Sistema y un procedimiento para la detección de ataques distribuidos de denegación de servicio.

Procedimiento para la detección de ataques distribuidos de denegación de servicio por medio de una red (16) basada en paquetes,

con las etapas monitoreo de la red (16) con un dispositivo de medición (11) que está configurado con al menos una métrica dinámicamente definible; y control del dispositivo de medición (11) y detección de los ataques con un dispositivo de control (12), en donde el procedimiento presenta, además, las etapas

monitoreo de la red (16) con una métrica básica (13a);

cuando se detecta una modificación en los ataques distribuidos de denegación de servicio;

determinación de al menos una nueva tarea de monitoreo (14b) con el dispositivo de control (12) para el ajuste 10 del dispositivo de medición (11) a la modificación detectada; caracterizado por

puesta a disposición de una definición de métrica (15) en un lenguaje de encriptación para una métrica ampliada (13) con el dispositivo de control (12) para el cumplimiento de la nueva tarea de monitoreo (14b);

descarga de la definición de métrica (15) del dispositivo de control (12) al dispositivo de medición (11); e

interpretación de la métrica ampliada (13) sobre la base de la definición de métrica (15) con el dispositivo de medición (11).

Sistema y un procedimiento para la detección de ataques distribuidos de denegación de servicio

La presente invención se refiere a un sistema y un procedimiento para la detección de ataques distribuidos de denegación de servicio a través de una red basada en paquetes, en particular para la ampliación en tiempo real del dispositivo de medición del sistema mediante una definición métrica para la adaptación a ataques distribuidos de denegación de servicio.

Antecedente técnico

Los ataques a sistemas de computación por medio de la Internet se pueden dividir, esencialmente, en dos tipos de ataques, concretamente la intrusión en servicios de servidores y manipulación de los servicios; y la denegación de servicios (Denial of Service: DoS) mediante la generación de consultas sin sentido y/o automáticos, es decir ataques de saturación.

Los ataques de saturación pueden ser usados sobre diferentes recursos de destino. Además de la saturación de la infraestructura de red y ruteadores, ancho de banda también se observan ataques a aplicaciones. Es así que muchas consultas generadas automáticamente producen, la mayoría de las veces, una saturación de los servicio, por lo cual ya no están disponibles para usuarios normales, es decir se produce una denegación de servicio. La generación automática de estas consultas se hacen, por regla general, a partir de muchos ordenadores capturados, en particular memorias infectadas de un virus sin el conocimiento del usuario, de manera que este tipo de ataques es denominado ataque distribuido de denegación de servicio (Distributed Denial of Service, abreviatura: DDoS).

Los sistemas para la detección de ataques por medio de la red se conocen como Intrusión Detection System (IDS) o Anomaly Detection System (ADS). Detectan ataques mediante patrones característicos (en el caso de IDS) o mediante desviaciones respecto de un estado normal (en el caso de ADS).

Debido a que el atacante humano advierte si el ataque ha sido exitoso, variará constantemente las técnicas aplicadas mientras se lo rechace exitosamente. Por esta razón, también la estrategia de defensa debe ser adaptada permanentemente a las condiciones básicas. También la utilización regular de los servicios a proteger está en un cambio constante.

O sea, la defensa contra estos ataques presupone un sistema de medición que mediante una unidad de control puede ser adaptada permanentemente a las nuevas necesidades. De esta manera, los nuevos fenómenos pueden ser descritos y detectados mediante métricas características.

Los sistemas de medición puros convencionales o dispositivo de medición y componentes de medición de ADS e IDS no tienen dicha funcionalidad. Algunos dispositivos de medición según el estado actual de la técnica son, por ejemplo: IBM Aurora, Lucent VitalSuite, CA Spectrum. IDS ejemplares son: Cisco Anomaly Detector con Cisco Guard y Radware DefensePro. Las métricas más usuales son programadas como componentes del sistema de medición y pueden ser aplicadas en caso de necesidad. Nuevas métricas no pueden ser definidas y transmitidas al dispositivo de medición en tiempo real. Cuando el fabricante pone a disposición una nueva métrica es necesario un tiempo de paro de todo el sistema para integrar la nueva métrica al sistema.

Los documentos US-B-6785818 y US-A-20070094730 describen una detección de ataques de Registry Mapping o gusanos de ordenador. Este tipo de ataques se produce en otro plano, concretamente mediante el aprovechamiento de vulnerabilidades en un sistema o una red del atacado. Se produce, habitualmente, una búsqueda de signaturas dañinas, o sea patrones característicos, en el contenido de paquetes, tal como se conoce de los antivirus. Primariamente, el ataque tampoco se dirige al bloqueo de servicios, sino a controlar sistemas.

Contrariamente, un ataque DDoS que se basa solamente en la saturación de recursos también puede ser iniciado contra sistemas completamente seguros. Se basa exclusivamente en el volumen de consultas. Los ataques DDoS se diferencian, principalmente, en el objetivo - ataques sencillos obstruyen la línea de red con paquetes, recursos: ancho de banda. Los ataques más complejos, con el fin de sobrecargar la CPU o las memorias producen, por ejemplo en bancos de datos de páginas Web, muchas consultas que requieren la compresión de datos.

Lo que estos ataques tienen en común es que mediante patrones y fenómenos característicos ya es posible que puedan ser detectados en la red. Ello se produce mediante la detección de patrones conocidos (IDS) o bien por la desviación de patrones normales (ADS).

El documento US-A-20060242705 describe un ADS para la detección de gusanos. Se buscan elementos dañinos en la propia red, o sea que no se rechaza en el Inbound Link ningún ataque desde el exterior. El procedimiento describe un sistema completo para la detección de y la defensa contra gusanos, mediante procedimientos de medición concretos. Sin embargo, no se propone una adaptación de métricas a nuevos tipos de gusanos.

En el sistema Cisco nombrado anteriormente, el proceso de verificación múltiple nombrado describe un procedimiento de varias etapas con medidas concretas, por ejemplo la verificación del origen: los remitentes de

paquetes son verificados mediante contraconsultas sencillas. Tampoco en este caso está prevista una adaptación del esquema. En la publicación de Thomas Gamer et al: Distack - A Framework for Anomaly- Based Large Scale Attack Detection, EMERGENCY SECURTIY INFORMATION, SYSTEMS AND TECHNOLOGIES, 2008, SECUWARE `08. SECOND INTERNATIONAL CONFERENCE ON, IEEE se describe una estructura para la detección de ataques que permiten la integración de diferentes procedimientos de detección en forma de módulos.

El documento US 6.477.651 B1 se refiere a un sistema y un procedimiento para la detección del uso no autorizado o malintencionado de los recursos de red.

Resumen de la invención

La presente invención tiene el objetivo de brindar un sistema y un procedimiento para la detección de ataques distribuidos de denegación de servicio por medio de una red basada en paquetes, el cual permite una definición de métrica para la ampliación flexible en tiempo real del dispositivo de medición del sistema, mediante lo cual se posibilita una adaptación dinámica a los ataques distribuidos de denegación de servicio.

Este objetivo se consigue mediante el objeto de las reivindicaciones.

La presente invención se refiere a un procedimiento para la detección de ataques distribuidos de denegación de servicio por medio de una red basada en paquetes según la reivindicación 1 y un sistema para la detección de ataques distribuidos de denegación de servicio por medio de una red basada en paquetes según la reivindicación 6. Las reivindicaciones secundarias se refieren a formas de realización preferentes de la invención.

El procedimiento según la presente invención, mediante el uso de lenguaje de encriptación para la definición métrica permite la ampliación del sistema de medición, teniendo pocos conocimientos de programación, y la definición de una métrica nueva. De esta manera, es posible transmitir la nueva métrica durante el tiempo de ejecución, sin necesidad de reiniciar, e incluirla en la operación. La nueva métrica, es decir la métrica ampliada puede suplantar o ampliar la métrica básica existente. En otras palabras, la métrica en el sistema según la presente invención puede ser ampliada o modificada de manera dinámica. Por lo tanto, el dispositivo de medición del sistema puede ser adaptado a nuevas tareas, es decir que el sistema puede ser adaptado en tiempo real a las estructuras de ataque permanentemente cambiantes. Consecuentemente, se puede evitar un tiempo de paro del sistema para la reconfiguración de la métrica.

Descripción de las figuras

A continuación, la invención se describe en detalle mediante los dibujos anexos. Muestran:

La figura 1, una representación esquemática del modo del funcionamiento del sistema según una forma de realización preferente de la presente invención; y

la figura 2, un desarrollo a modo de ejemplo para la adaptación de la métrica en el dispositivo de medición.

A continuación, el procedimiento para la detección de ataques distribuidos de denegación de servicio a través de una red basada en paquetes se explica, según una forma de realización preferente, mediante la figura 1 y la figura 2.

La invención describe un procedimiento para la reconfiguración de un sistema de medición o dispositivo de medición 11 que, de esta manera, es capaz de recibir nuevas métricas 13 características durante el tiempo de ejecución y hacer cálculos durante la operación... [Seguir leyendo]

1. Procedimiento para la detección de ataques distribuidos de denegación de servicio por medio de una red (16) basada en paquetes, con las etapas monitoreo de la red (16) con un dispositivo de medición (11) que está configurado con al menos una métrica dinámicamente definible; y control del dispositivo de medición (11) y detección de los ataques con un dispositivo de control (12),

en donde el procedimiento presenta, además, las etapas monitoreo de la red (16) con una métrica básica (13a); cuando se detecta una modificación en los ataques distribuidos de denegación de servicio;

determinación de al menos una nueva tarea de monitoreo (14b) con el dispositivo de control (12) para el ajuste del dispositivo de medición (11) a la modificación detectada; caracterizado por

puesta a disposición de una definición de métrica (15) en un lenguaje de encriptación para una métrica ampliada (13) con el dispositivo de control (12) para el cumplimiento de la nueva tarea de monitoreo (14b);

descarga de la definición de métrica (15) del dispositivo de control (12) al dispositivo de medición (11); e interpretación de la métrica ampliada (13) sobre la base de la definición de métrica (15) con el dispositivo de medición (11).

2. Procedimiento según la reivindicación 1, por el cual la métrica ampliada (13) suplanta la métrica básica (13a).

3. Procedimiento según las reivindicaciones 1 o 2, por el cual la definición de métrica (15) presenta en la red (16) determinados datos de encabezamiento y/o datos de usuario provenientes de paquetes de datos.

4. Procedimiento según la reivindicación 3, por el cual el monitoreo mediante el dispositivo de medición (11) está definido sobre parámetros y segmento de red, fuentes y/o tipos de paquetes.

5. Procedimiento según las reivindicaciones 3 o 4, por el cual sobre los paquetes de datos se realiza una función matemática.

6. Sistema para la detección de ataques distribuidos de denegación de servicio por medio de una red (16) basada

en paquetes, con:

un dispositivo de medición (11) para el monitoreo de la red (16);

un dispositivo con una métrica para la configuración del dispositivo de medición (11), siendo la métrica adaptable dinámicamente a los ataques distribuidos de denegación de servicios; y

un dispositivo de control (12) conectado con el dispositivo de medición (11) para el control del dispositivo de medición (11) y la ejecución de la detección de ataques distribuidos de denegación de servicios; estando el sistema configurado

para el monitoreo de la red (16) mediante una métrica básica (13a); cuando se detecta un cambio en los ataques distribuidos de denegación de servicios, determinación de al menos una nueva tarea de monitoreo (14b) con el dispositivo de control (12) para el ajuste del dispositivo de medición (11) a la modificación detectada; caracterizado por la puesta a disposición de una definición de métrica (15) en un lenguaje de encriptación para una métrica ampliada (13) con el dispositivo de control (12) para el cumplimiento de la nueva tarea de monitoreo (14b);

la descarga de la definición de métrica (15) del dispositivo de control (12) al dispositivo de medición

(11): e

interpretación de la métrica ampliada (13) sobre la base de la definición de métrica (15) con el dispositivo de medición (11).