles

Realizado por: Daniel Sánchez Álvarez

Realizado por: Daniel Sánchez Álvarez Realizado por: Daniel Sánchez Álvarez QUE SON? Es una red de equipos infectados por códigos maliciosos que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta

Más detalles

Documentación Técnica

Documentación Técnica Documentación Técnica Los beneficios de una PBX basada en software Por qué su próxima central telefónica se debe basar en software y ejecutarse en un sistema operativo predominante Este documento técnico

Más detalles

INFRAESTRUCTURA DE SERVIDORES MICROSOFT

INFRAESTRUCTURA DE SERVIDORES MICROSOFT INFRAESTRUCTURA DE SERVIDORES MICROSOFT TABLA DE CONTENIDO INTRODUCCION... 3 ESTRUCTURA PROGRAMATICA... 4 TEMA 1: ADMINISTRACION, SOPORTE Y MANTENIMIENTO DE WINDOWS SERVER 2008... 4 Preparar la administración

Más detalles

VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003

VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Título: Actualidad de la tecnología de detección de intrusos en las redes. Autor: MSc. Walter Baluja García Dpto. Telemática.CUJAE.

Más detalles

Guía de implementación

Guía de implementación Guía de implementación Instalación de software Contenido Descripción general de la implementación de software Servidor CommNet Windows Clúster de Windows - Servidor virtual Agente CommNet Windows Clúster

Más detalles

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF 1. NOMBRE DEL AREA: Informática que depende de la Jefatura de Planificación y Presupuesto 2.

Más detalles

Diferencias entre Windows 2003 Server con Windows 2008 Server

Diferencias entre Windows 2003 Server con Windows 2008 Server Diferencias entre Windows 2003 Server con Windows 2008 Server WINDOWS SERVER 2003 Windows Server 2003 es un sistema operativo de propósitos múltiples capaz de manejar una gran gama de funsiones de servidor,

Más detalles

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL Desafío Actualmente, muchos de los problemas más grandes de seguridad comienzan con un simple ataque

Más detalles

Implementación, aprovisionamiento y actualización de Windows Server con System Center

Implementación, aprovisionamiento y actualización de Windows Server con System Center Implementación automatizada y centralizada, aprovisionamiento y actualización de Windows Server La implementación y el mantenimiento de Windows Server en sistemas operativos de centros de datos y entornos

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

Ciberdefensa en el marco de Inteligencia

Ciberdefensa en el marco de Inteligencia Ciberdefensa en el marco de Inteligencia AGENDA 1. PREAMBULO 2. INTRODUCCION 3. CIBERDEFENSA Y CIBERINTELIGENCIA 4. CONCLUSIONES DESAFIOS TECNOLOGICOS EN LA CIBERDEFENSA PREAMBULO - Este espacio debe cubrir

Más detalles

Cómo proteger su empresa con servidores DNS que se protegen a sí mismos

Cómo proteger su empresa con servidores DNS que se protegen a sí mismos Resumen del producto: La Solución segura para DNS de Infoblox mitiga los ataques a servidores DNS mediante el reconocimiento inteligente de distintos tipos de ataques y la reducción del tráfico atacante

Más detalles

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 Información de Producto EMSISOFT ANTI-MALWARE Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 www.emsisoft.com Estimado usuario, Hemos preparado esta información

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 17 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

UNIVERSIDAD CENTROCCIDENTAL "LISANDRO ALVARADO" DECANATO DE CIENCIAS Y TECNOLOGIA MAESTRIA EN CIENCIAS DE LA COMPUTACION MENCION REDES DE COMPUTADORAS

UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGIA MAESTRIA EN CIENCIAS DE LA COMPUTACION MENCION REDES DE COMPUTADORAS UNIVERSIDAD CENTROCCIDENTAL "LISANDRO ALVARADO" DECANATO DE CIENCIAS Y TECNOLOGIA MAESTRIA EN CIENCIAS DE LA COMPUTACION MENCION REDES DE COMPUTADORAS MODELO DE GESTION WBEM PARA ADMINISTRACION DE REDES

Más detalles

Gerencia de Procesos de Negocio (Business Process Management, BPM). Lic. Patricia Palacios Zuleta

Gerencia de Procesos de Negocio (Business Process Management, BPM). Lic. Patricia Palacios Zuleta Gerencia de Procesos de Negocio (Business Process Management, BPM). Lic. Patricia Palacios Zuleta (Business Process Management, BPM). La Gerencia de los Procesos del Negocio: Se define como: "integración

Más detalles

UD 4: Instalación y configuración de cortafuegos

UD 4: Instalación y configuración de cortafuegos UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software

Más detalles