Técnicas de IA en detección de abusos

Las técnicas existentes en este tipo de intrusión son principalmente las siguientes:

1. Probabilidad condicional. Este es el método se trata de determinar la probabilidad condicional de

   

   Aplicando el teorema de Bayes podemos llegar a que,

   

   Considerando una determinada red cualquiera como el dominio en el que se debe calcular esta probabilidad, un sistema experto podría, dado el tipo de red de la que se trate, información que tenga y otras variables, calcular la probabilidad de que se dé una intrusión en el sistema. Además si tenemos información de los intentos de intrusión de los sistemas podremos computar para cada evento que da lugar a una intrusión la probabilidad de . Además información sobre los eventos que no dan lugar a intrusión se podría calcular la probabilidad . Dadas estas probabilidades condicionales podemos determinar la probabilidad que deseamos calcular.

2. Sistemas Expertos. La principal característica que nos proporciona un sistema experto es la separación del razonamiento de control de la formulación de la solución del problema. Un ejemplo de uso de estos sistemas se describe en[SS92][MHL94]. Este sistema codifica el conocimiento sobre las intrusiones a partir de un conjunto de reglas en CLIPS y hechos deducidos correspondientes al seguimiento de los eventos.
3. Sistemas de transición de estados. Esta idea la implementa el sistema USTAT[Ilg92]. En este sistema los ataques se representan como una secuencia de transición de estados del sistema que está siendo controlado. Los estados en el modelo de ataque se corresponden a estados del sistema, y a cada uno se le asigna un valor asociado a aquello que debe cumplirse para que se produzca una transición. Los estados sucesivos se conectan con arcos que representan los eventos necesarios para cambiar de estado.
4. Seguimiento de las teclas pulsadas. Estas técnicas usan información de las teclas pulsadas para determinar la aparición de un ataque. Lo primero se trata es modelar las secuencias de teclas que constituyen un ataque. Las desventajas de este sistema es la falta de sistemas fiables de captura de teclas sin la intervención del sistema operativo, así como la multitud de formas de expresar un mismo ataque a partir de secuencias de teclas. Tampoco pueden ser detectados ataques automáticos a partir de ejecución de programas.
5. Detección de intrusos basada en un modelo. Es una variación de la detección de intrusos por abuso que combina modelos de abuso con una parte de razonamiento para apoyar a conclusiones sobre la aparición del abuso. Existe una base de datos de escenarios de ataques, cada uno de los cuales incluye una secuencia de comportamientos que llevan a cabo el ataque. En cada momento se considera un subconjunto de los distintos escenarios de ataques y se supone que es parecido al que se está dando en el sistema. Es necesario verificar los escenarios a partir de información de los audits para comprobar los escenarios o rechazarlos, a este proceso se le denomina anticipación. El anticipador genera el nuevo conjunto de comportamientos que deben verificarse a partir de los datos obtenidos de los audits, basándose en los modelos activos y pasa estos conjuntos al planificador que determina cómo se refleja este comportamiento hipotético en los datos de los audits y lo traduce a un sistema que depende del ajuste del seguimiento del mismo. La correspondencia entre entre el comportamiento y la actividad debe reconocerse fácilmente el el recorrido del audit y debe tener una alta probabilidad de aparecer en el comportamiento.