Capítulo 3: Seguridad en Redes Móviles Ad Hoc
3.2 Medidas de seguridad
3.2.3 Sistemas de detección de intrusiones (IDS)
3.2.3.2 Arquitecturas Cooperativas
Las arquitecturas cooperativas utilizan técnicas de colaboración entre nodos para detectar con mayor precisión un conjunto más amplio de intrusiones y ataques.
Los IDS cooperativos instalan un motor de detección de intrusos en cada nodo, este motor es el encargado de monitorear los datos de auditoría locales y de garantizar la disponibilidad del mecanismo de detección de intrusos. Ante la presencia de un ataque y/o intrusión se consultan los datos de auditoria locales para identificarlos, si los datos de auditoria locales no son suficientes, el motor de detección del nodo intercambia datos de auditoría y/o resultados de detección con los motores de nodos vecinos. En base a la información local (en el nodo) y global (facilitada por los nodos vecinos) el nodo puede resolver intrusiones inconclusas y detectar con precisión ataques avanzados.
3.2.3.2.1 IDS multi-capa
En [71] Bose y Kannan proponen una arquitectura IDS cooperativa que utiliza tres motores paralelos de detección de anomalías instalados en cada nodo:
- Motor de detección de capa MAC, monitorea el control de acceso y direccionamiento en capa de enlace de datos .
- Motor de detección de encaminamiento, supervisa la capa de red y realiza un seguimiento de la entrega de paquetes y la información de ruteo.
- Motor de detección de nivel de aplicación, monitorea las funciones de la capa de aplicación.
Cada motor recoge los datos de auditoría apropiados, los procesa y busca comportamientos maliciosos dentro de ellos. En cada nodo, un módulo de integración local combina los resultados de los tres motores de detección diferentes, mientras que un módulo de integración global combina los resultados recibidos de los nodos vecinos.
El uso de la detección en múltiples capas tiene como objetivo aumentar la precisión de detección, ya que los ataques a los protocolos de capas superiores pueden ser vistos como eventos legítimos en-capas inferiores, y viceversa. Los motores de detección de cada capa se complementan mutuamente, esto hace que la capacidad de detección sea superior en comparación con soluciones de detección individuales. Por otro lado, su funcionamiento aumenta la sobrecarga de procesamiento en cada nodo, en comparación con otras soluciones de un solo motor, ya que el IDS despliega tres motores de detección en lugar de uno.
3.2.3.2.2 IDS basado en nodos amigos
En [72] Razak y Clarke proponen una arquitectura cooperativa de dos niveles, uno para la detección local y otro para la global. Además, cada nivel implementa dos motores de detección.
El primer nivel utiliza un mecanismo de detección que recoge los datos de auditoría locales (en el nodo) y los procesa utilizando un motor de detección basado en firmas. Si se detecta una actividad sospechosa y no se puede determinar con precisión un ataque específico, se activa un segundo motor (que también se encuentra en el primer nivel) que lleva a cabo la detección de anomalías. Si los dos motores en el primer nivel no pueden determinar si la actividad sospechosa es maliciosa, se dispara el segundo nivel de la arquitectura. El segundo nivel utiliza un mecanismo de detección global que recoge datos de auditoría de los nodos vecinos, primero realiza una detección basada en firmas y a continuación una detección basada en anomalías, de manera similar a la de primer nivel. Cada nodo construye y mantiene una lista de nodos confiables (amigos), que se utiliza para garantizar que los datos de auditoría proporcionados por los nodos amigos sean confiables.
Esta arquitectura proporciona una alta precisión de detección ya que cada nodo contiene un módulo de detección de dos niveles, y cada nivel incluye dos motores de detección diferentes que se complementan, uno que utiliza detección basada en firmas y otro que utiliza detección basada en anomalías. Por otra parte, el uso de múltiples detecciones (dos niveles, cada uno con dos motores de detección) y la gestión de la confianza añaden una complejidad considerable y carga de procesamiento adicional.
3.2.3.2.3 IDS basados en análisis de redes sociales
En [73] Wang, Man y Liu proponen una arquitectura de IDS cooperativa que utiliza métodos de análisis de redes sociales. Según esta propuesta, cada nodo despliega un motor de detección de intrusos para realizar detecciones utilizando los datos de auditoría recibidos
de su red "ego", los motores desplegados utilizan las relaciones sociales como métricas de interés. Una red de "ego" se compone de un nodo de alojamiento ("yo") y los nodos ("alters") que están directamente conectados a él. Los motores de detección desplegados por los nodos son capaces de monitorear la capa de enlace (MAC) y la capa de red.
El IDS propuesto se compone de tres módulos:
1. El módulo de pre-procesamiento de datos, que recolecta y pre procesa los datos de auditoría.
2. El módulo de análisis social que realiza la detección de intrusiones.
3. El módulo de respuesta que integra alertas de intrusión local y global (obtenidas de los nodos vecinos).
Durante la operación de IDS, el módulo de pre-procesamiento de datos periódicamente recolecta los datos de auditoría de sus nodos vecinos. A continuación, el módulo de análisis social, procesa los datos recogidos con el fin de darse cuenta de las relaciones sociales entre los nodos de la red "ego", que representan el comportamiento de estos nodos en un momento determinado. Posteriormente, las relaciones sociales se comparan con el perfil normal de los comportamientos esperados, cualquier variación de estos constituye una intrusión. Si se detecta una intrusión, el módulo de respuesta notifica a los nodos vecinos. La principal ventaja de esta arquitectura es que los motores de detección empleados demandan una complejidad de cálculo menor, en comparación con los motores convencionales de detección de anomalías. Por otro lado, el intercambio de datos de auditoría puede aumentar la carga de comunicación entre los nodos y producir una baja en el rendimiento de la red.