ES A2 ESPAÑA 11. Número de publicación: Número de solicitud: G06N 3/12 ( )

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ES 2 429 425 A2 ESPAÑA 11. Número de publicación: 2 429 425. Número de solicitud: 201230142 G06N 3/12 (2006.01) 31.01.2012"

Transcripción

1 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA Número de publicación: Número de solicitud: Int. CI.: G06N 3/12 (06.01) 12 SOLICITUD DE PATENTE A2 22 Fecha de presentación: Fecha de publicación de la solicitud: Solicitantes: TELEFONICA, S.A. (0.0%) GRAN VIA, N MADRID ES 72 Inventor/es: SUÁREZ DE TANGIL, Guillermo y PALOMAR GONZÁLEZ, Esther 74 Agente/Representante: ARIZTI ACHA, Monica 4 Título: MÉTODO Y SISTEMA PARA DETECTAR SOFTWARE MALINTENCIONADO 7 Resumen: Método y sistema para detectar software malintencionado. En el método de la invención, dicha detección de software malintencionado, o malware, se realiza al menos aplicando reglas de correlación de eventos de seguridad a una red. Se caracteriza porque comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado; - inferir información de correlación a partir de malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual; y - generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. El sistema está dispuesto para implementar el método de la invención. ES A2

2 Método y sistema para detectar software malintencionado Campo de la técnica DESCRIPCIÓN La presente invención en general se refiere, en un primer aspecto, a un método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red y, más particularmente, a un método que comprende capturar malware por medio de un colector de red trampa, implantar una red virtual dedicada para cada malware capturado, inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual y generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. Un segundo aspecto de la invención se refiere a un sistema dispuesto para implementar el método del primer aspecto. Estado de la técnica anterior La correlación de eventos de seguridad ha surgido como una potente herramienta de detección de intrusión para mejorar la comprensión del comportamiento de ataques complejos y así conseguir la reacción más rápida. Se ha demostrado que los sistemas de detección de intrusión (IDS) tradicionales, tal como Snort, padecen de una gestión abrumadora: aunque las recientes arquitecturas multihilo de Snort están muy optimizadas para las plataformas multinúcleo actuales, aún son necesarios muchos esfuerzos para romper los cuellos de botella provocados por los requisitos de rendimiento de la tasa de transmisión de llegada de paquetes de los IDS actuales [1]. Adicionalmente, los ataques (multietapa) distribuidos no sólo dejan rastro en un sistema centralizado (tal como el IDS de red mencionado anteriormente), sino también en muchas otras fuentes (conocidas como sensores), por ejemplo: IDS de host, servidores web, cortafuegos, y registros de DNS, por mencionar algunos. Por ejemplo, se han usado con éxito técnicas de correlación para detectar el diálogo de redes robot (botnets) [2] [3] [4]. Los sistemas de gestión de eventos e información de seguridad (SIEM) aparecen entonces para facilitar el análisis de eventos de seguridad por medio de su detección, almacenamiento, procesamiento, y correlación. Se diseñan sistemas SIEM para centralizar toda la información de seguridad generada por los sensores implantados en cualquier entorno de red. Una centralización de este tipo ayuda a (a) normalizar las alertas recopiladas en un formato común, (b) proporcionar un rápido acceso a datos de registro centralizados, (c) realizar un análisis eficaz de alertas dispersas, y también (d) generar alarmas de correlación siempre que detecte varios eventos potencialmente relacionados con una determinada actividad sospechosa. Por otro lado, se han aplicado diferentes técnicas de inteligencia artificial (IA) para optimizar la detección de intrusión especialmente dirigidas a tratar las desventajas mencionadas anteriormente []. En particular, se usan diversas técnicas de procesamiento basadas en IA para datos de seguridad de IDS como sistemas expertos [6], minería de datos [7], análisis estadístico [8], redes neuronales [9], aprendizaje automático [] [11], y sistemas inmune artificiales [12]. Sin embargo, sólo hay unas cuantas propuestas para el uso de técnicas de IA satisfactorias para optimizar la correlación de eventos de seguridad [13]. La inmensa mayoría de los trabajos presentados se topan con el mismo problema fundamental cuando se estudian los atributos relacionados con el evento y sus asociaciones en escenarios de ataque multietapa, es decir la clasificación previa del conocimiento antes de aplicar IA. Además, varias decisiones son cruciales cuando se introduce IA en sistemas SIEM, es decir o bien implantar un entorno controlado supervisado para entrenar ataques seleccionados previamente o bien aprender directamente de la actividad de red real. En este contexto, los señuelos (honeypots) son sistemas ampliamente conocidos usados para atrapar malware mediante descarga oculta (drive-by download) exponiendo un recurso vulnerable no protegido. Aparte de esto, los señuelos se monitorizan constantemente con el fin de estudiar el comportamiento del malware. Los señuelos se ubican habitualmente en el perímetro de una organización, habitualmente denominada zona desmilitarizada (DMZ). Algunos trabajos han usado rastreadores para estimular las actividades de los señuelos [47]. Dos o más señuelos forman una red trampa (honeynet) y, cuando se usan herramientas de análisis dentro de la red trampa, se denomina conjunto de redes trampa (honeyfarm). Recientemente, un nuevo concepto, concretamente telescopio de red, parece examinar mejor ataques a gran escala estudiando eventos multietapa producidos en Internet. Por ejemplo, muchos trabajos presentados hasta ahora desarrollan el análisis de malware automático en el extremo de host [14] [1] [16] [17]. Por ejemplo, Kapoor et al. [18] presentan varios métodos y sistemas, incluyendo señuelos, para unificar la gestión de amenazas, mientras se proporcionan instalaciones de procesamiento de flujo para el reconocimiento de patrones. Además Neysstadt et al. [19] proponen un sistema de reputación para ayudar a los sistemas de gestión de amenazas unificadas en la detección de intrusiones. En algunas realizaciones, los señuelos se usan para alimentar ese sistema de reputación. En cambio, en lugar de aplicar reconocimiento de patrones, Feeney et al. [] utilizan modelos ocultos de Markov factoriales para inferir automáticamente la estructura jerárquica del tipo de archivo del malware dentro de un modelo probabilístico. 2

3 Finalmente, las ventajas principales de las máquinas virtuales (VM), por ejemplo la recreación de múltiples plataformas que coexisten en el mismo ordenador, permiten construir un entorno de red informática económico en lugar de implantar ordenadores y redes físicas. A este respecto, el trabajo de Jiang y Wang [21] desarrolla señuelos de monitorización usando virtualización. Además, Syversen [22] presenta un enfoque de red trampa de red virtual para clonar una determinada configuración de red de empresa y que, a su vez, sirve como un sistema de detección temprana. Finalmente, los monitores de VM recientes incluyen extensiones de hardware para garantizar resistencia frente a técnicas de detección anti-vm [23], aumentando así la robustez de otros simuladores de red más sencillos tales como Honeyd [24]. Problemas con las soluciones existentes Muchos trabajos de investigación se han enfrentado al desafío de proporcionar soluciones eficaces para la detección, almacenamiento y procesamiento de información de seguridad durante la última década. Los primeros esfuerzos se concentraron en la gestión crítica de alertas heterogéneas (en datos y ubicación) en masa. A este respecto, se concibieron esquemas de agregación de datos [2] [26] [27] como paliativo para ese desafío reduciendo la cantidad de eventos almacenados y normalizando registros de auditoría y de registro [28] [29] [30]. Como resultado, se han desarrollado recientemente varios productos de software SIEM la mayoría a modo de marcos de seguridad en capas, al tiempo que se proporciona inteligencia esencial. A pesar de una centralización y agregación de datos de este tipo, la inmensa cantidad de los eventos de seguridad notificados es aún el desafío principal que hay que lograr [31] así como el papel de los administradores el cual está aún sobrecargado [32] [33] [34] [3]. Además, la inmensa mayoría de los marcos propuestos [13] [] [36] son ineficaces cuando tratan ataques distribuidos multietapa complejos [37]. Por ejemplo, dependiendo de dónde se sitúe el motor de detección, capturará algunos tipos de comportamientos pero omitirá otros, por ejemplo la información registrada en otros dispositivos tales como cortafuegos, encaminadores, servidores web, o registros de sistema. Los autores en [37] se centran en identificar ataques multietapa complejos agrupando las alertas notificadas por la dirección IP y/o puerto de destino dentro una determinada ventana de tiempo. Sin embargo, estos enfoques siguen siendo incompletos puesto que no garantizan que eventos filtrados determinarán un único ataque multietapa. Por otro lado, Zhuge et al. [38] extienden con éxito un enfoque basado en red trampa para extraer información de correlación de alto nivel de escenarios de ataque, supervisándose aún la adquisición de comportamientos de ataque por expertos humanos ( La adquisición de conocimiento es una tarea pesada pero necesaria para construir una base de conocimiento práctica, y es tan complicada que en la actualidad no puede esperarse que el ordenador realice tal trabajo sin supervisión humana [38]). Otras propuestas presentadas hasta ahora se centran en recopilar tanto software malintencionado como sea posible con el fin de estudiar su comportamiento general. Sin embargo, debe ponerse en marcha una estrategia diferente cuando se identifica un comportamiento aislado, habitualmente abordado por expertos tal como se mencionó anteriormente. Por ejemplo, Sudaharan et al. [39] introducen un enfoque basado en un conjunto de redes trampa para combatir automáticamente los ataques aprendidos a través de una red trampa. En este caso se necesitan filtros apropiados para determinar qué acciones o datos en la red trampa se consideran un ataque. Otros trabajos [1] aplican agrupamiento para filtrar alarmas relacionadas por medio de técnicas de minería de datos. Un problema principal subyacente a estos enfoques es que a veces el comportamiento del malware evoluciona de manera impredecible con el fin de evadir su detección, como hacen las redes robot de nueva generación para ofuscar mensajes de control de red [40]. Por tanto, enfoques de rastreo basados en señuelos tradicionales [41] carecen de escalabilidad debido a tal evolución del malware. Por otro lado, al igual que los problemas clásicos encontrados en la minería de datos, la extracción inteligente de reglas de correlación aún se enfrenta a sobrecargas de tiempo de ejecución en términos de potencia computacional y consumo de memoria, especialmente impuestos por la aplicación de técnicas de IA. Ciertamente, se han aplicado varias técnicas de IA para detección de ciberataques [], [42], [43], principalmente motivadas por la evolución continua de los ataques, que hace que las soluciones previas sean inválidas para ataques nuevos y evolucionados. Finalmente, el objetivo global de un motor de correlación de eventos es hallar conexiones entre alertas que pertenecen potencialmente a un determinado ataque distribuido (o multietapa). Por definición, las correlaciones son útiles porque pueden indicar una relación predictiva que va a explotarse. En este contexto, la correlación de eventos se ha abordado ampliamente en diferentes áreas relacionadas con la seguridad tales como diagnóstico de fallos de red [44], redes de sensores [4] y detección de ataques [46], pero aplicando múltiples estrategias. Recientemente, la mayoría de científicos están de acuerdo en que la correlación es mucho más efectiva cuando se considera una estrategia centralizada [32]. Sin embargo, aparte de estas escasas propuestas, la aplicación de técnicas de autoaprendizaje inteligentes para la generación de reglas de correlación de eventos se considera un desafío importante. Descripción de la invención Es necesario ofrecer una alternativa al estado de la técnica que cubra las lagunas encontradas en la 3

4 misma, particularmente en relación con la falta de propuestas que realmente eliminen la supervisión del experto en seguridad en la identificación de comportamiento de malware y la generación de la regla de correlación específica que coincide con ese comportamiento encontrado. Para ello, la presente invención proporciona en un primer aspecto un método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red. A diferencia de las propuestas conocidas, el método de la invención, de una manera característica, comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado incluyendo varios dispositivos virtuales denominados VM; - inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado tanto a nivel de red como de host en cada red virtual; y 1 - generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial. Otras realizaciones del método del primer aspecto de la invención se describen según las reivindicaciones adjuntas 2 a 16 y en una sección posterior relativa a la descripción detallada de varias realizaciones. Un segundo aspecto de la presente invención se refiere a un sistema para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red. En el sistema del segundo aspecto de la invención, a diferencia de los sistemas conocidos mencionados en la sección del estado de la técnica anterior, y de una manera característica, comprende los siguientes elementos: un colector de red trampa encargado de capturar malware, incluyendo dicho colector de red trampa al menos un señuelo; - un conjunto de máquinas virtuales encargado de al menos construir redes virtuales en el que cada una de dichas redes virtuales está dedicada para cada malware capturado incluyendo varios dispositivos virtuales denominados VM; - un módulo analizador encargado de inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado tanto a nivel de red como de host en cada una de dichas redes virtuales; - un módulo de aprendizaje encargado de generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial; y 3 - un módulo central conectado a dicho colector de red trampa, dicho conjunto de máquinas virtuales, dicho módulo analizador y dicho módulo de aprendizaje, encargado de coordinar el rendimiento entre dichos elementos del sistema. Otras realizaciones del sistema del segundo aspecto de la invención se describen según la reivindicación adjunta 18 y en una sección posterior relativa a la descripción detallada de varias realizaciones. Breve descripción de los dibujos 40 Las anteriores y otras ventajas y características se entenderán más completamente a partir de la siguiente descripción detallada de realizaciones, con referencia a los dibujos adjuntos, que deben considerarse de una manera ilustrativa y no limitativa, en los que: La figura 1 muestra un esquema general y el contexto del método y sistema de la invención propuesta en este documento. 4 La figura 2 muestra los módulos constructivos principales del sistema del segundo aspecto de la invención, según una posible realización. La figura 3 muestra el algoritmo seguido cuando se captura un malware en el colector de red trampa, según una realización de la presente invención. 4

5 La figura 4 muestra una exploración de un antivirus basado en firmas usada para extraer información dañina de un malware capturado en el colector de red trampa, según una realización de la presente invención. La figura muestra el algoritmo seguido por el conjunto de malware virtualizado usado para evaluar el impacto de ataques encontrados de malware capturado, según una realización de la presente invención. La figura 6 muestra el diagrama de flujo usado para analizar los eventos notificados por la SIEM implantada en cada red virtual, según una realización de la presente invención. La figura 7 muestra el diagrama de flujo de la generación de las reglas de correlación de eventos, según una realización de la presente invención. La figura 8 muestra un esquema detallado del sistema del segundo aspecto de la invención y los algoritmos que afectan a cada uno de los elementos de dicho sistema, según una realización de la presente invención. Descripción detallada de varias realizaciones 1 La presente invención se centra en proporcionar un subsistema de correlación de eventos de seguridad automático que elimina la intervención humana tanto en la detección de ataques como en la generación de reglas de correlación de eventos. Los objetivos principales van desde reducir el gran número de alertas notificadas para identificar escenarios de ataque multietapa, hasta identificar nuevas firmas de ataque. En primer lugar, el subsistema en cuestión proporciona un telescopio de red para observar actividad de malware. Adicionalmente, el telescopio en cuestión se alimenta con malware capturado por una red trampa. Para cada malware capturado se crea su propia red virtual aislada de las demás. 2 Así, el motor de correlación infiere información adicional a partir de tales alertas hallando conexiones entre las mismas. En general, las alertas de correlación se disparan basándose en directrices preestablecidas, es decir un conjunto de reglas. A este respecto, las directrices de correlación son generalmente ineficaces sin una configuración apropiada. Por ejemplo, la creación de directrices se lleva a cabo habitualmente por el administrador del sistema como experto. Ahora, el subsistema en cuestión extrae información de correlación de los eventos recopilados en cada red virtual. Este subsistema en cuestión genera automáticamente reglas de correlación de eventos a partir de la información inferida extraída en cada telescopio. También se proporciona un módulo adicional para instanciar y gestionar cada telescopio por medio de virtualización de red. De esta manera, el subsistema puede analizar archivos ejecutables de malware y su comportamiento basándose en los eventos generados En otra realización adicional de la invención, está presente un subsistema para monitorizar cada telescopio de red usando un sistema SIEM. La presente invención entonces integra detección y correlación de eventos de seguridad semisupervisadas como un todo en un marco SIEM usando técnicas de inteligencia artificial. Por motivos de ilustración, la figura 1 representa el contexto de la propuesta. La presente invención se ubica físicamente en dos segmentos de red principales. Por un lado, la captura (por una red trampa) del malware entrante se produce en la zona desmilitarizada (DMZ) que está expuesta públicamente. Por otro lado, el análisis de malware y la generación de reglas de correlación se sitúan en una subred separada, aislada de la altamente protegida intranet. El propósito del subsistema de correlación de eventos basado en red trampa inteligente, tal como se muestra en la figura 2, es en primer lugar atrapar automáticamente y recopilar malware, y entonces crear después un entorno de red informática aislado. La idea clave es aprender tanta información como sea posible acerca del comportamiento del malware recopilado que sirve para generar automáticamente reglas de correlación de eventos para una SIEM. Tal como se muestra en la figura 2, el subsistema de correlación basado en red trampa debe gestionar cuatro bloques constructivos principales, es decir un colector de malware basado en red trampa (HMC) que compila el software malintencionado producido, un analizador de malware y eventos de seguridad que ayuda a inferir información de correlación, un conjunto basado en maquina virtual para evaluar el impacto de los ataques encontrados (VMP) y, finalmente, la generación de reglas de correlación (CRG) que se encarga de crear automáticamente reglas de correlación de eventos por medio de técnicas de inteligencia artificial supervisadas. En primer lugar, el HMC consiste en un grupo de señuelos que pretenden capturar el software malintencionado entrante. El malware recopilado no se analiza en esta fase sino que se almacena en una base de datos con el fin de ejecutarse después, tal como se representa en la figura 3. Los señuelos se diseñan para exponer sistemas vulnerables en una subred no protegida para capturar malware descargado de manera oculta. Cuando el atacante explota una vulnerabilidad (conocida o desconocida), el sistema atrapa el ejecutable descargado. En una posible realización, sería posible usar rastreadores para estimular la actividad de la red trampa. Si el hash del

6 malware capturado coincide con otro almacenado previamente, entonces se descarta el ejecutable En segundo lugar, debe ponerse en marcha una exploración de firmas y vulnerabilidad por medio del módulo de analizador de malware que extrae información, tal como se muestra en la figura 4, usando métodos de detección de malware [32], tal como sigue. Normalmente, los sistemas de antivirus (AV) tradicionales operarán usando la detección de cargas dañinas basadas en firmas para patrones conocidos malintencionados. Una actualización continua de las firmas de AV a partir de diferentes servicios activos reducirá el coste y esfuerzo a la hora de etiquetar malware ampliamente conocido. En una posible realización, podría obtenerse información adicional para eliminar la duplicación potencial de malware a partir de depositarios normalizados según se define en MAEC (caracterización y enumeración de atributos de malware) [33]. En otra realización, el analizador de malware también puede producir la siguiente información en relación con una determinada especificación de malware: nombre, vulnerabilidades comunes explotadas, y el sistema operativo y servicios afectados. En aún otra realización, pueden implantarse técnicas estáticas [34] y dinámicas [3] para un análisis de código malintencionado para este módulo. La tercera fase tiene lugar dentro del VMP que representa un subsistema separado para instanciar una configuración de red usando máquinas virtuales para probar los ataques encontrados, tal como se representa en la figura. En este contexto, cuanta más información haya acerca de las vulnerabilidades afectadas proporcionadas por el analizador de malware en la fase anterior, más información tendrá el VMP para implantar la configuración de red virtual más apropiada. En cambio, cuando no se devuelve ninguna información por el analizador, entonces se ha descubierto un malware de día cero y, por tanto, se establece por defecto una configuración adecuada para la red virtual. En cualquier caso, las máquinas virtuales alojarán el software malintencionado junto con una instancia de sistema SIEM que es responsable de recopilar los eventos virtualizados como resultado de la actividad del malware demostrada. En cierta medida, la instancia de SIEM podría configurarse por defecto, o incluso incorporar información de seguridad adicional con respecto a ejecuciones previas del subsistema entero. Por tanto, este telescopio virtual también alojará diferentes productos de software en diferentes sistemas operativos. Cada sistema de red implantará un sensor conectado a la SIEM con el fin de acumular eventos críticos producidos en el sistema. El malware anidado entonces producirá un patrón y una secuencia de eventos diferente de sistemas no infectados. Productos de software típicos tales como cortafuegos, IDS, etc. notificarán eventos valiosos para una correlación adicional; y, por tanto, también se incluirán en una red virtual implantada. En esta invención se presenta un proceso de aprendizaje de dos fases basado en una clasificación sencilla: evaluación de (i) eventos positivos, y (ii) eventos negativos. En esta fase, los eventos se definen como positivos cuando se notifican desde sensores a la SIEM. Por tanto, se analizan eventos notificados desde la SIEM una vez más por el módulo analizador tal como se representa en la figura 6. Este análisis adicional es esencial para generar automáticamente un conjunto de entrenamiento. El conjunto de entrenamiento reúne de una manera organizada todas las características de eventos extraídas de la prueba de VMP. Este conjunto de entrenamiento consiste en los eventos etiquetados como positivos extraídos de la fase de VMP tal como se mencionó anteriormente, junto con los eventos, etiquetados como negativos, inferidos de, por ejemplo, un sistema inmune artificial (AIS). Por ejemplo, la técnica de AIS ampliamente conocida, concretamente, selección negativa [48] [49] completa el proceso de clasificación con los eventos discriminatorios. Con esta técnica, pueden retirarse eventos perjudiciales del conjunto positivo de eventos, llevando a una mejor convergencia del proceso de aprendizaje. Por tanto, la salida de este análisis implica dos grupos diferentes de eventos, es decir registros positivos y registros negativos. Adicionalmente, si el malware analizado es parte del ataque de día cero mencionado anteriormente, se extrae información de MAEC ausente con el fin de aliviar el impacto de los ataques basados en día cero. Por ejemplo, si sólo se notifican eventos de instancias de Windows XP SP3, pero no de SP1 y SP2, entonces los atributos de malware se caracterizarán apropiadamente según este escenario de ataque. El conjunto de entrenamiento permite aplicar cualquier técnica de inteligencia artificial supervisada así como servir como guía para la evaluación de reglas sin supervisión humana. Finalmente, la CRG crea reglas de correlación de eventos evaluando el conjunto de entrenamiento y la información estadística producidos por un proceso de minería de datos en los eventos positivos, tal como sigue. La minería de datos proporciona algunos datos estadísticos útiles, tal como el tiempo entre llegadas entre eventos con respecto a una de sus características, como los puertos o direcciones IP; estas estadísticas ayudan a la siguiente fase, es decir la generación de reglas inteligente, al clasificar los eventos relacionados en un tipo específico de ataque. Este módulo produce reglas de correlación genéricas para ese malware específico aplicando cualquier técnica basada en IA. Tal como se representa en la figura 7, la CRG entonces evalúa las reglas de correlación automáticamente generadas con los dos grupos mencionados anteriormente de registros positivos y negativos, con el objetivo de maximizar los positivos al tiempo que se minimizan los negativos. Por tanto, la técnica basada en IA devolverá la mejor regla de correlación generada basándose en el conocimiento capturado a partir del comportamiento del malware. Además, en una realización podría usarse CAPEC (clasificación y enumeración de patrones de ataque común) [36] o AKDL (lenguaje de descripción de conocimiento de ataque) [38] como una representación intermedia antes de traducir las reglas de correlación a una sintaxis específica de SIEM. Las reglas producidas se exportan entonces al motor de correlación de la SIEM de la organización en 6

7 producción, mientras se realimenta el motor de correlación de SIEM implantado sobre el VMP. Realizaciones de esta invención comprenden un marco como un todo que automatiza la correlación de eventos, eliminando la intervención humana durante ese proceso. En una realización preferida, el marco propuesto es adecuado para que se integre en una SIEM de fuente abierta tal como OSSIM [0] que puede usarse no sólo para unificar la gestión de marco de seguridad sino también para monitorizar las actividades de los sensores. En una posible realización, y con respecto al módulo de HMC, se usan redes trampa en la subred de DMZ para capturar el malware descargado de manera oculta. En otra realización, podrían usarse rastreadores para estimular la actividad de la red trampa. 1 2 En otra posible realización, y con respecto al analizador de malware, podrían usarse esfuerzos colaborativos (mayormente en forma de servicios de exploración en línea tales como Anubis [1], CWSandbox [2], Virus Total [3], Norman Sandbox [4], por mencionar algunos) para obtener información acerca de malware ampliamente conocido. En una realización particular, la invención propuesta puede aplicar Xen Hypervisor [], es decir un monitor de máquina virtual que mejora el proceso de virtualización ejecutado en el subsistema de VMP. Usando extensiones de hardware, se desea construir por consiguiente las vulnerabilidades recibidas desde cada telescopio de red, no sólo en términos de software. En otra realización, también podrían usarse herramientas de rastreo de llamada de sistema y otros kits de herramientas de análisis de malware genéricos tales como VMScope [21], TTAnalyze [6], o Ether [23] para extraer de manera eficaz información de malware dentro de nuestra propia zona protegida. Realizaciones del subsistema de analizador de eventos van desde adoptar métodos de agrupamiento hasta aprendizaje de reglas de asociación, entre otros [7]. En una realización ventajosa, el subsistema de CRG puede aplicar técnicas de computación evolutiva (EC), por ejemplo programación genética (GP), para proporcionar un aprendizaje automático de reglas de correlación de eventos. Este proceso se guía por un conjunto de entrenamiento generado previamente, que contiene la clasificación de eventos proporcionados por nuestros subsistemas de VMP. Más específicamente, la GP alcanza de manera eficaz la regla de correlación del ataque objetivo como el individuo más adecuado (para más detalles sobre esta estrategia genética, se remite a [7]). A este respecto, el AIS representa otro algoritmo de EC potencial para su uso en otra realización. Las realizaciones dadas a conocer son ilustrativas y no restrictivas Ventajas de la invención La finalidad principal de esta invención es eliminar totalmente la necesidad de supervisión del experto en seguridad especialmente en dos tareas principales, concretamente la identificación del comportamiento de malware y la generación de la regla de correlación específica que coincide con ese comportamiento encontrado. Por ejemplo, las SIEM actuales en producción ya dependen de la existencia de esa supervisión. Otra ventaja importante se centra en problemas de escalabilidad. La presente invención genera reglas de correlación que pueden integrarse fácilmente o bien en diferentes productos de SIEM o bien en diferentes infraestructuras de red. Una finalidad importante en este caso es la supresión de cualquier implantación de marco adicional in-situ. Además, se garantiza el proceso de aprendizaje en tiempo real suponiendo recursos ilimitados. Sin embargo, los experimentos muestran que es viable poner en marcha varias implantaciones que ejecutan hasta 0 máquinas virtuales sobre dos nodos que comprenden 4 núcleos hexagonales cada uno. Además, se ha demostrado que sistemas SIEM actuales como OSSIM pueden incorporar de manera dinámica y eficaz las reglas de correlación de eventos extraídas. Con respecto a problemas de optimización, se alivian esfuerzos en términos de tiempo y recursos. Como consecuencia de las dos ventajas anteriores, los costes a largo plazo de la invención automática son potencialmente menores que los costes, por ejemplo salarios y entrenamiento, derivados de la contratación de expertos en estas tareas de correlación complejas. No obstante, debe considerarse la evaluación de la compensación entre costes humanos y hardware. Adicionalmente, la introducción de sistemas SIEM como un requisito esencial en nuestro subsistema proporciona un punto de vista holístico de análisis de malware puesto que no sólo la tecnología de detección está evolucionando y cambiando constantemente sino también la complejidad de nuevos ataques multietapa. Una ventaja clave derivada del subsistema de VMP es que las actividades sospechosas producidas por un malware específico se aíslan de las actividades producidas por cualquier otro malware, eliminando así el ruido en fases anteriores. 7

8 Además, otra ventaja de la presente invención es que se detectan tanto firmas de malware ampliamente conocidas como desconocidas. Finalmente, la mutación y/o evolución del comportamiento de malware existente también se identifican ciertamente. A este respecto, la realimentación y colaboración entre sistemas SIEM en producción y las instanciaciones virtuales en zonas protegidas hacen que el reconocimiento del malware relacionado sea más rápido respecto a uno categorizado previo. Un experto en la técnica puede introducir cambios y modificaciones en las realizaciones descritas sin apartarse del alcance de la invención tal como se define en las reivindicaciones adjuntas. 8

9 SIGLAS 1 2 AI AIS AKDL CAPEC CRG CVE DMZ DNS EC GP HMC IDMEF IDS IP MAEC OSSIM SIEM SPx US VM VMP WO Artificial Intelligence; inteligencia artificial Artificial Immune System; sistema inmune artificial Attack Knowledge Description Language; lenguaje de descripción de conocimiento de ataque Common Attack Pattern Enumeration and Classification; clasificación y enumeración de patrones de ataque común Correlation Rule Generation; generación de reglas de correlación Common Vulnerabilities y Exposures; exposiciones y vulnerabilidades comunes De Militarized Zone; zona desmilitarizada Domain Name System; sistema de nombres de dominio Evolutionary Computation; computación evolutiva Genetic Programming; programación genética Honeynet-based Malware Collector; colector de malware basado en red trampa Intrusion Detection Message Exchange Format; formato de intercambio de mensajes de detección de intrusión Intrusion Detection System; sistema de detección de intrusión Internet Protocol; protocolo de Internet Malware Attribute Enumeration and Characterization; caracterización y enumeración de atributos de malware Open Source Security Information Management; gestión de información de seguridad de fuente abierta Security Information and Event Management; gestión de eventos e información de seguridad Servi Pack one, two o three; paquete de servicio uno, dos o tres United States; Estados Unidos Virtual Machine; máquina virtual Virtualized Malware Pool; conjunto de malware virtualizado World Intellectual Property Organization; Organización mundial de la propiedad intelectual 9

10 BIBLIOGRAFÍA [1] A data mining approach for analysis of worm activity through automatic signature generation. Zurutuza, Urko, Uribeetxeberria, Roberto y Zamboni, Diego. Alexandria: ACM Nueva York, 08. 1st ACM workshop on AISec [2] Bothunter: Detecting malware infection through ids-driven dialog correlation. Gu, Guofei, y otros. Boston: USENIX Association, th USENIX Security Symposium on USENIX Security Symposium. Vol. 12, págs [3] BotSniffer: Detecting botnet command and control channels in network traffic. Gu, G. and Zhang, J. and Lee, W. San Diego, CA, febrero: s.n., 08. Proceedings of the 1th Annual Network and Distributed System Security Symposium. [4] On the detection and identification of botnets. Seewald, A.K. and Gansterer, W.N. 1, s.l.: Elsevier,, Computers & Security, Vol. 29, págs [] The use of computational intelligence in intrusion detection systems: A review. Wu, Shelly Xiaonan y Banzhaf, Wolfgang. 1,, Applied Soft Computing, Vol., págs [6] Lunt, T., y otros. A real-time intrusion-detection expert system (IDES). SRI International [7] Brugger, S.T. Data mining methods for network intrusion detection. Universidad de California, Davis. s.l.: Technique Report, 04. [8] Detecting network intrusions via a statistical analysis of. Bykova, M., Ostermann, S. y Tjaden, B. Athens, OH, EE.UU.: s.n., 01. Proceedings of the 33rd Southeastern Symposium on System. págs [9] Network intrusion detection using an improved competitive learning neural network. Ripley, BD. 3, s.l.: JSTOR, 1994, Journal of the Royal Statistical Society, Vol. 6, págs [] An application of machine learning to network intrusion detection. Sinclair, C., Pierce, L. y Matzner, S. s.l.: IEEE, 199. Proceedings of the 1th Annual Computer Security Applications Conference. págs [11] A safe mobile agent system for distributed intrusion detection. Zhong, S.C., y otros. 03. International Conference on Machine Learning and Cybernetics. Vol. 4, págs [12] Towards an artificial immune system for network intrusion. Kim, Jungwon y Bentley, P.J. 01. Proceedings of the 01 Congress on Evolutionary Computation. Vol. 2, págs [13] A survey of coordinated attacks and collaborative intrusion detection. Zhou, Chenfeng Vincent, Leckie, Christopher y Karunasekera, Shanika. 1, s.l.: Elsevier,, Computers & Security, Vol. 29, págs [14] A honeypot architecture for detecting and analyzing unknown network attacks. P, Diebold, A, Hess y G, Schäfer. s.l.: Springer, 0. Kommunikation in Verteilten Systemen. págs [1] Effective and efficient malware detection at the end host. Kolbitsch, C., y otros. Montreal: USENIX Association, th Conference on USENIX security symposium. págs [16] Toward Automated Dynamic Malware Analysis Using CWSandbox. Willems, Carsten, Holz, Thorsten y Freiling, Felix. 2, s.l.: IEEE, 07, Security and Privacy Magazine, Vol.. [17] Automated Classification and Analysis of Internet Malware. Bailey, Michael, y otros. Gold Coast, Australia: Springer Berlin/ Heidelberg, 07. th international conference on Recent advances in intrusion detection. págs [18] KAPOOR, Harsh, y otros. Systems and Methods for Processing Data Flows. WO 07/ International, 21 de junio de 07. System and Method. [19] NEYSTADT, John y HUDIS, Efim. Detection of adversaries Through Collection and Correlation of Assessments. WO 08/ International, 23 de octubre de [] FEENEY, Bryan, POULSON, Steven y EDWARDS, John. Malware Detection. WO / International, 17 de junio de. [21] Out-of-the-box monitoring of VM-based high-interaction honeypots. Jiang, X. and Wang, X. Gold Goast, Australia: Springer-Verlag, 07. Proceedings of the th international conference on Recent advances in intrusion detection. págs

11 [22] Syversen, Jason M. Method and Apparatus for defending against Zero-day Worm based attack US, 24 de abril de 08. Method; Aparatus. [23] Ether: Malware analysis via hardware virtualization extensions. Dinaburg, A. and Royal, P. and Sharif, M. and Lee, W. s.l.: ACM, 08. Proceedings of the 1th ACM conference on Computer and communications security. págs [24] A virtual honeypot framework. Provos, Niels. San Diego, CA: USENIX Association, 04. Proceedings of the 13th conference on USENIX Security Symposium. Vol [2] Aggregation and correlation of intrusion-detection alerts. Debar, Hervé y Wespi, Andreas. Davis, CA, EE.UU.: Springer, 01. 4th International Symposium on Recent Advances in Intrusion Detection. págs [26] An Alert Fusion Framework for Situation Awareness of Coordinated Multistage Attacks. Mathew, Sunu, Shah, Chintan y Upadhyaya, Shambhu. Oahu, Hawai: IEEE Computer Society, 0. International Workshop on Innovative Architecture for Future Generation High-Performance Processors and Systems. págs [27] Towards scalable and robust distributed intrusion alert fusion with good load balancing. Li, Zhixhun, Chen, Yan y Beach, Aaron. s.l.: ACM, Proceedings of the SIGCOMM workshop on Large-scale attack defense. [28] A standard audit trail format. Bishop, Matt. Madrid: DIANE Publishing, 199. Proceedings of the National Information Systems Security Conference. págs [29] Debar, H., Curry, D. y Feinstein, B. IETF RFC 476. France Telecom, Guardian, Inc. SecureWorks The Intrusion Detection Message Exchange Format. [The Internet Engineering Task Force]. s.l.: RFC Editor, marzo de 07. [30] Lonvick, C. ISOC RFC Cisco Systems The BSD syslog Protoco. [The Internet Society]. Agosto: RFC Editor, 07. [31] Event Correlation in Integrated Management: Lessons Learned and Outlook. Martin-Flatin, Jean Philippe, Jakobson, Gabriel y Lewis, Lundy. 4, s.l.: Springer, 07, Journal of Network and Systems Management, Vol. 1, págs [32] M2D2: A formal data model for IDS alert correlation. Morin, Benjamin, y otros. Zurich, Switzerland: Springer- Verlag, 02. Proceedings of the th international conference on Recent advances in intrusion detection. págs [33] Event summarization for system management. Peng W, Perng C, Li T, Wang H. San Jose, CA, USA: ACM, 07. Proceedings of the 13th ACM SIGKDD international conference on Knowledge discovery and data mining. págs [34] An Online Adaptive Approach to Alert Correlation. Ren, Hanli, Stakhanova, Natalia y Ghorbani, Ali. Bonn, Alemania: s.n.,. págs [3] Employing Honeynets For Network Situational Awareness. Barford, P, y otros. XII, s.l.: Springer,, Cyber Situational Awareness, Vol. 46, págs [36] Honeycomb: creating intrusion detection signatures using honeypots. Kreibich, Christian y Crowcroft, Jon. 1, s.l.: ACM, 04, ACM SIGCOMM Computer Communication Review, Vol. 34, págs [37] Automatic Multi-step Attack Pattern Discovering. Wang L, Ghorbani A, Li Y. 2,, International Journal of Network Security, Vol., págs [38] Towards High Level Attack Scenario Graph through Honeynet Data Correlation Analysis. Zhuge, Jianwei, y otros. s.l.: IEEE, 06. Information Assurance Workshop. págs [39] Sudaharan, Sushanthan, y otros. Honeynet Farms as an Early Warning System for Production Networks US, 11 de mayo de 06. Software. 4 [40] Active Botnet Probing to Identify Obscure Command and Control Channels. Kolbitsch, Clemens, y otros. Montreal: USENIX Association, th USENIX Security Symposium [41] A multifaceted approach to understanding the botnet phenomenon. Rajab, Moheeb Abu, y otros. Río de Janeiro: USENIX, 06. 6th ACM SIGCOMM Conference on Internet Measurement. págs [42] A Survey of Cyber Attack Detection Systems. Singh, Shailendra y Silakari, Sanjay., 09, IJCSNS, Vol. 9, págs

12 [43] Intrusion detection by machine learning: A review. Tsai, Chih-Fong and Hsu, Yu-Feng and Lin, Chia-Ying and Lin, Wei-Yang., s.l.: Elsevier Ltd, 09, Expert Systems with Applications, Vol. 36, págs [44] Event detection and correlation for network environments. Sifalakis, Manolis, Fry, Michael y Hutchison, David. 1,, IEEE Journal on Selected Areas in Communications, Vol. 28, págs [4] RESTORE: A real-time event correlation and storage service for sensor networks. Krishnamurthy, Sudha, y otros. Chicago, IL, EE.UU.: Transducer Research Foundation TRF, 06. Proceedings of the 3rd International Conference on Networked Sensing Systems (INSS). [46] Limmer, Tobias y Dressler, Falko. Survey of Event Correlation Techniques for Attack Detection in Early Warning Systems. Department of Computer Science, Universidad de Erlangen. 08. pág. 37. [47] All your iframes point to us. Provos N, Mavrommatis P, Rajab MA, Monrose F. San Jose, California: s.n., 08. Proceedings of the 17th conference on security symposium. págs [48] Self-nonself discrimination in a computer. Forrest, S., y otros. Los Alamos, CA: IEEE Computer Society Press, Proceedings of the 1994 IEEE Symposiumon Research in Security and Privacy. págs [49] Real-valued negative selection algorithm with variable-sized detectors. Ji, Z. y Dasgupta, D. Seattle, Washington: Springer, 04. Genetic and Evolutionary Computation Conference. págs [0] Alienvault. Open Source Security Information Management. [1] Anubis. Analyzing unknown binaries. [2] Toward Automated Dynamic Malware Analysis Using CWSandbox. Willems, Carsten, Holz, Thorsten y Freiling, Felix. 2, 07, IEEE Security and Privacy Magazine, Vol., págs [3] Virustotal. Free online virus and malware scan. [4] Norman Proactive IT Security. SandBox Online Analyzer. [] Xen. Xen Hypervisor. 2 [6] Dynamic analysis of malicious code. Bayer, Ulrich, y otros. 1, s.l.: Springer, 06, Journal in Computer Virology, Vol. 2, págs /S [7] Automatic Rule Generation Based on Genetic Programming for Event Correlation. Suarez-Tangil, G., y otros. Burgos: Springer, 09. Computational Intelligence in Security for Information. págs Advances in Soft Computing. 12

13 REIVINDICACIONES 1. Método para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red, caracterizado porque comprende: - capturar malware por medio de un colector de red trampa; - implantar una red virtual dedicada para cada malware capturado; - inferir información de correlación a partir del malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada red virtual; y 1 - generar reglas de correlación de eventos a partir de información de correlación inferida por medio de técnicas de inteligencia artificial. 2. Método según la reivindicación 1, que comprende almacenar un ejecutable del malware capturado en una base de datos o descartar dicho ejecutable si el hash de dicho malware capturado coincide con otro almacenado previamente, usándose dicho ejecutable en cada dicha red virtual con el fin de obtener información a partir de dicho malware capturado. 3. Método según la reivindicación 1 ó 2, que comprende extraer información a partir de dicho malware capturado usando detección basada en firma de cargas útiles para patrones conocidos de mala intención y/o técnicas estáticas y dinámicas para análisis de código malintencionado. 4. Método según la reivindicación 3, que comprende además usar repositorios convencionales según caracterización y enumeración de atributos de malware con el fin de eliminar duplicación potencial de malware cuando se realiza dicha extracción de información de dicho malware capturado.. Método según la reivindicación 3 ó 4, en el que dicha información extraída comprende al menos uno de: nombre de dicho malware capturado, vulnerabilidades comunes explotadas por dicho malware capturado y sistema operativo y servicios afectados por dicho malware capturado Método según cualquiera de las reivindicaciones anteriores, que comprende implantar dicha red virtual con al menos un host virtual encargado de alojar malware capturado y con una instancia de implantación de gestión de eventos e información de seguridad, o SIEM, encargada de recopilar eventos activados por la actividad de dicho malware capturado. 7. Método según la reivindicación 6 cuando depende de la reivindicación 3, que comprende aplicar una configuración por defecto a dicha red virtual si no ha sido posible extraer información de dicho malware capturado. 8. Método según la reivindicación 6 ó 7, que comprende ejecutar dicha captura en dicha red virtual con el fin de recopilar eventos producidos a partir de dicha ejecución Método según la reivindicación 8, que comprende extraer información de clasificación y enumeración de atributos de malware ausente a partir de la ejecución en dicha red virtual de dicho malware capturado si no ha sido posible extraer información del malware capturado en dicha red trampa.. Método según la reivindicación 8 ó 9, que comprende generar dichas reglas de correlación de eventos evaluando un conjunto de entrenamiento e información estadística producidos por un proceso de minería de datos en al menos parte de dichos eventos recopilados a partir de la ejecución de dicho malware capturado, generándose dicho conjunto de entrenamiento mediante el análisis de eventos notificados desde dicha instancia de implantación de SIEM. 11. Método según la reivindicación, que comprende clasificar dichos eventos recopilados a partir de la ejecución de dicho malware capturado en eventos positivos y eventos negativos, en el que los eventos positivos se extraen de una prueba de conjunto de malware virtualizado y los eventos negativos se infieren de un sistema inmune artificial. 12. Método según la reivindicación 11, que comprende usar una selección negativa en dicho sistema inmune artificial. 13. Método según la reivindicación 12, en el que dicho conjunto de entrenamiento consiste en dichos eventos positivos y dichos eventos negativos Método según la reivindicación 13, que comprende además generar dichas reglas de correlación de eventos aplicando una técnica de inteligencia artificial a la información producida por un proceso de minería 13

14 de datos en dichos eventos positivos y evaluar dichas reglas de correlación de eventos con dicho conjunto de entrenamiento, comprendiendo dicha evaluación de dichas reglas de correlación de eventos maximizar eventos positivos y minimizar eventos negativos. 1. Método según la reivindicación 1, que comprende traducir dichas reglas de correlación de eventos a una sintaxis de SIEM por medio de enumeración de patrones de ataque común o lenguaje de descripción de conocimiento de ataque. 16. Método según la reivindicación 14 ó 1, que comprende realimentar dicha instancia de implantación de SIEM con dichas reglas de correlación de eventos Sistema para detectar software malintencionado, realizándose dicha detección de software malintencionado, o malware, al menos aplicando reglas de correlación de eventos de seguridad a una red, caracterizado porque comprende los siguientes elementos y medios para implementar el método según cualquiera de las reivindicaciones 1 a 16: - un colector de red trampa encargado de capturar malware, incluyendo dicho colector de red trampa al menos un señuelo; - un conjunto de máquinas virtuales encargado de al menos construir redes virtuales en las que cada una de dichas redes virtuales está dedicada para cada malware capturado; - un módulo analizador encargado de inferir información de correlación a partir de malware capturado y eventos recopilados a partir de la ejecución de dicho malware capturado en cada una de dichas redes virtuales; - un módulo de aprendizaje encargado de generar reglas de correlación de eventos a partir de dicha información de correlación inferida por medio de técnicas de inteligencia artificial; y - un módulo central conectado a dicho colector de red trampa, dicho conjunto de máquinas virtuales, dicho módulo analizador y dicho módulo de aprendizaje, encargado de coordinar el rendimiento entre dichos elementos del sistema. 14

15 1

16 16

17 17

18 18

19 19

20

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa La Pampa 4 y 5 de Diciembre de 2009 AGENDA Primera Parte Definiciones

Más detalles

Capítulo 1. Introducción. 1.1. Antecedentes

Capítulo 1. Introducción. 1.1. Antecedentes Capítulo 1. Introducción En este capítulo se presenta una descripción general del problema a investigar y el enfoque con el que se aborda. Se establece la necesidad de incorporar técnicas de análisis novedosas

Más detalles

Registro Proyectos 2012 PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) 1. DESCRIPCIÓN DEL PROYECTO

Registro Proyectos 2012 PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) 1. DESCRIPCIÓN DEL PROYECTO PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) Institución INSTITUTO TECNOLOGICO DE MORELIA Título del proyecto Sistema de Detección de Anomalías en Tráfico de Red de Computadoras, basado en un Modelo probabilístico

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Honeypots (parte II) GSI Fing

Honeypots (parte II) GSI Fing Honeypots (parte II) GSI Fing Honeypots (parte II) Agenda Honeynet virtuales (alto nivel de interacción) Honeypots de bajo nivel de interacción Los 3 principios que gobiernan a los Honeypot Recolección,

Más detalles

Actualidad de la tecnología de detección de intrusos en las redes

Actualidad de la tecnología de detección de intrusos en las redes VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Actualidad de la tecnología de detección de intrusos en las redes MSc. Walter Baluja García walter@tesla.cujae.edu.cu Dpto. Telemática

Más detalles

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Protección contra. Protección para su empresa frente a pérdidas financieras y de reputación con la protección contra DDoS de Kaspersky

Protección contra. Protección para su empresa frente a pérdidas financieras y de reputación con la protección contra DDoS de Kaspersky Protección contra DDoS de Kaspersky Protección para su empresa frente a pérdidas financieras y de reputación Un ataque de denegación de servicio distribuido (DDoS, del inglés "Distributed Denial of Service")

Más detalles

VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003

VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Título: Actualidad de la tecnología de detección de intrusos en las redes. Autor: MSc. Walter Baluja García Dpto. Telemática.CUJAE.

Más detalles

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL AUTOR: Alejandro Ramos Fraile Tiger Team Manager (SIA Company), Security Consulting (CISSP, CISA) Hola, bienvenidos a intypedia. Hoy vamos a explicar

Más detalles

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL PUNTOS DESTACADOS Presentación de RSA Security Analytics, que proporciona: Monitoreo de seguridad Investigación de incidentes Creación

Más detalles

David Jordi Vallet Weadon.

David Jordi Vallet Weadon. <david.vallet@uam.es> David Jordi Vallet Weadon 1 Introducción Durante las últimas décadas, la personalización ha sido aplicada en diferentes campos de la informática, tanto en la rama científica como

Más detalles

51 Int. CI.: G06F 11/34 (2006.01) 71 Solicitantes: 72 Inventor/es: 74 Agente/Representante:

51 Int. CI.: G06F 11/34 (2006.01) 71 Solicitantes: 72 Inventor/es: 74 Agente/Representante: 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 427 645 Número de solicitud: 201131833 51 Int. CI.: G06F 11/34 (2006.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

ES 2 408 054 R1 ESPAÑA 11. Número de publicación: 2 408 054. Número de solicitud: 201001433 G06N 5/02 (2006.01) 10.11.2010

ES 2 408 054 R1 ESPAÑA 11. Número de publicación: 2 408 054. Número de solicitud: 201001433 G06N 5/02 (2006.01) 10.11.2010 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 408 054 Número de solicitud: 201001433 51 Int. CI.: G06N 5/02 (2006.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

ES 2 427 488 R1 ESPAÑA 11. Número de publicación: 2 427 488. Número de solicitud: 201230634 H04L 12/54 (2013.01) 27.04.2012

ES 2 427 488 R1 ESPAÑA 11. Número de publicación: 2 427 488. Número de solicitud: 201230634 H04L 12/54 (2013.01) 27.04.2012 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 427 488 Número de solicitud: 201230634 51 Int. CI.: H04L 12/54 (2013.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

UNIVERSIDAD CARLOS III DE MADRID

UNIVERSIDAD CARLOS III DE MADRID UNIVERSIDAD CARLOS III DE MADRID ESCUELA POLITÉCNICA SUPERIOR DEPARTAMENTO DE INFORMÁTICA. GRUPO DE SEGURIDAD EN LAS TECNOLOGÍAS DE LA INFORMACIÓN PROYECTO FIN DE GRADO ANÁLISIS DINÁMICO DE MALWARE EN

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA INTRODUCCIÓN A LA SEGURIDAD EN REDES MAG. ELEONORA PALTA VELASCO (Director Nacional) ZONA CENTRO-SUR (CEAD

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Seguridad en redes: Herramientas de seguridad (i) Ramón Hermoso y Matteo Vasirani Universidad Rey Juan Carlos Curso 2012/2013 Bibliografía Richard Bejtlich. The Tao Of Network Security

Más detalles

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES Defensa equipo a equipo INTERNET Redes Externas Defensa perimetral Cliente Herramientas para la seguridad en Firewall Servicios

Más detalles

CLASIFICACIÓN TEXTUAL BASADA EN TÉRMINOS JERÁRQUICOS

CLASIFICACIÓN TEXTUAL BASADA EN TÉRMINOS JERÁRQUICOS XXV Jornadas de Automática Ciudad Real, del 8 al 10 de septiembre de 2004 CLASIFICACIÓN TEXTUAL BASADA EN TÉRMINOS JERÁRQUICOS Francisco Javier Panizo, José R. Villar, Ángel Alonso Área de Ingeniería de

Más detalles

DISEÑO E IMPLANTACIÓN DE UN HONEYPOT

DISEÑO E IMPLANTACIÓN DE UN HONEYPOT Fernando Cócaro Mauricio García María Jose Rouiller DISEÑO E IMPLANTACIÓN DE UN HONEYPOT InCo Facultad de Ingeniería - Universidad de la República Julio 2007 Agenda Estudio del arte de Honeypots María

Más detalles

Resumen del Artículo:

Resumen del Artículo: Por: Oscar Eduardo Cala W. Towards a Canonical Software Architecture for Multi-Device WebLabs. IECON 2005, 31st Annual Conference of the IEEE Industrial Electronics Society. García-zubía, J., López-de-ipiña,

Más detalles

FILTRADO DE CONTENIDOS WEB EN ESPAÑOL DENTRO DEL PROYECTO POESIA

FILTRADO DE CONTENIDOS WEB EN ESPAÑOL DENTRO DEL PROYECTO POESIA FILTRADO DE CONTENIDOS WEB EN ESPAÑOL DENTRO DEL PROYECTO POESIA Enrique Puertas epuertas@uem.es Francisco Carrero fcarrero@uem.es José María Gómez Hidalgo jmgomez@uem.es Manuel de Buenaga buenga@uem.es

Más detalles

BMC ProactiveNet Performance Management

BMC ProactiveNet Performance Management SERVICE ASSURANCE INFORMACIÓN DE PRODUCTO DATASHEET BMC ProactiveNet Performance Management Beneficios clave» Genera menos eventos y más inteligentes a través del motor de análisis de autoaprendizaje y

Más detalles

Comparative Study of the Effectiveness of Intrusion Detection Systems

Comparative Study of the Effectiveness of Intrusion Detection Systems Comparative Study of the Effectiveness of Intrusion Detection Systems ANGÉLICA FLÓREZ ABRIL ÁLVARO ERNESTO ROBLES RINCÓN DAMIÁN FERNANDO PINTO NIÑO Agenda Introducción Información de la Investigación Parámetros

Más detalles

Ciber Seguridad en Redes Industriales. Jhon Jairo Padilla Aguilar, PhD.

Ciber Seguridad en Redes Industriales. Jhon Jairo Padilla Aguilar, PhD. Ciber Seguridad en Redes Industriales Jhon Jairo Padilla Aguilar, PhD. El problema La conectividad expone las redes industriales críticamente seguras a una gran cantidad de problemas del Internet. Debido

Más detalles

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Carlos Figueira. Carlos Figueira. Universidad Simón Bolívar Basado en láminas del Profesor Henric Johnson (http://www.its.bth.se/staff/hjo/

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

ALGUNOS RESULTADOS EXPERIMENTALES DE LA INTEGRACIÓN DE AGRUPAMIENTO E INDUCCIÓN COMO MÉTODO DE DESCUBRIMIENTO DE CONOCIMIENTO

ALGUNOS RESULTADOS EXPERIMENTALES DE LA INTEGRACIÓN DE AGRUPAMIENTO E INDUCCIÓN COMO MÉTODO DE DESCUBRIMIENTO DE CONOCIMIENTO ALGUNOS RESULTADOS EXPERIMENTALES DE LA INTEGRACIÓN DE AGRUPAMIENTO E INDUCCIÓN COMO MÉTODO DE DESCUBRIMIENTO DE CONOCIMIENTO Kogan, A. 1, Rancan, C. 2,3, Britos, P. 3,1, Pesado, P. 2,4, García-Martínez,

Más detalles

Introducción. Francisco J. Martín Mateos. Dpto. Ciencias de la Computación e Inteligencia Artificial Universidad de Sevilla

Introducción. Francisco J. Martín Mateos. Dpto. Ciencias de la Computación e Inteligencia Artificial Universidad de Sevilla Francisco J. Martín Mateos Dpto. Ciencias de la Computación e Inteligencia Artificial Universidad de Sevilla Qué es la (KE)? Definición de Wikipedia: La es una disciplina cuyo objetivo es integrar conocimiento

Más detalles

MS_10981 Infrastructure Provisioning with System Center Virtual Machine Manager

MS_10981 Infrastructure Provisioning with System Center Virtual Machine Manager Gold Learning Gold Business Intelligence Silver Data Plataform Infrastructure Provisioning with System Center Virtual Machine Manager www.ked.com.mx Por favor no imprimas este documento si no es necesario.

Más detalles

Evaluación de PreludeIDS como herramienta de gestión de información y eventos relativos a seguridad

Evaluación de PreludeIDS como herramienta de gestión de información y eventos relativos a seguridad Evaluación de PreludeIDS como herramienta de gestión de información y eventos relativos a seguridad Leonardo de- Matteis * Javier Echaiz Jorge R. Ardenghi Laboratorio de Investigación en Sistemas Distribuidos

Más detalles

La emulación al rescate

La emulación al rescate La emulación al rescate El marco de emulador virtual simplifica la prueba del sistema de control de procesos MARIO HOERNICKE, RIKARD HANSSON Cuando los sistemas de control de procesos pasan las fases de

Más detalles

Diferencias entre Windows 2003 Server con Windows 2008 Server

Diferencias entre Windows 2003 Server con Windows 2008 Server Diferencias entre Windows 2003 Server con Windows 2008 Server WINDOWS SERVER 2003 Windows Server 2003 es un sistema operativo de propósitos múltiples capaz de manejar una gran gama de funsiones de servidor,

Más detalles

51 Int. CI.: H04L 29/06 (2006.01) TRADUCCIÓN DE PATENTE EUROPEA. 96 Número de solicitud europea: 05250157.4. Fecha de presentación: 14.01.

51 Int. CI.: H04L 29/06 (2006.01) TRADUCCIÓN DE PATENTE EUROPEA. 96 Número de solicitud europea: 05250157.4. Fecha de presentación: 14.01. 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: 2 382 361 1 Int. CI.: H04L 29/06 (2006.01) 12 TRADUCCIÓN DE PATENTE EUROPEA 96 Número de solicitud europea: 02017.4 96 Fecha de

Más detalles

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS A 3-Step Plan for Mobile Security Facilitando respuestas rápidas a los incidentes Resumen ejecutivo A medida que

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

VNUML: UNA HERRAMIENTA DE VIRTUALIZACIÓN DE REDES BASADA EN SOFTWARE LIBRE

VNUML: UNA HERRAMIENTA DE VIRTUALIZACIÓN DE REDES BASADA EN SOFTWARE LIBRE VNUML: UNA HERRAMIENTA DE VIRTUALIZACIÓN DE REDES BASADA EN SOFTWARE LIBRE Fermín Galán 1, David Fernández 2 1 Agora Systems S. A.; 2 Departamento de Ingeniería Telemática, UPM fermin.galan@agora-2000.com

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

MALWARE, UNA AMENAZA DE INTERNET

MALWARE, UNA AMENAZA DE INTERNET Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx Resumen Revista Digital Universitaria

Más detalles

MALWARE, UNA AMENAZA DE INTERNET

MALWARE, UNA AMENAZA DE INTERNET Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx Resumen Revista Digital Universitaria La

Más detalles

Fundamentos y Aplicaciones Prácticas del Descubrimiento de Conocimiento en Bases de Datos Guía docente

Fundamentos y Aplicaciones Prácticas del Descubrimiento de Conocimiento en Bases de Datos Guía docente Fundamentos y Aplicaciones Prácticas del Descubrimiento de Conocimiento en Bases de Datos Guía docente Impartido por: Juan Alfonso Lara Torralbo 1. Datos del docente NOMBRE Juan Alfonso Lara Torralbo FORMACIÓN

Más detalles

Inteligencia artificial en redes de comunicaciones

Inteligencia artificial en redes de comunicaciones Inteligencia artificial en redes de comunicaciones APLICACIONES Autor: Pablo Borches Juzgado ARQUITECTURA DE RED INTELIGENTE INAP: Intelligent Network Application Protocol Objetivo: implantación de nuevos

Más detalles

MS_20247 Configuring and Deploying a Private Cloud

MS_20247 Configuring and Deploying a Private Cloud Gold Learning Gold Business Intelligence Silver Data Plataform Configuring and Deploying a Private Cloud www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. Este curso

Más detalles

Introducción. Tipo de artículo: Artículo corto Temática: Inteligencia artificial Recibido: 05/09/2015 Aceptado: 15/10/2015

Introducción. Tipo de artículo: Artículo corto Temática: Inteligencia artificial Recibido: 05/09/2015 Aceptado: 15/10/2015 Tipo de artículo: Artículo corto Temática: Inteligencia artificial Recibido: 05/09/2015 Aceptado: 15/10/2015 Crawler focalizado para la extracción de documentos PDF desde revistas científicas Focused crawler

Más detalles

La Inteligencia Analítica: Una Herramienta para el Mejoramiento en la Administración Pública

La Inteligencia Analítica: Una Herramienta para el Mejoramiento en la Administración Pública La Inteligencia Analítica: Una Herramienta para el Mejoramiento en la Administración Pública Dr. Viterbo H. Berberena G. Coordinador de la Maestría en Inteligencia Analítica Consultor Sénior en Inteligencia

Más detalles

Sistema de detección de anomalías de red basado en monitorización y predicción de tráfico

Sistema de detección de anomalías de red basado en monitorización y predicción de tráfico Sistema de detección de anomalías de red basado en monitorización y predicción de tráfico PONENCIAS A System for Detecting Network Anomalies based on Traffic Monitoring and Prediction P. Barlet, H. Pujol,

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

Cómo defenderse de los ataques actuales de phishing dirigidos

Cómo defenderse de los ataques actuales de phishing dirigidos Cómo defenderse de los ataques actuales de phishing dirigidos Introducción Este mensaje es un engaño o es legítimo? Esta es la pregunta que hacen cada vez con mayor frecuencia los empleados y, en especial,

Más detalles

Arquitectura de sensores de seguridad para. la correlación de eventos

Arquitectura de sensores de seguridad para. la correlación de eventos Arquitectura de sensores de seguridad para la correlación de eventos Lic. Javier Diaz Lic. Nicolás Macia Lic. Paula Venosa Lic. Miguel Luengo Ms. Lía Molinari C.C. Viviana Ambrosi (*) { javierd, nmacia,

Más detalles

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas TRITON AP-EMAIL Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas Desde señuelos diseñados para las redes sociales, hasta

Más detalles

GLOSARIO. Backbone.- Nivel más alto en una red jerárquica, generalmente el más rápido y capaz de transportar la mayoría del tráfico en una red.

GLOSARIO. Backbone.- Nivel más alto en una red jerárquica, generalmente el más rápido y capaz de transportar la mayoría del tráfico en una red. GLOSARIO AIIH (Assignment of IPv4 Global Addresses to IPv6 Hosts).- Método que permite asignar temporalmente direcciones IPv4 a hosts Dual Stack dentro de una red IPv6. Anycast.- Un identificador para

Más detalles

Herramienta de gestión para la Ciudad Inteligente basada en el Sensor Ciudadano

Herramienta de gestión para la Ciudad Inteligente basada en el Sensor Ciudadano CIUDAD2020: HACIA UN NUEVO MODELO DE CIUDAD INTELIGENTE SOSTENIBLE PROYECTO INNPRONTA www.innprontaciudad2020.es Herramienta de gestión para la Ciudad Inteligente basada en el Sensor Ciudadano Julio Villena,

Más detalles

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes.

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes. SISTEMAS DISTRIBUIDOS DE REDES 2.- MODELOS ORIENTADOS A OBJETOS DISTRIBUIDOS 2.1. Tecnologías de sistemas distribuidos Para la implementación de sistemas distribuidos se requiere de tener bien identificados

Más detalles

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Notas de la versión McAfee Advanced Threat Defense 3.0 Revision A Contenido Acerca de este documento Funciones de McAfee Advanced Threat Defense 3.0 Problemas resueltos Notas de instalación y ampliación

Más detalles

Programación orientada a

Programación orientada a Programación orientada a objetos con Java Pedro Corcuera Dpto. Matemática Aplicada y Ciencias de la Computación Universidad de Cantabria corcuerp@unican.es Objetivos Presentar los conceptos de la programación

Más detalles

Gestión de la Seguridad con OSSIM

Gestión de la Seguridad con OSSIM Mayo del 2006 www.itdeusto.com Gestión de la Seguridad con OSSIM Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática gasensio@itdeusto.com La Seguridad en IT-Deusto Área de Seguridad IT Deusto

Más detalles

PROCESOS Y HERRAMIENTAS DE GESTIÓN DE LA SEGURIDAD DE REDES

PROCESOS Y HERRAMIENTAS DE GESTIÓN DE LA SEGURIDAD DE REDES ASIGNATURA DE GRADO: PROCESOS Y HERRAMIENTAS DE GESTIÓN DE LA SEGURIDAD DE REDES Curso 2014/2015 (Código:71023074) 1.PRESENTACIÓN DE LA ASIGNATURA Esta guía presenta las orientaciones básicas que requiere

Más detalles

SAQQARA. Correlación avanzada y seguridad colaborativa_

SAQQARA. Correlación avanzada y seguridad colaborativa_ SAQQARA Correlación avanzada y seguridad colaborativa_ Tiene su seguridad 100% garantizada con su SIEM?_ Los SIEMs nos ayudan, pero su dependencia de los eventos y tecnologías, su reducida flexibilidad

Más detalles

La heurística en los virus

La heurística en los virus La heurística en los virus Francisco Eleazar Delgado Contreras Jesús Humberto Rojas Rangel José Luis Mares Monsiváis Coautor: Julio César González Cervantes FCFM-UANL Facultad de Ciencias Físico Matemáticas

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 Información de Producto EMSISOFT ANTI-MALWARE Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 www.emsisoft.com Estimado usuario, Hemos preparado esta información

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Leonardo Uzcátegui uzcategui@gmail.com

Leonardo Uzcátegui uzcategui@gmail.com Leonardo Uzcátegui uzcategui@gmail.com WALC 2012 Ciudad de Panamá 09/10/2012 1 Problemática Monitoreo, definición Clases de Monitoreo Monitoreo de Desempeño Indicadores de Desempeño Orientados al Servicio

Más detalles

Seguridad en Redes Tour Tecnológico ASL@N

Seguridad en Redes Tour Tecnológico ASL@N Seguridad en Redes Tour Tecnológico ASL@N José Miguel Rufo Presenter Name Departamento Presenter Title de Canal 9/21/2007 Agenda Tour Tecnológico Asl@n Trend Micro Presentación de la Compañía Visión global

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Descripción general brinda protección de alto rendimiento contra el tiempo fuera

Más detalles

Agentes móviles en SAIPE: Sistema de acceso a Información Personal desde Entornos con conectividad limitada

Agentes móviles en SAIPE: Sistema de acceso a Información Personal desde Entornos con conectividad limitada Agentes móviles en SAIPE: Sistema de acceso a Información Personal desde Entornos con conectividad limitada Jose A. Barcala, Pedro Cuesta, Alma Gómez, Juan C. González, Francisco J. Rodríguez Lenguajes

Más detalles

Realizado por: Daniel Sánchez Álvarez

Realizado por: Daniel Sánchez Álvarez Realizado por: Daniel Sánchez Álvarez QUE SON? Es una red de equipos infectados por códigos maliciosos que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta

Más detalles

Framework para la Generación Dinámica de Invariantes en Composiciones de Servicios Web con WS-BPEL

Framework para la Generación Dinámica de Invariantes en Composiciones de Servicios Web con WS-BPEL Framework para la Generación Dinámica de Invariantes en Composiciones de Servicios Web con WS-BPEL Antonio García Domínguez, Manuel Palomo Duarte e Inmaculada Medina Bulo Departamento de Lenguajes y Sistemas

Más detalles

Revisión práctica de IDS. por Sacha Fuentes

Revisión práctica de IDS. por Sacha Fuentes por Sacha Fuentes Análisis forense El objetivo es la reconstrucción de los hechos que tienen lugar desde que el sistema estaba íntegro hasta que se ha detectado el acceso no autorizado Deberemos intentar

Más detalles

Internet en el Mundo de los Negocios

Internet en el Mundo de los Negocios Internet en el Mundo de los Negocios Características que ha provocado Internet: La Globalización (capacidad que los negocios tienen para operar a lo largo del mundo) Reducción de barreras reguladoras Restricciones

Más detalles

: COMPUTACIÓN E INFORMATICA : Ingeniería de Software Ingeniería de Redes y Comunicaciones : Diseño Básico de Redes : T-RED106

: COMPUTACIÓN E INFORMATICA : Ingeniería de Software Ingeniería de Redes y Comunicaciones : Diseño Básico de Redes : T-RED106 I. DATOS INFORMATIVOS Carrera Especialidad Curso Código Ciclo : Tercero Requisitos Duración Horas Semana : 08 horas Versión : v.0109 II. SUMILLA: : COMPUTACIÓN E INFORMATICA : Ingeniería de Software Ingeniería

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

Detección de Intrusiones mediante el uso de Redes Neuronales Britos J. Daniel 12, Arias. Silvia 13, Vargas Laura 14

Detección de Intrusiones mediante el uso de Redes Neuronales Britos J. Daniel 12, Arias. Silvia 13, Vargas Laura 14 Detección de Intrusiones mediante el uso de Redes Neuronales Britos J. Daniel 12, Arias. Silvia 13, Vargas Laura 14 1. Facultad de Ciencias Exactas, Físicas y Naturales. Universidad Nacional de Córdoba.

Más detalles

Enfrente los desafíos de la "BYOD"

Enfrente los desafíos de la BYOD Folleto Enfrente los desafíos de la "BYOD" HP Intelligent Management Center para la "BYOD" Quién es usted? Su dispositivo cumple con los requisitos? Asignado a redes de aplicaciones virtuales de la identidad

Más detalles

Análisis de la seguridad de una red de computadores, basado en sistemas de decepción (HoneyPots).

Análisis de la seguridad de una red de computadores, basado en sistemas de decepción (HoneyPots). Análisis de la seguridad de una red de computadores, basado en sistemas de decepción (HoneyPots). Edgar Hernando Criollo Velásquez. Maestría en ingeniería Electrónica. Pontificia Universidad Javeriana

Más detalles

Propuesta de proyecto de investigación: desarrollo de un rastreador web capaz de aprender a identificar la información más relevante

Propuesta de proyecto de investigación: desarrollo de un rastreador web capaz de aprender a identificar la información más relevante Propuesta de proyecto de investigación: desarrollo de un rastreador web capaz de aprender a identificar la información más relevante 30 de enero de 2016 Responsables Dr. Ricardo Marcelín Jiménez y M. en

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

para empresas con más de 25 puestos

para empresas con más de 25 puestos para empresas con más de 25 puestos ESET Business Solutions 1/7 Más allá de que su empresa recién se esté creando o ya esté bien establecida, hay ciertas cosas que debería esperar del software de seguridad

Más detalles

MS_20246 Monitoring and Operating a Private Cloud

MS_20246 Monitoring and Operating a Private Cloud Gold Learning Gold Business Intelligence Silver Data Plataform Monitoring and Operating a Private Cloud www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. Este curso

Más detalles

Guía de implementación

Guía de implementación Guía de implementación Instalación de software Contenido Descripción general de la implementación de software Servidor CommNet Windows Clúster de Windows - Servidor virtual Agente CommNet Windows Clúster

Más detalles

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València Propuesta de una arquitectura de sistemas de detección de intrusos con correlación. Autor: Angel Alonso Párrizas Director: Santiago Felici Castell Noviembre 2005 Haga clic TABLA para cambiar DE CONTENIDOS

Más detalles

Práctica de Seguridad en Redes

Práctica de Seguridad en Redes Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción

Más detalles