Movicab-ids: a mobile hybrid intrusion detecticon system (movicab-ids: sistema de detección de intrusiones híbrido y movil)

Esta tesis doctoral expone un trabajo de investigacion en el campo de la Deteccion de Intrusiones (DI) a nivel de red, desarrollado bajo los enfoques de visualizacion y sistemas inteligentes hibridos, Como resultado del mismo, se ha disenado un Sistema de Deteccion de Intrusiones (SDI) denominado MOVICAB-IDS (MObile Esta tesis doctoral expone un trabajo de investigacion en el campo de la Deteccion de Intrusiones (DI) a nivel de red, desarrollado bajo los enfoques de visualizacion y sistemas inteligentes hibridos. Como resultado del mismo, se ha disenado un Sistema de Deteccion de Intrusiones (SDI) denominado MOVICAB-IDS (MObile VIsualization Connectionist Agent-Based IDS), que se presenta, describe y valida en esta tesis. El SDI propuesto combina diferentes paradigmas del campo de la Inteligencia Artificial (IA) para visualizar trafico de red con el objetivo de llevar a cabo DI a nivel de paquete. Para ello se ha disenado un Modelo Hibrido basado en un Sistema Multiagente que incluye Agentes Deliberativos capaces de aprender y evolucionar con su entorno. Estos agentes combinan un Modelo Neuronal Proyeccionista basado en Aprendizaje no Supervisado y el paradigma de Razonamiento Basado en Casos. Mediante la aplicacion del mencionado modelo neuronal, MOVICAB-IDS extrae proyecciones interesantes de un conjunto de datos de trafico de red y las presenta mediante un interfaz de visualizacion movil. Como resultado de visualizar cada paquete y preservar el contexto temporal, MOVICAB-IDS ofrece al administrador de red una vision sintetica e intuitiva del trafico de red y de las interacciones de los diferentes protocolos. Esta visualizacion permite la deteccion e identificacion de situaciones anomalas e intrusiones de un simple vistazo. Ademas, ayuda a conocer la estructura interna y el comportamiento de los datos de trafico, permitiendo la supervision de la actividad de una red. Para comprobar su funcionamiento, MOVICAB-IDS ha sido aplicado a ciertos dominios con diferentes ataques y situaciones anomalas. Se ha generado un conjunto real de datos propio (GICAP-IDS) que contiene ejemplos de los ataques en los que se centra MOVICAB-IDS: escaneos y ataques relacionados con SNMP. Estos tipos de ataques han sido tambien analizados para el conocido conjunto de datos DARPA 1998. Se ha desarrollado una novedosa tecnica para la prueba de SDI orientados a visualizacion que ha sido aplicada al SDI propuesto. Esta tecnica se basa en la mutacion del trafico relacionado con situaciones anomalas para la simulacion de nuevos ataques. Ademas, el modelo neuronal propuesto se ha comparado con otros modelos neuronales orientados a la visualizacion de datos.