Detección de anomalías HTTP trazando la sesión web de un usuario

Abstract

El uso de diversos IDS (Sistema de detección de intrusos) distribuidos y más aun siendo de diferentes tipos, permite localizar un rango más holgado de intrusiones; a parte, si varios IDS abarcan un mismo grupo de intrusiones, la certidumbre sobre las alertas emitidas desde estos IDS se incrementa, mermando los falsos positivos. Después de analizar el estado actual de los IDS basados en reglas, se determinan preguntas como: ¿Se pueden optimizar las herramientas de seguridad?, ¿Se pueden reducir los flujos de filtrado de las aplicaciones basadas en reglas? Esta tesis de fin de máster pretende responder a estas preguntas y dar una solución. Se analizarán las causas por la que se saturan estos programas y se propondrá una herramienta a modo de pre-filtro de contenido no relevante. De esta manera, el objetivo de este trabajo de investigación e implementación finaliza con la creación de una herramienta que ayudará a optimizar un sistema de seguridad como es el del IDS .

The use of distributed and other types of IDS (Intrusion Detection Systems) allows a wider range of intrusions to be detected. Furthermore, if several IDS are looking for the same group of attacks, the certainty about emitted alerts of this IDS is incremented, lowering the false positives. After analysing the current state of rule-based IDS, several questions arise: Can we optimize our security tools? Can we reduce the information flows by filtering them using rule-based applications? This thesis pretends to answer this questions and to give a solution. It will analyse the causes why the programs that are filtering information are saturated and it will propose a tool for pre-filtering non relevant content. Therefore, the final target of this investigation and implementation work is to create a tool that will optimize a security system like the IDS.

L'ús de diversos IDS (Sistema de detecció d'intrusos) distribuïts i més tot i ser de diferents tipus, permet localitzar un rang més folgat d'intrusions; a banda, si diversos IDS abasten un mateix grup d'intrusions, la certesa sobre les alertes emeses des d'aquests IDS s'incrementa, minvant els falsos positius. Després d'analitzar l'estat actual dels IDS basats en regles, es determinen preguntes com: Es poden optimitzar les eines de seguretat?, Es poden reduir els fluxos de filtratge de les aplicacions basades en regles? Aquesta tesi de fi de màster pretén respondre a aquestes preguntes i donar una solució. S'analitzaran les causes per la qual es saturen aquests programes i es proposarà una eina a manera de prefiltre de contingut no rellevant. D'aquesta manera, l'objectiu d'aquest treball d'investigació i implementació finalitza amb la creació d'una eina que ajudarà a optimitzar un sistema de seguretat com és el de l'IDS.