Investigadores de los grupos Sistemas Inteligentes y Minería de Datos (SiMiDat) de la Universidad de Jaén (UJA) y Soft Computing y Sistemas de Información Inteligentes (SCI2S) de la Universidad de Granada (UGR) han diseñado un sistema de detección de intrusiones para hacer frente a ciberataques.

Según ha explicado la Universidad de Granada en una nota, la herramienta se basa en técnicas de Inteligencia Computacional con las que aprende pautas que le permiten anticiparse a los intrusos que vulneran los mecanismos de seguridad de los sistemas de información.

Los dispositivos actuales de detección de intrusos en la red están limitados a la información con la que fueron entrenados y detectan "sólo si hay ataque o no", indican los investigadores, quienes añaden que "otros detectores incurren en falsos positivos".

En este caso, "no sólo consiste en identificar que el acceso es anómalo, sino que el sistema aprenda a detectarlos y responda ante ese ataque", ha precisado a la Fundación Descubre el responsable del proyecto Alberto Fernández, de la Universidad de Jaén.

Los ataques cibernéticos presentan características diferentes, por lo que, según Fernández, "métodos estadísticos sencillos no resultan efectivos para su detección". Por ello, los expertos han utilizado Inteligencia Computacional que permite el entrenamiento del sistema para que extraiga conclusiones fruto de su experiencia.

Así las cosas, ha explicado que aplican estas técnicas para intentar que la herramienta avance hasta una solución "factible" con técnicas "sofisticadas" parecidas a las reglas propias del aprendizaje humano.

Para conseguir que el sistema "aprenda", los investigadores lo someten a una batería de pruebas en las que tiene que procesar un total de cuatro millones de ejemplos disponibles en repositorios de datos. Con los comportamientos correctos, la herramienta va extrayendo conclusiones y discriminando si se trata de un acceso normal o anómalo.

La novedad de este modelo, que los expertos describen en su trabajo 'On the combination of genetic fuzzy systems and pair wise learning for improving detection rates on Intrusion Detection Systems', publicado en la revista Expert Systems with Applications, es la utilización de sistemas difusos evolutivos basados en las leyes de la naturaleza.

"En nuestro caso, aplicamos este patrón y el algoritmo aprende por sí mismo con los conjuntos de datos que le hemos dado como entrenamiento. Empieza aportando soluciones aleatorias y evoluciona hasta quedarse con las que mayor calidad aportan al objetivo de identificación. Es como la Teoría de la Evolución de Darwin, combinamos soluciones y van quedando las mejores adaptadas", ejemplifica.

La ventaja de este enfoque es la utilización de etiquetas lingüísticas, que permite una mejor comprensión del conjunto de reglas con las que opera el sistema. En lugar de utilizar valores numéricos utiliza conceptos del lenguaje humano.

En este sentido, ha indicado que en lugar de alertar sobre que el riesgo de que alguien está intentando atacar el sistema es diez, dice que existe un riesgo alto. "Esto facilita la interpretación, porque se parece a los conceptos que utilizamos en nuestro día a día, donde en nuestras conversación no precisamos que la temperatura es de 30 grados, sino que decimos que hace calor", insiste.

APRENDIZAJE '

Divide y vencerás'

Otra de las novedades es la utilización del esquema de aprendizaje denominado 'Divide y vencerás', que mejora la precisión cuando se producen ataque considerados 'raros'.

En este modelo, se dividen los datos etiquetados por parejas (actividad normal y cada tipo de ataque y, a su vez, todos los tipos de ataques entre sí) y se introducen en el sistema con lo que se aporta una solución para cada binomio y la respuesta final agrega la de cada miembro individual.

"Es como el jurado de un concurso, cada persona elige un ganador y, al final, se toma una decisión conjunta. Así se traslada la responsabilidad de decidir a muchos puntos y cada punto o experto aborda una faceta, desgranando el problema. La decisión final integra la opinión de ese conjunto de expertos", explica.

Esto supone que los tipos de alarmas están más definidos, porque dan distintas respuestas ante las alertas, aportando más robustez al sistema.

Este enfoque 'divide y vencerás', combinado con la lógica difusa evolutiva, ha permitido a los investigadores diseñar un sistema que identifica correctamente todos los tipos de ataques, incluyendo las categorías de ataque 'raras' y que utilizan unos términos "interpretables" para la comprensión humana.

Tipos de ataques

Las políticas de seguridad de la información de sistemas y redes están diseñadas para mantener la integridad de la confidencialidad y disponibilidad de los datos de sus usuarios de confianza. Sin embargo, los denominados 'ataques maliciosos' analizan las vulnerabilidades de estos sistemas con el fin de obtener acceso no autorizado o comprometer la calidad del servicio.

Los expertos apuntan distintos tipos de ataques. Por un lado, puede ocurrir un fallo del servicio, cuando se produce tanta cantidad de accesos denegados que al final saturan el sistema. Otras modalidades pasan por el escaneo de puertos para buscar vulnerabilidad en la red, adivinar la contraseña o intentar acceder como administrador, consiguiendo el control total del sistema.

Los investigadores continúan con este modelo, aún experimental, para trasladarlo al Big Data, es decir, a la utilización de gran cantidad de datos con las herramientas capaces de analizarlos y procesarlos. "Si ahora trabajamos con un sistema de entrenamiento con un total de cuatro millones de ejemplos, la idea sería incrementar esa cifra y adaptar el modelo para hacerlo escalable mediante su ejecución paralela sobre un conjunto de ordenadores para dividir el trabajo entre todos ellos", ha concluido el investigador.