Defining categories to select representative attack test-cases

7 pagesRapport LAAS-CNRSTo ameliorate the quality of protection provided by intrusion detection systems (IDS) we strongly need more effective evaluation and testing procedures. Evaluating an IDS against all known and unknown attacks is probably impossible. Nevertheless, a sensible selection of representative attacks is necessary to obtain an unbiased evaluation of such systems. To help in this selection, this paper suggests applying the same approach as in software testing: to overcome the problem of an unmanageably large set of possible inputs, software testers usually divide the data input domain into categories (or equivalence classes), and select representative instances from each category as test cases. We believe that the same principle could be applied to IDS testing if we have a reasonable classification. In this paper we make a thorough analysis of existing attack classifications in order to determine whether they could be helpful in selecting attack test cases. Based on our analysis, we construct a new scheme to classify attacks relying on those attributes that appear to be the best classification criteria. The proposed classification is mainly intended to be used for testing and evaluating IDS although it can be used for other purposes such as incident handling and intrusion reporting. We also apply the Classification Tree Method (CTM) to select attack test cases. As far as we know, this is the first time that this method is applied for this purpose

Computación distribuida de alto rendimiento y disponibilidad: desarrollo y perspectiva

Los avances de la tecnología informática y la baja de costos del equipamiento hicieron realidad, en las últimas décadas, el desarrollo de los sistemas distribuidos. Basados en sistemas seguros de comunicación y computadoras personales o estaciones de trabajo cada vez más veloces, han madurado en su concepci ón y desarrollo. Por un lado con este soporte, arquitectura física y arquitectura de programación o algorítmica, se desarrollan aplicaciones geográ ca y administrativamente distribuidas. Esto presenta el desafío de lograr el mejor aprovechamiento y rendimiento de todo el sistema. En este sentido se orienta el estudio de la computación colaborativa , computación paralela y distribuida de alta disponibilidad . En este escrito se presenta un resumen de avance del proyecto iniciado hace tres años y cuáles son las perspectivas dentro del mismo.Eje: Procesamiento Concurrente, Paralelo y DistribuidoRed de Universidades con Carreras en Informática (RedUNCI

Computación distribuida de alto rendimiento y disponibilidad II: evolución

El desarrollo de los sistemas distribuidos ha tomado cuerpo en función de los avances de la tecnología informática y la baja de costos del equipamiento de las últimas décadas. Basados en sistemas seguros de comunicación y computadoras personales o estaciones de trabajo cada vez más veloces, han madurado en su concepción y desarrollo. Por un lado con este soporte, arquitectura física y arquitectura de programación o algorítmica, se desarrollan aplicaciones geográficas y administrativamente distribuidas. Esto presenta el desafío de lograr el mejor aprovechamiento y rendimiento de todo el sistema. En este sentido se orienta el estudio de la computación colaborativa, computación paralela y distribuida de alta disponibilidad. En este escrito se presenta un resumen de avance del proyecto iniciado hace cinco años y cual es su evolución.Eje: Procesamiento distribuido y paraleloRed de Universidades con Carreras en Informática (RedUNCI

Computación distribuida de alto rendimiento y disponibilidad: desarrollo y perspectiva

Los avances de la tecnología informática y la baja de costos del equipamiento hicieron realidad, en las últimas décadas, el desarrollo de los sistemas distribuidos. Basados en sistemas seguros de comunicación y computadoras personales o estaciones de trabajo cada vez más veloces, han madurado en su concepci ón y desarrollo. Por un lado con este soporte, arquitectura física y arquitectura de programación o algorítmica, se desarrollan aplicaciones geográ ca y administrativamente distribuidas. Esto presenta el desafío de lograr el mejor aprovechamiento y rendimiento de todo el sistema. En este sentido se orienta el estudio de la computación colaborativa , computación paralela y distribuida de alta disponibilidad . En este escrito se presenta un resumen de avance del proyecto iniciado hace tres años y cuáles son las perspectivas dentro del mismo.Eje: Procesamiento Concurrente, Paralelo y DistribuidoRed de Universidades con Carreras en Informática (RedUNCI

Computación distribuida de alto rendimiento y disponibilidad II: evolución

El desarrollo de los sistemas distribuidos ha tomado cuerpo en función de los avances de la tecnología informática y la baja de costos del equipamiento de las últimas décadas. Basados en sistemas seguros de comunicación y computadoras personales o estaciones de trabajo cada vez más veloces, han madurado en su concepción y desarrollo. Por un lado con este soporte, arquitectura física y arquitectura de programación o algorítmica, se desarrollan aplicaciones geográficas y administrativamente distribuidas. Esto presenta el desafío de lograr el mejor aprovechamiento y rendimiento de todo el sistema. En este sentido se orienta el estudio de la computación colaborativa, computación paralela y distribuida de alta disponibilidad. En este escrito se presenta un resumen de avance del proyecto iniciado hace cinco años y cual es su evolución.Eje: Procesamiento distribuido y paraleloRed de Universidades con Carreras en Informática (RedUNCI

Automatización de la detección de intrusos a partir de políticas de seguridad

La explosión de la Internet en esta última década involucra la búsqueda de “valor agregado” en las infraestructuras. Por esta raz´on, la seguridad de la información de los sistemas es una de las mayores preocupaciones de la actualidad. El control de acceso a un equipo, a una red, o a un dominio administrativo juega un papel esencial en un ambiente que se vuelve cada día más heterogéneo. Las arquitecturas de seguridad en redes consisten de un número de componentes dedicados, como routers de filtrado y firewalls. El eje del enfoque tradicional de la seguridad en redes es separar la red en una zona segura y otra insegura. Típicamente, la interfase entre ellas está compuesta por un punto de único acceso que garantiza una determinada política de seguridad. Este enfoque tradicional presenta dos problemas significativos, reducida flexibilidad y escalabilidad. Adicionalmente los firewalls convencionales solamente son capaces de observar un único punto en la red y por lo tanto cuentan con información limitada (parcial) de su entorno. Por último, los ataques masivos, como el Distributed Denial of Service (DDoS), han demostrado categóricamente las limitaciones y debilidades de este modelo. La valoración de la seguridad en redes requiere entonces que estos problemas sean considerados profundamente. El objetivo de esta investigación es crear metodologías de Detección de Intrusos efectivas que complementen a las tecnologías actuales y que sean capaces de responder a los nuevos desafíos.Eje: Procesamiento Concurrente, Paralelo y DistribuidoRed de Universidades con Carreras en Informática (RedUNCI

Automatización de la detección de intrusos a partir de políticas de seguridad

La explosión de la Internet en esta última década involucra la búsqueda de “valor agregado” en las infraestructuras. Por esta raz´on, la seguridad de la información de los sistemas es una de las mayores preocupaciones de la actualidad. El control de acceso a un equipo, a una red, o a un dominio administrativo juega un papel esencial en un ambiente que se vuelve cada día más heterogéneo. Las arquitecturas de seguridad en redes consisten de un número de componentes dedicados, como routers de filtrado y firewalls. El eje del enfoque tradicional de la seguridad en redes es separar la red en una zona segura y otra insegura. Típicamente, la interfase entre ellas está compuesta por un punto de único acceso que garantiza una determinada política de seguridad. Este enfoque tradicional presenta dos problemas significativos, reducida flexibilidad y escalabilidad. Adicionalmente los firewalls convencionales solamente son capaces de observar un único punto en la red y por lo tanto cuentan con información limitada (parcial) de su entorno. Por último, los ataques masivos, como el Distributed Denial of Service (DDoS), han demostrado categóricamente las limitaciones y debilidades de este modelo. La valoración de la seguridad en redes requiere entonces que estos problemas sean considerados profundamente. El objetivo de esta investigación es crear metodologías de Detección de Intrusos efectivas que complementen a las tecnologías actuales y que sean capaces de responder a los nuevos desafíos.Eje: Procesamiento Concurrente, Paralelo y DistribuidoRed de Universidades con Carreras en Informática (RedUNCI

Home-Based Intrusion Detection System

Wireless network security has an important role in our daily lives. It has received significant attention, although wireless communication is facing different security threats. Some security efforts have been applied to overcome wireless attacks. Unfortunately, complete attack prevention is not accurately achievable. Intrusion Detection System (IDS) is an additional field of computer security. It is concerned with software that can distinguish between legitimate users and malicious users of a computer system and make a controlled response when an attack is detected. The project proposed to develop IDS technology on the windows platform. The IDS adopted misuse detection, which is based on signature recognition. The main objective of this proposal is to detect any network vulnerabilities and threats that concern home-based attacks or intrusion. There are five steps in our methodology: The first step is to create awareness of the problem by understanding the purpose and scope of the learning, as well as the problem, which are necessary to be solved. The second step is to make suggestion that the intrusion detection system is protecting the network of the homes. The third step is to develop signature by establishing a set of rule thorough processes for testing IDS. The fourth step is evaluating and testing the system that has been developed. This design used the sensor to find and match activity signatures found in the checked environment to the known signatures in the signature database. Finally, the conclusion in this phase showed the results of the study and the achievement of the objectives of the study. This IDS project will contribute to the efforts to protect users from the internal and external intruders

Mutating network scans for the assessment of supervised classifier ensembles

As it is well known, some Intrusion Detection Systems (IDSs) suffer from high rates of false positives and negatives. A mutation technique is proposed in this study to test and evaluate the performance of a full range of classifier ensembles for Network Intrusion Detection when trying to recognize new attacks. The novel technique applies mutant operators that randomly modify the features of the captured network packets to generate situations that could not otherwise be provided to IDSs while learning. A comprehensive comparison of supervised classifiers and their ensembles is performed to assess their generalization capability. It is based on the idea of confronting brand new network attacks obtained by means of the mutation technique. Finally, an example application of the proposed testing model is specially applied to the identification of network scans and related mutationsSpanish Ministry of Science and Innovation (TIN2010-21272-C02-01 and CIT-020000-2009-12) (both funded by the European Regional Development Fund). The authors would also like to thank the vehicle interior manufacturer, Grupo Antolin Ingenieria S. A., within the framework of the MAGNO2008 - 1028.- CENIT. Project also funded by the MICINN, the Spanish Ministry of Science and Innovation (PID 560300-2009-11) and the Regional Government of Castile-Leon (CCTT/10/BU/0002). This work was also supported in the framework of the IT4Innovations Centre of Excellence project, reg. no. (CZ.1.05/1.1.00/02.0070) supported by the Operational Program 'Research and Development for Innovations' funded through the Structural Funds of the European Union and the state budget of the Czech Republic.This is a pre-copyedited, author-produced PDF of an article accepted for publication in Logic Journal of the IGPL following peer review. The version of record: Javier Sedano, Silvia González, Álvaro Herrero, Bruno Baruque, and Emilio Corchado, Mutating network scans for the assessment of supervised classifier ensembles, Logic Jnl IGPL, first published online September 3, 2012, doi:10.1093/jigpal/jzs037 is available online at: http://jigpal.oxfordjournals.org/content/early/2012/09/03/jigpal.jzs03