Arquitectura multi-agente adaptativa para la detección de ataques en entornos dinámicos y distribuidos

Resumen

Las tecnologías de computación distribuidas surgieron dentro de las comunidades académicas y de investigación para satisfacer las necesidades de conexión y colaboración en estos sectores, pero poco a poco han pasado a formar parte del conglomerado de tecnologías de las empresas. Sin embargo, al mismo tiempo que la tecnología de computación distribuida entra a formar parte de las aplicaciones empresariales, surgen preocupaciones acerca de la seguridad de la información. De esta forma, han aparecido amenazas principalmente orientadas a explotar vulnerabilidades en los componentes de las aplicaciones distribuidas. Dos de las amenazas que han ganado relevancia en los últimos tiempos por la frecuencia de los ataques y su impacto negativo son los ataques de inyección SQL y los ataques XDoS. Ambos ataques se caracterizan por su amplia variedad de técnicas de ataques, además de poner en riesgo tanto la confidencialidad e integridad de los datos y las aplicaciones, pero sobre todo la disponibilidad. En este trabajo se presenta la arquitectura AIDeMaS, una arquitectura multi-agente diseñada para detectar intrusiones en aplicaciones distribuidas. La arquitectura incorpora diferentes tipos de agentes para ejecutar cada una de las tareas del proceso de detección de ataques. El componente principal de la arquitectura AIDeMaS es un mecanismo de clasificación basado en un tipo de agente CBR-BDI, un tipo de agente deliberativo que integra un sistema de razonamiento basado en casos en su estructura interna. La detección de ataques de inyección SQL y ataques XDoS requiere un enfoque que pueda adaptarse a los constantes cambios en las técnicas de ataque y este tipo de agente resulta adecuado para ser aplicado en entornos altamente dinámicos. Finalmente, para determinar los patrones que corresponden a tipos de intrusiones, el agente CBR-BDI incorpora en su estructura interna técnicas de aprendizaje automático.