ES2381353A1 - Sistema de seguridad colaborativa para usuarios residenciales. - Google Patents
Sistema de seguridad colaborativa para usuarios residenciales. Download PDFInfo
- Publication number
- ES2381353A1 ES2381353A1 ES200901107A ES200901107A ES2381353A1 ES 2381353 A1 ES2381353 A1 ES 2381353A1 ES 200901107 A ES200901107 A ES 200901107A ES 200901107 A ES200901107 A ES 200901107A ES 2381353 A1 ES2381353 A1 ES 2381353A1
- Authority
- ES
- Spain
- Prior art keywords
- network
- home
- central device
- information
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000694 effects Effects 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 claims description 2
- 230000008030 elimination Effects 0.000 claims 1
- 238000003379 elimination reaction Methods 0.000 claims 1
- 238000001914 filtration Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 11
- 238000013528 artificial neural network Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 9
- 210000002569 neuron Anatomy 0.000 description 8
- 230000009471 action Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001537 neural effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000035899 viability Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H04L29/06—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
Abstract
Un sistema colaborativo de intercambio de información de seguridad entre usuarios, basado en que una determinada función (ya sea almacenamiento o procesado) está repartida en diferentes puntos de una red para conseguir factores de procesado y almacenamientos más escalables que si se tratase de hacer todo en un mismo punto.La invención propone una arquitectura con un elemento centralizado, denominado "Dispositivo Central", a través del cual dichos dispositivos de usuario comparten información con el resto de usuarios para activar finalmente una alarma o descartarla.
Description
Sistema de seguridad colaborativa para usuarios
residenciales.
La invención pertenece al sector de las
comunicaciones IP y, específicamente, con foco en la seguridad de
los usuarios en su acceso a Internet.
\vskip1.000000\baselineskip
En un mundo donde los servicios de Internet
están en pleno apogeo y en el que se proporcionan a los usuarios
cada vez más posibilidades: comercio electrónico, banca
electrónica, trámites administrativos o comunicaciones personales,
por poner solo unos ejemplos, surgen de forma paralela, los actos
delictivos que se dan en el mundo analógico trasladados al mundo
digital de Internet: intento de fraude, intrusión en los sistemas,
robo de identidades, etc.
Debido a las altas cantidades económicas que se
manejan hoy día y al aumento de las dependencias de los usuarios
hacia los nuevos servicios, el número de actos delictivos crece
exponencialmente. Este hecho, a su vez, crea una riqueza en
compañías del sector de seguridad, ofreciendo productos a los
usuarios finales de cara a que ellos mismos pongan los medios para
protegerse. Los productos típicos que se están ofreciendo son:
- Firewalls o cortafuegos:
Como elementos que permiten configurar a un usuario que conexiones
puede realizar a Internet y que conexiones pueden realizar desde
Internet a su domicilio.
- Antivirus, Antimalware
(sistemas de detección de software malicioso): Para tratar de
identificar el código malicioso que se instala en los ordenadores de
los usuarios.
- Sistemas de detección de intrusiones
(IDS, "Intrusión Detection System"): Para tratar de
identificar tráfico malicioso que circula en nuestra red.
\vskip1.000000\baselineskip
En concreto, en el campo de los sistemas de
detección de intrusiones, se están ofreciendo productos encargados
de monitorizar el tráfico de red en busca de intentos de intrusión o
actividades sospechosas (en algunos casos con diferentes
capacidades). Estos servicios se están ofreciendo tanto para
empresas como para usuarios residenciales, necesitándose en su
gestión e interpretación ciertos conocimientos mínimos de tecnología
y seguridad que el usuario medio no tiene.
Con el fin de liberar al usuario de esta carga
de gestión, hay diversas empresas que ofrecen servicios encaminados
a la monitorización de sistemas de seguridad e incluso pueden
realizar correlaciones (toma de decisiones en función de los
eventos que se van produciendo) y aprendizajes entre los informes
que les llegan de diferentes clientes o fuentes.
La patente US 2005/0257264 describe un sistema
de generación y distribución de alarmas en un entorno cooperativo.
Dicha distribución se realiza en base a una estructura (Bloom
Filters) donde se van encadenando las distintas alarmas detectadas.
El sistema describe dicha estructura y los mecanismos de
compartición en un entorno colaborativo.
A diferencia de esa patente, la solución que
propone la presente invención se basa en un Dispositivo Central que
almacena todas las alarmas generadas por los Dispositivos Hogar,
siendo capaz de responder a las peticiones que realicen dichos
dispositivos sobre un determinado evento. Los Dispositivos Hogar
pueden completar los análisis realizados con la información obtenida
en su propia red con la información de otros Dispositivos Hogar,
aumentando la capacidad de detección de intrusiones o tráfico no
deseado.
Esta forma de actuar, donde hay un dispositivo
mediador (Dispositivo Central), permite un mayor grado de confianza
en el sistema al ser este quien valida la información.
La patente US 2004/0205419 describe un sistema
que comprende una pluralidad de dispositivos de cliente y al menos
un servidor. Además, se especifica que si se detectan eventos
anormales en uno de los dispositivos de cliente, se envía una alerta
a los usuarios finales y se informa al servidor del sistema de
red.
Este es otro concepto distinto al de la presente
invención y se basa en lo que se conoce como un SIM, múltiples
sondas repartidas por clientes que envían la información a un
servidor central y es este quien realiza las correlaciones e
identificaciones necesarias.
En la presente invención, por el contrario, son
los dispositivos de cliente quien realiza las correlaciones y se
apoyan en el dispositivo central para conocer la criticidad de las
mismas. Además el sistema propuesto en US 2004/0205419 está
centralizado en el ataque de virus informático y no en otros ataques
de red como el que propone la presente invención.
\vskip1.000000\baselineskip
En la actualidad existen diversos productos que
permiten tener una visión centralizada del estado de seguridad de
una red, pero necesitan tener acceso a todo el tráfico que pasa por
la red. Destacan entre otros muchos:
- \bullet
- SIM (Security Information Management, también conocido como Sistema Para la Gestión de la Seguridad). Sistemas encargados de recolectar y analizar toda la información de seguridad de la red, generando alarmas en caso de detectar actividades maliciosas.
- \bullet
- Detectores de Anomalías. Herramientas encargadas de monitorizar todo el tráfico de la red en busca de actividades no usuales que pueden ser indicativos de intentos de ataque.
\vskip1.000000\baselineskip
Esto supone, para el caso de un ISP (Internet
Service Provider - Proveedor de Servicios de Internet) que puede
llegar a dar servicio a varios millones de clientes, dos
problemas:
- \bullet
- Uno de topología, que consiste en encontrar el punto o el conjunto mínimo de puntos que monitorizar para tener acceso a todo el tráfico.
- \bullet
- Un segundo problema es la potencia que se necesita en los equipos para monitorizar en tiempo real todo el tráfico que pasa a través del ISP (hacia y desde los clientes del mismo).
\vskip1.000000\baselineskip
Estos problemas hacen que en muchos casos el
servicio no se llegue a implantar (por falta de viabilidad de una
solución técnica) y se traslada el problema a las dependencias y
control del usuario.
Con el fin de facilitar a los usuarios finales
la labor de gestión de los sistemas de monitorización, se están
proporcionando diversos servicios encaminados a la monitorización de
sistemas de seguridad. Estos servicios pueden incluso realizar
correlaciones y aprendizajes entre los informes que reciben de los
diferentes clientes, aunque no se ha visto ningún servicio que
permita a un usuario (cliente/empresa) conocer los eventos que se
están produciendo en la red y tomar la decisión de como actuar en
función de dicha información sin tener que ceder la gestión de
seguridad a un tercero.
Además que la gestión la haga finalmente un
usuario implica que, pese a la multitud de ataques que se realizan
diariamente en Internet, no tiene acceso en tiempo real a esta
información privilegiada y únicamente tiene conocimiento de los
ataques que se están realizando a su red o de ataques muy concretos
que aparecen con posterioridad publicados en foros.
Los servicios actuales de monitorización
desplegados en distintos clientes únicamente utilizan la información
recopilada y analizada por sus propios sistemas, sin tener en
cuenta la información recopilada por otros clientes. Esta
arquitectura plantea varios problemas que son solventados por la
solución propuesta:
- \bullet
- Basar los análisis únicamente en la actividad recibida en la propia red impide la detección de ciertos indicios de ataques. Como por ejemplo escaneos de puertos iniciales ya que éstos pueden pasar desapercibidos por intentos de conexión normales. Por ejemplo, si en un sistema se detecta un intento de conexión a un puerto concreto, aunque no es un puerto muy usual, no ofrece información suficiente como para marcarlo como un posible intento de ataque. Sin embargo, si el sistema pudiera conocer que, además de a nuestros sistemas, se han producido intentos de conexión al mismo puerto en otros sistemas de forma simultánea, sí podría ser indicativo de un intento de localización de servidores vulnerables y, por tanto, poder actuar contra el origen de dichas conexiones antes de que el ataque real sea lanzado.
- \bullet
- Desconocer si el origen de una actividad detectada en la red de cliente ha sido catalogado como ataque en otro cliente con anterioridad obliga a que, para poder tomar medidas contra dicho origen debe de producirse el ataque ya que no había información suficiente con anterioridad al mismo que permitiera sospechar de dicho origen.
- \bullet
- La existencia de un Dispositivo Central que reciba todas las alarmas generadas por los distintos dispositivos clientes permite realizar un análisis en su conjunto, permitiendo la detección de ataques que, de forma aislada, pasarían desapercibidos. Por ejemplo, si un intruso realiza un ataque contra un cliente, éste ataque quedará identificado en el Dispositivo Central que, ante cualquier actividad de dicho atacante en cualquier otro cliente, se lo notificará de forma inmediata ya se de forma automática o bajo petición de información del propio cliente.
\vskip1.000000\baselineskip
Por otro lado, el hecho de que la decisión final
la tenga que tomar un usuario que no tiene conocimientos técnicos
hace que la interpretación de los mensajes proporcionados por los
sistemas de seguridad sea errónea generalmente. Como un ejemplo
práctico, en
http://people.seas,harvard.edu/\simrachna/papers/why_phishing_works.pdf
puede consultarse un estudio empírico realizado a grupos de usuarios
para detectar el motivo por el que los ataques de phishing
(ataque basado en obtener datos personales y confidenciales de los
usuarios mediante ingeniería social) funcionan. En dicho estudio se
observó que en muchas ocasiones los usuarios toman decisiones
incorrectas incluso cuando tienen herramientas de ayuda debido a
que carecen del conocimiento de cómo funcionan los sistemas
informáticos y no comprenden cómo funcionan los sistemas e
indicadores de seguridad. Además, a causa de esta falta de
información, es arriesgado (al tener una alta probabilidad de error)
permitir que un sistema de seguridad actúe autónomamente, ya que la
información parcial (solo del tramo de red observado por el sistema)
de la que se dispone es insuficiente para la toma de decisiones, que
pueden ser radicales (corte de una conexión de red, por ejemplo) y
entorpecer (al no permitir visitar algunas páginas Web que el
sistema considera fraudulentas, por ejemplo) el uso cotidiano del
servicio de acceso a Internet.
\vskip1.000000\baselineskip
La solución que aporta la invención consiste en
un sistema colaborativo, basado en redes neuronales de intercambio
de información de seguridad. Las redes neuronales se basan en que
una determinada función (ya sea almacenamiento o procesado) está
repartida en diferentes puntos de una red para conseguir factores
de procesado y almacenamientos más escalables que si se tratase de
hacer todo en un mismo punto.
Basándonos en esta forma de actuar, tenemos una
serie de dispositivos distribuidos en los usuarios del servicio que
realizan labores de detección de ataques y amenazas locales a su
entorno y comparten dicha información con el resto de usuarios a
través de un dispositivo central que es el que, en base a su lógica
programada, decide la criticidad de la información compartida.
Debido a que el sistema se nutre de la
información extraída de diferentes puntos de la red, la
identificación de los ataques y amenazas es mayor de la que tendría
un dispositivo aislado que conoce de un modo sesgado los ataques que
se están produciendo.
La invención se lleva a cabo con el desarrollo
de dos dispositivos: un servidor centralizado denominado
"Dispositivo Central", que además de actuar como punto de
actualización de los dispositivos cliente, contendrá la información
de los nodos "neurona" existentes en la red neuronal y de la
información que los mismos han solicitado y un dispositivo cliente
(nodo "neurona") denominado "Dispositivo Hogar" que se
instala en el domicilio del cliente:
- El Dispositivo Hogar tiene dos tipos de
configuración:
* Básica: en la que proporciona una
interfaz de comunicación con los dispositivos de seguridad del
cliente a modo de recepción de anomalías de seguridad, sirviendo de
interfaz con la red neuronal (ver figura 2: Configuraciones del
Dispositivo Hogar).
* Avanzada: El dispositivo además tiene
módulos que permiten realizar supervisiones en la red de tal modo
que el cliente no necesite módulos de detección de ataque
previamente instalados (ver figura 2: Configuraciones del
Dispositivo Hogar).
\vskip1.000000\baselineskip
En ambas modalidades, el Dispositivo Hogar,
dispone de un dispositivo de correlación de toma de decisiones
(actualizable dinámicamente desde el Dispositivo Central). Cuando
el Dispositivo Hogar detecte indicios de un ataque podrá, si no
dispone de suficientes datos en local para tomar una decisión,
realizar una consulta al Dispositivo Central sobre los datos que han
provocado esos indicios: tipo de actividad que ha detectado, quien
ha originado la actividad, etc. El Dispositivo Central le
comunicará que otros Dispositivos Hogar ("neuronas") han
solicitado información sobre el mismo indicio, permitiendo de esta
forma que los Dispositivos Hogar intercambien información sobre la
actividad detectada. De este modo el Dispositivo Hogar podrá activar
finalmente una alarma o descartarla. En caso de que se active una
alarma, el Dispositivo Hogar comunicará la alarma al Dispositivo
Central, con el fin de actualizar las bases de conocimiento
(política de seguridad) que se distribuye a los dispositivos hogar,
incluyendo los datos (tipología) del tipo de ataque detectado.
Las configuraciones de los tipos de anomalías de
seguridad que activan la solicitud de más información en el
Dispositivo Hogar son homogéneas en todos los Dispositivos
Hogar.
Una vez generada la alarma en el Dispositivo
Hogar, esta puede ser tratada según los criterios que se definan:
aviso a través de SMS, mail, mensaje de voz, por consola, o a través
de una actuación automática sobre el tráfico que corta, durante el
tiempo preconfigurado, el flujo de comunicación con origen o destino
la dirección IP (Internet Protocol) que se ha detectado como fuente
de los ataques.
El Dispositivo Hogar guardará, durante un
período de tiempo definido por una política central, información
sobre que otros nodos (otros Dispositivos Hogar, o neuronas de la
red) conoce. De esta forma, tras un período inicial de
entrenamiento, la red podrá sostenerse por sí misma incluso en caso
de una caída temporal del Dispositivo
Central.
Central.
\newpage
El Dispositivo Hogar será desplegado en modo
bridge (modo en el que el dispositivo se sitúa como si fuese
el cable de comunicaciones y es invisible para el resto de equipos),
situándose el dispositivo en medio de las comunicaciones del cliente
de modo que en caso de querer actuar sobre algún tipo de tráfico
podrá cortarlo o permitirlo sin interactuar con otros dispositivos
del cliente.
- El Dispositivo Central realizará las
siguientes acciones:
* Actualizar los módulos de correlación del
Dispositivo Hogar.
* Almacenar las anomalías de seguridad y en caso
de que un cliente pida información sobre alguna de dichas anomalías,
enviarle la información sobre que Dispositivos Hogar han reportado
dichas anomalías.
\vskip1.000000\baselineskip
El modo en que el Dispositivo Central va a
registrar las anomalías de seguridad es inmediato a través de una
política común desplegada en los Dispositivos Hogar, ya que estos
únicamente van a preguntar (transmitiendo la información a través de
un canal de comunicación preestablecido entre el Dispositivo Central
y los diferentes Dispositivos Hogar) por acciones consideradas de
riesgo. Por lo tanto estas preguntas del Dispositivo Hogar formarán
la base de datos de eventos de riesgo en la red y podrán ser a su
vez enviadas (una vez eliminada la información que pueda
identificar los dispositivos atacados para preservar el anonimato
de los usuarios) a los diferentes Dispositivos Hogar que se han
interesado por ellas. Este modo de actuar formaría la base de la
red neuronal (ver figura 4: Descripción
funcional).
funcional).
La figura 4 presenta un esquema donde se puede
observar la secuencia de eventos que provocan una alarma del
Sistema. En un primer instante, (1), uno de los Dispositivos Hogar
(N3) detecta una actividad sospechosa. Dicha actividad es
consultada con el Dispositivo Central, y el servidor central
devuelve (2) la lista de "neuronas" (Dispositivos Hogar) que
han consultado recientemente sobre la misma actividad. En el ejemplo
de la imagen, dicha lista está compuesta por los Dispositivos Hogar
N2 y N4. N2 pregunta a los otros Dispositivos Hogar (3) información
sobre el la actividad detectada en sus redes locales. N3 y N4
contestan (4) con la información. Si N3 decide que la actividad es
maliciosa, genera una alerta local e informa a los nodos de su caché
(N2 y N4) de que ha generado una alerta local. Si dicha información
es suficiente como para generar una alerta local en N2 y/o N4, la
propagación de la información por la red continúa (5): N2 avisará a
N1 y N4 a N5. Sería posible que en uno de los Dispositivos Hogar se
generase la alerta y en otro no, en ese caso solo el dispositivo
afectado propagaría la alerta. Dicha actividad de propagación
continúa (6) hasta que todos los nodos de la red han sido avisados,
o todos los nodos receptores de la alerta la descartan (por no ser
de aplicación localmente).
Esta funcionalidad tiene el riesgo de que
usuarios puedan simular ataques en sus redes con el fin de envenenar
con datos falsos al Dispositivo Central. Pero este problema se
minimiza puesto que el nivel de confianza en una alerta o
comportamiento sospechoso depende del número de neuronas
(Dispositivo Hogar) de la red que hayan reportado un comportamiento
sospechoso. Por lo tanto el compromiso o uso malicioso de un número
limitado de Dispositivos Hogar no comprometerá la integridad de la
red. El Dispositivo Central, además, tendrá la capacidad de
distribuir políticas de confianza que se construyen en función de la
credibilidad generada por el contraste de los datos recibidos de los
diferentes Dispositivos Hogar. Así la red neuronal únicamente tomará
decisiones de generar un estado de alarma para un determinado evento
si este ha sido denunciado por un determinado número de
Dispositivos Hogar y en base a estados de confianza del dispositivo
que se basarán en las veces que han participado en denuncias
corroboradas por otros Dispositivos Hogar.
\vskip1.000000\baselineskip
La figura 1 representa el esquema general de los
Dispositivos Hogar y Central.
La figura 2 muestra las configuraciones del
Dispositivo Hogar.
La figura 3 ilustra los componentes de los
Dispositivos Hogar y Central.
La figura 4 representa la descripción funcional
mostrando la secuencia de eventos que provocan una alarma.
\vskip1.000000\baselineskip
El sistema desarrollado consta de dos
componentes principales (ver figura 1: Esquema general).
En el esquema de la figura 1 se puede observar
la instalación del Dispositivo Hogar en modo bridge (puente)
en las dependencias del cliente y que por tanto podría tomar la
decisión de cortar determinado tráfico con origen/destino Internet.
Y el Dispositivo Central instalado en el ISP y que mantendría
comunicación con los diferentes elementos de la red neuronal (los
diferentes Dispositivos Hogar). La unión marcada como (1),
representaría la comunicación lógica entre los dispositivos Hogar y
Central, independientemente de la red de comunicaciones que se
use.
- \bullet
- Dispositivo Hogar: Este componente es un equipo que se instalará en los domicilios de los clientes del ISP. El equipo dispondrá de al menos dos interfaces de red y se instalará en modo bridge entre la Red de Área Local (RAL) del cliente y el acceso a Internet del mismo.
\vskip1.000000\baselineskip
En la figura 2 se representan las
configuraciones del Dispositivo Hogar que, como se indicó
anteriormente, podrá tener dos posibilidades. Una denominada
Dispositivo Hogar-Básico, en la que se respete los
posibles elementos de monitorización de seguridad que disponga el
cliente y ofrecerá una interfaz de comunicación con dichos elementos
para recibir los eventos de seguridad. Y otra denominada Dispositivo
Hogar-Avanzado que dispondrá de sus propios sistemas
de monitorización de seguridad.
- \bullet
- Dispositivo Central: Este componente se instalará en las instalaciones del ISP y servirá como recolector de información sobre las consultas previas realizadas por los Dispositivos Hogar. Adicionalmente, desde el Dispositivo Central se podrá propagar información sobre nuevas amenazas, nuevas reglas de correlación, o nuevos agentes maliciosos a todos los Dispositivos Hogar registrados.
\vskip1.000000\baselineskip
En al figura 3 se desglosan los diferentes
módulos de los que se componen tanto el Dispositivo Hogar como el
Dispositivo Central. Etiquetado como (1), se ha representado la
tecnología existente en la que se apoyarán los dispositivos y como
(2), los desarrollos necesarios para cumplir con las
especificaciones que se han definido.
El Dispositivo Hogar está compuesto por un
módulo de Gestión Integral de Seguridad (ya existente en el estado
del arte actual) extendido con los siguientes componentes
nuevos:
- \bullet
- Sistema Experto de Correlación.
- \bullet
- Gestor de Incidencias Externas.
- \bullet
- Intervención en RAL.
\vskip1.000000\baselineskip
A continuación se describen con más detalle cada
uno de estos componentes.
- \bullet
- El Módulo Sistema Experto de Correlación es el encargado de tomar decisiones sobre el estado de seguridad de la red, en base al tráfico observado en la misma. Tomará como entradas los eventos de red almacenados por el Sistema de Gestión Integral de Seguridad (obtenidos en tiempo real del mismo) y el estado previo del sistema, que se mantendrá en el Módulo Gestor de Incidencias Externas. Como resultado de una decisión, el Sistema Experto de Correlación podrá decidir, en tiempo real, cortar una conexión para impedir daños mayores. Además, informará del resultado al Módulo Gestor de Incidencias Externas para que dicho resultado pueda ser utilizado en futuras decisiones y pueda ser compartido con Dispositivos Hogar remoto. Este componente integra la parte lógica de una "neurona" de la red neuronal.
- \bullet
- El Módulo Gestor de Incidencias Externas tiene una doble función: Por una parte, almacenará durante un período de tiempo configurable los resultados de evaluaciones anteriores, y por otra parte hará dichos resultados disponibles para el Módulo Sistema Experto de Correlación y para aquellos otros dispositivos autorizados que lo soliciten. De esta forma, el sistema completo se comporta como una red neuronal distribuida (donde cada Dispositivo Hogar es una neurona de la red). Cada evaluación en un dispositivo supone una iteración en la red neuronal, y el módulo Gestor de Incidencias Externas se encarga tanto de la realimentación de la red, como de mantener el estado. Este módulo puede solicitar información al Dispositivo Central sobre en que otros puntos de la red se ha observado una incidencia como la que se está considerando (por tipo de incidencia o por los actores considerados en la misma). Una vez recibida del Dispositivo Central la información sobre que otros Dispositivos Hogar han solicitado la misma información, el Dispositivo Hogar podrá conectarse directamente con los otros Dispositivos Hogar para ampliar la información disponible en los mismos si fuese necesario. De esta forma, en el Dispositivo Central no se almacena información que pudiese ser considerada confidencial.
- \bullet
- El Módulo Intervención en RAL es el interfaz del Módulo Sistema Experto de Correlación con la Red de Área Local. Este módulo tiene capacidad para cortar una conexión de red en tiempo real.
\vskip1.000000\baselineskip
Se podrá elaborar un servicio comercial
destinado a clientes residenciales en los que se podrá
comercializar:
- El Dispositivo Hogar.
- El servicio de conexión a la red neuronal, en
definitiva la interacción con el Dispositivo Central.
\vskip1.000000\baselineskip
La explotación inicial se podrá ver reforzada
con diferentes Dispositivos Hogar distribuidos estratégicamente de
modo que garanticen un servicio óptimo, independientemente del
número de suscriptores que existan y que vaya mejorando según vayan
aumentando en número de suscriptores al servicio.
Claims (6)
1. Sistema de seguridad colaborativa para
usuarios residenciales que consta de una serie de dispositivos
distribuidos en los usuarios del servicio, denominados Dispositivos
Hogar cada uno de los cuales dispone de al menos una interface de
red para una red de interconexión de ordenadores pública tal como
Internet, y de al menos un módulo de gestión integral de seguridad
destinado a labores de detección de ataques y amenazas locales a su
entorno, caracterizado porque cada uno de dichos Dispositivos
Hogar comprende además los siguientes módulos interconectados:
- -
- un Módulo Sistema Experto de Correlación encargado de tomar decisiones sobre el estado de seguridad de la red, en base al tráfico observado en la misma;
- -
- un Módulo Gestor de Incidencias Externas destinado a almacenar durante un período de tiempo configurable los resultados de evaluaciones anteriores, y hacer accesibles dichos resultados disponibles para el Módulo Sistema Experto de Correlación; y
- -
- un Módulo de Intervención en Red de Área local con capacidad para cortar una conexión de red en tiempo real y que proporciona una interfaz del Módulo Sistema Experto de correlación con la red de área local.
compartiendo dichos Dispositivos Hogar
información con el resto de usuarios a través de un servidor
centralizado, denominado Dispositivo Central instalado en las
instalaciones del proveedor de dicha red de interconexión de
ordenadores y destinado a recoger información sobre las consultas
previas realizadas por los Dispositivos Hogar, decidiendo dicho
Dispositivo Central en base a una lógica programada, la criticidad
de una información recibida.
\vskip1.000000\baselineskip
2. Sistema de seguridad colaborativa para
usuarios residenciales, según la reivindicación 1, en el que dicho
Módulo Sistema Experto de Correlación para la toma de decisiones, es
actualizable dinámicamente desde el Dispositivo Central.
3. Sistema de seguridad colaborativa para
usuarios residenciales, según la reivindicación 1 ó 2,
caracterizado porque dicho Dispositivo Central dispone de una
base de conocimientos que es actualizada a partir de cualquier
alarma generada por un Dispositivo Hogar.
4. Sistema de seguridad colaborativa para
usuarios residenciales, según una cualquiera de las reivindicaciones
1 a 3, caracterizado porque el Dispositivo Central está
adaptado para propagar información sobre nuevas amenazas, nuevas
reglas de correlación o nuevos agentes maliciosos a todos los
Dispositivos Hogar conectados al mismo.
5. Sistema de seguridad colaborativa para
usuarios residenciales, según reivindicaciones anteriores,
caracterizado por que el Dispositivo Hogar está instalado en
modo bridge (puente) entre una red local del usuario y una
red pública, de manera que es invisible para el resto de equipos del
usuario, no interactúa con otros dispositivos de dicho usuario y
puede realizar un filtrado activo (eliminación de tráfico entrante o
saliente) de dicha red de usuario.
6. Método de funcionamiento de un sistema de
seguridad colaborativa para usuarios residenciales según la
reivindicación 1, caracterizado porque comprende almacenar
todas las alarmas generadas por los Dispositivos Hogar en un
Dispositivo Central instalado en las instalaciones del proveedor de
dicha red de interconexión de ordenadores, y responder desde este
Dispositivo Central a las peticiones que realicen dichos
Dispositivos Hogar sobre un determinado evento de manera que cuando
el Dispositivo Hogar detecta indicios de un ataque y no tiene datos
suficientes para tomar una decisión, realiza una consulta al
Dispositivo Central sobre los datos que han provocado esos indicios,
y el Dispositivo Central le comunicará qué otros Dispositivos Hogar
han solicitado información sobre el mismo indicio, permitiendo de
esta forma que los Dispositivos Hogar intercambien información sobre
la actividad detectada incluyendo los datos (tipología) del tipo de
ataque detectado, para activar finalmente una alarma o
descartarla.
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES200901107A ES2381353B1 (es) | 2009-04-28 | 2009-04-28 | Sistema de seguridad colaborativa para usuarios residenciales |
UY0001032541A UY32541A (es) | 2009-04-28 | 2010-04-05 | Sistema de seguridad colaborativa para usuarios residenciales |
US13/266,391 US20120137362A1 (en) | 2009-04-28 | 2010-04-19 | Collaborative security system for residential users |
EP10718471A EP2436160A1 (en) | 2009-04-28 | 2010-04-19 | Collaborative security system for residential users |
BRPI1007615A BRPI1007615A2 (pt) | 2009-04-28 | 2010-04-19 | "sistema colaborativo de segurança para usuários residenciais" |
PCT/EP2010/002383 WO2010124799A1 (en) | 2009-04-28 | 2010-04-19 | Collaborative security system for residential users |
ARP100101394A AR076424A1 (es) | 2009-04-28 | 2010-04-26 | Sistema de seguridad colaborativa para usuarios residenciales |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES200901107A ES2381353B1 (es) | 2009-04-28 | 2009-04-28 | Sistema de seguridad colaborativa para usuarios residenciales |
Publications (2)
Publication Number | Publication Date |
---|---|
ES2381353A1 true ES2381353A1 (es) | 2012-05-25 |
ES2381353B1 ES2381353B1 (es) | 2013-01-28 |
Family
ID=42224636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES200901107A Expired - Fee Related ES2381353B1 (es) | 2009-04-28 | 2009-04-28 | Sistema de seguridad colaborativa para usuarios residenciales |
Country Status (7)
Country | Link |
---|---|
US (1) | US20120137362A1 (es) |
EP (1) | EP2436160A1 (es) |
AR (1) | AR076424A1 (es) |
BR (1) | BRPI1007615A2 (es) |
ES (1) | ES2381353B1 (es) |
UY (1) | UY32541A (es) |
WO (1) | WO2010124799A1 (es) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8453234B2 (en) * | 2006-09-20 | 2013-05-28 | Clearwire Ip Holdings Llc | Centralized security management system |
WO2013053817A1 (en) * | 2011-10-14 | 2013-04-18 | Telefonica, S.A. | A method and a system to detect malicious software |
US9026840B1 (en) | 2014-09-09 | 2015-05-05 | Belkin International, Inc. | Coordinated and device-distributed detection of abnormal network device operation |
US10063439B2 (en) | 2014-09-09 | 2018-08-28 | Belkin International Inc. | Coordinated and device-distributed detection of abnormal network device operation |
US10824974B2 (en) * | 2015-09-11 | 2020-11-03 | International Business Machines Corporation | Automatic subject matter expert profile generator and scorer |
US10298604B2 (en) | 2016-09-05 | 2019-05-21 | Cisco Technology, Inc. | Smart home security system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005036339A2 (en) * | 2003-10-03 | 2005-04-21 | Enterasys Networks, Inc. | System and method for dynamic distribution of intrusion signatures |
US20050257264A1 (en) * | 2004-05-11 | 2005-11-17 | Stolfo Salvatore J | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
US20070261112A1 (en) * | 2006-05-08 | 2007-11-08 | Electro Guard Corp. | Network Security Device |
EP1887754A1 (en) * | 2006-08-10 | 2008-02-13 | Deutsche Telekom AG | A system that provides early detection, alert, and response to electronic threats |
-
2009
- 2009-04-28 ES ES200901107A patent/ES2381353B1/es not_active Expired - Fee Related
-
2010
- 2010-04-05 UY UY0001032541A patent/UY32541A/es unknown
- 2010-04-19 EP EP10718471A patent/EP2436160A1/en not_active Withdrawn
- 2010-04-19 BR BRPI1007615A patent/BRPI1007615A2/pt not_active IP Right Cessation
- 2010-04-19 US US13/266,391 patent/US20120137362A1/en not_active Abandoned
- 2010-04-19 WO PCT/EP2010/002383 patent/WO2010124799A1/en active Application Filing
- 2010-04-26 AR ARP100101394A patent/AR076424A1/es not_active Application Discontinuation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005036339A2 (en) * | 2003-10-03 | 2005-04-21 | Enterasys Networks, Inc. | System and method for dynamic distribution of intrusion signatures |
US20050257264A1 (en) * | 2004-05-11 | 2005-11-17 | Stolfo Salvatore J | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
US20070261112A1 (en) * | 2006-05-08 | 2007-11-08 | Electro Guard Corp. | Network Security Device |
EP1887754A1 (en) * | 2006-08-10 | 2008-02-13 | Deutsche Telekom AG | A system that provides early detection, alert, and response to electronic threats |
Also Published As
Publication number | Publication date |
---|---|
US20120137362A1 (en) | 2012-05-31 |
AR076424A1 (es) | 2011-06-08 |
EP2436160A1 (en) | 2012-04-04 |
BRPI1007615A2 (pt) | 2016-02-16 |
UY32541A (es) | 2010-10-29 |
ES2381353B1 (es) | 2013-01-28 |
WO2010124799A1 (en) | 2010-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mahbub | Progressive researches on IoT security: An exhaustive analysis from the perspective of protocols, vulnerabilities, and preemptive architectonics | |
Razzaq et al. | Security issues in the Internet of Things (IoT): A comprehensive study | |
Vasilomanolakis et al. | Taxonomy and survey of collaborative intrusion detection | |
Jacobsson et al. | Towards a model of privacy and security for smart homes | |
EP3693881B1 (en) | Cyber security | |
CN105491035B (zh) | 用于实时定制的威胁防护的系统和方法 | |
CN108833397A (zh) | 一种基于网络安全的大数据安全分析平台系统 | |
Patel et al. | Security challenges in IoT cyber world | |
ES2560109T3 (es) | Procedimiento y sistema de clasificación de tráfico | |
ES2381353B1 (es) | Sistema de seguridad colaborativa para usuarios residenciales | |
Pai et al. | Transactional confidentiality in sensor networks | |
Bellini et al. | Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach | |
Ozer et al. | A prevention and a traction system for ransomware attacks | |
Goel et al. | A resilient network that can operate under duress: To support communication between government agencies during crisis situations | |
Khudhur et al. | Physical cyber-security algorithm for wireless sensor networks | |
Silva et al. | A cooperative approach with improved performance for a global intrusion detection systems for internet service providers | |
Sindhuja et al. | A study on intrusion detection system of mobile ad-hoc networks | |
Udaya Suriya Rajkumar et al. | Artificial bee colony method for identifying eavesdropper in terrestrial cellular networks | |
Neeli et al. | Framework for capturing the intruders in wireless adhoc network using zombie node | |
Bertone et al. | Integrated cyber-physical security approach for healthcare sector | |
Tolle et al. | Impact of sanitized message flows in a cooperative intrusion warning system | |
Dahiya et al. | FIDSM: Fuzzy based Intrusion Detection Systems in Mobile Ad Hoc Networks | |
Hasan et al. | Wireless Sensor Security Issues on Data Link Layer: A Survey. | |
Márquez Díaz | Cybersecurity and Internet of Things. Outlook for this decade | |
Sharma et al. | Intrusion Detection in Cloud Computing Environment Dynamic Remote Surveillance Scheme |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FG2A | Definitive protection |
Ref document number: 2381353 Country of ref document: ES Kind code of ref document: B1 Effective date: 20130128 |
|
FD2A | Announcement of lapse in spain |
Effective date: 20190610 |