ES2381353B1 - Sistema de seguridad colaborativa para usuarios residenciales - Google Patents

Sistema de seguridad colaborativa para usuarios residenciales Download PDF

Info

Publication number
ES2381353B1
ES2381353B1 ES200901107A ES200901107A ES2381353B1 ES 2381353 B1 ES2381353 B1 ES 2381353B1 ES 200901107 A ES200901107 A ES 200901107A ES 200901107 A ES200901107 A ES 200901107A ES 2381353 B1 ES2381353 B1 ES 2381353B1
Authority
ES
Spain
Prior art keywords
network
information
devices
central device
art
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
ES200901107A
Other languages
English (en)
Other versions
ES2381353A1 (es
Inventor
Antonio Manuel Amaya Calvo
Ivan Sanz Hernando
Jeronimo Nuñez Mendoza
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonica SA
Original Assignee
Telefonica SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonica SA filed Critical Telefonica SA
Priority to ES200901107A priority Critical patent/ES2381353B1/es
Priority to UY0001032541A priority patent/UY32541A/es
Priority to BRPI1007615A priority patent/BRPI1007615A2/pt
Priority to PCT/EP2010/002383 priority patent/WO2010124799A1/en
Priority to EP10718471A priority patent/EP2436160A1/en
Priority to US13/266,391 priority patent/US20120137362A1/en
Priority to ARP100101394A priority patent/AR076424A1/es
Publication of ES2381353A1 publication Critical patent/ES2381353A1/es
Application granted granted Critical
Publication of ES2381353B1 publication Critical patent/ES2381353B1/es
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Abstract

Un sistema colaborativo de intercambio de información de seguridad entre usuarios, basado en que una determinada función (ya sea almacenamiento o procesado) está repartida en diferentes puntos de una red para conseguir factores de procesado y almacenamientos más escalables que si se tratase de hacer todo en un mismo punto.#La invención propone una arquitectura con un elemento centralizado, denominado ?Dispositivo Central?, a través del cual dichos dispositivos de usuario comparten información con el resto de usuarios para activar finalmente una alarma o descartarla.

Description

Sistema de seguridad colaborativa para usuarios residenciales.
Sector de la técnica
La invención pertenece al sector de las comunicaciones IP y, específicamente, con foco en la seguridad de los usuarios en su acceso a Internet.
Estado de la técnica
En un mundo donde los servicios de Internet están en pleno apogeo y en el que se proporcionan a los usuarios cada vez más posibilidades: comercio electrónico, banca electrónica, trámites administrativos o comunicaciones personales, por poner solo unos ejemplos, surgen de forma paralela, los actos delictivos que se dan en el mundo analógico trasladados al mundo digital de Internet: intento de fraude, intrusión en los sistemas, robo de identidades, etc.
Debido a las altas cantidades económicas que se manejan hoy día y al aumento de las dependencias de los usuarios hacia los nuevos servicios, el número de actos delictivos crece exponencialmente. Este hecho, a su vez, crea una riqueza en compañías del sector de seguridad, ofreciendo productos a los usuarios finales de cara a que ellos mismos pongan los medios para protegerse. Los productos típicos que se están ofreciendo son:
-
Firewalls o cortafuegos: Como elementos que permiten configurar a un usuario que conexiones puede realizar a Internet y que conexiones pueden realizar desde Internet a su domicilio.
-
Antivirus, Antimalware (sistemas de detección de software malicioso): Para tratar de identificar el código malicioso que se instala en los ordenadores de los usuarios.
-
Sistemas de detección de intrusiones (IDS, “Intrusión Detection System”): Para tratar de identificar tráfico malicioso que circula en nuestra red.
En concreto, en el campo de los sistemas de detección de intrusiones, se están ofreciendo productos encargados de monitorizar el tráfico de red en busca de intentos de intrusión o actividades sospechosas (en algunos casos con diferentes capacidades). Estos servicios se están ofreciendo tanto para empresas como para usuarios residenciales, necesitándose en su gestión e interpretación ciertos conocimientos mínimos de tecnología y seguridad que el usuario medio no tiene.
Con el fin de liberar al usuario de esta carga de gestión, hay diversas empresas que ofrecen servicios encaminados a la monitorización de sistemas de seguridad e incluso pueden realizar correlaciones (toma de decisiones en función de los eventos que se van produciendo) y aprendizajes entre los informes que les llegan de diferentes clientes o fuentes.
La patente US 2005/0257264 describe un sistema de generación y distribución de alarmas en un entorno cooperativo. Dicha distribución se realiza en base a una estructura (Bloom Filters) donde se van encadenando las distintas alarmas detectadas. El sistema describe dicha estructura y los mecanismos de compartición en un entorno colaborativo.
A diferencia de esa patente, la solución que propone la presente invención se basa en un Dispositivo Central que almacena todas las alarmas generadas por los Dispositivos Hogar, siendo capaz de responder a las peticiones que realicen dichos dispositivos sobre un determinado evento. Los Dispositivos Hogar pueden completar los análisis realizados con la información obtenida en su propia red con la información de otros Dispositivos Hogar, aumentando la capacidad de detección de intrusiones o tráfico no deseado.
Esta forma de actuar, donde hay un dispositivo mediador (Dispositivo Central), permite un mayor grado de confianza en el sistema al ser este quien valida la información.
La patente US 2004/0205419 describe un sistema que comprende una pluralidad de dispositivos de cliente y al menos un servidor. Además, se especifica que si se detectan eventos anormales en uno de los dispositivos de cliente, se envía una alerta a los usuarios finales y se informa al servidor del sistema de red.
Este es otro concepto distinto al de la presente invención y se basa en lo que se conoce como un SIM, múltiples sondas repartidas por clientes que envían la información a un servidor central y es este quien realiza las correlaciones e identificaciones necesarias.
En la presente invención, por el contrario, son los dispositivos de cliente quien realiza las correlaciones y se apoyan en el dispositivo central para conocer la criticidad de las mismas. Además el sistema propuesto en US 2004/0205419 está centralizado en el ataque de virus informático y no en otros ataques de red como el que propone la presente invención.
Problema técnico planteado
En la actualidad existen diversos productos que permiten tener una visión centralizada del estado de seguridad de una red, pero necesitan tener acceso a todo el tráfico que pasa por la red. Destacan entre otros muchos:
SIM (Security Information Management, también conocido como Sistema Para la Gestión de la Seguridad). Sistemas encargados de recolectar y analizar toda la información de seguridad de la red, generando alarmas en caso de detectar actividades maliciosas.
Detectores de Anomalías. Herramientas encargadas de monitorizar todo el tráfico de la red en busca de actividades no usuales que pueden ser indicativos de intentos de ataque.
Esto supone, para el caso de un ISP (Internet Service Provider -Proveedor de Servicios de Internet) que puede llegar a dar servicio a varios millones de clientes, dos problemas:
Uno de topología, que consiste en encontrar el punto o el conjunto mínimo de puntos que monitorizar para tener acceso a todo el tráfico.
Un segundo problema es la potencia que se necesita en los equipos para monitorizar en tiempo real todo el tráfico que pasa a través del ISP (hacia y desde los clientes del mismo).
Estos problemas hacen que en muchos casos el servicio no se llegue a implantar (por falta de viabilidad de una solución técnica) y se traslada el problema a las dependencias y control del usuario.
Con el fin de facilitar a los usuarios finales la labor de gestión de los sistemas de monitorización, se están proporcionando diversos servicios encaminados a la monitorización de sistemas de seguridad. Estos servicios pueden incluso realizar correlaciones y aprendizajes entre los informes que reciben de los diferentes clientes, aunque no se ha visto ningún servicio que permita a un usuario (cliente/empresa) conocer los eventos que se están produciendo en la red y tomar la decisión de como actuar en función de dicha información sin tener que ceder la gestión de seguridad a un tercero.
Además que la gestión la haga finalmente un usuario implica que, pese a la multitud de ataques que se realizan diariamente en Internet, no tiene acceso en tiempo real a esta información privilegiada y únicamente tiene conocimiento de los ataques que se están realizando a su red o de ataques muy concretos que aparecen con posterioridad publicados en foros.
Los servicios actuales de monitorización desplegados en distintos clientes únicamente utilizan la información recopilada y analizada por sus propios sistemas, sin tener en cuenta la información recopilada por otros clientes. Esta arquitectura plantea varios problemas que son solventados por la solución propuesta:
Basar los análisis únicamente en la actividad recibida en la propia red impide la detección de ciertos indicios de ataques. Como por ejemplo escaneos de puertos iniciales ya que éstos pueden pasar desapercibidos por intentos de conexión normales. Por ejemplo, si en un sistema se detecta un intento de conexión a un puerto concreto, aunque no es un puerto muy usual, no ofrece información suficiente como para marcarlo como un posible intento de ataque. Sin embargo, si el sistema pudiera conocer que, además de a nuestros sistemas, se han producido intentos de conexión al mismo puerto en otros sistemas de forma simultánea, sí podría ser indicativo de un intento de localización de servidores vulnerables y, por tanto, poder actuar contra el origen de dichas conexiones antes de que el ataque real sea lanzado.
Desconocer si el origen de una actividad detectada en la red de cliente ha sido catalogado como ataque en otro cliente con anterioridad obliga a que, para poder tomar medidas contra dicho origen debe de producirse el ataque ya que no había información suficiente con anterioridad al mismo que permitiera sospechar de dicho origen.
La existencia de un Dispositivo Central que reciba todas las alarmas generadas por los distintos dispositivos clientes permite realizar un análisis en su conjunto, permitiendo la detección de ataques que, de forma aislada, pasarían desapercibidos. Por ejemplo, si un intruso realiza un ataque contra un cliente, éste ataque quedará identificado en el Dispositivo Central que, ante cualquier actividad de dicho atacante en cualquier otro cliente, se lo notificará de forma inmediata ya se de forma automática o bajo petición de información del propio cliente.
Por otro lado, el hecho de que la decisión final la tenga que tomar un usuario que no tiene conocimientos técnicos hace que la interpretación de los mensajes proporcionados por los sistemas de seguridad sea errónea generalmente. Como un ejemplo práctico, en http://people.seas,harvard.edu/∼rachna/papers/why_phishing_works.pdf puede consultarse un estudio empírico realizado a grupos de usuarios para detectar el motivo por el que los ataques de phishing (ataque basado en obtener datos personales y confidenciales de los usuarios mediante ingeniería social) funcionan. En dicho estudio se observó que en muchas ocasiones los usuarios toman decisiones incorrectas incluso cuando tienen herramientas de ayuda debido a que carecen del conocimiento de cómo funcionan los sistemas informáticos y no comprenden cómo funcionan los sistemas e indicadores de seguridad. Además, a causa de esta falta de información, es arriesgado (al tener una alta probabilidad de error) permitir que un sistema de seguridad actúe autónomamente, ya que la información parcial (solo del tramo de red observado por el sistema) de la que se dispone es insuficiente para la toma de decisiones, que pueden ser radicales (corte de una conexión de red, por ejemplo) y entorpecer (al no permitir visitar algunas páginas Web que el sistema considera fraudulentas, por ejemplo) el uso cotidiano del servicio de acceso a Internet.
Solución propuesta: Objeto de la invención
La solución que aporta la invención consiste en un sistema colaborativo, basado en redes neuronales de intercambio de información de seguridad. Las redes neuronales se basan en que una determinada función (ya sea almacenamiento
o procesado) está repartida en diferentes puntos de una red para conseguir factores de procesado y almacenamientos más escalables que si se tratase de hacer todo en un mismo punto.
Basándonos en esta forma de actuar, tenemos una serie de dispositivos distribuidos en los usuarios del servicio que realizan labores de detección de ataques y amenazas locales a su entorno y comparten dicha información con el resto de usuarios a través de un dispositivo central que es el que, en base a su lógica programada, decide la criticidad de la información compartida.
Debido a que el sistema se nutre de la información extraída de diferentes puntos de la red, la identificación de los ataques y amenazas es mayor de la que tendría un dispositivo aislado que conoce de un modo sesgado los ataques que se están produciendo.
La invención se lleva a cabo con el desarrollo de dos dispositivos: un servidor centralizado denominado “Dispositivo Central”, que además de actuar como punto de actualización de los dispositivos cliente, contendrá la información de los nodos “neurona” existentes en la red neuronal y de la información que los mismos han solicitado y un dispositivo cliente (nodo “neurona”) denominado “Dispositivo Hogar” que se instala en el domicilio del cliente:
-
El Dispositivo Hogar tiene dos tipos de configuración:
*
Básica: en la que proporciona una interfaz de comunicación con los dispositivos de seguridad del cliente a modo de recepción de anomalías de seguridad, sirviendo de interfaz con la red neuronal (ver figura 2: Configuraciones del Dispositivo Hogar).
*
Avanzada: El dispositivo además tiene módulos que permiten realizar supervisiones en la red de tal modo que el cliente no necesite módulos de detección de ataque previamente instalados (ver figura 2: Configuraciones del Dispositivo Hogar).
En ambas modalidades, el Dispositivo Hogar, dispone de un dispositivo de correlación de toma de decisiones (actualizable dinámicamente desde el Dispositivo Central). Cuando el Dispositivo Hogar detecte indicios de un ataque podrá, si no dispone de suficientes datos en local para tomar una decisión, realizar una consulta al Dispositivo Central sobre los datos que han provocado esos indicios: tipo de actividad que ha detectado, quien ha originado la actividad, etc. El Dispositivo Central le comunicará que otros Dispositivos Hogar (“neuronas”) han solicitado información sobre el mismo indicio, permitiendo de esta forma que los Dispositivos Hogar intercambien información sobre la actividad detectada. De este modo el Dispositivo Hogar podrá activar finalmente una alarma o descartarla. En caso de que se active una alarma, el Dispositivo Hogar comunicará la alarma al Dispositivo Central, con el fin de actualizar las bases de conocimiento (política de seguridad) que se distribuye a los dispositivos hogar, incluyendo los datos (tipología) del tipo de ataque detectado.
Las configuraciones de los tipos de anomalías de seguridad que activan la solicitud de más información en el Dispositivo Hogar son homogéneas en todos los Dispositivos Hogar.
Una vez generada la alarma en el Dispositivo Hogar, esta puede ser tratada según los criterios que se definan: aviso a través de SMS, mail, mensaje de voz, por consola, o a través de una actuación automática sobre el tráfico que corta, durante el tiempo preconfigurado, el flujo de comunicación con origen o destino la dirección IP (Internet Protocol) que se ha detectado como fuente de los ataques.
El Dispositivo Hogar guardará, durante un período de tiempo definido por una política central, información sobre que otros nodos (otros Dispositivos Hogar, o neuronas de la red) conoce. De esta forma, tras un período inicial de entrenamiento, la red podrá sostenerse por sí misma incluso en caso de una caída temporal del Dispositivo Central.
El Dispositivo Hogar será desplegado en modo bridge (modo en el que el dispositivo se sitúa como si fuese el cable de comunicaciones y es invisible para el resto de equipos), situándose el dispositivo en medio de las comunicaciones del cliente de modo que en caso de querer actuar sobre algún tipo de tráfico podrá cortarlo o permitirlo sin interactuar con otros dispositivos del cliente.
-
El Dispositivo Central realizará las siguientes acciones:
* Actualizar los módulos de correlación del Dispositivo Hogar.
* Almacenar las anomalías de seguridad y en caso de que un cliente pida información sobre alguna de dichas anomalías, enviarle la información sobre que Dispositivos Hogar han reportado dichas anomalías.
El modo en que el Dispositivo Central va a registrar las anomalías de seguridad es inmediato a través de una política común desplegada en los Dispositivos Hogar, ya que estos únicamente van a preguntar (transmitiendo la información a través de un canal de comunicación preestablecido entre el Dispositivo Central y los diferentes Dispositivos Hogar) por acciones consideradas de riesgo. Por lo tanto estas preguntas del Dispositivo Hogar formarán la base de datos de eventos de riesgo en la red y podrán ser a su vez enviadas (una vez eliminada la información que pueda identificar los dispositivos atacados para preservar el anonimato de los usuarios) a los diferentes Dispositivos Hogar que se han interesado por ellas. Este modo de actuar formaría la base de la red neuronal (ver figura 4: Descripción funcional).
La figura 4 presenta un esquema donde se puede observar la secuencia de eventos que provocan una alarma del Sistema. En un primer instante, (1), uno de los Dispositivos Hogar (N3) detecta una actividad sospechosa. Dicha actividad es consultada con el Dispositivo Central, y el servidor central devuelve (2) la lista de “neuronas” (Dispositivos Hogar) que han consultado recientemente sobre la misma actividad. En el ejemplo de la imagen, dicha lista está compuesta por los Dispositivos Hogar N2 y N4. N2 pregunta a los otros Dispositivos Hogar (3) información sobre el la actividad detectada en sus redes locales. N3 y N4 contestan (4) con la información. Si N3 decide que la actividad es maliciosa, genera una alerta local e informa a los nodos de su caché (N2 y N4) de que ha generado una alerta local. Si dicha información es suficiente como para generar una alerta local en N2 y/o N4, la propagación de la información por la red continúa (5): N2 avisará a N1 y N4 a N5. Sería posible que en uno de los Dispositivos Hogar se generase la alerta y en otro no, en ese caso solo el dispositivo afectado propagaría la alerta. Dicha actividad de propagación continúa (6) hasta que todos los nodos de la red han sido avisados, o todos los nodos receptores de la alerta la descartan (por no ser de aplicación localmente).
Esta funcionalidad tiene el riesgo de que usuarios puedan simular ataques en sus redes con el fin de envenenar con datos falsos al Dispositivo Central. Pero este problema se minimiza puesto que el nivel de confianza en una alerta
o comportamiento sospechoso depende del número de neuronas (Dispositivo Hogar) de la red que hayan reportado un comportamiento sospechoso. Por lo tanto el compromiso o uso malicioso de un número limitado de Dispositivos Hogar no comprometerá la integridad de la red. El Dispositivo Central, además, tendrá la capacidad de distribuir políticas de confianza que se construyen en función de la credibilidad generada por el contraste de los datos recibidos de los diferentes Dispositivos Hogar. Así la red neuronal únicamente tomará decisiones de generar un estado de alarma para un determinado evento si este ha sido denunciado por un determinado número de Dispositivos Hogar y en base a estados de confianza del dispositivo que se basarán en las veces que han participado en denuncias corroboradas por otros Dispositivos Hogar.
Breve descripción de los dibujos
La figura 1 representa el esquema general de los Dispositivos Hogar y Central.
La figura 2 muestra las configuraciones del Dispositivo Hogar.
La figura 3 ilustra los componentes de los Dispositivos Hogar y Central.
La figura 4 representa la descripción funcional mostrando la secuencia de eventos que provocan una alarma.
Descripción detallada de la invención: Modo de realización preferido
El sistema desarrollado consta de dos componentes principales (ver figura 1: Esquema general).
En el esquema de la figura 1 se puede observar la instalación del Dispositivo Hogar en modo bridge (puente) en las dependencias del cliente y que por tanto podría tomar la decisión de cortar determinado tráfico con origen/destino Internet. Y el Dispositivo Central instalado en el ISP y que mantendría comunicación con los diferentes elementos de la red neuronal (los diferentes Dispositivos Hogar). La unión marcada como (1), representaría la comunicación lógica entre los dispositivos Hogar y Central, independientemente de la red de comunicaciones que se use.
• Dispositivo Hogar: Este componente es un equipo que se instalará en los domicilios de los clientes del ISP. El equipo dispondrá de al menos dos interfaces de red y se instalará en modo bridge entre la Red de Área Local (RAL) del cliente y el acceso a Internet del mismo.
En la figura 2 se representan las configuraciones del Dispositivo Hogar que, como se indicó anteriormente, podrá tener dos posibilidades. Una denominada Dispositivo Hogar-Básico, en la que se respete los posibles elementos de monitorización de seguridad que disponga el cliente y ofrecerá una interfaz de comunicación con dichos elementos para recibir los eventos de seguridad. Y otra denominada Dispositivo Hogar-Avanzado que dispondrá de sus propios sistemas de monitorización de seguridad.
• Dispositivo Central: Este componente se instalará en las instalaciones del ISP y servirá como recolector de información sobre las consultas previas realizadas por los Dispositivos Hogar. Adicionalmente, desde el Dispositivo Central se podrá propagar información sobre nuevas amenazas, nuevas reglas de correlación,
o nuevos agentes maliciosos a todos los Dispositivos Hogar registrados.
En al figura 3 se desglosan los diferentes módulos de los que se componen tanto el Dispositivo Hogar como el Dispositivo Central. Etiquetado como (1), se ha representado la tecnología existente en la que se apoyarán los dispositivos y como (2), los desarrollos necesarios para cumplir con las especificaciones que se han definido.
El Dispositivo Hogar está compuesto por un módulo de Gestión Integral de Seguridad (ya existente en el estado del arte actual) extendido con los siguientes componentes nuevos:
Sistema Experto de Correlación.
Gestor de Incidencias Externas.
Intervención en RAL.
A continuación se describen con más detalle cada uno de estos componentes.
El Módulo Sistema Experto de Correlación es el encargado de tomar decisiones sobre el estado de seguridad de la red, en base al tráfico observado en la misma. Tomará como entradas los eventos de red almacenados por el Sistema de Gestión Integral de Seguridad (obtenidos en tiempo real del mismo) y el estado previo del sistema, que se mantendrá en el Módulo Gestor de Incidencias Externas. Como resultado de una decisión, el Sistema Experto de Correlación podrá decidir, en tiempo real, cortar una conexión para impedir daños mayores. Además, informará del resultado al Módulo Gestor de Incidencias Externas para que dicho resultado pueda ser utilizado en futuras decisiones y pueda ser compartido con Dispositivos Hogar remoto. Este componente integra la parte lógica de una “neurona” de la red neuronal.
El Módulo Gestor de Incidencias Externas tiene una doble función: Por una parte, almacenará durante un período de tiempo configurable los resultados de evaluaciones anteriores, y por otra parte hará dichos resultados disponibles para el Módulo Sistema Experto de Correlación y para aquellos otros dispositivos autorizados que lo soliciten. De esta forma, el sistema completo se comporta como una red neuronal distribuida (donde cada Dispositivo Hogar es una neurona de la red). Cada evaluación en un dispositivo supone una iteración en la red neuronal, y el módulo Gestor de Incidencias Externas se encarga tanto de la realimentación de la red, como de mantener el estado. Este módulo puede solicitar información al Dispositivo Central sobre en que otros puntos de la red se ha observado una incidencia como la que se está considerando (por tipo de incidencia o por los actores considerados en la misma). Una vez recibida del Dispositivo Central la información sobre que otros Dispositivos Hogar han solicitado la misma información, el Dispositivo Hogar podrá conectarse directamente con los otros Dispositivos Hogar para ampliar la información disponible en los mismos si fuese necesario. De esta forma, en el Dispositivo Central no se almacena información que pudiese ser considerada confidencial.
El Módulo Intervención en RAL es el interfaz del Módulo Sistema Experto de Correlación con la Red deÁrea Local. Este módulo tiene capacidad para cortar una conexión de red en tiempo real.
Aplicación industrial de la invención
Se podrá elaborar un servicio comercial destinado a clientes residenciales en los que se podrá comercializar:
-
El Dispositivo Hogar.
-
El servicio de conexión a la red neuronal, en definitiva la interacción con el Dispositivo Central.
La explotación inicial se podrá ver reforzada con diferentes Dispositivos Hogar distribuidos estratégicamente de modo que garanticen un servicio óptimo, independientemente del número de suscriptores que existan y que vaya mejorando según vayan aumentando en número de suscriptores al servicio.

Claims (7)

  1. REIVINDICACIONES
    1. Sistema de seguridad colaborativa para usuarios residenciales que consta de una serie de dispositivos distribuidos en los usuarios del servicio, denominados Dispositivos Hogar cada uno de los cuales dispone de al menos una interface de red para una red de interconexión de ordenadores pública tal como Internet, y de al menos un módulo de gestión integral de seguridad destinado a labores de detección de ataques y amenazas locales a su entorno, caracterizado porque cada uno de dichos Dispositivos Hogar comprende además los siguientes módulos interconectados:
    -
    un Módulo Sistema Experto de Correlación encargado de tomar decisiones sobre el estado de seguridad de la red, en base al tráfico observado en la misma;
    -
    un Módulo Gestor de Incidencias Externas destinado a almacenar durante un período de tiempo configurable los resultados de evaluaciones anteriores, y hacer accesibles dichos resultados disponibles para el Módulo Sistema Experto de Correlación; y
    -
    un Módulo de Intervención en Red de Área local con capacidad para cortar una conexión de red en tiempo real y que proporciona una interfaz del Módulo Sistema Experto de correlación con la red de área local.
    compartiendo dichos Dispositivos Hogar información con el resto de usuarios a través de un servidor centralizado, denominado Dispositivo Central instalado en las instalaciones del proveedor de dicha red de interconexión de ordenadores y destinado a recoger información sobre las consultas previas realizadas por los Dispositivos Hogar, decidiendo dicho Dispositivo Central en base a una lógica programada, la criticidad de una información recibida.
  2. 2.
    Sistema de seguridad colaborativa para usuarios residenciales, según la reivindicación 1, en el que dicho Módulo Sistema Experto de Correlación para la toma de decisiones, es actualizable dinámicamente desde el Dispositivo Central.
  3. 3.
    Sistema de seguridad colaborativa para usuarios residenciales, según la reivindicación1ó2, caracterizado porque dicho Dispositivo Central dispone de una base de conocimientos que es actualizada a partir de cualquier alarma generada por un Dispositivo Hogar.
  4. 4.
    Sistema de seguridad colaborativa para usuarios residenciales, según una cualquiera de las reivindicaciones 1 a3, caracterizado porque el Dispositivo Central está adaptado para propagar información sobre nuevas amenazas, nuevas reglas de correlación o nuevos agentes maliciosos a todos los Dispositivos Hogar conectados al mismo.
  5. 5.
    Sistema de seguridad colaborativa para usuarios residenciales, según reivindicaciones anteriores, caracterizado por que el Dispositivo Hogar está instalado en modo bridge (puente) entre una red local del usuario y una red pública, de manera que es invisible para el resto de equipos del usuario, no interactúa con otros dispositivos de dicho usuario y puede realizar un filtrado activo (eliminación de tráfico entrante o saliente) de dicha red de usuario.
  6. 6.
    Método de funcionamiento de un sistema de seguridad colaborativa para usuarios residenciales según la reivindicación 1, caracterizado porque comprende almacenar todas las alarmas generadas por los Dispositivos Hogar en un Dispositivo Central instalado en las instalaciones del proveedor de dicha red de interconexión de ordenadores, y responder desde este Dispositivo Central a las peticiones que realicen dichos Dispositivos Hogar sobre un determinado evento de manera que cuando el Dispositivo Hogar detecta indicios de un ataque y no tiene datos suficientes para tomar una decisión, realiza una consulta al Dispositivo Central sobre los datos que han provocado esos indicios, y el Dispositivo Central le comunicará qué otros Dispositivos Hogar han solicitado información sobre el mismo indicio, permitiendo de esta forma que los Dispositivos Hogar intercambien información sobre la actividad detectada incluyendo los datos (tipología) del tipo de ataque detectado, para activar finalmente una alarma o descartarla.
    OFICINA ESPAÑOLA DE PATENTES Y MARCAS
    N.º solicitud: 200901107
    ESPAÑA
    Fecha de presentación de la solicitud: 28.04.2009
    Fecha de prioridad:
    INFORME SOBRE EL ESTADO DE LA TECNICA
    51 Int. Cl. : H04L29/06 (2006.01)
    DOCUMENTOS RELEVANTES
    Categoría
    56 Documentos citados Reivindicaciones afectadas
    X
    EP 1887754 A1 (DEUTSCHE TELEKOM AG) 13/02/2008, párrafos [0053 -0054]; párrafos [0084 -0094]; figuras. 1-6
    A
    US 2007261112 A1 ( TODD JOHN ET AL.) 08/11/2007, descripción; figuras. 1-6
    A
    US 2005257264 A1 ( STOLFO SALVATORE J ET AL.) 17/11/2005, párrafos [0030 -0057]; figuras. 1-6
    A
    WO 2005036339 A2 (ENTERASYS NETWORKS INC) 21/04/2005, párrafos [030 -051]; figuras. 1-6
    Categoría de los documentos citados X: de particular relevancia Y: de particular relevancia combinado con otro/s de la misma categoría A: refleja el estado de la técnica O: referido a divulgación no escrita P: publicado entre la fecha de prioridad y la de presentación de la solicitud E: documento anterior, pero publicado después de la fecha de presentación de la solicitud
    El presente informe ha sido realizado • para todas las reivindicaciones • para las reivindicaciones nº:
    Fecha de realización del informe 10.05.2012
    Examinador J. Calvo Herrando Página 1/4
    INFORME DEL ESTADO DE LA TÉCNICA
    Nº de solicitud: 200901107
    Documentación mínima buscada (sistema de clasificación seguido de los símbolos de clasificación) H04L Bases de datos electrónicas consultadas durante la búsqueda (nombre de la base de datos y, si es posible, términos de
    búsqueda utilizados) INVENES, EPODOC
    Informe del Estado de la Técnica Página 2/4
    OPINIÓN ESCRITA
    Nº de solicitud: 200901107
    Fecha de Realización de la Opinión Escrita: 10.05.2012
    Declaración
    Novedad (Art. 6.1 LP 11/1986)
    Reivindicaciones Reivindicaciones 1-6 SI NO
    Actividad inventiva (Art. 8.1 LP11/1986)
    Reivindicaciones Reivindicaciones 1.6 SI NO
    Se considera que la solicitud cumple con el requisito de aplicación industrial. Este requisito fue evaluado durante la fase de examen formal y técnico de la solicitud (Artículo 31.2 Ley 11/1986).
    Base de la Opinión.-
    La presente opinión se ha realizado sobre la base de la solicitud de patente tal y como se publica.
    Informe del Estado de la Técnica Página 3/4
    OPINIÓN ESCRITA
    Nº de solicitud: 200901107
    1. Documentos considerados.-
    A continuación se relacionan los documentos pertenecientes al estado de la técnica tomados en consideración para la realización de esta opinión.
    Documento
    Número Publicación o Identificación Fecha Publicación
    D01
    EP 1887754 A1 (DEUTSCHE TELEKOM AG) 13.02.2008
    D02
    US 2007261112 A1 ( TODD JOHN et al.) 08.11.2007
    D03
    US 2005257264 A1 ( STOLFO SALVATORE J et al.) 17.11.2005
    D04
    WO 2005036339 A2 (ENTERASYS NETWORKS INC) 21.04.2005
  7. 2. Declaración motivada según los artículos 29.6 y 29.7 del Reglamento de ejecución de la Ley 11/1986, de 20 de marzo, de Patentes sobre la novedad y la actividad inventiva; citas y explicaciones en apoyo de esta declaración
    El objeto principal de la invención es un sistema de seguridad colaborativa. Se consideran el documentos D01 como el documento del estado de la técnica más próximo al objeto reivindicado, el cual afectan a la actividad inventiva de todas las reivindicaciones, tal y como se explica a continuación:
    Reivindicación independiente R1
    El documento D01(párrafos [0053-0054,0084-0094]; figuras) divulga un sistema de seguridad colaborativa para usuarios residenciales con dispositivos distribuidos que detectan ataques/posibles amenazas. Dicha información es señalizada por los dispositivos de alerta y es compartida con el resto de usuarios a través de un "Módulo de reconocimiento colaborativo de amenazas" (Collaborative eThreat Recognition Module, 500) que gracias a su lógica programada decide la criticidad de la información compartida.
    Por tanto, el objeto de la reivindicación R1 comprende sólo modos de realización (Sistema experto de correlación, Gestor de Incidencias Externas, Intervención de LAN) del sistema de seguridad colaborativa del documento D01 y por tanto no se puede considerar que implique actividad inventiva (Art. 8.1 LP)
    Reivindicaciones dependientes R2-R5
    No se indica nada en la reivindicación R2 que no sea conocimiento común en el campo de los sistemas de seguridad conectados a internet. La actualización del los dispositivos secundarios desde un dispositivo central conectados a una red no se considera que implique actividad inventiva. En consecuencia, la reivindicación R2 carece de actividad inventiva. Por otro lado, un dispositivo central con una base de datos donde se almacena información de los dispositivos secundarios es una técnica muy conocida, y por tanto obvia para un experto en la materia.
    Las características descritas por la reivindicación R4 se consideran obvias para un experto en la materia, ya que divulgar información desde un dispositivo central conectado a internet a dispositivos secundarios carece de actividad inventiva.
    Las características divulgadas por la reivindicación R5 donde un dispositivo de red, en este caso los dispositivos secundarios, funcionan en modo bridge es simplemente una de las varias posibilidades evidentes que un experto en la materia seleccionaría según las circunstancias, sin el ejercicio de la actividad inventiva, para instalar los dispositivos secundarios en la red local del usuario.
    Reivindicación independiente R6
    A la vista de los documentos citados, todas las características descritas en la reivindicación R6 son medidas consideradas obvias para un experto en la materia. En consecuencia, el método divulgado por la reivindicación R6 carece de actividad inventiva (Art. 8.1 LP)
    Informe del Estado de la Técnica Página 4/4
ES200901107A 2009-04-28 2009-04-28 Sistema de seguridad colaborativa para usuarios residenciales Expired - Fee Related ES2381353B1 (es)

Priority Applications (7)

Application Number Priority Date Filing Date Title
ES200901107A ES2381353B1 (es) 2009-04-28 2009-04-28 Sistema de seguridad colaborativa para usuarios residenciales
UY0001032541A UY32541A (es) 2009-04-28 2010-04-05 Sistema de seguridad colaborativa para usuarios residenciales
PCT/EP2010/002383 WO2010124799A1 (en) 2009-04-28 2010-04-19 Collaborative security system for residential users
EP10718471A EP2436160A1 (en) 2009-04-28 2010-04-19 Collaborative security system for residential users
BRPI1007615A BRPI1007615A2 (pt) 2009-04-28 2010-04-19 "sistema colaborativo de segurança para usuários residenciais"
US13/266,391 US20120137362A1 (en) 2009-04-28 2010-04-19 Collaborative security system for residential users
ARP100101394A AR076424A1 (es) 2009-04-28 2010-04-26 Sistema de seguridad colaborativa para usuarios residenciales

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES200901107A ES2381353B1 (es) 2009-04-28 2009-04-28 Sistema de seguridad colaborativa para usuarios residenciales

Publications (2)

Publication Number Publication Date
ES2381353A1 ES2381353A1 (es) 2012-05-25
ES2381353B1 true ES2381353B1 (es) 2013-01-28

Family

ID=42224636

Family Applications (1)

Application Number Title Priority Date Filing Date
ES200901107A Expired - Fee Related ES2381353B1 (es) 2009-04-28 2009-04-28 Sistema de seguridad colaborativa para usuarios residenciales

Country Status (7)

Country Link
US (1) US20120137362A1 (es)
EP (1) EP2436160A1 (es)
AR (1) AR076424A1 (es)
BR (1) BRPI1007615A2 (es)
ES (1) ES2381353B1 (es)
UY (1) UY32541A (es)
WO (1) WO2010124799A1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453234B2 (en) * 2006-09-20 2013-05-28 Clearwire Ip Holdings Llc Centralized security management system
WO2013053817A1 (en) * 2011-10-14 2013-04-18 Telefonica, S.A. A method and a system to detect malicious software
US10063439B2 (en) 2014-09-09 2018-08-28 Belkin International Inc. Coordinated and device-distributed detection of abnormal network device operation
US9026840B1 (en) * 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
US10824974B2 (en) * 2015-09-11 2020-11-03 International Business Machines Corporation Automatic subject matter expert profile generator and scorer
US10298604B2 (en) 2016-09-05 2019-05-21 Cisco Technology, Inc. Smart home security system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8347375B2 (en) * 2003-10-03 2013-01-01 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
US7779463B2 (en) * 2004-05-11 2010-08-17 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
IL177429A0 (en) * 2006-08-10 2007-07-04 Univ Ben Gurion A system that provides early detection. alert, and response to electronic threats

Also Published As

Publication number Publication date
BRPI1007615A2 (pt) 2016-02-16
EP2436160A1 (en) 2012-04-04
WO2010124799A1 (en) 2010-11-04
UY32541A (es) 2010-10-29
ES2381353A1 (es) 2012-05-25
US20120137362A1 (en) 2012-05-31
AR076424A1 (es) 2011-06-08

Similar Documents

Publication Publication Date Title
US9548961B2 (en) Detecting adverse network conditions for a third-party network site
CN103875222B (zh) 用于实时定制的威胁防护的系统和方法
ES2381353B1 (es) Sistema de seguridad colaborativa para usuarios residenciales
Patel et al. Security challenges in IoT cyber world
ES2393501B1 (es) Método y sistema para clasificación de tráfico.
Tyagi Cyber physical systems (cpss) â [euro]" opportunities and challenges for improving cyber security
JP2015535364A (ja) 創発的ネットワーク防御システム
Bellini et al. Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach
Bou-Harb et al. Big data sanitization and cyber situational awareness: a network telescope perspective
Ozer et al. A prevention and a traction system for ransomware attacks
Goel et al. A resilient network that can operate under duress: To support communication between government agencies during crisis situations
Ganesh et al. Intrusion detection and prevention systems: A review
Bsufka et al. Intelligent network-based early warning systems
Silva et al. A cooperative approach with improved performance for a global intrusion detection systems for internet service providers
Udaya Suriya Rajkumar et al. Artificial bee colony method for identifying eavesdropper in terrestrial cellular networks
Neeli et al. Framework for capturing the intruders in wireless adhoc network using zombie node
Sindhuja et al. A study on intrusion detection system of mobile ad-hoc networks
Sharma et al. Intrusion Detection in Cloud Computing Environment Dynamic Remote Surveillance Scheme
Kasprzyk et al. Modeling and simulation of botnet based cyber-threats
Alam et al. Cyber-physical Attacks and IoT
Mthunzi Nature-inspired survivability: Prey-inspired survivability countermeasures for cloud computing security challenges
Madhav Ensuring network security through the use of the honeypot technique
Bigham et al. Safeguarding electricity cyber-infrastructures against the worm threat
Harrison Scalable detection of community cyber incidents utilizing distributed and anonymous security information sharing
Staddon Threat detection, identification and quarantine in wireless IoT based Critical Infrastructures

Legal Events

Date Code Title Description
FG2A Definitive protection

Ref document number: 2381353

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20130128

FD2A Announcement of lapse in spain

Effective date: 20190610