Recopilando nuevas tendencias e investigaciones sobre detección de intrusos, existe lo que se denomina ABAIS o Sistemas Inmunes Basados en Agentes Artificiales. Este tipo de sistemas tratan de emular las defensas del cuerpo humano para ofrecer una solución técnica que permita no solo identificar posibles intrusos en un sistema sino incluso acabar con ellos. Existe numerosa bibliografía detrás de este concepto, que comenzó a principios de la pasada década con Harmer P.K.
Como concepto derivado de un BIS o Sistema Inmune Biológico, los trabajos han sido orientados al seguimiento básicamente de tres paradigmas:
- La Selección Negativa
- Clonación Selectiva
- La teoría de la señal de riesgo
1. La selección negativa
El paradigma de la selección negativa biológica es simulado usando un aprendizaje sobre el comportamiento normal de una red o un sistema y tratándolo como propio, de modo que todo elemento ajeno al sistema es considerado como una intrusión. Concepto ya conocido como la detección de intrusiones basada en anomalías. Pues bien, dentro de este paradigma encontramos diferentes aproximaciones según autores.
- Zhang et al (2005). La propuesta de Zang pasa por la utilización de agentes independientes que trabajan de forma coordinada para detectar intrusiones, implementada en Java con AgentMOM y JSDT para las comunicaciones.
- Okamoto and Ishida (2007). Okamoto implementa tres clases de agentes, los C, B y M. El primero gestiona los dos siguientes, marcando a los de clase B las rutas entre los hosts que debe seguir. Los de clase B recolectan información de los equipos monitorizando comportamientos sospechosos. Por último los de clase M son los encargados de reaccionar ante intrusiones detectadas. Este modelo permite repartir la carga computacional de detección entre diversos equipos.
- Zhongmin et al (2007). Introducen el modelo de la diversidad, donde cada host de la red genera diversos agentes y estos son compartidos con los sistemas vecinos. Su sistema basado en anomalías genera agentes específicos para cada usuario del equipo, donde cada agente es capaz de reconocer a su usuario, pasando posteriormente a autoclonarse y cambiando de perfil de usuario. Esta copia podrá sobrevivir solo si obtiene una puntuación adecuada en el periodo de entrenamiento del agente.
- Luther et al (2007). Luther incorpora el concepto de mutación de agentes, donde todos los elementos de detección del sistema desplegados de forma distribuida son tratados como un único IDS. Para la comunicación entre sus elementos utiliza un modelo P2P ayudando a mitigar los falsos positivos generados por la detección basada en anomalías. Por último destacar que el sistema está desarrollado en Java.
- Bye et al (2008). Como el anterior, Bye utiliza la detección colaborativa, basando su lógica en la recolección estadística de información de los sistemas. Para el intercambio de información entre sus agentes hace uso de una red P2P, donde cada elemento tiene asociada una métrica computada de la posibilidad de infección, la cual es compartida dentro del entorno P2P. A su vez comparten información sobre ataques o incluso falsos positivos. Para testar el sistema utilizan NeSSI, un simulador de tráfico de red. El único inconveniente es que no se realiza ninguna acción tras la detección de una intrusión.
- Boudec and Sarajanovic (2004). Estos autores describen un sistema basado en conjuntos de agentes Workers donde cada grupo es especialista en un tipo de detección de intrusión. Todos ellos son gestionados por un agente Master. Cada elemento de esta red intercambia información periódicamente.
- Byrski and Carvalho (2008). Este modelo se centra en la definición de un comportamiento lícito del activo generado por la monitorización de los procesos y las llamadas a sistema de los equipos. Cuando un proceso se inicia se comparan todas las llamadas a sistema realizadas con las identificadas en el proceso de aprendizaje, de modo que si difieren es posible que se esté produciendo una intrusión. Al margen de esto utilizan el concepto de agentes móviles, capaces de viajar de sistema en sistema examinando las llamadas generadas.
2. Clonación Selectiva
El paradigma de la clonación selectiva simula la replicación de anticuerpos para combatir agentes patógenos. En un ABAIS esto es implementado creando agentes específicos para detectar y defender al sistema ante determinadas intrusiones, de esta manera un elemento especialista de la red es capaz de responder ante un determinado ataque clonándose él mismo y desplazándose hasta el lugar de la intrusión. Dentro de este paradigma encontramos diferentes aproximaciones según autores:
- Machado et al (2005). La detección de la intrusión es realizada mediante el análisis de los logs del sistema utilizando la herramienta Logcheck y apoyándose en Syslog-ng. Cuando una intrusión es detectada el sistema genera un número de agentes móviles que se desplazan al origen del incidente para erradicarlo. Para llevar a cabo esta respuesta se definen 2 tipos de actuación: las pasivas (remitir un email al administrador) y las activas (desplazamiento y eliminación).
- Yang et al (2009). Estos autores introducen el concepto de vacuna, donde dentro de un sistema IDS distribuido, los segmentos de protección que no han recibido la intrusión son “vacunados”, para prevenir ataques exitosos.
3. La teoría de la señal de riesgo
El paradigma de la señal de riesgo o peligro en un sistema inmune hace referencia a la muerte de las células de un cuerpo, bien sea por necrosis o por muerte natural (vejez). En un ABAIS esto se consigue coordinando una serie de agentes detectores situados en puntos distantes de la red capaz de alertar a los miembros del entorno de protección de que se está produciendo cierta amenaza.
- Greensmith et al (2008). Greensmith define dos tipos de nodos capaces de detectar y decidir, en primer lugar, si una alerta debe ser notificada a la red y en segundo lugar de actualizar al resto de elementos con la información obtenida. Estos datos capturados por estos agentes son recopilados en un log centralizado, donde son utilizados para aprender y desarrollar nuevas estrategias de defensa.