Platform of intrusion management design and implementation

Abstract

Puesto que los sistemas informáticos son cada vez más vulnerables a actividades deshonestas, los mecanismos tradicionales de seguridad son todavía necesarios, pero no suficientes. Es necesario elaborar nuevos métodos de detección y de respuesta de manera que sea posible detener acciones de ataque tan pronto como sean realizadas. En esta tesis se presenta el diseño de una arquitectura de carácter general que pretende ser utilizada tanto para la realización de tareas de análisis y verificación de políticas de seguridad en red, como para controlar y configurar -sin anomalias ni errores de confguración- componentes de seguridad preventivos y de vigilancia. Se presenta también en esta tesis un mecanismo de respuesta basado en librerías de contramedidas. El objetivo de este mecanismo es ayudar al administrador a escoger posibles respuesta tan pronto como las acciones de ataque vayan siendo detectadas. Por último, se introduce también en esta tesis el diseño de una infrastructura para la comunicación entre los componentes de nuestra plataforma, y un mecanismo para la protección de dichos componentes. Todas las proposiciones y propuestas han sido implementadas y evaluadas a lo largo de nuestro trabajo. Los resultados obtenidos son presentados en las respectivas secciones de esta disertación. <br/>Esta tesis ha sido principalmente financiada por la Agencia de Gestión y Ayudas Universitarias y de Investigación (AGAUR) del Departamento de Universidades, Investigación y Sociedad de la Información (DURSI) de la Generalitat de Catalunya (num. de referencia 2003FI00126). El trabajo ha sido conjuntamente realizado en la Universitat Autònoma de Barcelona y la Ecole Nationale Superieure des Télécommunications de Bretagne. <br/>Palabras clave: Políticas de seguridad, detección de intrusos, contramedidas, correlación de eventos, comunicación publish/subscribe, control de acceso, protección de componentes.

Since computer infrastructures are currently getting more vulnerable than ever, traditional security mechanisms are still necessary but not suficient. We need to design effective response techniques to circumvent intrusions when they are detected. We present in this dissertation the design of a platform which is intended to act as a central point to analyze and verify network security policies, and to control and configure -without anomalies or errors- both prevention and detection security components. We also present in our work a response mechanism based on a library that implements different types of countermeasures. The objective of such a mechanism is to be a support tool in order to help the administrator to choose, in this library, the appropriate counter-measure when a given intrusion occurs. We finally present an infrastructure for the communication between the components of our platform, as well as a mechanism for the protection of such components. All these approaches and proposals have been implemented and evaluated. We present the obtained results within the respectives sections of this dissertation. <br/>This thesis has mainly been funded by the Agency for Administration of University and Research Grants (AGAUR) of the Ministry of Education and Universities (DURSI) of the Government of Catalonia (reference number 2003FI00126). The research was jointly carried out at the Universitat Autònoma de Barcelona and at the Ecole Nationale Superieure des Télécommunications de Bretagne. <br/>Keywords: Security policies, intrusion detection, response, counter-measures, event correlation, communication publish/subscribe, access control, components protection.