Sistema multi-agente deliberativo para la obtención y análisis de datos de Honeynets

Abstract

Los sistemas de detección de intrusos (IDS – Intrusion Detection System) se basan en la utilización de firmas para la identificación de posibles intrusiones a áreas restringidas de organizaciones, las firmas que estos utilizan son generadas a partir del estudio de patrones de los atacantes. Dentro de los proyectos que aportan a la identificación de firmas se encuentra el proyecto Honeynet1 en el cual se plantea una arquitectura orientada al análisis de atacantes en un único punto, es decir, solo existe un objeto que permite esta función y solamente ofrece una retroalimentación plana de los datos recolectados. Dentro de las modificaciones a la arquitectura original de la Honeynet, se plantea el proyecto DH - Global Distributed Honeynet en donde su arquitectura está ligada a la implementación de un cluster2 de nodos, a través de una modificación específica sobre el sistema operativo Red Hat. La anterior propuesta implica una solución compleja a nivel de topología de Red. Debido a la arquitectura original del proyecto Honeynet, los sistemas multi-agente nacen como una solución óptima para la mejora de esta, permitiendo el trabajo distribuido en pro de la recolección de datos para soportar la base de datos de firmas; adicional a esto, utilizando agentes deliberativos se aporta a la toma de decisiones con base a los datos capturados sin depender exclusivamente de una persona. La propuesta del desarrollo de un sistema-multiagente deliberativo basado en la estructura estándar del proyecto Honeynet ofrece una mejora general a su arquitectura stand-alone3 en la forma como los datos son extraídos y analizados, permitiendo la extracción de diferentes puntos (sin adiciones significativas a su núcleo) y la generación de conclusiones con base a esa recolección. Con respecto al proyecto GDH, ofrece una solución menos acoplada e independiente de la implementación de cada Honeynet, ya que no es intrusiva en su topología y su arquitectura.