IDS v1.0

SIsLemus de DeLeccIn de
nLrusIones

DIego GonzuIez Gmez

VersIn 1.o1
ILImu revIsIn: JuIIo, zoo

CopyrIgIL (c) zoo DIego GonzuIez Gmez.
PermIssIon Is grunLed Lo copy, dIsLrIbuLe undJor modIIy LIIs documenL
under LIe Lerms oI LIe GNU ree DocumenLuLIon Icense, VersIon 1.z or
uny IuLer versIon pubIIsIed by LIe ree SoILwure ounduLIon; wILI LIe
nvurIunL SecLIons beIng "NoLus deI AuLor", und "ConcIusIones", wILI LIe
ronL-Cover TexL beIng "SIsLemus de DeLeccIn de nLrusIones", und wILI
no Buck-Cover TexLs. A copy oI LIe IIcense Is IncIuded In LIe secLIon
enLILIed "GNU ree DocumenLuLIon Icense".

I
ConLenIdo generuI

Notus del uotor 1
Introdoccin
1 Historiu g
eIiniciones 1
Modelo de Ioncionumiento
q Complementos y cusos especiules S,
g Cupucidudes y limituciones 11
6 Implementucin 11q
, Aspectos legules 1,
S Necesidudes, lineus de trubujo 1,
q Iotoro 1qq
1o Conclosiones 1gg
Apndice A - Glosurio de trminos unglosujones 1g,
Apndice B - Glosurio 16,
Apndice C - BibliogruIiu 1S1
Apndice - Normutivu legul 1q,
Apndice I - Recorsos 1g
Apndice I - ndice
GNL Iree ocomentution License
Licenciu de ocomentucin Libre GNL {trudoccin) q1

II
ConLenIdo

Notus del uotor 1
Introdoccin
1 Historiu g
1.1 AudILorius: eI comIenzo 6
1.z os prImeros SIsLemus de DeLeccIn de nLrusIones ;
1. UnIn de sIsLemus de deLeccIn busudos en muquInu y busudos en red q
1.q ApurIcIn de producLos comercIuIes 1o
1. ReIerencIus 11
eIiniciones 1
z.1 TrmInos de segurIdud 1
z.1.1 SegurIdud, dos punLos de vIsLu 1
z.1.z ConIIunzu 1q
z.1. VuInerubIIIdud 1q
z.1.q Amenuzu 1q
z.1. PoIiLIcus de segurIdud 1q
z.1.6 EIemenLos de Iu InIruesLrucLuru de segurIdud 1
z.1.6.1 ConLroI de ucceso 16
z.1.6.z denLIIIcucIn y AuLenLIcucIn 16
z.1.; CIIrudo 16
z.1.8 CorLuIuegos 1;
z.z MoLIvos que orIgInun probIemus de segurIdud 1;
z.z.1 DIseo o desurroIIo 1;
z.z.z GesLIn 1;
z.z. ConIIunzu 18
z. EIemenLos de Iu deLeccIn de InLrusIones 18
z..1 ArquILecLuru 18
z..z uenLes de duLos, monILorIzucIn 18
z.. TIpos de unuIIsIs 1q
z..q RespuesLus z1
z.. CIusIIIcucIn generuI z1
z..6 ObjeLIvos z1
z..; ConLroI zz
z.q ReIerencIus zz
Modelo de Ioncionumiento
.1 uenLes de InIormucIn z
.1.1 uenLes de InIormucIn busudus en muquInu z
.1.1.1 RegIsLros de uudILoriu z
.1.1.z ConLenIdo de Ios regIsLros de uudILoriu zq
.1.1. EI probIemu de Iu reduccIn de uudILoriu z8
.1.1.q RegIsLro de SIsLemu z8
.1.1. RegIsLros de sIsLemu comunes zq
.1.1.6 nIormucIn de upIIcucIones o

III
.1.1.; nIormucIn recogIdu de objeLIvos z
.1.z uenLes de InIormucIn busudus en red
.1.z.1 PuqueLes de red q
.1.z.z Redes TCPJP
.1.z. PIIu de proLocoIos
.1.z.q EsLrucLuru de unu dIreccIn P 6
.1.z. EsLrucLurus de duLos ;
.1.z.6 CupLuru 8
.1.z.; DIsposILIvos de red q
.1.z.8 uenLes de InIormucIn exLernus q
.1. nIormucIn de producLos de segurIdud q
.1..1 OLros componenLes como IuenLes de duLos qo
.z AnuIIsIs q1
.z.1 ObjeLIvos y eIemenLos prIncIpuIes q1
.z.1.1 ObjeLIvos prIncIpuIes qz
.z.1.z RequIsILos y objeLIvos secundurIos q
.z.1. ucLores de deLeccIn q
.z.z ModeIos qq
.z.z.1 ConsLruccIn deI unuIIzudor q
.z.z.z ReuIIzucIn deI unuIIsIs q;
.z.z. ReIInumIenLo y reesLrucLurucIn q8
.z. TcnIcus qq
.z..1 DeLeccIn de usos IndebIdos qq
.z..z DeLeccIn de unomuIius 8
.z.. MLodos uILernuLIvos 6q
. RespuesLu ;
..1 PrImerus consIderucIones ;
..z TIpos de respuesLus ;6
..z.1 RespuesLus ucLIvus ;6
..z.z RespuesLus pusIvus ;8
.. ObservucIones sobre Ius respuesLus ;8
...1 AspecLos de segurIdud ;q
...z uIsus uIurmus ;q
... AImucenumIenLo de regIsLros 8o
..q AdopcIn de poIiLIcus de respuesLu 8o
..q.1 nLermedIu o criLIcu 8o
..q.z OporLunu 8o
..q. urgo pIuzo - IocuI 81
..q.q urgo pIuzo - gIobuI 81
.q ReIerencIus 81
q Complementos y cusos especiules S,
q.1 Escuner de vuInerubIIIdudes 8;
q.1.1 Proceso de unuIIsIs 8;
q.1.z TIpos de unuIIsIs de vuInerubIIIdudes 88
q.1.z.1 AnuIIsIs de vuInerubIIIdudes busudo en muquInu 88
q.1.z.z AnuIIsIs de vuInerubIIIdudes busudo en red 8q
q.1.z. "Pussword cruckIng" q1
q.1.z.q VenLujus e InconvenIenLes q1
q.z "HoneypoL", "HoneyneL" y "Pudded CeII" qz

Iv
q.z.1 "HoneypoL" qz
q.z.1.1 VenLujus e InconvenIenLes q
q.z.z "HoneyneL" q
q.z.z.1 Gen q
q.z.z.z Gen q6
q.z.z. "HoneyneL" vIrLuuI q;
q.z.z.q VenLujus e InconvenIenLes 1oo
q.z. "Pudded CeII" 1o1
q.z..1 VenLujus e InconvenIenLes 1oz
q. VerIIIcudor de InLegrIdud de IIcIeros 1oz
q.q CorLuIuegos: PrevencIn de nLrusIones 1oz
q.q.1 DS busudo en red, en modo "In-IIne" 1o
q.q.z ConmuLudor de nIveI sIeLe 1o
q.q. CorLuIuegosJDS de upIIcucIn 1o6
q.q.q ConmuLudor IibrIdo 1o;
q.q. ApIIcucIn enguosu 1o8
q. ReIerencIus 1oq
g Cupucidudes y limituciones 11
.1 CupucIdudes 11
.z ImILucIones 11q
. ReIerencIus 11;
6 Implementucin 11q
6.1 SIsLemus de DeLeccIn de nLrusIones de red 11q
6.1.1 DeIunLe deI corLuIuegos exLerno 1zo
6.1.z DeLrus deI corLuIuegos exLerno 1z1
6.1. Redes prIncIpuIes 1zz
6.1.q Subredes de vuIor criLIco 1zz
6.1. MuquInus 1z
6.z SIsLemus de DeLeccIn de nLrusIones de muquInu 1zq
6. AIurmus 1z
6.q ReIerencIus 1z
, Aspectos legules 1,
;.1 SIsLemus IeguIes en eI mundo 1z;
;.1.1 DerecIo cIvII 1z8
;.1.z "Common Iuw" 1zq
;.1. DerecIo consueLudInurIo 1zq
;.1.q DerecIo MusuImun, DerecIo TuImdIco 1zq
;.1. DerecIo MIxLo 1zq
;.1.6 TerrILorIos no IndependIenLes 1zq
;.z OLros sIsLemus 1o
;.z.1 DerecIo penuI 1o
;.z.z DerecIo procesuI 1o
;. SILuucIn en Europu 1o
;.q SILuucIn en Espuu 11
;.q.1 egIsIucIn 11
;.q.1.1 DeIILos InIormuLIcos y eI CdIgo PenuI 11
;.q.1.z DeIILos InIormuLIcos y eI C.N.P. 1

v
;.q.1. egIsIucIn udIcIonuI 1q
;.q.z nLrusIones y Iu egIsIucIn espuoIu 1q
;.q. Cuerpos especIuIes 1
;.q.q NecesIdudes y deIIcIencIus 1
;. ReIerencIus 16
S Necesidudes, lineus de trubujo 1,
8.1 NormuIIzucIn 1;
8.1.1 CD 18
8.1.z CRSS 18
8.1. ormuLo de Ios duLos de uudILoriu 18
8.1..1 Ibro Nurunju, Ibro Murrn 18
8.1..z DES de DennIng 1q
8.1.. SVR q++ de SmuIu 1q
8.1..q BIsIop 1q
8.1.. ETJDWG 1q
8.1..6 MecunIsmos de uudILoriu 1q
8.z nLegrucIn 1qo
8. EscuIubIIIdud 1qo
8..1 TIempo 1qo
8..z EspucIo 1qo
8..z.1 GrDS 1q1
8.q AdmInIsLrucIn y gesLIn 1q1
8. AnuIIsIs 1qz
8..1 DeLecLores busudos en InLeIIgencIu urLIIIcIuI 1qz
8..z uIsus uIurmus 1q
8.. PoIiLIcus de sIsLemu 1q
8.6 IubIIIdud 1qq
8.6.1 uenLes de InIormucIn 1qq
8.6.z AnuIIsIs 1qq
8.6. RespuesLu 1q
8.6.q ComunIcucIones 1q6
8.; nLerIuz de usuurIo 1q6
8.8 ReIerencIus 1q;
q Iotoro 1qq
q.1 TruyecLorIu recorrIdu 1qq
q.z PerspecLIvus de IuLuro 1qq
q.z.1 DeIIcIencIus y necesIdudes 1o
q.z.1.1 uIsos posILIvos 1o
q.z.1.z EsLundurIzucIn 1o
q.z.1. EncrIpLucIn 11
q.z.1.q Nuevos proLocoIos 11
q.z.1. EscuIubIIIdud 11
q.z.1.6 DeLeccIn de unomuIius 1z
q.z.z CorreIucIn, composIcIn 1z
q. ReIerencIus 1q
1o Conclosiones 1gg

vI
Apndice A - Glosurio de trminos unglosujones 1g,
Apndice B - Glosurio 16,
Apndice C - BibliogruIiu 1S1
Apndice - Normutivu legul 1q,
Murco generuI 1q;
nLrusIones, uLuques 1q8
ey OrgunIcu 1oJ1qq, de z de novIembre, deI CdIgo PenuI 1qq
ey 1Jzooo, de ; de enero, de EnjuIcIumIenLo CIvII zoq
ey de 1q de sepLIembre de 188z, de EnjuIcIumIenLo CrImInuI. z11
Apndice I - Recorsos 1g
Ibros z1
Recursos WWW z1;
Apndice I - ndice
GNL Iree ocomentution License
Licenciu de ocomentucin Libre GNL {trudoccin) q1

vII
ndIce de IIgurus

Iguru 1-1 - SIsLemu de AudILorius BusIco
Iguru 1-z - SIsLemu de DeLeccIn de nLrusIones DIsLrIbuIdo (DDS) 1o
Iguru z-1 - Esquemu generuI de un SIsLemu de DeLeccIn de nLrusIones zo
Iguru z-z -TIpos prIncIpuIes de DS z1
Iguru -1 - EsLrucLuru de Ios regIsLros de uudILoriu BSM z
Iguru -z - EsLrucLuru de un InIorme ("record") de uudILoriu BSM z6
Iguru - - DIsposILIvo de escucIu de red y cubIe de sIo recepcIn q
Iguru -q - EscenurIos de conexIn de un rusLreudor
Iguru - - ModeIo OS y ArquILecLuru TCPJP 6
Iguru -6 - Cubeceru de un DuLugrumu nLerneL ;
Iguru -; - ormuLo de Iu cubeceru de TCP ;
Iguru -8 - DIugrumu generuI de un modeIo de gesLIn de segurIdud qz
Iguru -q - AcLIvIdudes de un sIsLemu: usos IndebIdos y unomuIius q
Iguru -1o - ModeIo generuI de un deLecLor de usos IndebIdos qq
Iguru -11 - EjempIo de dIugrumu II-LIen-eIse o
Iguru -1z - EsLrucLuru de Bro
Iguru -1 - DIugrumu de LrunsIcIones de esLudos q
Iguru -1q - ModeIo PeLrI-neL 6
Iguru -1 - EjempIo de puLrn de uLuque medIunLe eI Ienguuje PeLrI-neL ;
Iguru -16 - ArquILecLuru deI sIsLemu STAKER 8
Iguru -1; - ModeIo generuI de un deLecLor de unomuIius q
Iguru -18 - ALuques que deLecLu un IIILro de unomuIius de proLocoIo 61
Iguru -1q - GenerucIn de puLrones probubIes 66
Iguru -zo - Redes neuronuIes puru Iu deLeccIn de unomuIius 68
Iguru -z1 - ArquILecLuru deI sIsLemu AAD ;
Iguru q-1 - CIusIIIcucIn de unuIIzudores de vuInerubIIIdudes 88
Iguru q-z- ArquILecLuru de Nessus qo
Iguru q- - EjempIo de un "HoneypoL" (SIsLemu Lrumpu) q
Iguru q-q - ArquILecLuru "HoneyneL" Gen q6
Iguru q- - ArquILecLuru "HoneyneL" Gen q;
Iguru q-6 - "HoneyneL" vIrLuuI uuLo-conLenIdu qq
Iguru q-; - "HoneyneL" vIrLuuI IibrIdu 1oo

vIII
Iguru q-8 - ProcedImIenLo generuI de "BuIL und SwILcI" 1o1
Iguru q-q - NDS en modo de escucIu ("Tup mode") 1o
Iguru q-1o - NDS en modo en Iineu ("n-IIne mode") 1oq
Iguru q-11 - ProcedImIenLo generuI de "HogwusI" 1o
Iguru q-1z - ProcedImIenLo generuI de un conmuLudor de nIveI sIeLe 1o6
Iguru q-1 - CorLuIuegosJDS de upIIcucIn 1o;
Iguru q-1q - ProcedImIenLo generuI de un conmuLudor IibrIdo 1o8
Iguru q-1 - PS busudo en upIIcucIn enguosu ("decepLIve uppIIcuLIon") 1oq
Iguru 6-1 - SILuucIones de ImpIemenLucIn de un DS 1zo
Iguru 6-z - mpIemenLucIn progresIvu de HDS 1zq
Iguru ;-1 - SIsLemus IeguIes en eI mundo 1z8
Iguru q-1 - uenLes de InIormucIn comunes 1

Ix
ndIce de LubIus

TubIu z-1 - EjempIo de poIiLIcu de segurIdud procesuI 1
TubIu -1 - PermIsos en WIndows NT y WIndows zooo z;
TubIu -z - RegIsLros reIuLIvos u segurIdud en SoIurIs zq
TubIu - - EsLrucLuru de regIsLros C 1
TubIu -q - ConLenIdo de un Inodo deI sIsLemu de IIcIeros UNX (SysLem V)
TubIu - - Redes y muquInus esLundur en nLerneL 6
TubIu -6 - ormuLo de regIsLro W-1 qo
TubIu -; - CIusIIIcucIn de medIdus, con ejempIos, de DES q;
TubIu -8 - PIuLuIormus soporLudus por 5nof 1

puIubru nIcu puru indIce

1
NoLus deI uuLor
EI presenLe documenLo, IruLo de mI proyecLo de IIn de curreru, preLende descrIbIr Ios
uspecLos mus reIevunLes reIucIonudos con Ios SIsLemus de DeLeccIn de nLrusIones, LuIes como su
IIsLorIu, IuncIonumIenLo, venLujus e InconvenIenLes, ImpIemenLucIn, uspecLos IeguIes, o su IuLuro.
Por esLu ruzn, Iu Iubor de documenLucIn es IundumenLuI. Puru reuIIzur esLu Lureu con eI muxImo
rIgor, Ie opLudo por uLIIIzur Ius normus SO exIsLenLes en muLerIu de reIerencIus bIbIIogruIIcus, que
en concreLo son Iu SO 6qo:1q8; |1| (equIvuIenLe u Iu normu UNE o-1oq-qq) e SO 6qo-z |z|. En
Io reIerenLe u LrmInos en IngIs, Ie procurudo uLIIIzur en Iu medIdu de Io posIbIe sus equIvuIenLes
en cusLeIIuno. He dejudo Ios vocubIos mus comunes en su IdIomu orIgInuI, seguIdos de unu breve
descrIpcIn en cusLeIIuno. Con esLe IIn, Ie ucudIdo y consuILudo u dIversos proIesIonuIes, IIbros
como eI Diccioncrio Comentcdo de Terminoloc Injormcticc ||, eI Diccioncrio de idecs cjines
|q|y gIosurIos como ORCA (GIosurIo de nIormuLIcu ngIs-EspuoI) ||, y eI Gloscrio bcsico
inles-espcol pcrc usucrios de Internet |6|.
Por oLru purLe, me gusLuriu ugrudecer Iu coIuborucIn desInLeresudu de dIversos
proIesIonuIes y compueros durunLe eI Lrunscurso deI proyecLo. En especIuI u nmucuIudu Ivurez,
JuvIer de Iu Cuevu y unce SpILzner, por sus vuIIosus sugerencIus y eI LIempo que Iun dedIcudo u
resoIver pucIenLemenLe mIs dudus. TumbIn deseo mosLrur mI ugrudecImIenLo u mIs IumIIIures y
umIgos por su consLunLe InLers y upoyo, sIn Ios cuuIes, esLe documenLo no Iubriu sIdo posIbIe.

Dieo Gonzclez Gmez
dggomezusers.sourceIorge.neL
hffp://WWW.dgonza1ez.nef
HIsLorIu:
VersIn 1.o, JuIIo zoo: PrImeru versIn deI documenLo.
VersIn 1.o1, JuIIo zoo: Pequeus correccIones LIpogruIIcus.

|1| SO 6qo:1q8;, Injormction cnd documentction -- ibliorcphic rejerences -- Content, jorm cnd
structure.
|z| SO 6qo-z, Injormction cnd documentction -- ibliorcphic rejerences -- Pcrt z: Electronic
documents oj pcrts thereoj.
|| Aguudo de Ceu, GuuduIupe. Diccioncrio Comentcdo de Terminoloc Injormcticc. MudrId: PurunInIo,
1q8.
|q| CorrIpIo Prez, ernundo. Diccioncrio de idecs cjines. BurceIonu: Herder, S.A. , ugosLo de zooo.
|| VIIIuLe, JuIme E., DRCA - Gloscrio de Injormcticc Inles-Espcol. |en Iineu|. de DIcIembre, zooz
|consuILudo en Iebrero, zoo|. VersIn nmero z.1.16o. ILImu versIn dIsponIbIe en dIIerenLes
IormuLos en <hffp://quak.fe.up.pf/oca/>.
|6| ernundez CuIvo, RuIueI, Gloscrio bcsico inles-espcol pcrc usucrios de Internet. |en Iineu|. JuIIo,
zoo1. CuurLu edIcIn |consuILudo en Iebrero, zoo|. DIsponIbIe en IormuLo ASC en
<hffp://WWW.af1.es/novaf1ca/g1osa1o/g1osa1o1nfenef.fxf>.

nLroduccIn
Desde su InvencIn IusLu nuesLros dius, eI nmero de ordenudores Iu crecIendo IusLu
consoIIdurse como un InsLrumenLo cusI ImprescIndIbIe en Iu vIdu coLIdIunu deI Iombre. Su
versuLIIIdud, poLencIu de cuIcuIo y cudu vez mus IucII munejo Iucen de eIIos unu IerrumIenLu muy
ImporLunLe en grun vurIedud de ucLIvIdudes, desde Iu cIenLiIIcu u Iu IdIcu.
Con Iu posIbIIIdud de InLerconecLur mILIpIes ordenudores Iormundo redes, surgIeron
nuevos reLos y upIIcucIones. Es dIIicII ImugInurse Ioy uIgn bunco, IospILuI, o grun superIIcIe
comercIuI en un puis desurroIIudo, que no munLengu Ios duLos de sus cIIenLes o Iugun sus
LrunsuccIones de Iormu eIecLrnIcu. Hoy en diu Ios buncos Iucen uso de redes puru eIecLuur sus
operucIones IInuncIerus, Ios IospILuIes LIenen Ios IIsLorIuIes de sus pucIenLes en buses de duLos, y
mucIos comercIos esLun presenLes en nLerneL, de Iormu que cuuIquIer usuurIo deI pIuneLu puede
LunLo escoger eI producLo que deseu como pugurIo u Lruvs de Iu red. os duLos que munejun esLe
LIpo de empresus deben munLenerse u suIvo de cuuIquIer InLruso u Lodu cosLu. u segurIdud en esLe
LIpo de empresus LIene unu ImporLuncIu criLIcu.
u red ARPAneL, creudu por eI gobIerno esLudounIdense en 1q6q puru ucLIvIdudes de
desurroIIo y deIensu, seriu Iu precursoru de Iu que Ioy conocemos como nLerneL. En uqueI enLorno,
Iu segurIdud eru minImu. Se LruLubu de unu red compuesLu por unu pequeu comunIdud cuyos
mIembros erun de conIIunzu. u muyoriu de Ios duLos que se InLercumbIubun no erun
conIIdencIuIes, y mucIos usuurIos se conociun.
Por eI conLrurIo, Ius redes gIobuIes si requIeren un muyor nIveI de segurIdud. Munejun
noLubIes voImenes de InIormucIn, uLendIendo de Iormu IndependIenLe operucIones de dIsLInLos
puises que en mucIus ocusIones InLercumbIun duLos prIvudos. Es comn Iu exIsLencIu de servIdores
que dIurIumenLe recIben uIgn LIpo de uLuque con dIversos IInes, desde deLener sus servIcIos IusLu
obLener uIgn LIpo de duLo conIIdencIuI.
En esLe murco, Ius necesIdudes de segurIdud son ImporLunLes. Se debe munLener un no
sIempre IucII equIIIbrIo enLre recursos uLIIIzudos y prIvucIdud requerIdu. TumbIn deberiu ser Io
suIIcIenLemenLe IIexIbIe puru cumpIIr con Ios requIsILos necesurIos puru permILIr eI seguImIenLo de
Ios cuIpubIes u Lruvs de dIsLInLus jurIsdIccIones. EI ubunIco de medIdus y recursos LcnIcos
necesurIos puru esLubIecer eI escenurIo udecuudo de segurIdud es muy umpIIo, y Ios experLos Io
suben.
EI ureu de Ius uudILorius de segurIdud y deLeccIn de InLrusIones vIene sIendo mus
IndIspensubIe cudu diu. EsLus LecnoIogius no sIo IdenLIIIcun y rusLreun InLrusIones, sIno que
mejorun Iu esLubIIIdud y conIIunzu de oLros mecunIsmos de segurIdud deI sIsLemu que monILorIzun.
u deLeccIn de InLrusIones es eI proceso de monILorIzur Ios evenLos que ocurren en un
sIsLemu o red, puru unuIIzurIos en buscu de probIemus de segurIdud. EsLe LrmIno es upIIcubIe u
dIsLInLus ucLIvIdudes. ExIsLen uIurmus de Iudrones, o cumurus de vIgIIuncIu usudus por buncos o
comercIos. TumbIn se podriu uIIrmur que Iu deIensu mIIILur LumbIn enLru en esLu cuLegoriu.
Aunque Lodus eIIus perLenezcun u dIsLInLus ureus, LIenen curucLerisLIcus comunes: Lodus LIenen
IuncIones de vIgIIuncIu, uIurmu y emILen uIurmus cuundo un deLermInudo suceso LIene Iugur.
Introduccin
q
EsLu LecnoIogiu es reIuLIvumenLe joven, surgIendo en Ios uos 8o. Desde enLonces, Iun
upurecIdo unu enorme vurIedud de propuesLus que InLenLun dur soIucIn u esLe enIoque, Lun
compIIcudo como rIco en posIbIIIdudes.

CupiLuIo 1
1 HIsLorIu
"Todo tiempo pcscdo, jue cnterior."
Les Luthiers
Cuundo Iu genLe oye IubIur de SIsLemus de DeLeccIn de nLrusIones, generuImenLe Ios
usocIu u "uIurmus de Iudrones puru ordenudores o redes". Es IucII enLender un concepLo como esLe
usundo compurucIones sencIIIus. En reuIIdud, Iu expIIcucIn es busLunLe uproxImudu, y Ios usuurIos
que no se dedIcun u Iu segurIdud no necesILun suber mus. SIn emburgo, Ios experLos en segurIdud no
pueden comeLer eI error de conIormurse con uIgo Lun LrIvIuI, sIn Lener conocImIenLo uIguno sobre Iu
IIsLorIu de esLos sIsLemus.
u deLeccIn de InLrusIones es eI IruLo de Iu upIIcucIn deI ProcesumIenLo EIecLrnIco de
DuLos (EDP) u Ius uudILorius de segurIdud, uLIIIzundo mecunIsmos de IdenLIIIcucIn de puLrones y
mLodos esLudisLIcos. Es unu purLe ImprescIndIbIe en Ius modernus LecnoIogius de segurIdud de
redes.
AnLes de Iu deLeccIn de InLrusIones exIsLiun Ius uudILorius de segurIdud. u uudILoriu es eI proceso
de generur, uImucenur y revIsur evenLos de un sIsLemu cronoIgIcumenLe.
u Iguru 1-1 muesLru un esquemu sImpIe deI IuncIonumIenLo de un sIsLemu de uudILorius.
os evenLos de sIsLemu son cupLurudos por Ios generudores de uudILorius, que IIevun Ios duLos uI
eIemenLo encurgudo de guurdurIos en un IIcIero de "Iogs". EI unuIIzudor, en buse u unus poIiLIcus de
segurIdud, emILe Ios resuILudos u Lruvs de un LermInuI.

Eventos Sistema
Generador
auditoras
Logger Analizador
Polticas y
Control
Terminal de resultados
Logs de
auitora

Iigoru 1-1 - Sistemu de Aoditorius Bsico

DurunLe Ios comIenzos de Iu IIsLorIu de Ios ordenudores, esLus muquInus erun
reIuLIvumenLe escusus y muy curus. Su uso esLubu resLrIngIdo u LcnIcos e IngenIeros especIuIIzudos.
os prImeros sIsLemus de uudILorius Leniun como propsILo medIr eI LIempo que dedIcubun Ios
Ccptulo : Historic - :.: Auditorcs: el comienzo
6
operudores u usur Ios sIsLemus que monILorIzubun, con unu precIsIn de mIIsImus de segundo, y
serviun enLre oLrus cosus puru poder IucLururIes eI mIsmo.
1.1 AudILorius: eI comIenzo
A medIudos de Ios uos o Iu empresu "BeII TeIepIone SysLem", de EsLudos UnIdos, cre un
grupo de desurroIIo con eI objeLIvo de unuIIzur eI uso de Ios ordenudores en eI IuLuro en eI negocIo
de Ius empresus de LeIeIoniu. EsLe equIpo esLubIecI Iu necesIdud de uLIIIzur uudILorius medIunLe eI
ProcesumIenLo EIecLrnIco de DuLos (EDP), rompIendo con eI unLerIor sIsLemu busudo en Ios
LrudIcIonuIes InIormes de pupeI. EsLo IIzo que u IInuIes de Ios o Iu "BeII TeIepIone SysLem" se
emburcuru en eI prImer sIsLemu u grun escuIu de IucLurucIn LeIeInIcu conLroIudu por ordenudores.
|1|
EI DepurLumenLo de DeIensu de EEUU empIe numerosos recursos en Ios uos ;o puru Iu
InvesLIgucIn de poIiLIcus de segurIdud, dIrecLrIces y puuLus de conLroI de Io que denomInubun
"sIsLemus de conIIunzu". EsLos esIuerzos cuImInuron con Iu nIcIuLIvu de SegurIdud de 1q;;.
os SIsLemus de ConIIunzu son uqueIIos "sIsLemus que empIeun Ios suIIcIenLes recursos
Iurdwure y soILwure puru permILIr eI procesumIenLo sImuILuneo de unu vurIedud de InIormucIn
conIIdencIuI o cIusIIIcudu". |z|
En esLos sIsLemus se uIbergubun dIsLInLos LIpos de InIormucIn repurLIdu en nIveIes, que
correspondiun u su grudo de conIIdencIuIIdud.
En un prIncIpIo, Ios desurroIIudores no Leniun cIuro sI Ius uudILorius jugubun un pupeI
ImporLunLe en Iu segurIdud de un sIsLemu de conIIunzu. Mus Lurde, se LermIn IncIuyendo un
upurLudo sobre Ios mecunIsmos de Ius uudILorius en eI "TrusLed CompuLer SysLem EvuIuuLIon
CrILerIu" o TSCSEC || (Ibro Nurunju), como un requIsILo puru cuuIquIer sIsLemu de conIIunzu de
cIuse Cz o superIor. u serIe de documenLos deI DepurLumenLo de DeIensu de EEUU sobre SIsLemus
de ConIIunzu se conoce como Iu "serIe Arco rIs" ("RuInbow serIes") debIdo u Ios coIores de Ius Lupus
de Ios IIbros que pubIIcubun.
EI documenLo que LruLu eI Lemu de Ius uudILorius esLu IncIuIdo en eI "Ibro Murrn" LILuIudo
"A GuIde Lo UndersLundIng AudIL In TrusLed SysLems" |q|. En esLe IIbro se enumerun Ios cInco
objeLIvos de un mecunIsmo de uudILoriu:
PermILIr Iu revIsIn de puLrones de ucceso (por purLe de un objeLo o por purLe de un
usuurIo) y eI uso de mecunIsmos de proLeccIn deI sIsLemu.
PermILIr eI descubrImIenLo LunLo de InLenLos InLernos como exLernos de burIur Ios
mecunIsmos de proLeccIn.
PermILIr eI descubrImIenLo de Iu LrunsIcIn de usuurIo cuundo pusu de un menor nIveI de
prIvIIegIos u oLro muyor (eIevucIn de prIvIIegIos).
PermILIr eI bIoqueo de Ios InLenLos de Ios usuurIos por suILurse Ios mecunIsmos de
proLeccIn deI sIsLemu.
Ccptulo : Historic - :.z Los primeros Sistemcs de Deteccin de Intrusiones
;
ServIr udemus como unu gurunLiu IrenLe u Ios usuurIos de que Lodu Iu InIormucIn que se
recoju sobre uLuques e InLrusIones seru suIIcIenLe puru conLroIur Ios posIbIes duos
ocusIonudos en eI sIsLemu.
1.z os prImeros SIsLemus de DeLeccIn de
nLrusIones
A medIdu que eI nmero de ordenudores creciu, eI nmero de evenLos de sIsLemu u unuIIzur
eru LuI que esLu Lureu se voIviu IumunumenLe ImposIbIe. us uuLorIdudes mIIILures de
norLeumerIcunus se dIeron cuenLu de que eI uso cudu vez mus musIvo de ordenudores en sus
InsLuIucIones requeriu uIgn mecunIsmo que IucIIILuru Iu Iubor de Ios uudILores.
Jumes P. Anderson Iue Iu prImeru personu cupuz de documenLur Iu necesIdud de un
mecunIsmo que uuLomuLIzuru Iu revIsIn de Ios evenLos de segurIdud. DescrIbI eI concepLo de
"MonILor de ReIerencIus" en un esLudIo encurgudo por Ius uerzus Areus de EEUU, y reducL un
InIorme en 1q8o que seriu eI prImero de Ios IuLuros Lrubujos sobre deLeccIn de InLrusIones. Uno de
Ios objeLIvos de esLe InIorme eru Iu eIImInucIn de InIormucIn redundunLe o IrreIevunLe en Ios
regIsLros de sucesos
1
. ||
Anderson propuso un sIsLemu de cIusIIIcucIn que dIsLInguiu enLre uLuques InLernos y
exLernos, busudo en sI Ios usuurIos Leniun permIso de ucceso o no uI ordenudor. EsLos erun Ios
prIncIpuIes objeLIvos de Ios mecunIsmos de uudILoriu de segurIdud:
Debiun proporcIonur suIIcIenLe InIormucIn puru que Ios encurgudos de segurIdud
IocuIIzurun eI probIemu, pero no puru eIecLuur un uLuque.
Debiu ser cupuz de obLener duLos de dIsLInLos recursos de sIsLemu.
Puru evILur uLuques InLernos, debiu deLecLur usos IndebIdos ("mIsuse") o Iueru de Io normuI
por purLe de Ios usuurIos (o recursos).
EI dIseo deI mecunIsmo de uudILoriu debiu ser cupuz de obLener Iu esLruLegIu usudu por eI
uLucunLe puru enLrur en Ius cuenLus.
de un sIsLemu puru dur soIucIn uI probIemu de Ios InLrusos que se Iubiun upoderudo de
cuenLus de usuurIo IegiLImus. EI cuuI debiu dIsLInguIr enLre eI comporLumIenLo normuI o InusuuI de
Ius cuenLus busundose en puLrones de uso, creudos u purLIr deI unuIIsIs de esLudisLIcus de
comporLumIenLo de usuurIo. os sIsLemus posLerIores Lrubujuriun esLu Ideu. |6|
EI "nsLrusIon DeLecLIon ExperL SysLem" (DES), desurroIIudo enLre 1q8q y 1q86 por
DoroLIy DennIng y PeLer Neumunn, Iue un modeIo que deIIniu un sIsLemu de deLeccIn de
InLrusIones en LIempo reuI |;|. EsLe proyecLo, Iundudo enLre oLros por Iu MurInu esLudounIdense
proponiu unu correspondencIu enLre ucLIvIdud unmuIu y ubuso, o uso IndebIdo. EnLendIendo por
unmuIu, uqueIIu ucLIvIdud ruru o InusuuI en un conLexLo esLudisLIco. Usubu perIIIes puru descrIbIr u
Ios sujeLos deI sIsLemu (prIncIpuImenLe usuurIos), y regIus de ucLIvIdud puru deIInIr Ius uccIones que

1
EsLe mLodo es conocIdo en IngIs como "uudIL reducLIon".
Ccptulo : Historic - :.z Los primeros Sistemcs de Deteccin de Intrusiones
8
Leniun Iugur (evenLos de sIsLemu o LIempos de CPU). EsLos eIemenLos permILiun esLubIecer
medIunLe mLodos esLudisLIcos Ius puuLus de comporLumIenLo necesurIus puru deLecLur posIbIes
unomuIius. DES eru un sIsLemu IibrIdo porque uudiu un nIveI de segurIdud udIcIonuI medIunLe eI
uso de un sIsLemu experLo, busudo en regIus de segurIdud, que mInImIzubu Ios eIecLos de un InLruso
que InLenLuru eIudIr eI deLecLor de unomuIius.
EsLe modeIo Iue usudo puru eI proLoLIpo deI sIsLemu DES por "SR nLernuLIonuI", en eI
que Lrubujuron Teresu unL, R JuggunuLIun, PeLer Neumunn, HuroId JuvILz, y red GIIIum. |8|
En Ios uos ocIenLu upurecIeron numerosos sIsLemus de deLeccIn de InLrusIones. Desde
1q8q IusLu 1q8 un grupo de desurroIIo en SyLek dIrIgI un proyecLo denomInudo "AuLomuLed
AudIL AnuIysIs". ULIIIzubu InIormucIn recogIdu u nIveI de InLerIuz de comundos ("sIeII") de un
sIsLemu UNX, puru posLerIormenLe compururIos con unu buse de duLos. EsLos duLos se unuIIzubun
esLudisLIcumenLe puru demosLrur que se podiun deLecLur comporLumIenLos Iueru de Io normuI.
AIgunos InvesLIgudores deI proyecLo Lrubujuron mus Lurde en "SR nLernuLIonuI".
DIscovery Iue un sIsLemu creudo puru deLecLur e ImpedIr probIemus en Iu buse de duLos de
TRW. u novedud de DIscovery rudIcubu en que monILorIzubu unu upIIcucIn, no un sIsLemu
operuLIvo. ULIIIzubu mLodos esLudisLIcos escrILos en COBO puru deLecLur Ios posIbIes ubusos. Su
creudor Iue WIIIIum Tener. |q|
EI proyecLo HuysLuck, deI CenLro de SoporLe CrIpLoIgIco Ius uerzus Areus de EEUU Iue
usudo puru uyudur u Ios oIIcIuIes u enconLrur sIgnos de uLuques InLernos en Ios ordenudores
prIncIpuIes de sus buses. EsLus muquInus erun prIncIpuImenLe "muInIrumes" (servIdores
corporuLIvos) que munejubun InIormucIn no cIusIIIcudu pero conIIdencIuI. EI sIsLemu esLubu
escrILo en C ANS y SQ. ExumInubu Ios duLos de Iormu perIdIcu, recogIendo coIus de evenLos de
Iormu perIdIcu. ULIIIzubu dos Iuses de unuIIsIs puru deLecLur Ius posIbIes unomuIius. EI prIncIpuI
responsubIe deI proyecLo Iue SLeve SmuIu.|1o|
OLro proyecLo ImporLunLe Iue eI "MuILIcs nLrusIon DeLecLIon und AIerLIng SysLem"
(MDAS), creudo por eI NuLIonuI CompuLer SecurILy CenLer (NCSC). Se uLIIIz puru monILorIzur eI
sIsLemu NCSC's DockmusLer, un HoneywuII DPS 8J;o en eI que corriu uno de Ios sIsLemus
operuLIvos mus seguros de enLonces, un MuILIcs. AI IguuI que DES, MDAS uLIIIzubu un sIsLemu
IibrIdo en eI que combInubu LunLo Iu esLudisLIcu de unomuIius como regIus de segurIdud de un
sIsLemu experLo.
MDAS usubu un proceso de unuIIsIs progresIvo compuesLo por cuuLro nIveIes de regIus.
Ademus de esLus regIus, LumbIn conLubu con unu buse de duLos que usubu puru deLermInur sIgnos
de comporLumIenLo uLipIco. ue uno de Ios prImeros sIsLemus de deLeccIn de InLrusIones
conecLudos u nLerneL. ue pubIIcudo en Iu red en 1q8q y monILorIz eI MuInIrume DockmusLer en
1qqo. ConLrIbuy u IorLuIecer Ios mecunIsmos de uuLenLIcucIn de usuurIos. Ademus, no sIo Iubiu
conLrIbuIdo u mejorur Iu segurIdud conLru uLuques exLernos, sIno que LumbIn seguiu bIoqueundo
InLrusIones InLernus. |11|
"NeLwork AudIL DIrecLor und nLrusIon ReporLer" (NADR) Iue desurroIIudo en uboruLorIo
NucIonuI de os AIumos, puru monILorIzur eI "nLegruLed CompuLIng NeLwork" (CN). EsLu red
esLubu InIcIuImenLe compuesLu por unos q.ooo usuurIos. NADR usubu LcnIcus de deLeccIn
sImIIures u Ios sIsLemus de su LIempo como eI DES o MDAS. ue uno de Ios sIsLemus con mus
xILo de Ios uos ocIenLu. u prIncIpuI responsubIe de NADR Iue KuLIIeen Juckson.
Ccptulo : Historic - :. Unin de sistemcs de deteccin bcscdos en mcquinc bcscdos en red
q
EI "NeLwork SysLem MonILor" (NSM) Iue desurroIIudo en Iu UnIversIdud de CuIIIornIu puru
Lrubujur en unu esLucIn UNX de Sun. ue eI prImer sIsLemu de deLeccIn de InLrusIones que
monILorIzubu eI LruIIco de red, uLIIIzundo Ios duLos deI propIo LruIIco como prIncIpuI IuenLe de
duLos. os unLerIores sIsLemus uLIIIzubun Ios evenLos de sIsLemu o regIsLrubun Ius puIsucIones de
LecIudo. EI IuncIonumIenLo deI NSM, que mucIos sIsLemus de deLeccIn de InLrusIones de red
uLIIIzun Ioy en diu, se puede descrIbIr en esLos pusos:
Poniu eI dIsposILIvo de red en modo promIscuo ("promIscuous mode"), de Iormu que
monILorIzuru Lodo eI LruIIco que recIbIeru, IncIuIdo eI que no Ibu dIrIgIdo uI sIsLemu.
CupLurubu Ios puqueLes de red.
denLIIIcubu eI proLocoIo uLIIIzudo puru poder exLruer Ios duLos necesurIos (P, CMP, eLc.).
ULIIIzubu un enIoque busudo en muLrIces puru urcIIvur y unuIIzur Ius curucLerisLIcus de Ios
duLos, en buscu LunLo de vurIucIones esLudisLIcus que reveIurun un comporLumIenLo
unmuIo como de vIoIucIones de regIus yu preesLubIecIdus.
Unu de Ius pruebus que se IIcIeron con eI NSM dur dos meses. MonILorIz mus de 111.ooo
conexIones, y deLecL correcLumenLe mus de oo posIbIes InLrusIones. Como duLo sIgnIIIcuLIvo, y
puru enIuLIzur Iu necesIdud deI uso de esLe LIpo de sIsLemus, Iuy que seuIur que Ios
udmInIsLrudores no IIeguron u percIbIr nI eI 1% de dIcIus InLrusIones.
os prIncIpuIes responsubIes deI NSM Iueron KurI evILL, Todd HeberIeIn, y BIswunuLI
MukIerjee de Iu UnIversIdud de CuIIIornIu. |1z|
EI sIsLemu "WIsdom und Sense" Iue un deLecLor de unomuIius creudo en eI uboruLorIo
NucIonuI de os AIumos en cooperucIn con eI uboruLorIo NucIonuI de Ouk RIdge. ULIIIzubu
LcnIcus no purumLrIcus ("nonpurumeLrIc LecInIques"), que erun LcnIcus esLudisLIcus que no
Iuciun suposIcIones sobre Iu dIsLrIbucIn de Ios duLos. Usubun esLe mLodo puru creur su propIo
conjunLo de regIus. uego unuIIzubu Ios "Iogs" de Ius uudILorius en buscu de excepcIones de esus
regIus, Ius cuuIes esLubun orgunIzudus en "urruys" con Iormu de urboI. DeIIniun Io que eru eI
comporLumIenLo normuI desde un punLo de vIsLu cronoIgIco de Ios duLos de uudILoriu. |1|
1. UnIn de sIsLemus de deLeccIn busudos en
muquInu y busudos en red
Como Iemos vIsLo, durunLe Ios comIenzos de Iu deLeccIn de InLrusIones, Iu muyoriu de Ios
sIsLemus esLubun pensudos puru monILorIzur "IosLs" (muquInus). SuIvo uIgunus excepcIones como
eI mencIonudo NSM, que empez u uLIIIzur eI LruIIco de red como objeLIvo de vIgIIuncIu.
A purLIr de Ios uos qo, eI rupIdo crecImIenLo de Ius redes de ordenudores IIzo que
surgIerun nuevos modeIos de deLeccIn de InLrusIones. os duos provocudos por eI Iumoso gusuno
de nLerneL en 1q88, uyuduron u que unIerun esIuerzos Ius ucLIvIdudes comercIuIes y ucudmIcus en
buscu de soIucIones de segurIdud en esLe cumpo |1q|. EI prImer puso puru Iu IusIn de sIsLemus de
deLeccIn busudos en muquInu y red Iue eI "DIsLrIbuLed nLrusIon DeLecLIon SysLem" (DDS).
EI DDS Iue IruLo deI esIuerzo y Iu coIuborucIn de grundes enLIdudes como eI CenLro de
SoporLe CrIpLoIgIco de Ius uerzus Areus de EEUU, EI uboruLorIo NucIonuI de uwrence
Ccptulo : Historic - :.( Apcricin de productos comercicles
1o
Ivermore, Iu UnIversIdud de CuIIIornIu y Ios uboruLorIos HuysLuck. ue eI prImer sIsLemu cupuz
de Iucer que un grupo de segurIdud pudIeru monILorIzur Ius vIoIucIones e InLrusIones de segurIdud
u Lruvs de Ius redes. EI prIncIpuI responsubIe de esLe proyecLo Iue SLeve SmuIu. |1|
EI objeLIvo InIcIuI deI DDS eru proporcIonur medIos que permILIerun cenLruIIzur eI conLroI
y pubIIcucIn de resuILudos en un conLroIudor cenLruI.
Gestor de
comunicaciones
Sistema
Experto
Interfaz de
usuario
Agente de
Host
Generador
eventos de
Host
Agente de
LAN
Generador
eventos de
LAN
Encargado
de
seguridad
Gestor DIDS
Monitores de Hosts Monitor de LAN

Iigoru 1- - Sistemu de eteccin de Introsiones istriboido {IS)
EI DDS uIronL dIversos probIemus. os mus ImporLunLes esLubun reIucIonudos con eI
IecIo de Lener que regIsLrur evenLos usocIudos u dIsLInLus muquInus u Io Iurgo de Iu red. Un
uLucunLe sueIe uprovecIurse de Ius redes puru dIsLrIbuIr sus uLuques, reuIIzundo sLos desde
dIsLInLus muquInus. EI DDS Iue eI prImer sIsLemu cupuz de reIucIonur Ios evenLos que recIbiu puru
poder deLecLur unu posIbIe InLrusIn. Ademus, reuniu Iu InIormucIn de Iormu que eru posIbIe Iucer
un seguImIenLo deI posIbIe InLruso. EsLo permILiu su uso puru poder ser IdenLIIIcudo y perseguIdo
por Iu Iey.
Puru soIvenLur eI probIemu de reIucIonur Ios evenLos que Leniun Iugur en Ios dIsLInLos
nIveIes de ubsLruccIn de Iu red, eI DDS uLIIIzubu un modeIo de deLeccIn de InLrusIones
esLruLIIIcudo en seIs nIveIes que dIsLInguiun Ios dIsLInLos LIpos de duLos.
1.q ApurIcIn de producLos comercIuIes
AIrededor de 1qqo, Luvo Iugur Iu upurIcIn de Ios prImeros progrumus de deLeccIn de
InLrusIones puru uso comercIuI. AIgunus empresus Ios desurroIIubun puru ocupur unu posIcIn
desLucudu en eI umbILo de Iu segurIdud, y oLrus puru mejorur Ios nIveIes exIgIdos por Iu NCSC.
Ccptulo : Historic - :. Rejerencics
11
EnLre Ios producLos mus Iumosos de uqueIIu pocu cube mencIonur eI "CompuLer WuLcI"
desurroIIudo por Iu empresu AT&T, eI "nIormuLIon SecurILy OIIIcer's AssIsLunL" (SOA) de PRC y eI
"CIyde VAX AudIL" por CIyde DIgILuI (Iuego RAXCO, y mus Lurde AxenL).
1. ReIerencIus
|1| Wussermun, JosepI J. The Vcnishin Trcil. BeII TeIepIone MuguzIne q;, no. q, JuIy - AugusL 1q68: 1z -
1.
|z| NuLIonuI CompuLer SecurILy CenLer. Glossc oj Computer Securit Terms. VersIn 1, RuInbow SerIes,
ocLubre 1q88.
|| NuLIonuI CompuLer SecurILy CenLer. Depcrtment oj Dejense Trusted Computer Sstem Etcluction
Criteric. Orunge Book, DOD zoo.z8-sLd, December 1q8.
|q| NuLIonuI CompuLer SecurILy CenLer. A Guide to Understcndin cudit in Trusted Sstems. VersIn z,
June 1q88.
|| Anderson, Jumes, P. Computer Securit Technolo Plcnnin Stud. ESD-TR-;-1, v . EIecLronIc
SysLems DIvIsIon, AIr orce SysLems Commund, Hunscom IIed, BedIord, MA, ocLubre 1q;z.
|6| Anderson, Jumes P. Computer Securit Threct Monitorin cnd Surteillcnce. orL WusIIngLon, PA:
Jumes P. Anderson Co., 1q8o.
|;| DennIng, DoroLIy E. An Intrusion Detection Model. ProceedIngs oI LIe 1q86 EEE SymposIum on
SecurILy und PrIvucy, OukIund, CA, AprII 1q86.
|8| SR nLernuLIonuI. Sstem Desin Lcborctor Lcborctor - Intrusion Detection. |en Iineu|. ecIu no
dIsponIbIe |consuILudo en enero, zoo|. NexL-GeneruLIon DES (NDES). DIsponIbIe desde nLerneL
<hffp://WWW.sd1.s1.com/pogams/1nfus1on/h1sfoy.hfm1>.
|q| Tener, WIIIIum T. Discoter: An Expert Sstem in the Commercicl Dctc Securit Entironment.
ProceedIngs oI LIe P SecurILy ConIerence, MonLe CurIo, 1q86.
|1o| SmuIu SLeve E. An Intrusion Detection Sstem jor the Air Iorce. ProceedIngs oI LIe ourLI Aurospuce
CompuLer SecurILy AppIIcuLIons ConIerence, OrIundo, , December 1q88.
|11| SebrIng, MIcIueI M., E. SIeIIIouse, M. E. Hunnu, und R. A. WIILeIursL. Expert Sstems in Intrusion
Detection: A Ccse Stud. ProceedIngs oI LIe EIevenLI NuLIonuI CompuLer SecurILy ConIerence,
WusIIngLon, DC, OcLober 1q88.
|1z| HeberIeIn, Todd. Netuorl Securit Monitor (NSM) - Iincl Report. uwrence Ivermore NuLIonuI
uboruLory, DuvIs, CA, ebruury 1qq.
|1| Vuccuro, Henry S. und G. E. IepIns. Detection oj Anomclous Computer Session Actitit. ProceedIngs
oI LIe 1q8q EEE SymposIum on SecurILy und PrIvucy, OukIund, CA, Muy 1q8q.
|1q| SpuIIord, Eugene H. The Internet Worm: Crisis cnd Ajtermcth, CommunIcuLIons oI LIe ACM; z(6):
6;8 - 68;, June 1q8q.
|1| Snupp, S.R. eL uI. DIDS (Distributed Intrusion Detection Sstem) - Motitction, Architecture, cnd An
Ecrl Prototpe. ProceedIngs oI LIe IILeenLIe NuLIonuI CompuLer SecurILy ConIerence, BuILImore,
MD, OcLober 1qqz.

1
CupiLuIo z
z DeIInIcIones
u deLeccIn de InLrusIones es eI proceso de monILorIzur redes de ordenudores y sIsLemus
en buscu de vIoIucIones de poIiLIcus de segurIdud |1|. os sIsLemus de deLeccIn de InLrusIones esLun
compuesLos por Lres eIemenLos IuncIonuIes busIcos:
Unu IuenLe de InIormucIn que proporcIonu evenLos de sIsLemu.
Un moLor de unuIIsIs que buscu evIdencIus de InLrusIones.
Un mecunIsmo de respuesLu que ucLu segn Ios resuILudos deI moLor de unuIIsIs.
u deLeccIn de InLrusIones es Iu evoIucIn de Ius uudILorius LrudIcIonuIes. EI LrmIno
uudILur, en IngIs "uudIL", y esLe deI IuLin "uudire" (oir), se deIIne como "ExumInur Iu gesLIn
econmIcu de unu enLIdud u IIn de comprobur sI se ujusLu u Io esLubIecIdo por Iey o cosLumbre". |z|
En LrmInos de segurIdud InIormuLIcu, IIevur u cubo Iu uudILoriu de un sIsLemu sIgnIIIcu
exumInur y unuIIzur eI rusLro de uudILoriu ("uudIL LruII") que generu eI sIsLemu operuLIvo y oLros
eIemenLos deI sIsLemu. u revIsIn de Ios evenLos se IIevubu u cubo enLre oLros moLIvos puru
usegururse de que no se vIoIubun unu serIe de poIiLIcus de segurIdud. Cuundo se enconLrubu uIgunu
IrreguIurIdud, surgiun nuevos eIemenLos busIcos que cubrIr:
ResponsubIIIdudes: EnconLrur eI responsubIe de provocur Iu vIoIucIn.
EvuIuucIn de duos: VerIIIcur Ios probIemus provocudos en eI sIsLemu y de qu Iormu
Iueron reuIIzudos.
RecuperucIn: Qu uccIones son necesurIus puru recuperur eI esLudo normuI.
A medIdu que Ius muquInus se Iueron IucIendo mus rupIdus y compIejus, eI nmero de
sucesos u unuIIzur eru LuI que no podiu IIevurse u cubo de Iu muneru LrudIcIonuI. Por esLu ruzn se
desurroIIuron mecunIsmos cudu vez mus eIIcuces puru sImpIIIIcur Iu Iubor de Ios uudILores de
sIsLemus. os prImeros sIsLemus que se encurgubun de esLu Iubor uLIIIzubun soIucIones busudus en
LcnIcus de reduccIn de evenLos y puLrones esLudisLIcos. EsLe uspecLo esLu expIIcudo mus u Iondo
en eI cupiLuIo 1.
z.1 TrmInos de segurIdud
AnLes de Iucer que un sIsLemu o red seu seguro, prImero es necesurIo deIInIr Io que se
enLIende por LrmInos como segurIdud, conIIunzu, vuInerubIIIdud, eLc.
z.1.1 SegurIdud, dos punLos de vIsLu
u segurIdud se puede enLender desde dos punLos de vIsLu; eI prucLIco y eI IormuI.
Ccptulo z Dejiniciones - z.: Terminos de seuridcd
1q
Desde unu perspecLIvu prucLIcu, un sIsLemu seguro es "uqueI con que se cuenLu que ucLe de
Iu muneru esperudu". EsLe punLo de vIsLu LIene unus expIicILus ImpIIcucIones de conIIunzu. Pero Iu
conIIunzu no se puede medIr. No podemos conIIur en que un sIsLemu se comporLe como debe.
NudIe nos puede usegurur que un sIsLemu se esLu comporLundo como reuImenLe LIene que IucerIo.
Segn eI enIoque IormuI, mus precIso, Iu segurIdud se deIIne u Lruvs de unu "Lriudu de
concepLos": conjidenciclidcd, interidcd disponibilidcd.
u conIidenciulidud ImpIIcu que Iu InIormucIn seu uccedIdu excIusIvumenLe por eI
personuI uuLorIzudo u Iu mIsmu.
u integridud consIsLe en Iu necesIdud de munLener Iu InIormucIn InuILerudu.
u disponibilidud se reIIere u Iu necesIdud de oIrecer un servIcIo InInLerrumpIdumenLe,
de Iormu que puedu ser uccedIdo en cuuIquIer momenLo y desde cuuIquIer Iugur, evILundo en Io
posIbIe que uIgn LIpo de IncIdencIu deLengu eI mIsmo.
z.1.z ConIIunzu
OLro uspecLo muy ImporLunLe en Iu segurIdud de sIsLemus es Iu conIIunzu. u conIIunzu es Iu
esperunzu que se LIene de que un sIsLemu se comporLe como reuImenLe deberiu. EsLubIecer
reIucIones de conIIunzu sIn gurunLius conIIevu Iu upurIcIn de vuInerubIIIdudes, que se convIerLen en
poLencIuIes umenuzus.
z.1. VuInerubIIIdud
us vuInerubIIIdudes son deIIcIencIus o ugujeros de segurIdud deI sIsLemu que pueden ser
uLIIIzudus puru vIoIur Ius poIiLIcus de segurIdud. ExIsLen mucIos LIpos de vuInerubIIIdudes. Pueden
ser debIdus u probIemus en eI dIseo de unu upIIcucIn, bIen de soILwure o de Iurdwure. O LumbIn
pueden ser debIdus u un pIun poco exIuusLIvo o InsuIIcIenLe de poIiLIcus de sIsLemu.
z.1.q Amenuzu
us umenuzus son eI resuILudo de expIoLur Ius vuInerubIIIdudes. Unu umenuzu es unu
sILuucIn que LIene Iu cupucIdud de perjudIcur o duur uI sIsLemu. Aunque LunLo Ius umenuzus como
Ius vuInerubIIIdudes esLn muy reIucIonudus, no son Io mIsmo. u deLeccIn de InLrusIones se debe
encurgur de IdenLIIIcur y responder u umbus.
z.1. PoIiLIcus de segurIdud
us poIiLIcus de segurIdud son eI resuILudo de documenLur Ius expecLuLIvus de segurIdud. EI
concepLo de segurIdud, como se expIIc unLes, esLu reIucIonudo con eI comporLumIenLo esperudo de
un sIsLemu. Se puede uIIrmur que Ius poIiLIcus de segurIdud InLenLun pIusmur de uIgunu muneru en
eI mundo reuI, Ios concepLos ubsLrucLos de segurIdud.
Huy dos Iormus de deIInIr Ius poIiLIcus de segurIdud: procesuI (o dIrecLIvu) y IormuI.
1
u poIiLIcu de segurIdud procesuI consIsLe en pIusmur de Iormu prucLIcu Ius Ideus o
IIIosoIius de Iu empresu en cuunLo u segurIdud. Aqui ubujo se puede observur eI IuncIonumIenLo
busIco de esLu Iormu de enLender Ius poIiLIcus de segurIdud.

Politicu Procedimiento Prcticu
Se munLendru ucLuuIIzudo eI
servIdor Web en cuunLo u
segurIdud.
Se comproburu dIurIumenLe
sI exIsLen purcIes de
segurIdud deI servIdor Web,
en cuyo cuso se upIIcurun.
NecesILumos proLeger
nuesLro servIdor Web conLru
uccesos no uuLorIzudos.
Se InsLuIuru un DS conIIgurudo
puru comprobur que Iu ucLIvIdud
en eI servIdor Web es normuI.
Se InsLuIuru Iu ILImu versIn
deI "5nof", y se upIIcurun Ios
cumbIos de conIIgurucIn
perLInenLes puru concenLrur
Iu vIgIIuncIu especIuImenLe en
eI servIdor Web.
Tublu -1 - Ijemplo de politicu de segoridud procesul
Huy que seuIur que Ios objeLIvos de Iu poIiLIcu de segurIdud de un sIsLemu son sImIIures u
Ios de Ios cdIgos IeguIes. Ambos preLenden proLeger u Ios usuurIos IegiLImos deI sIsLemu de Ios
deIIncuenLes. us poIiLIcus de segurIdud se escrIben en Ienguuje InIormuI, no de Iormu muLemuLIcu.
Unu poIiLIcu de segurIdud IormuI es un modeIo muLemuLIco deI sIsLemu que uburcu Lodos
Ios posIbIes esLudos y operucIones usi como un esquemu de cmo cudu esLudo y operucIn pueden
Lener Iugur. DeIInIr esLe LIpo de poIiLIcu de segurIdud es unu urduu Iubor. Es mus upropIudu puru Ios
dIseudores de sIsLemus de deLeccIn de InLrusIones porque, uI esLur deIInIdu de unu Iormu precIsu,
es mus IucII de LruducIr en puLrones de deLeccIn. Ademus, esLu Iormu de descrIbIr eI sIsLemu uyudu
uI dIseudor u escoger eI LIpo de InIormucIn que se debe recopIIur puru eI unuIIsIs.
z.1.6 EIemenLos de Iu InIruesLrucLuru de segurIdud
Aunque Iu deLeccIn de InLrusIones puedu ser uno de Ios sIsLemus mus ImporLunLes en eI
umbILo de Iu segurIdud, no es Iu soIucIn deIInILIvu. ExIsLen oLros eIemenLos que uyudun en Iu Iubor
de munLener un sIsLemu seguro, sIn Ios cuuIes no se podriu obLener un nIveI upropIudo de
IIubIIIdud. En unu InsLuIucIn IisIcu seguru, como un edIIIcIo, se uLIIIzun muLerIuIes robusLos puru
su consLruccIn. Se sILun venLunus de Iormu que no seun IucIImenLe uccesIbIes por Iudrones. Se
coIocun burrerus y conLroIes de ucceso uIrededor de Iu InsLuIucIn. En eI InLerIor, udemus, se
dIspone de sIsLemus de vIgIIuncIu y uIurmus, usi como de personuI debIdumenLe equIpudo que
puLruIIu conLInuumenLe Iu InsLuIucIn. EsLe LIpo de proLeccIn se encuenLru u dIurIo en buncos o
InsLuIucIones mIIILures.
Aunque se conLuru con Ios mejores equIpos de uIurmu de Iudrones deI mundo, u nudIe se Ie
ocurrIriu pensur que podriun susLILuIr uI resLo de eIemenLos de Iu InIruesLrucLuru de segurIdud deI
compIejo.
Pues bIen, esLo mIsmo ocurre con Ios ordenudores y Ius redes de duLos. Huy numerosos
componenLes y IuncIones que Iormun purLe deI InLrIncudo pIun de esLruLegIus de proLeccIn de un
sIsLemu. AIgunos de Ios cuuIes se comenLun u conLInuucIn.
16
z.1.6.1 ConLroI de ucceso
EI conLroI de ucceso resLrInge eI ucceso u objeLos segn Ios permIsos de ucceso deI sujeLo. Se
dIvIde en ConLroI de Acceso ObIIguLorIo (MAC), en eI que Ios permIsos de ucceso Ios proporcIonu eI
sIsLemu; y eI ConLroI de Acceso DIscrecIonuI (DAC), en eI que Ios permIsos de ucceso Ios conLroIu y
conIIguru eI propIeLurIo deI objeLo.
z.1.6.z denLIIIcucIn y AuLenLIcucIn
os mecunIsmos de IdenLIIIcucIn y uuLenLIcucIn (&A) posIbIIILun Iu IdenLIIIcucIn
udecuudu de sujeLos y objeLos uI sIsLemu.
EsLos eIemenLos se pueden dIvIdIr en Lres cuLegorius, dependIendo de Ios duLos que
necesILen: Io que subes, Io que LIenes, Io que eres. Todus y cudu unu de Ius cuLegorius ImpIIcu un
secreLo que sIo conocen eI sIsLemu y eI usuurIo. SI eI secreLo deI usuurIo coIncIde con eI que guurdu
eI sIsLemu, se vuIIdu Iu IdenLIdud deI usuurIo y se obLIene permIso de ucceso uI sIsLemu.
"o que subes" se corresponde con eI mecunIsmo busIco de &A, en eI que cudu sujeLo se
IdenLIIIcu y uuLenLIIIcu con un nombre de usuurIo y unu conLruseu. DesgrucIudumenLe, esLe
mecunIsmo Iu demosLrudo ser IneIIcuz unLe vurIos uLuques, como "pussword-cruckers"
(rompedores de conLruseus) o Lroyunos que cupLurun ucLIvIdud de LecIudo. EsLu LcnIcu de
uuLenLIcucIn esLu sIendo IenLumenLe reempIuzudu por oLrus mus robusLus, de conocImIenLo cero
que evILun eI ucLo de pusur eI secreLo en si mIsmo. ||
u sIguIenLe cuLegoriu, "Io que LIenes" se puede ejempIIIIcur cIurumenLe en sIsLemus "Loken-
bused" (busudos en LesLIgos), LuIes como Ios que necesILun eI uso de unu LurjeLu InLeIIgenLe, unu
cIuve ("key"), un dIsco especIuI. MucIos de esLos LesLIgos se Iun dIseudo puru uLIIIzur medIos
crIpLogruIIcos y soporLes IisIcos resIsLenLes puru proLegerse de uLuques o supIunLucIones de
IdenLIdud (enmuscurumIenLo).
Por ILImo "Io que eres" represenLu u Ios mecunIsmos de &A que uLIIIzun eIemenLos
bIomLrIcos LuIes como Iu voz, IueIIus ducLIIures, o reLInu.
os procesos de uuLenLIcucIn LumbIn se uLIIIzun puru proporcIonur segurIdud, y no sIo
puru dur ucceso uI sIsLemu u Ios usuurIos. Ademus, LumbIn sIrven u Ios sIsLemus de deLeccIn de
InLrusIones puru deLecLur sI Ios comporLumIenLos sospecIosos son InIcIudos por usuurIos IegiLImos
o InLrusos.
z.1.; CIIrudo
EI cIIrudo es probubIemenLe eI mLodo mus unLIguo uLIIIzudo puru proLeger InIormucIn.
No sIo permILe ocuILur InIormucIn u sujeLos no uuLorIzudos, sIno que permILe deLecLur posIbIes
uILerucIones, InLencIonudus o uccIdenLuIes, en Iu mIsmu.
EI cIIrudo es eI proceso por eI cuuI un documenLo en cIuro, someLIdo u un uIgorILmo de
cIIrudo con unu cIuve, du Iugur u un documenLo cIIrudo. Aunque eI cIIrudo proLege en grun medIdu
Iu InIormucIn, no puede evILur que seu eIImInudu de Iormu muIInLencIonudu. No puede proLeger eI
documenLo unLes de ser cIIrudo nI despus de ser descIIrudo. Ademus, es compIeLumenLe InLII sI Iu
cIuve es descubIerLu.
Ccptulo z Dejiniciones - z.z Motitos que oriincn problemcs de seuridcd
1;
z.1.8 CorLuIuegos
os corLuIuegos proporcIonun unu burreru de segurIdud enLre redes de dIsLInLos nIveIes de
conIIunzu o segurIdud, uLIIIzundo poIiLIcus de conLroI de ucceso de nIveI de red. os eIemenLos que
enLrun en esLe grupo son por ejempIo Ios servIdores "proxy", IIILros de puqueLes de red, LneIes de
duLos cIIrudos (LumbIn conocIdos como Redes PrIvudus VIrLuuIes (VPN)). os corLuIuegos IIILrun
puqueLes de red, permILIendo o denegundo su puso segn Ius poIiLIcus esLubIecIdus. TumbIn Iucen
LruduccIones de dIreccIones, permILIendo munLener ocuILu Iu conIIgurucIn InLernu de unu red
IocuI.
z.z MoLIvos que orIgInun probIemus de
segurIdud
os probIemus de segurIdud pueden deberse u unu enorme vurIedud de ruzones. No
obsLunLe, Iu eLIoIogiu de Iu grun muyoriu de Ios probIemus de segurIdud se dIvIde en Lres cuLegorius:
dIseoJdesurroIIo, gesLIn, y conIIunzu.
z.z.1 DIseo o desurroIIo
os probIemus orIgInudos por un dIseo o desurroIIo IneIIcuces uIecLun LunLo uI soILwure
como uI Iurdwure. Un ejempIo de esLo Io Lenemos en Ius LurjeLus InLeIIgenLes que uIbergun cIuves de
cIIrudo. Se Iu conseguIdo exLruer mucIus de esLus cIuves de Ius LurjeLus reproducIendo eI reIoj
udecuudo y vurIundo eI voILuje de uIgunus seuIes eIcLrIcus de enLrudu. OLro ejempIo cIusIco es eI
que ocurre cuundo un usuurIo muIIcIoso subsLILuye un vuIor en un progrumu en eI InLervuIo de
LIempo en que esLe no Io esLu usundo. EsLe IuIIo se denomInu condIcIn de curreru ("ruce
condILIon"), y LIene Iugur cuundo upurece un InLervuIo enLre eI momenLo de creucIn de un vuIor y
eI de su cIequeo. OLro ejempIo Iumoso es eI que consIsLe en desbordur eI "buIIer" de enLrudu de unu
deLermInudu upIIcucIn, pusundoIe como urgumenLos unos purumeLros InLencIonudumenLe Iurgos,
provocundo Iu cuidu deI progrumu y consIguIendo enLrur uI sIsLemu, cusI sIempre con prIvIIegIos de
udmInIsLrudor.
MucIos de esLos probIemus se pueden prevenIr medIunLe unu sIIdu IormucIn en
mecunIsmos de dIseo y desurroIIo seguro, y someLIendo u Ios producLos u duros conLroIes de
cuIIdud.
z.z.z GesLIn
En esLe grupo enLrun Ios probIemus debIdos u unu IncorrecLu conIIgurucIn deI sIsLemu o de
cuuIquIer mecunIsmo encurgudo de proLegerIo. Son de indoIe dIversu, como por ejempIo unu
Inudecuudu upIIcucIn de Ios permIsos de Ios urcIIvos de sIsLemu o unu pIunLIIIu de segurIdud
demusIudo permIsIvu. TumbIn enLruriun uqui sILuucIones en Iu que bIen Ios udmInIsLrudores o Ios
usuurIos sorLeun Ios mecunIsmos de segurIdud de uIgunu muneru. Por ejempIo, cuundo en unu red
IocuI, proLegIdu medIunLe un corLuIuegos, uIguIen decIde uLIIIzur un mdem puru esLubIecer unu
conexIn con eI exLerIor. EsLu conexIn esLu, nuLuruImenLe, burIundo Ios conLroIes esLubIecIdos por
eI udmInIsLrudor.
Ccptulo z Dejiniciones - z. Elementos de lc deteccin de intrusiones
18
z.z. ConIIunzu
os probIemus mus ugudos son Ios reIucIonudos con Iu conIIunzu. Y mucIus veces ocurren
por no dIIerencIur enLre eI enLorno de desurroIIo y eI de de produccIn. Como ejempIo esLu eI
sIsLemu operuLIvo UNX. DurunLe sus comIenzos, Iue desurroIIudo en un enLorno unIversILurIo. Con
eI puso deI LIempo, sIn emburgo, surgIeron expecLuLIvus comercIuIes puru esLe sIsLemu. Yu no Ibu u
ser uLIIIzudo excIusIvumenLe por progrumudores o IngenIeros de sIsLemus. AI prIncIpIo Ios
dIseudores conIIubun en que Ios usuurIos uLIIIzurun eI sIsLemu segn Ius especIIIcucIones, en un
deLermInudo enLorno bujo unus curucLerisLIcus especIuIes. os usuurIos conIIubun en que IubIeru
un udmInIsLrudor conLroIundo eI sIsLemu de Iormu IIubIe y compeLenLe. Pero qu pusubu cuundo se
rompiu esLu conIIunzu? EsLe escenurIo sIgue LenIendo Iugur, provocundo IuIIos de segurIdud.
z. EIemenLos de Iu deLeccIn de InLrusIones
z..1 ArquILecLuru
A Iu Ioru de proLeger un sIsLemu busundose en Ios regIsLros que se unuIIzun medIunLe unu
uudILoriu requIere que esLos regIsLros seun uImucenudos de unu Iormu seguru en un enLorno
dIsLInLo uI deI sIsLemu proLegIdo. EsLe requIsILo Io cumpIe cuuIquIer sIsLemu de deLeccIn de
InLrusIones con un minImo de cuIIdud. EsLo se Iuce por vurIus ruzones. Puru evILur que eI InLruso
puedu eIImInur Ios regIsLros, puru evILur que eI InLruso puedu uILerur Iu InIormucIn conLenIdu en
Ios regIsLros y puru no perjudIcur con eI mecunIsmo de deLeccIn de InLrusIones eI rendImIenLo deI
sIsLemu u proLeger.
En esLe LIpo de urquILecLuru eI sIsLemu que ejecuLu eI sIsLemu de deLeccIn de InLrusIones se
denomInu "IosL" y eI sIsLemu monILorIzudo "LurgeL" (objeLIvo).
z..z uenLes de duLos, monILorIzucIn
u IuenLe de duLos es unu de Ius prImerus cosus u Lener en cuenLu u Iu Ioru de dIseur un
sIsLemu de deLeccIn de InLrusIones. EsLus IuenLes se pueden cIusIIIcur de mucIus munerus. En Io
que respecLu u Iu deLeccIn de InLrusIones Ius cIusIIIcuremos por IocuIIzucIn. De esLu Iormu, Iu
monILorIzucIn de sIsLemus, y por LunLo Iu deLeccIn de InLrusIones, se puede dIvIdIr en cuuLro
cuLegorius: "IosL", red, upIIcucIn y objeLIvo. Usuremos eI LrmIno "monILorIzur" como eI ucLo de
recoger duLos de unu deLermInudu IuenLe y envIurIos u un moLor de unuIIsIs.
Monitores busudos en mqoinu {"host bused"): Recogen Ios duLos generudos
por un ordenudor, normuImenLe u nIveI deI sIsLemu operuLIvo. os regIsLros de sucesos
y Ius coIus de uudILoriu perLenecen u esLe grupo.
Monitores busudos en mltiples mqoinus {"molti-host bused"): Como su
propIo nombre IndIcu, uLIIIzu Iu InIormucIn recogIdu en dos o mus muquInus. Su
enIoque es muy sImIIur uI busudo en muquInu, con Iu dIIIcuILud uudIdu de Lener que
coordInur Ios duLos de vurIus IuenLes.
1q
Monitores busudos en redes {"network bused"): CupLurun puqueLes de red. Puru
eIIo, normuImenLe se uLIIIzun dIsposILIvos de red en modo promIscuo, convIrLIendo uI
sIsLemu en un "snIIIer" o rusLreudor.
Monitores busudos en uplicucin {"upplicution bused"): RegIsLrun Iu ucLIvIdud
de unu deLermInudu upIIcucIn. Por ejempIo, Ios regIsLros de un servIdor ILp.
Monitores busudos en objetivos {"turget bused"): EsLos monILores dIIIeren
IIgerumenLe deI resLo porque generun sus propIos regIsLros. ULIIIzun IuncIones de
cIIrudo puru deLecLur posIbIes uILerucIones de sus objeLIvos, y conLrusLun Ios resuILudos
con Ius poIiLIcus. EsLe mLodo es especIuImenLe LII cuundo se usu conLru eIemenLos
que, por sus curucLerisLIcus, no permILen ser monILorIzudos de oLru Iormu.
Monitores hibridos {"hybrid"): CombInun dos o mus IuenLes de dIsLInLo LIpo. Cudu
vez es mus IrecuenLe enconLrurse con producLos de deLeccIn de InLrusIones busudos en
esLe punLo de vIsLu. Asi, umpIiun sus posIbIIIdudes de deLeccIn.
ExIsLen producLos que combInun vurIus esLruLegIus de monILorIzucIn. EsLus soIucIones se
denomInun soluciones intercdcs.
Huy que uudIr que exIsLen sIsLemus de deLeccIn de InLrusIones que recIben eI nombre de
NND ("NeLwork Node nLrusIon DeLecLor"), es decIr, etector de Introsiones de Nodo de
Red. En reuIIdud, son un cuso especIuI de Iu deLeccIn busudu en red. EsLe nombre se upIIcu cuundo
eI monILor busudo en red se sILu en un "IosL", monILorIzundo Ios puqueLes desLInudos u orIgInudos
por Iu muquInu unIILrIonu. Unu de Ius ruzones mus ImporLunLes puru Iucer esLo es puru sorLeur eI
probIemu de Ius encrIpLucIones durunLe Iu comunIcucIn, yu que eI LruIIco es cIIrudo o descIIrudo
por eI propIo "IosL". Un deLecLor busudo en red convencIonuI no podriu unuIIzur eI LruIIco en un
punLo InLermedIo enLre dos nodos que cIIrurun sus comunIcucIones. os NNDS son LumbIn LIIes
en enLornos de red con conmuLudores ("swILcIes") en Ios que un "IosL", uunque esL en modo
promIscuo, sIo percIbe eI LruIIco desLInudo u I. En eI sIguIenLe cupiLuIo, en eI upurLudo .1.z.1
"PuqueLes de red", se comenLu en deLuIIe esLe ILImo uspecLo.
z.. TIpos de unuIIsIs
Despus deI proceso de recopIIucIn de InIormucIn, se IIevu u cubo eI proceso de unuIIsIs.
u deLeccIn de InLrusIones LumbIn se puede cIusIIIcur segn Ios objeLIvos deI moLor de unuIIsIs.
os dos LIpos prIncIpuIes de unuIIsIs son:
eteccin de osos indebidos {"misose"): Puru enconLrur usos IndebIdos se
compurun jirmcs
1
con Iu InIormucIn recogIdu en buscu de coIncIdencIus.
eteccin de unomulius: Puru Iu deLeccIn de unomuIius se munejun LcnIcus
esLudisLIcus que deIInen de Iormu uproxImudu Io que es eI comporLumIenLo usuuI o
normuI.

1
PuLrones de uLuques conocIdos.
zo
u sIguIenLe IIguru muesLru un esquemu generuI de deLecLor de InLrusIones de usos
IndebIdos (medIunLe compurucIn de puLrones) y de unomuIius.
Fuentes de datos
Fuentes de datos
Generador de
Alarmas/Informes
Comparador de
patrones
Generador de
perfiles
Reglas de
seguridad
Detector de
anomalas

Iigoru -1 - Isqoemu generul de on Sistemu de eteccin de Introsiones

u muyoriu de Ios deLecLores son de usos IndebIdos, unomuIius o unu mezcIu de umbos.
AIgunus empresus esLun empezundo u uLIIIzur LumbIn LcnIcus especiIIcus puru Iu deLeccIn de
uLuques de denegucIn de servIcIo (DoS), dudus sus curucLerisLIcus especIuIes.
ApurLe deI unuIIsIs busudo en IIrmus y esLudisLIcus, LumbIn exIsLe eI unuIIsIs de interidcd.
EsLe es eI mLodo uLIIIzudo por Ius IerrumIenLus de cIequeo de InLegrIdud de IIcIeros, que
compIemenLun u Ios SIsLemus de DeLeccIn de nLrusIones. EsLus IerrumIenLus deLecLun cumbIos en
IIcIeros u objeLos, uLIIIzundo mecunIsmos robusLos de encrIpLucIn LuIes como IuncIones resumen
("IusI IuncLIons").
OLro enIoque u Iu Ioru de dIsLInguIr Iormus de deLeccIn de InLrusIones es LenIendo en
cuenLu eI uso que Iucen Ios unuIIsIs deI tiempo:
Por lotes {"butch mode"): Cudu InLervuIo de LIempo se procesu unu porcIn de Ios
duLos recIbIdos, envIundo Ius posIbIes uIurmus de InLrusIones despus de que Iuyun
ocurrIdo.
Tiempo reul: os duLos son exumInudos en eI LIempo en que son recIbIdos (o con un
reLurdo minImo). u upurIcIn de Ios unuIIsIs en LIempo reuI IIzo posIbIe Ius respuesLus
uuLomuLIcus.
z1
z..q RespuesLus
EI mecunIsmo de respuesLu, expIIcudo en deLuIIe en eI cupiLuIo , es oLro de Ios IucLores que
uyudun u deIInIr eI LIpo de sIsLemu de deLeccIn de InLrusIones:
Respoestus pusivus: En esLe cuso, eI deLecLor no Lomu uccIones que puedun cumbIur
eI curso de un uLuque. En vez de esLo, se IImILu u envIur o regIsLrur Iu uIurmu
correspondIenLe uI responsubIe cuuIIIIcudo.
Respoestus uctivus: PerLenecen esLu cuLegoriu uqueIIos sIsLemus que, udemus de
generur Iu uIurmu correspondIenLe, reuccIonun modIIIcundo eI enLorno. Un ejempIo de
esLe LIpo de respuesLu ucLIvu consIsLe en eI bIoqueo de Ius uccIones deI InLruso, o eI
cIerre de Iu sesIn deI usuurIo sospecIoso.
z.. CIusIIIcucIn generuI
o vIsLo IusLu uIoru permILe reuIIzur unu cIusIIIcucIn de Ios DSs segn dIversos crILerIos.
Aunque Iuy mus Iormus de cIusIIIcur esLos sIsLemus, se Iun sInLeLIzudo Ius mus comunes en Iu
IIguru u conLInuucIn:

Sistema de
Deteccin de
Intrusiones
Fuentes de Informacin
Anlisis
Respuesta
Basados en mquina
Basados en red
Basados en aplicacin
Uso indebido
Anomala
Pasiva
Activa

Iigoru - -Tipos principules de IS

z..6 ObjeLIvos
os objeLIvos de Iu deLeccIn son oLro IucLor u Lener en cuenLu en eI unuIIsIs de Iu deLeccIn
de InLrusIones.
Ccptulo z Dejiniciones - z.( Rejerencics
zz
SI udemus de deLecLur posIbIes errores de segurIdud, se preLende perseguIr uI uLucunLe
medIunLe uccIones IeguIes, es ImporLunLe dedIcur LIempo u Iu upropIudu conservucIn y IormuLo de
Ios regIsLros generudos por eI sIsLemu. SI, por eI conLrurIo, sIo se deseu munLener seguro eI
sIsLemu, uLIIIzundo Ius posIbIes InLrusIones puru corregIr Ios posIbIes errores que puedun Ir
surgIendo, Ios duLos de Ius uudILorius se pueden eIImInur.
Por oLru purLe, como yu se comenL, Iu mejoru de Ius cupucIdudes de proceso Iu IecIo
posIbIe eI unuIIsIs en LIempo reuI. EsLo Iu permILIdo desurroIIur mecunIsmos uuLomuLIcos de
respuesLu unLe posIbIes uLuques, como por ejempIo denegundo eI ucceso u un posIbIe InLruso, o
reIIejundo conLru eI uLucunLe Ios uLuques reuIIzudos. EsLos mLodos se descrIben con mus deLuIIe en
cupiLuIos posLerIores.
z..; ConLroI
u Iormu de udmInIsLrur un sIsLemu de deLeccIn de InLrusIones es oLro eIemenLo u Lener en
cuenLu. ExIsLen dos ucercumIenLos, segn eI sIsLemu monILorIce mILIpIes "IosLs" o redes: Iu
cenLruIIzucIn y Iu InLegrucIn con IerrumIenLus de gesLIn de redes.
u cenLruIIzucIn consIsLe en concenLrur Ius IuncIones de conLroI en un nodo, que dIrIge u
Ios demus eIemenLos de deLeccIn de InLrusIones. Puru esLe punLo de vIsLu es necesurIo esLubIecer
comunIcucIones segurus enLre Ios eIemenLos deI sIsLemu. TumbIn es necesurIo poder mosLrur Ios
resuILudos recogIdos por Lodos Ios eIemenLos de Iormu coIerenLe y cIuru.
OLru Iormu de soIucIonur eI conLroI de Iu deLeccIn de InLrusIones cenLruIIzudu es Iucer que
Iorme purLe de Ius IuncIones de gesLIn de redes. MucIos producLos comercIuIes de deLeccIn de
InLrusIones oIrecen Iu posIbIIIdud de generur mensujes SNMP (ProLocoIo de GesLIn de Redes
SImpIe) puru Iu IerrumIenLu de cupLuru de gesLIn de redes.
z.q ReIerencIus
|1| Buce, R. Intrusion Detection. MucmIIIun TecInIcuI PubIIsIIng, zooo.
|z| ReuI AcudemIu EspuoIu. Diccioncrio de lc lenuc Espcolc. Espusu CuIpe, S.A. 1qqq.
|| H. DunIscI. The Exponenticl Securit Sstem TESS: An Identit-csed Crptorcphic Protocol jor
Authenticcted Ke-Exchcne (E..S.S.-ReporL 1qqJq). |en Iineu|. AgosLo, 1qq |consuILudo en Iebrero,
zoo|. CupiLuIo .1, Zero KnowIedge AuLIenLIcuLIon. CuLegoriu InIormuLIvu.
<hffp://WWW.1eff.og/fc/fc791.fxf>.

z
CupiLuIo
ModeIo de IuncIonumIenLo
En esLe cupiLuIo se descrIbe en deLuIIe eI modeIo mus ucepLudo puru Iu deLeccIn de
InLrusIones. TIene Lres IuncIones prIncIpuIes, Iu Iuse de recogIdu de duLos (IuenLes de InIormucIn),
Iu Iuse de unuIIsIs, y Iu Iuse de respuesLu. En Iineus generuIes, puru que Iu deLeccIn de InLrusIones
puedu obLener buenos resuILudos, debe IIevur u cubo un proceso de recopIIucIn de InIormucIn,
que posLerIormenLe deberu someLer u dIversus LcnIcus de unuIIsIs, y en IuncIn de Ios duLos
obLenIdos Lendru que dur uIgn LIpo de respuesLu.
.1 uenLes de InIormucIn
Como se comenL en eI cupiLuIo unLerIor, Iu deLeccIn de InLrusIones se puede cIusIIIcur
segn Ius IuenLes de InIormucIn que uLIIIzu. Aqui se esLudIurun Ios cusos perLenecIenLes u Iu
recopIIucIn de duLos busudos en muquInu, en red, y en IuenLes exLernus como sIsLemus de
segurIdud IisIcos. ExpIIcudos en ese orden, se LruLun Ius cupus de menor u muyor nIveI de
ubsLruccIn.
NInguno de Ios sIsLemus de deLeccIn de InLrusIones en purLIcuIur es mejor que Ios oLros.
u eIeccIn de unu deLeccIn de InLrusIones busudu en muquInu, red o cuuIquIer oLru, depende de
Ius necesIdudes purLIcuIures. A veces busLu con InsLuIur un deLecLor en uIgunos Lrumos de red,
mIenLrus que en oLrus ocusIones es necesurIo IncremenLur Iu segurIdud recogIendo duLos de Ius
muquInus.
.1.1 uenLes de InIormucIn busudus en muquInu
EsLe LIpo de IuenLes de InIormucIn consIsLen prIncIpuImenLe en regIsLros de uudILoriu de
sIsLemus operuLIvos (regIsLros generudos por mecunIsmos deI sIsLemu operuLIvo), y Ios regIsLros de
sIsLemu (IIcIeros generudos por eI sIsLemu y upIIcucIones, generuImenLe IIcIeros de LexLo generudos
Iineu u Iineu). os monILores busudos en mILIpIes "IosLs" uLIIIzun Ius mIsmus IuenLes, por Io que
Ios upurLudos u conLInuucIn LumbIn son upIIcubIes u esLos.
.1.1.1 RegIsLros de uudILoriu
EI prImer eIemenLo de ImporLuncIu en sIsLemus de deLeccIn busudos en muquInu son Ios
regIsLros de uudILoriu. EsLos regIsLros son unu coIeccIn de InIormucIn sobre Ius ucLIvIdudes deI
sIsLemu, creudos cronoIgIcumenLe y dIspuesLos en un conjunLo de IIcIeros de uudILoriu. EsLos
regIsLros son orIgInudos por Ios usuurIos y Ios procesos y comundos que esLos Invocun. MucIos de
Ios regIsLros de uudILoriu Iueron creudos orIgInuImenLe puru cumpIIr Ios requIsILos deI Progrumu de
EvuIuucIn de ProducLos IubIes (TCSEC), unu InIcIuLIvu deI gobIerno esLudounIdense. EI TCSEC,
LumbIn conocIdo como Ibro Nurunju, deIIne Ius curucLerisLIcus requerIdus por Ios sIsLemus
operuLIvos de uso comercIuI y Ius upIIcucIones de soILwure que conLuvIerun o procesurun
InIormucIn cIusIIIcudu. |1|
Ccptulo Modelo de juncioncmiento - .: Iuentes de injormccin
zq
Por uqueI enLonces, eI Ibro Nurunju presenLubu un probIemu, yu que presenLubu exLensos
requerImIenLos de uudILoriu, pero no Ius dIrecLrIces puru su uLIIIzucIn. IsLubu unu grun cunLIdud
sucesos que debiun ser regIsLrudos, pero posLerIormenLe no expIIcubu Iu Iormu de seIeccIonurIos.
Tumpoco expIIcubu de qu modo o con qu esLrucLuru debiun ser uImucenudos Ios regIsLros de
uudILoriu. Por Io LunLo, Ios IubrIcunLes creuron numerosus y vurIudus soIucIones puru cumpIIr Ios
requerImIenLos de uudILoriu de Iu cIuse Cz
1
. os desurroIIudores de deLeccIn de InLrusIones que se
IumIIIurIzubun con Ios regIsLros de uudILoriu de un sIsLemu operuLIvo no comprendiun Ios regIsLros
generudos por oLro sIsLemu, que podiu esLur cumpIIendo Ios mIsmos requerImIenLos.
os IubrIcunLes uLIIIzuron uI menos dos soIucIones en sus sIsLemus de uudILoriu. Unu creubu
regIsLros "uuLnomos", que no necesILubun de oLros regIsLros puru su InLerpreLucIn. u eIImInubu
InIormucIn redundunLe en Ios regIsLros uImucenundo Iu InIormucIn de un evenLo en regIsLros
mILIpIes.
os sIsLemus de deLeccIn de InLrusIones Iucen un uso ImporLunLe de Iu InIormucIn
conLenIdu en Ios regIsLros de uudILoriu. DesgrucIudumenLe, grun purLe de Ios sIsLemus operuLIvos
comercIuIes exIsLenLes no cumpIen con Ios requIsILos de uudILoriu necesurIos, u pesur de Iu
documenLucIn que Iuy sobre eI Lemu. EsLo dIIIcuILu Iu Iubor u Ios desurroIIudores de deLeccIn de
InLrusIones. AIgunos Iun sugerIdo que puru unu deLeccIn de InLrusIones busudu en muquInu seu
eIecLIvu es necesurIo uudIr IuncIonuIIdudes uI ncIeo deI sIsLemu puru que genere Iu InIormucIn
de uudILoriu necesurIu. EsLo provocu cosLes en eI rendImIenLo deI sIsLemu, y cosLes usocIudos uI
munLenImIenLo de Ius uILerucIones de Ios sIsLemus operuLIvos. |z|
No obsLunLe, mucIos desurroIIudores preIIeren uLIIIzur Ios regIsLros de uudILoriu IrenLe
oLrus IuenLes de InIormucIn por vurIus ruzones. Unu de eIIus es que Iu propIu esLrucLuru deI
sIsLemu operuLIvo esLu dIseudu puru oLorgur suIIcIenLe segurIdud uI sIsLemu de uudILoriu, y Ios
regIsLros que esLe generu. OLro de Ios moLIvos que Ies IIevun u esLu decIsIn es que eI sIsLemu de
uudILoriu Lrubuju u bujo nIveI, por Io que oIrece muyor nIveI de deLuIIe que eI que puede oIrecer oLro
mecunIsmo.
SIn emburgo, es ImporLunLe resuILur que obLener duLos excesIvumenLe deLuIIudos dIIIcuILu Iu
dIIerencIucIn enLre Ius ucLIvIdudes orIgInudus dIrecLumenLe por usuurIos y uqueIIus orIgInudus por
progrumus que Iun Lomudo Iu IdenLIdud de un usuurIo. Huy numerosos uLuques que expIoLun Iu
cupucIdud de Ios progrumus puru usumIr Iu IdenLIdud de un usuurIo que LIene muyores prIvIIegIos
que eI ucLuuI. Puru deLecLur esLu cIuse de uLuques, Iu IuenLe de duLos debe proporcIonur suIIcIenLe
InIormucIn puru permILIr Iu dIIerencIucIn enLre usuurIo y proceso.
.1.1.z ConLenIdo de Ios regIsLros de uudILoriu
os evenLos de sIsLemu conLIenen InIormucIn sobre Iu ucLIvIdud deI sIsLemu como deI
objeLo que Iu Iu orIgInudo. os sIsLemus operuLIvos comercIuIes guurdun evenLos u nIveI de ncIeo
(IIumudus de sIsLemu) y u nIveI de usuurIo (evenLos de upIIcucIn). Puru IdenLIIIcur u Ios procesos y u
Ios usuurIos, se proporcIonu InIormucIn Inequivocu sobre Ios procesos e IdenLIIIcudores de usuurIo
(userD). A veces IncIuso se regIsLru eI userD orIgInuI, y eI userD udopLudo por eI proceso, sI esLe
Iu cumbIudo.

1
u cIuse Cz, descrILu en eI Ibro Nurunju, perLenece u Ius cIuses de "ProLeccIn DIscrecIonuI" (LIpo
C). DeIIne unu serIe de cupucIdudes de uudILoriu reIerenLes uI conLroI de ucceso y Iuce responsubIes
u Ios usuurIos de sus uccIones.
z
A conLInuucIn se expIIcuru Iu esLrucLuru deI sIsLemu de uudILoriu de dos sIsLemus
operuLIvos: Sun, eI BusIc SecurILy ModuIe (BSM) y WIndows NT.
.1.1.z.1 SoIurIs BSM
EI MduIo de SegurIdud BusIco de Sun se Iu dIseudo puru cumpIIr Ios requIsILos deI
TCSEC Cz.
u esLrucLuru deI subsIsLemu de uudILoriu de BSM consIsLe en un regIsLro ("Iog") de
uudILoriu, vurIos IIcIeros de uudILoriu, InIormes ("records") de uudILoriu, y LesLIgos ("Lokens") de
uudILoriu.
Un regIsLro de uudILoriu consIsLe en un conjunLo de IIcIeros de uudILoriu, que u su vez esLun
compuesLos por vurIos InIormes de uudILoriu. EsLos InIormes, como se veru mus udeIunLe, esLun
Iormudos por vurIos LesLIgos de uudILoriu.

Audit Log
Audit File
Audit Record
Audit File
Audit File
Audit File
Audit Record
Audit Record
Audit Record
Audit Token
Audit Token
Audit Token
System
Attribute
Audit File
Audit Record
Audit Token

Iigoru -1 - Istroctoru de los registros de uoditoriu BSM

Cudu InIorme de uudILoriu se uImucenu en IormuLo bInurIo y descrIbe cudu evenLo ocurrIdo,
e IncIuye InIormucIn LuI como quIn IIzo Iu uccIn, qu IIcIeros esLun InvoIucrudos, qu uccIn
Luvo Iugur y dnde y cmo sucedI. ||
u Iguru -z muesLru eI conjunLo de LesLIgos que consLILuyen un InIorme de uudILoriu.

z6
Header Token
Argument Token
Data Token
Subject Token
Audit Record
Return Token

Iigoru - - Istroctoru de on inIorme {"record") de uoditoriu BSM

Huy evenLos generudos u nIveI de ncIeo ("kerneI-IeveI uudIL evenLs") y u nIveI de usuurIo
("user-IeveI uudIL evenLs"). u esLrucLuru de umbos es sImIIur.
Puru IucIIILur Iu Iubor de Iu uudILoriu, Ios evenLos esLun orgunIzudos por cIuses ("uudIL
cIusses"). ExIsLen z cIuses de uudILoriu.
Puru conIIgurur Iu uudILoriu se uLIIIzun IndIcudores de uudILoriu ("uudIL IIugs"), que
permILen especIIIcur qu cIuses evenLos uudILur.
EI sIsLemu operuLIvo oIrece uIgunus IerrumIenLus puru Iu gesLIn de Ios evenLos de
uudILoriu. De esLu muneru, se puede uLIIIzur eI comundo paud1f puru LruducIr Ios IIsLorIuIes de
uudILoriu uImucenudos en bInurIo en un IormuLo IegIbIe puru eI usuurIo. Por oLru purLe,
aud1feduce permILe reuIIzur IIILrudos de Ios evenLos generudos, u purLIr de purumeLros como
InLervuIos de LIempo, deLermInudos IdenLIIIcudores de usuurIos, o deLermInudos evenLos de
sIsLemu.
.1.1.z.z WIndows NTJzooo
EsLe sIsLemu operuLIvo generu Lres LIpos de evenLos de sIsLemu:
EvenLos de sIsLemu operuLIvo.
EvenLos de segurIdud.
EvenLos de upIIcucIn.
os eventos de sistemu son Ios que generun Ios componenLes de WIndows. Son sucesos
reIucIonudos con IuIIos de conLroIudores u oLros objeLos de sIsLemu, prdIdu de duLos, probIemus
con eI regIsLro, eLc. EsLos LIpos de evenLos son predeLermInudos por eI sIsLemu operuLIvo.
os eventos de uplicucin son Ios generudos por Ius dIIerenLes upIIcucIones deI sIsLemu.
Por ejempIo, InIormucIn usocIudu u unu buse de duLos, un unLIvIrus, o unu operucIn de copIu de
segurIdud. EsLos evenLos Ios deIInen Ios desurroIIudores de soILwure, y Ios "soILwure LooIkILs"
(conjunLos de IerrumIenLus "soILwure") Ies uyudun en esLu Iubor.
os eventos de segoridud son Ios que LIenen especIuI reIevuncIu en muLerIu de
segurIdud. EsLun dIseudos u purLIr de Ius deIInIcIones deI TCSEC (cIuse Cz). EsLos evenLos LIenen
z;
que ver con uccesos u objeLos, InIcIos y cIerres de sesIn, cumbIo de poIiLIcus de sIsLemu, eLc. A
dIIerencIu de Ios oLros LIpos de sucesos, esLos sIo pueden ser uccedIdos por udmInIsLrudores, y son
Ios mus ImporLunLes puru Ios deLecLores de InLrusIones.
os regIsLros de evenLos de WIndows esLun Iormudos por IIsLorIuIes de evenLos. Cudu
IIsLorIuI LIene unu cubeceru, seguIdu de unu descrIpcIn y, u veces, duLos udIcIonuIes. u cubeceru
LIene Ios sIguIenLes cumpos. u muyoriu son uuLo expIIcuLIvos: ecIu, Horu, Nombre de UsuurIo,
nombre de MuquInu, D de evenLo, uenLe (unu upIIcucIn, un servIcIo de sIsLemu, un conLroIudor),
TIpo (IndIcu Iu gruvedud deI evenLo: un error, un uvIso, unu InIormucIn, xILo, Irucuso), CuLegoriu
(uLIIIzudo prIncIpuImenLe en evenLos de segurIdud puru IndIcur qu evenLo Iu LenIdo xILo o
Irucuso).
AI IguuI que pusu con eI sIsLemu operuLIvo SoIurIs de Sun, WIndows NT proporcIonu vurIos
eIemenLos puru Iucer mus IIevuderu Iu uudILoriu. ExIsLen mecunIsmos de IIILrudo de sucesos.
TumbIn es posIbIe ordenurIos, uscendenLe o descendenLemenLe, segn Ios dIsLInLos eIemenLos que
componen cudu evenLo. Se pueden deIInIr purumeLros LuIes como eI Lumuo deI urcIIvo deI regIsLro
de evenLos, y cmo se debe comporLur eI sIsLemu en cuso de IIenurse, pudIndose deLenerse
InmedIuLumenLe o sobrescrIbIr Ios mus unLIguos.

Permission Types {Windows NT) Permission
Components
{Windows NT und
Windows ooo)
Reud (R)
WrILe
(W)
ExecuLe
(X)
DeIeLe
(D)
CIunge
PermIssIon
s (P)
Tuke
OwnersII
p (O)
Truverse oIder J
ExecuLe IIe

IsL oIder J
Reud DuLu

Reud ALLrIbuLes

Reud ExLended
ALLrIbuLes

CreuLe IIes J
WrILe DuLu

CreuLe oIders J
Append DuLu

WrILe ALLrIbuLes

WrILe ExLended
ALLrIbuLes

DeIeLe SubIoIders und
IIes

DeIeLe

Reud PermIssIons

CIunge PermIssIons

Tuke OwnersIIp

Tublu -1 - Permisos en Windows NT y Windows ooo

z8
u TubIu -1 muesLru Iu reIucIn enLre Ios permIsos busIcos de WIndows NT (IecLuru,
escrILuru, ejecucIn, eLc.) y Ios dIsLInLos componenLes de permIsos, IndIcudos u Iu IzquIerdu,
Iormudos u purLIr de combInucIones de uqueIIos.
EsLubIecer unu poIiLIcu de uudILoriu eIIcuz no es LrIvIuI. Aunque se podriun uudILur Lodos Ios
eIemenLos deI sIsLemu, ruru vez es Iu soIucIn udecuudu. Por unu purLe, LuI medIdu Lendriu un
ImporLunLe ImpucLo en eI rendImIenLo deI sIsLemu. Ademus, de esLu Iormu se generun mucIos mus
evenLos, que en mucIos cusos son IrreIevunLes o InLIIes, enLurbIundo Iu cIurIdud de Ios duLos y
sobrecurgundo Iu Iuse de unuIIsIs.
.1.1. EI probIemu de Iu reduccIn de uudILoriu
u reduccIn de uudILoriu, en ungIosujn "uudIL reducLIon", LIene Iugur cuundo se preLende
eIImInur InIormucIn redundunLe o no necesurIu de Ios regIsLros de uudILoriu.
Un duLo cIuve puru IIevur u cubo Iu reduccIn de uudILoriu es eI de InLroducIr deLermInIsmo
en procesos reIuLIvumenLe no deLermInIsLus. Es decIr, sI subemos que un suceso A sIempre sueIe
venIr seguIdo de oLros eIemenLos dudos (U, V, W) bujo cIerLus condIcIones (R, S), podemos
deLermInur eI suceso: A ocurre bujo condIcIones R, S seguIdo de U, V, W, uI suceso A.
DesgrucIudumenLe, eI deLermInIsmo no sIempre es upIIcubIe. EspecIuImenLe en enLornos
muILILureu. Por ejempIo, en UNX de Sun, un sImpIe comundo de uILo nIveI, como 1s, en unu
esLucIn de Lrubujo puede generur mus de mII IIsLorIuIes de uudILoriu. SI esLe comundo se repILe en
unos segundos puede generur un nmero dIsLInLo de evenLos, y en dIIerenLe orden.
ExIsLen Lodo LIpo de mecunIsmos puru IIevur u cubo reduccIones de uudILoriu. Desde
sImpIes IIILrudos de evenLos segn Iu InIormucIn de uIguno de sus cumpos. HusLu eIuborudos
modeIos muLemuLIcos, como eI "IILro Busudo en ConcorduncIu de PuLrones" |q| o Iu "DeLeccIn de
nLrusIones uLIIIzundo puLrones de rusLro de uudILoriu de IongILud vurIubIe" ||.
TumbIn Iuy ImporLunLes reduccIones de evenLos eIImInundo Ios evenLos generudos por
procesos IIubIes. Aqui, Ios procesos IIubIes son uqueIIos cerLIIIcudos como soporLe puru obLener
segurIdud.
.1.1.q RegIsLro de SIsLemu
EI regIsLro de sIsLemu ("sysLem Iog") es oLro eIemenLo ImporLunLe u Iu Ioru de recopIIur
InIormucIn deI sIsLemu. Es un IIcIero en eI que se guurdun Ios evenLos generudos por eI sIsLemu. EI
sIsLemu operuLIvo UNX cuenLu con unu vurIedud ImporLunLe de regIsLros de sIsLemu, reIucIonudos
por un servIcIo comn, denomInudo "sysIog". EsLe servIcIo generu y ucLuuIIzu Ios regIsLros de
evenLos medIunLe eI proceso sys1ogd.
u segurIdud de Ios regIsLros de sIsLemu es uno de Ios punLos dbIIes IrenLe u Iu de Ios de
uudILoriu. En esLe senLIdo, Ios regIsLros de sIsLemu son menos IIubIes que Ios de uudILoriu. Huy
vurIus ruzones por Ius que esLo es usi. os regIsLros de sIsLemu son escrILos por upIIcucIones, mus
vuInerubIes que eI subsIsLemu de uudILoriu. Por oLru purLe, sueIen uImucenurse en dIrecLorIos no
proLegIdos deI sIsLemu, reIuLIvumenLe IucIIes de IocuIIzur y uILerur. Ademus, esLun escrILos en LexLo
en cIuro, y no en unu Iormu mus cripLIcu como Ios regIsLros de uudILoriu, que sIempre uyudu mus u
deLecLur cumbIos.
zq
No obsLunLe, Ios regIsLros de sIsLemu uporLun InIormucIn muy LII u Ios progrumus de
deLeccIn de InLrusIones, y compIemenLun u Ios duLos provenIenLes de Ios regIsLros de uudILoriu.
Ademus, son mus IucIIes de revIsur que Ios regIsLros de uudILoriu de sIsLemu.
Por oLru purLe, sIempre es mus convenIenLe uLIIIzur vurIus IuenLes de InIormucIn que unu
soIu. Asi, se pueden deLecLur sIgnos de InLrusIones u Lruvs de Ius dIscrepuncIus enconLrudus.
Puru soIvenLur Ios probIemus de segurIdud InIerenLes u Ios regIsLros de sIsLemu se Iun
desurroIIudo dIIerenLes mLodos. SpuIIord y GurIInkeI propusIeron uno que consIsLiu en envIur Ios
regIsLros de un sIsLemu u unu muquInu dedIcudu uLIIIzundo unu conexIn serIe |6|.
.1.1. RegIsLros de sIsLemu comunes
Como yu se expIIc, exIsLen numerosos regIsLros de sIsLemu. Pero no Lodos sIrven puru
deLecLur InLrusos. os progrumus de recopIIucIn de InIormucIn de segurIdud seIeccIonun Ios mus
reIevunLes. os sIsLemus operuLIvos busudos en UNX Ios uImucenun en Ios dIrecLorIos:
JusrJudm ULIIIzudo en Ius prImerus versIones de UNX.
JvurJudm ULIIIzudo en versIones mus modernus de UNX.
JvurJIog ULIIIzudo en uIgunus versIones de Inux, BSD, reeBSD.
A conLInuucIn se muesLru unu LubIu con Ios regIsLros mus uLIIIzudos por Ios sIsLemus de
deLeccIn de InLrusIones. Ademus de esLos regIsLros, Ios desurroIIudores pueden uLIIIzur sys1ogd
puru escrIbIr evenLos, umpIIundo Ius posIbIIIdudes de deLeccIn de InLrusIones u procesos de
sIsLemu no predeLermInudos:

Nombre de
registro
escripcin
uccL or puccL Comundos ejecuLudos por Lodos Ios usuurIos.
ucuIog Iumudus de Ios mdems.
IusLIog ILImu enLrudu con xILo y sIn xILo en eI sIsLemu de cudu usuurIo.
IogInIog Todos Ios InLenLos de ucceso sIn xILo.
messuges Mensujes de suIIdu de Iu consoIu deI sIsLemu y oLros generudos desde
eI servIcIo sysIog.
suIog Uso deI comundo "su"
uLmp|x| DenLro de esLe o esLos dIrecLorIos esLu Iu InIormucIn deI usuurIo
que esLu en eI sIsLemu.
uLmpx uLmp exLendIdo.
wLmp|x| ConLIene un IIsLudo de LIempos de cudu enLrudu y suIIdu de cudu
usuurIo.
wLmpx wLmp exLendIdo.
xIerIog Accessos medIunLe TP.
Tublu - - Registros relutivos u segoridud en Soluris
o
.1.1.6 nIormucIn de upIIcucIones
HusLu uIoru nos Iemos cenLrudo en eI nIveI de sIsLemu como IuenLe de InIormucIn puru Iu
deLeccIn de InLrusIones. EI nIveI de sIsLemu se supone eI mus robusLo e InuccesIbIe puru Lodos
suIvo Ios mus experLos. SIn emburgo, Ios modeIos de segurIdud y de proLeccIn esLun en consLunLe
evoIucIn, uI mIsmo LIempo que Ios sIsLemus operuLIvos.
os proIesIonuIes deI cumpo de Iu deLeccIn de InLrusIones pIensun que en eI IuLuro, Iu
muyoriu de Ios duLos de ImporLuncIu procederun deI nIveI de upIIcucIn. Uno de Ios ejempIos de
esLu reuIIdud es eI progresIvo uvunce de Ios sIsLemus dIsLrIbuIdos y Ios sIsLemus orIenLudos u
objeLos. En eI sIsLemu operuLIvo WIndows NT, mucIos de Ios evenLos generudos por eI nIveI de
regIsLro de sIsLemu operuLIvo Iun mIgrudo u uImucenes de duLos de upIIcucIn. Ademus, cusI Lodos
Ios sIsLemus operuLIvos comercIuIes soporLun Iu enLrudu de regIsLros de uudILoriu generudos en eI
nIveI de upIIcucIn.
.1.1.6.1 Buses de duLos
En Ius grundes orgunIzucIones, cudu vez con mus IrecuencIu, Iu InIormucIn se uImucenu y
munIpuIu medIunLe un sIsLemu de gesLIn de buses de duLos.
Uno de Ios uspecLos mus ImporLunLes de Ius buses de duLos esLu reIucIonudo con eI voIumen
de InIormucIn de uudILoriu que pueden generur. En uIgunos cusos, se pueden producIr "gIgubyLes"
de duLos de uudILoriu en cuesLIn de Iorus. EsLo obIIgu, durunLe eI dIseo de sIsLemus de deLeccIn
de InLrusIones, u creur mecunIsmos de compresIn puru Ios duLos, LcnIcus de reduccIn de
uudILoriu, seIeccIn de grupos de evenLos LIIes descurLundo Ios no necesurIos.
os regIsLros de Ius LrunsuccIones generudus por Ius buses de duLos, uI IguuI que Ios
regIsLros de sIsLemu, no esLun Lun proLegIdos como Ios evenLos de uudILoriu. Pero ocurre que en Ius
buses de duLos se uImucenu InIormucIn que Ios usuurIos y Ius empresus deseun proLeger. Se esLun
IucIendo esIuerzos de desurroIIo en esLe uspecLo. os sIsLemus de uudILoriu reIucIonudos con Iu
gesLIn de buses de duLos son unu IuenLe de InIormucIn ImporLunLe puru Ios sIsLemus de deLeccIn
de InLrusIones. |;|
.1.1.6.z ServIdores Web
DebIdo uI enorme crecImIenLo experImenLudo en Ios ILImos uos deI uso de esLos
servIcIos, Ios servIdores Web son cudu vez mus uLIIIzudos. MucIos de esLos servIdores permILen Iu
generucIn de vuIIosu InIormucIn u nIveI de upIIcucIn, en Iormu de regIsLros.
Aqui comenLur Ios IormuLos de Ios regIsLros mus esLundurIzudos enLre esLe LIpo de
upIIcucIones.
Common Log Iormut {CLI)
EsLe IormuLo Iue uLIIIzudo orIgInuImenLe por eI servIdor Web deI NCSA
1
, IIegundo u
converLIrse en eI esLundur u uLIIIzur por Ios servIdores Web en sus regIsLros. u muyoriu de Ius
IerrumIenLus de unuIIsIs de regIsLros Io soporLun. os regIsLros C conLIenen cusI Lodu Iu
InIormucIn necesurIu puru reuIIzur esLudIos exIuusLIvos sobre Iu ucLIvIdud de un servIdor Web,
cuyu esLrucLuru se descrIbe u conLInuucIn |8|:

1
EI "NuLIonuI CenLer Ior SupercompuLIng AIIIunces" (NCSA) Iue eI responsubIe de Iu creucIn deI
prImer nuvegudor exLensumenLe conocIdo.
1

Cumpo escripcin Ijemplos
muquInu
remoLu
DIreccIn P o nombre DNS deI cIIenLe. 1qz.168.o.1, www.upm.es
rIcq1 denLIIIcucIn remoLu deI cIIenLe. No se
upIIcu. "IdenLd" es un servIcIo excIusIvo
de UNX. u bsquedu de IdenLIdud
consume mucIo uncIo de bundu, y
sobrecurgu InnecesurIumenLe u Ios
servIdores. RurumenLe se uLIIIzu. SI no
exIsLe se escrIbe un guIn ("-").

AuLenLIcucIn
de usuurIo
Nombre de usuurIo deI cIIenLe. dIego, dggomez
ecIu y Ioru ecIu y Ioru: IormuLo
|DDJMMMJAAAA:HH:MM:SS +-TZO|.
|1oJo;Jzoo:1:16:oo
+o1oo|
PeLIcIn ineu de peLIcIn IecIu por eI cIIenLe,
enLre comIIIus.
"GET Jmenu.ILmI HTTPJ1.o"
"POST JIorm.cgI HTTPJ1.o"
EsLudo |q| NNN. EsLudo HTTP devueILo uI cIIenLe,
"-" sI no esLu dIsponIbIe.
zoo, qo6, o
IongILud NNNNN. Nmero de byLes envIudos uI
cIIenLe, "-" sI no esLu dIsponIbIe.
1qq, ;, qo;, zoo
Tublu - - Istroctoru de registros CLI

Un ejempIo vuIIdo de unu enLrudu de regIsLro C podriu ser:
www.microsoft.com - - dggomez [10/07/2003:13:08:00 +0100] "GET
/passw.txt HTTP/1.1" 200 1976
WC Ixtended Log Iormut {ILI)
ConsIsLe busIcumenLe en eI NSCA C mus Ios cumpos ugenLe de usuurIo ("user-ugenL") y
UR de procedencIu ("reIerrer UR InIormuLIon") sIn comIIIus |1o|. Quedundo unu esLrucLuru
como Iu sIguIenLe:
C user_ugenL reIerrer_UR
EI sIguIenLe regIsLro, uunque en mus de unu Iineu por IuILu de espucIo, podriu ser un
ejempIo vuIIdo de esLe IormuLo:
www.euitt.upm.es - - dggomez [19/Mar/2003:21:14:55 -0200] "GET /
HTTP/1.1" 200 1234 Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
http://www.euitt.upm.es/index.html
eIinuble LoI Iormut {LI)
EsLe IormuLo muy sImIIur uI E, pero uI IInuI de cudu enLrudu de regIsLro InvIerLe Ios
cumpos UR de procedencIu y ugenLe de usuurIo, dejundoIos con o sIn comIIIus, de Iu sIguIenLe
Iormu:
C "reIerrer_UR" "user_ugenL"
C reIerrer_UR user_ugenL
z
Un ejempIo de esLe IormuLo, seriu sImIIur u:
138.100.52.100 - - dggomez [08/Apr/2003:16:02:20 +0100] "GET /
HTTP/1.1" 200 5678 "http://www.euitt.upm.es/index.html" "Mozilla/4.05
(X11; I; IRIX64 6.4 IP30)"
ExIsLen mus IormuLos, como eI "BInury og ormuL" (B), muy sImIIur uI NCSA C pero
mus sInLeLIzudo, con menos cumpos.
u obLencIn de duLos de upIIcucIones presenLu dos de Ios grundes reLos de Iu deLeccIn de
InLrusIones u Iu Ioru de recoger InIormucIn. Por un Iudo esLu eI probIemu deI LIempo. Es
IundumenLuI esLubIecer un orden cronoIgIco o IncIuIr uIgn purumeLro de LIempo en Ius enLrudus
de Ios regIsLros puru que Iu InIormucIn puedu ser unuIIzudu correcLumenLe. Por oLru purLe Lenemos
eI probIemu de Iu combInucIn de Ios dIIerenLes regIsLros, puru que Ios usuurIos puedun
comprenderIos udecuudumenLe. EI proceso de combInur vurIos IIujos de duLos puru obLener oLru
cosu se denomInu composicin (posIbIe medIunLe correlccin prevIu). Cuundo esLos IIujos sIrven
puru creur oLro de nIveI de ubsLruccIn mus uILo, se uLIIIzu eI LrmIno de InLeIIgencIu urLIIIcIuI
jusin. EsLos dos LrmInos son dos uspecLos LcnIcos muy reIevunLes en Iu deLeccIn de InLrusIones.
Un ejempIo de producLo de deLeccIn de InLrusIones busudo en upIIcucIn es Appshield, de
Iu empresu SuncLum nc. |11|
.1.1.; nIormucIn recogIdu de objeLIvos
Un monILor busudo en objeLIvo ("LurgeL bused") es muy sImIIur u un monILor busudo en
muquInu ("IosL bused"). u monILorIzucIn busudu en objeLIvo esLubIece mecunIsmos puru vIgIIur eI
esLudo de unu serIe de recursos vuIIosos deI sIsLemu, grubundo perIdIcumenLe eI esLudo de Ios
objeLos monILorIzudos. EsLos esLudos se compurun con unus poIiLIcus de segurIdud, regIsLrundo Ius
posIbIes dIscrepuncIus.
Uno de Ios recursos mus uLIIIzudos puru Iu monILorIzucIn busudu en objeLIvo es eI de Ios
verIIIcudores de InLegrIdud. EsLus IerrumIenLus se uLIIIzun puru compIemenLur Iu Iubor de Ios
deLecLores de InLrusIones, monILorIzundo cumbIos en eI esLudo de objeLos de sIsLemu, como IIcIeros
ImporLunLes. EsLe enIoque es estctico, no como Ios mecunIsmos de regIsLro de uudILoriu o sIsLemu,
que son dincmicos. Puru ucIurur eI concepLo, se podriu decIr que un ejempIo esLuLIco, como Iu
monILorIzucIn busudu en objeLIvo, es unu Imugen, mIenLrus que uno dInumIco es como un video.
Unu cumuru IoLogruIIcu puede Iucer Imugenes u InLervuIos perIdIcos de LIempo, mIenLrus que unu
cumuru de video, que es mus curu, permILe ver Io que pusu en LIempo reuI. Cudu soIucIn depende
de Ius necesIdudes purLIcuIures. AIgunus empresus no necesILun unu uILu veIocIdud de deLeccIn.
Un verIIIcudor de InLegrIdud generu unu sumc de comprobccin ("cIecksum") de cudu
objeLo de sIsLemu y Ius uImucenu en un Iugur proLegIdo. Puru IubrIcur Iu sumu de comprobucIn se
uLIIIzu un cloritmo de resumen de menscje ("messuge dIgesL uIgorILIm"), o juncin de resumen
("IusI IunLIon"). EsLos uIgorILmos se dIseun con dos propsILos. PrImero, puru que seun Lun
seguros que eI IecIo de obLener eI mIsmo resuILudo uLIIIzundo dos enLrudus dIsLInLus seu
prucLIcumenLe nuIo. Y segundo, puru que cuuIquIer modIIIcucIn en Iu enLrudu, por pequeu que
seu, produzcu unu enorme dIIerencIu en Iu suIIdu.
os monILores busudos en objeLIvos son especIuImenLe LIIes en sIsLemus UNX. u ruzn
es que en esLos sIsLemus operuLIvos, cuuIquIer objeLo de InLers (como conexIones de red, procesos

o dIsposILIvos) puede ser represenLudo como un IIcIero. EsLos objeLos se represenLun por
esLrucLurus denomInudus inodos ("Inodes").

Cumpo Bytes escripcin
Mode z TIpo de IIcIero, bILs de proLeccIn, "seLuId", bILs "seLgId"
NInks z Nmero de enLrudus de dIrecLorIo upunLundo u esLe Inodo
UId z UD deI propIeLurIo deI IIcIero
GId z GD deI propIeLurIo deI IIcIero
Tumuo q Tumuo deI IIcIero en "byLes"
DIreccIn q
DIreccIn de Ios prImero 1o bIoques de dIsco, Iuego bIoques
IndIrecLos
Gen 1
Nmero de generucIn (Se IncremenLu con cudu reuLIIIzucIn deI
Inodo)
ALIme q Horu en Iu que eI Inodo Iue uccedIdo por ILImu vez
MLIme q Horu en Iu que eI Inodo Iue modIIIcudo por ILImu vez
CLIme q Horu en Iu que eI Inodo Iue cumbIudo por ILImu vez
Tublu -q - Contenido de on inodo del sistemu de Iicheros LNIX {System V)

os prImeros verIIIcudores exIsLenLes en UNX comprobubun eI esLudo de Ios IIcIeros
uLIIIzundo cdIgos de redunduncIu cicIIcu (CRC). EsLos cdIgos Iueron dIseudos orIgInuImenLe
puru deLecLur errores en comunIcucIones sobre cunuIes con ruIdo. Por Io LunLo, deLecLubun cumbIos
uIeuLorIos en Ios objeLIvos y no cumbIos InLencIonudos en sus conLenIdos. AIgunos uLuques
demosLruron que, con Iu uyudu de Ius IerrumIenLus udecuudus, eru posIbIe modIIIcur eI conLenIdo
de Ios IIcIeros sIn uILerur su CRC.
A prIncIpIos de Ios uos novenLu, Gene SpuIIord y Gene KIm desurroIIuron unu IerrumIenLu
denomInudu TrIpwIre que opLImIzubu eI proceso de creur cdIgos de resumen crIpLogruIIco puru
proLeger IIcIeros criLIcos de sIsLemu. AcLuuImenLe esLe progrumu es comercIuI, y esLu dIsponIbIe
puru pIuLuIormus SoIurIs, WIndows NT y Inux. |1z|
.1.z uenLes de InIormucIn busudus en red
os monILores busudos en red son quIzus Ios mus Iumosos en eI umbILo de Iu deLeccIn de
InLrusIones. EI LruIIco de red; IIujo de InIormucIn LuI como vIuju por un segmenLo de red, es Iu
IuenLe de InIormucIn que se LruLuru en esLu seccIn.
u recopIIucIn de duLos de red LIene vurIus venLujus. Puru empezur, uLIIIzur como IuenLe de
InIormucIn eI LruIIco de red, no uIecLu uI rendImIenLo deI resLo de Ius muquInus de Iu red.
Por oLru purLe, eI monILor puede ser LrunspurenLe uI resLo de Ios mIembros de Iu red. EsLo
sIgnIIIcu que puede ser IndeLecLubIe, Io que es unu venLuju yu que no puede converLIrse en objeLIvo
dIrecLo de posIbIes InLrusos. Con esLe propsILo, exIsLe Iu posIbIIIdud de uLIIIzur un cubIe de sIo
recepcIn ("snIIIIng cubIe") puru eI monILor, de Iormu que sIo puedu recIbIr duLos, ImpIdIendo
IisIcumenLe cuuIquIer envio de seuIes |1|. Unu opcIn equIvuIenLe uI cubIe de sIo recepcIn es eI
q
uso de un "neLwork Lup" (dIsposILIvo de escucIu de red); un dIsposILIvo de uspecLo sImIIur u un
concenLrudor de red, que permILe u un rusLreudor pinchcr Ius comunIcucIones sIn ser deLecLudo.

Cable normal
(bidireccional)
Network Tap
Dispositivo de
escucha de red
Hub
Concentrador
Cable de slo
recepcin
Sniffer
Rastreador
Sniffer
Rastreador

Iigoru - - ispositivo de escochu de red y cuble de slo recepcin

Por ILImo, eI LruIIco de red puede reveIur InIormucIn sobre uLuques que no podriun ser
deLecLubIes por un monILor busudo en muquInu. EsLos uLuques podriun ser busudos en puqueLes
muIIormudos y uIgunos de denegucIn de servIcIo.
.1.z.1 PuqueLes de red
Puru exLruer Ios puqueLes de un segmenLo de red, un deLecLor de InLrusIones busudo en red,
sueIe uLIIIzur un dIsposILIvo de red en modo promiscuo. EsLo Iuce que eI dIsposILIvo de red genere
unu InLerrupcIn cudu vez que deLecLu uIgn puqueLe en Iu red. Unu muquInu dedIcudu u
monILorIzur LruIIco de red de esLu muneru, se sueIe denomInur "snIIIer" (rusLreudor). EsL mLodo
es eIIcuz, pero LIene InconvenIenLes. Es LII en Ios cusos en Ios que eI dIsposILIvo esLu sILuudo en
uIgn punLo de Iu red en eI que puede Iuber LruIIco no desLInudo u si mIsmo. Por ejempIo, en redes
con "swILcIes" (conmuLudores), eI modo promIscuo no es eIecLIvo, yu que eI dIsposILIvo de red sIo
recIbe eI LruIIco desLInudo u I. Por oLru purLe, un rusLreudor Lumpoco puede monILorIzur
conexIones IecIus con un mdem, puesLo que uLIIIzun dIsLInLus InLerIuces.
En Iu Iguru -q se observu u Iu IzquIerdu un escenurIo con concenLrudor ("Iub"), en eI que
eI rusLreudor puede recIbIr Lodo eI LruIIco reIucIonudo con Ius muquInus que compurLen eI medIo.
En Iu sIguIenLe sILuucIn (con conmuLudor), eI rusLreudor sIo deLecLu eI LruIIco envIudo o desLInudo
u I mIsmo. Por ILImo, se IIusLru un LIpo de conexIn que eI rusLreudor no es cupuz de InLercepLur.


A

B

C
A
B

C
A

B

C
A

A

A
B
B
B
Switch Hub
(Sniffer)
Modem
A A B B
C (Sniffer) C (Sniffer)
Red
C

C

C

Iigoru -q - Iscenurios de conexin de on rustreudor

.1.z.z Redes TCPJP
os proLocoIos TCP ("TrunsmIssIon ConLroI ProLocoI") e P ("nLerneL ProLocoI") son Ios
mus umpIIumenLe uLIIIzudos en nLerneL. EsLudIur cmo IuncIonun y cmo se esLrucLurun sus duLos
es ImprescIndIbIe puru comprender y evILur Ios probIemus de segurIdud reIucIonudos con eI LruIIco
de red.
En 1q;; se empez u uLIIIzur TCP, desurroIIudo en 1q;q por KuIn y CerI, puru susLILuIr uI
NCP ("NeLwork ConLroI ProLocoI") en ARPAneL. TCP eru mus rupIdo, IucII de usur y de ImpIemenLur
que su predecesor. En 1q;8, P se uudI uI TCP, encurgundose deI encumInumIenLo de Ios
mensujes. VurIos uos mus Lurde, en 1q8, cuuIquIer eIemenLo conecLudo u ARPAneL debiu soporLur
Ios proLocoIos TCPJP. ue enLonces cuundo se empez u reIerIrse u ARPAneL y sus redes como
"nLerneL". |1q|
us redes TCPJP son de conmuLucIn de puqueLes. Cuundo se esLubIece unu comunIcucIn
enLre dos eIemenLos de red, se produce un InLercumbIo de un nmero deLermInudo de puqueLes
enLre eIIos. EsLos puqueLes pueden vIujur u Lruvs de unu serIe de segmenLos de red,
InLerconecLudos por dIsposILIvos como puerLus de enIuce ("guLewuys") y "rouLers", que Ios
encumInun IucIu su desLIno.
.1.z. PIIu de proLocoIos
u suILe de proLocoIos TCPJP esLu compuesLu por cuuLro nIveIes o cupus, de Iormu que
cudu uno uLIIIzu Ios servIcIos deI nIveI InIerIor. Puru comprender su mejor su esLrucLuru, Iu
expondremos IrenLe uI modeIo propuesLo por OS ("Open SysLems nLerconnecLIon").
OS es Iu esLrucLuru de proLocoIos en sIeLe nIveIes propuesLu por SO e TU-T
("nLernuLIonuI TeIecommunIcuLIon UnIon TeIecommunIcuLIon SLundurdIzuLIon SecLor"). EsLe
modeIo es LerIcumenLe mus eIuborudo y dIducLIco que TCPJP, por eI conLrurIo, mus sencIIIo y
prucLIco. DesgrucIudumenLe, uunque OS LIene mucIos punLos u su Iuvor, no Iu Iogrudo susLILuIr u
Iu urquILecLuru TCPJP como esLundur en nLerneL. u IIguru sIguIenLe muesLru unu compurucIn
enLre umbus pIIus de proLocoIos. |1|
6

Aplicacin
Presentacin
Sesin
Transporte
Red
Enlace
Fsico
Aplicacin
Transporte
Internet
Acceso a la red
Fsico
Modelo OSI Arquitectura TCP/IP

Iigoru -g - Modelo OSI y Arqoitectoru TCP[IP

.1.z.q EsLrucLuru de unu dIreccIn P
us dIreccIones deI ProLocoIo nLerneL en su versIn q esLun compuesLus por un nmero de
z bILs. Cudu dIreccIn esLu dIvIdIdu en dos purLes, eI IdenLIIIcudor de red y eI IdenLIIIcudor de
muquInu. EI IdenLIIIcudor de muquInu se sueIe uLIIIzur puru desIgnur dIIerenLes subredes
("subneLLIng"), uprovecIundo mejor eI espucIo de dIreccIones y opLImIzundo eI encumInumIenLo.
Unu de Ius Iormus IubILuuIes de represenLur unu dIreccIn P es uLIIIzundo cuuLro ocLeLos,
por ejempIo: 18.1oo.z.1oo. En mucIos cusos, unu dIreccIn P se ucompuu de unu muscuru de
subred. Se Iun deIInIdo redes y muscurus esLundurIzudus, LuI y como en Iu LubIu sIguIenLe. |16|

Cluse Iormuto
{r=red,
m=mqoinu)
Nmero
de redes
Nmero de
mqoinus
por red
Rungo de direcciones
de redes
Mscuru de
sobred
A r.m.m.m 1z8 16.;;;.z1q o.o.o.o - 1z;.o.o.o z.o.o.o
B r.r.m.m 16.8q 6.q 1z8.o.o.o - 1q1.z.o.o z.z.o.o
C r.r.r.m z.oq;.1z zq 1qz.o.o.o - zz.z.z.o z.z.z.o
grupo - - zzq.o.o.o -
zq.z.z.z
-
I no vuIIdus - - zqo.o.o.o -
z.z.z.z
-
Tublu -g - Redes y mqoinus estndur en Internet

Segn Iu noLucIn CDR ("CIussIess nLer-DomuIn RouLIng"), unu dIreccIn P se IndIcu
medIunLe: dIreccIn PJnmero de bILs de muscuru de red. Por ejempIo: u dIreccIn P
18.1oo.z.1ooJz, IndIcu que Iu dIreccIn de muquInu es 18.1oo.z.1oo y Iu muscuru de subred es
z.z.z.1z8 (prImeros z bILs u "1"; 11111111.11111111.11111111.1ooooooo). Por Io LunLo, Iu
dIreccIn de red es 18.1oo.z.o, que corresponde u Iu prImeru de Ius dos subredes.
;
OLru muneru de represenLur unu dIreccIn P es medIunLe Iu buse de duLos dIsLrIbuIdu DNS
("DomuIn Nume SysLem"). DNS se encurgu de Iucer LruduccIones enLre dIreccIones P y nombres
de domInIo (como por ejempIo muIIer.upm.es).
.1.z. EsLrucLurus de duLos
EI ProLocoIo nLerneL (P) uude unu cubeceru u Ios duLos que recIbe deI nIveI superIor,
creundo un dctcrcmc, que es eI mensuje que se enviu en unu red de comunIcucIones de
ordenudores por InLercumbIo de puqueLes. u esLrucLuru de Iu cubeceru de un DuLugrumu nLerneL
es Iu sIguIenLe. |1;|

Versin IHL Tipo Servicio Longitud total
Identificacin Flags Posicin
Tiempo de vida Protocolo Suma de control de cabecera
Direccin de origen
Direccin de destino
Opciones Relleno
0 10 20 30
nmero de octeto

Iigoru -6 - Cubeceru de on utugrumu Internet

TCP LumbIn ugregu su propIu cubeceru u Ios duLos que recIbe, con eI sIguIenLe IormuLo.
|18|

Puerto de origen Puerto de destino
Nmero de secuencia
Nmero de acuse de recibo
Suma de control Puntero urgente
0 10 20 30
nmero de octeto
Opciones Relleno
Datos
Posic de
los datos
Reservado Ventana
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N

Iigoru -, - Iormuto de lu cubeceru de TCP

u unIdud IgIcu de duLos TCP se denomInu semento. Por oLru purLe, denomInuremos
pcquete uI conjunLo de duLos con unu cubeceru que puede esLur o no IgIcumenLe compIeLu (esLe
LrmIno se sueIe reIerIr mus u un empuqueLumIenLo IisIco de duLos que IgIco).
8
Cuundo Ios puqueLes IIegun uI dIsposILIvo de red, son encumInudos IucIu eI desLIno. Unu
vez son recIbIdos, u medIdu que pusun por cudu nIveI, se reLIrun Ius cubecerus correspondIenLes. En
eI nIveI de LrunsporLe, se reconsLruye eI duLugrumu u purLIr de Ios segmenLos recIbIdos.
.1.z.6 CupLuru
Unu vez expIIcudus Ius esLrucLurus de duLos mus uLIIIzudus en eI LruIIco de red, es de rIgor
LruLur Ios mLodos uLIIIzudos puru exLruer esu InIormucIn de Ios segmenLos de red.
Cuptoru de puqoetes en sistemus Windows
ExIsLen numerosus opcIones puru exLruer y unuIIzur Ios puqueLes que pusun por un
dIsposILIvo de red uLIIIzundo esLos sIsLemus operuLIvos. SpyneL, rIs, WIndump ELIdump, ELIIoud,
son sIo uIgunos de Ios producLos que se pueden uLIIIzur puru IIevur u cubo esLu Lureu.
Con eI desurroIIo deI "SysLems MunugemenL Server" (SMS), upurecI eI "MIcrosoIL NeLwork
MonILor". EsLe es eI rusLreudor de puqueLes ("puckeL snIIIer") propuesLo por MIcrosoIL. OIrece Iu
cupucIdud de cupLurur puqueLes de red con soporLe puru vurIos LIpos de proLocoIos, un conjunLo de
IIILros, y Iu InLerIuz de usuurIo comn de WIndows. TumbIn oIrece Iu posIbIIIdud u unu muquInu
remoLu conecLurse y cupLurur Ios duLos IocuIes.
Cuptoru de puqoetes en sistemus LNIX
os sIsLemus UNX cuenLun con unu InIruesLrucLuru en muLerIu de redes busLunLe mus
umpIIu y robusLu que WIndows. EsLo no es usi de Iormu urbILrurIu. No en vuno, Iueron Ios enLornos
mus uLIIIzudos puru desurroIIur Iu muyoriu de Ius LecnoIogius de red.
os prImeros Lrubujos en muLerIu de cupLuru de puqueLes se uLrIbuyen uI ordenudor
personuI Xerox AILo, que yu conLubu con un IIILro puru monILorIzur LruIIco ELIerneL. EsLe IIILro Iue
udupLudo u UNX en 1q8o por un equIpo de CMU y SLunIord. EI "CMUJSLunIord PuckeL IILer"
(CSP) se uLIIIz con xILo en un ordenudor DEC PDP-11. EsLubu opLImIzudo puru Ios ordenudores
de Iu pocu.
EI "uwrence BerkeIey NucIonuI uboruLory", noLundo que Iubiu probIemus de ujusLe enLre
eI CSP y Ius modernus CPU busudus en RSC, desurroII eI "BerkeIey PuckeL IILer" (BP). EsLe
IIILro uporL ImporLunLes mejorus de rendImIenLo IrenLe uI CSP.
EI BP uLIIIzu dos componenLes, un "neLwork Lup" (dIsposILIvo de escucIu de red) y un
IIILro de puqueLes. EsLos duLos son envIudos u Ius upIIcucIones que esLun en modo de escucIu.
EnLonces, eI IIILro procesu Iu InIormucIn segn Ios purumeLros envIudos, y muesLru Ios duLos
resuILunLes.
Huy dos upIIcucIones de red desLucubIes que uLIIIzun BP, y son fcpdump y apWafch.
1cpdump es unu IerrumIenLu de monILorIzucIn de red y udquIsIcIn de duLos que permILe reuIIzur
IIILrudos, recopIIucIn de puqueLes y vIsuuIIzucIn de Ios mIsmos. ApWafch monILorIzu Iu ucLIvIdud
que InvoIucru Ios mupeos de dIreccIones P y ELIerneL, y uvIsu u Ios udmInIsLrudores cuundo
deLecLu nuevos regIsLros o ucLIvIdudes unormuIes. |1q|
Por oLru purLe, mucIos monILores de red y progrumus de deLeccIn de InLrusIones uLIIIzun
11bpcap. Se LruLu de unu IIbreriu de cupLuru de puqueLes, usudu LumbIn por fcpdump. L1bpcap es
unu InLerIuz IndependIenLe deI sIsLemu que permILe Iucer monILorIzucIones de red u bujo nIveI. Su
porLubIIIdud u dIsLInLus pIuLuIormus, como u Inux, que cudu vez es mus uLIIIzudo en enLornos de
monILorIzucIn de red y deLeccIn de InLrusIones, es unu de sus curucLerisLIcus mus reIevunLes. |zo|
q
Cuptoru de puqoetes busudu en STRIAMS {Ilojos)
STREAMS es un modeIo de progrumucIn de sIsLemus puru eI desurroIIo de conLroIudores
de dIsposILIvos. u muyoriu de Ios sIsLemus UNX Io soporLun (enLre eIIos Sun SoIurIs, HPX, SCO
UNX y AX de BM). Un "sLreum" (IIujo) LIene unu esLrucLuru de Luberiu ("pIpe") que permILe
InLercumbIur duLos con conLroIudores de dIsposILIvo, medIunLe mensujes.
u posIbIIIdud de cupLuru de puqueLes esLu IncIuIdu en Ius IIbrerius. EsLu soIucIn no es Lun
pLImu como BP. Se sueIe uLIIIzur en conjuncIn con unu InLerIuz proveedoru de enIuce de duLos
(DP), que se uLIIIzu puru IuncIones de rusLreo. |z1|
.1.z.; DIsposILIvos de red
ApurLe de Ios rusLreudores de puqueLes, Ios propIos dIsposILIvos de red pueden uporLur
InIormucIn de vuIor en muLerIu de deLeccIn de InLrusIones. Por poner un ejempIo, Ius esLudisLIcus
de uso pueden reveIur InIormucIn sobre uIgn posIbIe probIemu de segurIdud. Huy que Lener
presenLe que sIempre es preIerIbIe uprovecIur Ius IuenLes de duLos exIsLenLes que creur nuevos
mecunIsmos de recopIIucIn de duLos.
.1.z.8 uenLes de InIormucIn exLernus
En esLu cuLegoriu enLrun Ius IuenLes de InIormucIn que LIenen un orIgen munuuI, exLerno
uI propIo sIsLemu. u muyoriu de Ius veces se LruLu de InLervencIones Iumunus. EI vuIor InIormuLIvo
uporLudo por eI IucLor Iumuno es IrreempIuzubIe. EjempIos de esLe cuso podriun ser enLrudus de
regIsLro munuuIes, descrIbIendo IuIIos de Iurdwure o deI enLorno de sIsLemu, cuidus de
uIImenLucIn, unuIIsIs de evenLos, o IncIuso comporLumIenLos unmuIos.
Un sIsLemu de deLeccIn de InLrusIones no se puede concebIr en nIngn cuso como un
sIsLemu compIeLumenLe uuLnomo, sIno como unu IerrumIenLu de dIugnsLIco. PermILe u Ios
udmInIsLrudores supervIsur u uILo nIveI Iu ucLIvIdud deI sIsLemu desde unu perspecLIvu de segurIdud,
uyudundoIes u prevenIr y evILur posIbIes probIemus.
.1. nIormucIn de producLos de segurIdud
En Iu deLeccIn de InLrusIones, mIenLrus mus IuenLes de InIormucIn exIsLun, mus
posIbIIIdudes Iubrun de Lener xILo. MucIos corLuIuegos, sIsLemus de nLeIIgencIu ArLIIIcIuI,
dIsposILIvos de segurIdud y sIsLemus de conLroI de ucceso generun sus propIos regIsLros. EsLos
duLos LIenen evIdenLemenLe un vuIor ImporLunLe en muLerIu de segurIdud, y junLo con Ius oLrus
IuenLes de InIormucIn uyudun u mejorur Iu eIIcucIu deI proceso de deLeccIn de InLrusIones.
Ademus, Ios sIsLemus de segurIdud, debIdo u su nuLuruIezu, son Ios prIncIpuIes objeLIvos de
Ios uLuques bIen pIunIIIcudos. Por esLu ruzn, su monILorIzucIn y comprobucIn de su buen
IuncIonumIenLo conLrIbuyen u deLermInur Iu correcLu esLubIIIdud deI sIsLemu.
A conLInuucIn se descrIbe u modo de ejempIo eI IormuLo de unu enLrudu de regIsLro de un
producLo de segurIdud, concreLumenLe eI IrewuII-1 de "CIeckpoInL TecInoIogIes". |zz|

qo
Nmero
de
cumpo
Nombre de cumpo Contenido
1 Nmero denLIIIcudor de LrunsuccIn
z ecIu ecIu de evenLo
Horu Horu de evenLo
q AccIn AccepLur o denegur
TIpo
6 OrIgen
; AIurmu
8 Nombre de InLerIuz DIreccIn MAC o LurjeLu ELIerneL
q DIreccIn de InLerIuz EnLrunLe J SuIIenLe
1o TIpo de proLocoIo TCP o UDP
11 "HosL" orIgen DIreccIn P de orIgen
1z "HosL" desLIno DIreccIn P de desLIno
1 TIpo de servIcIo TIpo de servIcIo de red
1q Numero de puerLo de orIgen PuerLo uLIIIzudo por eI puqueLe
1 "RegIu" RegIu de corLuIuegos envIudu
16 TIempo LrunscurrIdo TIempo desde eI comIenzo de Iu sesIn
1; PuqueLes de esLu sesIn Nmero de puqueLes usocIudos u Iu
sesIn
18 Nmero de byLes
1q Nombre de usuurIo
uuLenLIIIcudo

zo Mensujes
Tublu -6 - Iormuto de registro IW-1

u IerrumIenLu "IwIogsum" permILe eI unuIIsIs esLudisLIco de regIsLros generudos por
producLos como IIrewuII-1. EsLe LIpo de InIormucIn vueIve u poner de reIIeve Iu necesIdud de uIgn
sIsLemu que permILu Iu coordInucIn de IuenLes de InIormucIn de dIsLInLos origenes. EI uso deI
NTP ("NeLwork TIme ProLocoI") o uIgunu oLru IuenLe IIubIe de InIormucIn deI LIempo, puede ser de
grun uyudu.
.1..1 OLros componenLes como IuenLes de duLos
EnLrun en esLu cuLegoriu oLrus IuenLes de InIormucIn, que no se consIderun purLes
InLegrunLes deI sIsLemu.
Uno de Ios uLuques prucLIcudos conLru Ios sIsLemus es eI deI enmcsccrcmiento o
supIunLucIn de IdenLIdud. ConsIsLe en robur Iu IdenLIdud de un usuurIo IegiLImo, normuImenLe eI
udmInIsLrudor, puru enLrur en eI sIsLemu. EsLe LIpo de uLuques no es IucII de deLecLur. Uno de Ios
mLodos puru evILur esLe uLuque, como se conLempI en eI cupiLuIo z, es eI uso de LcnIcus
esLudisLIcus puru deLecLur comporLumIenLos unmuIos. Es reIuLIvumenLe comn recIbIr un nmero
uILo de IuIsos posILIvos medIunLe esLe mLodo. No obsLunLe, sI se uLIIIzu uIgn dIsposILIvo exLerno
(por ejempIo, un sIsLemu de reconocImIenLo por video), cupuz de IdenLIIIcur uI usuurIo que uccede
IisIcumenLe uI sIsLemu y envIur esLu InIormucIn uI mIsmo, seriu posIbIe reducIr de Iormu
sIgnIIIcuLIvu Ius probubIIIdudes de error unLe esLe uLuque.
Ccptulo Modelo de juncioncmiento - .z Anclisis
q1
OLro ejempIo vuIIdo es eI de Ios uLuques reuIIzudos u un sIsLemu u Lruvs de unu conexIn
LeIeInIcu. Unu vez IdenLIIIcudo eI mdem uLIIIzudo, se puede InvesLIgur eI regIsLro de Iu Iineu de
LeIIono ImpIIcudu puru uverIguur Iu IdenLIdud deI uLucunLe. En esLe cuso, LumbIn se Iu uLIIIzudo
unu IuenLe de duLos exLernu uI sIsLemu.
Como se Iu observudo, puru Iu deLeccIn de posIbIes InLrusIones, cuuIquIer IuenLe de
InIormucIn puede uporLur duLos vuIIosos, y uunque no provengu de unu purLe IegiLImu deI sIsLemu
monILorIzudo, no debe ser subesLImudu.
.z AnuIIsIs
Unu vez obLenIdos Ios duLos de Ius dIsLInLus IuenLes de InIormucIn en Iu Iuse de
recopIIucIn, se Ios someLe u dIversus LcnIcus de esLudIo en Iu Iuse de unuIIsIs. Puru eIIo, Iu
InIormucIn se ordenu cronoIgIcumenLe, se cIusIIIcu, se evuIu de Iormu esLudisLIcu y se IdenLIIIcu
con puLrones de ucLIvIdud reIuLIvos u uspecLos de segurIdud. A conLInuucIn se deLuIIurun Ios
objeLIvos prIncIpuIes de Iu Iuse de unuIIsIs, Ios mLodos uLIIIzudos y Ios requIsILos necesurIos puru
poder IIevurIu u cubo de Iormu eIIcuz.
.z.1 ObjeLIvos y eIemenLos prIncIpuIes
AnLes de conLInuur, puru evILur conIusIones, es convenIenLe deIInIr eI sIgnIIIcudo deI
eIemenLo prIncIpuI de esLu eLupu. Anclisis, en eI conLexLo de Iu deLeccIn de InLrusIones, consIsLe en
orgunIzur y cIusIIIcur Ios duLos sobre Iu ucLIvIdud de usuurIo y de sIsLemu puru IdenLIIIcur
ucLIvIdudes de InLers |z|. En ocusIones esLu ucLIvIdud puede ser exumInudu mIenLrus ocurre, o
despus de Iuber LenIdo Iugur. TumbIn puede ser necesurIo recopIIur cIerLu cunLIdud de
InIormucIn puru poder reuIIzur un esLudIo esLudisLIco udecuudo.
u Iguru -8 descrIbe un modeIo generuI de gesLIn de segurIdud.

qz
PREVENCIN
DETECCIN
RECUPERACIN/RESOLUCIN
INVESTIGACIN
Monitor y Anlisis
Problema detectado
Origen del problema identificado
S
i
s
t
e
m
a

r
e
s
t
a
u
r
a
d
o

Iigoru -S - iugrumu generul de on modelo de gestin de segoridud

Como se puede observur, Iu deLeccIn de InLrusIones corresponde uI segundo puso. EsLe
dIugrumu es LII porque uIgunos mecunIsmos de unuIIsIs proporcIonun InIormucIn necesurIu puru
Ios esLudos de InvesLIgucIn y recuperucIn deI modeIo.
.z.1.1 ObjeLIvos prIncIpuIes
En Iineus generuIes, Iu deLeccIn de InLrusIones se uLIIIzu puru mejorur Iu segurIdud de un
sIsLemu. EI unuIIsIs se IIevu u cubo por unu serIe de moLIvos, enLre Ios cuuIes se podriun desLucur Ios
sIguIenLes.
eterminur comportumientos: Unu de Ius IuncIones de unuIIsIs es eI esLudIo deI
comporLumIenLo o conducLu medIunLe IuncIones esLudisLIcus. GrucIus u esLus IuncIones,
se puede deLermInur con un porcenLuje ucepLubIe de ucIerLos, cuuI es comporLumIenLo
normuI, puru usi, deLecLur posIbIes InLrusIones u Lruvs de vurIucIones en eI mIsmo.
Control de culidud puru el diseo de segoridud y udministrucin: MedIunLe
eI unuIIsIs se pueden deLecLur posIbIes probIemus en Iu gesLIn y eI dIseo de Iu
segurIdud deI sIsLemu. EsLo se puede uprovecIur puru corregIr esLos IuIIos.
InIormucin necesuriu en introsiones reules: En deLermInudus ocusIones es
necesurIo que Iu InIormucIn seu suIIcIenLemenLe deLuIIudu y IIubIe puru poder eIecLuur
uccIones IeguIes conLru Ios cuIpubIes.
q
.z.1.z RequIsILos y objeLIvos secundurIos
EI unuIIsIs necesILu que se cumpIun uI menos dos curucLerisLIcus puru su IuncIonumIenLo.
Unu de eIIus es Iu "uccounLubIIILy" (responsubIIIdud), esLo es, Iu cupucIdud de reIucIonur unu
ucLIvIdud con Iu personu u objeLo responsubIe de eIIu. NuLuruImenLe, esLo requIere un sIsLemu IIubIe
de IdenLIIIcucIn y uuLenLIIIcucIn deI sIsLemu. Aunque esLe uspecLo puedu resuILur LrIvIuI u sImpIe
vIsLu, no Io es. ResuILu reIuLIvumenLe IucII IdenLIIIcur Ius ucLIvIdudes de un usuurIo u nIveI de "IosL",
pero reuIIzur Iu mIsmu Lureu u nIveI de red, cuundo Ius ucLIvIdudes de un mIsmo usuurIo pueden
Lener orIgen en mILIpIes "IosLs", requIere mus LIempo de proceso y mecunIsmos mus compIejos.
u oLru curucLerisLIcu es Iu de Iu deteccin en tiempo recl respuestc. EsLo ImpIIcu
reconocer con rupIdez Ios evenLos generudos por un InLruso purur IdenLIIIcur un posIbIe uLuque, y
reuccIonur unLe esLe, bIoqueundoIo (ImpIdIendo Ius conexIones de red) o resLuurundo eI sIsLemu
(ejecuLundo Ios comundos necesurIos puru IIevur eI sIsLemu uI esLudo de "pre-uLuque").
EI unuIIsIs LumbIn puede Lener oLros objeLIvos dIsLInLos u Ios mencIonudos urrIbu. u
InIormucIn puede ser uLIIIzudu puru unuIIsIs Iorenses de red o de sIsLemu. O puede ser necesurIu
puru monILorIzur y mejorur eI rendImIenLo deI sIsLemu.
EI sIguIenLe puso IundumenLuI despus de deLermInur Ios objeLIvos y requIsILos deI unuIIsIs
es esLubIecer Ius prIorIdudes. us prIorIdudes pueden ser ordenudus medIunLe dIIerenLes mLodos,
como eI IorurIo, o eI sIsLemu ("Ios requerImIenLos de esLe sIsLemu LIenen preIerencIu sobre esLos
oLros"). En ocusIones, uIgunus prIorIdudes enLrun en conIIIcLo con oLrus. Puede ser que uImucenur
Ios duLos segn unos deLermInudos requIsILos de nIveI de segurIdud, provoquen unu cuidu de
rendImIenLo que no permILu eIecLuur unuIIsIs suIIcIenLemenLe rupIdos.
.z.1. ucLores de deLeccIn
os eIemenLos que InLervIenen en eI unuIIsIs de Iu deLeccIn de InLrusIones son de dIversu
nuLuruIezu. Es necesurIo comprenderIos mejor unLes de pusur u Ios sIguIenLes upurLudos.
Iuctor homuno: os seres Iumunos son Iu IuenLe de InIormucIn de InLrusIones mus
comn y LrudIcIonuI. En Io que uI unuIIsIs se reIIere, exIsLen esLudIos demuesLrun que
en un escenurIo desurroIIudo durunLe un periodo de LIempo, en eI que un sIsLemu de
deLeccIn de InLrusIones es cupuz de deLecLur mIIes de InLrusIones, eI ser Iumuno sIo
es cupuz de deLecLur uIrededor deI z por cIenLo de Ius mIsmus.
Iventos externos: CuuIquIer evenLo exLerno uI sIsLemu puede uporLur InIormucIn
susLuncIuI uI unuIIsIs. u conLruLucIn o eI despIdo de empIeudos cIuve en Iu gesLIn de
segurIdud, un InusuuI crecImIenLo de InIormes de unomuIius de un deLermInudo
sIsLemu o Ios resuILudos de buLerius de pruebus de vuInerubIIIdudes conLru sIsLemus,
son sIo uIgunos de esLos ejempIos.
Prembolos de introsiones: Se puede uverIguur sI un sIsLemu vu u ser uLucudo sI
presenLu cIerLus evIdencIus de InLrusIones. AIgunus de esLos sinLomus pueden ser Iu
InsLuIucIn de uIgn Lroyuno, Iu udIcIn de nuevus cuenLus de usuurIo no uuLorIzudos uI
sIsLemu o Iu upurIcIn de nuevos "IosLs" en eI IIcIero de equIpos de conIIunzu (en eI
IIcIero /efc/.hosfs en sIsLemus UNX, o eI IIcIero
xWlNDlkx\sysfem32\d1ves\efc\hosfs en sIsLemus WIndows). Uno de Ios
prImeros proyecLos de segurIdud en conLempIur esLe LIpo de probIemus Iue COPS.
qq
ArteIuctos de introsiones: os IIcIeros de regIsLro de un rusLreudor de conLruseus,
IuIIos InexpIIcubIes deI sIsLemu, un InusuuI uumenLo deI consumo de recursos o Iu
upurIcIn de IIcIeros duudos son ejempIos vuIIdos de esLos urLeIucLos, es decIr,
posIbIes evIdencIus de InLrusIones. Pueden uLIIIzurse en unuIIsIs en LIempo reuI o en
proceso por IoLes. Se puede observur que uIgunos urLeIucLos no Iun sIdo pensudos puru
deLecLur InLrusos. No obsLunLe, uyudun en esLe propsILo y u descubrIr posIbIes
vuInerubIIIdudes.
Tiempo: u posIbIIIdud de reuIIzur monILorIzucIones en LIempo reuI, IrenLe uI
LrudIcIonuI modeIo busudo en proceso por IoLes ("buLcI mode bused"), IIzo que Iu
deLeccIn de InLrusIones dIeru un puso udeIunLe, creundo nuevus vius de Lrubujo como
mecunIsmos cupuces de reuccIonur de Iormu ucLIvu u uLuques.
.z.z ModeIos
TunLo Iu vurIedud como Ius posIbIIIdudes de Ios modeIos uLIIIzudos en eI unuIIsIs de Iu
deLeccIn de InLrusIones son enormes. Pueden ser Lun sImpIes como un sencIIIo "scrIpL" que
procese Ios regIsLros de sIsLemu, descurLundo Ios mus comunes, o Lun compIejos como un eIuborudo
sIsLemu no purumLrIco enLrenudo con mIIIones de LrunsuccIones.
EI unuIIsIs de deLeccIn de InLrusIones se puede eIecLuur de mILIpIes Iormus. A
conLInuucIn, se mosLruru eI modeIo propuesLo por Buce |z|, que InLenLu cubrIr Lodus Ius Iormus
de bsquedu de evIdencIus de InLrusIones en Ios regIsLros de evenLos deI sIsLemu. EsLo esLrucLuru eI
modeIo en Lres seccIones prIncIpuIes: consLruccIn deI unuIIzudor, reuIIzucIn deI unuIIsIs, y
reIInumIenLo o reesLrucLurucIn deI proceso. us dos prImerus seccIones se dIvIden u su vez en dos
purLes: preproceso de duLos y posproceso.
No Lodu Iu ucLIvIdud que Iuy en un sIsLemu es normcl. ExIsLe Io que se denomInun
cnomclcs ("unomuIIes"), que son ucLIvIdudes poco comunes, y usos indebidos ("mIsuse"), es decIr,
comporLumIenLos no permILIdos. u dIsLIncIn enLre unus y oLrus es ubsoIuLumenLe ImprescIndIbIe
durunLe eI unuIIsIs. u Iguru -q represenLu Iu reIucIn que Iuy enLre Ios dIsLInLos LIpos de
ucLIvIdudes de un sIsLemu. No exIsLe consenso en Iu comunIdud de proIesIonuIes de segurIdud en
cuunLo uI Lumuo de ureu de InLerseccIn enLre ucLIvIdudes normuIes y usos IndebIdos deI sIsLemu.
AIgunos experLos pIensun que ureu de InLerseccIn es minImu, mIenLrus que oLros uIIrmun que
exIsLe unu ImporLunLe reIucIn enLre Ius dos. EI debuLe sIgue ubIerLo, por Io que exIsLen dIsLInLus
vius de Lrubujo uI respecLo.

q

Iigoru -q - Actividudes de on sistemu: osos indebidos y unomulius

.z.z.1 ConsLruccIn deI unuIIzudor
EI prImer puso en eI modeIo es Iu consLruccIn deI moLor de unuIIsIs. EsLe eIemenLo se
encurgu deI preproceso, cIusIIIcucIn y posproceso de Iu InIormucIn. Dudu su nuLuruIezu, es
necesurIo que esL bIen udupLudo uI enLorno en eI que vu u Lrubujur.
.z.z.1.1 RecopIIucIn y generucIn de evenLos
o prImero que Iuce eI unuIIzudor es recopIIur evenLos. EsLu InIormucIn puede Iuber sIdo
generudu en un enLorno de produccIn, en un IuboruLorIo, o IncIuso IecIu u muno por uIgn
desurroIIudor que compruebu especIIIcucIones.
eteccin de osos indebidos: En esLe cuso, Iu recopIIucIn se cenLru u InIormucIn
reIucIonudu con Iu InLrusIn, IncIuyendo duLos de vuInerubIIIdudes, uLuques, umenuzus,
IerrumIenLus puru escuneur puerLos, y oLrus ureus de InLers. TumbIn se recoge
cuuIquIer eIemenLo sobre poIiLIcus de sIsLemu o procedImIenLos que uyuden u Iu
sIguIenLe Iuse deI modeIo, eI unuIIsIs, u dIscernIr sobre probIemus de segurIdud
reIucIonudos con Iu orgunIzucIn o uLuques exLernos.
eteccin de unomulius: Puru esLe LIpo de de deLeccIn, se recogen Ios evenLos
generudos por eI sIsLemu, o por uIgn objeLIvo sImIIur. EI objeLIvo en esLe cuso es poder
creur un perIII, u purLIr de esLu InIormucIn, que permILu dIseur un puLrn de
comporLumIenLo "normuI".
.z.z.1.z Preproceso
Despus de Iu recopIIucIn de Ios duLos, se someLen u unu LrunsIormucIn, prepcrcndo Ios
mIsmos. En uIgunos cusos es necesurIo converLIrIos u un IormuLo ccnnico. EsLe IormuLo sueIe esLur
InLegrudo en eI propIo dIseo deI unuIIzudor. EI LrmIno "cunnIco" se upIIcu en esLe cuso u un
IormuLo nIco de esLrucLuru de duLos. HecIo orIgInudo por Iu necesIdud de IucIIILur Iu Iubor uI
moLor de unuIIsIs en un enLorno en que coexIsLen dIsLInLos sIsLemus operuLIvos, cudu uno con su
IormuLo de evenLos nuLIvo. En redes en Ius que Lrubujun sIsLemus operuLIvos Iomogneos esLe
concepLo no es necesurIo.
q6
eteccin de osos indebidos: Aqui, eI preproceso de duLos sueIe consIsLIr en Iu
LrunsIormucIn de Ios evenLos de Iormu que se correspondu con Ios duLos u IIILrur
cuundo se pongu en murcIu eI sIsLemu de deLeccIn. Asi, Ios IndIcIos de uLuques o Ius
vIoIucIones de Ius poIiLIcus de segurIdud pueden ser converLIdus en puLrones o IIrmus
reconocIbIes; y en Ios sIsLemus de deLeccIn busudos en red, Ios puqueLes pueden ser
uImucenudos puru reconsLruIr sesIones TCP.
eteccin de unomulius: En esLu deLeccIn, Ios evenLos se pusun u "urruys" o LubIus,
con uIgn LIpo de InIormucIn dIsLInLIvu, como eI nombre deI proceso. Despus de esLo,
se Lruducen u Iormus numrIcus. EI IecIo de Lrubujur con duLos numrIcos reduce Ius
necesIdudes de espucIo, u Iu vez que mejoru Ius cupucIdudes de bsquedu e
IdenLIIIcucIn de puLrones en buscu de probIemus de segurIdud.
.z.z.1. ConsLruccIn de un moLor o modeIo de cIusIIIcucIn de
comporLumIenLo
Unu vez se LIenen Ios duLos IormuLeudos, se Iuce Iu cIusIIIcucIn. Aqui se dIsLInguen Ios
duLos que IndIcun posIbIes InLrusIones de Ios que no presenLun rIesgo uIguno.
eteccin de osos indebidos
u InIormucIn se cIusIIIcu en comporLumIenLos LruducIbIes en puLrones o regIus. EsLus
regIus pueden esLur compuesLus de unu soIu IIrmu (IIumudus ctmiccs), o de mILIpIes IIrmus
(denomInudus compuestcs). Un ejempIo de regIu uLmIcu es Iu que deLecLu puqueLes P
muIIormudos (como uqueIIos con vuIores de cumpos no reconocIdos por Ios RC). Unu regIu
compuesLu podriu consIsLIr en Iu deLeccIn de un uLuque u un servIdor web uLIIIzundo un "expIoIL"
consIsLenLe en unu secuencIu de rdenes HTTP, o un escuner que ubru vurIos puerLos que uLIende eI
servIdor.
Unu de Ius posIbIes esLrucLurus que podriu Lener un deLecLor de usos IndebIdos es Iu de un
sIsLemu experLo ("experL sysLem"). Por unu purLe, conLIene unu buse de conocImIenLos ("knowIedge
buse") con Ios comporLumIenLos sospecIosos recogIdos de InLrusIones pusudus, y por oLru, cuenLu
con regIus que permILen su IdenLIIIcucIn. RegIus que normuImenLe consIsLen en senLencIus "II-
LIen-eIse".
OLru de Ius esLrucLurus mus comunes es Iu deI moLor de comprobucIn de puLrones, que
represenLu Ius InLrusIones como IIrmus de uLuques (puLrones) conLru Ios que se compruebun Ios
duLos de uudILoriu.
eteccin de unomulius
ConsIsLe en Iu eIuborucIn de perIIIes esLudisLIcos de comporLumIenLo u Io Iurgo deI LIempo.
EsLos perIIIes se consLruyen medIunLe deLermInudos uIgorILmos, cupuces de deLecLur cumbIos
gruduuIes en Ios puLrones de conducLu de Ios usuurIos.
EI "nLrusIon DeLecLIon ExperL SysLem" (DES), orIgInudo por eI modeIo de DennIng, es un
ejempIo de deLecLor de unomuIius. DES deIIne eI comporLumIenLo en LrmInos de medidcs
("meusures"): uspecLos de Iu conducLu de usuurIo en Ios sIsLemus monILorIzudos. u TubIu -;
muesLru Iu cIusIIIcucIn de esLus medIdus. us ordincles o continucs se expresun en Iormu de
cunLIdud numrIcu o cuunLIIIcudu. us cctericcs o discretcs se expresun en Iormu de IdenLIdud y
IrecuencIu de suceso.
q;
us cuLegrIcus esLun dIvIdIdus en dos LIpos, bincrics y linecles. us bInurIus IndIcun sI unu
medIdu Iu ocurrIdo o no (posILIvoJIuIso). us IIneuIes se expresun en LrmInos de cunLIdudes,
IndIcundo eI nmero de veces que un deLermInudo comporLumIenLo Iu LenIdo Iugur. |zq|

Ordinul {continou) Cutegricu {discretu)
Binuriu TIempo uLIIIzudo de CPU.
Nmero de regIsLros de
uudILoriu producIdos.
SI un dIrecLorIo Iue uLIIIzudo.
SI un IIcIero Iu sIdo uccedIdo.
SI Ios regIsLros de uudILoriu IndIcuron eI uso
por diuJsemunuJmes.
Lineul N de veces que cudu comundo Iue uLIIIzudo.
N de errores de sIsLemu.
N de IuIIos de enLrudu en Iu ILImu Ioru.
N de evenLos de uudILoriu regIsLrudos.
N de IIcIeros modIIIcudos.
Tublu -, - ClusiIicucin de medidus, con ejemplos, de IIS

.z.z.1.q SumInIsLrur duLos uI modeIo
Despus de consLruIr eI modeIo, se Ie pusun Ios duLos preprocesudos. Es enLonces cuundo se
creu eI moLor de unuIIsIs.
eteccin de osos indebidos: A Ios deLecLores de usos IndebIdos se Ie sumInIsLrun
Ios evenLos provenIenLes de unu buse de conocImIenLo de uLuques; unu recopIIucIn de
uLuques en un IormuLo que eI unuIIzudor puede enLender.
eteccin de unomulius: A Ios deLecLores de unomuIius se Ie sumInIsLrun Ios duLos
de reIerencIu recopIIudos, permILIendo Iu creucIn de perIIIes de usuurIo. Se sueIe
usumIr eI IecIo de que esLos duLos esLun IIbres de InLrusIones, Io que ImpIIcu unu
prevIu Iubor de comprobucIn de Ios duLos recogIdos.
.z.z.1. AImucenur eI modeIo ubusLecIdo en unu buse de
conocImIenLos
EsLe modeIo consLILuye Iu buse deI moLor de unuIIsIs. Unu vez sumInIsLrudos Ios duLos
perLInenLes, se uImucenu en unu IocuIIzucIn deLermInudu, IIsLo puru ser uLIIIzudo.
.z.z.z ReuIIzucIn deI unuIIsIs
EsLu es Iu segundu Iuse deI unuIIzudor. Aqui es donde eI unuIIzudor se upIIcu uI IIujo de
duLos en LIempo reuI puru Iu deLeccIn de InLrusIones.
Noevu entrudu de registro de evento: o prImero que ocurre en eI unuIIsIs es Iu
IIegudu de un nuevo evenLo generudo por uIgunu IuenLe de InIormucIn, Iu cuuI se
usume que no Iu sIdo compromeLIdu. EI orIgen de esLe evenLo puede ser muy vurIudo,
como un puqueLe de red, un regIsLro de uudILoriu de sIsLemu,...
Preproceso: TuI y como sucediu en Iu consLruccIn deI unuIIzudor, uqui LumbIn es
necesurIo LruLur Ios duLos segn Ius necesIdudes deI moLor de unuIIsIs. EsLe LruLumIenLo
puede consIsLIr en Iu exLruccIn de Ius cubecerus TCP de vurIos mensujes puru deIInIr
q8
un nIveI de ubsLruccIn superIor, reconsLruyendo unu sesin. TumbIn se puede uLIIIzur
Iu InIormucIn de Ios IdenLIIIcudores de proceso puru eIuborur un esquemu de proceso
jerurquIco superIor.
eteccin de osos indebidos: Puru Iu deLeccIn de usos IndebIdos, Ios duLos se
pusun u uIgn LIpo de IormuLo cunnIco, de Iormu que se puedun upIIcur u Ios
puLrones de uLuques.
eteccin de unomulius: En esLe cuso, Ios duLos son converLIdos u perIIIes
numrIcos con comporLumIenLos expresudos en Iormu de punLuucIones e
IndIcudores.
Contrustur los registros de eventos con lu buse de conocimiento: AIoru, eI
evenLo yu IormuLeudo, es compurudo con Iu buse de conocImIenLo. A purLIr de esLe
puso, se podrun dur dos cIrcunsLuncIus. Unu vez IecIu Iu compurucIn deI suceso con Iu
buse de conocImIenLo, sI Iuy uIgunu coIncIdencIu, eI evenLo IndIcu unu InLrusIn y seru
regIsLrudo. SI, por eI conLrurIo, no exIsLe, se desecIuru. HecIo esLo, se repeLIru Iu
operucIn con eI sIguIenLe.
eteccin de osos indebidos: Puru enconLrur sIgnos de usos IndebIdos, Ios
evenLos son compurudos con un moLor de comprobucIn de puLrones. SI eI moLor
encuenLru unu IguuIdud, generu unu uIurmu. No obsLunLe, uIgunos moLores
uImucenun unu equIvuIencIu purcIuI (que puede IndIcur un posIbIe uLuque
compuesLo por mILIpIes evenLos) y esperun u Ios sIguIenLes duLos en buscu de unu
decIsIn mus compIeLu.
eteccin de unomulius: EI conLenIdo de Ios perIIIes de comporLumIenLo es
compurudo con eI perIII IIsLrIco deI usuurIo correspondIenLe. Segn eI uIgorILmo
de unuIIsIs uLIIIzudo, se comproburu con muyor o menor exucLILud eI grudo de
sImIIILud enLre eI comporLumIenLo y eI IIsLorIuI deI usuurIo, generundo en cuso
necesurIo Iu perLInenLe uIurmu.
Generur onu respoestu: Se obLIene unu respuesLu en cuso de deLecLur unu InLrusIn.
u respuesLu vIene deLermInudu por eI LIpo de unuIIzudor uLIIIzudo; puede ser unu
enLrudu de regIsLro de sIsLemu, unu uIurmu, unu uccIn de respuesLu uuLomuLIcu
progrumudu por eI udmInIsLrudor, ...
.z.z. ReIInumIenLo y reesLrucLurucIn
AIgunos unuIIzudores cuenLun con unu Lerceru Iuse o esLudo, que se ejecuLu de Iormu
sImuILuneu con Iu Iuse prIncIpuI. ConsLu de eIemenLos de munLenImIenLo deI moLor de unuIIsIs y de
modIIIcucIn de cIerLus IuncIones deI unuIIzudor, como Ios puLrones.
.z.z..1 DeLeccIn de usos IndebIdos
En esLe LIpo de deLeccIn, Ius IuncIones se cenLrun busIcumenLe en Iu modIIIcucIn de Ios
puLrones puru IdenLIIIcur nuevos LIpos de uLuque. EsLu ucLuuIIzucIn puede ser uuLomuLIcu o
munuuI. ndependIenLemenLe deI mLodo uLIIIzudo, se sueIe poder Iucer "uI vueIo"; no es necesurIo
InLerrumpIr eI proceso de unuIIsIs mIenLrus se Iuce Iu ucLuuIIzucIn.
qq
En uIgunos cusos, esLe esLudo se usu en conjuncIn con oLro cuyo objeLIvo es eI de opLImIzur
sILuucIones de reLencIn de esLudos, eIImInundo evenLos que no Iun sIdo resueILos. Uno de Ios
eIemenLos u Lener en cuenLu en eI unuIIsIs de usos IndebIdos es eI LIempo. EI LrmIno "evenL
IorIzon" (IorIzonLe de evenLo) se upIIcu uI LIempo IimILe upIIcubIe u unu curucLerisLIcu de sIsLemu
deLermInudu, como por ejempIo Iu dIIerencIu de LIempo enLre dos enLrudus u un sIsLemu (puru
deLecLur InLenLos de ucceso por Iuerzu bruLu).
.z.z..z DeLeccIn de unomuIius
En esLe LIpo de unuIIsIs, Ios perIIIes IIsLrIcos de comporLumIenLo son ucLuuIIzudos de
Iormu reguIur, segn eI LIpo de moLor. En eI cuso de DES, Ios perIIIes son ucLuuIIzudos dIurIumenLe.
Despus de esLo, eI resumen de Ius esLudisLIcus de comporLumIenLo de cudu usuurIo es uudIdo u Iu
buse de conocImIenLo, y se eIImInun Ius esLudisLIcus mus unLIguus, como Ius de mus de un mes.
Ademus, u cudu diu se Ie upIIcu un IucLor de muILIpIIcucIn InversumenLe proporcIonuI u su
unLIgedud, puru dur muyor vuIor u Ios comporLumIenLos mus recIenLes que u Ios ocurrIdos Iuce
mus LIempo. |zq| EsLo se Iuce puru udupLur eI sIsLemu u Ios cumbIos de conducLu gruduuIes de cudu
usuurIo, con Iu InLencIn de reducIr Ios IuIsos posILIvos, sIn que con eIIo se dIsmInuyu Iu cupucIdud
de deLeccIn deI unuIIzudor.
.z. TcnIcus
Unu vez descrILo un modeIo generuI que uburcu Ios LIpos de unuIIsIs en Iu deLeccIn de
InLrusIones, se descrIbIrun uIgunus de Ius soIucIones empIeudus en esLe cumpo. Como yu se
comenL en upurLudos unLerIores, Iu Iuse de unuIIsIs se dIvIde en dos cuLegorius prIncIpuIes: Iu
deteccin de usos indebidos, que compuru Ios duLos con puLrones en buscu de vIoIucIones de
segurIdud, y Iu deteccin de cnomclcs, que se vuIe de Iu rumu esLudisLIcu de Ius muLemuLIcus puru
IdenLIIIcur comporLumIenLos sospecIosos.
.z..1 DeLeccIn de usos IndebIdos
Un deLecLor de usos IndebIdos es, u grundes rusgos, un compurudor de puLrones. Puru que
IuncIone correcLumenLe necesILu: unu buse de conocImIenLo con puLrones IIubIes, unu serIe de
evenLos puru poder ser unuIIzudos, y un eIIcuz moLor de unuIIsIs.

datos de auditora perfil de sistema
modificar reglas
existentes
aadir reglas
informacin de
sincronizacin
coincide
regla?
posible
ataque

Iigoru -1o - Modelo generul de on detector de osos indebidos

u deLeccIn de usos IndebIdos, por su propIu nuLuruIezu, LIene unu IImILucIn ImporLunLe.
Y es que sIo puede IdenLIIIcur probIemus de segurIdud cuundo yu se Iun deIInIdo en su buse de
conocImIenLo. EsLo sIgnIIIcu que se Iun de conocer de unLemuno Ios mLodos y uLuques uLIIIzudos.
o
O bIen, ser Io suIIcIenLemenLe InLeIIgenLe como puru poder unLIcIpurse u nuevos uLuques,
InLenLundo descrIbIrIos unLes de que sucedun.
u deLeccIn de usos IndebIdos se puede ImpIemenLur de Ius sIguIenLes Iormus:
Sistemus expertos: AqueIIos que reconocen uLuques o InLrusIones medIunLe regIus
"II-LIen-eIse".
Sistemus de ruzonumiento busudos en modelos: Usun modeIos de usos
IndebIdos junLo con mecunIsmos de ruzonumIenLo puru IdenLIIIcur Iu ocurrencIu de unu
InLrusIn.
Anlisis de trunsiciones de estudos: Hucen uso de gruIos o uuLmuLus IInILos puru
represenLur y uLIIIzur puLrones de uLuque.
Monitorizucin de polsucin de teclus: RegIsLrun Iu ucLIvIdud de perIIrIcos
munuuIes, como eI LecIudo, puru obLener InIormucIn que puedu uyudur u Iu deLeccIn
de usos IndebIdos.
.z..1.1 SIsLemus experLos o de produccIn
Un sIsLemu experLo, segn P. Juckson, es un progrumu de ordenudor que represenLu y
ruzonu con Iu InIormucIn de un deLermInudo Lemu especIuIIzudo con eI objeLo de resoIver
probIemus o de dur consejos |z|. EsLos sIsLemus Iueron uLIIIzudos por Ios prImeros producLos de
deLeccIn de usos IndebIdos. AIgunos ejempIos son MDAS, DES, "NexL GeneruLIon DES"
(NDES), DDS, o CMDS. SIsLemus de deLeccIn de InLrusos busudos en red como 5nof y Bro,
comenLudos mus udeIunLe, son deLecLores de puLrones que LumbIn uLIIIzun esLu LcnIcu.
os sIsLemus de produccIn uLIIIzun regIus "II-LIen-eIse" puru exumInur Ios duLos. ReuIIzun
unuIIsIs medIunLe IuncIones InLernus uI sIsLemu, de Iormu compIeLumenLe LrunspurenLe uI usuurIo.
AnLes de Iu exIsLencIu de Ios sIsLemus experLos, Ios progrumudores Leniun que dIseur sus propIos
moLores de decIsIn, Io que ImpIIcubu un Lrubujo udIcIonuI. Ademus, eI IecIo de que cudu uno
LuvIeru que ImpIemenLur sus propIos moLores y regIus, Impediu Iu IIegudu de unu soIucIn esLundur.

evento X? evento X? evento X? evento X?
verdadero verdadero verdadero
falso falso falso falso
ataque
verdadero

Iigoru -11 - Ijemplo de diugrumu iI-then-else

Unu de Ius venLujus mus ImporLunLes de uLIIIzur regIus "II-LIen" es que munLIene sepurudos
eI conLroI de ruzonumIenLo y Iu IormuIucIn de Iu soIucIn deI probIemu. En Io que respecLu u Ios
usos IndebIdos, permILe deducIr unu InLrusIn u purLIr de Iu InIormucIn dIsponIbIe.
1
u prIncIpuI desvenLuju que se pIunLeu es que Ios puLrones no deIInen un orden secuencIuI
de uccIones. DeLecLur medIunLe esLe mLodo uLuques compuesLos por unu sucesIn evenLos encIerru
grundes dIIIcuILudes. Por oLru purLe, Iu Iubor de munLenImIenLo y ucLuuIIzucIn de Iu buse de duLos
es oLros de Ios punLos criLIcos de esLos sIsLemus.
5 55 5nof nof nof nof
5nof es uno de Ios mus popuIures sIsLemus de deLeccIn de InLrusIones. Aunque soporLu
uIgunus IuncIones de deLeccIn de unomuIius, es prIncIpuImenLe un deLecLor de InLrusIones de red
busudo en regIus. EsLu IerrumIenLu es SoILwure Ibre y es cupuz de reuIIzur unuIIsIs de LruIIco en
LIempo reuI, usi como regIsLrur puqueLes en redes P. EsLu IerrumIenLu Iue creudu por MurLy RoesI,
que ucLuuImenLe dIrIge eI equIpo de desurroIIo, compuesLo por experLos provenIenLes de dIversus
enLIdudes como SourceIIre, CERT, NILro DuLu SysLems o CodeCruIL ConsuILunLs.
EsLe sIsLemu LIene Iu venLuju de IuncIonur bujo grun vurIedud de pIuLuIormus. EsLu busudo
en Ius IIbrerius 11bpcap
1
, de modo que udmILe cuuIquIer pIuLuIormu que ucepLe Ius mIsmus, como
Ius enumerudus en Iu sIguIenLe LubIu.

iS6 Spurc M6Sk[P
PC
Alphu Other
X X X X X Linox
X X X OpenBS
X X IreeBS
X X NetBS
X X Soluris
X SonOS q.1.X
X HP-LX
X AIX
X IRIX
X Tro6q
X MucOS X Server
X
Win -
{Winqx[NT[ooo[XP)
Tublu -S - PlutuIormus soportudus por 5nof 5nof 5nof 5nof

SnorL puede reuIIzur unuIIsIs de proLocoIos, bsquedu y compurucIn de conLenIdos, y
puede deLecLur grun vurIedud de uLuques y sondeos, LuIes como desbordumIenLos de "buIIer",
escuneo sIgIIoso de puerLos ("sLeuILI porL scuns"), uLuques CG, sondeos SMB, InLenLos de
IdenLIIIcucIn de SIsLemu OperuLIvo ("OS IIngerprInLIng"), eLc.
Puru su Iubor, uLIIIzu un Ienguuje IIexIbIe de regIus puru descrIbIr eI LruIIco de red que debe
recoger o dejur pusur, udemus de un moLor de deLeccIn que uLIIIzu unu urquILecLuru de "pIugIns"
moduIur. EsLe sIsLemu LIene LumbIn cupucIdudes de uIurmu en LIempo reuI, y soporLu dIversos
mecunIsmos de uIurmu, u Lruvs deI "sysIog", un IIcIero especiIIco, sockeLs UNX, mensujes
WInPopup u cIIenLes WIndows, eLc.

1
11bpcap es un InLerIuz IndependIenLe deI sIsLemu, puru Iu cupLuru de puqueLes de nIveI de usuurIo,
escrILo en eI uwrence BerkeIey NuLIonuI uboruLory.
z
5nof LIene Lres usos prIncIpuIes. Puede uLIIIzurse como un rusLreudor de puqueLes
("snIIIer") de Iormu sImIIur u fcpdump
1
, como regIsLrudor de puqueLes (LII puru depurucIn de
LruIIco de red), y como deLecLor de InLrusIones de red.
5nof esLu escrILo en cdIgo IuenLe ubIerLo, y se puede obLener en su sILIo oIIcIuI. |z6|
Bro
Bro es un deLecLor de InLrusos en LIempo reuI busudo en red, creudo por Vern Puxson, deI
uboruLorIo NucIonuI de uwrence BerkeIey y "AT&T CenLer Ior nLerneL ReseurcI uL CS,
BerkeIey" en CuIIIornIu. Trubuju monILorIzundo de Iormu pusIvu eI LruIIco de red. ue dIseudo
LenIendo en menLe esLos objeLIvos prIncIpuIes:
MonILorIzucIn de redes de uILu veIocIdud; LIpo DD (Iber DIsLrIbuLed DuLu
nLerIuce), u 1oo Mpbs.
NoLIIIcucIn en LIempo reuI.
SepurucIn enLre mecunIsmo y poIiLIcus.
ExLensIbIIIdud.
Puru eIIo, eI dIseo de Bro esLu dIvIdIdo en un motor de etentos que reduce eI IIujo de
LruIIco de red IIILrudo, u unu serIe de evenLos de uILo nIveI. Por oLro Iudo, uLIIIzu un interprete de
uiones de polticcs que unuIIzu Ios evenLos, escrILos en eI Ienguuje especIuIIzudo de Bro, puru
expresur Ius poIiLIcus de segurIdud deI sIsLemu. En Iu sIguIenLe IIguru se muesLru Iu esLrucLuru
generuI deI sIsLemu.

1
fcpdump es unu IerrumIenLu, busudu en 11bpcap, que permILe Iu cupLuru y IIILrudo deI LruIIco
(medIunLe expresIones booIeunus) que pusu por un dIsposILIvo de red, mosLrundo Ius cubecerus de
Ios puqueLes, o escrIbIendo eI conLenIdo de Ios cumpos de duLos en un IIcIero de regIsLro IndIcudo.

Guin de
polticas
Control de
eventos
Filtro
tcpdump
Notificacin en tiempo real
Registro en disco
Flujo de eventos
Flujo filtrado de paquetes
Flujo de paquetes
Intrprete de guiones de polticas
Motor de eventos
libpcap
Red

Iigoru -1 - Istroctoru de Bro

Bro no sIo deLecLu uLuques reuIIzudos u Lruvs deI Lrumo de red que monILorIzu, sIno que
LumbIn conLempIu Iu posIbIIIdud de ser en si mIsmo un poLencIuI objeLIvo de uLuques. Puru eIIo,
cuenLu con mecunIsmos especiIIcos puru su deLeccIn y deIensu. AIgunos de Ios uLuques que
reconoce son:
Sobrecurgu: cuyo objeLIvo es sobrepusur Iu cupucIdud de proceso deI deLecLor.
Cuidu: provocun IuIIos en eI monILor, o Io dejun sIn recursos de sIsLemu.
SubLerIugIo: InLenLun enguur uI monILor medIunLe eI envio de puqueLes TCP con
sumus de conLroI InvuIIdus, o puqueLes P cuyo TT (TIempo de vIdu) es suIIcIenLe puru
IIegur uI monILor, pero no puru IIegur u su desLIno.
ApurLe de esLo, y puru umpIIur su grudo de eIecLIvIdud, Bro LumbIn cuenLu con cupucIdudes
de proceso especiIIco de uIgunus upIIcucIones de red, LuIes como: Inger, TP, PorLmupper, denL,
TeIneL y RIogIn.
Bro se dIsLrIbuye bujo unu IIcencIu LIpo BSD; es SoILwure Ibre, pero no copyIeIL. |z;|
.z..1.z SIsLemu busudo en modeIos
EsLe sIsLemu, que consIsLe en unu vurIucIn de Iu deLeccIn de usos IndebIdos, Iue
propuesLo por T.D. Gurvey y T. unL. ULIIIzu unu buse de duLos de escenurIos de uLuque, en Iu que
cudu escenurIo consIsLe en unu secuencIu de comporLumIenLos que Iormun eI uLuque. En cudu
momenLo, eI sIsLemu unuIIzu subconjunLos de comporLumIenLos de su buse de duLos que coIncIdun
con Ios que esLu experImenLundo en ese InsLunLe. ULIIIzu Ios resuILudos puru IdenLIIIcur y unLIcIpur
posIbIes uLuques (cnticipcdor). EI unLIcIpudor deLermInu Ius posIbIes IosLIIes y Ius envIu uI
plcnijiccdor. EsLe pIunIIIcudor deLermInu eI grudo de ucIerLo enLre eI comporLumIenLo recIbIdo y eI
que IIguru en Ios regIsLros de uudILoriu, y Lruduce Ios resuILudos en regIsLros de uudILoriu deI
sIsLemu.
q
u venLuju de esLe modeIo rudIcu en que esLu busudo en unu Leoriu muLemuLIcu que uLIIIzu eI
prIncIpIo de IncerLIdumbre. EI dIseo deI plcnijiccdor es IndependIenLe de Iu sInLuxIs deI regIsLro
de uudILoriu. Ademus de esLo, esLu soIucIn consume poco LIempo de proceso por cudu regIsLro de
uudILoriu generudo.
Un InconvenIenLe que presenLu esLe modeIo es que depende de Iu buenu perIcIu deI
encurgudo de segurIdud u Iu Ioru de dIseur puLrones creibIes y precIsos. Por oLru purLe, eI modeIo
no especIIIcu cIurumenLe Iu Iormu en que se deben compIIur Ios comporLumIenLos en eI pIunIIIcudor
puru que seu mus eIIcIenLe, Io que uIecLu uI rendImIenLo deI deLecLor. EsLo no es unu debIIIdud
InIerenLe uI modeIo, pero es uIgo u Lener en cuenLu en Iu ImpIemenLucIn.
.z..1. TrunsIcIones de esLudos
EI uso de LrunsIcIones de esLudos ("sLuLe LrunsILIons") puru Iu deLeccIn de usos IndebIdos
permILe Lrubujur con LcnIcus uvunzudus de comprobucIn de puLrones. Se uLIIIzun esLudos y
LrunsIcIones deI sIsLemu puru deIInIr y enconLrur InLrusIones.
EnLre Ios mLodos que udopLun esLu meLodoIogiu desLucun Lres: eI unuIIsIs de LrunsIcIones
de esLudos, Ius "CoIored PeLrI NeLs" (CP-NeLs), y eI "ApIIcuLIon ProgrummIng nLerIuce" (AP).
Anlisis de trunsiciones de estudos
EsLe unuIIsIs uLIIIzu dIugrumus de LrunsIcIones de esLudos que represenLun uLuques
conocIdos puru Iu deLeccIn de usos IndebIdos. EsLe mLodo Iue uLIIIzudo por prImeru vez por eI
sIsLemu STAT |z8|, porLudo u redes UNX bujo eI nombre de USTAT |zq|. EsLos sIsLemus Iueron
creudos en Iu UnIversIdud de CuIIIornIu.
os dIugrumus de LrunsIcIn, como IIusLru Iu Iguru -1, son represenLucIones gruIIcus de
escenurIos de InLrusIones. ULIIIzun uuLmuLus IInILos (gruIos) puru Ios uLuques. EI puso por cudu
esLudo depende de que se cumpIun o no unu serIe de curucLerisLIcus.

exists(objetct) = false
attacker != root
owner(objetc) = user
setuid(object) = disabled
owner(object) = user
setuid(object) = enabled
S1 S2 S3
comprobaciones
comprobaciones
comprobaciones

Iigoru -1 - iugrumu de trunsiciones de estudos

os nodos represenLun Ios esLudos, y Ius IIecIus (urcos) Ius LrunsIcIones. ULIIIzur dIugrumus
de LrunsIcIn IucIIILu Iu usocIucIn enLre Ios esLudos y Ios dIsLInLos pusos que reuIIzu un InLruso
desde que enLru en un sIsLemu, con prIvIIegIos IImILudos, IusLu que se Iuce con eI conLroI deI
mIsmo.

os esLudos deI dIugrumu IndIcun sILuucIones purLIcuIures de un sIsLemu, u Ius que se puede
IIegur de dIsLInLus munerus. De esLu Iormu, vurIos uLucunLes pueden conIIuIr en eI mIsmo esLudo
IubIendo reuIIzudo dIIerenLes pusos.
EI esLudo InIcIuI represenLu eI esLudo deI sIsLemu unLes de ser compromeLIdo. u InLrusIn
se produce cuundo se IIegu uI ILImo esLudo deI dIugrumu. us LrunsIcIones ocurren por uccIones deI
usuurIo. EI sIsLemu compruebu su esquemu de LrunsIcIones puru deLermInur u qu esLudo se IIegu. SI
unu uccIn deLermInudu no IIevu u nIngn esLudo en concreLo, eI sIsLemu devueIve uI usuurIo uI
esLudo mus cercuno en que esLubu. SI Ius uccIones IIevun uI usuurIo uI esLudo IInuI de un dIugrumu,
eI sIsLemu enviu unu uIurmu uI responsubIe de segurIdud con Ius uccIones Lomudus en Iu ILImu
LrunsIcIn.
AIgunus de Ius venLujus deI STAT son Ius sIguIenLes:
os dIugrumus de LrunsIcIn permILen Iucer unu represenLucIn u uILo nIveI de
escenurIos de peneLrucIn.
us LrunsIcIones oIrecen unu Iormu de IdenLIIIcur unu serIe de puLrones que conIormun
un uLuque.
EI dIugrumu de esLudos deIIne Iu Iormu mus sencIIIu posIbIe de deIInIr un uLuque. Asi, eI
moLor de unuIIsIs puede uLIIIzur vurIunLes deI mIsmo puru IdenLIIIcur uLuques sImIIures.
EI sIsLemu puede deLecLur uLuques coordInudos y IenLos.
EsLus son uIgunos de Ios InconvenIenLes deI STAT:
os dIugrumus de LrunsIcIn y Ius IIrmus o puLrones son creudos u muno.
EI Ienguuje uLIIIzudo puru descrIbIr Ios uLuques es demusIudo IImILudo, y en ocusIones
puede resuILur InsuIIcIenLe puru recreur uLuque mus compIejos.
EI unuIIsIs de uIgunos esLudos puede requerIr mus duLos deI objeLIvo, por purLe deI
moLor. EsLo reduce eI rendImIenLo deI sIsLemu.
us IImILucIones de esLe sIsLemu Iuce que no puedu deLecLur uIgunos uLuques comunes,
sIendo necesurIo eI uso de moLores de unuIIsIs udIcIonuIes.
IIOT y "Colored Petri Net"
"CoIoured PeLrI NeLs" (CP-neLs o CPNs) es un Ienguuje orIenLudo u objeLos puru eI dIseo,
especIIIucIn y verIIIcucIn de sIsLemus. Es especIuImenLe upropIudo puru sIsLemus Iormudos por
grun vurIedud de procesos que necesILun esLur comunIcudos y sIncronIzudos. AIgunus ureus LipIcus
en Ius que se upIIcu esLe Ienguuje son sIsLemus dIsLrIbuIdos, proLocoIos de comunIcucIn, o sIsLemus
de produccIn uuLomuLIcu.
u sIguIenLe IIguru muesLru uIgunus de Ios modeIos de operucIones conLempIudos por eI
Ienguuje PeLrI-neL.

6
Operacin secuencial
a b c
Operacin paralela transformada
a
b
c
Operacin paralela transformada
a
b
d
a
c
Salida normal
Salida normal
b

Iigoru -1q - Modelo Petri-net

DOT
1
Iue desurroIIudo en Iu UnIversIdud de Purdue, y represenLu sus puLrones de
InLrusIones medIunLe eI Ienguuje de esLudos y LrunsIcIones deIInIdos por CPNs. |1|
Aunque eI sIsLemu STAT y eI DOT puedun purecer IguuIes, no es usi. ExIsLen ImporLunLes
dIIerencIus enLre umbos punLos de vIsLu. En STAT Ius InLrusIones son deLecLudus por eI ImpucLo que
LIenen sobre eI esLudo deI sIsLemu, en DOT Ius InLrusIones se deLecLun medIunLe Iu compurucIn
de Ios puLrones que Iormun eI uLuque. En STAT, Ios deLecLores ("guurds") esLun ubIcudos en Ios
esLudos, mIenLrus que en DOT esLun en Ius LrunsIcIones.
En eI sIsLemu DOT Ius InLrusIones se expresun en Iormu de puLrones que represenLun
reIucIones enLre Ios evenLos de sIsLemu y su conLexLo. EsLe mLodo es IndependIenLe de Iu
urquILecLuru deI sIsLemu, y permILe represenLur cuuIquIer cuLegoriu de InLrusIones. EI sIguIenLe
ejempIo consIsLe en un puLrn creudo medIunLe eI Ienguuje PeLrI-neL puru Iu deLeccIn de repeLIdos
InLenLos de ucceso IuIIIdo.

1
EI nombre DOT Iue uLIIIzudo como un cIIsLe por su uuLor. SIgnIIIcu "nLrusIon DeLecLIon n Our
TIme" (DeLeccIn de nLrusIones en nuesLro LIempo); reIIrIndose u Ios reLrusos que mucIos
desurroIIudores de deLeccIn de InLrusIones deben soporLur puru poder ImpIemenLur sus desurroIIos
en sIsLemus de produccIn..
;
autenticacin
fallida
autenticacin
fallida
autenticacin
fallida
S1 S2 S3 S4
t=T2 t=T1
T1 - T2 <= 30 minutos

Iigoru -1g - Ijemplo de putrn de utuqoe mediunte el lengouje Petri-net

Unu de Ius venLujus deI sIsLemu DOT es que es muy rupIdo; consume menos deI % deI
LIempo de CPU en unu esLucIn Sun SPARC que generu uIrededor de 6 MB por Ioru. EI moLor
encurgudo de Iu compurucIn de puLrones es IndependIenLe de Iu pIuLuIormu en que Lrubuju. EsLo
Iuce que Ius IIrmus que uLIIIzu se puedun InLercumbIur enLre dIsLInLos sIsLemus,
IndependIenLemenLe de Iu sInLuxIs de regIsLros de uudILoriu usudu. Ademus, soporLu respuesLus
uuLomuLIcus; permILe especIIIcur Ius uccIones que se ejecuLurun en cuso de deLecLur InLrusIones.
us desvenLujus son Ius mIsmus que LIenen Ios sIsLemus de deLeccIn de usos IndebIdos. No
puede deLecLur Io que no esLu deIInIdo en sus buses de puLrones.
.z..1.q SoIucIones busudus en enguujeJAP
OLru de Ius Iormus de ubordur eI probIemu de Ios usos IndebIdos es deIInIr Ienguujes
especiIIcos puru Ios moLores de deLeccIn de InLrusIones. EsLu opcIn es mejor que uLIIIzur oLros
Ienguujes yu exIsLenLes como P-BEST o CPS, dIseudos puru oLros IInes.
AIgunus de Ius soIucIones busudus en esLe mLodo son eI Ienguuje RUSSE, desurroIIudo en
Iu ucuILud UnIversILurIu de NoLre-Dume de Iu PuIx |z|; eI sIsLemu STAKER, IIusLrudo en Iu IIguru
de ubujo, puLenLudo por SmuIu y Snupp de Ios uboruLorIos HuysLuck ||; eI Ienguuje de IIILrudo
de puqueLes N usudo como purLe deI NR (NeLwork IIgIL Recorder) |q|; eI Ienguuje AS, escrILo
en Iu UnIversIdud de owu; o eI MD (nLrusIon DeLecLIon Murkup unguuge), creudo en Iu
UnIversIdud NucIonuI de CIIuo Tung ||.

8
Estacin de trabajo
Estacin de trabajo
Estacin de trabajo
Control de auditora
Navegador
Detector de uso indebido
Gestin de
almacenamiento
Bases de datos y ficheros
Telfono mvil
Pantalla
Correo electrnico

Iigoru -16 - Arqoitectoru del sistemu STALKIR

.z..1. MonILorIzucIn de LecIudo
EsLu LcnIcu consIsLe en recoger Ius puIsucIones de LecIudo puru obLener duLos que puedun
reveIur IndIcIos de uIgunu InLrusIn.
u prIncIpuI venLuju de esLu soIucIn es que regIsLru Lodu Iu ucLIvIdud LecIeudu en unu sesIn
InLerucLIvu, cosu que esLu Iueru de Ius posIbIIIdudes de Ios regIsLros de sIsLemu o de uudILoriu.
DesgrucIudumenLe, exIsLen uLuques que no Iucen uso deI LecIudo. Ademus, Iu mIsmu
InLrusIn se puede expresur de mILIpIes Iormus u nIveI de puIsucIones de LecIus. SI no se Iuce un
unuIIsIs semunLIco de Iu InIormucIn obLenIdu es cusI ImposIbIe deLecLur un uLuque medIunLe esLe
mLodo.
.z..1.6 RecuperucIn de InIormucIn en modo "buLcI"
AnLes de pusur uI sIguIenLe upurLudo, Iuy que expIIcur que Ios modeIos vIsLos
unLerIormenLe Lrubujun en LIempo reuI. No obsLunLe, Iuy soIucIones que buscun InIormucIn
udIcIonuI en Ios IIcIeros de sIsLemu, unu vez que eI uLuque se Iu producIdo. EsLo es especIuImenLe
LII puru experLos de segurIdud especIuIIzudos en eI ureu Iorense.
Un modeIo busudo en LcnIcus R ("nIormuLIon ReLrIevuI"), uLIIIzudo en uIgunos moLores
de bsquedu en nLerneL como AILuvIsLu, es eI propuesLo por Ross Anderson y AbIdu KIuLLuk de Iu
UnIversIsdud de CumbrIdge.
Su soIucIn uLIIIzu eI regIsLro de sIsLemu UNX 1asfcomm en conjuncIn con GMPSE, un
moLor de bsquedu de Iu UnIversIdud de ArIzonu. Un guIn busudo en PerI dIvIde eI regIsLro en
IIcIeros nIcos puru cudu usuurIo. Sobre esLos IIcIeros se ejecuLun bsquedus de GMPSE
reIucIonudus con Ios uLuques recIbIdos. EsLe mLodo sencIIIo permILe enconLrur rupIdumenLe
InIormucIn exLru sobre Ius IncIdencIus deLecLudus. OLru de Ius venLujus de esLe enIoque, es que no
LIene cosLe uIguno. GMPSE es gruLuILo, y se IncIuye por deIecLo en uIgunos sIsLemus. |6|
.z..z DeLeccIn de unomuIius
En Iu deLeccIn de unomuIius se uLIIIzun dIversos uIgorILmos puru creur perIIIes de
comporLumIenLo normuI, que sIrvun de modeIos u conLrusLur con Iu conducLu ucLuuI de cudu
q
usuurIo. us desvIucIones que resuILun de esLu compurucIn son someLIdus u LcnIcus que uLIIIzu eI
sIsLemu puru decIdIr sI Iu IubIdo o no IndIcIos de InLrusIones. os perjiles esLun compuesLos por
conjunLos de mLrIcus. us metriccs son medIdus sobre uspecLos concreLos deI comporLumIenLo deI
usuurIo.

datos de auditora perfil de sistema
posible
ataque
actualizar perfil
generar nuevos perfiles
de forma dinmica
desviacin
estadstica?

Iigoru -1, - Modelo generul de on detector de unomulius

EI prIncIpuI InconvenIenLe de Iu deLeccIn de unomuIius es que Ios perIIIes de conducLu
pueden ser gruduuImenLe educcdos. Un uLucunLe que sepu que sus ucLIvIdudes esLun sIendo
monILorIzudus, puede cumbIur puuIuLInumenLe su Iormu de comporLumIenLo u Io Iurgo deI LIempo,
puru que cuundo comeLu unu InLrusIn no seu reconocIdu como LuI. EsLu LcnIcu es conocIdu como
"sessIon creep" (desIIzumIenLo, o movImIenLo sIgIIoso de sesIn).
Por oLru purLe, unu de Ius venLujus Iu deLeccIn de unomuIius consIsLe en su posIbIIIdud de
descubrIr nuevos uLuques, yu que se udupLu y uprende de Iu conducLu deI sIsLemu, uI conLrurIo que Iu
deLeccIn de usos IndebIdos.
.z..z.1 ModeIo de DennIng
DoroLIy DennIng IndIcu en su documenLo "An nLrusIon DeLecLIon ModeI" uI menos cuuLro
modeIos esLudisLIcos que deben esLur presenLes en eI sIsLemu. Cudu uno dIseudo puru udopLur un
deLermInudo LIpo de mLrIcu |;|. EsLos modeIos son:
Modelo operucionul
Se upIIcu sobre evenLos puru deLermInur por ejempIo, eI nmero de InLenLos de ucceso
IuIIIdos uI sIsLemu. Compuru su mLrIcu con un vuIor umbruI, que normuImenLe Ie IndIcu sI se Iu
comeLIdo unu InLrusIn. EsLe modeIo LumbIn es upIIcubIe u Iu deLeccIn de usos IndebIdos, y es eI
desurroIIudo en Iu deLeccIn de umbruI, expIIcudu mus udeIunLe.
Modelo de desviucin mediu y estndur
EsLe modeIo upIIcu eI concepLo de desvIucIn medIu y esLundur LipIco u Iu Ioru de eIuborur
Ios perIIIes de comporLumIenLo. Supone que u purLIr de Ius dos prImerus medIdus, se puede
esLubIecer un InLervuIo de conIIunzu. EsLe InLervuIo sIrve puru deLermInur Iu desvIucIn esLundur. SI
Ius sIguIenLes medIdus cuen Iueru de esLe InLervuIo reveIuriun un comporLumIenLo unormuI.
Modelo multiooriohle
Es unu umpIIucIn deI modeIo de desvIucIn medIu y esLundur. ULIIIzu correIucIones enLre
dos o mus mLrIcus puru deIInIr un comporLumIenLo. Por ejempIo, en vez de deLermInur Iu conducLu
de un usuurIo excIusIvumenLe por Iu durucIn de su sesIn, LumbIn se LIene en cuenLu Iu ucLIvIdud
de LruIIco de red que generu durunLe Iu mIsmu.
6o
Modelo del Proceso Murkov
EsLe es eI modeIo mus compIejo de Ios cuuLro. ConsIderu cudu evenLo de uudILoriu como
unu vurIubIe de esLudos, y uLIIIzu unu muLrIz de LrunsIcIones de esLudos puru descrIbIr Iu IrecuencIu
de LrunsIcIones de esLudos (no Iu de cudu evenLo, sIno Iu de Lodos junLos). Un evenLo deLermInudo
IndIcu unu unomuIiu sI su probubIIIdud es demusIudo buju. EsLe modeIo uyud u desurroIIur unuIIsIs
busudos en jlujos de etentos o Iu generucIn puLrones probubIes ("predIcLIve puLLern generuLIon")
comenLudu mus udeIunLe en esLu seccIn.
.z..z.z AnuIIsIs cuunLILuLIvos
ProbubIemenLe, Ius LcnIcus busudus en unuIIsIs cuunLILuLIvos son Ius mus uLIIIzudus puru Iu
deLeccIn de unomuIius. MedIunLe esLe mLodo, Ius regIus de deLeccIn y Ios uLrIbuLos de Ios objeLos
se expresun en Iormu numrIcu. EsLos eIemenLos se uLIIIzun en unuIIsIs de dIverso grudo de
compIejIdud. os resuILudos se pueden usur puru uporLur puLrones u Iu deLeccIn de usos IndebIdos,
o puru eIuborur perIIIes reIuLIvos u Iu deLeccIn de unomuIius. A conLInuucIn se descrIben uIgunos
ejempIos de esLe LIpo de unuIIsIs.
eteccin de ombrul
EsLe sIsLemu es conocIdo LumbIn como deLeccIn de umbruI y dIspurudor ("LIresIoId und
LrIgger"). En esLe cuso, se cuenLu eI nmero de veces que ocurren Ios eIemenLos que Iormun Ios
perIIIes de cudu usuurIo, y se compurun esLos duLos con vuIores de umbruI. Por ejempIo, sI un
usuurIo Iu InLenLudo enLrur en eI sIsLemu mus de cInco veces seguIdus con unu conLruseu
IncorrecLu, Iuy probubIIIdud de InLrusIones. O sI se reuIIzu unu serIe de InLenLos de uperLuru de
puerLos en un InLervuIo de LIempo InIerIor u un IimILe, es posIbIe que se esL InLenLundo escuneur eI
sIsLemu.
eteccin heoristicu de ombrul
EsLu deLeccIn desurroIIu eI punLo de vIsLu unLerIor, udupLundo Ios vuIores de umbruI u Ius
medIdus experImenLudus. Por ejempIo, sI un usuurIo sueIe enLrur uI sIsLemu por Io generuI uI prImer
o segundo InLenLo durunLe un periodo de LIempo deLermInudo, y en unu deLermInudu ocusIn se
produce un InusuuI nmero de InLenLos IuIIIdos, se produce unu unomuIiu. os mLodos que se
uLIIIzun puru uproxImur eI vuIor de umbruI son de dIversu nuLuruIezu. Uno de Ios mus sImpIes y
conocIdos puede ser eI de Iu IuncIn de cumpunu de Guuss. Todos uqueIIos vuIores que se uIejen
demusIudo de Io deIInIdo como normuI, reveIun unu posIbIe InLrusIn.
Cheqoeos de integridud busudos en objetivo
ConsIsLe en uLIIIzur uIgunu LcnIcu que permILu deLermInur sI eI objeLIvo monILorIzudo Iu
cumbIudo. NormuImenLe se uLIIIzun IuncIones de resumen crIpLogruIIco ("IusI") sobre Ios
objeLIvos, puru generur sumus de conLroI ("cIecksum") uImucenudus en unu buse de duLos
proLegIdu. SI eI objeLIvo en cuesLIn Iu cumbIudo Io mus minImo, su sumu de conLroI Iubru
cumbIudo susLuncIuImenLe con respecLo u Iu unLerIor. Uno de Ios producLos comercIuIes mus
popuIures que uLIIIzun esLe mLodo es TrIpwIre.
Redoccin de uoditoriu
u reduccIn de evenLos Iue uno de Ios upIIcucIones que Luvo eI unuIIsIs cuunLILuLIvo. EsLe
concepLo, upurecIdo en eI upurLudo .1.1., consIsLe en Iu eIImInucIn de InIormucIn redundunLe o
IrreIevunLe exIsLenLe en regIsLros de sIsLemu de grun Lumuo. EsLe proceso permILe un unuIIsIs
posLerIor mus rupIdo y eIIcIenLe.
EI sIsLemu NADR, desurroIIudo en Iu DIvIsIn CompuLucIonuI y de ComunIcucIones deI
uboruLorIo NucIonuI de os AIumos, es un ejempIo de un producLo que uLIIIzu esLe enIoque.
61
NADR LrunsIormu Ios regIsLros de uudILoriu en vecLores, y Ios someLe u un proceso de reduccIn de
duLos. EI resuILudo es exumInudo medIunLe unuIIsIs esLudisLIcos y sIsLemus experLos supervIsudos
por un operudor. |8|
.z..z. MedIdus esLudisLIcus
us medIdus esLudisLIcus consLILuyen uno de Ios prImeros mLodos uLIIIzudos puru Iu
deLeccIn de unomuIius. MucIos de Ios producLos de deLeccIn de InLrusIones busudos en red
uLIIIzun esLu LcnIcu. SueIen servIrse de jiltros de cnomclcs de protocolo |q|, que en reuIIdud son
IIILros de unomuIius esLudisLIcus, udupLudos puru Lrubujur con proLocoIos de red.
EI LrmIno jiltro de cnomclcs estcdsticcs, se uLIIIzu puru deIInIr sIsLemus que buscun
evenLos cuyo vuIor esLudisLIco es InusuuImenLe bujo, IucIndoIos sospecIosos. Un IIILro de
unomuIius de proLocoIo, es un LIpo de IIILro de unomuIius esLudisLIcus uI que se Iu uudIdo
InIormucIn especiIIcu sobre proLocoIos de red. En eI dIugrumu sIguIenLe se puede observur Iu
reIucIn enLre Ius ureus IdenLIIIcudus como deIInIcIones oIIcIuIes de proLocoIos, eI uso prucLIco de
esLos proLocoIos, y Ios uLuques o InLrusIones. Grun purLe de Ios uLuques que se producen, son
debIdos u usos unmuIos de Ios proLocoIos. CusI Lodos Ios uLuques expIoLun Ius debIIIdudes
exIsLenLes, LunLo en Ius deIInIcIones oIIcIuIes como en uIgunus ImpIemenLucIones de Ios proLocoIos.
os IIILros de unomuIius de proLocoIo son cupuces de deLecLur uqueIIos uLuques reuIIzudos Iueru deI
ureu de uso normuI.

Ataques
Definicin
oficial del
protocolo Uso prctico
del
protocolo
Ataques detectados
por los filtros de
anomala de protocolo

Iigoru -1S - Atuqoes qoe detectu on Iiltro de unomulius de protocolo

AIgunos de Ios sIsLemus que uLIIIzun medIdus esLudisLIcus esLun bcscdos en jrecuencic, en
Ios que Iu IrecuencIu con Iu que se du un deLermInudo evenLo deLermInu su probubIIIdud. AIgunos
de Ios sIsLemus purLIdurIos de esLu Ideu son eI sIsLemu DES (uLIIIzudo en eI proyecLo NDES), eI
sIsLemu HuysLuck, SPADE, o ADAM, descrILos mus udeIunLe.
Mus Lurde comenzuron u Iucer upurIcIn ucercumIenLos bcscdos en tiempo, en Ios que Io
que deLermInu Iu probubIIIdud de un evenLo es eI LIempo LrunscurrIdo desde que sucedI por ILImu
vez. SIsLemus como PHAD, AAD, ERAD o NETAD son uIgunos de Ios purLIdurIos de esLe enIoque,
expIIcudos mus ubujo en esLu seccIn.
6z
Huystuck
HuysLuck Iue creudo por Trucor AppIIed ScIences y Ios uboruLorIos HuysLuck puru Ius
uerzus Areus norLeumerIcunus |qo|. ncorporu dos mecunIsmos esLudisLIcos puru Iu deLeccIn de
unomuIius. EI prImero InvesLIgu eI grudo de sImIIILud enLre unu sesIn de usuurIo y unu InLrusIn
conocIdu. EsLo Io Iuce upIIcundo dIversos uIgorILmos u vecLores deI comporLumIenLo de usuurIo, y
reIucIonudo Ios resuILudos con punLuucIones obLenIdus de InLrusIones yu esLubIecIdus. EI segundo,
de Iormu compIemenLurIu, cuIcuIu Iu desvIucIn enLre Ius esLudisLIcus obLenIdus de Iu sesIn ucLuuI
deI usuurIo y Ios duLos de su perIII esLudisLIco IIsLrIco. |q1|
IIS[NIIS
Ambos sIsLemus Iueron desurroIIudos por SR nLernuLIonuI. ULIIIzun LunLo deLeccIn de
usos IndebIdos como de unomuIius. En Io que respecLu u Iu deLeccIn de unomuIius, se Iuce uso de
perIIIes esLudisLIcos IIsLrIcos, puru cudu usuurIo y sIsLemu. EsLos perIIIes se ucLuuIIzun con eI puso
deI LIempo segn Ios cumbIos de comporLumIenLo.
EI sIsLemu DES uLIIIzu unu buse de conocImIenLo esLudisLIcu con Ios perIIIes obLenIdos.
Cudu perIII conLIene su conjunLo de mLrIcus. EsLu esLudisLIcu, denomInudu punLuucIn DES (S),
se cuIcuIu uLIIIzundo Iu IrmuIu:
S = (S1,Sz,...,Sn)C
-1
(S1,Sz,...,Sn)
L

En Iu que C
-1
es Iu Inversu de Iu muLrIz de correIucIones deI vecLor (S1,Sz,...,Sn), y
(S1,Sz,...,Sn)
L
es Iu LrunspuesLu de ese vecLor. Cudu medIdu Sn represenLu eIemenLos de
comporLumIenLo, LuIes como LIempo de sesIn, nmero de InLenLos de ucceso IuIIIdo, consumo de
CPU, uso de Iu red. |qz|
SPAI [ SPICI
Ambos producLos Iun sIdo desurroIIudos por SIIIcon DeIense. SPADE (SLuLIsLIcuI PuckeL
AnomuIy DeLecLIon EngIne) es un preprocesudor de duLos que permILe Iu deLeccIn de puqueLes
sospecIosos uLIIIzundo LcnIcus de deLeccIn de unomuIius. Se puede ejecuLur como "pIugIn" deI
5nof.
EI sIsLemu SPCE (SLeuILIy ProbIng und nLrusIon CorreIuLIon EngIne), esLu Iormudo por
dos eIemenLos: eI yu mencIonudo deLecLor de unomuIius SPADE, y un correIucIonudor de evenLos.
EI IuncIonumIenLo consIsLe en Iu deLeccIn de unomuIius por purLe de SPADE, Ius cuuIes
enviu uI correIucIonudor. Unu vez reIucIonudus y ugrupudus, eI correIucIonudor Ius regIsLru,
comunIcundo Ius posIbIes ucLIvIdudes sospecIosus. EI correIucIonudor es cupuz de deLecLur por
ejempIo, escuneos de puerLos en orden uIeuLorIo, demusIudo IenLos, o IncIuso uqueIIos reuIIzudos
desde dIsLInLus IuenLes. |q|
AAM
EsLe sIsLemu, uI IguuI que NDES o SPADE, es un deLecLor de unomuIius busudo en
IrecuencIu, es decIr, esLImu Iu probubIIIdud de cudu evenLo segn con Iu IrecuencIu que ocurru.
Como eI resLo de Ios sIsLemus de su cuLegoriu, no necesILu buses de duLos de IIrmus puru reconocer
ucLIvIdudes InusuuIes.
Puede ser enLrenudo puru IdenLIIIcur LunLo uLuques conocIdos como Ios un no pubIIcudos.
denLIIIcu Ius posIbIes InLrusIones murcundo cuuIquIer ucLIvIdud que no Iu uprendIdo como
unmuIu. |qq|
6
PHA |q|, ALA |q6|, LIRA |q;|
EsLos mLodos de deLeccIn de unomuIius de red esLun busudos en LIempo, de modo que
deLermInun Iu probubIIIdud de un evenLo segn eI LIempo que Iu pusudo desde que Luvo Iugur por
ILImu vez. ueron dIseudos por MuLLIew V. MuIoney y PIIIIp K. CIun en eI nsLILuLe oI
TecInoIogy de IorIdu.
ULIIIzun eI concepLo de ctributo puru unuIIzur eI LruIIco de red. os uLrIbuLos son
normuImenLe duLos obLenIdos de Ios puqueLes de red, como Ios cumpos de cubeceru.
Puru cudu uLrIbuLo, recopIIun un conjunLo de vuIores permILIdos (cuuIquIer cosu observudu
uI menos unu vez durunLe eI enLrenumIenLo o uprendIzuje), y murcun uqueIIos vuIores nuevos como
unmuIos. ULIIIzun Iu sIguIenLe ecuucIn puru punLuur Ios uLrIbuLos nuevos:
_ tn ,r
Donde t es eI LIempo LrunscurrIdo desde que eI uLrIbuLo Iue IdenLIIIcudo como unmuIo por
ILImu vez, n eI nmero de enLrenumIenLos reuIIzudos, y r eI Lumuo deI conjunLo de vuIores
permILIdos. De esLo se puede deducIr que rJn es eI vuIor medIo de unomuIius deLecLudus durunLe
enLrenumIenLos. Ademus, eI IucLor t Iuce que eI modeIo seu dependIenLe deI LIempo, oLorgundo
muyores vuIores u uqueIIos uLrIbuLos que IIevun mus LIempo sIn ocurrIr.
us dIIerencIus enLre Ios sIsLemus PHAD, AAD y ERAD rudIcun en Ios uLrIbuLos que
monILorIzun. PHAD ("PuckeL Heuder AnomuIy DeLecLor") conLempIu q uLrIbuLos correspondIenLes
u Ius cubecerus de puqueLes ELIerneL, P, TCP, UDP e CMP. AAD ("AppIIcuLIon uyer AnomuIy
DeLecLor") consLruye modeIos u purLIr de Ius peLIcIones TCP enLrunLes, Iormudos por Ius dIreccIones
orIgen y desLIno, Ios puerLos uLIIIzudos, Ios IndIcudores TCP, y Ios comundos exIsLenLes en eI cumpo
de duLos de upIIcucIn. Puede IIegur u consLruIr modeIos IndependIenLes puru cudu "IosL", puerLo o
combInucIn de umbos. ERAD ("EurnIng RuIes Ior AnomuIy DeLecLIon") LumbIn consLruye
modeIos TCP, pero uLIIIzu Ios duLos obLenIdos puru sugerIr modeIos. Por ejempIo, sI regIsLru dos
peLIcIones TP, desLInudus uI mIsmo "IosL", puede sugerIr unu regIu que IndIcu que Lodus Ius
peLIcIones IucIu ese "IosL" deben ser TP y consLruye un modeIo de puerLo puru ese "IosL".
NITA
EI sIsLemu NETAD ("NeLwork TruIIIc AnomuIy DeLecLor") Iue escrILo por MuLLIew V.
MuIoney en eI nsLILuLe oI TecInoIogy de IorIdu. Es muy sImIIur u PHAD, pero Iue dIseudo puru
mejorur uIgunus de sus curucLerisLIcus. [qS|
ULIIIzu Iu deLeccIn de unomuIius en puqueLes de red, y esLu busudo en LIempo. No obsLunLe,
cuenLu con uIgunus curucLerisLIcus que Io dIIerencIun de PHAD:
IILru eI LruIIco, exumInundo sIo eI comIenzo de Ius peLIcIones enLrunLes.
ULIIIzu como uLrIbuLos Ios prImeros q8 byLes de Ios puqueLes que comIenzun con
cubecerus P.
CuenLu con q modeIos dIsLInLos correspondIenLes u Ios proLocoIos mus uLIIIzudos, como
P, TCP o HTTP.
u ecuucIn tnJr puru deLermInur Ius unomuIius Iu sIdo modIIIcudu puru IndIcur
sucesos poco comunes, pero no necesurIumenLe unmuIos.
6q
u muyoriu de Ios uLuques comIenzun medIunLe eI envio de peLIcIones u un servIdor o
sIsLemu operuLIvo, por Io que puru su deLeccIn sueIe ser suIIcIenLe unuIIzur eI comIenzo de Ius
peLIcIones envIudus u Iu vicLImu. NETAD uLIIIzu dIIerenLes mLodos puru esLu Lureu: descurLu
puqueLes que no seun P, LruIIco suIIenLe (no deLecLu Ius respuesLus unmuIus de un servIdor), Ius
conexIones TCP enLrunLes que comIenzun con IndIcudores SYN-ACK ucLIvudos (IndIcundo que Iu
conexIn Iu sIdo InIcIudu por un "IosL" IocuI), eLc.
os uLrIbuLos de NETAD esLun compuesLos por Ios prImeros q8 byLes de Ios puqueLes que
comIenzun con unu cubeceru P. Por ejempIo, en un puqueLe TCP normuI, Ios uLrIbuLos son Ios zo
byLes de cubeceru P, oLros zo byLes de cubeceru TCP, y Ios 8 prImeros byLes deI cumpo de duLos de
upIIcucIn.
os q modeIos consLruIdos por NETAD son q subconjunLos de LIpos de puqueLes comunes,
obLenIdos deI LruIIco de red. AIgunos de esLos modeIos son: Lodos Ios puqueLes P (IncIuyendo TCP,
UDP e CMP), Lodos Ios puqueLes TCP, Lodos Ios puqueLes TCP SYN (sIn oLro IndIcudor, es
normuImenLe eI prImer puqueLe, con opcIones TCP y sIn cumpo de duLos), Lodos Ios puqueLes TCP
ACK (normuImenLe eI segundo y sIguIenLes puqueLes, que conLIenen cumpo de duLos), puqueLes
TCP ACK u puerLos o-z, TCP ACK uI puerLo z1 (TP), eLc. Es posIbIe que un puqueLe puedu
perLenecer u mus de un subconjunLo. Por ejempIo, un puqueLe de duLos TP, LumbIn es TCP u
puerLos o-z, TCP ACK, TCP e P.
NETAD uLIIIzu Iu sIguIenLe versIn modIIIcudu de Iu punLuucIn de unomuIius tnJr
(udopLudu por PHAD, AAD y ERAD):
_ tnc(1 - rJz6) + ti(ji + rJz6)
Donde nc es eI nmero de puqueLes de enLrenumIenLo LrunscurrIdos desde Iu ILImu
unomuIiu IusLu eI IInuI deI periodo de enLrenumIenLo, t eI periodo de pruebu, r eI nmero de vuIores
permILIdos (enLre 1 y z6), ti eI LIempo LrunscurrIdo desde que Iue conLempIudo eI vuIor i (enLre o y
z) LunLo durunLe enLrenumIenLos o pruebus, y ji Iu IrecuencIu con Iu que Iu ocurrIdo eI vuIor i
durunLe eI enLrenumIenLo. Unu de Ius Ideus desLucubIes de esLe modeIo de punLuucIn, es que LIene
en cuenLu eI concepLo de IrecuencIu, cosu que no Iucen PHAD, AAD o ERAD.
Ventujus e inconvenientes de lus medidus estudisticus
us medIdus esLudisLIcus puru Iu deLeccIn de InLrusIones, esLun enLre Ius LcnIcus mus
uLIIIzudus. SIn emburgo, no por eIIo dejun de Lener sus InconvenIenLes. Aqui se enumerun Ius
curucLerisLIcus mus reIevunLes, LunLo posILIvus como neguLIvus.
u venLuju mus conocIdu, y quIzus Iu mus ImporLunLe de Ios mLodos busudos en unuIIsIs
esLudisLIcos, es su cupucIdud puru Iu deLeccIn de nuevos uLuques. os IIILros de unomuIius de
proLocoIo, mencIonudos unLes, pueden deLecLur nuevos uLuques, un sIn Iuber sIdo regIsLrudos por
Ius enLIdudes oIIcIuIes de segurIdud. No necesILun ucLuuIIzur nIngunu buse de duLos de IIrmus. En
ese uspecLo, son superIores u Ios sIsLemus de deLeccIn busudos en puLrones.
OLru de Ius curucLerisLIcus, derIvudu de Iu unLerIor, de Ios sIsLemus esLudisLIcos es que no
requIeren eI munLenImIenLo que necesILun Ios sIsLemus de deLeccIn de usos IndebIdos. No uLIIIzun
buses de IIrmus o puLrones. EsLo ImpIIcu, por supuesLo, conLur con un modeIo que uLIIIce Ius
mLrIcus precIsus, y que se udupLe udecuudumenLe u Ios cumbIos de comporLumIenLo de Ios
usuurIos.
6
Uno de Ios InconvenIenLes que mus se ucIucun u Iu deLeccIn de unomuIius medIunLe
medIdus esLudisLIcus, es que puede ser puuIuLInumenLe enLrenudu, cosu que no ocurre con Iu
deLeccIn de usos IndebIdos. Un usuurIo muIIcIoso que supIeru que esLu sIendo monILorIzudo,
podriu cumbIur InLencIonudumenLe su ucLILud puru que, en un momenLo dudo, eI sIsLemu
IdenLIIIcuru como normuI un comporLumIenLo IosLII.
OLro de Ios InconvenIenLes de esLos sIsLemus rudIcu en eI grun consumo de recursos que
uLIIIzun IrenLe u oLros modeIos propuesLos. os unuIIsIs esLudisLIcos normuImenLe requIeren mus
LIempo de proceso que Ios sIsLemus de deLeccIn de usos IndebIdos. EsLu IImILucIn Iue unu de Ius
ruzones por Ius que Ios prImeros sIsLemus esLudisLIcos se ejecuLubun en modo "buLcI" unLes de
poderse reuIIzur en LIempo reuI.
Por oLru purLe, Iu nuLuruIezu de Ios unuIIsIs esLudisLIcos Ies ImpIde Lener en cuenLu
reIucIones enLre evenLos secuencIuIes. EI orden de ocurrencIu de evenLos no sueIe ser uno de Ios
uLrIbuLos uLIIIzudos por Ios modeIos de unuIIsIs esLudisLIcos. No pueden reconocer dIrecLumenLe
uLuques reuIIzudos medIunLe sucesIones de evenLos en un deLermInudo orden. EsLo represenLu unu
serIu IImILucIn, dudo eI eIevudo nmero de InLrusIones busudus en esLus curucLerisLIcus.
En mucIos sIsLemus busudos en medIdus esLudisLIcus, eI nmero de IuIsus uIurmus es
demusIudo uILo, Io que Iuce que mucIos usuurIos Ius Ignoren.
.z..z.q MedIdus esLudisLIcus no purumLrIcus
os sIsLemus esLudisLIcos pueden ser de LIpo purumLrIco o no purumLrIco. os prImeros
son uqueIIos cuyus dIsLrIbucIones son conocIdus de unLemuno. Por ejempIo, en Ius prImerus
versIones de DES, Iu dIsLrIbucIn uLIIIzudu eru Iu GuussIunu o normuI. u muyoriu de Ios prImerus
soIucIones busudus en medIdus esLudisLIcus uLIIIzubun uproxImucIones de LIpo purumLrIco.
os enIoques esLudisLIcos no purumLrIcos, por LunLo, Lrubujun con perIIIes de
comporLumIenLo que no se busun en dIsLrIbucIones preesLubIecIdus.
EI InconvenIenLe de Ios mLodos purumLrIcos es que Ius Lusus de error en uIgunos cusos es
demusIudo uILu. SI unu deLermInudu mLrIcu, como eI consumo de CPU, no se ujusLubu u unu
dIsLrIbucIn conocIdu como, por ejempIo, Iu normuI, se produciun demusIudos errores.
En Iu UnIversIdud de TuIune, Indu unkewIcz y Murk Benurd propusIeron un modeIo de
deLeccIn de unomuIius busudo en LcnIcus no purumLrIcus |qq|. EsLu soIucIn uLIIIzu puLrones de
uso menos predecIbIes y permILe Lener en cuenLu medIdus dIIicIIes de uLIIIzur en enIoques
purumLrIcos.
os duLos se cIusIIIcun medIunLe unu LcnIcu denomInudu "cIusLerIg unuIysIs" (ugrupucIn
de duLos). u InIormucIn IIsLrIcu se ugrupu y orgunIzu en "cIusLers" (grupos) segn dIversos
crILerIos de evuIuucIn (IIumudos "IeuLures"). os duLos usocIudos u un deLermInudo usuurIo u
objeLo son preprocesudos y converLIdos en represenLucIones vecLorIuIes (por ejempIo XI = |I1, Iz, ...,
In|). uego, medIunLe un uIgorILmo de ugrupucIn, esos vecLores se renen en cIuses de
comporLumIenLo. u Ideu es que uqueIIos mIembros de unu cIuse esLn muy reIucIonudos unos con
oLros, mIenLrus que Ios de cIuses dIIerenLes seun Io mus dIsLInLos posIbIe.
SIguIendo esLe modeIo no purumLrIco, Iu ucLIvIdud de un usuurIo, expresudu en LrmInos
de crILerIos de evuIuucIn, se dIvIde en dos grupos prIncIpuIes: uno que IndIcu ucLIvIdud unmuIu, y
oLro que IndIcu ucLIvIdud normuI.
66
Unu de Ius venLujus de modeIos no purumLrIcos es que Iucen unu eIecLIvu reduccIn de
duLos de uudILoriu, medIunLe Iu LrunsIormucIn de evenLos en vecLores. Por oLru purLe, LIenen muyor
veIocIdud de deLeccIn que Ios unuIIsIs esLudisLIcos purumLrIcos.
No obsLunLe, un consumo de recursos excesIvo, por purLe de Ios crILerIos de evuIuucIn,
reducIriu de Iormu noLubIe Iu eIIcIencIu de sIsLemus busudos en esLe LIpo de unuIIsIs.
.z..z. SIsLemus busudos en regIus
OLru de Ius uproxImucIones de Iu deLeccIn de unomuIius es Iu busudu en regIus ("ruIe-
bused"). ULIIIzu Ios mIsmos mLodos que Iu deLeccIn de unomuIius esLudisLIcu. u dIIerencIu rudIcu
en que Iu deLeccIn de InLrusIones busudu en regIus Iuce uso de conjunLos de regIus puru
represenLur y uImucenur puLrones de uso. AIgunos de Ios sIsLemus que uLIIIzun esLu meLodoIogiu son
WIsdom und Sense, o TM (TIme-Bused nducLIve MucIIne).
Wisdom und Sense
"WIsdom und Sense" (SubIduriu y senLIdo), Iue desurroIIudo en eI uboruLorIo NucIonuI de
os AIumos y eI uboruLorIo NucIonuI de Ouk RIdge |o|. SoporLu grun vurIedud de pIuLuIormus y
puede Lrubujur u nIveI de sIsLemu operuLIvo y de upIIcucIn.
TIene dos Iormus de uudIr regIus u Iu buse de duLos: de Iormu munuuI, o medIunLe
generucIn uuLomuLIcu u purLIr de Ios duLos IIsLrIcos de uudILoriu. u regIus reIIejun eI
comporLumIenLo de Ios usuurIos y objeLos y esLun uImucenudus en unu esLrucLuru de urboIes
denomInudu bosque. AIgunos duLos especiIIcos denLro de Ios regIsLros de uudILoriu se ugrupun en
"LIreud cIusses" (cIuses de IIIo) u Ius que se usocIun conjunLos de operucIones o regIus. Unu "LIreud
cIuss" podriu ser "Ios regIsLros usocIudos u un deLermInudo usuurIo".
us unomuIius se deLecLun uI compurur Ios nuevos evenLos con uqueIIos usocIudos u Ios
"LIreuds" correspondIenLes, y evuIuundo su reIucIn con Ios puLrones IIsLrIcos de ucLIvIdud.
Generucin de putrones probubles
u generucIn de puLrones probubIes o "PredIcLIve PuLLern GeneruLIon" InLenLu predecIr
evenLos IuLuros busundose en uqueIIos que yu Iun LenIdo Iugur |1|. ULIIIzu unu buse de regIus de
perIIIes de usuurIos deIInIdu u purLIr de esLudisLIcus de evenLos. u Iguru -1q muesLru un ejempIo
de unu posIbIe regIu creudu medIunLe esLu meLodoIogiu:

E1 E2
E3 = 5%
E3 = 15%
E3 = 80%
E1 E2
E3 = 5%
E3 = 15%
E3 = 80%

Iigoru -1q - Generucin de putrones probubles

6;
EsLo sIgnIIIcu que, conLundo con Iu premIsu de que Ios evenLos E1 y Ez Iun ocurrIdo en ese
orden, Iuy un 8o% de probubIIIdudes de que sIgu E, un 1% de que ocurru Eq, y un % de que
Lengu Iugur E. No obsLunLe, uIgunus de Ius InLrusIones que no IIguren en Ius regIus no se
reconocerun como LuIes. Por Io LunLo, sI unu secuencIu de evenLos deLermInudu exIsLe, y perLenece u
unu InLrusIn, pero no esLu en Iu buse de regIus, se murcuru como no reconocIdu. EsLo se puede
urregIur murcundo Ios evenLos no reconocIdos como InLrusIones, uunque esLu medIdu LumbIn
uumenLuru eI nmero de IuIsos posILIvos. NormuImenLe, un evenLo se murcu como InLrusIn sI Iu
purLe IzquIerdu de Iu regIu coIncIde, pero Iu purLe derecIu es muy dIIerenLe de Iu predIccIn
esLudisLIcu.
EsLe mLodo LIene numerosus venLujus. Unu de eIIus, es que puede deLecLur unomuIius en
secuencIus de evenLos, dIIicIIes de deLecLur medIunLe oLros mLodos menos IIexIbIes. Por oLru purLe,
udupLu con IucIIIdud u Ios cumbIos de comporLumIenLo. os puLrones menos uLIIIzudos son
puuIuLInumenLe eIImInudos, quedundo u Iurgo pIuzo uqueIIos de mus cuIIdud. MedIunLe esLu LcnIcu
es mus IucII IdenLIIIcur u uqueIIos usuurIos que InLenLun enLrenur uI sIsLemu durunLe su Iuse de
uprendIzuje (mLodo yu comenLudo, denomInudo "sessIon creep"). EsLo es usi, debIdo u que Iu
semunLIcu se consLruye en Ius propIus regIus de deLeccIn. Ademus, esLe mLodo LIene pocos
requerImIenLos de recursos de sIsLemu, IucIendo posIbIe eI proceso de Ios duLos de uudILoriu e
IdenLIIIcucIn de unomuIius en poco LIempo.
Uno de Ios InconvenIenLes de esLos sIsLemus es que, como ocurre con Lodos Ios sIsLemus de
uprendIzuje, dependen de Iu cuIIdud deI muLerIuI de enLrenumIenLo que usun. os duLos de
uprendIzuje deben ser Io mus IIeIes posIbIes u Iu ucLIvIdud normuI de Ios usuurIos. Ademus, eI
nmero de IuIsos posILIvos es grunde prIncIpuImenLe uI comIenzo de Iu operucIn, debIdo u que Iu
muyoriu de Ios evenLos exIsLenLes no sueIen coIncIdIr con Ios comIenzos de Ius regIus.
TIM
EI sIsLemu TM ("TIme-Bused nducLIve MucIIne") Iue desurroIIudo por Teng, CIen y u en
usocIucIn con DIgILuI EquIpmenL CorporuLIon |z|. ULIIIzu mLodos InducLIvos puru generur
secuencIus de puLrones. mpIemenLu un LIpo de modeIo de probubIIIdud de LrunsIcIones de Murkov
de DennIng, buscundo puLrones en secuencIus de evenLos.
Su IuncIonumIenLo y curucLerisLIcus esLun busudos en Iu LcnIcu de generucIn de puLrones
probubIes, expIIcudu unLes. Como TM uLIIIzu grupos de secuencIus de evenLos, eI espucIo que
necesILu puru su buse de regIus es menor que eI que necesILun uqueIIos sIsLemus que Lrubujun con
evenLos uIsIudos, como WIsdom und Sense.
EsLe producLo senL Ius buses deI producLo de deLeccIn de InLrusIones DIgILuI EquIpmenL
CorporuLIon PoIycenLer y sIrvI de reIerencIu puru mucIos Lrubujos sobre deLeccIn de unomuIius
posLerIores.
.z..z.6 Redes neuronuIes
Unu de Ius Iormus de deLeccIn de unomuIius mus promeLedorus es Iu busudu en redes
neuronuIes. EI concepLo consIsLe en uprovecIur Ius curucLerisLIcus de uprendIzuje de esLus redes,
puru predecIr Ius uccIones de Ios usuurIos, dudo un nmero deLermInudo n de uccIones prevIus
conocIdus. ||
us redes neuronuIes esLun Iormudus por numerosos eIemenLos de procesumIenLo sImpIe
denomInudos unidcdes que se InLerucLun enLre si medIunLe conexiones con peso. EI conocImIenLo
de unu red neuronuI se uImucenu medIunLe Iu IndIcucIn de Ius conexIones enLre Ius unIdudes y sus
68
pesos. EI proceso de uprendIzuje se reuIIzu cumbIundo pesos y uumenLundo o dIsmInuyendo eI
nmero de conexIones.

ls
chmod
pwd
vi
rm
ftp
Capa de entrada Capa de salida
comando
ms
probable
Red
neuronal

Iigoru -o - Redes neoronules puru lu deteccin de unomulius

u red neuronuI es enLrenudu medIunLe conjunLos de Ios comundos mus sIgnIIIcuLIvos.
Despus de un periodo de enLrenumIenLo, Iu red conLrusLu Ios comundos obLenIdos con eI perIII de
usuurIo. CuuIquIer comundo o uccIn predIcIu IncorrecLumenLe permILen deLermInur eI grudo de
desvIucIn enLre eI usuurIo y eI perIII esLubIecIdo.
En eI DepurLumenLo de TecnoIogiu nIormuLIcu y CompuLucIn de Iu UnIversIdud de
AIIcunLe se Iu IecIo un esLudIo sobre Iu uLIIIzucIn de redes neuronuIes en eI que se Iun obLenIdo
exLruordInurIos resuILudos |q|. ApIIcuron dos mLodos en Iu experImenLucIn: unu red de
percepLrn muILIcupu y un mupu uuLo-orgunIzuLIvo (MAO) ||.
En eI esLudIo se uLIIIzuron como duLos de enLrudu zq eIemenLos consIsLenLes en eIemenLos
de cubecerus de puqueLes P, TCP, UDP, TCMP y duLos obLenIdos u purLIr de Ios conLenIdos de Ios
puqueLes. uego, en unu red IocuI de dos ordenudores, y con Iu uyudu de Iu InIormucIn
proporcIonudu por eI escuner de vuInerubIIIdudes Nessus y eI DS 5nof, se cupLururon un LoLuI de
qq puqueLes "peIIgrosos" uLIIIzudos en Ius pruebus. ULIIIzuron unu purLe de esLos puqueLes puru
enLrenur u Ios sIsLemus y Iu oLru puru proburIos, con unos porcenLujes de ucIerLos de mus deI qo%.
us redes neuronuIes LIenen Iu venLuju de que IuncIonun bIen con duLos con ruIdo. No
Iucen suposIcIones esLudisLIcus sobre Iu nuLuruIezu de Ios duLos. Son cupuces de deLecLur nuevus
Iormus de uLuque no conocIdus, sIn necesIdud de regIus InLroducIdus munuuImenLe. Ademus, son
IucIIes de modIIIcur puru soporLur nuevos conjunLos de usuurIos.
Uno de Ios InconvenIenLes de esLos sIsLemus esLu reIucIonudo con Iu cunLIdud de duLos u
uLIIIzur durunLe eI enLrenumIenLo. us redes neuronuIes provocuriun mucIos IuIsos posILIvos sI Ios
duLos son InsuIIcIenLes, y sI son demusIudos, eI nmero de duLos IrreIevunLes seriu uILo,
uumenLundo Ios IuIsos neguLIvos. OLro de Ios punLos en conLru de esLe modeIo es que no uporLu
nIngunu expIIcucIn sobre Ius unomuIius que IdenLIIIcu, dIIIcuILundo Iu posIbIIIdud de corregIr Ius
ruices deI probIemu de segurIdud en eI sIsLemu. Por oLru purLe, un InLruso podriu ser cupuz de
enLrenur u Iu red durunLe Iu Iuse de uprendIzuje ("sessIon creep"). AIgunos desurroIIudores Iun
uporLudo soIucIones IibrIdus que InLenLun soIvenLur uIgunos de esLos InconvenIenLes. |6|
6q
.z.. MLodos uILernuLIvos
ApurLe de Ios mLodos de deLeccIn mencIonudos, Iun Ido upurecIendo nuevus soIucIones,
upIIcubIes bIen u Iu deLeccIn de usos IndebIdos, bIen u Iu deLeccIn de unomuIius.
Con Lodu segurIdud, en un IuLuro cercuno upurecerun mus LcnIcus como Ius descrILus u
conLInuucIn. Como se comproburu, Ius posIbIIIdudes en eI cumpo de Iu deLeccIn son enormes.
CuuIquIer sIsLemu reIucIonudo con LcnIcus de uprendIzuje, reduccIn de duLos, o Lomu de
decIsIones se puede upIIcur de uIgn modo u Iu deLeccIn de InLrusIones, bIen en Iu deLeccIn de
usos IndebIdos o en Iu deLeccIn de unomuIius.
SI bIen es cIerLo que esLus LcnIcus son uLIIIzudus en mucIus ocusIones en conjuncIn con
oLrus mus LrudIcIonuIes, puru reIInur Ios procesos de deLeccIn, LumbIn se encuenLrun como
propuesLus IndependIenLes.
.z...1 SIsLemu Inmune
EsLu propuesLu consIsLe en uprovecIur Ius sImIIILudes exIsLenLes enLre eI sIsLemu Inmune
deI orgunIsmo y Iu deLeccIn de InLrusIones, busudus en Iu IdenLIIIcucIn de Io que es propIo uI
sIsLemu y Io ujeno uI mIsmo.
EI sIsLemu Inmune es cupuz de reconocer comporLumIenLos exLruos uI orgunIsmo
(unLigenos). os unLigenos, en eI conLexLo de un sIsLemu compuLucIonuI con usuurIos y
comporLumIenLos IndIvIduuIes, pueden esLur reIucIonudos:
Con comporLumIenLos unmuIos deI usuurIo.
Con uLuques conocIdos de unLemuno.
EsLus curucLerisLIcus se pueden uLIIIzur puru Iu deLeccIn de unomuIius y Iu de usos
IndebIdos.
AIgunos desurroIIudores de Iu UnIversIdud de MxIco (orresL, HoImeyr, y SomuyugI, enLre
oLros) Iun upIIcudo esLe mLodo u Ius secuencIus de IIumudus uI sIsLemu, bujo UNX |;|. Su
sIsLemu uLIIIzu pequeus secuencIus de IIumudus uI sIsLemu, LenIendo en cuenLu sIo Iu reIucIn
LemporuI enLre Ius mIsmus.
EI proceso de deLeccIn de InLrusIones se compIeLu en dos Iuses. u prImeru consIsLe en Iu
creucIn de un perIII de comporLumIenLo normuI. u dIIerencIu de esLe perIII con respecLo u oLros
comenLudos en esLe cupiLuIo es que esLu cenLrudo en procesos de sIsLemu, no en usuurIos. En Iu
segundu Iuse se uLIIIzu dIcIo perIII puru, u Lruvs de desvIucIones de comporLumIenLo de sIsLemu,
IdenLIIIcur unomuIius.
os resuILudos obLenIdos Iueron sorprendenLes, permILIendo Iu deLeccIn de unomuIius en
eI comporLumIenLo de vurIos progrumus de UNX IIsLrIcumenLe probIemuLIcos. Ademus, Ius
secuencIus de ejecucIn uLIIIzudus erun busLunLe reducIdus |8|.
Por oLru purLe, en Iu UnIversIdud de CIIIe y ConcepcIn se Iu propuesLo un sIsLemu de
deLeccIn de InLrusIones busudo en Iu BIoIogiu, mus concreLumenLe en eI sIsLemu Inmune. |q|
EsLu propuesLu unuIIzu eI comporLumIenLo de usuurIos unuIIzundo Ius secuencIus de
comundos que ejecuLun |6o||61||6z|, en un enLorno dInumIco, en eI que eI sIsLemu se udupLu
;o
gruduuImenLe u Ios cumbIos de comporLumIenLo de cudu usuurIo. ULIIIzun dos crILerIos usocIudos u
Ius secuencIus esLudIudus: comcndos sucesores, que curucLerIzu u Ios usuurIos u Lruvs de Iu
reIucIn cuusuI de Ios comundos ejecuLudos; y secuencic sementcdc, mus compIeju que Iu unLerIor,
que buscu puLrones exLensos y LuI vez segmenLudos en Ius cudenus recogIdus. EsLus secuencIus
sIrven puru creur Ios perIIIes de usuurIo.
Puru eI LruLumIenLo y respuesLu unLe InLrusIones, eI sIsLemu uLIIIzu unu urquILecLuru
dIsLrIbuIdu busudu en ugenLes, que se comenLu mus u Iondo en un upurLudo posLerIor. os
prIncIpuIes componenLes de esLu esLrucLuru son Ios denomInudos AentesT, nombre derIvudo de
InIocILos T.
u recopIIucIn de Ios comundos de consoIu se reuIIz u Lruvs de un "wrupper" (envoILuru)
de consoIu, progrumudu especiIIcumenLe puru esLu propuesLu, denomInudu JuduSIeII (sh). EsLu
IerrumIenLu no sIo proporcIonu Ios servIcIos usuuIes de unu consoIu normuI y regIsLru Ios
comundos ejecuLudos, sIno que permILe eI unuIIsIs de Ios duLos puru IucIIILur Iu Iubor u Ios ugenLes, y
resLrIngIr Ius operucIones de Ios usuurIos.
os resuILudos de Iu propuesLu Iueron mus que suLIsIucLorIos, IucIendo esLe sIsLemu LII
LunLo en umbIenLes monousuurIo como en enLornos muILIusuurIo. No obsLunLe, como yu se upunL,
Ios sIsLemus suscepLIbIes de ser enLrenudos corren eI rIesgo de ser uLucudos por usuurIos que
modIIIcun muIIcIosumenLe su ucLILud u Iurgo pIuzo ("sessIon creep").
En generuI, eI uso de Leorius busudus en eI sIsLemu Inmune puru Iu deLeccIn de InLrusIones,
permILe ubordur sIsLemus compIejos de Iormu mus sImpIe que mucIus oLrus uILernuLIvus, y sIn
dIIerencIus sIgnIIIcuLIvus en Ios resuILudos.
No obsLunLe, esLus LcnIcus no deberiun uLIIIzurse de Iormu nIcu, sIn eI upoyo de uIgn oLro
mecunIsmo de deLeccIn compIemenLurIo. AIgunos uLuques, LuIes como Ios de condIcIn de curreru,
enmuscurumIenLo, o vIoIucIones de poIiLIcus de sIsLemu no Iucen uso de procesos prIvIIegIudos, por
Io que no son deLecLudos por esLe enIoque.
.z...z GenLIcu
os cloritmos eneticos LumbIn son de grun uLIIIdud en Iu deLeccIn de InLrusIones,
como uvunzudo mLodo de unuIIsIs de duLos.
Un uIgorILmo genLIco es un uIgorILmo de bsquedu busudo en Iu mecunIcu de Iu seIeccIn
nuLuruI y de Iu genLIcu nuLuruI. CombInu Iu supervIvencIu deI mus upLo enLre esLrucLurus de
secuencIus con un InLercumbIo de InIormucIn esLrucLurudo, uunque uIeuLorIo, puru consLILuIr usi
un uIgorILmo de bsquedu que Lengu uIgo de Ius genIuIIdudes de Ius bsquedus Iumunus |6|.
EI uIgorILmo genLIco es uno de Ios uIgorILmos engIobudos en eI conjunLo que recIbe eI
nombre de cloritmos etolutitos; Ios cuuIes, uLIIIzun Ius nocIones de Iu seIeccIn nuLuruI IormuIudu
por DurwIn puru soIucIonur probIemus.
Cudu soIucIn seru represenLudu u Lruvs de unu cudenu de os y de 1s cromosomcs que se
verun enLonces someLIdos u unu ImILucIn de Iu evoIucIn de Ius especIes: muLucIones y
reproduccIn por combInucIn. Como se Iuvorece Iu supervIvencIu de Ios mus "upLos" (Ius
soIucIones mus correcLus), se provocu Iu upurIcIn de IibrIdos cudu vez mejores que sus pudres. AI
despejur Ios eIemenLos mus upLos, se gurunLIzu que Ius generucIones sucesIvus serun cudu vez mus
udupLudus u Iu resoIucIn deI probIemu.
;1
Puru uLIIIzur uIgorILmos genLIcos en Iu deLeccIn de InLrusIones, Ios desurroIIudores Iun
deIInIdo tectores de hiptesis puru Ios duLos de evenLos, donde Ios vecLores pueden IndIcur sI Iu
IubIdo InLrusIn o no. EnLonces, Iu IIpLesIs se someLe u pruebu puru deLermInur sI es vuIIdu. Con
Ios resuILudos de Iu pruebu, se desurroIIu unu versIn mejorudu (etolucioncdc) de Iu IIpLesIs. EsLe
proceso se repILe IusLu enconLrur unu soIucIn.
En eI sIsLemu GASSATA, desurroIIudo por udovIc M, en runcIu, upIIcu eI uIgorILmo
genLIco uI probIemu de Iu cIusIIIcucIn de evenLos medIunLe eI uso de vecLores de IIpLesIs H (uno
por cudu IIujo de evenLos reIevunLe) de n dImensIones (donde n represenLu eI nmero de uLuques
poLencIuIes). |6q|
os resuILudos experImenLuIes Iueron usombrosos. Se obLuvo unu probubIIIdud de
verduderos posILIvos deI o.qq6, sIendo de o.ooqq Iu de IuIsos posILIvos. EI LIempo necesILudo puru
consLruIr Ios IIILros LumbIn Iue minImo. Puru un conjunLo de zoo uLuques, uI sIsLemu Ie IIev 1o
mInuLos y z segundos unuIIzur Ios evenLos recopIIudos durunLe o mInuLos de InLensu ucLIvIdud de
usuurIo.
En Ios uIgorILmos genLIcos, Ios mecunIsmo de evoIucIn y seIeccIn son IndependIenLes
deI probIemu u resoIver: sIo vuriun Iu IuncIn que descodIIIcu eI genoLIpo en unu soIucIn posIbIe y
Iu IuncIn que evuIu eI ujusLe de Iu soIucIn. EsLu LcnIcu es de upIIcucIn generuI.
Por ILImo, Iuy que mencIonur que eI uIgorILmo genLIco puede uyudur en Iu produccIn de
unu vurIedud de objeLos, mIenLrus seu posIbIe obLener unu cuIIIIcucIn que permILu expresur Iu
soIucIn. De esLu Iormu, es posIbIe IubrIcur prevIsores esLudisLIcos, no u Lruvs de cuIcuIos de duLos
como en Iu esLudisLIcu cIusIcu, sIno IucIendo evoIucIonur Ios duLos medIunLe uIgorILmo genLIco
("InduccIn"). EI mecunIsmo de esLImuIucIn de Ios mus upLos, permILe Iu upurIcIn deI prevIsor,
que reordenuru Ios duLos Io mejor posIbIe. EsLe LIpo de consLruccIn de prevIsor Iormu purLe de Ius
IIumudus LcnIcus de "duLu mInIng" (mIneriu de duLos), comenLudu u conLInuucIn.
os prevIsores producIdos pueden Lener Iormus muy dIversus, como: buses de regIus,
evuIuucIn por punLuucIn, urboIes de decIsIn e IncIuso redes neuronuIes.
.z... "DuLu mInIng" (mIneriu de duLos)
Segn upunLun uIgunos, Iu mIneriu de duLos es eI sucesor de Iu esLudisLIcu cIusIcu. TunLo
uno como oLru, IIevun uI mIsmo IIn, consLruIr modelos compucLos y comprensIbIes que reIucIonen Iu
descrIpcIn de unu sImuIucIn y un resuILudo reIucIonudo con dIcIu descrIpcIn. A grundes rusgos,
Iu muyor dIIerencIu enLre umbos, resIde en que Ius LcnIcus de mIneriu de duLos consLruyen su
modeIo de Iormu uuLomuLIcu, mIenLrus que Ius LcnIcus esLudisLIcus cIusIcus deben ser munejudus
por un proIesIonuI.
u deLeccIn de InLrusIones que uLIIIzu LcnIcus de mIneriu de duLos es sImIIur u Iu busudu
en regIus. nLenLu descubrIr puLrones IIubIes de curucLerisLIcus de sIsLemu que puedun deIInIr puuLus
de comporLumIenLo de sIsLemu y usuurIo. EsLos conjunLos de curucLerisLIcus de sIsLemu son
procesudos medIunLe mLodos de InduccIn por moLores de deLeccIn que IdenLIIIcun LunLo
unomuIius como usos IndebIdos.
u mIneriu de duLos exLrue modeIos u purLIr de grundes cunLIdudes de InIormucIn. TIene Iu
pecuIIurIdud de enconLrur reIucIones enLe Ios duLos que seriun mus dIIicIIes de deLecLur medIunLe
oLros mLodos de unuIIsIs. EnLre Ios uIgorILmos dIsponIbIes puru upIIcur Iu mIneriu de duLos sobre
duLos de uudILoriu predomInun Lres: clcsijicccin, cnclisis de enlcce, y cnclisis de secuencic.
;z
ClusiIicucin: AsIgnu Ios duLos u unu serIe de cuLegorius predeIInIdus. os uIgorILmos
de cIusIIIcucIn devueIve clcsijiccdores, LuIes como urboIes de decIsIn o regIus. En Iu
deLeccIn de InLrusIones, Ios cIusIIIcudores decIden sI Ios duLos de uudILoriu perLenecen
u unu cuLegoriu normuI o unmuIu.
Anlisis de enluce: denLIIIcu Ius reIucIones y correIucIones enLre Ios cumpos en eI
cuerpo de Ios duLos. Un uIgorILmo de unuIIsIs de enIuce pLImo reconoce eI conjunLo de
curucLerisLIcus de sIsLemu mus udecuudo puru reveIur InLrusIones.
Anlisis de secoenciu: Creu puLrones de secuencIus. EsLos uIgorILmos pueden
IdenLIIIcur uqueIIos evenLos que sueIen ocurrIr junLos, y proporcIonur medIdus
esLudisLIcus de LIempo puru mejorur Iu deLeccIn de InLrusIones. EsLus medIdus uyudun
en Iu deLeccIn de uLuques busudos en denegucIn de servIcIo.
EI nmero de propuesLus sobre de deLeccIn de InLrusIones busudus en Iu mIneriu de duLos
es ubundunLe. MucIus de eIIus Iun sIdo desurroIIudus en Iu UnIversIdud de CoIumbIu, por Wenke
ee y SuIvuLore J. SLoIIo. AIgunos de sus Lrubujos son "A DuLu MInIng rumework Ior BuIIdIng
nLrusIon DeLecLIon ModeIs" |6|, "AdupLuLIve nLrusIon DeLecLIon: u DuLu MInIng ApproucI"|66|,
"MInIng AudIL DuLu Lo BuIId nLrusIon DeLecLIon ModeIs" |6;|, o "A DuLu MInIng und CD Bused
ApproucI Ior DeLecLIng NoveI und DIsLrIbuLed nLrusIons" |68|.
Unu de Ius venLujus de Iu mIneriu de duLos es que mejorun eI rendImIenLo, Iu munejubIIIdud
y reducen eI LIempo de Lrubujo. Su cupucIdud de reuIIzur modeIos propIos, u purLIr de uIgunos LIpos
de duLos (como eI consumo de CPU), dIIicIIes de encujur en dIsLrIbucIones conocIdus, Ies Iuce
Idneos puru Iu deLeccIn de InLrusIones. Ademus de su rupIdez, LumbIn son vuIorudos por su
sencIIIez. EsLus LcnIcus permILen Lrubujur con ImporLunLes cunLIdudes de InIormucIn sIn
probIemus.
.z...q DeLeccIn busudu en ugenLes
os ugenLes son upIIcucIones de soILwure que reuIIzun IuncIones de monILorIzucIn en
muquInus. uncIonun de Iormu uuLnomu, es decIr, son sIo conLroIudos por eI sIsLemu operuLIvo,
no por oLros procesos. os ugenLes esLun sIempre operuLIvos, sIendo posIbIe Iu comunIcucIn y
cooperucIn enLre eIIos sI es necesurIo.
EI grudo de compIejIdud de Ios ugenLes es vurIubIe. Pueden reuIIzur Lureus sencIIIus como
regIsLrur eI nmero de ocusIones en que un usuurIo enLru uI sIsLemu, o mus compIejus como Iu
bsquedu de evIdencIus de cIerLos uLuques, de ucuerdo con deLermInudos purumeLros. Ademus,
LIenen Iu cupucIdud de responder de Iormu muy precIsu unLe posIbIes InLrusIones, por ejempIo,
modIIIcundo prIorIdudes de procesos.
Dudus sus curucLerisLIcus, Ios ugenLes se pueden uLIIIzur LunLo en deLeccIn de unomuIius
como de usos IndebIdos.
Agentes uotnomos
MucIos sIsLemus de deLeccIn de InLrusIones uLIIIzun ugenLes. EI sIsLemu denomInudo
AgenLes AuLnomos puru Iu DeLeccIn de nLrusIones (AAD), propuesLo en Iu UnIversIdud de
Purdue, Iue uno de Ios prImeros en uLIIIzur esLos eIemenLos.
Su urquILecLuru esLu orgunIzudu de Iormu jerurquIcu, en Iu que exIsLen mecunIsmos de
conLroI y dIvuIgucIn, LuI como se observu en Iu Iguru -z1 sIguIenLe. Pueden exIsLIr vurIos ugenLes
;
por muquInu ("IosL"), y cudu uno de eIIos enviu sus duLos u un LrunsmIsor-recepLor. EsLos ILImos,
coordInun Ius operucIones reuIIzudus por Ios ugenLes y se encurgun de su IuncIonumIenLo y
conIIgurucIn. Ademus, reuIIzun IuncIones de reduccIn de duLos y enviun sus resuILudos uI
sIguIenLe nIveI jerurquIco, Iormudo por uno o mus monILores.
os monILores, que pueden esLur esLrucLurudos en dIsLInLos nIveIes, procesun Iu
InIormucIn que recIben de Ios LrunsmIsores-recepLores. os monILores pueden obLener duLos de
Lodu Iu red, de Iormu que pueden deLecLur uLuques muILI-muquInu ("muILI-IosL"), reuIIzudos desde
dIIerenLes sIsLemus. os monILores son conLroIudos u Lruvs de unu InLerIuz de usuurIo, y uLIIIzun
esu InIormucIn puru envIur rdenes u Ios LrunsmIsores-recepLores.

A
M
T
A
A
A
T
A
A
A = Agente T = Transmisor-receptor M = Monitor
HOST
Interfaz de
usuario

Iigoru -1 - Arqoitectoru del sistemu AAII

EnLre Ius venLujus de AAD cube desLucur que es un sIsLemu mus robusLo que oLros
mecunIsmos de deLeccIn de InLrusIones. Su urquILecLuru esLrucLurudu en nIveIes, permILe Iu
udIcIn o exLruccIn de componenLes de Iormu sencIIIu. os ugenLes pueden ser probudos de Iormu
IndependIenLe unLes de ImpIunLurIos en eI sIsLemu. Como esLos ugenLes se pueden comunIcur enLre
si, pueden reuIIzur de Iormu IndIvIduuI Lureus sImpIes, de Iormu que Iu Lureu conjunLu seu mus
compIeju.
No obsLunLe, esLe sIsLemu LumbIn LIene sus desvenLujus. SI un monILor IuIIu, Ios duLos
envIudos por Ios LrunsmIsores-recepLores conecLudos u I, dejurun de IIegur. Unu de Ius uILernuLIvus
propuesLus mus IucIIes de ImugInur puru soIvenLur esLe probIemu, es Iu dupIIcucIn de Ios
monILores, unuIogumenLe u como se Iuce con servIdores de "buckup" en redes. DesgrucIudumenLe,
esLu sILuucIn provocu probIemus de consIsLencIu de duLos y dupIIcucIn de InIormucIn que
requIeren LcnIcus udIcIonuIes. Huy probIemus, comunes u Lodos Ios sIsLemus de deLeccIn de
InLrusIones dIsLrIbuIdos, usocIudos uI reLurdo enLre Iu ocurrencIu de unu IncIdencIu y su IIegudu uI
monILor. OLro InconvenIenLe no menos ImporLunLe, y exIsLenLe en mucIos oLros sIsLemus de
deLeccIn de InLrusIones, es eI de conLur con unu InLerIuz de usuurIo demusIudo pobre en
conLenIdos. u Iormu de represenLur Ius regIus de sIsLemu, usi como Ius poIiLIcus de segurIdud es
mejorubIe.

;q
.z... gIcu dIIusu
u IgIcu dIIusu ("Iuzzy IogIc") es unu Iormu de ruzonumIenLo que Incorporu crILerIos
mILIpIes puru Lomur decIsIones y vuIores mILIpIes puru evuIuur posIbIIIdudes.
En IgIcu dIcoLmIcu (mLodo de ruzonumIenLo, busudo en que cudu resLrIccIn deI
probIemu puede ser consIderudu verduderu o IuIsu), se esperu derIvur unu soIucIn decIdIendo enLre
si o no, dependIendo de sI cudu unu de Ius resLrIccIones o purumeLros es verdudero o IuIso. En
cumbIo, en IgIcu dIIusu es posIbIe uLIIIzur escuIus de condIcIones (resLrIccIones) y muLIces
(IIexIbIIIdud) en Ios vuIores numrIcos. En eI InLervuIo |o..1| puede cuber cuuIquIer vuIor de verdud,
sIn necesILur ser un nmero enLero. PermILe voIcur numrIcumenLe expresIones deI LIpo mu
ccliente.
EsLe mLodo se sueIe uLIIIzur puru mejorur y uIInur eI IuncIonumIenLo de oLros sIsLemus. Por
ejempIo, en Iu UnIversIdud de MIssIssIppI, Ios proIesores Susun M. BrIdges y RuyIord B. VuugIn
propusIeron un proLoLIpo de sIsLemu de deLeccIn de InLrusIones InLeIIgenLe (DS) busudo en
LcnIcus de "Iuzzy duLu mInIng" y uIgorILmos genLIcos |6q|. CombInuron Ius cupucIdudes de
represenLucIn de duLos de Iu IgIcu dIIusu, y Iu cupucIdud de creucIn de modeIos deI "duLu mInIng"
u purLIr de grundes cunLIdudes de duLos. De esLu Iormu Ies Iue posIbIe uLIIIzur puLrones mus IIexIbIes
y ubsLrucLos, mus cercunos u Iu reuIIdud, puru Iu deLeccIn de InLrusIones.
u IgIcu dIIusu permILe represenLur concepLos que pueden perLenecer u vurIus cuLegorius
(cuLegorius soIupudus). En Iu Leoriu de conjunLos esLundur, cudu eIemenLo es mIembro de unu
cuLegoriu o no Io es. No obsLunLe, Iu IgIcu dIIusu permILe Iu perLenencIu purcIuI u vurIus cuLegorius.
eteccin de Introsiones iIosu
JoIn E. D., Jukku J., OurunIu K y JuIIe A. D., de Iu UnIversIdud de owu, Iun exLendIdo eI
concepLo de dijuso, desurroIIundo un deLecLor de InLrusIones busudo en red bujo eI nombre RE
("uzzy nLrusIon RecognILIon EngIne") |;o|. EsLe sIsLemu uLIIIzu unu urquILecLuru busudu en
ugenLes, medIunLe eI sIsLemu AAD, mencIonudo en eI upurLudo unLerIor, puru dIsLrIbuIr Iu
monILorIzucIn. Cudu uno de eIIos dIIumInu sus enLrudus de duLos. Se comunIcun con un moLor de
evuIuucIn dIIuso, que reIucIonu Ios duLos recIbIdos de Ios ugenLes medIunLe regIus dIIusus puru
producIr dIIerenLes grudos de uIurmus.
os sIsLemus dIIusos son muy LIIes en Iu deLeccIn de escuneo de puerLos, y uLuques de
denegucIn de servIcIo, usi como Iu ucLIvIdud de dIversos Lroyunos o puerLus Lruserus.
EsLus son uIgunus de Ius venLujus mus ImporLunLes de Ios sIsLemus dIIusos:
Pueden obLener y reIucIonur enLrudus de duLos de origenes vurIudos.
TIenen mus muLIces puru deIInIr InLrusIones dIIicIIes de cIusIIIcur por oLros sIsLemus
mus esLrIcLos.
Pueden emILIr dIIerenLes grudos de uIurmus.
os sIsLemus dIIusos purecen Lener un IuLuro promeLedor en Iu deLeccIn de InLrusIones.
SIn emburgo, es ImporLunLe Lener un uILo grudo de conocImIenLo en esLu muLerIu puru poder uIInur
correcLumenLe Ius regIus de deLeccIn. Por oLru purLe, eI dIseo de Ios ugenLes es IundumenLuI en
sIsLemus de esLe LIpo. Su especIuIIzucIn y grudo de deLuIIe pueden deLermInur Iu IdenLIIIcucIn de
nuevus Iormus de uLuque con xILo.
Ccptulo Modelo de juncioncmiento - . Respuestc
;
.z...6 AnomuIius urLIIIcIuIes
u generucIn de unomuIius urLIIIcIuIes es un modeIo propuesLo por Wenke ee, SuIvuLore
J. SLoIIo, W. un, M. MIIIer, y P. K. CIun |;1|. ConsIsLe en uLIIIzur uIgorILmos puru IubrIcur
unomuIius nuevus, u purLIr de uLuques yu conocIdos de unLemuno. De esLu Iormu, se InLenLu mejorur
Ius cupucIdudes de deLeccIn LunLo de usos IndebIdos como de unomuIius (deLeccIn de InLrusIones
conocIdus y no conocIdus). EI deLecLor de InLrusIones propuesLo esLu busudo en red.
Uno de Ios uspecLos que se desLucun en eI modeIo es Iu necesIdud de combInur Ios dos
mLodos de deLeccIn de InLrusIones mus comunes: eI de cIusIIIcucIones, o usos IndebIdos y eI de
unomuIius.
En cIrcunsLuncIus normuIes, puru Iu generucIn de modeIos de cIusIIIcucIn, se uLIIIzu
InIormucIn de enLrenumIenLo busudu en cIuses de duLos conocIdus. u IImILucIn de esLos modeIos
es precIsumenLe, que sIo reconocerun unomuIius reIucIonudus con esus cIuses. En Iu deLeccIn de
unomuIius, Iu IImILucIn es que sIo se uLIIIzu unu cIuse conocIdu (equIvuIenLe u puuLus de
comporLumIenLo normuI; por ejempIo, eI nmero medIo de conexIones por sesIn), o uIgunus
InsLuncIus IImILudus de cIuses conocIdus, con eI objeLIvo de reconocer cIuses no conocIdus.
EsLu propuesLu presenLu Iormus de generur unomuIius urLIIIcIuIes, busudus en cIuses
conocIdus, puru proporcIonur un uIgorILmo de uprendIzuje que permILu IuIIur Iormus de sepurur Ius
cIuses conocIdus de Ius no conocIdus. DIscuLe Iormus de generur modeIos de deLeccIn de
unomuIius, u purLIr nIcumenLe de duLos normuIes. Y esLudIu eI proceso de creucIn de modeIos de
deLeccIn combInudu de usos IndebIdos y unomuIius, u purLIr de duLos que conLIenen cIuses
conocIdus.
os resuILudos de Ios experImenLos son muy posILIvos. DemuesLrun que eI deLecLor de
unomuIius, enLrenudo con unomuIius conocIdus y generudus urLIIIcIuImenLe, es cupuz de deLecLur
mus deI ;;% de Lodus Ius cIuses de InLrusIones no conocIdus, con mus deI o% eIIcucIu. Por oLru
purLe, eI deLecLor combInudo de usos IndebIdos y unomuIius, es Lun eIIcuz como eI deLecLor de usos
IndebIdos sImpIe, IdenLIIIcundo InLrusIones conocIdus, y es cupuz de deLecLur mus deI o% de Ius
cIuses de InLrusIones no conocIdus, con unu eIIcucIu de enLre eI ;% y eI 1oo% por cIuse.
. RespuesLu
os resuILudos obLenIdos de Iu Iuse de unuIIsIs, se uLIIIzun puru Lomur Ius decIsIones que
conducIrun u unu respuesLu. EsLu es Iu Lerceru y ILImu Iuse deI modeIo de un sIsLemu de deLeccIn
de InLrusIones. EI conjunLo de uccIones y mecunIsmos que se pueden eIecLuur en esLu eLupu es
umpIIo. A conLInuucIn se descrIbIrun Ios requIsILos y LIpos de respuesLu mus comunes.
..1 PrImerus consIderucIones
Cuundo se dIseu un pIun de respuesLu unLe posIbIes InLrusIones Iuy que Lener en cuenLu eI
murco de Lrubujo. Unu empresu puede esLImur necesurIo cumpIIr con Ios esLundures en gesLIn de
segurIdud y munejo de IncIdencIus, mIenLrus que un InvesLIgudor de segurIdud que experImenLu con
unu red de IuboruLorIo puede necesILur regIsLrur de Iormu exIuusLIvu Ius ucLIvIdudes de Iu mIsmu
puru su InvesLIgucIn. os producLos comercIuIes deberiun ser Io suIIcIenLemenLe versuLIIes puru
poder uLender Ius necesIdudes de Ios usuurIos en esLe uspecLo.
;6
Unu de Ius consIderucIones u Lener en cuenLu uI dIseur un mecunIsmo de respuesLu es eI
enLorno operucIonuI en eI que se vu u uLIIIzur. Un sIsLemu de deLeccIn que debu coordInur Iu
InIormucIn de mILIpIes ugenLes, dIsLrIbuIdos u Io Iurgo de unu red de produccIn, no LIene Ius
mIsmus necesIdudes de uIurmu y noLIIIcucIn que un sIsLemu no dIsLrIbuIdo, InsLuIudo en un
ordenudor personuI.
EI eIemenLo monILorIzudo juegu un pupeI ImporLunLe en eI modeIo de respuesLu. Unu de Ius
ruzones por Ius que se proporcIonun respuesLus ucLIvus, como eI bIoqueo de Ius conexIones deI
uLucunLe, se debe u Iu exIsLencIu de sIsLemus que proporcIonun IuncIones o servIcIos criLIcos u Ios
usuurIos. Un ejempIo de esLe cuso es eI de buncos o comercIos eIecLrnIcos. Un uLuque de
denegucIn de servIcIo podriu ser gruves consecuencIus en esos cusos.
En deLermInudos enLornos, se cuenLu con procedImIenLos preesLubIecIdos de obIIguLorIo
cumpIImIenLo. AIgunus Iuerzus mIIILures poseen normus que deIInen Ios requIsILos y IuncIones que
deben suLIsIucer Ios deLecLores de InLrusIones. SI en un deLermInudo momenLo, eI deLecLor no esLu
ucLIvo, se IndIcu que dIcIo sIsLemu no debe Lrubujur con InIormucIn cIusIIIcudu.
Por oLru purLe, Ius uIurmus y uvIsos proporcIonudos por un mecunIsmo de respuesLu
deberiun presenLur suIIcIenLe InIormucIn udIcIonuI puru IndIcur Ius uccIones u Lomur en cudu
sILuucIn. AIgunos producLos de segurIdud sIo IndIcun eI IdenLIIIcudor deI error medIunLe un
IucnIco mensuje, sIendo mus LII uudIr eI posIbIe orIgen deI probIemu y cmo soIucIonurIo.
..z TIpos de respuesLus
us respuesLus de un sIsLemu de deLeccIn de InLrusIones pueden ser de dos LIpos: pcsitcs
o cctitcs. us pusIvus consIsLen en Iu emIsIn de InIormes, o eI regIsLro de Ius InLrusIones ocurrIdus.
us ucLIvus son Ius que ImpIIcun uIgunu uccIn en purLIcuIur, como eI bIoqueo de conexIn, eI cIerre
InmedIuLo de unu cuenLu, o Iu proIIbIcIn de ejecucIn de deLermInudos comundos.
Se pueden soporLur umbos LIpos de respuesLus en un sIsLemu de deLeccIn. Unu no excIuye
u Iu oLru. Es posIbIe que en deLermInudus unomuIius sIo seu necesurIo regIsLrur Iu ucLIvIdud
ocurrIdu puru su posLerIor exumen, mIenLrus que en InLrusIones u sIsLemus criLIcos Iugu IuILu unu
ucLuucIn mus ucLIvu y urgenLe. Como se comenL unLes, Lodo depende de Ius necesIdudes de cudu
cuso
..z.1 RespuesLus ucLIvus
us respuesLus ucLIvus, como yu se mencIon, uIecLun uI progreso deI uLuque, pueden ser
IIevudus u cubo de Iormu uuLomuLIcu por eI sIsLemu, o medIunLe InLervencIn Iumunu.
EsLus uccIones pueden ser de dIversu nuLuruIezu; no obsLunLe, Iu muyoriu se pueden
cIusIIIcur en esLus Lres cuLegorius prIncIpuIes: ejecuLur uccIones conLru eI InLruso, corregIr eI
enLorno, y recopIIur mus InIormucIn.
..z.1.1 EjecuLur uccIones conLru eI InLruso
u mus Iumosu de Ius respuesLus ucLIvus, es Iu de Lomur uccIones conLru eI InLruso. u Iormu
mus dIrecLu consIsLe en IdenLIIIcur eI orIgen de uLuque, e ImpedIrIe eI ucceso uI sIsLemu. Por
ejempIo, desucLIvundo unu conexIn de red, o bIoqueundo Iu muquInu compromeLIdu.
;;
SIn emburgo, Lomur decIsIones Lun ugresIvus no es sIempre unu buenu soIucIn. Huy
sILuucIones en Ius que esLo podriu cuusur serIos probIemus:
os uLuques recIbIdos u menudo son reuIIzudos, no desde Iu propIu muquInu deI
InLruso, sIno desde unu vicLImu conLroIudu por uqueI. EI InLruso puede Iuber uLIIIzudo
u su vicLImu medIunLe uIgn progrumu de conLroI remoLo, o como resuILudo de un IuIIo
de segurIdud que Ie permILIeru enLrur. SI se bIoqueu o IncIuso devueIve eI uLuque en
esLu sILuucIn, se esLuriu perjudIcundo u uIguIen InocenLe.
En mucIus ocusIones, Ios uLucunLes uLIIIzun LcnIcus de ocuILucIn de su dIreccIn P
("spooIIng"). En esLe LIpo de uLuques, Ius dIreccIones P de orIgen no LIenen nudu que
ver con eI uLucunLe. ncIuso pueden no exIsLIr, IecIo beneIIcIoso en cusos de uLuque de
denegucIn de servIcIo, en Ios que eI servIdor pIerde demusIudo LIempo esperundo Iu
respuesLu de dIreccIones P que no responden nuncu.
Por oLru purLe, responder de Iormu uuLomuLIcu u InLrusIones puede provocur
penuIIzucIones IeguIes. SI se devueIve eI uLuque u unu enLIdud InocenLe, puede eIecLuur
unu demundu por duos y perjuIcIos. Ademus, en uIgunus orgunIzucIones, Lomur esLe
LIpo de decIsIones sIn Iu uuLorIzucIn udecuudu puede ser ruzn de despIdo.
Se pueden reuIIzur uccIones conLru InLrusos menos drusLIcus. Por ejempIo, LermInundo Iu
sesIn TCP probIemuLIcu, o bIoqueundo durunLe un InLervuIo de LIempo eI orIgen de Ius InLrusIones,
o envIundo un correo eIecLrnIco uI udmInIsLrudor.
Huy que Lener en cuenLu que ejecuLur unu respuesLu deIInILIvu, de Iormu uuLomuLIcu, es
uIgo deIIcudo. SI en un deLermInudo enLorno se bIoqueun permunenLemenLe Ius dIreccIones P que
InLenLun demusIudus conexIones con eI servIdor, y un InLruso se percuLu de eIIo, puede eIuborur un
uLuque que consIsLu en reuIIzur sucesIvos InLenLos de conexIn con dIreccIones IuIseudus,
perLenecIenLes u Ios cIIenLes mus ImporLunLes. De esLu Iormu, eI propIo deLecLor de InLrusIones
esLuriu bIoqueundo u sus propIos cIIenLes, uyudundo u un uLuque de denegucIn de servIcIo.
..z.1.z CorregIr eI enLorno
EsLu opcIn, como su nombre IndIcu, consIsLe en eIecLuur Ius uccIones perLInenLes puru
resLuurur eI sIsLemu y corregIr Ios posIbIes probIemus de segurIdud exIsLenLes. En Iu muyoriu de Ius
ocusIones, esLu respuesLu ucLIvu sueIe ser Iu uccIn mus ucerLudu.
AqueIIos sIsLemus que cuenLun con mLodos de de cuto-curccin ("seII-IeuIIng"), son
cupuces de IdenLIIIcur eI probIemu y proporcIonur Ios mLodos udecuudos puru corregIrIo.
En mucIus ocusIones, esLe LIpo de respuesLus puede provocur cumbIos en eI moLor de
unuIIsIs o en Ios sIsLemus experLos, generuImenLe uumenLundo su sensIbIIIdud e IncremenLundo eI
nIveI de sospecIu unLe posIbIes InLrusIones.
..z.1. RecopIIur mus InIormucIn
Recoger InIormucIn udIcIonuI es oLru de Ius respuesLus ucLIvus. EsLu opcIn es uLIIIzudu en
ocusIones puru cumpIIr Ios requIsILos de InIormucIn necesurIos puru poder Lomur uccIones IeguIes
conLru posIbIes crImInuIes. NormuImenLe se upIIcu en sIsLemus que proporcIonun servIcIos criLIcos.
OLru de Ius sILuucIones en Ius que se puede dur esLe LIpo de respuesLu, es en muquInus o
redes que ImILun comporLumIenLos y servIcIos reuIes, puru enguur u Ios InLrusos. TuI es eI cuso de
;8
servIdores "decoy" (Lrumpu), "IIsIbowI" (pecerus), o "IoneypoLs" (Lurros de mIeI). EsLe ILImo LIpo,
por su crecIenLe rungo de curucLerisLIcus, que Io Iucen LII en eI umbILo de Iu deLeccIn de
InLrusIones, es comenLudo mus u Iondo en eI sIguIenLe cupiLuIo.
u puesLu en prucLIcu de un servIdor "decoy" Iue descrILu prImeru vez u Lruvs de un
urLicuIo escrILo por BIII CIeswIck |;z|. En I deLuIIubu cmo Iubiu creudo un servIdor "decoy" puru
redIrIgIr Ius uccIones de un "crucker" IoIunds que uLucubu sus sIsLemus. EI uso de un servIdor
"decoy" Iue comenLudo por CIIII SLoII en su IIbro "TIe Cuckoo's Egg" |;|.
us posIbIIIdudes derIvudus deI uso de servIdores "decoy" o "IoneypoLs" son muy umpIIus, y
se expIIcun con muyor deLuIIe en eI sIguIenLe cupiLuIo. Por descrIbIr uIgunus de eIIus, pueden ser
usudos puru regIsLrur de Iormu exIuusLIvu Ius ucLIvIdudes de un InLruso, y uprovecIur Ios resuILudos
puru Lomur medIdus IeguIes. Por oLru purLe, un servIdor Lrumpu puede uLIIIzurse, como yu se Iu
IecIo en uIgunu empresu, puru deLecLur vuInerubIIIdudes uLIIIzudus por InLrusos, un no pubIIcudus
o nI sIquIeru descubIerLus. OLru de Ius posIbIIIdudes que LIenen esLos sIsLemus, es Iu de uyudur u
dIseur mejores puLrones y regIus de deLeccIn, grucIus u Ios regIsLros de ucLIvIdud obLenIdos.
..z.z RespuesLus pusIvus
Son uqueIIus respuesLus que consIsLen en eI envio de InIormucIn uI responsubIe
correspondIenLe, dejundo recuer en I Iu Lomu de decIsIones. En Ios prImeros deLecLores de
InLrusIones, Lodus Ius respuesLus erun pusIvus. Aunque Iu LecnoIogiu Iu evoIucIonudo mucIo desde
enLonces, Ius respuesLus pusIvus sIguen exIsLIendo. Y es que, por muy uIInudos que seun Ios
mecunIsmos de respuesLu uuLomuLIcu, Iuy ocusIones en que un sIsLemu no LIene Iu responsubIIIdud
suIIcIenLe puru Lomur unu decIsIn.
us uIurmus por punLuIIu son unu de Ius uIurmus mus comunes enLre Ios sIsLemus de
deLeccIn de InLrusIones. Un mensuje en unu venLunu IndIcu uI usuurIo que se Iu comeLIdo unu
posIbIe InLrusIn, ucompuundo u veces eI mensuje con InIormucIn udIcIonuI, como Iu dIreccIn
deI posIbIe uLucunLe, eI proLocoIo usudo, eLc. MucIus veces, eI conLenIdo de esLus uIurmus puede ser
conIIgurudo.
OLru de Ius posIbIes Iormus de recIbIr respuesLus pusIvus es u Lruvs deI correo eIecLrnIco o
mensujes u un LeIIono mvII. u venLuju deI segundo cuso sobre eI prImero, es que puede ser
recIbIdo en cuuIquIer Iugur, cuuIIdud muy uprecIudu enLre udmInIsLrudores. No obsLunLe, un correo
eIecLrnIco puede conLener mus InIormucIn, proporcIonundo un mensuje mus exLenso, y menos
umbIguo, sobre Iu IncIdencIu.
Por oLru purLe, uIgunos sIsLemus de deLeccIn de InLrusIones esLun InLegrudos con
mecunIsmos de gesLIn de redes. En esLos cusos se sueIe Iucer uso de mensujes SNMP (ProLocoIo
SImpIe de GesLIn de Red). u InLegrucIn con esLe sIsLemu de comunIcucIn permILe uLIIIzur
cunuIes yu exIsLenLes puru eI envio de IncIdencIus. No obsLunLe, un uso excesIvo por purLe de
deLecLores de InLrusIones de esLos cunuIes, podriu perjudIcur u oLros sIsLemus que LumbIn IIcIerun
uso de eIIos.
.. ObservucIones sobre Ius respuesLus
Puru que Iu Iuse de respuesLu de un deLecLor de InLrusIones Lengu reIuLIvo xILo, Iuy que
Lener cIerLos uspecLos en cuenLu. Desde que se deLecLu unu ucLIvIdud sospecIosu, IusLu que se
comunIcu u Iu enLIdud correspondIenLe, se producen unu serIe de pusos en Ios que Iuy que suIvur
;q
dIversos obsLucuIos. MunLener cIerLu segurIdud en Iu comunIcucIn de Ius respuesLus, conIIgurur
udecuudumenLe eI deLecLor de InLrusIones puru mInImIzur Ios IuIsos posILIvos, o proporcIonur
mLodos de uImucenumIenLo upropIudos puru Ius noLIIIcucIones, son uIgunos de Ios que se
descrIben u conLInuucIn.
...1 AspecLos de segurIdud
os propIos sIsLemus de respuesLu pueden ser ImporLunLes objeLIvos de uLuque. EI bIoqueo
de Ius respuesLus de un deLecLor de InLrusIones, dejuriu u esLe sIsLemu mudo, unuIundo Lodu su
eIIcucIu. Por eIIo, Ios producLos desurroIIudos sueIen dedIcur especIuI uLencIn u esLe upurLudo.
...1.1 ComunIcucIn ocuILu
Unu de Ius cuesLIones que Ios deLecLores de InLrusIones LIenen presenLe, es Iu de no ser
reconocIdos por uLucunLes. Cuundo un sIsLemu esLu sIendo compromeLIdo, no convIene que eI
InLruso se percuLe de que esLu sIendo monILorIzudo. Por esLu ruzn, se uLIIIzun LcnIcus que
permILun uI deLecLor de InLrusIones regIsLrur Lodo Io sucedIdo y comunIcur Ius IncIdencIus u Ios
responsubIes, Lodo eIIo sIn ser InLercepLudo.
En Iu muyoriu de Ius ocusIones se sueIe uLIIIzur cunuIes de comunIcucIn cIIrudos. De esLu
Iormu, eI InLruso no puede deLecLur nI modIIIcur eI conLenIdo de Ius comunIcucIones.
...1.z RedunduncIu
OLru de Ius soIucIones recomendudus, es eI uso de Iu redunduncIu en Ius comunIcucIones.
Es decIr, en sILuucIones de uIurmu criLIcus, convIene uLIIIzur mus de unu viu de comunIcucIn puru
LrunsmILIr Iu mIsmu noLIIIcucIn. Se puede envIur mensuje por un cunuI cIIrudo y oLru u Lruvs de
mensujes de gesLIn de red. Asi, se reducen Ius probubIIIdudes de que Ios mensujes seun
bIoqueudos.
...1. ProLeccIn de regIsLros
Unu vez comunIcudus Ius uIurmus Iuy que uImucenurIus de Iormu seguru, proLegIndoIus
unLe uILerucIones o eIImInucIones. EsLo es especIuImenLe ImporLunLe cuundo se preLende uLIIIzur eI
muLerIuI obLenIdo puru usunLos IeguIes. TumbIn uqui se uLIIIzu redunduncIu, en Ios cusos mus
ImporLunLes.
Unu de Ius soIucIones prucLIcudus es eI uImucenumIenLo de Ios regIsLros en medIos de unu
soIu escrILuru, como un CD-ROM o IncIuso unu Impresoru de pupeI conLInuo.
...z uIsus uIurmus
Uno de Ios probIemus usocIudos u Ios mecunIsmos de respuesLu de Ios sIsLemus de
deLeccIn de InLrusIones es eI de Ius IuIsus uIurmus. Son de dos LIpos: IuIsos posILIvos, que IndIcun
posIbIes InLrusIones cuundo en reuIIdud no Ios Iuy; y IuIsos neguLIvos, que no noLIIIcun InLrusIones
cuundo reuImenLe Iun LenIdo Iugur.
os IuIsos neguLIvos represenLun un probIemu, en eI senLIdo de que uI sIsLemu se Ie escupun
mucIus ucLIvIdudes sospecIosus. u soIucIn pusu por mejorur Iu sensIbIIIdud deI deLecLor,
uIInundo Iu conIIgurucIn o desurroIIundo mejores LcnIcus de deLeccIn.
os IuIsos posILIvos pueden ser LumbIn peIIgrosos sI se producen con demusIudu
IrecuencIu. Pueden Iucer que eI responsubIe de segurIdud ucube IgnorundoIos, o no dIsLInguIendo
8o
enLre eIIos Ius verduderus uIurmus. En eI peor de Ios cusos, pueden IIegur u coIupsur uI sIsLemu. Unu
de Ius posIbIes soIucIones u esLu sILuucIn consIsLe en dIsmInuIr Iu sensIbIIIdud deI moLor de
deLeccIn de unomuIius, udupLundo Ios resuILudos uI comporLumIenLo normuI deI sIsLemu.
... AImucenumIenLo de regIsLros
CusI Lodos Ios deLecLores de InLrusIones comercIuIes LIenen mLodos especIuIes puru
conservur Ios regIsLros generudos u Lruvs de sus mecunIsmos de respuesLu pusIvu. Buenu purLe de
eIIos conLempIu Iu posIbIIIdud de uImucenurIos en buses de duLos. EsLo sImpIIIIcu en grun medIdu su
unuIIsIs uILerIor. Ademus, permILe u Ios responsubIes de segurIdud enLregur InIormes deLuIIudos de
Iu ucLIvIdud deI sIsLemu u Ios encurgudos de Iu gesLIn ejecuLIvu.
ConvIene que Ios regIsLros de Ios sIsLemus de deLeccIn de InLrusIones seun uImucenudos de
Iormu sImIIur u Ios regIsLros de sIsLemu, y en medIos seguros, como yu se comenL en upurLudos
unLerIores. Uno de Ios moLIvos por Ios que se Iuce esLo, es puru uyudur en operucIones IeguIes e
InvesLIgucIones Iorenses.
..q AdopcIn de poIiLIcus de respuesLu
u correcLu gesLIn de Iu segurIdud de un sIsLemu de deLeccIn de InLrusIones conIIevu eI
cumpIImIenLo de unu serIe de procedImIenLos, que deIInun Ius uccIones u Lomur en cuso de
probIemus. EsLos procedImIenLos deben esLur IncIuIdos en Ius poIiLIcus de segurIdud de Iu
orgunIzucIn. us ucLIvIdudes conLempIudus por Ius poIiLIcus de segurIdud, en cuso de InLrusIones o
vIoIucIones de segurIdud, esLun dIvIdus en cuuLro cuLegorius: InLermedIu o criLIcu, oporLunu, Iurgo
pIuzo - IocuI, y u Iurgo pIuzo - gIobuI |z|.
..q.1 nLermedIu o criLIcu
EsLus son uIgunus de Ius uccIones u reuIIzur jusLo despus de percIbIr un uLuque o InLrusIn:
ProcedImIenLos de munejo de IncIdencIus.
ConLencIn y conLroI de duos.
NoLIIIcucIn u Ius uuLorIdudes IeguIes y oLrus orgunIzucIones.
ResLuurur eI servIcIo en Ios sIsLemus uIecLudos.
..q.z OporLunu
A conLInuucIn se IndIcun Ius uccIones u Lomur despus de un uLuque o vIoIucIn de
segurIdud. EI LIempo en que se IIevun u cubo puede vurIur enLre unus Iorus y vurIos dius,
dependIendo de Iu orgunIzucIn y eI grudo de ImporLuncIu:
nvesLIgur munuuImenLe puLrones InusuuIes de uso deI sIsLemu.
nvesLIgur y uIsIur Ius cuusus deI probIemu.
CorregIr esLos probIemus cuundo seu posIbIe, upIIcundo purcIes o corrIgIendo Iu
conIIgurucIn deI sIsLemu.
Ccptulo Modelo de juncioncmiento - .( Rejerencics
81
NoLIIIcur Ios deLuIIes deI IncIdenLe u Ios responsubIes udecuudos.
Mejorur Ius IIrmus o puLrones de deLeccIn deI sIsLemu de deLeccIn de InLrusIones.
Tomur uccIones IeguIes conLru eI InLruso.
..q. urgo pIuzo - IocuI
us uccIones de Iurgo pIuzo IocuI son menos criLIcus que Ius perLenecIenLes u Ius dos
cuLegorius unLerIores. No obsLunLe, no deben dejur de reuIIzurse, yu que desempeun un pupeI
ImprescIndIbIe en Iu segurIdud deI sIsLemu. Se IIevun u cubo u de Iormu perIdIcu, durunLe Iu
udmInIsLrucIn de un sIsLemu.
AcLIvIdudes como Ius descrILus u conLInuucIn, permILen Iu prevencIn de posIbIes uLuques,
y mejorun de Iormu consLunLe Iu conIIgurucIn de Ios eIemenLos de segurIdud deI sIsLemu:
CompIIur esLudisLIcus y reuIIzur unuIIsIs de Ius LendencIus de uso y comporLumIenLo.
SeguIr Iu pIsLu de puLrones de Iormu conLInuu.
..q.q urgo pIuzo - gIobuI
EsLus uccIones corresponden u ucLIvIdudes no criLIcus, pero que no deben ser Ignorudus. EI
ImpucLo de esLus uccIones no esLu IImILudo u Iu orgunIzucIn. AIgunos uspecLos de Iu segurIdud de
sIsLemu no pueden ser resueILos de Iormu IocuI. AcudIr u oLrus enLIdudes puede Iucer que Iu
orgunIzucIn seu purLicIpe de unu soIucIn mus compIeLu. AIgunus de esLus uccIones son:
NoLIIIcur u Ios vendedores de Ios posIbIes probIemus de segurIdud enconLrudos en sus
producLos.
AcudIr u enLIdudes IegIsIudorus y uI gobIerno puru soIIcILur mejores medIdus IeguIes
conLru vIoIucIones de segurIdud de sIsLemus.
EnvIur esLudisLIcus sobre IncIdenLes de segurIdud u uuLorIdudes IeguIes u oLrus
orgunIzucIones que munLengun esLe LIpo de esLudisLIcus.
.q ReIerencIus
|1| NuLIonuI CompuLer SecurILy CenLer. Depcrtment oj Dejense Trusted Computer Sstem Etcluction
|z| PrIce, KuLIerIne E. Host-csed Misuse Detection cnd Contentioncl Dperctin Sstems' Audit Dctc
Collection. MusLer LIesIs, Purdue UnIversILy, W. uIuyeLLe, N, December 1qq;.
|| Sun MIcrosysLems, nc. Sstem Administrction Guide: Securit Sertices. BSM (OvervIew), zooz.
SunLu CIuru, CA.
|q| Josu KurI, GonzuIo Nuvurro, udovIc M, uurenL Heye. A Pcttern Mctchin csed Iilter jor Audit
Reduction cnd Icst Detection oj Potenticl Intrusions. SprInger-VerIug BerIIn HeIdeIberg, zooo.
|| BM ReseurcI, ZurIcI ReseurcI uboruLory. Andreus WespI, Murc DucIer, und Herve Debur. Intrusion
Detection Usin Vcricble-Lenth Audit Trcil Pctterns. SprInger-VerIug BerIIn HeIdeIberg, zooo.
8z
|6| GurIInkeI, S. und E.H. SpuIIord. Prccticcl UNIX cnd Internet Securit, Second EdILIon. O"ReIIIy und
AssocIuLes, 1qq6: zqo.
|;| ScIueIer, MurvIn, B. Hubburd, D. SLerne, T. K. HuIey, J. N. McAuIIIIe, und D. WooIcoLL. Auditin: A
Reletcnt Contribution To Trusted Dctcbcse Mcncement Sstems. ProceedIngs oI LIe IILI AnnuuI
CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ, December 1q8q.
|8| WorId WIde Web ConsorLIum. Loin Control In WC httpd - The Common Lojile Iormct. |en
Iineu|. JuIIo 1qq |consuILudo en Iebrero zoo|. DIsponIbIe en
<hffp://WWW.W3.og/Daemon/use/Conf1g/Logg1ng.hfm1>.
|q| WorId WIde Web ConsorLIum. HTTP - Hpertext Trcnsjer Protocol. |en Iineu|. JuIIo 1qq |consuILudo
en Iebrero zoo|. DIsponIbIe en <hffp://WWW.W3.og/Pofoco1s/>.
|1o| RENT-A-GURU. HTTP-ANALYZE - A Lo Anclzer jor ueb serters. |en Iineu|. z; de sepLIembre,
zooz |consuILudo en Iebrero zoo|. DIsponIbIe en <hffp://WWW.hffp-ana1yze.og/>.
|11| SuncLum nc. Appshield. |en Iineu|. ecIu no dIsponIbIe |consuILudo en ubrII zoo|. DIsponIbIe en
<hffp://WWW.sancfum1nc.com>.
|1z| KIm Gene H. und E. H. SpuIIord. Tripuire: A Ccse Stud in Interit Monitorin. nLerneL BeseIged:
CounLerIng Cyberspuce ScoIIIuws; edILed by DoroLIy und PeLer DennIng, AddIson-WesIey, 1qq;.
|1| GonzuIez Gmez, DIego. Ccbles UTP de slo recepcin. |en Iineu|. JunIo, zoo |consuILudo en junIo
zoo|. DIsponIbIe en <ILLp:JJwww.dgonzuIez.neLJsecInI>.
|1q| TIe MoscIovILIs Group. Histor oj the Internet: irth oj TCP,IP Netuorlin Protocol. |en Iineu|. 1qqq
|consuILudo en Iebrero zoo|. ExLrucLos deI CupiLuIo q - Becuuse L's LIere: 1q;q-1q8q. DIsponIbIe en
<hffp://WWW.h1sfoyoffhe1nfenef.com/chap4.hfm1>.
|1| SLevens, W. R. TCP,IP Illustrcted, VoIume 1. AddIson-WesIey, ReudIng, MussucIuseLLs, 1qqq.
|16| KIrkpuLrIck S., SLuII M., Recker M., Internet Numbers. nLerneL EngIneerIng Tusk orce. |en Iineu|.
JuIIo, 1qqo |consuILudo en Iebrero, zoo|. RequesL Ior CommenLs: 1166. |18z pp.| DIsponIbIe desde
nLerneL <hffp://WWW.1eff.og/fc/fc1166.fxf >
|1;| PosLeI, J., Internet Protocol. nLerneL EngIneerIng Tusk orce. |en Iineu|. SepLIembre, 1q81 |consuILudo
en Iebrero, zoo|. RequesL Ior CommenLs: ;q1. |q pp.| DIsponIbIe desde nLerneL:
<hffp://WWW.1eff.og/fc/fc791.fxf>. TumbIn dIsponIbIe en cusLeIIuno en
<hffp://WWW.fc-es.og/fc/fc0791-es.fxf>.
|18| PosLeI, J., Trcnsmission Control Protocol. nLerneL EngIneerIng Tusk orce, |en Iineu|. SepLIembre,
1q81 |consuILudo en Iebrero, zoo|. RequesL Ior CommenLs: ;q. |8 pp.| DIsponIbIe desde nLerneL:
<hffp://WWW.1eff.og/fc/fc793.fxf>. TumbIn dIsponIbIe en cusLeIIuno en
<hffp://WWW.fc-es.og/fc/fc0793-es.fxf>.
|1q| McCunne, S. und V. Jucobson. The SD Pcclet Iilter: A Neu Architecture jor User Letel Pcclet
Ccpture. 1qq WInLer USENX ConIerence, Sun DIego, CA, Enero 1qq.
|zo| Runum, M. J., K. undIIeId, M. SLoIurcIuk, M. SIenkIewIcz, A. umbeLI, und E. WuII. Implementin c
Generclized Tool jor Netuorl Monitorin. ProceedIngs oI LIe EIevenLI SysLems AdmInIsLruLIon
ConIerence (SA "q;). Sun DIego, CA, OcLober 1qq;.
|z1| DrIver DeveIopmenL Ior SCO SysLems. Strecms Driter Dtertieu. TIe SunLu Cruz OperuLIon, SunLu
Cruz, CA, 1qqq.
|zz| SunsLrom, PeLer. julosum - Iireucll Report Summcriser. |en Iineu|. AcLuuIIzudo eI 1 de murzo zoo
|consuILudo en Murzo de zoo| AcLuuIIzudo conLinuumenLe. DIsponIbIe desde nLerneL en
<hffp://WWW.g1n1n1.com.au/foo1s/fW1/>
|z| Buce, Rebeccu. Intrusion Detection. MucmIIIun TecInIcuI PubIIsIIng, zooo.
8
|zq| unL, T., A. Tumuru, und . GIIIum. IDES: A Proress Report. ProceedIngs oI LIe SIxLI AnnuuI
CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ, December 1qqo.
|z| Juckson, P. Introduction to Expert Sstems. nLernuLIonuI CompuLer ScIence SerIes. AddIson WesIey,
1q86.
|z6| RoescI, MurLy eL uI. Snort.or. |en Iineu|. AcLuuIIzudo semunuImenLe |consuILudo en murzo de zoo|.
DIsponIbIe en <hffp://WWW.snof.og>.
|z;| Puxson, Vern. ro: A Sstem jor Detectin Netuorl Intruders in Recl-Time. uwrence BerkeIey
NuLIonuI uboruLory, BerkeIey, CA und AT&T CenLer Ior nLerneL ReseurcI uL CS, BerkeIey, CA. |en
Iineu|. 1q de dIcIembre de 1qqq |consuILudo en murzo de zoo|. DIsponIbIe desde nLerneL en
<hffp://WWW.1c1.og/ven/bo-1nfo.hfmI>
|z8| Porrus, PIIIIIp. STAT, c Stcte Trcnsition Anclsis Tool jor Intrusion Detection. MusLer LIesIs,
CompuLer ScIence DepurLmenL, UnIversILy oI CuIIIornIu, SunLu Burburu, CA, JuIy 1qqz.
|zq| BM ReseurcI, Zurich Resecrch Lcborctor. Andrecs Wespi, Mcrc Dccier, cnd Herve Debur.
nLrusIon DeLecLIon UsIng VurIubIe-engLI AudIL TruII PuLLerns. SprInger-VerIug BerIIn HeIdeIberg,
zooo.
|o| Igun, KoruI. USTAT: A Recl-Time Intrusion Detection Sstem jor UNIX. MusLer LIesIs, UnIversILy oI
CuIIIornIu, SunLu Burburu, CA, November 1qqz.
|1| Kumur, S. und E.H. SpuIIord. A Pcttern Mctchin Model jor Misuse Intrusion Detection. ProceedIngs
oI LIe SevenLeenLI NuLIonuI CompuLer SecurILy ConIerence, BuILImore, MD, OcLober 1qqq.
|z| MounjI, A. Lcnuces cnd Tools jor Rule-csed Distributed Intrusion Detection. TIesIs, ucuILe's
UnIversILuIres NoLre-Dume de u PuIx, Numur, BeIgIum, SepLember 1qq;.
|| SmuIu, SLepIen E. und S. Snupp. Method cnd Sstem jor Detectin Intrusion into cnd Misuse oj c
Dctc Processin Sstem. US;qz, U.S. PuLenL OIIIce, SepLember 1;, 1qq6.
|q| NR. Netuorl Iliht Recorder. |en Iineu|. ecIu no dIsponIbIe |consuILudo en murzo, zoo|.
DIsponIbIe desde nLerneL <hffp://WWW.nf.nef>.
|| Yuo-Tsung In, SIIun-SIyong Tseng And SIun-CIIeI In. An Intrusion Detection Model csed Upon
Intrusion Detection Mcrlup Lcnuce (IDML). DepurLmenL oI CompuLer und nIormuLIon ScIence,
NuLIonuI CIIuo Tung UnIversILy, TuIwun, ugosLo de zoo1.
|6| Anderson, Ross, und A. KIuLLuk. The Use oj Injormction Retrietcl Techniques jor Intrusion Detection.
PresenLuLIon, IrsL nLernuLIonuI WorksIop on LIe RecenL Advunces In nLrusIon DeLecLIon, ouvuIn-Iu-
Neuve, BeIgIum, SepLember 1qq8.
|;| DennIng, DoroLIy E. An Intrusion Detection Model. ProceedIngs oI LIe 1q86 EEE SymposIum on
|8| HocIberg, JudILI, K. Juckson, C. SLuIIIngs, J. . McCIury, D. DuBoIs, und J. ord. NADIR: An
Automcted Sstem jor Detectin Netuorl Intrusion cnd Misuse. CompuLers und SecurILy 1z, no.
(Muy 1qq): z - zq8.
|q| emmonIer, E. Protocol Anomcl Detection in Netuorl-bcsed IDSs. DeIcom, Sweden, SLockIoIm, z8
de junIo de zoo1.
|qo| SmuIu, SLepIen E. Hcstccl: An Intrusion Detection Sstem. ProceedIngs oI LIe EEE ourLI
Aerospuce CompuLer SecurILy AppIIcuLIons ConIerence, OrIundo, , December 1q88.
|q1| MukIerjee, BIswunuLI, . T. HeberIeIn, und K. N. evILL. Netuorl Intrusion Detection. EEE NeLwork
8, no. (Muy - June 1qqq): z6 - q1.
|qz| JuvILz, HuroId S. und VuIdes, A. The SRI IDES Stctisticcl Anomcl Detector. ProceedIngs oI LIe 1qq1
EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA, Muy 1qq1.
8q
|q| HougIund, J., S. SLunIIord. SIIIcon DeIense. SPICE , SPADE. |en Iineu|. AcLuuIIzudo con IrecuencIu
|consuILudo en murzo, zoo|. DIsponIbIe desde nLerneL en
<hffp://WWW.s111condefense.com/soffWae/sp1ce/>.
|qq| Sekur, R., M. Bendre, D. DIurjuLI, P. BoIIInenI, A Icst Automcton-bcsed Method jor Detectin
Anomclous Prorcm ehctiors. ProceedIngs oI LIe zoo1 EEE SymposIum on SecurILy und PrIvucy.
|q| MuIoney, MuLLIew, P. K. CIun. PHAD: Pcclet Hecder Anomcl Detection jor Identijin Hostile
Netuorl Trcjjic. IorIdu TecI. LecInIcuI reporL zoo1-oq. DIsponIbIe en
<hffp://cs.f1f.edu/~f/>.
|q6| MuIoney, MuLLIew, P. K. CIun. Lecrnin Nonstctioncr Models oj Normcl Netuorl Trcjjic jor
Detectin Notel Attccls. EdmonLon, AIberLu: Proc. SGKDD, zooz, ;6-8.
|q;| MuIoney, MuLLIew, P. K. CIun. Lecrnin Models oj Netuorl Trcjjic jor Detectin Notel Attccls.
IorIdu TecI. LecInIcuI reporL zooz-o8. DIsponIbIe en <hffp://cs.f1f.edu/~fJ>
|q8| MuIoney, MuLLIew. Netuorl Trcjjic Anomcl Detection csed on Pcclet tes. IorIdu nsLILuLe oI
TecInoIogy. MeIbourne, IorIdu, zoo.
|qq| unkewIcz, Indu und M. Benurd. Recl-Time Anomcl Detection Usin c Nonpcrcmetric Pcttern
Reconition Approcch. ProceedIngs oI LIe SevenLI CompuLer SecurILy AppIIcuLIons ConIerence, Sun
AnLonIo, TX, December 1qq1.
|o| IepIns, G. E. und H. S. Vuccuro. Intrusion Detection: Its Role cnd Vclidction. CompuLers und SecurILy,
v 11, OxIord, UK: EIsevIer ScIence PubIIsIers, Ld, 1qqz: q; - .
|1| Teng H. S., KuIIu CIen und SLepIen C. u. Securit Audit Trcil Anclsis Usin Inductitel Genercted
Predictite Rules. ProceedIngs oI LIe 11LI NuLIonuI ConIerence on ArLIIIcIuI nLeIIIgence AppIIcuLIons,
puges zq-zq, EEE, EEE ServIce CenLer, PIscuLuwuy, NJ, MurcI 1qqo.
|z| Teng, H. S., K. CIen, und S. C. Y. u. Adcptite Recl-Time Anomcl Detection Usin Inductitel
Genercted Sequenticl Pctterns. ProceedIngs oI LIe 1qqo EEE SymposIum on ReseurcI In SecurILy und
PrIvucy, OukIund, CA, Muy 1qqo.
|| unL, Teresu . A Surte oj Intrusion Detection Techniques. CompuLers und SecurILy 1z, q (June 1qq):
qo-q18.
|q| GredIugu, A., burru, ., edesmu, B., BroLons, . Utilizccin de redes neuroncles pcrc lc deteccin de
intrusos. DepurLumenLo de TecnoIogiu nIormuLIcu y CompuLucIn. UnIversIdud de AIIcunLe.
|| ox K. ., R. HennIng, J. Reed. A NeuruI NeLwork ApproucI Towurds nLrusIon DeLecLIon'. ProceedIngs
oI LIe 1LI NuLIonuI CompuLer SecurILy ConIerence. Pp 1z-1 q WusIInLong, DC, OcLober 1qqo.
|6| Debur, Herve, M. Becker, und D. SIbonI. A Neurcl Netuorl Component jor cn Intrusion Detection
Sstem. ProceedIngs oI LIe EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA, Muy
1qqz.
|;| HoImeyr, SLeven A., S. orresL, und A. SomuyujI. Intrusion Detection Usin Sequences oj Sstem Cclls.
JournuI oI CompuLer SecurILy 6, no. (1qq6): 11 - 18o.
|8| Wurrender, C., S. orresL, und B. PeurImuLLer. Detectin Intrusions Usin Sstem Cclls: Alternctite
Dctc Models. ProceedIngs oI TwenLy-IILI EEE SymposIum on SecurILy und PrIvucy, OukIund, CA,
Muy 1qqq.
|q| PInucIo, P., ConLrerus, R. Unc propuestc de Sistemcs pcrc Trctcmiento de Intrusos Inspircdo en lc
ioloc. UnIversIdud de SunLIugo de CIIIe. ucuILud de ngenIeriu. UnIversIdud de ConcepcIn,
ucuILud de ngenIeriu.
|6o| une, Terrun und CurIu E. BrodIey. An Applicction oj Mcchine Lecrnin to Anomcl Detection.
ProceedIngs oI LIe TwenLIeLI NuLIonuI nIormuLIon SysLem SecurILy ConIerence, BuILImore, MD,
OcLober 1qq;.
8
|61| une, Terrun und CurIu E. BrodIey. Detectin the Abnormcl: Mcchine Lecrnin in Computer Securit.
Purdue UnIversILy, Junuury 1qq;.
|6z| une, Terrun und CurIu E. BrodIey. Sequence Mctchin cnd Lecrnin in Anomcl Detection jor
Computer Securit. Purdue UnIversILy, 1qq;.
|6| GoIdberg, DuvId E. Genetic Alorithms in Secrch, Dptimizction cnd Mcchine Lecrnin. AddIson-
WesIey Junuury 1q8q.
|6q| M, udovIc. GASSATA, c Genetic Alorithm cs cn Alternctite Tool jor Securit Audit Trcils Anclsis.
IrsL nLernuLIonuI WorksIop on LIe RecenL Advunces In nLrusIon DeLecLIon, ouvuIn-Iu-Neuve,
BeIgIum, SepLember 1qq8.
|6| ee, Wenke, S. J. SLoIIo, und K. W. Mok. A Dctc Minin Ircmeuorl jor uildin Intrusion Detection
Models. ProceedIngs oI LIe TwenLIeLI EEE SymposIum on SecurILy und PrIvucy, OukIund, CA, 1qqq.
|66| ee, Wenke, und SuIvuLore J. SLoIIo. Adcptctite Intrusion Detection: c Dctc Minin Approcch.
CompuLer ScIence DepurLmenL, CoIumbIu UnIversILy, zooo.
|6;| ee, Wenke, SuIvuLore J. SLoIIo, KuI W. Mok. Minin Audit Dctc to uild Intrusion Detection Models.
CompuLer ScIence DepurLmenL, CoIumbIu UnIversILy, AugusL 1qq8.
|68| ee, Wenke, RuIuI A. NImbuIkur, Kum K. Yee, SunII B. PuLII, PrugnesIkumur H. DesuI, TIuun T. Trun,
und SuIvuLore J. SLoIIo. A Dctc Minin cnd CIDI csed Approcch jor Detectin Notel cnd Distributed
Intrusions. CompuLer ScIence DepurLmenL, NorLI CuroIInu SLuLe UnIversILy. CompuLer ScIence
DepurLmenL, CoIumbIu UnIversILy
|6q| BrIdges, Susun M. und RuyIord B. VuugIn. Iuzz Dctc Minin cnd Genetic Alorithms cpplied to
Intrusion Detection. MIssIssIppI SLuLe UnIversILy.
|;o| DIckerson, JoIn E., Jukku JusIIn, OurunIu KoukousouIu, JuIIe A. DIckerson. Iuzz Intrusion Detection.
EIecLrIcuI und CompuLer EngIneerIng DepurLmenL. owu SLuLe UnIversILy.
|;1| ee, Wenke, WeI un, MuLLew MIIIer, SuIvuLore J. SLoIIo, PIIIIp K. CIun. Usin Anomclies to Detect
Unlnoun cnd Knoun Netuorl Intrusions. Collee oj Computin. GeorgIu TecI. BM T.J. WuLson
ReseurcI. CoIumbIu UnIversILy. CompuLer ScIence, IorIdu TecI. November zoo1.
|;z| CIeswIck, WIIIIum. An Etenin uith erjerd in Which c Crccler Is Lured, Endured, cnd Studied.
ProceedIngs oI USENX SecurILy ConIerence, Sun runcIsco, CA, WInLer 1qqz.
|;| SLoII, CIIIIord. The Cucloo's E: Trcclin c Sp Throuh the Mcze oj Computer Espionce. New
York, NY: DoubIeduy, 1q8q.

8;
CupiLuIo q
q CompIemenLos y cusos especIuIes
u grun cunLIdud de Iormus de ubordur eI probIemu de Iu deLeccIn de InLrusIones, Iu dudo
Iugur u numerosus y vurIudus propuesLus y soIucIones. AIgunus IerrumIenLus de segurIdud pueden
uyudur u compIemenLur Iu Lureu de Ios deLecLores de InLrusIones, como Ios comprobudores de
InLegrIdud de IIcIeros en Ios deLecLores de InLrusIones busudos en muquInu. Por oLro Iudo, uIgunos
sIsLemus de segurIdud oIrecen soIucIones Lun sImIIures, que mucIos Ios consIderun cusos especIuIes
de deLecLores de InLrusIones.
En esLe cupiLuIo se descrIbIrun uIgunos mecunIsmos y IerrumIenLus de segurIdud que por
sus curucLerisLIcus, poseen, de unu u oLru Iormu, unu esLrecIu reIucIn con Iu deLeccIn de
InLrusIones.
q.1 Escuner de vuInerubIIIdudes
Un escuner de vuInerubIIIdudes ("vuInerubIIILy scunner" o "ussesmenL sysLem") es unu
IerrumIenLu que reuIIzu un conjunLo de pruebus (generuImenLe uLuques) puru deLermInur sI unu red
o un "IosL" LIene IuIIos de segurIdud.
EsLe LIpo de sIsLemus se podriu consIderur como un cuso especIuI de deLecLores de
InLrusIones. Yu en upurLudo sobre InIormucIn recogIdu de objeLIvos deI cupiLuIo z "DeIInIcIones",
se comenLubu Iu dIIerencIu enLre un enIoque estctico y uno dincmico. Un escuner de
vuInerubIIIdudes es un ejempIo de enIoque esLuLIco. Un unuIIsIs esLuLIco, o bcscdo en intertclo, no
Lrubuju de Iormu conLInuu (un video), sIno en InLervuIos de LIempo (unu Imugen).
Es IucII durse cuenLu de Ius debIIIdudes que LIene un sIsLemu como esLe. SIo puede deLecLur
uqueIIus vuInerubIIIdudes conLenIdus en su buse de duLos. Ademus, sIo es cupuz de IdenLIIIcur
IuIIos de segurIdud en Ios InLervuIos en que se ejecuLu. No obsLunLe, eIIo no Ie ImpIde ser de
InesLImubIe uyudu u Iu Ioru de mejorur Iu segurIdud de un sIsLemu.
q.1.1 Proceso de unuIIsIs
A conLInuucIn se descrIbe eI proceso generuI de IuncIonumIenLo de un escuner de
vuInerubIIIdudes:
Se muesLreu un conjunLo especiIIco de uLrIbuLos de sIsLemu.
os resuILudos deI muesLreo se uImucenun en un recIpIenLe de duLos seguro.
os resuILudos se orgunIzun y compurun con uI menos un conjunLo de reIerencIu de
duLos (esLe conjunLo puede unu pIunLIIIu de "conIIgurucIn IdeuI" generudu
munuuImenLe, o bIen ser unu Imugen deI esLudo deI sIsLemu IecIu con unLerIorIdud)
Se generu un InIorme con Ius dIIerencIus enLre umbos conjunLos de duLos.
Ccptulo ( Complementos ccsos especicles - (.: Esccner de tulnercbilidcdes
88
AIgunos progrumus comercIuIes opLImIzun eI proceso medIunLe:
EjecucIn de moLores de de compurucIn en puruIeIo.
ULIIIzucIn de mLodos crIpLogruIIcos puru deLecLur cumbIos en Ios objeLos
monILorIzudos.
q.1.z TIpos de unuIIsIs de vuInerubIIIdudes
ExIsLen dos Iormus de cIusIIIcur Ios unuIIsIs de vuInerubIIIdudes; bIen medIunLe Iu
IocuIIzucIn desde Iu que se obLIenen duLos o bIen medIunLe eI nIveI de conIIunzu deI que Iuce uso eI
unuIIzudor de vuInerubIIIdudes. Segn eI prImer mLodo, Ios unuIIsIs pueden ser bcscdos en
mcquinc o bcscdos en red. Segn eI segundo mLodo, Ios unuIIsIs pueden ser con ccreditcciones
("credenLIuIed") o sin ccreditcciones ("non credenLIuIed") |1|. EsLos ILImos unuIIsIs se reIIeren uI
IecIo de uLIIIzur credencIuIes de sIsLemu, LuIes como conLruseus, durunLe eI proceso de unuIIsIs
|z|. u Iguru q-1 IIusLru vurIus Iormus de cIusIIIcur esLus IerrumIenLus de segurIdud.

Escner de
vulnerabilidades
Nivel de confianza
Fuente de datos
Con acreditaciones / Pasiva
Sin acreditaciones / Activa
Basados en mquina
Basados en red

Iigoru q-1 - ClusiIicucin de unulizudores de volnerubilidudes

A conLInuucIn se uLIIIzuru eI prImer enIoque descrILo (busudo en eI orIgen de Ios duLos),
como mLodo de cIusIIIcucIn puru Iu descrIpcIn de esLos sIsLemus.
q.1.z.1 AnuIIsIs de vuInerubIIIdudes busudo en muquInu
EsLe LIpo de unuIIsIs uLIIIzu Iue eI prImero en uLIIIzurse en Iu evuIuucIn de vuInerubIIIdudes.
ULIIIzu eIemenLos LuIes como ujusLes de conIIgurucIn, conLenIdos de IIcIeros, u oLro LIpo de
InIormucIn de un sIsLemu puru Iu deLeccIn de vuInerubIIIdudes. EsLu InIormucIn se puede
obLener busIcumenLe medIunLe consuILus uI sIsLemu, o u Lruvs de Iu revIsIn de dIIerenLes uLrIbuLos
deI sIsLemu.
En esLe cuso se usume que eI unuIIzudor de vuInerubIIIdudes LIene ucceso uuLorIzudo uI
sIsLemu, por Io que LumbIn recIbe eI nombre de unuIIsIs con ccreditcciones. TumbIn se denomInu
evuIuucIn pcsitc.
Bujo sIsLemus UNX, Iu InIormucIn es obLenIdu u nIveI de IosL o de dIsposILIvo. No
obsLunLe, Ios sIsLemus WIndows permILen reuIIzur mucIus IIumudus nuLIvus de Iormu IocuI o
8q
remoLu, segn Ius credencIuIes uLIIIzudus. u correspondencIu enLre sIsLemus bcscdos en mcquinc y
cutenticcdos no sIempre se cumpIe.
us vuInerubIIIdudes que se sueIen enconLrur medIunLe Iu evuIuucIn busudu en muquInu,
sueIen ser esLur reIucIonudus con uLuques de escclcmiento de pritileios. EsLos uLuques persIguen
obLener permIsos de oof o "superusuurIo" en sIsLemus UNX, o adm1n1sfado en sIsLemus
WIndows.
os moLores de unuIIsIs de vuInerubIIIdudes busudos en muquInu esLun muy reIucIonudos
con eI sIsLemu operuLIvo que evuIun, Io cuuI Iuce su munLenImIenLo cosLoso y compIIcu su
udmInIsLrucIn en enLornos IeLerogneos. us credencIuIes uLIIIzudus deben ser proLegIdus
convenIenLemenLe, usi como Iu InIormucIn uccedIdu medIunLe Ius mIsmus, puru evILur que seun
objeLo de uLuques.
Un ejempIo de unuIIzudor de vuInerubIIIdudes busudo en muquInu es eI "Cerberus nLerneL
Scunner (CS)" ||. Es un escuner gruLuILo desurroIIudo por Cerberus nIormuLIon SecurILy, Ld. Es
un progrumu sImpIe pero eIIcuz, que compruebu unu compIeLu IIsLu de vuInerubIIIdudes conocIdus
puru sIsLemus WIndows, mosLrundo en poco LIempo Ios IuIIos exIsLenLes.
q.1.z.z AnuIIsIs de vuInerubIIIdudes busudo en red
os unuIIsIs de vuInerubIIIdudes busudos en red Iun upurecIdo Iuce uIgunos uos, y se Iun
Ido IucIendo cudu vez mus popuIures. ObLIenen Iu InIormucIn necesurIu u Lruvs de Ius conexIones
de red que esLubIecen con eI objeLIvo. ReuIIzun conjunLos de uLuques y regIsLrun Ius respuesLus
obLenIdus. No se debe conIundIr Ios unuIIzudores de vuInerubIIIdudes busudos en red con Ios
sIsLemus de deLeccIn de InLrusIones. Aunque un unuIIzudor de esLus curucLerisLIcus puede ser muy
sImIIur u un deLecLor de InLrusIones, no represenLu unu soIucIn Lun compIeLu.
EsLu Iormu de unuIIsIs normuImenLe no LIene requerImIenLos de uuLenLIcucIn; Ios uLuques
se reuIIzun sIn Lener necesurIumenLe permIso de ucceso uI sIsLemu. Por esLu ruzn, esLe LIpo de
enIoque LumbIn sueIe denomInur sin ccreditcciones. Ademus, eI unuIIsIs se reuIIzu uLucundo o
sondeundo eIecLIvumenLe uI objeLIvo, por Io que LumbIn recIbe eI nombre de evuIuucIn cctitc.
u correIucIn descrILu enLre Ios enIoques busudos en muquInu y Ios uuLenLIcudos, LumbIn
se upIIcu u Ios busudos en red y Ios no uuLenLIcudos.
Se sueIen uLIIIzur dos LcnIcus, descrILus u conLInuucIn, puru Iu evuIuucIn de
vuInerubIIIdudes busudus en red:
Pruebu por expIoLucIn ("TesLIng by expIoIL"): EsLu LcnIcu consIsLe en Iunzur uLuques
reuIes conLru eI objeLIvo. EsLos uLuques esLun progrumudos normuImenLe medIunLe
guIones de comundos. En vez de uprovecIur Iu vuInerubIIIdud puru ucceder uI sIsLemu,
se devueIve un IndIcudor que muesLru sI se Iu LenIdo xILo o no. ObvIumenLe, esLe LIpo
de LcnIcus es busLunLe ugresIvo, sobreLodo cuundo se pruebun uLuques de denegucIn
de servIcIo. No obsLunLe, no sIo ese LIpo de uLuques puede provocur Iu cuidu deI
sIsLemu.
MLodos de InIerencIu: EI sIsLemu no expIoLu vuInerubIIIdudes, sIno que buscu IndIcIos
que IndIquen que se Iun reuIIzudo uLuques. Es decIr, buscu resuILudos de posIbIes
uLuques en eI objeLIvo. EsLe mLodo es menos ugresIvo que eI unLerIor. No obsLunLe, Ios
resuILudos obLenIdos son menos exucLos que Ios que uLIIIzun "expIoILs" |1|. EjempIos de
qo
LcnIcus de InIerencIu pueden ser Iu comprobucIn de versIn de sIsLemu puru
deLermInur sI exIsLe unu vuInerubIIIdud, Iu comprobucIn deI esLudo de deLermInudos
puerLos puru descubrIr cuuIes esLun ubIerLos, y Iu comprobucIn de conIormIdud de
proLocoIo medIunLe soIIcILudes de esLudo.
Uno de Ios producLos mus conocIdos enLre Ios unuIIzudores de vuInerubIIIdudes busudos en
red es Nessus ||. Es un escuner de segurIdud de red de SoILwure Ibre, IIcencIudo bujo GNU
"GeneruI PubIIc Icense" (mus Lurde esser GP). ue desurroIIudo por Renuud DeruIson en
Europu en 1qq8. Su precursor Iue SATAN, oLro unuIIzudor, escrILo por WIeLse Venemu y Dun
urmer ||.
Nessus es unu IerrumIenLu busudu en eI modeIo cIIenLe-servIdor que cuenLu con su propIo
proLocoIo de comunIcucIn. De Iormu sImIIur u SATAN, eI Lrubujo correspondIenLe u escuneur y
uLucur objeLIvos es IIevudu u cubo por eI servIdor, mIenLrus que Ius Lureus de conLroI y presenLucIn
de Ios duLos son gesLIonudus por eI cIIenLe.

Servidor Nessus Cliente Nessus
Objetivo
Objetivo
Objetivo
pruebas, ataques
respuestas
protocolo
Nessus
Consola de configuracin
Base de datos de
vulnerabilidades
Motor de ataques/sondeos
Herramienta de publicacin
de resultados
Consola de configuracin
Herramienta de publicacin
de resultados
Consola de conexin y
gestin del servidor

Iigoru q-- Arqoitectoru de Nessos

Nessus uLIIIzu su propIo Ienguuje, denomInudo NAS (Nessus ALLuck ScrIpLIng unguuge),
puru deIInIr Ius pruebus vuInerubIIIdud. Su sencIIIez permILe munLener Iu buse de vuInerubIIIdudes
ucLuuIIzudu sIn demusIudo esIuerzo. Cudu pruebu de segurIdud se escrIbe como un mduIo exLerno,
IucIendo posIbIe su progrumucIn sIn conocer Ios deLuIIes deI moLor de unuIIsIs.
Unu de Ius venLujus de Nessus IrenLe u oLros compeLIdores, es que udemus de ser de IIbre
dIsLrIbucIn, esLu escrILo con InLerIuces cIuros y APs (AppIIcuLIon Progrum nLerIuce), Io que Ie
permILe su InLegrucIn con oLrus IerrumIenLus.
q1
q.1.z. "Pussword cruckIng"
OLro de Ios mLodos uLIIIzudos por Ios unuIIzudores de vuInerubIIIdudes (que no LIene por
qu encujur en Ius unLerIores cIusIIIcucIones) es eI conocIdo como "pussword cruckIng"
(romperJudIvInur conLruseus). EsLu LcnIcu Iu IncIuyen mucIos producLos de unuIIsIs de
vuInerubIIIdudes.
EI proceso de romper conLruseus permILe deLermInur eI grudo de cuIIdud de Ius
conLruseus de Ios usuurIos de sIsLemu. En esLe proceso se uLIIIzun IuncIones reIucIonudus con eI
sIsLemu de uuLenLIcucIn de usuurIo deI sIsLemu operuLIvo. Puru udIvInur Ius conLruseus, se
pruebun dIIerenLes combInucIones de curucLeres, o unu serIe de puIubrus Lomudus de unu IIsLu (por
ejempIo, un dIccIonurIo).
u cuIIdud de Ius conLruseus dependeru de IucLores como Iu IongILud de Ius mIsmus o Iu
vurIedud de curucLeres uLIIIzudos (muyscuIus, mInscuIus, nmeros, simboIos especIuIes, eLc.).
CuunLo mus Iurgu y muyor seu Iu vurIedud de curucLeres uLIIIzudos en unu conLruseu, mus dIIicII
seru de romper y, por LunLo, de muyor cuIIdud seru.
q.1.z.q VenLujus e InconvenIenLes
Un escuner de vuInerubIIIdudes es unu IerrumIenLu muy LII u Iu Ioru de umpIIur Iu
segurIdud de un sIsLemu. TIene vuIIosus curucLerisLIcus de Ius que curecen oLros enIoques mus
dInumIcos. SIn emburgo, como sIempre que se IubIu de segurIdud, no es Iu soIucIn deIInILIvu.
SIempre necesILuru compIemenLurse con uIgunu IerrumIenLu o sIsLemu que conLrurresLe sus
debIIIdudes.
q.1.z.q.1 VenLujus
os unuIIzudores de vuInerubIIIdudes mejorun de Iormu sIgnIIIcuLIvu Iu segurIdud de un
sIsLemu, especIuImenLe en enLornos en Ios que no se cuenLu con un sIsLemu de deLeccIn de
InLrusIones.
Un escuner de vuInerubIIIdudes reduce eIIcuzmenLe Ios IuIIos de segurIdud mus comunes de
un sIsLemu. AIurmu de Iormu precIsu mucIos probIemus de conIIgurucIn que se Ie pueden
pusur por uILo u un udmInIsLrudor de sIsLemus o u un gesLor de segurIdud.
os unuIIzudores de "IosL", que son dependIenLes deI sIsLemu operuLIvo, esLun mejor
udupLudos u su objeLIvo. EsLo Ies permILe IdenLIIIcur de Iormu mus eIIcuz que oLros
sIsLemus, mus generuIes, uLuques o sIgnos de InLrusIones purLIcuIures.
EI uso perIdIco de unuIIsIs de vuInerubIIIdudes permILe deLecLur cumbIos en Ius sucesIvus
conIIgurucIones deI sIsLemu, InIormundo de Ios cumbIos u Ios responsubIes de segurIdud.
q.1.z.q.z nconvenIenLes
os unuIIsIs de vuInerubIIIdudes busudos en muquInu, debIdo u su dependencIu deI sIsLemu
operuLIvo que evuIun, son mus cosLosos y compIIcudos de gesLIonur.
os unuIIzudores de vuInerubIIIdudes busudos en red son IndependIenLes de Iu pIuLuIormu,
pero LumbIn son menos exucLos y propensos u emILIr IuIsus uIurmus en sus resuILudos.
Ccptulo ( Complementos ccsos especicles - (.z "Honepot", "Honenet" "Pcdded Cell"
qz
En escenurIos en Ios que se esLun ejecuLundo sIsLemus de deLeccIn de InLrusIones, Ios
unuIIsIs de vuInerubIIIdudes pueden ser bIoqueudos por uqueIIos. EsLu sILuucIn se ugruvu
cuundo se corre eI rIesgo de enLrenur de Iormu errneu u Ios mecunIsmos de deLeccIn de
InLrusIones, IucIendo que Ignoren uLuques reuIes.
AIgunus pruebus busudus en red, como Ios uLuques de denegucIn de servIcIo pueden IIevur
u provocur Iu cuidu deI objeLIvo. EsLe LIpo de pruebus deben Iucerse de Iormu conLroIudu,
conocIendo de unLemuno Ios posIbIes eIecLos neguLIvos que puedun Lener.
q.z "HoneypoL", "HoneyneL" y "Pudded CeII"
os sIsLemus descrILos u conLInuucIn presenLun un enIoque Innovudor con respecLo u Ios
sIsLemus de segurIdud LrudIcIonuIes. En vez de repeIer Ius uccIones de Ios uLucunLes, uLIIIzun
LcnIcus puru monILorIzurIus y regIsLrurIus, puru usi uprender de eIIos. A pesur de que en uIgunos
puises no esLun cIurumenLe deIInIdos Ios uspecLos IeguIes de esLos sIsLemus, Io cIerLo es que cudu vez
son mus uLIIIzudos.
q.z.1 "HoneypoL"
DurunLe Ios ILImos uos Iun Ido udquIrIendo crecIenLe popuIurIdud Ios denomInudos
"IoneypoLs" (sIsLemus Lrumpu): "Recursos de sIsLemu de InIormucIn cuyo vuIor resIde en eI uso no
uuLorIzudo o IIicILo de dIcIos recursos". |6|
Un "IoneypoL" no es un sIsLemu de deLeccIn de InLrusIones, pero puede uyudur u mejorur
sus mLodos de deLeccIn y uporLur nuevos puLrones de uLuque. Es un sIsLemu dIseudo puru
enguur u Ios InLrusos, poder esLudIur sus ucLIvIdudes, y usi uprender de sus mLodos. Se busu en Iu
Ideu de "conocer uI enemIgo" puru poder combuLIrIo. |;|
EI concepLo de sistemc trcmpc no es nuevo, y yu Iue InLroducIdo Iuce uos por CIIII SLoII
en su "Cukoo's Egg" |8| y por BIII CIeswIk |q|. En umbos Lrubujos se comenLubu eI uso de
mecunIsmos sImIIures u Lrumpus, que serviun puru monILorIzur Iu ucLIvIdud de Ios InLrusos
permILIendo su posLerIor unuIIsIs. Mus Lurde upurecI eI LrmIno "IoneypoL", pero Iu Ideu eru Iu
mIsmu.
os sIsLemus Lrumpu esLun dIseudos puru ImILur eI comporLumIenLo de uqueIIos sIsLemus
que puedun ser de InLers puru un InLruso. SueIen conLur con mecunIsmos de proLeccIn puru que
un uLucunLe con xILo no puedu ucceder u Iu LoLuIIdud de Iu red. NuLuruImenLe, sI un InLruso
consIgue enLrur en un sIsLemu Lrumpu, no debe percuLurse de que esLu sIendo monILorIzudo o
enguudo.

q
Cortafuegos
Honeypot
(Sistema Trampa)
Red Local
Internet
Conmutador Encaminador

Iigoru q- - Ijemplo de on "Honeypot" {Sistemu trumpu)

u muyoriu de Ios sIsLemus Lrumpu esLun InsLuIudos deLrus de un corLuIuegos, uunque
LumbIn es posIbIe sILuurIos deIunLe de eIIos. EI corLuIuegos responsubIe deI LruIIco de un sIsLemu
Lrumpu sueIe progrumurse puru permILIr Ius conexIones enLrunLes uI sIsLemu, y IImILur Ius
conexIones suIIenLes.
q.z.1.1 VenLujus e InconvenIenLes
os sIsLemus Lrumpu poseen unu serIe de curucLerisLIcus que Ios dIsLInguen cIurumenLe de
oLrus soIucIones de segurIdud |1o|. A conLInuucIn se descrIben uIgunus de Ius venLujus e
InconvenIenLes usocIudos u Ios mIsmos.
q.z.1.1.1 VenLujus
Pocos y vuIIosos duLos: os sIsLemus Lrumpu regIsLrun poco voIumen de duLos, pero de
mucIo vuIor. Un sIsLemu Lrumpu no se uLIIIzu como sIsLemu de produccIn, sIno
nIcumenLe como objeLo de uLuques. Por Io LunLo, no sueIe regIsLrur cunLIdudes ImporLunLes
de InIormucIn. SIn emburgo, Lodu esLu InIormucIn es LII, porque esLu reIucIonudu con
ucLIvIdudes IosLIIes. EsLo Iuce, udemus, que Ios duLos obLenIdos seun cIuros y IucIImenLe
unuIIzubIes.
uIsus uIurmus: u IIIosoIiu de Ios sIsLemus Lrumpu eIImInu Iu exIsLencIu de ucLIvIdud
normuI o de produccIn en Ios mIsmos. EsLus IerrumIenLus de segurIdud sIo deben recIbIr
nIcumenLe ucLIvIdudes sospecIosus. EsLo reduce sIgnIIIcuLIvumenLe eI nmero de IuIsos
posILIvos (uIurmu cuundo no exIsLe uLuque) y IuIsos neguLIvos (omIsIn de uIurmu cuundo
Iuy verduderumenLe un uLuque).
Recursos: EsLe LIpo de IerrumIenLus no Iuce unuIIsIs de Ius ucLIvIdudes que regIsLrun. Por
LunLo, Ios recursos que consumen son reducIdos, uI conLrurIo que mucIos DSs, que pueden
IIegur u descurLur InIormucIn por esLu ruzn. os sIsLemus Lrumpu cenLrun sus necesIdudes
en Iu InIruesLrucLuru necesurIu puru poder regIsLrur Lodu Iu ucLIvIdud que Lengu Iugur en
eIIos.
SImpIIcIdud: Uno de Ios punLos mus ImporLunLes u Iuvor de Ios sIsLemus Lrumpu es su
sencIIIez. No uLIIIzun compIIcudos uIgorILmos de unuIIsIs, nI rebuscudos mLodos puru
regIsLrur Iu ucLIvIdud de Ios InLrusos. Por eI conLrurIo, sIo Iuy que InsLuIurIos y esperur.
AIgunos sIsLemus Lrumpu de desurroIIo pueden poseer muyor nIveI de compIejIdud, pero no
qq
compurubIe u oLros enIoques. CuunLo sencIIIo es un mLodo, mus posIbIIIdudes LIene de
IuncIonur.
EncrIpLucIn: os probIemus de monILorIzucIn reIucIonudos con proLocoIos de
encrIpLucIn (SSH, SS, PSec, eLc.) upurecen cuundo se InLercepLu unu comunIcucIn enLre
dos enLIdudes, proLegIdu medIunLe cIIrudo. os sIsLemus Lrumpu sueIen ser uno de Ios
exLremos de Iu comunIcucIn cIIrudu durunLe unu InLrusIn o uLuque. Ademus, regIsLrun en
Lodo momenLo Iu ucLIvIdud ocurrIdu.
ReuLIIIzucIn: u muyoriu de Ios producLos de segurIdud necesILun munLener uI diu sus
mecunIsmos de deLeccIn y deIensu puru munLener su eIecLIvIdud. SI no se renuevun, dejun
de ser LIIes. No obsLunLe, Ios sIsLemus Lrumpu, debIdo u su propIu nuLuruIezu, sIempre
serun de uyudu. ndependIenLemenLe deI LIempo que puse, sIempre Iubru uLucunLes
dIspuesLos u compromeLer esLos sIsLemus de unu u oLru Iormu, mosLrundo eI nIveI de
ucLIvIdud de esLe secLor y Ios mLodos que uLIIIzun.
Pv6: Uno de Ios probIemus que presenLun uIgunus IerrumIenLus de segurIdud es que no
soporLun eI proLocoIo Pv6, sucesor deI ucLuuI Pvq umpIIumenLe uLIIIzudo en nLerneL. EsLe
proLocoIo esLu sIendo prIncIpuImenLe uLIIIzudo en puises usIuLIcos como Jupn. ULIIIzur
Pv6 uLIIIzundo LneIes sobre Pvq, como Iucen uIgunos uLucunLes, puede ImposIbIIILur Iu
deLeccIn por purLe de mucIos sIsLemus de deLeccIn. No obsLunLe, Ios sIsLemus Lrumpu
regIsLrun Lodu Iu ucLIvIdud ocurrIdu, por Io que se pueden IdenLIIIcur esLe LIpo de uLuques.
Como yu se comenL, Ios sIsLemus Lrumpu no regIsLrun grundes voImenes de duLos.
q.z.1.1.z DesvenLujus
PunLo de vIsLu IImILudo: os sIsLemus Lrumpu curecen de vuIor sI no recIben uLuques. SI un
uLucunLe Iogru IdenLIIIcur uno de esLos sIsLemus, puede unuIur Lodu su eIecLIvIdud
evILundoIos. os sIsLemus Lrumpu pueden no ser uLucudos, un esLundo sILuudos en Iu
mIsmu red que oLros sIsLemus de produccIn que si pueden ser objeLo de uLuques.
RIesgo: SI un sIsLemu Lrumpu es uLucudo con xILo puede ser uLIIIzudo por eI InLruso puru
ucceder uI resLo de sIsLemus de Iu red en que esLu InsLuIudo. EI rIesgo vuriu segn eI grudo
de compIejIdud deI sIsLemu Lrumpu; cuunLo mus sencIIIo es, menores rIesgos ImpIIcu. EsLe
uspecLo es criLIco u Iu Ioru de ImpIemenLur esLe LIpo de sIsLemus. Y sIempre se Lomun
medIdus puru mInImIzur esLe IucLor.
"Inger prInL" (HueIIu ducLIIur): "IngerprInLIng" consIsLe busIcumenLe en Iu IdenLIIIcucIn,
IocuI o remoLu, de un sIsLemu o servIcIo. EsLo Iuce u Lruvs de dIversos mLodos, como por
ejempIo reuIIzundo un escuneo de puerLos, o envIundo peLIcIones de soIIcILud de versIn, u
observundo Ius respuesLus deI sIsLemu unLe deLermInudos comundos. Es posIbIe que Iu
deIIcIenLe ImpIemenLucIn de un sIsLemu Lrumpu Io deIuLe, IucIndoIo reconocIbIe unLe un
InLruso. Por ejempIo, sI un sIsLemu Lrumpu que emuIu un servIdor TP, no ImpIemenLu bIen
un comundo como "prompL", y si reconoce "propmL", esLo se convIerLe en un puLrn que Io
Iuce IdenLIIIcubIe u Ios ojos de un uLucunLe. Un sIsLemu Lrumpu, como yu se comenL,
pIerde eIIcucIu cuundo es reconocIdo por un uLucunLe, convIrLIndose IncIuso en unu
IerrumIenLu que puede ser uLIIIzudu por sLe puru desvIur Iu uLencIn de un udmInIsLrudor
de segurIdud. No obsLunLe, en ocusIones, un uLucunLe puede cesur en sus ucLIvIdudes uI
percuLurse de Iu exIsLencIu de un sIsLemu de esLus curucLerisLIcus.
q
q.z.z "HoneyneL"
u Ideu de "IoneypoL" es desurroIIudu con eI LrmIno "HoneyneL" (Red Lrumpu). EsLu
expresIn Iue udopLudu por "TIe HoneyneL ProjecL"; unu orgunIzucIn no IucruLIvu, Iundudu por
unce SpILzner. EsLe grupo esLu compuesLo por experLos en segurIdud, cuyo objeLIvo es uprender Ius
IerrumIenLus, LucLIcus y moLIvos de Ios uLucunLes. |11|
Unu "HoneyneL" es unu IerrumIenLu de InvesLIgucIn. Es un LIpo de "IoneypoL" que
consIsLe en unu red dIseudu puru ser compromeLIdu por InLrusos. SIrve puru esLudIur Ius LcnIcus
uLIIIzudos por Ios InLrusos que Iu Iun compromeLIdo.
Unu "HoneyneL" no es Io mIsmo que un sIsLemu Lrumpu LrudIcIonuI. A conLInuucIn se
descrIben Ius dIIerencIus mus sIgnIIIcuLIvus:
Unu "HoneyneL" no es un sIsLemu en soIILurIo, sIno unu red. EsLu red puede esLur
compuesLu por dIsLInLos sIsLemus Lrumpu, LuIes como Inux, WIndows, SoIurIs,
"rouLers", conmuLudores, eLc. EI IecIo de proporcIonur un enLorno de red uporLu un
umbIenLe mus "creibIe" desde eI punLo de vIsLu deI uLucunLe. Un enLorno de sIsLemus
IeLerogneo permILe udemus, cupLur Iu uLencIn de mus InLrusos, uIgunos de Ios cuuIes
esLun especIuIIzudos en uLucur deLermInudos sIsLemus operuLIvos o servIcIos. Por oLru
purLe, permILe uprender un muyor y vurIudo nmero de LucLIcus de uLuque.
os sIsLemus uLIIIzudos en unu "HoneyneL" son sIsLemus de produccIn. Es decIr, son
sIsLemus reuIes, uunque no se uLIIIcen con oLro propsILo que eI de monILorIzur su
ucLIvIdud. NIngn sIsLemu o servIcIo es emuIudo. No se Iuce InLenLo uIguno de
dIsmInuIr su segurIdud. NormuImenLe se InsLuIun Ios sIsLemus Lrumpu mus conocIdos,
con Iu conIIgurucIn que Lruen por deIecLo, como Inux Red HuL, servIdores WIndows o
servIdores SoIurIs.
us "HoneyneLs" son IerrumIenLus de segurIdud con un punLo de vIsLu dIIerenLe uI
LrudIcIonuI dejensito, presenLe en corLuIuegos, encrIpLucIn o sIsLemus de deLeccIn de InLrusIones.
Son IerrumIenLus dIseudus busIcumenLe puru uprender y udquIrIr experIencIu en eI ureu de
segurIdud.
EI ProyecLo HoneyneL Iu deIInIdo dos LIpos de urquILecLurus busIcus puru sus "HoneyneLs":
Gen y Gen. Ambus urquILecLurus son descrILus u conLInuucIn, seguIdus de vurIos mLodos puru
ImpIemenLur "HoneyneLs" vIrLuuIes. |1z|
q.z.z.1 Gen
EsLu urquILecLuru sImpIe Iue Iu prImeru en desurroIIurse, en 1qqq. Unu red es sILuudu deLrus
de un dIsposILIvo de conLroI de ucceso, generuImenLe un corLuIuegos, como se muesLru u
conLInuucIn.

q6
Cortafuegos
IDS
Servidor de
registro/alertas
Windows Red Hat
Linux
Solaris
Conmutador Router
Internet
Honeynet GenI
Red de
produccin
Interfaz de
monitorizacin
Conexin de red de
nivel 2

Iigoru q-q - Arqoitectoru "Honeynet" GenI

En eI dIugrumu, se puede ver un corLuIuegos de nIveI Lres sepurundo Iu "HoneyneL" en Lres
redes dIIerenLes: Iu "HoneyneL", nLerneL y Iu red de ProduccIn. CuuIquIer puqueLe que enLre o
suIgu de Iu HoneyneL LIene que pusur u Lruvs deI corLuIuegos y deI "rouLer". EI corLuIuegos IIILru Ius
conexIones enLrunLes y suIIenLes. EI "rouLer" compIemenLu esLe IIILrudo. EI corLuIuegos esLu
dIseudo puru permILIr cuuIquIer conexIn enLrunLe, pero conLroIu Ius conexIones suIIenLes.
EsLe LIpo de urquILecLuru es eIIcuz conLru uLuques uuLomuLIzudos, o conLru uLucunLes de
nIveI busIco. Pero no son de grun uLIIIdud conLru uLucunLes uvunzudos. EI enLorno proporcIonudo
por Ius "HoneyneLs" Gen sueIe ser poco uLrucLIvo, consIsLIendo busIcumenLe en InsLuIucIones por
deIecLo de sIsLemus operuLIvos. Huy que desLucur que esLe modeIo upenus se ImpIemenLu yu, sIendo
mus uLIIIzudo su sucesor: Gen, comenLudo en eI sIguIenLe upurLudo.
q.z.z.z Gen
EsLu urquILecLuru de "HoneyneLs" Iue desurroIIudu en zooz, y Iue pensudu puru soIvenLur
mucIos de Ios probIemus exIsLenLes en eI modeIo unLerIor. Con respecLo u Ius LecnoIogius Gen, esLu
urquILecLuru es mus IucII de ImpIemenLur, dIIicII de deLecLur y de munLenImIenLo mus seguro.

q;
Honeynet Gateway
Router
Internet
Honeynet GenII
Produccin Produccin Produccin
Honeypot Honeypot Honeypot
Interfaz de gestin
Conexiones de red de nivel 2,
segmentando las redes de
produccin y honeynet.
Conexin VPN para labores
de gestin y adquisicin de
datos.

Iigoru q-g - Arqoitectoru "Honeynet" GenII

Como se puede ver en Iu Iguru q-, Iu prImeru dIIerencIu con respecLo u Iu urquILecLuru
Gen es que se uLIIIzu un "HoneyneL GuLewuy" (PuerLu de enIuce de Iu Red Lrumpu) que combInu Ios
eIemenLos de DS y corLuIuegos upurecIdos por sepurudo en eI modeIo Gen. EsLo sImpIIIIcu su
gesLIn. u segundu dIIerencIu rudIcu en eI propIo "guLewuy", que Lrubuju u nIveI z, de Iormu sImIIur
u un puenLe. EsLe mLodo, muy comn en esLe LIpo de mecunIsmos, permILe prescIndIr de dIreccIn
P, reducIendo Ius posIbIIIdudes de deLeccIn por purLe de Ios uLucunLes.
Por oLru purLe, eI "GuLewuy" no encumInu puqueLes. En vez de bIoqueur Ius conexIones de
suIIdu, se IImILu eI uncIo de bundu deI uLucunLe, IucIendo mus reuIIsLu y IIexIbIe eI enLorno.
os sIsLemus Lrumpus InLroducIdos denLro de Iu "HoneyneL" consIsLen normuImenLe en
InsLuIucIones busIcus de Ios sIsLemus operuLIvos mus comunes, u veces con uIgunos servIcIos de red
ucLIvudos puru IucerIos mus uLrucLIvos como objeLIvo de uLuque.
q.z.z. "HoneyneL" vIrLuuI
u upurIcIn de IerrumIenLus de emuIucIn o soporLe vIrLuuI, Iun IecIo posIbIe esLe
modeIo de ImpIemenLucIn de "HoneyneLs". EsLe enIoque consIsLe en creur unu "HoneyneL"
compIeLu en un sIo equIpo IisIco. Unu "HoneyneL" vIrLuuI no es unu urquILecLuru, sIno unu Iormu
de ImpIemenLurIus: de esLu muneru, se puede uLIIIzur puru creur LunLo urquILecLurus LIpo Gen como
Gen.
EnLre Ius opcIones exIsLenLes puru creur unu "HoneyneL" vIrLuuI desLucun eI producLo
comercIuI VMwure |1|, y User Mode Inux (UM), desurroIIudo por JeII DIke |1q|. ConsIsLe en un
mduIo especIuI deI ncIeo de sIsLemu que permILe ejecuLur mucIus versIones vIrLuuIes de Inux en
eI mIsmo sIsLemu sImuILuneumenLe. A conLInuucIn se descrIben brevemenLe Ius venLujus e
InconvenIenLes de umbos producLos:
VMwure es de pugo y de cdIgo cerrudo, mIenLrus que UM es de IIbre dIsLrIbucIn.
VMwure permILe Lres modos de InsLuIucIn: "WorksLuLIon", GSX, o ESX. Cudu uno con
dIIerenLes cupucIdudes, segn Ius necesIdudes deI usuurIo.
q8
UM necesILu sIgnIIIcuLIvumenLe menos recursos que VMwure.
VMwure soporLu mus sIsLemus operuLIvos que UM, eI cuuI, esLu IImILudo u sIsLemus
Inux; uunque se esLu desurroIIundo unu upIIcucIn puru WIndows.
Unu de Ius mejores curucLerisLIcus con Ius que cuenLu VMwure, es que LIene unu consoIu
de udmInIsLrucIn remoLu que presenLu uI sIsLemu InvILudo como sI se esLuvIeru
senLudo deIunLe, permILIendo su gesLIn remoLu sIn generur LruIIco de red. UM no
posee InLerIuz gruIIcu, sIno reuIIzu Iu gesLIn u Lruvs de Iu Iineu de comundos.
AI ser UM un producLo de cdIgo ubIerLo, no proporcIonu soporLe oIIcIuI nI comercIuI.
Unu "HoneyneL" vIrLuuI puede ser Auto-contenidc o Hbridc.
q.z.z..1 "HoneyneL" vIrLuuI AuLo-conLenIdu
u "HoneyneL" vIrLuuI AuLo-conLenIdu engIobu unu "HoneyneL" en un sIsLemu IisIco nIco.
VenLujus:
o ucIImenLe LrunsporLubIe, especIuImenLe sI se InsLuIu en un porLuLII.
o RupIdu puesLu en IuncIonumIenLo. Unu vez InsLuIudu, sIo Iuy que conecLurIu u
Iu red y conIIgururIu en pocos mInuLos.
o Es buruLu y ocupu poco espucIo. SIo Iuce IuILu un ordenudor.
DesvenLujus:
o SI IuIIu eI Iurdwure, Iu "HoneyneL" enLeru podriu dejur de IuncIonur.
o Ordenudor de uILus presLucIones. Aunque sIo requIere un ordenudor, LIene
que Lener suIIcIenLe memorIu y procesudor.
o SegurIdud. Como Lodos Ios sIsLemus compurLen eI mIsmo Iurdwure, puede que
un uLucunLe uccedu u oLrus purLes deI sIsLemu. MucIo depende deI soILwure
vIrLuuI.
o ImILucIn por soILwure. Como Lodo LIene que ejecuLurse en unu soIu muquInu,
Iuy soILwure que no se podru uLIIIzur por probIemus de IncompuLIbIIIdud. Por
ejempIo, unu OS CIsco en un procesudor nLeI.
A conLInuucIn, Iu Iguru q-6 descrIbe Iu urquILecLuru de unu "HoneyneL" vIrLuuI AuLo-
conLenIdu.

qq
Sistema
Operativo
invitado
Honeynet virtual autocontenida
Sistema
Operativo
invitado
Sistema
Operativo
invitado
Sistema
Operativo
anfitrin
Internet
Windows
Servidor
de registro
Linux
Puerta de enlace/
Cortafuegos/
Router/
IDS/
Servidor de registro
Mquina fsica ( )

Iigoru q-6 - "Honeynet" virtoul uoto-contenidu

q.z.z..z "HoneyneL" vIrLuuI HibrIdu
Unu "HoneyneL" vIrLuuI HibrIdu es unu combInucIn de unu "HoneyneL" y deI soILwure vIrLuuI. Es
decIr, Ios sensores de DS y eI uImucenumIenLo de regIsLros, esLun en un sIsLemu sepurudo y uIsIudo,
puru reducIr eI rIesgo de compromIso. SIn emburgo, Lodos Ios "IoneypoLs" son ejecuLudos
vIrLuuImenLe en unu nIcu muquInu.
VenLujus:
o SegurIdud. EI nIco peIIgro seriu que eI uLucunLe uccedIeru u oLros "IoneypoLs".
o Huy muyor IIexIbIIIdud u Iu Ioru de uLIIIzur soILwure puru eI conLroI y cupLuru
de Ios duLos de red.
DesvenLujus:
o AI ImpIIcur u mus de unu muquInu, Iu movIIIdud es mus reducIdu.
o Es mus curu y ocupu mus espucIo que Iu AuLo-conLenIdu.
u Iguru q-; descrIbe Iu urquILecLuru deI modeIo de "HoneyneL" HibrIdu.

1oo
Sistema
Operativo
invitado
Honeynet virtual hbrida
Sistema
Operativo
invitado
Sistema
Operativo
invitado
Sistema
Operativo
anfitrin
(oculto)
Windows
Servidor
de registro
Linux
Mquina fsica ( )
Puerta de enlace/
Cortafuegos/
Router/
IDS/
Servidor de registro
Internet

Iigoru q-, - "Honeynet" virtoul hibridu

q.z.z.q VenLujus e InconvenIenLes
os sIsLemus comenLudos en esLe upurLudo permILen esLudIur en deLuIIe Ius LucLIcus,
mLodos y moLIvos de Ios InLrusos, uspecLo que Ios dIIerencIu deI resLo de Ios producLos y soIucIones
de segurIdud. Su enIoque no esLu busudo en Iu LrudIcIonuI posIcIn dejensitc (corLuIuegos,
encrIpLucIn, eLc.). ejos de bIoqueur Ios uLuques, su meLodoIogiu se busu en eI seguImIenLo en
deLuIIe de Ios procesos de InLrusIones.
No obsLunLe, Iuy que conocer Ios uspecLos IeguIes que puede suponer Iu ImpIunLucIn de
uno de esLos sIsLemus unLes de decIdIr IucerIo.
q.z.z.q.1 VenLujus
Ayudun u descubrIr nuevos uLuques, en ocusIones no pubIIcudos por Ius uuLorIdudes de
segurIdud. EsLo permILe mejorur Ios moLores de deLeccIn de Ios sIsLemus de deLeccIn de
InLrusIones, usi Iu creucIn de nuevos puLrones de uLuque.
os uLucunLes no duun sIsLemus reuIes.
ULIIIzur sIsLemus Lrumpu sImIIures u Ios de produccIn permILe IdenLIIIcur IuIIos de
segurIdud exIsLenLes en eI enLorno reuI.
Ayudun u perIeccIonur Ios mecunIsmos de respuesLu unLe IncIdenLes.
AporLun mucIu experIencIu en eI cumpo de Iu segurIdud.
q.z.z.q.z nconvenIenLes
EsLe LIpo de sIsLemus sIempre Iun presenLudo dudus en cuunLo u su verduderu eIecLIvIdud u
Iu Ioru de mejorur Iu segurIdud. No obsLunLe, cudu vez esLun recIbIendo mus ucepLucIn
enLre Ios mIembros de Iu comunIdud de segurIdud.
1o1
Es necesurIo un uILo nIveI de conocImIenLos y experIencIu en muLerIu de redes y segurIdud
puru poder InsLuIur eIIcuzmenLe un sIsLemu de esLus curucLerisLIcus.
us ImpIIcucIones IeguIes que conIIevu Iu InsLuIucIn de uno de esLos sIsLemus no esLu bIen
deIInIdu.
q.z. "Pudded CeII"
os sIsLemus busudos en cIuIus de uIsIumIenLo ("pudded ceII") LIenen unu meLodoIogiu que
puede recordur u Ios sIsLemus Lrumpu, pero no son exucLumenLe Io mIsmo. uncIonun de Iormu
conjunLu con un dIsposILIvo que cuenLu con cupucIdudes de enruLumIenLo y deLeccIn de
InLrusIones, que uI deLecLur uIgn uLuque, Io redIrIge IucIu un "IosL" especIuI (denomInudo cIuIu
de uIsIumIenLo).
AI IguuI que Ios sIsLemus Lrumpu, mencIonudos en upurLudos unLerIores, unu cIuIu de
uIsIumIenLo oIrece uI uLucunLe un enLorno upurenLemenLe IdnLIco u uno reuI. SIn emburgo, uI esLur
proLegIdu deI resLo de Iu red, no cuusu duos. En mucIus ocusIones esLos "IosL" uIsIudos consIsLen
en espejos de sIsLemus de produccIn reuIes, puru proporcIonur un escenurIo mus creibIe. Como Ios
sIsLemus Lrumpu, Ius cIuIus de uIsIumIenLo pueden uLIIIzurse puru comprender mejor Ios mLodos
uLIIIzudos por Ios InLrusos.
EsLe LIpo de sIsLemus se IIevu uLIIIzundo, junLo con sIsLemus de deLeccIn de InLrusIones,
desde IInuIes de Iu dcudu de Ios 8o.
Un producLo enIocudo puru Lrubujur con cIuIus de uIsIumIenLo es eI "BuIL und SwILcI",
desurroIIudo por J. WIILsILL y A. GonzuIez |1|. EsLu IerrumIenLu, se InsLuIu en un sIsLemu con Lres
InLerIuces de red y redIreccIonu eI LruIIco IosLII IucIu un sIsLemu Lrumpu especIuImenLe dIseudo
puru recIbIr uLuques (Iu cIuIu de uIsIumIenLo), que normuImenLe consIsLe en copIu pcrcicl (con
duLos IIcLIcIos) de un sIsLemu reuI.

Internet
Sistema de
Produccin
Bait and Switch
Sistema
trampa
Trfico normal
Trfico hostil
Trfico hostil
Trfico normal

Iigoru q-S - Procedimiento generul de "Buit und Switch"

Unu vez redIrIgIdus sus uccIones, eI uLucunLe no se percuLu de que esLu uLucundo un sIsLemu
Lrumpu en vez deI reuI. Por oLru purLe, sus ucLIvIdudes pueden ser monILorIzudus puru ser
esLudIudus con eI IIn de mejorur Iu segurIdud de Iu red.
Ccptulo ( Complementos ccsos especicles - (. Verijiccdor de interidcd de jicheros
1oz
"BuIL und SwILcI" uLIIIzu eI sIsLemu de deLeccIn de InLrusIones 5nof (puru deLecLur Ios
uLuques) |16|, usi como 1poufe2
1
y neff11fe
2
.
q.z..1 VenLujus e InconvenIenLes
Dudus Ius sImIIILudes enLre esLos sIsLemus y Ius "IoneyneLs", Iu muyoriu de Ius venLujus e
InconvenIenLes descrILos en eI upurLudo unLerIor, pueden ser LrusIududos u esLe cuso.
q. VerIIIcudor de InLegrIdud de IIcIeros
Un verIIIcudor de InLegrIdud de IIcIeros es unu IerrumIenLu uLIIIzudu por sIsLemus de
deLeccIn de InLrusIones, normuImenLe Ios busudos en muquInu, puru mejorur sus cupucIdudes.
ApIIcun IuncIones resumen, u oLros mLodos de cIIrudo robusLos, u IIcIeros criLIcos de
sIsLemu, compurundo Ios resuILudos con unu buse de duLos de reIerencIu, y comunIcundo Ios
posIbIes cumbIos o dIIerencIus.
Huy vurIus ruzones por Ius que uLIIIzur esLe LIpo de IerrumIenLus puru deLecLur InLrusIones.
Un uLucunLe puede uILerur o eIImInur IIcIeros puru no dejur evIdencIus de su ucLIvIdud. Ademus,
puede querer InsLuIur uIgn Lroyuno que Ie permILu obLener eI conLroI de Iu muquInu. O IncIuso
puede dejur unu puerLu Lruseru que Ie deje voIver u enLrur en eI sIsLemu.
os verIIIcudores de InLegrIdud de IIcIeros no sIo pueden servIr puru deLecLur InLrusIones
u Lruvs de Ios cumbIos enconLrudos en IIcIeros. TumbIn son de grun uyudu durunLe un unuIIsIs
Iorense, IucIIILundo Iu IdenLIIIcucIn deI uLuque o mLodo uLIIIzudo. Ademus, uyudun u devoIver u Iu
normuIIdud un sIsLemu, opLImIzundo eI proceso de resLuurucIn.
Uno de Ios producLos mus conocIdos enLre Ios verIIIcudores de InLegrIdud es TrIpwIre.
|1;|
q.q CorLuIuegos: PrevencIn de nLrusIones
Un corLuIuegos es un sIsLemu dIseudo puru evILur eI ucceso no uuLorIzudo u unu red
prIvudu. Pueden ser dIsposILIvos Iurdwure, soILwure, o unu combInucIn de umbos. Se sueIe uLIIIzur
puru proLeger eI ucceso u redes prIvudus desde oLrus redes, como por ejempIo nLerneL.
Cuundo se rene Iu cupucIdud de bIoqueo de un corLuIuegos y Iu cupucIdud de unuIIsIs de un
DS en un sIo producLo, se obLIene un SIsLemu de PrevencIn de nLrusIones ("nLrusIon
PrevenLIon SysLems") o PS.
os SIsLemus de DeLeccIn de nLrusIones son sIsLemus de segurIdud recctitos, mus que
procctitos. Es decIr, esperun u que Lengu Iugur un uLuque puru emILIr unu uIurmu. os PSs, son

1
1poufe2 es unu IerrumIenLu que permILe eI munejo de InLerIuces de red bujo Inux.
z
neff11fe/1pfab1es es un subsIsLemu de corLuIuegos puru Inux que permILe Lrubujur con
LruIIco de red, IIILrundo puqueLes o reuIIzundo IuncIones de NAT (TruduccIn de DIreccIones de
Red). EsLu dIsponIbIe en <ILLp:JJwww.neLIIILer.orgJ>.
Ccptulo ( Complementos ccsos especicles - (.( Cortcjueos: Pretencin de Intrusiones
1o
dIsposILIvos (de soILwure o Iurdwure) que deLIenen cuuIquIer uLuque unLes de que puedu cuusur
duos.
os PSs son consIderudos un cuso especIuI de DS porque umbos sIsLemus compurLen Iu
mIsmu meLodoIogiu busIcu. Como yu se comenL, Ios PSs son DS u Ios que se Ie Iu uudIdo Iu
cupucIdud de un corLuIuegos (IIILro de LruIIco de red). De IecIo, mucIos experLos Ios consIderun Iu
sIguIenLe generucIn de DS.
Por oLru purLe, eI comporLumIenLo de un PS es sImIIur uI de un DS progrumudo puru
responder unLe uLuques de Iormu ucLIvu, como yu se upunL en eI upurLudo ..z.1 "RespuesLus
ucLIvus". os sIsLemus de prevencIn descurLun o bIoqueun Ios puqueLes sospecIosos Lun pronLo son
IdenLIIIcudos. Todos Ios puqueLes perLenecIenLes u unu mIsmu sesIn sospecIosu pueden ser
eIImInudos de Iu mIsmu Iormu. AIgunos PSs LumbIn conLempIun Iu posIbIIIdud de deLecLur
unomuIius en eI uso deI proLocoIo, como puqueLes munIpuIudos InLencIonudumenLe.
ALendIendo u Iu IuenLe de duLos que uLIIIzun, Ios PSs son de dos LIpos: busudos en muquInu
(HPS) y busudos en red (NPS). os HPS uLIIIzun ugenLes InsLuIudos dIrecLumenLe en Iu muquInu u
proLeger, y esLun muy reIucIonudos con eI sIsLemu operuLIvo y sus servIcIos. os NPS, LumbIn
conocIdos como "GuLewuy DS" (GDS), son sIsLemus que conLIenen uI menos dos InLerIuces de red
(puru monILorIzucIn InLernu y exLernu), e InLegrun LunLo curucLerisLIcus de corLuIuegos como de
DS.
A conLInuucIn se descrIbIrun cInco modeIos de PS: DS busudo en red en modo "In-IIne",
conmuLudor de nIveI sIeLe, corLuIuegos busudo en upIIcucInJDS, conmuLudor IibrIdo y upIIcucIn
enguosu. |18|
q.q.1 DS busudo en red, en modo "In-IIne"
Unu de Ius Iormus mus comunes de ImpIemenLur un NDS (DS busudo en red) es
uLIIIzundo dos dIsposILIvos de red. Uno puru InLercepLur eI LruIIco de red, y oLro puru eIecLuur Ius
Iubores de gesLIn y udmInIsLrucIn, como en Iu Iguru q-q.

Trfico de red
Interfaz de Gestin/
Administracin
Interfaz de
Monitorizacin
Router Switch
Dispositivo de
escucha de red
(Network tap)

Iigoru q-q - NIS en modo de escochu {"Tup mode")

1oq
u InLerIuz de red uLIIIzudu puru Iu monILorIzucIn esLu conecLudu u un dIsposILIvo de
escucIu ("neLwork Lup") que Ie permILe pinchcr eI LruIIco deI segmenLo de red. Ademus, esLu
InLerIuz no sueIe Lener usIgnudu nIngunu dIreccIn P, puru dIsmInuIr en Io posIbIe Ius posIbIIIdudes
de ser deLecLudo. EsLo ImpIde que uIgn eIemenLo de red Ie envie puqueLes, o que eI NDS puedu
responder u eIIos.
En eI modo "In-IIne" (en Iineu) eI NDS ucLu u nIveI z, como un puenLe. Se sILu enLre Iu
red que se deseu proLeger y eI resLo. CuenLu con unu InLerIuz de red puru recIbIr eI LruIIco deI
exLerIor, y oLru puru LrunsmILIrIo u Iu red u proLeger. Ademus sueIe Lener oLru InLerIuz puru Ius
Iubores de udmInIsLrucIn y gesLIn.
EsLu sILuucIn Ie permILe eI conLroI LoLuI sobre eI LruIIco que pusu por su Lrumo de red. No
sIo puede unuIIzur Lodo eI LruIIco que recIbe, unLes de decIdIr qu Iucer, sIno que puede gesLIonur
eI uncIo de bundu. u sIguIenLe IIguru descrIbe esLe modo de IuncIonumIenLo.

Trfico de red
Interfaz de Gestin/
Administracin
Router Switch Interfaz de
Monitorizacin
Interfaz de
Monitorizacin
Trfico de red

Iigoru q-1o - NIS en modo en lineu {"In-line mode")

Uno de Ios sIsLemus que desurroIIun esLu Ideu es HogwusI; unu IerrumIenLu que uLIIIzu eI
moLor de deLeccIn de 5nof puru unuIur Ios puqueLes muIIcIosos unLes de que IIeguen u su objeLIvo
|1q|. EsLe PS, udemus de conLur con Ius Iubores de deLeccIn y bIoqueo normuIes, LIene Iu opcIn de
reescrIbIr eI LruIIco de red. Asi, sI un uLucunLe enviu unu peLIcIn muIIcIosu, HogwusI puede
modIIIcurIu unLes de dejurIu pusur.

1o
Interfaz de Gestin/
Administracin
Router Switch Interfaz de
Monitorizacin
Interfaz de
Monitorizacin
Paquete del atacante:
%.f%.f%.f%.f%.f%.f%.f
%80x%e8x| /bin/sh
Paquete modificado:
%.f%.f%.f%.f%.f%.f%.f%.f
%00x%e8x| /ben/sh
Hogwash

Iigoru q-11 - Procedimiento generul de "Hogwush"

Un NDS InsLuIudo en modo "In-IIne", y con unu serIe de modIIIcucIones puru soporLur eI
LruLumIenLo de LruIIco de red, oIrece Ius posIbIIIdudes de un NDS normuI, con Iu cupucIdud uudIdu
de un corLuIuegos.
u deLeccIn de uLuques dependen dIrecLumenLe de Ios mLodos uLIIIzudos por eI NDS.
DesgrucIudumenLe, Iu muyoriu de Ios producLos comercIuIes exIsLenLes esLun busudos en Iu
deLeccIn de usos IndebIdos, por Io que Ius posIbIIIdudes de reconocer nuevos uLuques es IImILudu.
AIgunos producLos InLenLun soIvenLur esLu curencIu Incorporundo IuncIones de deLeccIn de
unomuIius de proLocoIo.
ApurLe de HogwusI, mencIonudo unLes, oLros PSs sImIIures son "nLruSIIeId", de
nLruVerL NeLworks |zo|, "SS Guurd", de nLerneL SecurILy SysLems|z1|, "UnILyOne
TM
", de
NeLScreen TecnoIogIes|zz|, o uIgunos producLos de TIppIngPoInL TecInoIogIes|z|.
q.q.z ConmuLudor de nIveI sIeLe
Un conmuLudor ("swILcI") Iu sIdo LrudIcIonuImenLe un dIsposILIvo de nIveI dos. u
crecIenLe necesIdud de Lrubujur con grundes uncIos de bundu Iu IecIo que vuyun gunundo
popuIurIdud Ios conmuLudores de nIveI sIeLe.
EsLos dIsposILIvos se sueIen uLIIIzur puru buIunceur Iu curgu de unu upIIcucIn enLre vurIos
servIdores. Puru eIIo, exumInun Iu InIormucIn de upIIcucIn (por ejempIo HTTP, TP, DNS, eLc.)
puru Lomur decIsIones de encumInumIenLo.
AIgunos IubrIcunLes Iun empezudo u uudIr cupucIdudes u esLos conmuLudores, puru
proporcIonur proLeccIn unLe uLuques como DoS (DenegucIn de ServIcIo) o DDoS (DoS
DIsLrIbuIdu).

1o6
Conmutador de nivel siete
Reglas:
Drop URIContent -> cmd.exe
Drop URIContent -> ism.dll
Drop URIContent -> lsass.exe
Peticiones HTTP del atacante:
GET /default.asp
HEAD /_vti_bin/../../../../winnt/system32/cmd.exe?/c+dir c:\
HEAD /scripts/lsass.exe
GET /index.htm
Peticiones HTTP que llegan:
GET /default.asp
GET /index.htm
Router Switch

Iigoru q-1 - Procedimiento generul de on conmotudor de nivel siete

os conmuLudores de nIveI sIeLe pueden Lrubujur IucIImenLe con redes de uILu veIocIdud. Su
mLodo de deLeccIn de sImIIur uI uLIIIzudo por Ios NDS, comenLudos unLerIormenLe, por Io que
presenLun desvenLujus sImIIures. AdmILen Iu udIcIn de nuevos puLrones de uLuque, como Ios NDS.
No obsLunLe, Ios uLuques que mejor reconocen y bIoqueun, IrenLe u oLrus soIucIones de segurIdud,
son Ios busudos en DoS.
OLru de Ius venLujus de esLos dIsposILIvos, que no se encuenLrun en oLros PSs, es que
udmILen redunduncIu. Pueden ser ImpIemenLudos en modo "IoL sLundby"
1
(esperu en cuIIenLe) o en
modo de buIunce de curgu
z
.
AIgunus de Ius empresus que proporcIonun esLe LIpo de producLos son Rudwure |zq|, Top
uyer |z|, o oundry NeLworks |z6|.
q.q. CorLuIuegosJDS de upIIcucIn
os corLuIuegosJDS de upIIcucIn Lrubujun en eI nIveI sIeLe deI modeIo OS, y se InsLuIun
en eI sIsLemu u proLeger.
EsLos PSs poseen un uILo grudo de conIIgurucIn puru cudu upIIcucIn proLegIdu. No
unuIIzun LruIIco de red, como oLros PSs, sIno eIemenLos LuIes como Iu gesLIn de memorIu,
IIumudus u sIsLemu o InLenLos de conexIn de Iu upIIcucIn. EsLe enIoque permILe reducIr probIemus
de segurIdud usocIudos u unu progrumucIn deIIcIenLe, usi como deLecLur uLuques propIos de esLe
nIveI como Ios de desbordumIenLo de bIer.

1
Un dIsposILIvo secundurIo es conIIgurudo puru que se ucLIve en cuso de que eI prImurIo IuIIe.
z
DIsLrIbucIn de LruIIco enLre dos o mus dIsposILIvos, uLIIIzundo preIerencIus descrILus por poIiLIcus
purLIcuIures.
1o;
Aplicacin
Servidor Web
Sistema Operativo
Bloque de niveles inferiores al
de aplicacin
Flujo de red
Flujo de red decodificado
rdenes del usuario Llamadas a sistema
rdenes del usuario Llamadas a sistema
Cortafuegos/IDS de aplicacin

Iigoru q-1 - CortuIoegos[IS de uplicucin

EsLe LIpo de sIsLemus necesILun reuIIzur unu Iuse de creucIn de perIII de sIsLemu, sImIIur u
Iu Iuse de enLrenumIenLo ucomeLIdu por Ios unuIIzudores de deLeccIn de unomuIius, descrILu en eI
cupiLuIo unLerIor. En eIIu, se procede u regIsLrur Iu ucLIvIdud de Iu upIIcucIn puru eIuborur un
modeIo de comporLumIenLo que sIrvu puru deLecLur posIbIes InLrusIones, junLo con unu serIe de
poIiLIcus.
Unu vez en IuncIonumIenLo, sI eI PS IdenLIIIcu uIgunu uccIn que no Iuyu sIdo deIInIdu
durunLe Iu creucIn deI perIII, Iu bIoqueu por deIecLo. EsLe mLodo, uunque cmodo de conIIgurur,
presenLu evIdenLes probIemus sI no se deIInen Lodos Ios comporLumIenLos normuIes de Iu
upIIcucIn. Por oLru purLe, sI se ucLuuIIzu Iu upIIcucIn, es posIbIe que se necesILe repeLIr eI proceso
de creucIn de perIII.
No obsLunLe, esLe modeIo de PS es de Ios mus upropIudos puru proLeger upIIcucIones. De
Ios comenLudos uqui, es eI nIco que monILorIzu Iu ucLIvIdud y reIucIn de Iu upIIcucIn con eI
sIsLemu operuLIvo. Ademus, esLun InsLuIudos en cudu muquInu IisIcu u proLeger, por Io que oIrecen
un uILo nIveI de personuIIzucIn.
EjempIos de empresus que producen PS busudos en corLuIuegosJDS de upIIcucIn son
OKENA, con su "SLorm wuLcI" |z;|, o EnLercepL |z8|.
q.q.q ConmuLudor IibrIdo
EsLe LIpo de dIsposILIvos son unu combInucIn de Ios dos unLerIores: Ios conmuLudores de
nIveI sIeLe y corLuIuegosJDS de upIIcucIn.
1o8
Son dIsposILIvos Iurdwure InsLuIudos de Iu mIsmu Iormu que Ios conmuLudores de nIveI
sIeLe, pero no uLIIIzun conjunLos de regIus como Ios NDS, sIno un mLodo de deLeccIn busudo en
poIiLIcus sImIIur uI de Ios corLuIuegosJDS de upIIcucIn. AnuIIzun eI LruIIco de red en buscu de
InIormucIn deIInIdu en Ius poIiLIcus upIIcudus.
Unu de Ius venLujus de esLos producLos es que se pueden conIIgurur ImporLundo Ios
resuILudos de un unuIIzudor de vuInerubIIIdudes, comenLudo en upurLudos unLerIores, uLIIIzudo
conLru eI sIsLemu u proLeger. EsLo permILe ImpIemenLur de Iormu rupIdu y eIecLIvu esLe LIpo de
sIsLemus.

Router Switch Conmutador hbrido
Polticas:
Allow: /
Allow: /default.asp
Allow: /index.htm
Allow: /menu/index.htm
Implicit deny all Peticiones HTTP del atacante:
GET /
HEAD /../../cmd.exe
GET /index.htm
GET /wwwboard/passwd.txt
Peticiones HTTP que llegan:
GET /
GET /index.htm

Iigoru q-1q - Procedimiento generul de on conmotudor hibrido

Un conmuLudor IibrIdo LIene conocImIenLos sobre eI servIdor que proLege (servIdor TP,
Web, SMTP eLc.), como un conmuLudor de nIveI sIeLe, pero LumbIn de Ius upIIcucIones que Iuy
sobre I. Ademus, uI IguuI que Ios corLuIuegosJDS de upIIcucIn, LumbIn bIoqueu Lodus Ius
uccIones no deIInIdus como permILIdus.
SI esLe LIpo de PS LIene demusIudu curgu de Lrubujo, puede ser uLIIIzudo en conjuncIn con
un conmuLudor de nIveI sIeLe, que Ie redIrIju sIo uqueIIus peLIcIones que consIdere muIIcIosus.
Dos empresus que dIseun producLos busudos en esLu LecnoIogiu son " NeLworks" |zq| y
"KuVuDo, nc." |o|.
q.q. ApIIcucIn enguosu
EI purLIcuIur enIoque de Ios PSs busudos en upIIcucIn enguosu ("decepLIve uppIIcuLIon"),
comprende dos Iuses. u prImeru consIsLe en Iu monILorIzucIn deI LruIIco de red puru creur un
modeIo de ucLIvIdud normuI, sImIIur u Iu Iuse de creucIn de perIII de Ios corLuIuegosJDS de
upIIcucIn. DurunLe Iu segundu Iuse, sI eI PS observu uIgn InLenLo de conexIn u uIgn servIcIo que
no exIsLe, devueIve unu respuesLu IuIsu IucIu eI uLucunLe.

Ccptulo ( Complementos ccsos especicles - (. Rejerencics
1oq
Router Switch
h11P => sev01 h11P => sev01 h11P => sev01 h11P => sev01
h11P 5can => sev04 h11P 5can => sev04 h11P 5can => sev04 h11P 5can => sev04
I1P => sev02 I1P => sev02 I1P => sev02 I1P => sev02
51MP 5can => sev03 51MP 5can => sev03 51MP 5can => sev03 51MP 5can => sev03
serv_01
(HTTP)
serv_02
(FTP, SMTP)
serv_03
(DNS)
IPS basado
en Aplicacin
engaosa
h11P => sev01 h11P => sev01 h11P => sev01 h11P => sev01
I1P => sev02 I1P => sev02 I1P => sev02 I1P => sev02
51MP kesp => sev03 51MP kesp => sev03 51MP kesp => sev03 51MP kesp => sev03
h11P kesp => sev04 h11P kesp => sev04 h11P kesp => sev04 h11P kesp => sev04
Trfico de red
Paquetes
marcados

Iigoru q-1g - IPS busudo en uplicucin enguosu {"deceptive upplicution")

u respuesLu esLu mcrccdc por eI PS, de LuI muneru que cuundo eI posIbIe uLucunLe decIdu
voIver u InLenLur uIgunu conexIn, eI PS reconoceru su mcrcc y Io bIoqueuru. Como se puede
observur, eI uLuque es deLecLudo y unuIudo unLes de que ocurru.
TumbIn se pueden InLroducIr murcus en eI cumpo de duLos de Ios puqueLes, permILIendo Iu
deLeccIn de uLuques conLru servIcIos que exIsLen.
Uno de Ios InconvenIenLes de esLe sIsLemu es que eI InLruso IdenLIIIque eI mLodo uLIIIzudo
por eI PS puru murcur Ios puqueLes. EsLo Ie permILIriu desmcrccr Ios puqueLes unLes de ejecuLur su
uLuque, sorLeundo Iu proLeccIn.
EI producLo "AcLIveScouL", de Iu empresu orescouL es un PS que uLIIIzu LcnIcus de
upIIcucIn enguosu. |1|
q. ReIerencIus
|1| SIosLuck, Adum und ScoLL BIuke. Toucrds c Tcxonom oj Netuorl Securit Assessment Techniques.
ProceedIngs oI 1qqq BIuck HuL BrIeIIngs, us Vegus, NV, JuIy 1qqq.
|z| Buce, Rebeccu und PeLer MeII. Intrusion Detection Sstems. |en Iineu| |consuILudo en murzo, zoo|.
DIsponIbIe en <hffp://csc.n1sf.gov/pub11caf1ons/n1sfpubs/00-31/sp00-31.pdf>.
|| Cerberus nIormuLIon SecurILy, Ld. Cerberus' Internet Sccnner - CIS. |en Iineu| zooo |consuILudo en
ubrII, zoo|. DIsponIbIe en <hffp://WWW.cebeus-1nfosec.co.uk/c1s.shfm1>.
|q| DeruIson, Renuud. The Nessus Project. |en Iineu| 1qq8- zoo |consuILudo en ubrII, zoo|. DIsponIbIe
en <hffp://WWW.nessus.og>.
|| Venemu, WIeLse y Dun urmer. SATAN. |en Iineu| 1qq |consuILudo en ubrII, zoo| DIsponIbIe en
<hffp://WWW.f1sh.com/safan/>.
|6| SpILzner, unce. Honepots: Dejinition cnd Vclue oj Honepots. |en Iineu| ILImu modIIIcucIn, zq de
muyo, zoo |consuILudo en junIo, zoo|. DIsponIbIe en
<hffp://WWW.sp1fzne.nef/honeypofs.hfm1>
11o
|;| TIe HoneyneL ProjecL. Knou our enem. AddIson-WesIey, sepLIembre zoo1. cup. z Whct c Honenet
Is.
|8| SLoII, CIIIIord. The Cucloo's E: Trcclin c Sp Throuh the Mcze oj Computer Espionce. New
York, NY: DoubIeduy, 1q8q.
|q| CIeswIck, BIII. An Etenin uith erjerd In Which c Crccler is Lured, Endured cnd Studied. |en Iineu|
1qq1 |consuILudo en ubrII, zoo|. DIsponIbIe desde nLerneL en
<hffp://WWW.secu1fyfocus.com/dafa/11bay/befed.ps>.
|1o| SpILzner, unce. The Vclue oj Honepots. |en Iineu| 1o de ocLubre, zoo1 |consuILudo en ubrII, zoo|.
DIsponIbIe en <hffp://WWW.secu1fyfocus.com/1nfocus/149z>
|11| TIe HoneyneL ProjecL. |en Iineu| ubrII, 1qqq |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.honeynef.og>.
|1z| SpILzner, unce. Honepots, trcclin Hcclers. AddIson-WesIey, sepLIembre zooz. cup. 11 Honenets,
p. zqz-z6z.
|1| VMwure, nc. VMucre. |en Iineu| 1qq8-zqq |consuILudo en ubrII, zoo|.
<hffp://WWW.vmWae.com/>.
|1q| DIke, JeII. User-mode Linux Kernel. |en Iineu| ucLuuIIzudo con IrecuencIu |consuILudo en ubrII, zoo|.
DIsponIbIe en <hffp://use-mode-11nux.soucefoge.nef/>.
|1| WIILsILL Jr, JoIn y AIberLo GonzuIez. The cit cnd Suitch Honepot. |en Iineu| zooz |consuILudo en
ubrII, zoo|. DIsponIbIe en <hffp://ba1fnsW1fch.soucefoge.nef>.
|16| RoescI, MurLy eL uI. Snort.or. |en Iineu|. AcLuuIIzudo semunuImenLe |consuILudo en murzo de zoo|.
|1;| KIm Gene H. und E. H. SpuIIord. Tripuire: A Ccse Stud in Interit Monitorin. nLerneL BeseIged:
CounLerIng Cyberspuce ScoIIIuws; edILed by DoroLIy und PeLer DennIng, AddIson-WesIey, 1qq;.
|18| DesuI, NeII. Intrusion Pretention Sstems: the Next Step in the Etolution oj IDS. |en Iineu| z; de
Iebrero, zoo |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.secu1fyfocus.com/1nfocus/167o>
|1q| ursen, Juson. Houcsh. |en Iineu| junIo, zoo1 |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://hogWash.soucefoge.nef/>.
|zo| nLruVerL. IntruShield. |en Iineu| zooz |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.1nfuvef.com/poducfs/1ndex.hfm>.
|z1| nLerneL SecurILy SysLems. ISS Gucrd. |en Iineu| 1qqq |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.1ss.nef/poducfssev1ces/enfep1sepofecf1on/snefWok/guad.php>.
|zz| NeLScreen TecInoIogIes, nc. |en Iineu| 1qq8 |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.nefsceen.com/poducfs/1dp/>.
|z| TIppIngPoInL TecInoIogIes. UnitDne. |en Iineu| 1qq8 |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.f1pp1ngpo1nf.com/poducfs/1ndex.hfm1>.
|zq| Rudwure. |en Iineu| 1qq; |consuILudo en ubrII, zoo|. DIsponIbIe en <hffp://WWW.adWae.comJ>
|z| Top uyer. |en Iineu| 1qq; |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.fop1aye.com/>.
|z6| oundry NeLworks. |en Iineu| 1qqq |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.foundynef.com/>.
|z;| OKENA. Storm uctch. |en Iineu| 1qqq |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.okena.com/>.
111
|z8| EnLercepL. Entercept. |en Iineu| zoo |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.enfecepf.com/>.
|zq| NeLworks. Scnctum Appshield. |en Iineu| zoo |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.f5.com/so1uf1ons/app11caf1ons/I1eWa11s/sancfumsb.hfm1>.
|o| KuVuDo, nc. InterDo |en Iineu| zoo1|consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.kavado.com/>.
|1| orescouL. ActiteScout. |en Iineu| ubrII, zooo |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.foescouf.com/>.

11
CupiLuIo
CupucIdudes y IImILucIones
"Lc intencibilidcd estc en uno mismo,
lc tulnercbilidcd en el cdterscrio"
El crte de lc uerrc, Sun Tzu
u IuILu de conocImIenLo en Lorno u Ios sIsLemus de deLeccIn de InLrusIones provocu u
veces que seun muIInLerpreLudos. EsLo creu cIerLus conIusIones con respecLo u Io que reuImenLe
pueden Iucer y Io que no. A pesur de que son de grun uyudu en muLerIu de segurIdud, no son Iu
soIucIn deIInILIvu.
Por esLu y oLrus ruzones, se resumIrun u conLInuucIn uIgunos de Ios uspecLos mus
reIevunLes de esLos sIsLemus.
.1 CupucIdudes
EsLus son uIgunus de Ius IuncIones y venLujus usocIudus u Ios DSs |1|:
Monitorizucin: CuenLun con mLodos puru monILorIzur y unuIIzur LunLo Ios evenLos
de sIsLemu, como eI comporLumIenLo de Ios usuurIos.
Cluridud: ExLruen Ios duLos mus reIevunLes de enLre grundes cunLIdudes de duLos de
evenLos de uudILoriu, Io que IucIIILu eI Lrubujo deI uudILor de segurIdud. Puru eIIo sueIen
uLIIIzur dIversos mLodos, como Iu reduccIn de uudILoriu, o LcnIcus de IIILrudo
esLudisLIcus.
Registro: u muyoriu de Ios DSs proporcIonu no sIo mLodos puru regIsLrur su
propIu ucLIvIdud, sIno que permILen emILIr InIormes sobre Ios evenLos mus ImporLunLes
ocurrIdos en un deLermInudo periodo de LIempo.
Comprobucin continou: Creun un modeIo sobre eI esLudo deI sIsLemu, y compurur
Ios cumbIos posLerIores con respecLo u ese modeIo. En esLe uspecLo se IncIuyen Ios
cusos en que se uLIIIzun uIgorILmos de cIIrudo puru deLermInur sI Iu IubIdo cumbIos en
eI sIsLemu de IIcIeros (verIIIcudores de InLegrIdud).
Correlucin: Aunque de Iormu IImILudu, pueden esLubIecer puLrones de reIucIn enLre
uLuques o comporLumIenLos sImIIures, mosLrudos desde dIsLInLus muquInus puru usi
deLermInur por ejempIo, sI eI uLucunLe es Iu mIsmu personu, o sI se LruLu de un uLuque
coordInudo.
Atuqoes conocidos: os DSs busudos en Iu deLeccIn de usos IndebIdos, pueden
reconocer uLuques que coIncIdun con Ios puLrones que uImucenun en su buse de
conocImIenLo.
Ccptulo CupucIdudes y IImILucIones - .z Limitcciones
11q
Atuqoes no conocidos: NormuImenLe uLIIIzun LcnIcus esLudisLIcus puru eIuborur
puLrones de ucLIvIdud y conLrusLurIos con Iu ucLIvIdud normuI, deLecLundo posIbIes
unomuIius. Aunque poco desurroIIudo en Iu prucLIcu, esLe enIoque LIene IIImILudus
posIbIIIdudes. os mLodos busudos en redes neuronuIes, uIgorILmos genLIcos, mIneriu
de duLos o Ios reIucIonudos con eI sIsLemu Inmune bIoIgIco, son Lun sIo uIgunos de Ios
uLIIIzudos en Iu deLeccIn de unomuIius. Todos eIIos Iun dudo resuILudos suLIsIucLorIos.
Iullos de segoridud: os unuIIzudores de vuInerubIIIdudes, consIderudos como un
cuso especIuI de DS (enIoque esLuLIco), permILen comprobur Iu segurIdud de Iu
conIIgurucIn de un sIsLemu. En ocusIones esLo se Iuce Iunzundo uLuques conocIdos
conLru eI objeLIvo, puru evuIuur sus reuccIones. OLru de Ius Iormus de descubrIr
vuInerubIIIdudes consIsLe en repusur uuLomuLIcumenLe Iu conIIgurucIn deI sIsLemu, en
buscu de debIIIdudes en Ius poIiLIcus de segurIdud.
Tiempo reul: u muyoriu de Ios producLos de deLeccIn de InLrusIones ucLuuIes
uLIIIzun mecunIsmos de unuIIsIs y regIsLro en LIempo reuI.
Alurmus: ComunIcun uIurmus u Ios responsubIes cuundo se produce unu sILuucIn
unormuI, como unu InLrusIn. us opcIones puru Iucer esLo son busLunLe vurIudus,
pudIndose por ejempIo, regIsLrur un evenLo de sIsLemu, o envIur unu noLIIIcucIn viu
correo eIecLrnIco o mensujes SMS ("SIorL Messuge ServIce").
Sencillez de oso: us curucLerisLIcus de deLeccIn uuLomuLIcu usi como conLur con
unu InLerIuz IucII de usur, Iuce que mucIos DSs permILun IncIuso u usuurIos no
experLos en segurIdud, mejorur de Iormu sensIbIe Iu segurIdud de sus sIsLemus.
Segoridud bsicu: ProporcIonun InIormucIn sobre Ius poIiLIcus de segurIdud por
deIecLo, usi como mLodos puru corregIr Ios posIbIes errores de conIIgurucIn de Iormu
uuLomuLIcu.
Actoulizucin: u muyoriu de Ios producLos de deLeccIn de InLrusIones busudos en
puLrones de uLuques conLempIun Iu posIbIIIdud de ucLuuIIzur con IrecuencIu sus buses
de conocImIenLo. MucIos de eIIos permILen progrumur esLe proceso, que sueIe
reuIIzurse perIdIcumenLe medIunLe comunIcucIn cIIrudu.
.z ImILucIones
EsLus son uIgunus de Ius cosus que Ios DSs no Iucen, udemus de vurIos de sus
InconvenIenLes:
Solocin deIinitivu: os probIemus de segurIdud pueden orIgInurse por mILIpIes
moLIvos. No exIsLe nIngunu soIucIn nIcu que Ios resueIvu Lodos. os sIsLemus de
deLeccIn de InLrusIones no son unu excepcIn. No obsLunLe, uporLun unu serIe de
curucLerisLIcus nIcus que Ios convIerLen en IerrumIenLus de grun uyudu en mucIos
enLornos.
Iulsos positivos: Uno de Ios InconvenIenLes mus popuIures enLre Iu deLeccIn de
InLrusIones es eI de Ius IuIsus uIurmus; IuIsos posILIvos y IuIsos neguLIvos. os IuIsos
posILIvos consIsLen en uqueIIus uIurmus que LIenen Iugur cuundo en reuIIdud no se esLu
11
producIendo nIngunu InLrusIn. ExIsLen cdIgos, uIgunus de cuyus purLes coIncIden con
puLrones de uLuque de desbordumIenLo de bIer, que son deLecLudos como InLrusIones,
cuundo en reuIIdud no Io son. Por oLru purLe, Ios deLecLores de unomuIius pueden
reconocer como IosLII Iu upurIcIn de un nuevo LIpo de LruIIco, provocudo por Iu
recIenLe InsLuIucIn de un nuevo servIcIo, cuundo en reuIIdud Iu sILuucIn es
perIecLumenLe normuI. o mus neguLIvo de esLu cuesLIn es que Iu conLInuu upurIcIn
de IuIsos posILIvos puede Iucer que un udmInIsLrudor ucube Ignorundo Ius uIurmus, que
es IguuI de neguLIvo que no recIbIrIus.
Iulsos negutivos: Son uno de Ios LIpos de IuIsus uIurmus, y se producen cuundo no se
emILe eI correspondIenLe uvIso cuundo sucede reuImenLe un uLuque o InLrusIn. EsLe
LIpo de sILuucIones, por ruzones obvIus, LumbIn represenLu un probIemu. Cuundo un
uLucunLe uLIIIzu unu LcnIcu nuevu, un uLuque modIIIcudo busudo en uIguno yu
exIsLenLe, un uLuque especIuIIzudo conLru esLe LIpo de sIsLemus, o cuundo un deLecLor de
unomuIius es "enLrenudo" de Iormu progresIvu por un InLruso, puru que InLerpreLe unu
uccIn IosLII como normuI, son sIo uIgunos ejempIos en Ios que pueden ocurrIr IuIsos
posILIvos.
Recorsos: EI proceso de regIsLro de duLos y unuIIsIs (especIuImenLe en LIempo reuI)
Iuce que Ios sIsLemus de deLeccIn Lengun ImporLunLes requerImIenLos de recursos de
sIsLemu, como LIempo de proceso o espucIo de uImucenumIenLo en buses de duLos. EsLo
se Iuce especIuImenLe necesurIo durunLe Iu monILorIzucIn de redes de uILu veIocIdud.
AotosoIicienciu: No pueden compensur Ius debIIIdudes o uusencIu de oLros sIsLemus
de segurIdud de Iu InIruesLrucLuru, como conLruseus de buju cuIIdud, corLuIuegos,
unLIvIrus, eLc.
Sobrecurgu: No pueden deLecLur, unuIIzur y envIur uIurmus IrenLe u uLuques de Iormu
InsLunLuneu cuundo Iuy demusIudu curgu de Lrubujo (excesIvo LruIIco de red, ucLIvIdud
de sIsLemu) |z|. EsLos sIsLemus IIegun u descurLur puqueLes de red o segmenLos de
InIormucIn de ucLIvIdud de sIsLemu, cuundo Iu sILuucIn de sobrecurgu es criLIcu.
eIensu unte noevos utuqoes: En Iu muyoriu de Ios cusos, no pueden deLecLur
uLuques de recIenLe upurIcIn, o vurIunLes de uLuques exIsLenLes. EsLo ocurre con
muyoriu de producLos comercIuIes, que sueIen uLIIIzur deLeccIn de usos IndebIdos,
busudu en regIus o puLrones de uLuques. u deLeccIn de unomuIius, dudu Iu nuLuruIezu
de esLe LIpo de unuIIsIs, permILe umpIIur eI rungo de deLeccIn de esLe LIpo de uLuques,
pero no Ios reconoce Lodos.
eIensu unte utuqoes soIisticudos: Como yu se Iu comenLudo, esLos sIsLemus son
de grun uyudu u Iu Ioru de sImpIIIIcur Ius Lureus de uudILoriu de segurIdud. Pueden
deLecLur con cIerLu eIIcucIu uLuques comunes, o de reIuLIvu sImpIIcIdud. IILrun grundes
cunLIdudes de InIormucIn, desLucundo duLos que pueden esLur reIucIonudos con
posIbIes InLrusIones. SIn emburgo, no deben ser sobrevuIorudos. An no esLun
prepurudos puru IdenLIIIcur uLuques demusIudo soIIsLIcudos, reuIIzudos por uLucunLes
experLos, que en uIgunus ocusIones uLIIIzun LcnIcus de IrugmenLucIn de puqueLes o
IncIuso proLocoIos propIos. En ese uspecLo, sIgue sIendo necesurIu Iu InLervencIn
Iumunu.
116
eIensu unte utuqoes directos: AI IguuI que ocurre con oLros producLos, como
unLIvIrus, o corLuIuegos, no son cupuces de bIoqueur uLuques dIseudos puru evILur o
InuLIIIzur especiIIcumenLe esLos sIsLemus. EsLus uccIones son sIempre reuIIzudus por
uLucunLes con umpIIos conocImIenLos sobre esLe LIpo de sIsLemus.
Investigucin uotomticu: ReuIIzun Lureus de unuIIsIs, y enviun uIurmus en cuso de
reconocer InLrusIones o uccIones IosLIIes. No obsLunLe, Iu Iubor de InvesLIgucIn de
cudu uLuque reuIIzudo Iu debe reuIIzur un Iumuno. EsLo LIpo de uccIones conIIevu
cIerLus responsubIIIdudes y IubIIIdudes de Ius que curecen esLos sIsLemus.
Conocimiento de cudu sitoucin: EsLos sIsLemus no conocen de unLemuno Ius
purLIcuIurIdudes de cudu enLorno en que son ImpIemenLudos. Es eI responsubIe de
segurIdud quIen debe conIIgururIos, y udupLurIos u cudu sILuucIn progresIvumenLe.
Culidud de los dutos: No pueden compensur errores producIdos por eI uso de duLos
de muIu cuIIdud. Huy uLuques que consIsLen en suLurur u Ios DSs con InIormucIn
redundunLe, o sImpIemenLe ruIdo. Cudu IuenLe de duLos udIcIonuI IncremenLu Ius
posIbIIIdudes de obLener InIormucIn conLumInudu por un uLucunLe. Trubujur con duLos
curenLes de uLIIIdud, InvuIIdu Ios resuILudos obLenIdos.
Culidud de los protocolos: No compensun Ius debIIIdudes usocIudus uI dIseo de un
proLocoIo. Por ejempIo, TCPJP y mucIos oLros proLocoIos no Iueron creudos puru
reuIIzur mecunIsmos robusLos de uuLenLIcucIn. Cuundo uIguIen reuIIzu un uLuque, Iu
dIreccIn orIgen de Ios puqueLes InvoIucrudos no LIene por qu ser necesurIumenLe Iu
deI uLucunLe. EsLo dIIIcuILu Iu IdenLIIIcucIn y persecucIn de Ios cuIpubIes medIunLe
procesos IeguIes y judIcIuIes.
Intornos conmotudos: os deLecLores de InLrusIones busudos en red no Lrubujun
bIen en enLornos de red que uLIIIcen conmuLudores ("swILcIed envIromenLs"). EsLos
dIsposILIvos sIo Ies enviun eI LruIIco de red que vu desLInudo u eIIos mIsmos,
dIIIcuILundo Ius Lureus de monILorIzucIn de LruIIco de red gIobuI.
Incriptucin: EI uso de comunIcucIones cIIrudus (como SSH, SS, PSec, eLc.) puede
InIubIIILur Iu uLIIIdud de un deLecLor de InLrusIones busudo en red, yu que no puede
InLerpreLur Io que esLu monILorIzundo. An en eI cuso de que pudIeru InLerpreLur Io que
percIbe, Lener que descIIrur Ios duLos supondriu unu curgu udIcIonuI de proceso. EsLo
no sIo IncremenLuriu sus requerImIenLos de recursos, sIno que podriu Iucer esLu Iubor
cusI ImposIbIe en enLornos con grundes curgus de LruIIco. Puru evILur esLe probIemu, Ios
deLecLores se sueIen InsLuIur en Ios punLos exLremos de Iu comunIcucIn, puru exumInur
Ios duLos descIIrudos por Ius muquInus ("IosLs").
IPv6: MucIos deLecLores de InLrusIones comercIuIes son Incupuces de InLerpreLur eI
proLocoIo Pv6, sucesor deI umpIIumenLe uLIIIzudo en nLerneL: Pvq. EI proLocoIo Pv6
no esLu sIendo udopLudo por IguuI en Lodo eI mundo, LenIendo muyor ucogIdu en Ios
puises usIuLIcos. SIn emburgo, IncIuso en enLornos en Ios que se Lrubuju nIcumenLe con
Pvq, eI proLocoIo Pv6 permILe creur LneIes sobre Pvq. EsLo ImpIde u Ios deLecLores
de InLrusIones reconocer uqueIIos uLuques que Io uLIIIzun. EsLu sILuucIn se puede
corregIr uudIendo cupucIdudes de unuIIsIs de esLe proLocoIo u Ios moLores de
deLeccIn.
Ccptulo CupucIdudes y IImILucIones - . Rejerencics
11;

. ReIerencIus
|1| Buce, Rebeccu und PeLer MeII. Intrusion Detection Sstems. |en Iineu| |consuILudo en murzo, zoo|.
DIsponIbIe en <ILLp:JJcsrc.nIsL.govJpubIIcuLIonsJnIsLpubsJ8oo-1Jsp8oo-1.pdI>.
|z| SpILzner, unce. The Vclue oj Honepots. |en Iineu| 1o de ocLubre, zoo1|consuILudo en ubrII zoo|.
DIsponIbIe en <ILLp:JJwww.securILyIocus.comJInIocusJ1qqz>

11q
CupiLuIo 6
6 mpIemenLucIn
"- uenos... Dcs... Doctor... Chcndrc... Aqu... Hcl... Esto...
Listo... Pcrc... Mi... Primerc... Leccin... De... Ho..."
zoo: Unc odisec espccicl, Arthur C. Clcrle
EI nIveI de segurIdud y Iu gesLIn oIrecIdu por Ios SIsLemus de DeLeccIn de nLrusIones, Ios
Iuce cusI ImprescIndIbIes en mucIus de Ius orgunIzucIones que cuenLun con ImporLunLes
InIruesLrucLurus de red.
Como yu se upunL en eI cupiLuIo unLerIor que esLos sIsLemus, uunque LIenen mucIus
venLujus, no son perIecLos. Por oLru purLe, mucIos udmInIsLrudores curecen de Ios conocImIenLos
udecuudos puru uprovecIur uI muxImo sus curucLerisLIcus. EsLo Iuce que Iu ImpIemenLucIn de
esLos sIsLemus requIeru un proceso prevIo de pIunIIIcucIn, prepurucIn, Iuse de pruebus, y
IormucIn especIuIIzudu. Cudu soIucIn debe udupLurse u Ius necesIdudes purLIcuIures de cudu cuso,
unuIIzundo enLre oLrus curucLerisLIcus, Ius poIiLIcus de Iu orgunIzucIn, eI nIveI de desurroIIo y Ios
recursos de red.
os requIsILos de sIsLemu de Ios DSs dependen de Ios objeLIvos y recursos de cudu
orgunIzucIn. Por Io generuI, sueIe ser recomendubIe uIcunzur unu soIucIn busudu en eI uso
conjunLo de DS de red (NDS) y de "IosL" (HDS).
Por oLru purLe, sI se ucomeLe Iu ImpIemenLucIn de Iormu escuIonudu, uudIendo de Iormu
progresIvu cudu DS, Ios propIos udmInIsLrudores Irun udquIrIendo mus experIencIu con cudu
udIcIn. NormuImenLe se empIezu con Iu InsLuIucIn de DS busudos en red, mus sencIIIos de
InsLuIur y gesLIonur. PosLerIormenLe, se InsLuIun DS busudos en "IosL" en Ius muquInus criLIcus.
Unu pIunIIIcucIn de esLus curucLerisLIcus debe compIeLurse con eI uso reguIur de
unuIIzudores de vuInerubIIIdudes sobre Ios DSs y oLros eIemenLos de segurIdud. De esLu muneru, se
uyudu u munLener Iu esLubIIIdud y conIIunzu de esLos mecunIsmos.
En cuso de ImpIemenLur sIsLemus o redes Lrumpu, es necesurIo conLur con personuI
especIuIIzudo en Lemus de segurIdud y redes, y ubIcur dIcIos sIsLemus en enLornos uILumenLe
proLegIdos. Ademus, Iuy que usesorurse prevIumenLe en Lemus IeguIes reIucIonudos con esLos
eIemenLos.
A conLInuucIn se descrIbIrun Ius curucLerisLIcus mus comunes deI esLubIecImIenLo de
deLecLores de InLrusIones busudos en red y en muquInu. |1|
6.1 SIsLemus de DeLeccIn de nLrusIones de red
os ugenLes de un DS busudo en red monILorIzun eI LruIIco de red puru envIur Ios duLos uI
moLor de unuIIsIs. EsLos eIemenLos de monILorIzucIn pueden coIocurse en dIsLInLos punLos de Iu
urquILecLuru.
Ccptulo mpIemenLucIn - .: Sistemcs de Deteccin de Intrusiones de red
1zo
Uno de Ios objeLIvos de Ios ugenLes es eI de no ser reconocIdo por uLucunLes, usi como no
InLerIerIr en eI rendImIenLo de Iu red. Puru eIIo, se sueIen conecLur uI medIo uLIIIzundo dIsposILIvos
de escucIu. u InLerIuz de red dedIcudu u Iu monILorIzucIn se conIIguru de Iormu que no Lengu
dIreccIn P. En uIgunus ocusIones, esLos dIsposILIvos se conecLun u Iu red medIunLe un cubIe de
sIo recepcIn o un "neLwork Lup" (dIsposILIvo de escucIu de red).
EI ubunIco de producLos de deLeccIn de InLrusIones busudos en red es muy exLenso. EnLre
eIIos desLucu por su popuIurIdud 5nof, un poLenLe deLecLor de InLrusIones de red, escrILo en cdIgo
ubIerLo, busudo en regIus, que Incorporu uIgunus IuncIones de deLeccIn de unomuIius |z|. AIgunos
ejempIos mus de producLos de esLe LIpo son: Bro, escrILo por Vern Puxson ||; IresLorm, de JoIn
eucI y GIunnI Tedesco |q|; TIny PersonuI IrewuII (corLuIuegos personuI con cupucIdudes de DS),
de TIny SoILwure nc. ||; o eI DS IibrIdo (busudo en muquInu y en red) PreIude, dIsLrIbuIdo bujo
IIcencIu GP y desurroIIudo por Younn VundoorseIuere |6|.
A conLInuucIn se descrIbIrun Ius IocuIIzucIones mus comunes en Ius que se puede
ImpIemenLur un NDS. Cudu unu LIene sus propIus venLujus e InconvenIenLes.

Cortafuegos
Conmutador
Router
Internet
A
Router
Router
Conmutador
C
D
E
B

Iigoru 6-1 - Sitouciones de implementucin de on IS

6.1.1 DeIunLe deI corLuIuegos exLerno
CoIocur Ios ugenLes deIunLe deI corLuIuegos exLerno (A), permILe:
MonILorIzur eI nmero y LIpo de uLuques dIrIgIdos conLru Iu InIruesLrucLuru de Iu
orgunIzucIn.
DeLecLur uLuques cuyo objeLIvo es eI corLuIuegos prIncIpuI.
Por oLru purLe, esLu posIcIn LumbIn presenLu uIgunos InconvenIenLes:
1z1
No permILe deLecLur uLuques que uLIIIcen en sus comunIcucIones uIgn mLodo puru
ocuILur Iu InIormucIn, como uIgorILmos de encrIpLucIn, o estecnorcjc
1
.
En esLu IocuIIzucIn sueIe Iuber grun cunLIdud de LruIIco de red. Un deLecLor de
InLrusIones muI dIseudo puede suLururse, descurLundo purLe de Iu InIormucIn que
percIbe, sI no Iu sIdo bIen dIseudo.
Unu sILuucIn como esLu no oIrece nIngunu proLeccIn. EI NDS puede converLIrse en
un bIunco IucII sI uIgn uLucunLe Iogru IdenLIIIcurIo.
6.1.z DeLrus deI corLuIuegos exLerno
EsLu IocuIIzucIn (B), sILuudu enLre nLerneL y Iu red InLernu, se denomInu DMZ (Zonu
DesmIIILurIzudu). Se uLIIIzu puru proporcIonur servIcIos pbIIcos sIn Lener que permILIr ucceso u Iu
red prIvudu de Iu orgunIzucIn.
En esLu subred se sueIen ubIcur Ios servIcIos prIncIpuIes de Iu InIruesLrucLuru (servIdores
HTTP, TP, SMTP, DNS, eLc.). NormuImenLe esLu proLegIdu por corLuIuegos y oLros eIemenLos de
segurIdud.
AIgunus de Ius venLujus de esLe cuso son:
Se monILorIzun InLrusIones que Iogrun uLruvesur eI corLuIuegos prIncIpuI.
Se pueden deLecLur uLuques dIrIgIdos conLru Ios servIdores que oIrecen servIcIos
pbIIcos sILuudos en esLu subred.
En cuso de no deLecLur uLuques con xILo, pueden reconocer uIgunus consecuencIus de
Ios mIsmos, como InLenLos de conexIones suIIenLes, reuIIzudus desde Ios servIdores
compromeLIdos.
u IdenLIIIcucIn de Ios uLuques y escuneos mus comunes permILe mejorur Iu
conIIgurucIn deI corLuIuegos prIncIpuI.
A conLInuucIn se enumerun uIgunos de Ius desvenLujus de esLu IocuIIzucIn:
AI IguuI que en eI cuso unLerIor, no permILe IdenLIIIcur uLuques que uLIIIcen mLodos
puru ocuILur Iu InIormucIn conLenIdu en sus comunIcucIones, como uIgorILmos de
encrIpLucIn.
u cunLIdud de LruIIco exIsLenLe normuImenLe en esLe segmenLo de red, puede Iucer
que eI NDS no puedu unuIIzurIu Lodu, descurLundo duLos. Es ImporLunLe dIseur un
sIsLemu cupuz de responder unLe sILuucIones criLIcus.

1
ArLe o cIencIu de comunIcur de muneru ocuILu un mensuje, cumuIIundo Iu InIormucIn enLre oLro
conjunLo de duLos puru que puse desupercIbIdu. UsuuImenLe un LexLo, Imugen, o urcIIvo
muILImedIu. ProvIene de Ius puIubrus grIegus stecns (cubIerLo) y rcptos (escrILo).
1zz
u segurIdud deI NDS mejoru con Iu IncIusIn deI corLuIuegos que Io sepuru de Iu red
exLerIor. SIn emburgo, esLo no excIuye de Lomur medIdus udIcIonuIes puru evILur que
puedu ser compromeLIdo por uLucunLes.
6.1. Redes prIncIpuIes
Cuundo se monILorIzu eI LruIIco de red en Ius redes con muyor ucLIvIdud (C) se obLIenen
esLus venLujus:
AI Iuber mus cunLIdud de LruIIco, Iuy LumbIn mus posIbIIIdudes de enconLrur posIbIes
uLuques. EsLe IecIo se cumpIe sIempre que Iu cunLIdud de LruIIco no supere Iu
cupucIdud deI NDS.
Se pueden deLecLur uLuques producIdos desde denLro de Iu propIu red, como Ios
reuIIzudos por personuI InLerno.
us desvenLujus reIucIonudus con esLu posIcIn son, enLre oLrus:
AI IguuI que en Ios cusos unLerIores, esLu IocuIIzucIn no permILe deLecLur uLuques que
uLIIIcen uIgorILmos de encrIpLucIn en sus comunIcucIones.
No pueden evILur probIemus usocIudos uI uso de conmuLudores en Iu red. us
curucLerisLIcus de esLos dIsposILIvos podriun ImpedIr Iu monILorIzucIn de Ios
mIembros de Iu red.
EsLu sILuucIn Iuce que esLos sIsLemus seun especIuImenLe vuInerubIes unLe uLuques
provenIenLes, no yu deI exLerIor, sIno deI InLerIor de Iu propIu InIruesLrucLuru. Es vILuI
Lener esLe uspecLo en cuenLu u Iu Ioru de ImpIemenLur un deLecLor de InLrusIones en
esLu IocuIIzucIn.
6.1.q Subredes de vuIor criLIco
A veces, Ios servIdores y recursos mus ImporLunLes de unu red son sILuudos en unu subred,
sepurudu de Iu red prIncIpuI medIunLe dIsposILIvos como corLuIuegos (D). Puru proLegerIos
debIdumenLe, es necesurIo ImpIemenLur deLecLores de InLrusIones busudos en red en esLus subredes
prIvudus.
AIgunus de Ius venLujus de Iucer esLo son:
DeLecLur uLuques reuIIzudos conLru eIemenLos criLIcos de Iu red.
DedIcur especIuI uLencIn u Ios recursos mus vuIIosos de Iu InIruesLrucLuru.
A conLInuucIn se enumerun uIgunus desvenLujus deI uso de esLu opcIn:
Como yu se comenL en Ius sILuucIones unLerIores, esLe cuso no permILe deLecLur
uLuques que uLIIIcen uIgorILmos de cIIrudo en sus comunIcucIones.
No evILun probIemus de monILorIzucIn reIucIonudos con eI uso de conmuLudores.
1z
No esLun esLruLgIcumenLe bIen sILuudos unLe uLuques de orIgen InLerno.
6.1. MuquInus
OLru de Ius posIbIes Iormus de InsLuIur esLe LIpo de sIsLemus es en Ius propIus muquInus (E),
convIrLIndoIus rusLreudores de red. os DSs busudos en red ImpIemenLudos de esLu Iormu se
denomInun DS de nodo de red (NNDS) ("NeLwork Node DS").
u muyoriu de Ios producLos de deLeccIn busudos en red nombrudos unLes se pueden
ImpIemenLur de esLu Iormu. CuuIquIer deLecLor busudo en red, que permILu Iu InsLuIucIn de uno de
sus ugenLes en unu muquInu, puede ser uLIIIzudo de esLu Iormu.
EsLu IocuIIzucIn proporcIonu venLujus nIcus:
Se evILun Ios InconvenIenLes de Iu encrIpLucIn de Ius comunIcucIones, presenLes en Ius
IocuIIzucIones unLerIores. EI NNDS deju de recIbIr cIIrudo eI LruIIco orIgInudo o
desLInudo u Iu muquInu en Iu que esLu InsLuIudo. No obsLunLe, seguIru percIbIendo
cIIrudus eI resLo de Ius comunIcucIones.
Es unu Iormu de soIvenLur probIemus derIvudos deI uso de conmuLudores. Como yu se
upunL en eI upurLudo .1.z "uenLes de InIormucIn busudus en red", esLe LIpo de
dIsposILIvos dIIIcuILun Iu monILorIzucIn deI LruIIco red, reuIIzundo Lureus de
encumInumIenLo, cosu que no Iucen Ios concenLrudores. SILuur un deLecLor en unu
muquInu permILe uI menos, exumInur sus propIus comunIcucIones.
Por oLru purLe, esLe enIoque LumbIn LIene InconvenIenLes:
u vIsIn deI sIsLemu de deLeccIn esLu cIurumenLe IImILudu LunLo por Iu sILuucIn de Iu
muquInu, como por Iu urquILecLuru de Iu red. Por ejempIo, sI se uLIIIzun conmuLudores,
sIo puede unuIIzur eI LruIIco reIucIonudo con Iu muquInu unIILrIonu. No obsLunLe, sI se
Iuce uso de concenLrudores, unuIIzuriu udemus eI LruIIco deI resLo de Ios mIembros de Iu
red, ucLuundo como un rusLreudor.
EI NDS esLu compurLIendo Ios mIsmos recursos que Iu muquInu que monILorIzu. EsLo
reduce Ios recursos de Iu mIsmu, uIecLundo evIdenLemenLe u su rendImIenLo IInuI.
Que Iu muquInu unIILrIonu seu compromeLIdu puede Lener gruves consecuencIus. EI
deLecLor no sIo perderiu Lodu eIIcucIu, sIno que udemus, podriu ser conLroIudo por eI
uLucunLe puru IIevur u cubo sus IInes. ObLener InIormucIn sobre Iu InIruesLrucLuru de Iu
orgunIzucIn, o envIur IuIsus uIurmus que dIsLrujerun Iu uLencIn deI responsubIe de
segurIdud, son sIo uIgunos ejempIos de Io que un InLruso podriu Iucer en dIcIu
sILuucIn.
Ccptulo mpIemenLucIn - .z Sistemcs de Deteccin de Intrusiones de mcquinc
1zq
6.z SIsLemus de DeLeccIn de nLrusIones de
muquInu
Como se comenL uI prIncIpIo deI cupiLuIo, en unu esLruLegIu de ImpIemenLucIn generuI,
Ios deLecLores de InLrusIones busudos en muquInu ("IosL") se sueIen InsLuIur despus de Ios busudos
en red. EsLo se Iuce usi yu que, dudus sus curucLerisLIcus, son mus compIIcudos de InsLuIur.
EsLe LIpo de sIsLemus necesILu ser conIIgurudo de Iormu IndIvIduuI en cudu muquInu, y
uLIIIzu como IuenLe de duLos Iu InIormucIn obLenIdu deI sIsLemu.
u muyoriu de Ios deLecLores de InLrusIones IncIuyen, enLre oLrus IuncIones, mecunIsmos de
verIIIcucIn de InLegrIdud de urcIIvos. EsLo Ies permILe, medIunLe eI uso de uIgorILmos de cIIrudo
como IuncIones resumen, reconocer cumbIos en Ios IIcIeros mus ImporLunLes deI sIsLemu.
Aunque Iu sILuucIn IdeuI es Iu de conLur con uno de esLos sIsLemus en ccdc unc de Ius
muquInus de Iu red, Io cIerLo es que eI procedImIenLo mus exLendIdo u seguIr es eI de InsLuIurIos
prImero en Ios servIdores mus ImporLunLes. Unu vez que Ios responsubIes se Iun ucosLumbrudo u
esLu sILuucIn, se pueden Ir ImpIemenLundo en eI resLo de Ios equIpos.

Conmutador
Router
Router
Router
Conmutador
Mquinas de ms valor
(Servidores importantes)
Mquinas secundarias
(Estaciones de trabajo)
Cortafuegos
Internet

Iigoru 6- - Implementucin progresivu de HIS

Es muy ImporLunLe que Ios udmInIsLrudores de esLos sIsLemus se ucosLumbren u Iu Iormu de
Lrubujur de esLos sIsLemus, uIInundo Iu conIIgurucIn puru udupLurIu u su sILuucIn purLIcuIur, y
uprendIendo u dIsLInguIr enLre Ius IuIsus uIurmus y Ios verduderos probIemus de segurIdud.
os InIormes emILIdos por Ios deLecLores busudos en muquInu deben ser revIsudos de Iormu
perIdIcu. No sIempre es posIbIe Ir exumInundo IndIvIduuImenLe cudu deLecLor. Por eIIo, mucIos
producLos IucIIILun mecunIsmos de cenLruIIzucIn de regIsLros, que permILen gesLIonur Ius uIurmus
de unu Iormu mus cmodu, rupIdu y eIIcIenLe.
Ccptulo mpIemenLucIn - . Alcrmcs
1z
AIgunos de Ios producLos mus conocIdos, que se uLIIIzun como deLecLores de InLrusIones
busudos en IosL son: G ANguurd S.E..M, de G SoILwure Ld. |;|; TrIpwIre |8|, ogCusLer, de
EnLerprIse nLernuLIonuI |q|; o eI yu mencIonudo DS IibrIdo, PreIude |6|.
AIgunus de Ius venLujus deI uso de esLos sIsLemus son:
Trubujun con eI sIsLemu de IIcIeros, y con regIsLros de sIsLemu operuLIvo IocuIes, por Io
que pueden deLecLur uLuques que no IdenLIIIcudos Ios deLecLores busudos en red.
Su especIuIIzucIn Ies oLorgu venLuju u Iu Ioru de deLecLur uLuques especiIIcos de Ios
sIsLemus que monILorIzun.
Su posIcIn prIvIIegIudu Ies permILe IdenLIIIcur con precIsIn Ios eIemenLos
InvoIucrudos en un uLuque, LuIes como procesos de sIsLemu, IIcIeros o nombres de
usuurIo.
Dudu su nuLuruIezu, esLe LIpo de sIsLemus no se ve uIecLudo por un enLorno de red con
conmuLudores.
6. AIurmus
Uno de Ios upurLudos mus ImporLunLes de Ios DSs es eI reIuLIvo u Ius uIurmus. EIuborur unu
urquILecLuru de Ios mecunIsmos de uIurmu y procedImIenLos de respuesLu IrenLe u uLuques, unLes de
ImpIemenLur esLos sIsLemus, puede evILur mucIos probIemus en cuso de uLuque.
EsLos sIsLemus permILen envIur unu uIurmu de mucIus Iormus: uudIendo un evenLo en Ios
regIsLros de uudILoriu o sIsLemu, un medIunLe correo eIecLrnIco, uLIIIzundo proLocoIos de gesLIn
de red (SNMP), u Lruvs de mensujes u mvIIes ("SIorL Messuge ServIce" (SMS)), eLc.
Es recomendubIe dejur pusur unus semunus, unLes de ucLIvur Ios mecunIsmos de uIurmu de
un deLecLor de InLrusIones. Ese LIempo se debe dedIcur puru ujusLur Iu conIIgurucIn u cudu
escenurIo purLIcuIur, reducIendo Iu upurIcIn de IuIsus uIurmus.
Por oLru purLe, sI se conIIgurun respuesLus uuLomuLIcus que permILun responder unLe
uccIones IosLIIes, como por ejempIo, bIoqueundo Iu dIreccIn orIgen deI uLucunLe, es precIso seguIr
de cercu su IuncIonumIenLo, puru ImpedIr que un InLruso se uprovecIe de esLus IuncIones. De Io
conLrurIo, un uLucunLe podriu "IuIsIIIcur" su dIreccIn orIgen, uLIIIzundo Ius de oLrus enLIdudes, que
podriun IncIuso perLenecer u cIIenLes de Iu empresu uLucudu o de Iu propIu red prIvudu, provocundo
evIdenLes probIemus.
Puru usegururse de que Ius uIurmus IIegun u su desLIno, se sueIen uLIIIzur LcnIcus de
redunduncIu; se enviu Iu mIsmu uIurmu uLIIIzundo dIsLInLus mLodos de comunIcucIn. EsLe LIpo de
medIdus se Lomu en cusos de uIurmus de nIveI criLIco.
6.q ReIerencIus
|1| Buce, R. und PeLer MeII. nLrusIon DeLecLIon SysLems. |en Iineu| |consuILudo en murzo, zoo|.
Ccptulo mpIemenLucIn - .( Rejerencics
1z6
|z| RoescI, MurLy eL uI. Snort.or. |en Iineu|. AcLuuIIzudo semunuImenLe |consuILudo en murzo de zoo|.
|| Vern, Puxon. ro: A Sstem jor Detectin Netuorl Intruders in Recl-Time. uwrence BerkeIey
NuLIonuI uboruLory, BerkeIey, CA und AT&T CenLer Ior nLerneL ReseurcI uL CS, BerkeIey, CA. |en
Iineu|. 1q de dIcIembre de 1qqq |consuILudo en murzo de zoo|. DIsponIbIe desde nLerneL en
<hffp://WWW.1c1.og/ven/bo-1nfo.hfmI>
|q| eucI, JoIn und GIunnI Tedesco. Iirestorm. |en Iineu|. zooz |consuILudo en ubrII, zoo|. DIsponIbIe
en <hffp://WWW.scaamanga.co.uk/f1esfom/1ndex.hfm1>.
|| TIny SoILwure nc. Tin Personcl Iireucll. |en Iineu|. ecIu no dIsponIbIe |consuILudo en ubrII, zoo|.
DIsponIbIe en <hffp://WWW.f1nysoffWae.com/>.
|6| VundoorseIuere, Younn. Prelude Hbrid IDS. |en Iineu|. 1qq8 |consuILudo en ubrII, zoo|. DIsponIbIe
en <hffp://pe1ude-1ds.og/>.
|;| G SoILwure Ld. GII Securit Etent Lo Monitor. |en Iineu|. ecIu no dIsponIbIe |consuILudo en
ubrII, zoo|. DIsponIbIe en <hffp://WWW.gf1.com/>.
|8| TrIpwIre, nc. Tripuire. |en Iineu|. ecIu no dIsponIbIe |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.f1pW1e.com/>.
|q| EnLerprIse nLernuLIonuI. LoCcster. |en Iineu| 1qq; |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.e1-euope.com/1ogcasfe.hfm>.

1z;
CupiLuIo ;
; AspecLos IeguIes
Asegurur un sIsLemu no sIo consIsLe en Lomur Ius medIdus necesurIus puru proLegerIo unLe
uLuques o u oLros probIemus, sIno esLur uI LunLo de Ios uspecLos IeguIes reIucIonudos con eI Lemu.
u ImpIemenLucIn de un SIsLemu de DeLeccIn de nLrusIones en mucIus ocusIones
ImpIIcu eI cumpIImIenLo de unu serIe de requIsILos ImpuesLos por Iu ey. CumpIIr con esLus
obIIgucIones permILe perseguIr u Ios cuIpubIes medIunLe procesos IeguIes o judIcIuIes. os regIsLros
e InIormes proporcIonudos por un deLecLor de InLrusIones pueden ser requerIdos como pruebus que
uyuden u IocuIIzur y condenur u Ios responsubIes.
DesgrucIudumenLe, Ios sIsLemus IeguIes de mucIos puises no se Iun udupLudo u Iu mIsmu
veIocIdud que eI desurroIIo de Ius LecnoIogius, dejundo vucios que permILen u Ios crImInuIes
deIInquIr con LoLuI ImpunIdud.
En esLe cupiLuIo se Iuru un breve repuso por eI esLudo ucLuuI de Ios sIsLemus IeguIes deI
mundo, puru cenLrurse posLerIormenLe en eI murco IeguI de Europu y en eI de Espuu. Se
comenLurun Ios uspecLos IeguIes reIucIonudos con deIILos InIormuLIcos, y mus concreLumenLe, Ios
reIucIonudos con Ios SIsLemus de DeLeccIn de nLrusIones
;.1 SIsLemus IeguIes en eI mundo
AcLuuImenLe, Ios sIsLemus IeguIes mus uLIIIzudos en eI mundo se pueden cIusIIIcur en seIs
LIpos |1|: derecIo cIvII, "common Iuw", derecIo consueLudInurIo, derecIo musuImun, derecIo
LuImdIco y derecIo mIxLo. EI "DerecIo MIxLo" es unu combInucIn de dos o mus sIsLemus juridIcos
y no u un LIpo de sIsLemu juridIco.
u Iguru ;-1 IIusLru Iu dIsLrIbucIn de Ios sIsLemus IeguIes en Ios dIIerenLes puises deI
mundo. A conLInuucIn se Iuru unu descrIpcIn de cudu uno de dIcIos sIsLemus.

Ccptulo ; AspecLos IeguIes - ;.: Sistemcs lecles en el mundo
1z8

Iigoru ,-1 - Sistemus legules en el mondo

;.1.1 DerecIo cIvII
EsLe sIsLemu IeguI es eI uLIIIzudo por uqueIIos puises busudos en eI sIsLemu IeguI romuno.
ProIIeren grun ImporLuncIu uI derecIo escrILo, y udopLun unu codIIIcucIn sIsLemuLIcu de su derecIo
comn.
Por oLro Iudo, LumbIn se encuenLrun en esLu cuLegoriu uqueIIos puises, generuImenLe de
derecIo mIxLo, que sIn Iuber recurrIdo u Iu LcnIcu de Iu Iey codIIIcudu, poseen suIIcIenLes
eIemenLos de consLruccIn juridIcu romunu. que permILen consIderurIos como udscrIpLos u Iu
LrudIcIn cIvIIIsLu.
TumbIn se IncIuyen en esLe LIpo Ios puises en Ios que, u pesur de que no conLur con
ImporLunLe InIIuencIu romunu, prucLIcun un derecIo, codIIIcudo o no, que reposu en unu
concepcIn deI roI de Iu Iey sImIIur u su de Ios puises de LrudIcIn cIvIIIsLu "puru". Un ejempIo de
esLe cuso es eI de Ios puises de LrudIcIn escundInuvu.
EsLe es uno de Ios sIsLemus IeguIes mus prucLIcudos en Lodo eI mundo. EnLre Ios que Io Iun
udopLudo se encuenLrun mucIos puises europeos (Espuu, runcIu, AIemunIu, o LuIIu enLre oLros),
usi como grun purLe de Ios puises de SudumrIcu (como VenezueIu, ArgenLInu, BrusII) y AmrIcu
CenLruI (como MxIco, EI SuIvudor, GuuLemuIu).
Ccptulo ; AspecLos IeguIes - ;.: Sistemcs lecles en el mundo
1zq
;.1.z "Common Iuw"
OLro de Ios sIsLemus IeguIes mus prucLIcudos en Lodo eI mundo es eI "Common Iuw". En esLu
cuLegoriu enLrun uqueIIos puises en Ios cuuIes eI derecIo reposu LcnIcumenLe, uI menos en Io
esencIuI, sobre Ios concepLos y Ios modos de orgunIzucIn juridIcu deI "common Iuw" brILunIco. EsLe
modeIo oLorgu grun ImporLuncIu u Iu jurIsprudencIu, y no u Iu Iey como medIo ordInurIo de
expresIn deI derecIo comn. En consecuencIu, Iu muyoriu de puises udscrILos u esLe sIsLemu IeguI
esLun mus o menos reIucIonudos con Iu LrudIcIn brILunIcu.
EnLre Ios puises que uLIIIzun esLe sIsLemu udemus de ngIuLerru esLun EsLudos UnIdos,
Cunudu, rIundu, AusLruIIu o Nuevu ZeIundu.
;.1. DerecIo consueLudInurIo
Aunque ucLuuImenLe no exIsLen puises cuyos sIsLemus IeguIes puedun seun enLerumenLe
consueLudInurIos, eI derecIo consueLudInurIo juegu un ImporLunLe pupeI en grun nmero de puises
de derecIo mIxLo.
EsLe sIsLemu es prucLIcudo en uIgunos puises uIrIcunos. TumbIn es upIIcudo, con dIIerenLes
condIcIones, en puises como CIInu e ndIu.
;.1.q DerecIo MusuImun, DerecIo TuImdIco
EsLos son sIsLemus uuLnomos de derecIo reIIgIoso propIumenLe dIcIo. No Iuy sepurucIn
enLre eI esLudo y Iu reIIgIn, uI conLrurIo que en eI derecIo cunnIco. EsLe ILImo, uunque
InIIuencIudo por dogmus reIIgIosos, es producLo de Iu eIuborucIn Iumunu es uno de Ios
componenLes de Iu LrudIcIn cIvIIIsLu.
Con excepcIn de AIgunIsLun o Ius sIus MuIdIvus, Ios puises que se rIgen por esLe sIsLemu Io
uLIIIzun en conjuncIn con uIgn oLro (como "Common uw" o DerecIo CIvII). u muyoriu de esLos
puises se encuenLrun en orIenLe medIo.
;.1. DerecIo MIxLo
Se engIobun en esLu cuLegoriu uqueIIos puises donde dos o mus sIsLemus se upIIcun de
muneru ucumuIuLIvu o de InLeruccIn. TumbIn perLenecen u Iu mIsmu uqueIIos puises en Ios cuuIes
Iuy unu yuxLuposIcIn de sIsLemus, dudo que Ios mIsmos se upIIcun sImuILuneumenLe u ureus mus o
menos dIIerencIudus.
;.1.6 TerrILorIos no IndependIenLes
Por ILImo, cube mencIonur cIerLo nmero de sIsLemus upIIcudos en unu serIe de LerrILorIos
no IndependIenLes, que por dIversos moLIvos no esLun vIncuIudos uI sIsLemu juridIco de Iu
meLrpoIIs. EsLos sIsLemus, bIen Iun udquIrIdo o munLenIdo curucLerisLIcus dIsLInLus denLro deI
nombre IederuI o unIdud poIiLIcu u Iu cuuI perLenece.
Ccptulo ; AspecLos IeguIes - ;.z Dtros sistemcs
1o
;.z OLros sIsLemus
;.z.1 DerecIo penuI
Ademus de Ios sIsLemus unLes mencIonudos, oLru purceIu ImporLunLe en esLe cuso es eI
DerecIo penuI, cuyo conLenIdo es un cuLuIogo de normus que proLegen Ios vuIores que unu socIedud
consIderu mus ImporLunLes, usi como Ius suncIones que se pueden Imponer puru eI cuso de
IncumpIImIenLo. Por LunLo, eI DerecIo penuI conLIene unu IIsLu de deIILos y sus penus.
EsLu IIsLu de deIILos y penus puede provenIr de un sIsLemu de codIIIcucIn, como en Lodo eI
mundo occIdenLuI, o de LexLos IncIuso reIIgIosos (EI Corun) pero es ImporLunLe seuIur que Ios
derecIos Iumunos y IIberLudes IundumenLuIes LIenen grun LruscendencIu en esLe cumpo, por Io que
rIgen prIncIpIos unIversuIes no upIIcubIes u oLrus rumus deI DerecIo, como eI prIncIpIo de IeguIIdud,
nullc poenc sine prcetic lee que exIge que puru que se produzcu un deIILo, debe, IorzosumenLe,
exIsLIr unu ey prevIu que deIInu dIcIo deIILo. DebIdo u esLu ruzn, Iu cosLumbre no es IuenLe de
esLe DerecIo, nI sIquIeru en Ios puises de DerecIo consueLudInurIo o de Common uw.
;.z.z DerecIo procesuI
SI Ios unuIIsIs de Iu deLeccIn de InLrusIones LIenen como desLIno servIr de pruebu en un
procedImIenLo judIcIuI, deberun usImIsmo Lenerse en cuenLu Ios dIIerenLes requIsILos IeguIes puru
que seun vuIIdus y eIIcuces Iu obLencIn, conservucIn y presenLucIn de Ius pruebus en juIcIo. En
esLe uspecLo, cudu puis LIene sus regIus, no pudIndose esLubIecer en esLe cuso cuLegorius comunes.
;. SILuucIn en Europu
En Io que respecLu u Iu sILuucIn IeguI sobre deIILos InIormuLIcos, Ios puises perLenecIenLes
uI Consejo de Europu ucorduron eI z1 de novIembre de zoo1 eI "ConvenIo sobre Iu
CIberdeIIncuencIu", en eI que LumbIn purLIcIpuron Ios EsLudos UnIdos. EsLe documenLo Iue
IIrmudo por Ios represenLunLes de cudu puis, uunque su eIIcucIu depende de su posLerIor reIrendo
por Ios rgunos nucIonuIes de cudu puis IIrmunLe.
EsLe documenLo sIrvI puru deIInIr Ios deIILos InIormuLIcos y uIgunos eIemenLos
reIucIonudos con sLos, LuIes como "sIsLemus InIormuLIcos", "duLos InIormuLIcos", o "proveedor de
servIcIos". os deIILos InIormuLIcos Iueron cIusIIIcudos en cuuLro grupos descrILos u conLInuucIn:
elitos contru lu conIidenciulidud, lu integridud y lu disponibilidud de los
dutos y sistemus inIormticos.
o Acceso IIicILo u sIsLemus InIormuLIcos.
o nLercepLucIn IIicILu de duLos InIormuLIcos.
o nLerIerencIu en eI sIsLemu medIunLe Iu InLroduccIn, LrunsmIsIn, provocucIn
de duos, borrudo, uILerucIn o supresIn de esLos.
o Abuso de dIsposILIvos que IucIIILen Iu comIsIn de deIILos.
elitos inIormticos.
Ccptulo ; AspecLos IeguIes - ;.( Situccin en Espcc
11
o uIsIIIcucIn InIormuLIcu que produzcu Iu uILerucIn, borrudo o supresIn de
duLos InIormuLIco que ocusIonen duLos no uuLnLIcos.
o ruudes InIormuLIcos.
elitos relucionudos con el contenido.
o DeIILos reIucIonudos con Iu pornogruIiu InIunLII.
elitos relucionudos con inIrucciones de lu propiedud intelectoul y
derechos uIines.

os deIILos reIucIonudos con Ios uLuques deLecLudos por Ios SIsLemus de DeLeccIn de
nLrusIones esLuriun prIncIpuImenLe conLempIudos en Iu prImeru cuLegoriu: "DeIILos conLru Iu
conIIdencIuIIdud, Iu InLegrIdud y Iu dIsponIbIIIdud de Ios duLos y sIsLemus InIormuLIcos".
En eI "ConvenIo sobre Iu CIberdeIIncuencIu" se encomIendu u cudu PurLe que Lome Ius
medIdus necesurIus puru LIpIIIcur como deIILo en su derecIo InLerno cudu uno de Ios upurLudos
descrILos en cudu cuLegoriu. A conLInuucIn se descrIbIru cuuI es Iu sILuucIn en Espuu.
;.q SILuucIn en Espuu
A pesur de que en Espuu se esLun IucIendo progresos en eI pIuno IeguI puru reguIur Ios
deIILos reIucIonudos con Ius LecnoIogius de Iu InIormucIn, Io cIerLo es que Iu sILuucIn un es muy
precurIu. En esLe upurLudo se Iuru reIerencIu u Ios prIncIpuIes eIemenLos reIucIonudos con eI murco
IeguI que LIenen que ver con Ios deIILos InIormuLIcos, InLenLundo desLucur uqueIIos Lemus
reIucIonudos con Ios SIsLemus de DeLeccIn de nLrusIones.
;.q.1 egIsIucIn
Se enLIende por delito injormctico Lodo IIicILo penuI IIevudo u cubo u Lruvs de medIos
InIormuLIcos y que esLu inLImumenLe IIgudo u Ios bIenes juridIcos reIucIonudos con Ius LecnoIogius
de Iu InIormucIn o que LIene como IIn esLos bIenes |z|.
Espuu cuenLu con un CdIgo PenuI en eI que no exIsLe nIngn LiLuIo que se reIIeru
especiIIcumenLe u deIILos InIormuLIcos. No obsLunLe, se pueden enconLrur uIgunos LIpos penuIes
udupLubIes u Ios deIInIdos en eI "ConvenIo sobre Iu CIberdeIIncuencIu".
Por oLru purLe, en Espuu exIsLe un conjunLo de Ieyes, descrILo mus udeIunLe, que
compIemenLu Iu Iubor de reguIucIn de Ius TecnoIogius de Iu nIormucIn.
;.q.1.1 DeIILos InIormuLIcos y eI CdIgo PenuI
os LIpos penuIes deIInIdos en eI ConvenIo deI Consejo de Europu se pueden enconLrur
reIIejudos en eI CdIgo penuI espuoI de 1qq (ey OrgunIcu 1oJ1qq, de z de NovIembre). De esLu
Iormu se exLruen Ius sIguIenLes conducLus deIIcLIvus, en Ius que Ios duLos o sIsLemus InIormuLIcos
son InsLrumenLos de comIsIn deI deIILo o eI objeLo deI deIILo:
elitos contru lu conIidenciulidud, lu integridud y lu disponibilidud de los
dutos y sistemus inIormticos.
1z
Articulo
1p;
Se LIpIIIcu en esLe urLicuIo Ius conducLus que IIevun u
upoderurse de mensujes de correo eIecLrnIco ujenos o uccedun
u documenLos prIvudos sIn Iu uuLorIzucIn de sus LILuIures.
Articulo
zoq.z
Articulo
z;S.j
u desLruccIn, uILerucIn o duo de progrumus o documenLos
conLenIdos en ordenudores
Articulo
z;S.1
Apoderurse o dIIundIr documenLos o duLos eIecLrnIcos de
empresus.
elitos inIormticos.
Articulo
zqS.z
EsLuIus como consecuencIu de uIgunu munIpuIucIn
InIormuLIcu.
Articulo
zgo
ULIIIzucIn no consenLIdu de un ordenudor sIn Iu uuLorIzucIn
de su dueo cuusundoIe un perjuIcIo econmIco superIor u
oo,o C.
elitos relucionudos con el contenido.
Articulo
1So
u dIsLrIbucIn enLre menores de edud de muLerIuI
pornogruIIco.
Articulo
1Sp
DIsLrIbucIn u Lruvs de nLerneL de muLerIuI de pornogruIiu
InIunLII.
elitos relucionudos con inIrucciones de lu propiedud intelectoul y
derechos uIines.
Articulo
z;o
u copIu no uuLorIzudu de progrumus de ordenudor o de
msIcu.
Articulo
z;o
ubrIcucIn, dIsLrIbucIn o LenencIu de progrumus que
vuInerun Ius medIdus de proLeccIn unLI-pIruLeriu de Ios
progrumus .
Articulo
z;j
ComercIo u Lruvs de nLerneL de producLos puLenLudos sIn
uuLorIzucIn deI LILuIur de Iu puLenLe

Unu vez mus, se debe mencIonur que Iu muyoriu de Ios ucLos deIIcLIvos reIucIonudos con un
deLecLor de InLrusIones esLun recogIdos en eI prImer grupo.
A pesur de recoger mucIos de Ios cusos descrILos por eI Consejo de Europu, uIgunus
conducLus como eI "Spum"
1
, escuneur puerLos
z
, Iu upoIogiu deI LerrorIsmo u Lruvs de nLerneL o eI
bIunqueo de cupILuIes no esLun conLempIudos enLre Ios deIILos LIpIIIcudos en nuesLro CdIgo PenuI.
DebIdo u esLu ruzn, su persecucIn penuI se reuIIzu conjunLumenLe con Ios deIILos u Ios que Ios
ordenudores o Ius redes sIrven como Iu IerrumIenLu puru su comIsIn, no sIendo consIderudos
deIILos uuLnomos en si mIsmos.

1
Envio de pubIIcIdud no soIIcILudu, generuImenLe u Lruvs deI servIcIo de correo eIecLrnIco.
z
TcnIcu comn puru obLener InIormucIn de un sIsLemu. ReIuLIvumenLe comn enLre Ius uIurmus
de un DS.
1
;.q.1.z DeIILos InIormuLIcos y eI C.N.P.
os deIILos InIormuLIcos conLempIudos en Espuu, segn Iu BrIgudu de nvesLIgucIn
TecnoIgIcu deI Cuerpo NucIonuI de PoIIciu, se pueden cIusIIIcur en Ios sIguIenLes, con su
correspondencIu en eI CdIgo PenuI. EI LexLo que ucompuu u cudu urLicuIo es unu expIIcucIn deI
deIILo, y no se corresponde con su conLenIdo ||:
Atuqoes qoe se prodocen contru el derecho u lu intimidud
Articulos
del 1p; ol
zo1
DeIILo de descubrImIenLo y reveIucIn de secreLos medIunLe eI
upoderumIenLo y dIIusIn de duLos reservudos regIsLrudos en
IIcIeros o soporLes InIormuLIcos.
InIrucciones u lu Propiedud Intelectoul u truvs de lu proteccin de los
derechos de uotor
Articulos
z;o g
otros
EspecIuImenLe Iu copIu y dIsLrIbucIn no uuLorIzudu de
progrumus de ordenudor y LenencIu de medIos puru suprImIr
Ios dIsposILIvos uLIIIzudos puru proLeger dIcIos progrumus.
Iulsedudes
Articulos
jSo g ss.
ConcepLo de documenLo como Lodo soporLe muLerIuI que
exprese o Incorpore duLos.
ExLensIn de Iu IuIsIIIcucIn de monedu u Ius LurjeLus de dbILo
y crdILo.
ubrIcucIn o LenencIu de progrumus de ordenudor puru Iu
comIsIn de deIILos de IuIsedud.
Subotujes inIormticos
Articulo
zoj g
otros
DeIILo de duos medIunLe Iu desLruccIn o uILerucIn de duLos,
progrumus o documenLos eIecLrnIcos conLenIdos en redes o
sIsLemus InIormuLIcos.
Iruodes inIormticos
Articulos
zqS g ss.
DeIILos de esLuIu u Lruvs de Iu munIpuIucIn de duLos o
progrumus puru Iu obLencIn de un Iucro IIicILo.
Amenuzus
Articulos
1op g ss.
ReuIIzudus por cuuIquIer medIo de comunIcucIn.
Culomnius e injorius
Articulos
zog g ss.
Cuundo se propuguen por cuuIquIer medIo de eIIcucIu
semejunLe u Iu ImprenLu o Iu rudIodIIusIn.
PornogruIiu inIuntil
Articulo
1Sp
u produccIn, venLu, dIsLrIbucIn, exIIbIcIn, por cuuIquIer
medIo, de muLerIuI pornogruIIco en cuyu eIuborucIn Iuyun
sIdo uLIIIzudos menores de edud o Incupuces, uunque eI
muLerIuI LuvIere su orIgen en eI exLrunjero o Iuere desconocIdo.
EI IucIIILumIenLo de Ius conducLus unLerIores (EI que IucIIILure
Iu produccIn, venLu, dIsLrIbucIn, exIIbIcIn...).
u posesIn de dIcIo muLerIuI puru Iu reuIIzucIn de dIcIus
conducLus.
1q
;.q.1. egIsIucIn udIcIonuI
ExIsLe un cuerpo IegIsIuLIvo, Iueru deI umbILo penuI, que preLende reguIur eI uspecLo de Iu
SocIedud de Iu nIormucIn. AIgunu de esLus Ieyes Iu sIdo especIuImenLe IormuIudu con unImo de
proLeger Iu InLImIdud y prIvucIdud de Ios cIududunos y sus duLos. Conocer y cumpIIr Ios requIsILos
descrILos en Ius mIsmus Iuce posIbIe Iu udopcIn de comporLumIenLos LIIes IeguImenLe en cuso de
deIILo.
Ley Orgnicu 1g[1qqq, de 1 de diciembre, de Proteccin de utos de
Curcter Personul {LOP). |q|
o Supone unu modIIIcucIn ImporLunLe deI rgImen sobre proLeccIn de duLos de
personus IisIcus conLenIdo IusLu enLonces en Iu exLInLu ORTAD. EsLu normu
por InLroduce en eI murco juridIco unos vuIores sobre Iu deIensu de Iu
InLImIdud y prIvucIdud de Ios cIududunos y consumIdores, u Ios que reconoce
un conjunLo de derecIos. No obsLunLe, Iu umbIgedud y IuILu de precIsIn de
cIerLos LrmInos y sILuucIones, dIIIcuILu su upIIcucIn.
Ley q[oo, de 11 de jolio, de Servicios de lu Sociedud de lu InIormucin y
Comercio Ilectrnico {LSSICI). ||
o EsLu umbIcIosu ey supone Iu prImeru reguIucIn IeguI que con curucLer generuI
se dIcLu en Espuu puru eI enLorno de nLerneL. Aunque su prIncIpuI objeLIvo
consIsLe en upIIcur Iu DIrecLIvu zooJ1JCE (DIrecLIvu deI ComercIo
EIecLrnIco). TumbIn deIIne oLros IucLores reIucIonudos con Iu "SocIedud de Iu
nIormucIn", como Ius obIIgucIones de ServIcIo UnIversuI, o Iu IeguIIdud o
IIeguIIdud de Ios ucLos que cuuIquIer purLIcuIur puede reuIIzur en Iu Red.
Reul ecreto Legislutivo 1[1qq6, de 1 de ubril {BOI -q-1qq6), por el qoe
se uproebu el texto reIondido de lu Ley de Propiedud Intelectoul. |6|
o EsLu ey reguIu, ucIuru y urmonIzu Ius dIsposIcIones IeguIes vIgenLes sobre esLe
Lemu. ConsLILuye Iu reIerencIu prIncIpuI reIuLIvu u Iu reguIucIn de Iu propIedud
InLeIecLuuI en Espuu.
Reul ecreto Legislutivo 1q[1qqq, de 1, de septiembre, sobre Iirmu
Ilectrnicu. |;|
o Reconoce Iu eIIcucIu juridIcu de Iu IIrmu eIecLrnIcu
1
y Ius condIcIones puru
presLur servIcIos de cerLIIIcucIn en Espuu. AcLuuImenLe se esLu LrumILundo
unu nuevu ey de Irmu EIecLrnIcu, que se IuIIu en Iuse de ProyecLo de ey en
esLu IecIu.
;.q.z nLrusIones y Iu egIsIucIn espuoIu
us InLrusIones, o uccesos no consenLIdos, LIenen cIerLu consIderucIn por purLe deI CdIgo
penuI espuoI, eI cuuI conLempIu dos cusos concreLos:
"HuckIng"
z
dIrecLo, mero ucceso no consenLIdo: Se deIIne usi u Ius InLrusIones
perpeLrudus con eI nIco IIn de vuInerur un mecunIsmo de segurIdud que permILu eI

1
DeIInIdu en esLe ReuI DecreLo como: "ConjunLo de duLos, en Iormu eIecLrnIcu, ujenos u oLros
duLos eIecLrnIcos o usocIudos IuncIonuImenLe con eIIos, uLIIIzudos como medIo puru IdenLIIIcur
IormuImenLe eI uuLor o u Ios uuLores deI documenLo que Iu recoge".
z
Aqui se udopLu Iu puIubru "IuckIng" puru descrIbIr uqueIIus uccIones que ImpIIcun unu InLrusIn o
vIoIucIn de segurIdud. A pesur de que Iu comunIdud "Iucker" sueIe deIInIr esLe LIpo de ucLIvIdudes
con eI LrmIno "cruckIng", mus correcLo, Io cIerLo es que nuncu Iu sIdo umpIIumenLe ucepLudo.
1
ucceso u sIsLemus InIormuLIcos o redes de comunIcucIn eIecLrnIcu de duLos. EI InLruso
sIo uccede uI sIsLemu y suIe, demosLrundo eI IuIIo de segurIdud deI mIsmo, sIn unImo
deIIcLIvo en esLu conducLu. EI mero ucceso y Iu meru permunencIu no uuLorIzudu,
ucLuuImenLe no esLu cusLIgudu por eI CdIgo penuI espuoI, u dIIerencIu de Io ocurrIdo
en oLros puises, como runcIu, que si cusLIgu y persIgue esLe cuso.
"HuckIng" IndIrecLo: ConsIsLe en eI ucceso no consenLIdo u un sIsLemu InIormuLIco o
redes de comunIcucIn eIecLrnIcu de duLos con eI IIn de comeLer un deIILo. En esLe
cuso Iu InLrusIn se concIbe como un medIo necesurIo puru comeLer eI deIILo IInuI cuyo
mvII guiu uI sujeLo desde eI prIncIpIo. En esLe cuso eI ucceso quedu subsumIdo en eI
deIILo IInuImenLe comeLIdo (descubrIr secreLos de empresu, vuInerur eI hcbecs dctc
1
,
InLercepLur Ius comunIcucIones, producIr duos, eLc.).
Por Io LunLo, y segn Io descrILo, un mero ucceso no consenLIdo no consLILuye un deIILo en
Espuu.
;.q. Cuerpos especIuIes
En Espuu se Iun creudo orgunIsmos especIuIes de InvesLIgucIn LunLo en eI Cuerpo
NucIonuI de PoIIciu, como Iu BrIgudu de nvesLIgucIn TecnoIgIcu ||, como en Iu GuurdIu CIvII,
con eI Grupo de DeIILos TeIemuLIcos |8|. Ademus, se Ies Iu provIsLo de medIos LcnIcos cudu vez
mus uvunzudos puru poder ejercer su Iubor.
os mIsmos medIos uLIIIzudos por Ios deIIncuenLes puru comeLer sus deIILos sIrven LumbIn
u Ios especIuIIsLus puru esLubIecer medIdus de segurIdud y obLener pruebus que Ios IdenLIIIquen e
IncuIpen.
;.q.q NecesIdudes y deIIcIencIus
Como yu se comenL uI prIncIpIo deI upurLudo sobre Iu sILuucIn en Espuu, eI murco IeguI
espuoI, u pesur deI CdIgo penuI ucLuuI y Ius unIdudes especIuIes puru eI conLroI de Ios deIILos
InIormuLIcos, presenLu ImporLunLes IImILucIones u Iu Ioru de perseguIr u Ios deIIncuenLes
InIormuLIcos. u rupIdez con que se desurroIIun Ius nuevus LecnoIogius y Iu posIbIIIdud de ucLuur
desde cuuIquIer purLe deI mundo, Iuce de Ios deIILos InIormuLIcos uno de Ios reLos mus ImporLunLes
u Ios que se enIrenLun Ius uuLorIdudes IeguIes y judIcIuIes de Ios puises mus desurroIIudos. A
conLInuucIn se muesLrun unu serIe de IucLores que compIIcun Iu Iubor de esLus enLIdudes:
DeLermInur Iu jurIsdIccIn compeLenLe.
DeIILos comeLIdos desde Iueru de Espuu, provenIenLes de un puis en eI que no exIsLu
reguIucIn sobre eI Lemu.
DIIIcuILud puru obLener pruebus IeIucIenLes que IncuIpen uI deIIncuenLe.

1
SIgnIIIcu "que Lengus Ios duLos" o "que vengun Ios duLos", es decIr, Lener conocImIenLo de Iu
exIsLencIu de duLos propIos en poder de oLro.
Ccptulo ; AspecLos IeguIes - ;. Rejerencics
16
DIIIcuILud puru IdenLIIIcur uI uuLor deI deIILo. No Iuy que oIvIdur que Ius LcnIcus de
ocuILucIn de dIreccIn P por purLe de un InLruso pueden Iucer ImposIbIe su
IocuIIzucIn.
uILu de udupLucIn de Ios orgunIsmos IegIsIuLIvos u Ios rupIdos cumbIos y nuevus
sILuucIones provocudus por Iu upurIcIn de Ius nuevus LecnoIogius. Y necesIdud de
muyor cooperucIn enLre dIsLInLos puises puru ubordur eI Lemu. EsLo reducIriu eI
umbILo de ucLuucIn de mucIos deIIncuenLes que se uprovecIun de Iu sILuucIn ucLuuI.
;. ReIerencIus
|1| UnIversIdud de OLLuwu. ucuILud de DerecIo. Los sistemcs jurdicos del mundo. |en Iineu| AcLuuIIzudo
eI z de murzo, zoo |consuILudo en muyo, zoo|. DIsponIbIe en
<hffp://WWW.do1fc1v11.uoffaWa.ca/Wo1d-1ega1-sysfems/esp-monde.hfm1>.
|z| Gurciu Nogueru, NoeIIu. Delitos injormcticos en el Cdio pencl espcol. |en Iineu| 1 de JuIIo de
zooz. |consuILudo en muyo zoo|. DIsponIbIe en <hffp://WWW.pofa1ey.com/de11fos-
1nfomaf1cos/cod1go-pena1.shfm1>.
|| Cuerpo NucIonuI de PoIIciu de Espuu. BrIgudu de nvesLIgucIn TecnoIgIcu. |en Iineu|. ecIu no
dIsponIbIe |consuILudo en muyo zoo|. <hffp://WWW.m1.es/po11c1a/b1f/1eg1s1a.hfm>.
|q| BoIeLin OIIcIuI deI EsLudo (BOE). Le Drcnicc :,:ppp, de : de diciembre, de Proteccin de Dctos de
Ccrccter Personcl. |en Iineu| 1 de dIcIembre de 1qqq |consuILudo en muyo zoo|. DIsponIbIe en
<hffp://WWW.boe.es/boe/d1as/1999-12-14/pdfs/A430-43099.pdf>.
|| BoIeLin OIIcIuI deI EsLudo (BOE). Le (,zooz, de :: de julio, de serticios de lc sociedcd de lc
injormccin de comercio electrnico. |en Iineu| 1z de juIIo de zooz |consuILudo en muyo zoo|.
DIsponIbIe en <hffp://WWW.boe.es/boe/d1as/2002-07-12/pdfs/A253-25403.pdf>.
|6| MInIsLerIo de EducucIn CuILuru y DeporLe. Propiedcd Intelectucl. |en Iineu|. ecIu no dIsponIbIe
|consuILudo en muyo zoo|. <hffp://WWW.mcu.es/Pop1edadlnfe1ecfua1/1nd1ce.hfm>.
|;| BoIeLin OIIcIuI deI EsLudo (BOE). Recl Decreto-Le :(,:ppp, de :; de septiembre, sobre jirmc
electrnicc. |en Iineu| 18 de sepLIembre de 1qqq |consuILudo en muyo zoo|. DIsponIbIe en
<hffp://WWW.boe.es/boe/d1as/1999-09-1/pdfs/A33593-33601.pdf>.
|8| GuurdIu CIvII. Grupo de Delitos Telemcticos. |en Iineu|. ecIu no dIsponIbIe. |consuILudo en muyo
zoo|. DIsponIbIe en
<hffp://WWW.guad1ac1v11.og/00fe1emaf1cos/1eg1s1ac1on.hfm>.

1;
CupiLuIo 8
8 NecesIdudes, Iineus de Lrubujo
Aunque Iun upurecIdo Iuce yu vurIos uos, Ios SIsLemus de DeLeccIn de nLrusIones un
poseen mucIos uspecLos que necesILun mejorur. ExIsLen grupos de desurroIIo cuyu Iubor se cenLru
en uIgunus de esLus curucLerisLIcus.
En esLe cupiLuIo se ubordun Ius prIncIpuIes deIIcIencIus de esLos sIsLemus y Ius Iineus de
Lrubujo que se IIevun u cubo puru soIvenLurIus. |1|
8.1 NormuIIzucIn
SuIvo rurus excepcIones, nIngn sIsLemu sueIe IIegur u ser uLIIIzudo umpIIumenLe sI no se
normuIIzu o reguIurIzu de uIgunu Iormu.
EI concepLo de normuIIzucIn esLu presenLe en Iu vIdu coLIdIunu. Se pueden udquIrIr dos
puqueLes de Iojus de dIIerenLes IubrIcunLes que cumpIun Iu mIsmu normu respecLo uI IormuLo y
Lumuo. os upuruLos eIcLrIcos de dIsLInLus empresus LIenen encIuIes que se pueden conecLur u Iu
red deI Iogur. Un LeIIono mvII comprudo en Europu, puede ser uLIIIzudo en EsLudos UnIdos, sI
conLempIu Ios requIsILos puru reuIIzur IIumudus en esu regIn.
Todo esLo se debe u Iu presencIu de normus y esLundures. os orgunIsmos encurgudos de
creur normus permILen que dIIerenLes empresus udopLen Iu mIsmu soIucIn puru un deLermInudo
probIemu.
En Io que respecLu u Ius LecnoIogius de Iu InIormucIn, exIsLen normus que deIInen normus
y esLundures puru InLerIuces de comunIcucIn y progrumucIn. os proLocoIos de comunIcucIn,
como P, TCP, o CMP son Lun sIo uIgunos ejempIos de esLe LIpo de normus.
Por oLru purLe, LumbIn exIsLen soIucIones busudus en LruducLores, o veIicuIos de
comunIcucIn, con IndependencIu de Iu pIuLuIormu o urquILecLuru con que se Lrubuju. EsLe enIoque
LumbIn permILe eI ucercumIenLo y Lrubujo conjunLo de dIsLInLus pIuLuIormus. EI sIsLemu XDR
(ExLernuI DuLu RepresenLuLIon), por ejempIo, permILe Iu LrunsIerencIu de duLos enLre enLIdudes de
urquILecLurus dIIerenLes, LuIes como EsLucIones SUN, VAX, BM-PC, o Cruy.
u deLeccIn de InLrusIones no es unu excepcIn uI Lemu de Iu reguIurIzucIn. Como
cuuIquIer oLro reLo de grun enverguduru, Iu coIuborucIn y ucuerdo enLre dIIerenLes orgunIsmos y
empresus se Iuce cudu vez se Iuce mus necesurIu. MucIus empresus, unLe Iu uusencIu de unu
soIucIn pLImu, Iun propuesLo sus propIos producLos. EsLo provocu sILuucIones en Ius que se
puede IIegur u uLIIIzur cuuLro producLos dIIerenLes puru uprovecIur Ius pecuIIurIdudes de cudu uno.
AIorLunudumenLe exIsLe cIerLo nmero de propuesLus por purLe de dIIerenLes enLIdudes, puru evILur
esLe LIpo de sILuucIones.
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8.: Normclizccin
18
8.1.1 CD
EI "Common nLrusIon DeLecLIon rumework" (CD) es uno de Ios proyecLos mus
umbIcIosos en eI umbILo de Iu normuIIzucIn de Iu deLeccIn de InLrusIones. ue Iundudo por Teresu
unL, puru Iu "DeIense Advunced ReseurcI ProjecLs Agency" (DARPA). |z|
Es un grupo encurgudo de creur InLerIuces que permILun u Ios desurroIIudores de deLeccIn
de InLrusIones compurLIr sus conocImIenLos y usi poder reuLIIIzur Ios componenLes obLenIdos en
oLros sIsLemus.
Uno de Ios resuILudos de Iu creucIn deI CD, Iue Iu upurIcIn de un grupo de Lrubujo
especIuIIzudo en Iu deLeccIn de InLrusIones por purLe de Iu "nLerneL EngIneerIng Tusk orce"
(ET), comenLudo mus udeIunLe.
8.1.z CRSS
EI "CrILIcuI Resource AIIocuLIon und nLrusIon Response Ior SurvIvubIe nIormuLIon
SysLems" (CRSS), es un grupo de Lrubujo de sImIIures objeLIvos u CD. TIenen como objeLIvo
unIIIcur Ios mecunIsmos de deLeccIn, respuesLu y conLroI de Ios sIsLemus de deLeccIn de
InLrusIones ||. En concreLo, Lrubujun en dos uspecLos:
DIseur unu urquILecLuru comn puru eI desurroIIo de Iu deLeccIn de InLrusIones: En eI
murco ucLuuI, exIsLen numerosus IerrumIenLus de deLeccIn de InLrusIones y de
respuesLu unLe InLrusIones. CRSS InLenLu proporcIonur unu pIuLuIormu que permILu Iu
cooperucIn enLre eIIus.
Proveer mecunIsmos puru Iu usIgnucIn de recursos criLIcos: AIgunos uLuques pueden
IIegur u bIoqueur uI sIsLemu compromeLIdo. EsLe uspecLo se cenLru en buscur
soIucIones que permILun u Ios sIsLemus de deLeccIn uLIIIzur sus recursos puru IIevur u
cubo sIn probIemus sus Lureus de respuesLu unLe posIbIes uLuques.
8.1. ormuLo de Ios duLos de uudILoriu
Asi como Iu grun muyoriu de servIdores Web uLIIIzun un IormuLo de regIsLro yu deIInIdo en
un esLundur, Ios deLecLores de InLrusIones LumbIn se pueden beneIIcIur de esLe uspecLo. No
obsLunLe, esLu no es unu Lureu LrIvIuI. EI IormuLo de Ios regIsLros de uudILoriu esLu muy IIgudo uI
sIsLemus operuLIvo y, por desgrucIu, exIsLen dIIerencIus susLuncIuIes enLre mucIos eIIos. EsLe Lemu
es uno de Ios prIncIpuIes obsLucuIos con Ios que se enIrenLu Iu deLeccIn de InLrusIones en su
cumIno IucIu Iu esLundurIzucIn.
8.1..1 Ibro Nurunju, Ibro Murrn
Unu de Ius propuesLus reIuLIvus uI regIsLro de uudILoriu esLu deIInIdu en eI IIbro nurunju
("TrusLed CompuLer SysLem EvuIuuLIon CrILerIu") |q| y en eI IIbro Murrn ("Tun Book") ||.
En esLos documenLos se IndIcun con deLuIIe Ios requIsILos que deben cumpIIr Ios
mecunIsmos de uudILoriu.
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8.: Normclizccin
1q
No obsLunLe, esLus especIIIcucIones Iun provocudo numerosus conIusIones debIdo u Iu IuILu
de exucLILud en uIgunos deLuIIes. Por ejempIo, especIIIcun eI conLenIdo con que deben conLur Ios
regIsLros, pero no su IormuLo. Por oLru purLe, IndIcun uqueIIos evenLos que pueden ser uudILudos,
pero no cuuIes deben ser uudILudos.
EsLo Iu provocudo Iu upurIcIn de sIsLemus operuLIvos que, u pesur de cumpIIr con Ios
requIsILos descrILos por esLos documenLos, no LIenen nudu que ver en cuunLo u sus mecunIsmos y
regIsLros de uudILoriu.
8.1..z DES de DennIng
DoroLIy DennIng propone en su documenLo sobre deLeccIn de InLrusIones, un IormuLo de
regIsLro de uudILoriu IndependIenLe de Iu pIuLuIormu. DesgrucIudumenLe, esLe IormuLo no uporLu
suIIcIenLes duLos sobre Iu ucLIvIdud deI sIsLemu puru proporcIonur deLeccIones de usos IndebIdos
eIIcuces. |6|
8.1.. SVR q++ de SmuIu
SLeve SmuIu propuso un IormuLo de regIsLro puru sIsLemus UNX denomInudo SVR++ q,
uLIIIzudo por Ius IerrumIenLus de deLeccIn de Ios uboruLorIos HuysLuck, como STAKER. EsLe
IormuLo Iu sIdo uLIIIzudo por vurIus empresus puru sus producLos de deLeccIn de InLrusIones. |;|
8.1..q BIsIop
MuLL BIsIop, de Iu UnIversIdud de CuIIIornIu, DuvIs, desurroII un IormuLo de regIsLro de
uudILoriu esLundur. EsLe IormuLo esLu dIseudo puru ser IndependIenLe deI sIsLemu operuLIvo o Iu
pIuLuIormu de upIIcucIn. |8|
8.1.. ETJDWG
EI "nLerneL EngIneerIng Tusk orce" (ET) cre un grupo de Lrubujo reIuLIvo uI ureu de
segurIdud, cenLrudo en Iu deLeccIn de InLrusIones, denomInudo "nLrusIon DeLecLIon WorkIng
Group" (DWG). AIgunos de Ios objeLIvos de esLe grupo son:
ReducLur un documenLo que especIIIque Ios requIsILos puru Iu comunIcucIn enLre DS,
y enLre DS y sIsLemus de gesLIn.
DesurroIIur unu especIIIcucIn de un Ienguuje de InLrusIones comn, que descrIbu un
IormuLo de duLos que cumpIu Ios requIsILos.
EIuborur un documenLo que descrIbu Ios mejores proLocoIos puru Iu comunIcucIn
enLre DS, y que IndIque qu reIucIn LIenen con Ios IormuLos de Ios duLos.
Hun desurroIIudo un sIsLemu de InLercumbIo de duLos, y mecunIsmos de LrunsporLe, que
permILen u Ios deLecLores de InLrusIones conLur con un sIsLemu de mensujeriu especiIIco, que Ies
permILe compurLIr Ios duLos obLenIdos enLre si. |q|
8.1..6 MecunIsmos de uudILoriu
Huy que decIr que uIgunos orgunIsmos como "PorLubIe OperuLIng SysLem nLerIuce"
(POSX) o XJOPEN Iun propuesLo esLundures de uudILoriu. No obsLunLe, sus propuesLus Iun
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8.z Interccin
1qo
IncIuIdo nLerIuces de ProgrumucIn de ApIIcucIones (APs), o mecunIsmos de uudILoriu y no
IormuLos de uudILoriu.
8.z nLegrucIn
u InLegrucIn esLu muy reIucIonudu con Ios objeLIvos deI upurLudo unLerIor. ConsIsLe en
desurroIIur un sIsLemu de LuI Iormu que puedu enLenderse con eI resLo de eIemenLos de su enLorno.
u InLegrucIn, en Io que respecLu u Iu deLeccIn de InLrusIones, ImpIIcu por ejempIo, poder
InLerpreLur correcLumenLe eI IormuLo de Ius IuenLes de duLos (regIsLros de uudILoriu deI sIsLemu
operuLIvo, LruIIco IeLerogneo de red), usi como de conLur con mLodos que permILun InLerucLuur y
compurLIr recursos con oLros mecunIsmos deI sIsLemu.
EsLe uspecLo permILe u dIIerenLes sIsLemus de segurIdud coordInur sus esIuerzos y
resuILudos puru enconLrur y uporLur pruebus sobre un deLermInudo uLuque o InLrusIn.
8. EscuIubIIIdud
u gesLIn de Iu segurIdud en redes se puede converLIr en unu Lureu dIIicII cuundo uIcunzun
grun Lumuo. EsLe es uno de Ios reLos u Ios que se enIrenLun Ios deLecLores de InLrusIones. u
cupucIdud de proceso y oLros recursos de sIsLemu pueden ser InsuIIcIenLes en deLermInudus
ocusIones. A conLInuucIn se descrIben Ios dos LIpos de eIemenLos mus comunes usocIudos u
probIemus de escuIubIIIdud: eI LIempo y eI espucIo.
8..1 TIempo
os probIemus de escuIubIIIdud usocIudos uI LIempo se producen cuundo un uLuque se
reuIIzu de Iormu exLremudumenLe Iurgu. EsLo puede provocur que un deLecLor de InLrusIones no
Lengu recursos puru uImucenur y reIucIonur Lodos Ios IndIcIos de unu InLrusIn. Por ejempIo, sI un
uLucunLe decIdIeru escuneur un servIdor de Iormu InLencIonudumenLe IenLu, ubrIendo un puerLo
cudu Ioru, o cudu diu, Lurduriu mucIo en compIeLur su objeLIvo, pero LumbIn podriu conseguIr que
eI deLecLor no reconocIeru eI progreso de eI uLuque.
EsLus sILuucIones se pueden soIvenLur umpIIundo Iu Irunju de LIempo en que eI deLecLor
debe usocIur Ios evenLos sucedIdos. Pero esLo LIene un IimILe IisIco, usocIudo u Ios recursos de
sIsLemu, como Iu cunLIdud de memorIu o dIsco duro dIsponIbIe.
No obsLunLe, no se pueden uudIr sIn mus recursos deI sIsLemu puru exLender eI InLervuIo
de LIempo en que un deLecLor puede reIucIonur Ios evenLos ocurrIdos. Un InLervuIo demusIudo
umpIIo podriu Iucer que eI sIsLemu usocIuru evenLos que, por su Iejuniu en eI LIempo, pueden no
Lener nudu que ver, uumenLundo eI nmero de IuIsos posILIvos.
8..z EspucIo
EI oLro eIemenLo que puede InLervenIr en Iu escuIubIIIdud de unu InIruesLrucLuru es eI
espucIo. EsLu reIucIonudo con eI nmero de mIembros de unu red. Cuundo dIcIo nmero empIezu u
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8.( Administrccin estin
1q1
ser deI orden de vurIos mIIes, un dIseo escuIubIe deI sIsLemu de deLeccIn de InLrusIones puede
uyudur mucIo en udupLurse u Iu nuevu sILuucIn.
Cuundo se gesLIonu unu red de grun Lumuo, no sIo puede Lener mucIus muquInus, sIno
que udemus, pueden esLur repurLIdus por dIIerenLes zonus geogruIIcus, y Lener dIsLInLus veIocIdudes
de conexIn. EsLo provocu Iu upurIcIn de probIemus usocIudos u Ius dIIerencIus de reIoj de cudu
mIembro. Por oLru purLe, esLo LumbIn puede dIIIcuILur Iu Iormu de represenLur Ios duLos obLenIdos.
EI sIsLemu de InLrusIones uLIIIzudo, debe oIrecer IucIIIdudes puru ImpIemenLurse de Iormu
esLruLIIIcudu, con unu esLrucLuru jerurquIcu en Iormu de urboI. os deLecLores mus eIemenLuIes,
pueden dedIcurse u monILorIzur grupos de muquInus de Iormu IocuI, y ser conLroIudos y
coordInudos por unu serIe de deLecLores de nIveIes superIores.
8..z.1 GrDS
"GrupI-Dused nLrusIon DeLecLIon SysLem" (GrDS) es un proyecLo upoyudo por "DeIense
Advunced ReseurcI ProjecLs Agency" (DARPA), desurroIIudo por Iu UnIversIdud de CuIIIornIu. Es
un ejempIo de sIsLemu de deLeccIn cuyo dIseo permILe udupLurse u Ios probIemus de escuIubIIIdud
de espucIo.
EIuboru gruIos de ucLIvIdud de Ius muquInus de unu red, puru poder IdenLIIIcur uLuques u
grun escuIu. Por esLu ruzn, se sueIe uLIIIzur especIuImenLe puru Iu deLeccIn de uLuques en Ios que
esLu InvoIucrudo un ImporLunLe nmero de muquInus, como Ios DDoS (uLuques de denegucIn de
servIcIo dIsLrIbuIdu), o uLuques provocudos por gusunos. TumbIn es de grun uyudu en uLuques
reuIIzudos por un escuner de vuInerubIIIdudes, como Nessus, o SATAN.
u esLrucLuru de GrDS permILe consLruIr gruIos de ucLIvIdud uLIIIzundo Ios duLos obLenIdos
de mILIpIes deLecLores de InLrusIones. A nIveI generuI, Ios resuILudos deI moLor de gruIos son
compurudos con unu buse de puLrones de gruIos, conIIgurudu por eI udmInIsLrudor. EsLo se Iuce
puru dIsLInguIr enLre uqueIIos gruIos que IndIcun puLrones de ucLIvIdud poco IubILuuI o sospecIosu,
y gruIos de ucLIvIdud normuI.
8.q AdmInIsLrucIn y gesLIn
os IucLores descrILos en eI upurLudo unLerIor pueden uIecLur u Iu udmInIsLrucIn de un
sIsLemu de deLeccIn de InLrusIones. Un sIsLemu que no esL bIen dIseudo, puede ver IImILudus sus
cupucIdudes de conLroI en unu red de ImporLunLe Lumuo.
EI nmero de sensores ImpIIcudos en Iu gesLIn de unu grun InIruesLrucLuru ImpIIcu conLur
con mLodos especIuIes puru coordInur Ios duLos recIbIdos de eIIos. Curecer de Ius IuncIones
upropIudus puede Iucer ImposIbIe Iu Lureu de deLecLur InLrusIones.
Puru Iu gesLIn de Iu red, se puede Iucer uso de mensujes deI ProLocoIo SImpIe de GesLIn
de Red (SNMP). us ILImus versIones de dIcIo proLocoIo, oIrecen mecunIsmos de cIIrudo puru
proLeger Ius comunIcucIones. No obsLunLe, un no Iuy mucIos producLos de deLeccIn de
InLrusIones que soporLen esLu opcIn. Ademus, eI uso de esLe proLocoIo puede poner sobre uvIso u
Ios posIbIes uLucunLes.
OLro de Ios uspecLos cIuve puru Iu udmInIsLrucIn de un sIsLemu de deLeccIones dIsLrIbuIdo
es eI reIuLIvo u Iu cenLruIIzucIn Ios dIversos eIemenLos que Io Iormun, LuIes como sensores, o
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8. Anclisis
1qz
moLores de unuIIsIs. Por un Iudo, Iu dIsLrIbucIn de esLos eIemenLos es vILuI cuundo se LruLu de
monILorIzur redes grundes. Huy mucIus venLujus de Iucer esLo, enLre Ius cuuIes esLu conseguIr mus
esLubIIIdud, Iu posIbIIIdud de repurLIr eI Lrubujo enLre vurIos eIemenLos, o vIgIIur punLos cIuves de Iu
red. SIn emburgo, esLo LumbIn ImpIIcu uspecLos neguLIvos como muyor compIejIdud en Iu gesLIn
deI sIsLemu, o un uumenLo deI LruIIco de red orIgInudo por Ius comunIcucIones enLre Ios eIemenLos
deI deLecLor.
MucIos deLecLores de InLrusIones curecen de Ius suIIcIenLes IuncIones puru poder InvesLIgur
LunLo Ios uLuques u un sIsLemu como sus resuILudos. EsLe IecIo puede dIIIcuILur procedImIenLos
como eI unuIIsIs Iorense, Iu recuperucIn unLe unu InLrusIn, o Iu evuIuucIn de duos.
Un deLecLor de InLrusIones deberiu IucIIILur mecunIsmos puru uyudur u reconocer Iu
IncIdencIu, uIsIur Ios punLos de enLrudu deI InLruso, IdenLIIIcur Ios mLodos uLIIIzudos puru
compromeLer eI sIsLemu, y deLermInur Ios eIecLos derIvudos de Iu InLrusIn en eI sIsLemu. EsLo no
sIo permILIriu u un udmInIsLrudor IdenLIIIcur Ius curucLerisLIcus deI uLuque, sIno que Ie servIriu puru
repurur y prevenIr eI sIsLemu unLe IuLuros uLuques de sImIIures curucLerisLIcus.
EI uumenLo de Ios deIILos InIormuLIcos Iu provocudo Iu upurIcIn de nuevus Ieyes que
conLempIen esLe LIpo de ucLos. Cudu vez son mus Ios sIsLemus de deLeccIn que IncIuyen soporLe
puru IIevur u cubo procedImIenLos IeguIes.
AIgunos uLuques, como Ios de denegucIn de servIcIo, LIenen como objeLIvo InLerrumpIr Iu
conLInuIdud de un servIcIo deLermInudo. EsLo puede provocur Iu cuidu de un sIsLemu, unuIundo su
gesLIn. MucIos sIsLemus de deLeccIn de InLrusIones InLenLun soIvenLur esLe probIemu, y cuenLun
con IuncIones como buIunceo de curgu, o ujusLes de LIempo de ejecucIn.
8. AnuIIsIs
Huy unu serIe de uspecLos reIucIonudos con eI unuIIsIs en Ios deLecLores de InLrusIones que
necesILun especIuI uLencIn.
8..1 DeLecLores busudos en InLeIIgencIu urLIIIcIuI
u deLeccIn de InLrusIones medIunLe LcnIcus de InLeIIgencIu urLIIIcIuI o LcnIcus no
purumLrIcus es unu de Ius ureus con mus posIbIIIdudes denLro de esLos sIsLemus de segurIdud. os
deLecLores busudos en Ius LcnIcus mencIonudus, uLIIIzun grundes cunLIdudes de duLos de
enLrenumIenLo puru deLermInur qu ucLIvIdud es normuI y cuuI es unmuIu. No obsLunLe, eI
conjunLo de duLos de enLrenumIenLo debe cumpIIr unu serIe de curucLerisLIcus que no sIempre son
IucIIes de conseguIr:
Debe ser Io suIIcIenLemenLe compIeLo como puru reIIejur Lodus Ius ucLIvIdudes de
comporLumIenLo normcl deI sIsLemu.
Debe esLur IIbre de uLuques. De no ser usi, nuLuruImenLe, eI deLecLor podriu eLIqueLur
dIcIos uLuques como comporLumIenLos normuIes.
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8. Anclisis
1q
Debe ser Io menos IocuI posIbIe. EsLo es, no debe cenLrurse en uspecLos o IocuIIzucIones
purLIcuIures de unu InIruesLrucLuru. De Io conLrurIo, eI conjunLo de duLos podriu no ser
upIIcubIe u oLrus zonus de Iu orgunIzucIn.
8..z uIsus uIurmus
Uno de Ios probIemus que Iun ImpedIdo que Iu deLeccIn de unomuIius no Iuyu sIdo
umpIIumenLe ucepLudu por Ios usuurIos, es eI reIuLIvo u Ius IuIsus uIurmus. EsLe probIemu sIgue
sIendo uno de Ios reLos mus ImporLunLes puru Ios desurroIIudores. AjusLur Ios moLores de deLeccIn
de unomuIius requIere mucIo LIempo y un umpIIo conocImIenLo sobre eI enLorno udmInIsLrudo.
os IuIsos posILIvos (errores de TIpo ) LIenen Iugur cuundo eI deLecLor cree reconocer unu
InLrusIn cuundo reuImenLe no Io es. SI se esLubIece unu sensIbIIIdud uILu puru un deLecLor de
unomuIius, probubIemenLe eI nmero de esLe LIpo de uIurmus seru ImporLunLe. EsLo puede Iucer
que un udmInIsLrudor ucube IgnorundoIus.
SI eI nmero de IuIsos neguLIvos (errores de TIpo ) es noLubIe, eI udmInIsLrudor dejuru de
conIIur en eI deLecLor, unLe su IncupucIdud puru reconocer uLuques reuIes.
8.. PoIiLIcus de sIsLemu
u LruduccIn de Ius poIiLIcus udmInIsLruLIvus en poIiLIcus de monILorIzucIn y de deLeccIn
es uno de Ios uspecLos que mus LIempo sueIe IIevur u Iu Ioru de ImpIemenLur un deLecLor de
InLrusIones. EsLo se debe u Ius dIIerencIus exIsLenLes enLre Iu IormuIucIn de umbos grupos de
poIiLIcus.
us poIiLIcus udmInIsLruLIvus IndIcun comporLumIenLos de usuurIos, udecuudos o no.
NormuImenLe son IndependIenLes de Iu pIuLuIormu u ImpIunLurse, y esLun expresudus en LrmInos
de objeLIvos, dIreccIones, o InLencIones de Ios usuurIos, pero no de Ius muquInus que uLIIIzun.
us poIiLIcus de monILorIzucIn y deLeccIn descrILus puru Ios deLecLores de InLrusIones
deben, sIn emburgo, esLur expresudus en LrmInos de evenLos que ocurren en un deLermInudo
sIsLemu. Por Io LunLo, son dependIenLes de Iu pIuLuIormu.
AIgunus IerrumIenLus permILen eIuborur poIiLIcus medIunLe sImpIes cuesLIonurIos, o
uprovecIundo Ios resuILudos emILIdos por un escuner de vuInerubIIIdudes. EsLu ILImu Iormu de
Lrubujo es uLIIIzudu por cIerLos SIsLemus de PrevencIn de nLrusIones, como Ios ConmuLudores
HibrIdos, mencIonudos en eI cupiLuIo q. EsLe LIpo de medIdus uyudun u InLegrur Ius IerrumIenLus de
segurIdud con Ius IuncIones de gesLIn de sIsLemu y de red.
u deIInIcIn de poIiLIcus en eI nIveI de upIIcucIn mejoru Iu udupLucIn de InLerIuces de
consLruccIn de poIiLIcus u un enLorno deLermInudo.
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8. Iicbilidcd
1qq
8.6 IubIIIdud
Puru que un sIsLemu de deLeccIn de InLrusIones seu eIIcuz, conIIgururIos correcLumenLe no
es unu medIdu suIIcIenLe. os mecunIsmos InvoIucrudos en Ios procesos de deLeccIn deben esLur
provIsLos de eIemenLos que Ios proLejun en cuso de cuidus o errores deI sIsLemu o uLuques.
Cudu componenLe perLenecIenLe uI proceso de deLeccIn puede dejur de ser IIubIe. EI
objeLIvo es reducIr uI minImo Ius posIbIIIdudes de que esLo ocurru.
8.6.1 uenLes de InIormucIn
Huy grun vurIedud de ugenLes que pueden InLervenIr en Iu Iuse de recogIdu de InIormucIn.
EsLu eLupu cuenLu por ejempIo con regIsLros de uudILoriu, ugenLes, o regIsLros de evenLos de sIsLemu.
AIgunus sILuucIones pueden dIIIcuILur Iu obLencIn de duLos, como por ejempIo eI uso de
comunIcucIones cIIrudus, o un enLorno conmuLudo.
ULIIIzur proLocoIos de cIIrudo (como SS, SSH o PSec) unuIu Ius posIbIIIdudes de
InLerpreLucIn de Ios duLos perLenecIenLes unu comunIcucIn.
os conmuLudores, con sus cupucIdudes de enruLumIenLo, son oLro de Ios IucLores que
LumbIn reducen Ius posIbIIIdudes de monILorIzucIn. EsLo se puede soIvenLur en purLe uLIIIzundo
conmuLudores que Lengun unos puerLos especIuIes denomInudos "spunnIng porLs"
1
(puerLos de
exLensIn o uburcudores). SIn emburgo Iu urquILecLuru de Ios conmuLudores modernos LumbIn
ImpIde Iucer uso de esLu opcIn, yu Iu sumu deI uncIo de bundu producIdu por vurIos puerLos
puede sobrepusur Ius cupucIdudes de uno soIo. EsLo unu IImILucIn IisIcu ImpuesLu por Ios propIos
conmuLudores.
OLru de Ius Iormus de soIvenLur esLe probIemu es medIunLe eI uso de "neLwork Lups" o
cubIes de red de sIo recepcIn. En umbos cusos, eI monILor de red se ucopIu u un Lrumo de red, y
sIo InLercepLu eI LruIIco que pusu por su seccIn.
Cuundo Iu IuenLe de duLos consIsLe en uIgn eIemenLo de un sIsLemu, como sus regIsLros de
uudILoriu, Iuy que Lener en cuenLu que se pueden uIcunzur posIbIes sILuucIones sobrecurgu de
proceso, uLuques, o IncIuso Iu recogIdu de duLos IuIsos, que pueden Iucer InservIbIes Ios resuILudos.
8.6.z AnuIIsIs
u esLubIIIdud y IIubIIIdud de Ios eIemenLos que Lomun purLe en Iu Iuse de unuIIsIs esLun
inLImumenLe reIucIonudus con eI nmero de recursos deI sIsLemu.
Un moLor de unuIIsIs que recIbu grundes cunLIdudes de InIormucIn deberu conLur con
suIIcIenLe cupucIdud de proceso puru IIevur u cubo su Lureu. EsLe probIemu se ugudIzu en Ios
deLecLores de unomuIius. Por oLru purLe, Ios deLecLores de usos IndebIdos Lumpoco se escupun u esLe
LIpo de probIemus. SI eI espucIo usIgnudo puru Iu buse de duLos de uLuques no es Io suIIcIenLemenLe

1
EsLe LIpo de puerLos se progrumun puru recIbIr unu copIu deI LruIIco dIrIgIdo u oLros puerLos.
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8. Iicbilidcd
1q
grunde no se podrun esLudIur Lodos Ios LIpos de InLrusIones. Ademus, Iu upurIcIn de nuevus Iormus
de uLuque Iuce que Ius buses de duLos seun cudu vez muyores, usi como Ius necesIdudes de
uImucenumIenLo y LIempo de proceso.
os deLecLores de InLrusIones de red pueden IIegur u descurLur puqueLes, sI no pueden
exumInur Lodo eI LruIIco. Puru evILur esLu sILuucIn, en redes de uILu veIocIdud Iuy que usegururse de
que Ios recursos de que dIspone eI unuIIzudor son suIIcIenLes.
OLro de Ios eIemenLos que podriun uIecLur u Iu IIubIIIdud deI unuIIzudor es que se
convIrLIeru en eI objeLIvo de uIgn InLruso. ExIsLen udemus, uLuques dIseudos puru sorLeur Ius
burrerus de deLeccIn, como Ios busudos en "poIymorpIIc sIeIIs" (InLerIuces de comundos
poIImrIIcus). EsLu Ideu, Lomudu de Ios progrumudores de vIrus, permILe cumbIur eI uspecLo deI
cdIgo InvoIucrudo en eI uLuque medIunLe LcnIcus de cIIrudo.
Unu de Ius Iormus de soIvenLur probIemus de sobrecurgu y segurIdud ImpIIcu InsLuIur eI
deLecLor de InLrusIones en unu muquInu sepurudu deI objeLIvo u monILorIzur, en cusos de deLeccIn
de "IosL". Por oLru purLe, en Ius sILuucIones en Ius que Iuy mucIo LruIIco de red, se podriu InsLuIur
mus de un deLecLor busudo en red. DIvIdIendo Ius Lureus de monILorIzucIn se reducIriu Iu curgu de
cudu unuIIzudor.
8.6. RespuesLu
u prdIdu de esLubIIIdud de Ios mecunIsmos de respuesLu LumbIn puede Lener
consecuencIus gruves. A conLInuucIn se descrIben uIgunus sILuucIones que Io demuesLrun.
SI un uLucunLe Iogruse InLercepLur o bIoqueur Ius uIurmus o InIormes, eI sIsLemu de
deLeccIn enLero cureceriu de vuIor. nLercepLur Ios mensujes, puede poner uI uLucunLe sobre uvIso e
IncIuso permILIr Iu modIIIcucIn deI conLenIdo de Ios mIsmos. mpedIr que Ius uIurmus IIeguen uI
responsubIe de segurIdud unuIuriu Lodu Iu eIecLIvIdud deI deLecLor.
OLro escenurIo dIsLInLo es eI reIuLIvo u Ius respuesLus uuLomuLIcus. EsLe LIpo de respuesLus,
comenLudo en eI cupiLuIo "ModeIo de IuncIonumIenLo", Iuce que eI sIsLemu reuccIone de Iormu
ucLIvu modIIIcundo eI enLorno. NuLuruImenLe, sI esLe mLodo no cuenLu con Ius upropIudus medIdus
de segurIdud, puede converLIrse en un InsLrumenLo peIIgroso en munos de un InLruso. Por ejempIo,
en eI cuso de que eI deLecLor bIoquee uuLomuLIcumenLe uqueIIus dIreccIones P reIucIonudus con un
uLuque. SIn un InLruso Iogru deLermInur esLo, puede uILerur su dIreccIn de orIgen, y uLIIIzur
dIreccIones que pueden ser IundumenLuIes puru eI buen IuncIonumIenLo de Iu orgunIzucIn; desde
dIreccIones de cIIenLes, IusLu dIreccIones de Iu propIu red IocuI prIvudu de Iu InIruesLrucLuru.
SI Ios mecunIsmos de respuesLu no proporcIonun Ios requIsILos de segurIdud necesurIos,
IIegundo u ser compromeLIdos, sus resuILudos no podrun uLIIIzurse como pruebus en procesos
IeguIes.
EI uso de mecunIsmos de encrIpLucIn por purLe de Ios sIsLemus de respuesLu es uno de Ios
eIemenLos cIuve puru mejorur sIgnIIIcuLIvumenLe de Iu IIubIIIdud de esLos sIsLemus.
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8.; Interjcz de usucrio
1q6
8.6.q ComunIcucIones
u IIubIIIdud de Ios eIemenLos nombrudos unLerIormenLe depende LumbIn de Ios medIos
que uLIIIcen puru comunIcurse.
os mecunIsmos que purLIcIpun en eI proceso de deLeccIn necesILun comunIcurse enLre
eIIos puru poder Lrubujur. Por ejempIo, un deLecLor de muquInu puede obLener Ios regIsLros de
sIsLemu u Lruvs de unu conexIn de red medIunLe eI ProLocoIo SysIog. OLro escenurIo LipIco es
uqueI en que un deLecLor de red debe recIbIr duLos procedenLes de Ios dIversos sensores de Iu
InIruesLrucLuru.
Dudo su vuIor, Ios enIuces de comunIcucIn deben conLur con suIIcIenLes medIdus de
proLeccIn puru evILur ser vuInerudos. AIgunos InLrusos pueden InIubIIILur Ius Iineus de
comunIcucIn, o InLercepLur Ius comunIcucIones.
Unu de Ius Iormus de mejorur Iu segurIdud y IIubIIIdud de Ius comunIcucIones consIsLe en
uLIIIzur proLocoIos de cIIrudo (SS, PSec,...), especIuImenLe cuundo se LruLu de comunIcucIones
InuIumbrIcus. De esLu Iormu, uunque un uLucunLe InLercepLe Iu comunIcucIn, no seru cupuz de
InLerpreLurIu, nI podru uILerur su conLenIdo sIn que Ius enLIdudes conecLudus se percuLen de eIIo. En
esLos cusos, un uLucunLe puede percuLurse de que sus ucLIvIdudes esLu generundo mensujes (uunque
esLn cIIrudos) y podriu uIurmurse. Huy Iormus de evILur esLo, como envIur mensujes en InLervuIos
uIeuLorIos de LIempo.
OLro de Ios mLodos prucLIcudos puru IncremenLur Ius posIbIIIdudes de recIbIr unu uIurmu
es eI uso de Iu redunduncIu. EsLu es unu soIucIn especIuImenLe recomendubIe cuundo eI deLecLor
emILe uIurmus ImporLunLes. A veces se esLubIecen vurIos cunuIes de comunIcucIn redundunLes,
puru Ir cumbIundo de uno u oLro de Iormu uIeuLorIu. En oLrus ocusIones, Iu uIurmu se enviu u Lruvs
de dIIerenLes medIos de comunIcucIn, como por ejempIo: un correo eIecLrnIco, un mensuje u un
LeIIono mvII, y Iu udIcIn de Iu uIurmu en eI regIsLro de evenLos.
8.; nLerIuz de usuurIo
us curucLerisLIcus de Iu InLerIuz oIrecIdu por eI deLecLor de InLrusIones, puru que eI usuurIo
InLerucLe con I, son oLro upurLudo no menos ImporLunLe que Ios yu mencIonudos.
u InLerIuz de usuurIo puede Iucer que Iu Lureu de udmInIsLrur un sIsLemu de deLeccIn
resuILe unu sencIIIu y cmodu, o cusI ImposIbIe. EsLu es unu de Ius ruzones puru no escoger un
deLermInudo producLo.
Huy mucIus Iormus de represenLur Ios duLos obLenIdos por un deLecLor de InLrusIones, y
Lener deIIcIencIus en esLe uspecLo puede Lener gruves consecuencIus en Iu deLeccIn de posIbIes
uLuques. EI LIpo de deLecLor uLIIIzudo es uno de Ios IucLores que InIIuyen en Iu Iormu de gesLIonur y
vIsuuIIzur Ios duLos. Un deLecLor de unomuIius, por ejempIo, represenLu sus resuILudos en Iormu
esLudisLIcu, de Iormu dIsLInLu que un deLecLor de usos IndebIdos, que puede mosLrur unu IIsLu de Ios
uLuques IdenLIIIcudos.
No Lodos Ios usuurIos LIenen Ius mIsmus necesIdudes de monILorIzucIn. Ademus, unu
InLerIuz deberiu ser Io suIIcIenLemenLe IIexIbIe puru udupLurse u Ius necesIdudes LunLo de usuurIos
noveIes como experLos, y uporLur InIormucIn que IndIque cmo reuccIonur unLe deLermInudos
Ccptulo 8 NecesIdudes, Iineus de Lrubujo - 8.8 Rejerencics
1q;
uLuques. Por Io LunLo, eI IecIo de proporcIonur umpIIus cupucIdudes de personuIIzucIn, mejoru Ius
posIbIIIdudes de gesLIn e IdenLIIIcucIn de uLuques.
8.8 ReIerencIus
|1| Buce, R. Intrusion Detection. MucmIIIun TecInIcuI PubIIsIIng, zooo.
|z| Common nLrusIon DeLecLIon rumework (CD). |en Iineu|. AcLuuIIzudo en sepLIembre 1qqq
|consuILudo en muyo, zoo|. DIsponIbIe en <hffp://WWW.1s1.edu/gosf/c1df/>.
|| CrILIcuI Resource AIIocuLIon und nLrusIon Response Ior SurvIvubIe nIormuLIon SysLems (CRSS). |en
Iineu| 1qq; |consuILudo en muyo, zoo|. DIsponIbIe en
<hffp://WWW.1s1.edu/~b1an/c1s1s/>.
|q| NuLIonuI CompuLer SecurILy CenLer. Depcrtment oj Dejense Trusted Computer Sstem Etcluction
|| NuLIonuI CompuLer SecurILy CenLer. A Guide to Understcndin cudit in Trusted Sstems. VersIn z,
June 1q88.
|6| DennIng, DoroLIy E. An Intrusion Detection Model. ProceedIngs oI LIe 1q86 EEE SymposIum on
|;| SmuIu, SLepIen E. A Common Audit Trcil Interchcne Iormct jor UNIX. TecInIcuI reporL, HuysLuck
uboruLorIes, nc. AusLIn, Tx, OcLober 1qqq.
|8| BIsIop, MuLL. A Stcndcrd Audit Lo Iormct. ProceedIngs oI LIe 1qq NuLIonuI nIormuLIon SysLems
SecurILy ConIerence, BuILImore, MD, OcLober 1qq.
|q| Wood, M. Intrusion Detection Messce Exchcne Requirements. nLerneL druIL, nLerneL EngIneerIng
Tusk orce, AprII, zoo.

1qq
CupiLuIo q
q uLuro
"Me interesc el juturo porque es el sitio donde
to c pcscr el resto de mi tidc."
Wood Allen
EspecuIur sobre eI IuLuro de unu LecnoIogiu reIuLIvumenLe joven y dInumIcu como es eI cuso
de Ios SIsLemus de DeLeccIn de nLrusIones es unu Lureu urrIesgudu. En esLe cupiLuIo se
reIIexIonuru sobre eI posIbIe cumIno que seguIrun esLos sIsLemus, LenIendo en cuenLu Ios uvunces
LecnoIgIcos reuIIzudos IusLu uIoru, Ius necesIdudes mus ImporLunLes, y Ius prIncIpuIes Iineus de
desurroIIo exIsLenLes.
q.1 TruyecLorIu recorrIdu
us prImerus InvesLIgucIones reIuLIvus u Iu deLeccIn de InLrusIones se remonLun u
prIncIpIos de Ios uos ocIenLu. Por uqueIIu pocu, Ios nIcos esLudIos reuIIzudos sobre eI Lemu se
reIeriun u Iu deLeccIn busudu en muquInu. A purLIr de Ios uos novenLu, y Lrus eI crecIenLe uso de
Ius redes InIormuLIcus, se desurroIIuron Ios prImeros deLecLores busudos en red, que erun poco mus
que rusLreudores de LruIIco de red. Con eI puso deI LIempo, Ios deLecLores de red Iun Ido
udquIrIendo mus ImporLuncIu, IusLu eI punLo de ser mus uLIIIzudos que Ios de "IosL".
EI desurroIIo de Iu LecnoIogiu Iu uyududo en cIerLu medIdu u esLos sIsLemus, IucIendo
posIbIe Iu upurIcIn de deLecLores de InLrusIones en LIempo reuI, y cupucIdud de ucLuuIIzur Ius buses
de duLos de uLuques nudu mus pubIIcurse nuevos puLrones.
AcLuuImenLe exIsLe Iu posIbIIIdud de ImpIemenLur un DS dIsLrIbuIdo, con un servIdor
cenLruI que recoge InIormucIn de vurIos ugenLes sILuudos en punLos esLruLgIcos de Iu
InIruesLrucLuru de red.
Por oLru purLe, se esLun empezundo u combInur LcnIcus de corLuIuegos e DS, dundo Iugur
u producLos como Ios SIsLemus de PrevencIn de nLrusIones (PS), cupuces de ImpedIr Iu evoIucIn
de un uLuque unLes de que ocurru. EsLos sIsLemus son consIderudos por mucIos experLos en
segurIdud como Iu sIguIenLe generucIn de Ios DSs.
Todos esLos uconLecImIenLos no Iucen mus que demosLrur que Ios DSs juegun un pupeI
cudu vez mus reIevunLe en Iu deIensu de unu InIruesLrucLuru InIormuLIcu.
q.z PerspecLIvus de IuLuro
A pesur de Lodos Ios uvunces reuIIzudos, esLos sIsLemus no LIenen eI nIveI de mudurez
deseudo. u muyoriu compurLe unu serIe de uspecLos pendIenLes de ser mejorudos.
Ccptulo p uLuro - p.z Perspectitcs de juturo
1o
q.z.1 DeIIcIencIus y necesIdudes
os uspecLos de Iu IndusLrIu de Ios DSs que mus Lrubujo necesILun pueden urrojur uIgo de
Iuz sobre eI probubIe IuLuro de esLos sIsLemus. A conLInuucIn se reIIexIonu sobre eI IuLuro de Ios
DSs IucIendo un recorrIdo u Lruvs de sus prIncIpuIes punLos dbIIes y necesIdudes.
q.z.1.1 uIsos posILIvos
Es ImposIbIe LruLur sobre Ius deIIcIencIus de Ios DSs y no mencIonur eI probIemu reIuLIvo u
Ios IuIsos posILIvos. os IuIsos posILIvos (errores de TIpo ) son uqueIIus uIurmus que emILe eI
deLecLor cuundo IdenLIIIcu errneumenLe un uLuque o InLrusIn. EI probIemu IIegu cuundo eI
nmero de esLe LIpo de uIurmus es InucepLubIemenLe uILo. EsLe InconvenIenLe se ugruvu con Ios
IuIsos neguLIvos (errores de TIpo ), en Ios que eI deLecLor no reconoce un uLuque cuundo Iu
ocurrIdo.
Aunque exIsLen numerosus soIucIones que ubordun eI probIemu, un quedu mucIo Lrubujo
por Iucer en esLe uspecLo.
Es muy probubIe que esLe probIemu se vuyu soIucIonundo en eI IuLuro de Iormu sImIIur u
como Iun IecIo Ios desurroIIudores de unLIvIrus. DurunLe sus comIenzos, Ios deLecLores de vIrus
LumbIn Leniun un ImporLunLe nmero de IuIsus uIurmus, y no IdenLIIIcubun Lodos Ios vIrus
conocIdos. En Ios ILImos uos, Ios producLos de unLIvIrus Iun mejorudo sensIbIemenLe, Lrubujundo
de Iormu desuLendIdu, y ucLuuIIzundo uuLomuLIcumenLe sus buses duLos de vIrus.
q.z.1.1.1 HeurisLIcu
AcLuuImenLe es reIuLIvumenLe IucII sorLeur un deLecLor busudo en usos IndebIdos. EsLe LIpo
de deLecLores conLIene unu buse de duLos con puLrones de uLuques que compurun con Iu ucLIvIdud
que unuIIzun. Un uLuque conocIdo, modIIIcudo IIgerumenLe, puede ser LoLuImenLe IndeLecLubIe por
un deLecLor de esLe LIpo.
u udopcIn de LcnIcus IeurisLIcus, LuI como Iun IecIo Ios IubrIcunLes de unLIvIrus, es sIo
unu de Ius medIdus que uLIIIzurun Ios DSs en eI IuLuro puru corregIr esLu sILuucIn.
q.z.1.z EsLundurIzucIn
os producLos de deLeccIn de InLrusIones ucLuuIes no uLIIIzun nIngn esLundur en dIversos
uspecLos de su meLodoIogiu. u udopcIn de esLundures no sIo soIucIonuriu probIemus de
compuLIbIIIdud y enLendImIenLo enLre Ios producLos exIsLenLes; sIno que permILIriu u Ius empresus
que se dedIcun uI desurroIIo de esLos producLos uIronLur de Iormu conjunLu un probIemu comn.
AIgunos de Ios uspecLos en Ios que seriu upIIcubIe un esLundur son: un proLocoIo de
comunIcucIn, un Ienguuje genrIco puru Iu deLeccIn de uIurmus, o unu deIInIcIn de un conjunLo
de regIus puru personuIIzur eI moLor de deLeccIn.
Huy uIgunos orgunIsmos que Iun dedIcudo ImporLunLes esIuerzos en eI umbILo de Iu
esLundurIzucIn y normuIIzucIn de Ios DSs. EI proyecLo CD |1| y eI grupo DWG de ET |z| son
Lun sIo dos ejempIos de esLo. DesgrucIudumenLe, mucIos de Ios IubrIcunLes de deLecLores de
InLrusIones preIIeren puLenLur sus propIus soIucIones unLes que udopLur un esLundur.
11
No cube dudu de que eI uso de esLundures es un puso IundumenLuI en Iu mejoru gIobuI de Iu
deLeccIn de InLrusIones, uunque eI xILo de esLe IucLor dependu de su udopcIn por purLe de Ios
desurroIIudores de esLos sIsLemus.
q.z.1. EncrIpLucIn
AcLuuImenLe es dIIicII ImugInurse un enLorno seguro sIn eI uso de comunIcucIones cIIrudus.
CompurLIr eI mIsmo medIo IisIco puru esLubIecer dIIerenLes comunIcucIones obIIgu u uLIIIzur uIgn
LIpo de uIgorILmo de cIIrudo puru proLeger Iu InIormucIn. EsLo es Io que Iuce en Ius VPNs o Redes
PrIvudus VIrLuuIes.
Aunque Iu encrIpLucIn en Ius comunIcucIones es un obsLucuIo puru eI Lrubujo de Ios NDS
(DS de red), Iuy Iormus de soIvenLurIo. Unu de Ius mus recurrIdus consIsLe en Iu ImpIunLucIn de
ugenLes en Ius muquInus que purLIcIpun en Iu comunIcucIn.
Por oLru purLe, seru ImprescIndIbIe eI uso de LcnIcus de encrIpLucIn puru esLubIecer
enIuces seguros enLre Ios eIemenLos de un DS, como por ejempIo, enLre Ios sensores y eI sIsLemu
cenLruI. EI uvunce y popuIurIdud de Ios mecunIsmos de cIIrudo es ImpurubIe, y Ios DSs que vendrun
deberun esLur prepurudos puru esLu sILuucIn.
q.z.1.q Nuevos proLocoIos
Un uspecLo u Lener en cuenLu por purLe de Ios DSs consIsLe en eI reconocImIenLo y soporLe
de proLocoIos de nuevu upurIcIn. Uno de Ios ejempIos mus cIuros de esLu sILuucIn es eI ProLocoIo
nLerneL versIn 6 (Pv6), sucesor deI ucLuuI Pvq uLIIIzudo umpIIumenLe en nLerneL.
SI un DS no es cupuz de reconocer un nuevo proLocoIo, sus cupucIdudes se veriun unuIudus
unLe un uLucunLe que Io uLIIIzuru en sus ucLIvIdudes. En eI cuso de Pv6 esLo es especIuImenLe
sensIbIe, yu que sus curucLerisLIcus Ie permILen consLruIr LneIes sobre redes Pvq.
Es muy probubIe que Ios IubrIcunLes de deLecLores de InLrusIones Lengun en cuenLu esLu
curucLerisLIcu en sus IuLuros producLos.
q.z.1. EscuIubIIIdud
os prImeros producLos de deLeccIn sIo Leniun que monILorIzur Ios duLos orIgInudos por
unu muquInu, y posLerIormenLe, eI LruIIco generudo en unu pequeu red IocuI. Con eI puso deI
LIempo Ius orgunIzucIones se Iun Ido IucIendo cudu vez muyores, usi como su LruIIco de red. EsLo Iu
IecIo que Ios desurroIIudores Lengun cudu vez mus en cuenLu IucLores como Iu escuIubIIIdud u Iu
Ioru de dIseur sus deLecLores de InLrusIones.
EI nmero de uIurmus generudus, usi como eI uumenLo de Ius necesIdudes de recursos son
dos probIemus derIvudos deI crecImIenLo de Ios DSs, que deberun ser LenIdos en cuenLu por Ios
DSs en un IuLuro InmedIuLo.
q.z.1..1 Sobrecurgu de uIurmus
Cuundo se despIIegu un DS en unu grun corporucIn puede IIegur u generur mIIes de
uIurmus uI diu. GesLIonurIus puede converLIrse en unu Iubor ImposIbIe sI no se dIsponen de Ios
medIos udecuudos. Aunque Iuy uIgunus soIucIones uI respecLo, esLe uspecLo un necesILu mejorurse.
1z
q.z.1..z Recursos
Con eI uumenLo deI LruIIco de red LumbIn crecen Ius necesIdudes de recursos de sIsLemu
por purLe de Ios deLecLores. Unu de Ius soIucIones que se esLun empezundo u upIIcur consIsLe en Iu
IubrIcucIn de soIucIones especiIIcus busudus en Iurdwure, que uIIvIen en cIerLo modo Iu curgu de
proceso u Iu que esLun someLIdos Ios sIsLemus de deLeccIn. ProbubIemenLe esLu opcIn seru
busLunLe comn en mucIos de Ios producLos que esLun por venIr.
q.z.1.6 DeLeccIn de unomuIius
u grun muyoriu de Ios producLos de deLeccIn de InLrusIones Iun uLIIIzudo Iu deLeccIn de
usos IndebIdos (compurucIn de puLrones de uLuques). SIn emburgo, Iu deLeccIn de unomuIius
(medIunLe Iu creucIn y compurucIn de perIIIes esLudisLIcos de ucLIvIdud), sIempre Iu recIbIdo mus
ucepLucIn en circuIos ucudmIcos que prucLIcos o comercIuIes, suIvo rurus excepcIones.
q.z.1.6.1 "DuLu mInIng"
Unu de Ius LcnIcus mus promeLedorus en eI umbILo de Iu deLeccIn de unomuIius se
denomInu "duLu mInIng" (mIneriu de duLos) ||, descrILu por mucIos experLos como Iu sucesoru de
Iu esLudisLIcu cIusIcu.
EsLu LcnIcu permILe eIuborur sus propIos modeIos esLudisLIcos de Iormu uuLomuLIcu u
purLIr de Ios duLos unuIIzudos. Por eI conLrurIo, Iu esLudisLIcu cIusIcu Iuce uso de modeIos conocIdos,
u veces no muy udecuudos puru upIIcurIos u uIgunos comporLumIenLos de sIsLemu. u mIneriu de
duLos IdenLIIIcu puLrones de ucLIvIdud sIsLemu que puedun descrIbIr puuLus de conducLu. EsLos
puLrones son Iuego upIIcudos por Ios moLores de deLeccIn puru enconLrur sIgnos de InLrusIones.
OLru de Ius curucLerisLIcus de esLe mLodo es que no sIo es upIIcubIe u Iu deLeccIn de
unomuIius sIno LumbIn u Iu de usos IndebIdos.
q.z.1.6.z OLros uIgorILmos
Numerosus LcnIcus Iun sIdo upIIcudus yu con especLucuIures resuILudos en enLornos de
desurroIIo. AIgorILmos de InLeIIgencIu urLIIIcIuI, neuronuIes, genLIcos, o Ios busudos en eI sIsLemu
Inmune bIoIgIco, son Lun sIo uIgunos de Ios mLodos prucLIcudos.
us IIImILudus posIbIIIdudes que oIrece Iu deLeccIn de unomuIius Iu sILun, sIn Iugur u
dudus en un Iugur muy ImporLunLe en eI promeLedor porvenIr de Iu IndusLrIu de Iu deLeccIn de
InLrusIones.
q.z.z CorreIucIn, composIcIn
EsLos uspecLos merecen un LruLo especIuI, de Iormu sepurudu u Ios yu mencIonudos. A
medIdu que pusu eI LIempo, Iu correlccin de Ios duLos obLenIdos de Ius IuenLes de InIormucIn puru
componer un nIveI superIor de ubsLruccIn, se conIIrmu como uno de Ios eIemenLos mus reIevunLes
en eI IuLuro de Ios DSs. |q|
EI IecIo de que Ios DSs recojun duLos de dIversus IuenLes es un concepLo que se vu u
desurroIIur IusLu eI punLo de que en eI IuLuro no se IubIuru de HDS o NDS. NI sIquIeru seru
sIgnIIIcuLIvu Iu upurIcIn de producLos IibrIdos que combInen umbos LIpos, como uIgunos yu
exIsLenLes, LuIes como Prelude, de Younn VundoorseIuere || o Drcon Intrusion Detection Sstem,
de EnLerusys |6|.
1
En Iu InIruesLrucLuru LipIcu de unu orgunIzucIn coexIsLen dIversos eIemenLos que pueden
uporLur InIormucIn sobre Iu ucLIvIdud de un uLucunLe o InLruso. AIgunos de esLos dIsposILIvos
pueden ser: corLuIuegos, "rouLers", servIdores de correo |;|, HTTP, DNS, ugenLes InsLuIudos en
esLucIones de Lrubujo, eLc.

Router
Conmutador
Zona
desmilitarizada
Servidor
Web
Servidor de
Correo
(POP/SMTP)
Servidor
DNS
Internet
Conmutador
Cortafuegos
Red de
produccin
Red de
desarrollo
IDS
IDS

Iigoru q-1 - Ioentes de inIormucin comones

En eI IuLuro Ios DSs serun cupuces de reIucIonur Iu InIormucIn obLenIdu de grun purLe de
Ios eIemenLos de unu InIruesLrucLuru puru obLener unu vIsIn gIobuI de Ius ucLIvIdudes que se IIevun
u cubo.
EI crecImIenLo de Ius comunIcucIones cIIrudus y Ios enLornos conmuLudos, Iucen cudu vez
es mus comn Iu ImpIemenLucIn de ugenLes, o sIsLemus de deIensu en Ius muquInus. Aunque Iuy
soIucIones purcIuIes u umbos probIemus, Ios DSs preLenden IIegur mus Iejos con Iu correIucIn.
u InsLuIucIn de dIsposILIvos de monILorIzucIn y unuIIsIs en cudu muquInu permILe
concebIr Iu Ideu de un sIsLemu centrcl, encurgudo busIcumenLe de Lureus de gesLIn y correIucIn de
Ios duLos recIbIdos u Lruvs de sus ugenLes. EsLu Iormu de Lrubujo ImpIIcu un enIoque LoLuImenLe
dIsLrIbuIdo en eI dIseo de Ios deLecLores.
HueIgu decIr que eI esIuerzo requerIdo puru combInur y obLener resuILudos eIIcuces de
dIversus IuenLes de InIormucIn es enorme. Huy que Lener en cuenLu numerosos IucLores como
IormuLos de regIsLro, sIncronIzucIn, modeIos de conducLu, eLc. MucIos de Ios uIgorILmos uLIIIzudos
en Iu deLeccIn de unomuIius Lendrun un pupeI ImporLunLe en eI desurroIIo de esLe uspecLo. u
udopcIn de uIgn esLundur reIuLIvo u Ios proLocoIos uLIIIzudos, o eI Ienguuje de uIurmus uyuduru en
grun medIdu u uIcunzur esLe objeLIvo.
Aunque exIsLen numerosus y vurIudus soIucIones en Iu IndusLrIu de Iu deLeccIn de
InLrusIones, Io mus probubIe es que en un IuLuro u Iurgo pIuzo esLos sIsLemus renun en un sIo
dIsposILIvo Lodus Ius curucLerisLIcus de Ios eIemenLos de segurIdud ucLuuIes. EsLe eIemenLo podriu
IncIuso coordInur Iu Iubor de dIIerenLes DSs. Desde dIcIo dIsposILIvo, eI udmInIsLrudor seru
gesLIonur de Iormu gIobuI y precIsu Iu segurIdud de su red. Por oLru purLe, unu serIe de eIemenLos
Ccptulo p uLuro - p. Rejerencics
1q
dIsLrIbuIdos coIuborurun con eI sIsLemu cenLruI, monILorIzundo Iu ucLIvIdud, reuIIzundo Lureus
especiIIcus, y envIundo sus resuILudos.
q. ReIerencIus
|1| Common nLrusIon DeLecLIon rumework (CD). |en Iineu|. AcLuuIIzudo en sepLIembre 1qqq
|consuILudo en muyo, zoo|. DIsponIbIe en <hffp://WWW.1s1.edu/gosf/c1df/>.
|z| nLrusIon DeLecLIon ExcIunge ormuL (Idwg). nLerneL EngIneerIng Tusk orce. |en Iineu|. JuIIo, 1qqo
|consuILudo en ubrII, zoo|. DIsponIbIe en <hffp://WWW.1eff.og/hfm1.chafes/1dWg-
chafe.hfm1>.
|| GoeIdenILz, TIomus. SANS. IDS - Todc cnd Tomorrou. |en Iineu| zz de enero de zooz |consuILudo
en ubrII, zoo|. DIsponIbIe en <hffps://WWW.sans.og//1nfus1on/foday.php>.
|q| Tunuse, MuLLIew. SecurILyocus. The Iuture oj IDS. |en Iineu|. ILImu ucLuuIIzucIn eI q de dIcIembre
de zoo1 |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.secu1fyfocus.com/1nfocus/151>.
|| VundoorseIuere, Younn. Prelude Hbrid IDS. |en Iineu|. 1qq8 |consuILudo en ubrII, zoo|. DIsponIbIe
en <hffp://pe1ude-1ds.og/>.
|6| EnLerusys. Drcon Intrusion Detection Sstem. |en Iineu|. ecIu no dIsponIbIe |consuILudo en ubrII,
zoo|. DIsponIbIe en <hffp://WWW.enfeasys.com/poducfs/1ds/>.
|;| McAnderson, Brendu y PuuI RumsLedL. Intrusion Detection Technolo: Todc cnd Tomorrou. |en
Iineu| 18 de novIembre de 1qqq |consuILudo en ubrII, zoo|. DIsponIbIe en
<hffp://WWW.f1sf.og/evenfs/pogconf/2000/D3-03.pdf>.

1
CupiLuIo 1o
1o ConcIusIones
us posIbIIIdudes y cupucIdudes de Ius reIuLIvumenLe jvenes LecnoIogius de deLeccIn de
InLrusIones no Iun pusudo desupercIbIdus, moLIvundo u numerosos proIesIonuIes y empresus de
desurroIIo. Se Iun podIdo observur Ius condIcIones en que nucIeron Ios SIsLemus de DeLeccIn de
nLrusIones, y Ius sorprendenLes mejorus que Iun experImenLudo desde enLonces.
u enorme vurIedud de grupos y propuesLus de Lrubujo sobre Ius LecnoIogius de deLeccIn de
InLrusIones no Iucen mus que conIIrmur Iu ImporLuncIu de Ius mIsmus. MucIus empresus de
segurIdud Iun ruLIIIcudo esLe IecIo, u Lruvs de ImporLunLes InversIones reuIIzudus puru desurroIIur
sus propIus soIucIones busudus en "soILwure" o "Iurdwure".
Uno de Ios uspecLos que mus pueden cumbIur eI esLudo de Iu IndusLrIu de Iu deLeccIn de
InLrusIones seru probubIemenLe eI reIuLIvo u Iu IormuIucIn y upIIcucIn de esLundures. No se puede
suber con cerLezu cuundo se IIeguru u un consenso en eI uso de un proLocoIo de comunIcucIones, o
Ienguuje de uIurmus comunes. No cube dudu de que esLo dependeru de Ius decIsIones Lomudus por
Ius orgunIzucIones responsubIes de Ios producLos mus ImporLunLes.
us nuevus LecnoIogius se desurroIIun u un rILmo verLIgInoso, y Ios reLos de segurIdud se
suceden u Iu mIsmu veIocIdud. os deLecLores de uso IndebIdo pueden reconocer uLuques conocIdos,
sIendo posIbIe Iu ucLuuIIzucIn de sus buses de uLuques perIdIcumenLe de Iormu sImIIur u como yu
se Iuce con Ios unLIvIrus. os deLecLores de unomuIiu son unu de Ius IerrumIenLus de segurIdud mus
promeLedorus, pudIendo deLecLur uLuques no conocIdos, vuIIndose de grun vurIedud de mLodos de
unuIIsIs.
Por oLru purLe, es ImporLunLe recuIcur que Ios DSs no Iun sIdo desurroIIudos puru susLILuIr
u nIngunu de Ius soIucIones de segurIdud exIsLenLes; no son Iu punuceu. Como yu se Iu upunLudo, su
Iubor consIsLe prIncIpuImenLe en reducIr Iu curgu de Lrubujo de Ios responsubIes de segurIdud,
reuIIzundo dIversos unuIIsIs de Ios duLos dIsponIbIes. EsLos sIsLemus compIemenLun u Ios eIemenLos
ucLuuIes y IorLuIecen Iu segurIdud gIobuI de cuuIquIer InIruesLrucLuru.
Con eI uvunce de Ius LecnoIogius InIormuLIcus, eI upurLudo de Iu segurIdud Iu Ido cobrundo
cudu vez mus vuIor, IusLu converLIrse en uno de Ios uspecLos mus reIevunLes de esLu eru. u
deLeccIn de InLrusIones, en concreLo, rene mucIos de Ios eIemenLos necesurIos puru converLIrse
en eI pIIur IundumenLuI deI IuLuro de Iu segurIdud. Su cupucIdud de unuIIsIs y correIucIn de Ios
duLos obLenIdos de mILIpIes IuenLes, posIbIemenLe Iuru de esLu LecnoIogiu unu de Ius mus
ImporLunLes deI secLor.

1;
ApndIce A - GIosurIo de LrmInos
ungIosujones
Access control: ConLroI de ucceso.
Access Control List: IsLu de ConLroI de Acceso (AC).
Accoontubility: CupucIdud de ser regIsLrudo.
Accoonting: ConLubIIIdud, uudILoriu.
ACL: Vuse ("Access ConLroI IsL").
Active response: RespuesLu ucLIvu.
Add-on: AudIdo.
Address: DIreccIn.
Agent: AgenLe. Vuse LumbIn ("sensor").
AI: Vuse ("ArLIIIcIuI nLeIIIgence").
Anomuly: AnomuIiu.
Anomuly detection: DeLeccIn de unomuIius.
Anonymity: AnonImuLo, unonImIu.
API: Vuse ("AppIIcuLIon Progrum nLerIuce").
Applicution bused: Busudo en upIIcucIn.
Applicution log: RegIsLro de upIIcucIn.
Applicution Progrum InterIuce: nLerIuz de progrumucIn de upIIcucIones (AP).
Archive: ArcIIvo, (uI ser muy usudo en Iu LruduccIn de "IIIe", puede ser convenIenLe ucIurur eI.
LIpo de urcIIvo reIerIdo).
Arruy: ormucIn, esLrucLuru, muLrIz, vecLor, ("urregIo" en AmrIcu uLInu).
ArtiIiciul Intelligence: nLeIIgencIu urLIIIcIuI (A).
Assesment system: Vuse ("VuInerubIIILy Scunner").
Assessment: EvuIuucIn, esLImucIn.
Attribote: ALrIbuLo.
Aodit: AudILoriu.
Aodit cluss: CIuses de uudILoriu.
Aodit Ilug: ndIcudor de uudILoriu.
Aodit redoction: ReduccIn de uudILoriu.
Aodit truil: RusLro o regIsLro de uudILoriu.
Aothenticution: AuLenLIcucIn, uuLenLIIIcucIn.
Aothorizution: AuLorIzucIn.
Apendice A - Gloscrio de terminos cnloscjones
18
Avuilubility: DIsponIbIIIdud.
Buck door: PuerLu Lruseru. Vuse LumbIn ("vuInerubIIIdud").
Buckbone: Eje prIncIpuI, red LroncuI, esLrucLuru prIncIpuI.
Buckop: CopIu de segurIdud, copIu de respuIdo.
Bundwith: AmpIILud de bundu, uncIo de bundu.
Busic Secority Modole: MduIo de SegurIdud BusIco (BSM).
Butch: oLe.
Butch mode unulysis: AnuIIsIs en modo por IoLes.
Butch processing: ProcesumIenLo por IoLes, procesumIenLo en IoLes.
Berkeley Pucket Iilter: IILro de puqueLes BerkeIey (BP).
Binury Log Iormut: ormuLo de regIsLro bInurIo.
BPI: Vuse ("BerkeIey PuckeL IILer").
Bridge: PuenLe. Vuse LumbIn ("conmuLudor").
BSM: Vuse ("BusIc SecurILy ModuIe").
BoIIer: BIer, memorIu Lumpn, memorIu InLermedIu.
BoIIer OverIlow: DesbordumIenLo de bIer, desbordumIenLo de Iu pIIu.
Bog: Error, IuIIo, guzupo.
Byte: ByLe, ocLeLo.
Cuche: AImucn, unLe-memorIu, depsILo.
CGI: Vuse ("Common GuLewuy nLerIuce").
Checksom: Sumu de conLroI, sumu de verIIIcucIn, sumu de comprobucIn.
CII: Vuse ("Common nLrusIon DeLecLIon rumework").
Closter: Grupo, cmuIo.
Closterig unulysis: AnuIIsIs por grupos, ugrupudo.
CML[StunIord Pucket Iilter: IILro de puqueLes CMUJSLundIord.
Colored Petri Net: PeLrI NeL CoIoreudu (CP-neL).
Common Gutewuy InterIuce: nLerIuz Comn de Acceso (CG).
Common Introsion etection Irumework: Murco de DeLeccIn de nLrusIones Comn.
(CD).
Composition: ComposIcIn.
Compromised: CompromeLIdo, vIoIenLudo.
ConIidentiulity: ConIIdencIuIIdud.
Correlution: CorreIucIn.
Coveruge: CoberLuru, uIcunce.
CP-net: Vuse ("CoIored PeLrI NeL").
1q
Cruck {v.): nvudIr, peneLrur.
Credentiuled unulysis: AnuIIsIs con ucredILucIones.
AC: Vuse ("DIscreLIonury Access ConLroI").
utu Mining: MIneriu de duLos.
utu redoction: ReduccIn de duLos. Vuse ("reduccIn de uudILoriu").
utugrum: DuLugrumu.
oS: Vuse ("DIsLrIbuLed DenIuI oI ServIce").
eceptive upplicution: ApIIcucIn enguosu.
ecoy server: ServIdor seueIo, o servIdor Lrumpu. Vuse ("IoneypoL").
e-Militurized Zone: Zonu desmIIILurIzudu, red perImLrIcu (DMZ).
eniul oI Service: DenegucIn de servIcIo (DoS). Vuse LumbIn ("DenegucIn de servIcIo.
dIsLrIbuIdu").
eterministic: DeLermInIsLu.
iscretionury Access Control: ConLroI de ucceso dIscrecIonuI (DAC). Vuse LumbIn ("ConLroI.
de uccesos obIIguLorIo").
istriboted eniul oI Service: DenegucIn de servIcIo dIsLrIbuIdu (DDoS). Vuse LumbIn.
("DenegucIn de servIcIo").
MZ: Vuse ("De-MIIILurIzed Zone").
NS: Vuse ("DomuIn Nume SysLem").
omuin Nume System: SIsLemu de Nombres de DomInIo (DNS).
oS: Vuse ("DenIuI oI ServIce").
ynumic unulysis: AnuIIsIs dInumIco, o en LIempo reuI.
IP uodit: Vuse ("EIecLronIc DuLu Process" uudIL).
Ilectronic utu Process uodit: AudILoriu medIunLe proceso eIecLrnIco de duLos.
Incryption: CIIrudo.
Ivent: EvenLo, suceso.
Ivent horizon: HorIzonLe de evenLo.
Ivent log: RegIsLro de evenLos.
Ixpert system: SIsLemu experLo.
Ixploit: ArdId, urLIIIcIo.
Ixternul penetrutors: nLrusos desde eI exLerIor.
Iulse negutive: uIso neguLIvo.
Iulse positive: uIso posILIvo.
Iile: IcIero, urcIIvo.
Iile TrunsIer Protocol: ProLocoIo de TrunsIerencIu de IcIeros (TP).
Iingerprint: HueIIu ducLIIur, IueIIu dIgILuI.
16o
Iirewull: CorLuIuegos.
Ilug: ndIcudor.
Iree SoItwure: SoILwure IIbre. Vuse LumbIn ("cdIgo ubIerLo").
ITP: Vuse ("IIe TrunsIer ProLocoI").
Iozzy dutu mining: MIneriu de duLos dIIusu.
Iozzy logic: gIcu dIIusu.
Gutewuy: PusureIu, puerLu de enIuce.
Groop IdentiIier: denLIIIcudor de grupo (GD).
Gourds: GuurdIus.
Hush Ionction: uncIn resumen.
HI: Vuse ("HosL bused nLrusIon DeLecLIon").
Honeynet: Red Lrumpu, red de mIeI.
Honeypot: SIsLemu Lrumpu, Lurro de mIeI.
Host: AnIILrIn, muquInu unIILrIonu, puesLo.
Host uothenticution: AuLenLIcucIn por muquInu.
Host bused: Busudo en muquInu.
HTTP: Vuse ("HyperLexL TrunsIer ProLocoI").
Hob: ConcenLrudor. Vuse LumbIn ("repeLIdor").
Hypertext TrunsIer Protocol: ProLocoIo de TrunsIerencIu de HIperLexLo (HTTP). Vuse.
LumbIn ("WWW").
IdentiIicution und uothenticution: denLIIIcucIn y uuLenLIcucIn (&A).
IIS: Vuse ("nLrusIon DeLecLIon ExperL SysLem").
IS: Vuse ("nLrusIon DeLecLIon SysLem").
IITI: Vuse ("nLerneL EngIneerIng Tusk orce").
InIormution Retrievul: RecuperucIn de InIormucIn.
In-line mode: Modo en Iineu.
Inode: nodo, nodo I.
Integrution: nLegrucIn.
Integrity: nLegrIdud.
Integrity checker: Comprobudor de InLegrIdud.
InterIuce: nLerIuz (Iem.).
Internul penetrutors: nLrusos desde eI InLerIor.
Internet: nLerneL.
Internet Ingineering Tusk Iorce: Grupo de Trubujo de ngenIeriu de nLerneL (ET).
Internet Protocol Secority: SegurIdud de ProLocoIo nLerneL (PSec).
161
Internet Protocol version 6: ProLocoIo nLerneL versIn 6.
Interoperubility: nLeroperubIIIdud.
Intervul bused unulysis: AnuIIsIs busudo en InLervuIo.
Introsion: nLrusIn.
Introsion detection: DeLeccIn de InLrusIones.
Introsion etection Ixpert System: SIsLemu ExperLo de DeLeccIn de nLrusIones (DES)..
Vuse LumbIn "SIsLemu ExperLo de deLeccIn de InLrusIones de sIguIenLe generucIn (NDES)".
Introsion etection System: SIsLemu de deLeccIn de InLrusIones (DS).
Introsion Prevention System: SIsLemu de prevencIn de InLrusIones (PS).
Introsive monitoring: MonILorIzucIn InLrusu.
IPS: Vuse ("nLrusIon PrevenLIon SysLem").
IPsec: Vuse ("nLerneL ProLocoI SecurILy").
IPv6: Vuse ("nLerneL ProLocoI versIon 6").
Isolution: AIsIumIenLo.
Log: RegIsLro, IIsLorIuI.
Logger: GesLor de regIsLro de ucLIvIdudes.
MAC: Vuse ("MunduLory Access ConLroI").
MuinIrume: Grun ordenudor, servIdor corporuLIvo, ordenudor cenLruI, mucrocompuLudoru.
Mundutory Access Control: ConLroI de uccesos obIIguLorIo (MAC). Vuse LumbIn ("ConLroI de.
ucceso dIscrecIonuI").
Mun-in-the-middle uttuck: ALuque por InLercepLucIn.
Musqoerude: EnmuscurumIenLo, IuIseumIenLo de IdenLIdud.
Musqoeruder: Enmuscurudo.
Musqoeruding: EnmuscurumIenLo, mImeLIzucIn.
Messuge digest: Resumen de mensuje. Vuse ("IuncIn resumen").
Misose: Uso IndebIdo.
Misose etection: DeLeccIn de usos IndebIdos.
Monitor: MonILor, monILorIzur.
Monitoring policy: PoIiLIcu de monILorIzucIn.
Moltihost: MuILI-muquInu.
Molti-host bused: Busudo en muILI-muquInu. Vuse LumbIn ("busudo en muquInu").
Nutionul Center Ior Sopercompoting Alliunces: CenLro NucIonuI de AIIunzus de.
Superordenudores (NCSA).
NCSA: Vuse ("NuLIonuI CenLer Ior SupercompuLIng AIIIunces").
Network bused: Busudo en red.
Network hop: SuILo de red.
16z
Network munugement: GesLIn de redes.
Network Node Introsion etector: DeLecLor de nLrusIones de Nodo de Red.
Network Tup: DIsposILIvo de escucIu de red.
Network Time Protocol: ProLocoIo de TIempo de Red (NTP).
Next-Generution Introsion etection Ixpert System : SIsLemu ExperLo de deLeccIn de.
InLrusIones de sIguIenLe generucIn (NDES). Vuse LumbIn "SIsLemu ExperLo de DeLeccIn de.
nLrusIones (DES)".
NI: Vuse ("NeLwork nLrusIon DeLecLIon").
NIIS: Vuse ("NexL-GeneruLIon nLrusIon DeLecLIon ExperL SysLem").
NNI: Vuse ("NeLwork Node nLrusIon DeLecLIon").
Noncredentiuled unulysis: AnuIIsIs sIn ucredILucIones.
Nonintrosive monitoring: MonILorIzucIn no InLrusu.
Nonpurumetric: No purumLrIco.
NTP: Vuse ("NeLwork TIme ProLocoI").
Open Soorce: CdIgo ubIerLo. Vuse LumbIn ("soILwure IIbre").
Open Systems Interconnection: nLerconexIn de SIsLemus AbIerLos (OS).
Operuting system uodit truils: RegIsLros de uudILoriu de sIsLemu operuLIvo.
Orunge Book: Ibro Nurunju. Vuse ("TrusLed CompuLer SysLem EvuIuuLIon CrILerIu (TCSEC)").
OS Iingerprinting: denLIIIcucIn de SIsLemu OperuLIvo.
OSI: Vuse ("Open SysLems nLerconnecLIon").
Pucket: PuqueLe.
Pudded cell: CIuIu de uIsIumIenLo, cIuIu ucoIcIudu.
Pussive response: RespuesLu pusIvu.
Pussword: CIuve, conLruseu.
Pussword crucker: Rompedor de conLruseus.
Putch: PurcIe.
PerIormunce munugement: GesLIn de rendImIenLo.
Plogin: AccesorIo, uudIdo, mduIo.
Polymorphic shell: nLerIuz de comundos poIImrIIcu.
Polymorphic viros: VIrus poIImrIIco.
Portscun: Sondeo de puerLos, escuneo de puerLos. Vuse LumbIn ("escuneo sIgIIoso de puerLos").
Predictive Puttern Generution: GenerucIn de PuLrones ProbubIes.
Privucy: PrIvucIdud.
Privilege: PrIvIIegIo.
Promiscooos mode: Modo promIscuo.
16
Protocol unomuly Iilter: IILro de unomuIius de proLocoIo. Vuse LumbIn ("IIILro de unomuIius.
esLudisLIcus").
Protocol stuck: PIIu de proLocoIos.
Ruce condition: CondIcIn de curreru.
Ruinbow serie: SerIe Arco rIs. Vuse LumbIn ("Ibro Nurunju" y "Ibro Murrn").
Reul-time unulysis: AnuIIsIs en LIempo reuI.
Record: nIorme, IIsLorIuI.
Repeuter: RepeLIdor. Vuse LumbIn ("concenLrudor").
Rooter: EncumInudor, enruLudor.
Role bused: Busudo en regIus.
Rolebuse: Buse de regIus.
Sculubility: EscuIubIIIdud.
Script: GuIn.
Secore Shell: nLerIuz de comundos seguru (SSH).
Secore Socket Luyer: Cupu de ConexIn Seguru (SS).
Secority: SegurIdud.
Secority log: RegIsLro de segurIdud.
Secority munugement: GesLIn de segurIdud.
Secority policy: PoIiLIcu de segurIdud.
Segment: SegmenLo.
SelI-contuined: AuLo conLenIdo.
SelI-heuling: AuLo curucIn.
Sensor: Sensor. Vuse LumbIn ("ugenLe").
Server Messuge Block: BIoque de mensujes de servIdor (SMB).
Session creep: DesIIzumIenLo sIgIIoso de sesIn.
Shudow Pussword: ConLruseu ocuILu.
Shell: nLerIuz de comundos.
Shonning: RecIuzo, esquIvumIenLo. Vuse LumbIn ("respuesLu ucLIvu").
Signutore: Irmu, puLrn.
Simple Muil TrunsIer Protocol: ProLocoIo SImpIe de TrunsIerencIu de Correo.
SMB: Vuse ("Server Messuge BIock").
SMS: Vuse ("SysLems MunugemenL Server").
SMTP: Vuse ("SImpIe MuII TrunsIer ProLocoI").
SniIIer: RusLreudor.
SniIIing cuble: CubIe de rusLreo, cubIe de sIo recepcIn.
16q
Spunning port: PuerLo de exLensIn, puerLo uburcudor.
SpooIing: uIseumIenLo, enmuscurumIenLo.
SSH: Vuse ("Secure SIeII").
SSL: Vuse ("Secure SockeL uyer").
Stuck: PIIu.
Stuck smushing: DesbordumIenLo de Iu pIIu. Vuse LumbIn ("pIIu", "desbordumIenLo de bIer").
Stute trunsition: TrunsIcIn de esLudo.
Stutic unulysis: AnuIIsIs esLuLIco.
Stutistic Anomuly Iilter: IILro de unomuIius esLudisLIcus.
Steulth port scun: Escuneo sIgIIoso de puerLos. Vuse LumbIn ("escuneo de puerLos").
Stegunogruphy: EsLegunogruIiu.
Streum: CorrIenLe, IIujo.
STRIAMs: STREAMs.
Sobnet: Subred.
Switch: ConmuLudor. Vuse LumbIn ("puenLe").
Switched enviroment: EnLorno conmuLudo.
System log: RegIsLro de sIsLemu.
Systems Munugement Server: ServIdor de GesLIn de SIsLemus (SMS).
Tun Book {"A Goide to Lnderstunding Aodit in Trosted Systems"): Ibro Murrn ("Guiu.
puru Iu ComprensIn de Iu AudILoriu en SIsLemus de ConIIunzu").
Tup mode: Modo de escucIu.
Turget bused: Busudo en objeLIvo.
TCP[IP: Vuse ("TrunsmIssIon ConLroI ProLocoI J nLerneL ProLocoI").
TCSIC: Vuse ("TrusLed CompuLer SysLem EvuIuuLIon CrILerIu").
Testing by exploit: Probur medIunLe expIoLucIn. Vuse LumbIn ("unuIIzudor de.
vuInerubIIIdudes").
Threud: Hebru, IIIo (de mensujes, o de ejecucIn), IIujo de conLroI o IIujo de ejecucIn.
Threut: Amenuzu.
Threshold: UmbruI.
Token: TesLIgo.
Token uothenticution: AuLenLIcucIn por LesLIgo.
Token bused: Busudo en LesLIgo.
Truil: RusLro, regIsLro.
Truining: EnLrenumIenLo.
Trunsceiver: TrunsmIsor-recepLor.
16
Trunsmission Control Protocol [ Internet Protocol: ProLocoIo de ConLroI de TrunsmIsIn J.
ProLocoIo nLerneL (TCPJP).
Trigger: DIspurudor.
Trojun Horse: CubuIIo de Troyu, Lroyuno. Vuse LumbIn ("puerLu Lruseru").
Trost: ConIIunzu.
Trosted Compoter System Ivuloution Criteriu: CrILerIo de EvuIuucIn de SIsLemus.
nIormuLIcos IubIes (TCSEC).
Trosted processes: Procesos de conIIunzu.
Trosted systems: SIsLemus de conIIunzu.
Type I error: Error de TIpo . Vuse LumbIn ("IuIso posILIvo").
Type II error: Error de TIpo . Vuse LumbIn ("IuIso neguLIvo").
Lser-ugent: AgenLe de usuurIo.
Virtoul Privute Network: Red PrIvudu VIrLuuI (VPN).
VPN: Vuse ("VIrLuuI PrIvuLe NeLwork").
Volnerubilities: VuInerubIIIdudes.
Volnerubility unulysis: AnuIIsIs de vuInerubIIIdudes.
Volnerubility scunner: Escuner o unuIIzudor de vuInerubIIIdudes.
Web: MuIIu, LeIuruu. Vuse LumbIn ("WWW").
Wireless: nuIumbrIco.
World Wide Web: MuIIu mundIuI, LeIuruu mundIuI. Vuse LumbIn ("web").
Worm: Gusuno.
Wrupper: EnvoILuru, Iorro, empucudor.
WWW: Vuse ("WorId WIde Web").

16;
ApndIce B - GIosurIo
Agente. Vuse tumbin {"sensor"): En deLeccIn de InLrusIn, unu enLIdud IndependIenLe que
reuIIzu Iubores de monILorIzucIn y unuIIsIs de bujo nIveI y enviu sus resuILudos u un coordInudor o
un LrunsmIsor-recepLor. TumbIn conocIdo como sensor.
Almucn, unte-memoriu, depsito: MecunIsmo especIuI de uImucenumIenLo de uILu veIocIdud.
Puede ser unu zonu reservudu de Iu memorIu prIncIpuI, o un dIsposILIvo IndependIenLe de
uImucenumIenLo de uILu veIocIdud.
Amenuzu: SILuucIn o evenLo con que puede provocur duos en un sIsLemu.
Amplitod de bundu, uncho de bundu: 1. DIIerencIu en IerLzIos (Hz) enLre Iu IrecuencIu mus
uILu y Iu mus buju de un cunuI de LrunsmIsIn. z. DuLos que puede ser envIudos en un perIodo de
LIempo deLermInudo u Lruvs de un cIrcuILo de comunIcucIn. Se mIde en bILs por segundo (bps).
Anomuliu: No usuuI o esLudisLIcumenLe ruro.
Anonimuto, unonimiu: CurucLer o condIcIn de unnImo (desconocImIenLo deI nombre o
IdenLIdud).
Anlisis busudo en intervulo: AnuIIsIs desurroIIudo de Iormu dIsconLInuu. Se upIIcu en cusos de
recopIIucIn no conLInuu de duLos, y en cusos de recopIIucIn conLInuu pero unuIIsIs dIsconLInuo.
TumbIn se denomInu unuIIsIs en modo por IoLes, o esLuLIco.
Anlisis con ucredituciones: En unuIIsIs de vuInerubIIIdudes, enIoque de monILorIzucIn pusIvu
en Ios que son necesurIus conLruseus u oLro LIpo de credencIuIes. NormuImenLe ImpIIcu eI ucceso u
Ios duLos de un objeLo de sIsLemu.
Anlisis de volnerubilidudes: AnuIIsIs deI esLudo de Iu segurIdud de un sIsLemu o sus
componenLes medIunLe eI envio de pruebus y recogIdu de resuILudos en InLervuIos.
Anlisis dinmico, o en tiempo reul: AnuIIsIs desurroIIudo en LIempo reuI, o de Iormu
conLInuu.
Anlisis en modo por lotes: Vuse "unuIIsIs busudo en InLervuIo".
Anlisis en tiempo reul: AnuIIsIs reuIIzudo de Iormu conLInuu, con resuILudos obLenIdos en un
LIempo en que permILu uILerur eI esLudo ucLuuI sIsLemu.
Anlisis esttico: AnuIIsIs de InIormucIn desurroIIudo de Iormu dIsconLInuu. TumbIn conocIdo
como unuIIsIs busudo en InLervuIo o en modo por IoLes.
Anlisis sin ucredituciones: En unuIIsIs de vuInerubIIIdudes, enIoque de monILorIzucIn pusIvu
en Ios que Ius conLruseus u oLro LIpo de credencIuIes no son necesurIus. NormuImenLe ImpIIcu eI
IunzumIenLo de uLuques conLru eI sIsLemu, provocundo uIgn LIpo de reuccIn.
Aplicucin enguosu: ApIIcucIn cuyu upurIencIu y comporLumIenLo emuIun u unu upIIcucIn
reuI. NormuImenLe se uLIIIzu puru monILorIzur uccIones reuIIzudus por uLucunLes o InLrusos.
Apendice - Gloscrio
168
Ardid, urtiIicio: mpIemenLucIn de un IuIIo de segurIdud, uLIIIzudo bIen puru comprobur y
demosLrur Iu exIsLencIu deI IuIIo, o bIen puru compromeLer eI sIsLemu de Iormu IIicILu.
Atuqoe por interceptucin: EsLruLegIu de uLuque en Iu que eI uLucunLe InLercepLu unu
comunIcucIn enLre dos purLes, subsLILuyendo eI LruIIco enLre umbus u voIunLud y conLroIundo Iu
comunIcucIn.
Aoditoriu mediunte proceso electrnico de dutos: EvoIucIn de Ios LrudIcIonuIes procesos y
prucLIcus de uudILoriu, uLIIIzundo sIsLemus de proceso de duLos.
Aoditoriu: Proceso de exumInur y revIsur un InIorme cronoIgIco de Ios evenLos de sIsLemu puru
deLermInur su sIgnIIIcudo y vuIor.
Aotenticucin, uotentiIicucin: Proceso de conIIrmur Iu IdenLIdud de unu enLIdud de sIsLemu
(un usuurIo, un proceso, eLc.).
Aoto contenido: HIsLorIuIes de evenLos de sIsLemu que no necesILun de oLros IIsLorIuIes puru su
InLerpreLucIn.
Aotorizucin: AccIn de oLorgur eI ucceso u usuurIos, objeLos o procesos.
Busudo en uplicucin: Se uLIIIzu puru descrIbIr monILores que recogen duLos u purLIr de
upIIcucIones. us IuenLes de duLos pueden ser regIsLros de evenLos u oLro LIpo de InIormucIn
perLenecIenLe u upIIcucIones.
Busudo en molti-mqoinu. Vuse tumbin {"busudo en mqoinu"): Que monILorIzu
InIormucIn de IuenLes InLernus u mILIpIes muquInus.
Busudo en mqoinu: Que monILorIzu InIormucIn de IuenLes InLernus u unu muquInu.
Busudo en objetivo: Que monILorIzu InIormucIn de deLermInudos objeLos, generuImenLe
uLIIIzundo mLodos de cIIrudo como IuncIones resumen puru permILIr Iu deLeccIn de cumbIos.
Busudo en red: Que monILorIzu InIormucIn de IuenLes de red, generuImenLe cupLuru de
puqueLes.
Busudo en reglus: En deLeccIn de InLrusIn, que uLIIIzu puLrones de ucLIvIdud (generuImenLe
uLuques conocIdos) puru reconocer unu InLrusIn.
Busudo en testigo: SIsLemus que empIeun eIemenLos especIuIes como LurjeLus InLeIIgenLes, IIuves,
o dIscos puru Iu uuLenLIcucIn de usuurIo.
Buse de reglus: ConjunLo de regIus uLIIIzudus puru unuIIzur Ios regIsLros de duLos.
Bit. Vuse tumbin "byte": AbrevIucIn de "bInury dIgIL". UnIdud eIemenLuI de InIormucIn en
un sIsLemu InIormuLIco. TIene un nIco vuIor en IormuLo bInurIo: "o" "1".
Bloqoe de mensujes de servidor {SMB): TumbIn conocIdo como "SessIon Messuge BIock",
NeLBOS y unMunuger. Es un proLocoIo uLIIIzudo por sIsLemus WIndows puru compurLIr IIcIeros,
Impresorus, puerLos serIe y oLrus enLIdudes de comunIcucIn enLre ordenudores.
Apendice - Gloscrio
16q
Byte, octeto: UnIdud de InIormucIn compuesLu por ocIo bILs. ModIIIcundo Ios dIIerenLes bILs de
un byLe se pueden obLener IusLu z6 combInucIones dIIerenLes.
BIer, memoriu tumpn, memoriu intermediu: reu de memorIu de un sIsLemu reservudu
puru uImucenur InIormucIn de Iormu LemporuI. GeneruImenLe se uLIIIzu puru compensur Ius
dIIerencIus de veIocIdud surgIdus enLre vurIus seuIes o procesos.
Cubullo de Troyu, troyuno. Vuse tumbin {"poertu truseru"): Progrumu InIormuLIco de
uspecLo InoIensIvo que ocuILu en su InLerIor un cdIgo que permILe ubrIr unu "puerLu Lruseru" en eI
sIsLemu en que se ejecuLu.
Cuble de rustreo, cuble de slo recepcin: CubIe de red modIIIcudo puru ImposIbIIILur eI envio
de duLos, permILIendo excIusIvumenLe su recepcIn.
Cupu de Conexin Segoru {SSL): ProLocoIo creudo por NeLscupe puru permILIr Iu LrunsmIsIn
cIIrudu y seguru de InIormucIn u Lruvs de Iu red.
Cupucidud de ser registrudo: HubIIIdud de reIucIonur unu deLermInudu ucLIvIdud o evenLo con
Iu purLe responsubIe.
CiIrudo: Proceso medIunLe eI cuuI se Lomu un mensuje en cIuro, se Ie upIIcu unu IuncIn
muLemuLIcu, y se obLIene un mensuje codIIIcudo.
Cobertoru, ulcunce: ProporcIn de uLuques conocIdos que un deLecLor de InLrusIones es cupuz de
deLecLur.
Composicin: 1. En deLeccIn de InLrusIones, proceso de combInur InIormucIn procedenLe de
dIsLInLus IuenLes en un IIujo de duLos coIerenLe. z. En segurIdud InIormuLIcu, combInur un conjunLo
de componenLes en un sIsLemu puru obLener Ios uLrIbuLos de segurIdud deI sIsLemu, segn Ius
propIedudes de Ios componenLes.
Comprobudor de integridud: HerrumIenLu de segurIdud que uLIIIzu IuncIones resumen busudus
en uIgorILmos de cIIrudo puru deLecLur uILerucIones en objeLos de sIsLemu.
Comprometido, violentudo: EsLudo de un equIpoJsIsLemu cuundo un InLruso Iu enLrudo.
Concentrudor. Vuse tumbin {"repetidor"): DIsposILIvo que permILe Iu InLerconexIn de Ius
esLucIones de Lrubujo enLre si. No reuIIzu IuncIones de encumInumIenLo; Io que recIbe por un puerLo
Io reenviu u Lruvs deI resLo.
Condicin de curreru: ComporLumIenLo unmuIo provocudo por unu dependencIu excesIvu deI
LIempo reIuLIvo LrunscurrIdo enLre dIIerenLes evenLos.
ConIiunzu: Esperunzu IIrme de que un sIsLemu se comporLe como corresponde.
ConIidenciulidud: RequIsILo de segurIdud que IndIcu que eI ucceso u Ios recursos de sIsLemu debe
esLur IImILudo excIusIvumenLe u Ios usuurIos con ucceso uuLorIzudo.
Conmotudor. Vuse tumbin {"poente"): EIemenLo uLIIIzudo puru InLerconecLur muquInus u
unu red. TIene IuncIones de encumInumIenLo busIco de LruIIco de red, y permILe subdIvIdIr Ius redes
en segmenLos, de Iormu sImIIur u un puenLe.
Apendice - Gloscrio
1;o
Control de ucceso discrecionul {AC). Vuse tumbin {"Control de uccesos
obIIguLorIo"): PoIiLIcu de ucceso u Ios duLos en Iu que eI propIeLurIo deI objeLo, de Iormu voIunLurIu
(dIscrecIonuI), concede o denIegu eI ucceso u sLe u oLros sujeLos.
Control de ucceso: ImILur eI ucceso u objeLos de ucuerdo u Ios permIsos de ucceso deI sujeLo. EI
conLroI de ucceso puede ser deIInIdo por eI sIsLemu (ConLroI de uccesos obIIguLorIo, MAC) o por eI
propIeLurIo deI objeLo (ConLroI de uccesos dIscrecIonuI, DAC).
Control de uccesos obligutorio {MAC). Vuse tumbin {"Control de ucceso
dIscrecIonuI"): PoIiLIcu de ucceso u Ios duLos en Iu que eI sIsLemu compurLe de Iormu obIIguLorIu
LunLo Ios objeLos como Ios sujeLos. A purLIr de dIcIu Iormu de compurLIr Ios eIemenLos, se
esLubIecen unus regIus de ucceso.
Correlucin: En deLeccIn de InLrusIones, reIucIn que se esLubIece enLre dIIerenLes IuenLes de
InIormucIn.
CortuIoegos: HerrumIenLu de segurIdud que proporcIonu un IimILe enLre redes de dIsLInLu
conIIunzu o nIveI de segurIdud medIunLe eI uso de poIiLIcus de conLroI de ucceso de nIveI de red.
Criterio de Ivuloucin de Sistemus InIormticos Iiubles {TCSIC): ConocIdo
comnmenLe como Ibro Nurunju, descrIbe Ius propIedudes que deben cumpIIr Ios sIsLemus puru
conLener InIormucIn sensIbIe o cIusIIIcudu. EsLe crILerIo Iue desurroIIudo por eI CenLro de
SegurIdud nIormuLIcu NucIonuI (NCSC).
Clolu de uislumiento, clolu ucolchudu: SIsLemu o red consIsLenLe en unu copIu purcIuI de un
sIsLemu reuI, uI que un dIsposILIvo con cupucIdudes de enruLumIenLo y deLeccIn de InLrusIones
redIrIge eI LruIIco IosLII.
Cdigo ubierto. Vuse tumbin {"soItwure libre"): SoILwure que cumpIe Ios crILerIos
descrILos por Iu InIcIuLIvu "Open Source". EsLe LrmIno no ImpIIcu eI ucceso uI cdIgo IuenLe.
utugrumu: Mensuje que se enviu en unu red de comunIcucIones de ordenudores por InLercumbIo
de puqueLes.
enegucin de servicio {oS). Vuse tumbin {"enegucin de servicio distriboidu"):
EsLruLegIu de uLuque que consIsLe en suLurur de InIormucIn u Iu vicLImu con InIormucIn InLII
puru deLener Ios servIcIos que oIrece.
enegucin de servicio distriboidu {oS). Vuse tumbin {"enegucin de
servicio"): EsLruLegIu de uLuque que coordInu Iu uccIn de mILIpIes sIsLemus puru suLurur u Iu
vicLImu con InIormucIn InLII puru deLener Ios servIcIos que oIrece. os sIsLemus uLIIIzudos puru eI
uLuque sueIen Iuber sIdo prevIumenLe compromeLIdos, pusundo u ser conLroIudos por eI uLucunLe
medIunLe un cIIenLe DDoS.
esbordumiento de bIer, desbordumiento de lu pilu: TcnIcu que consIsLe en uImucenur
mus duLos en un bIer de Ios que puede conLener. os duLos que no cuben pueden InvudIr zonus
udyucenLes u Iu deI bIer, corrompIndoIus o sobrescrIbIndoIus. EsLe mLodo es umpIIumenLe
uLIIIzudo puru reuIIzur uLuques que ubren InLerIuces de comundo remoLus.
esbordumiento de lu pilu. Vuse tumbin {"pilu", "desbordumiento de bIer"): Cuso
especIuI deI desbordumIenLo de bIer, en eI que eI objeLIvo es Iu pIIu deI sIsLemu.
Apendice - Gloscrio
1;1
eslizumiento sigiloso de sesin: TcnIcu uLIIIzudu por un usuurIo que consIsLe en modIIIcur
gruduuImenLe su comporLumIenLo puru enLrenur uI deLecLor de unomuIius. De esLu Iormu, se
consIgue que eI deLecLor dIugnosLIque como ucLIvIdud normuI un posIbIe uLuque.
eteccin de unomulius: DeLeccIn busudu en Iu ucLIvIdud de sIsLemu que coIncIde con Iu
deIInIdu como unormuI.
eteccin de introsiones: Proceso de monILorIzur Ios evenLos de un sIsLemu o red en buscu de
sIgnos que IndIquen probIemus de segurIdud.
eteccin de osos indebidos: DeLeccIn busudu en Iu ucLIvIdud de sIsLemu que coIncIde con Iu
deIInIdu como muIu.
etector de Introsiones de Nodo de Red: DeLecLor de InLrusIones busudo en red que se
InsLuIu en unu muquInu. EsLu medIdu uyudu u soIvenLur probIemus como Ios usocIudos u enLornos
conmuLudos, o cIIrudo en Ius comunIcucIones.
eterministu: PropIedud de Ios procesos que permILe recorrer un proceso IucIu deIunLe o IucIu
uLrus, desde cuuIquIer punLo deI proceso.
isponibilidud: RequIsILo de segurIdud que ImpIIcu que Iu InIormucIn y Ios servIcIos deI sIsLemu
conLInen en IuncIonumIenLo y que Ios usuurIos uuLorIzudos puedun ucceder u Ios recursos cuundo
Io necesILen, dnde Io necesILen, y en Iu Iormu en que Io necesILen.
ispositivo de escochu de red: DIsposILIvo, de uspecLo exLerno sImIIur u un concenLrudor o un
conmuLudor, que permILe u un rusLreudor InLercepLur eI LruIIco de red enLre dos segmenLos sIn ser
deLecLudo. Ademus, upenus uIecLu uI rendImIenLo de Iu red.
Encominodor, enrutodor: DIsposILIvo que reenviu puqueLes de duLos enLre redes. PermILe
conecLur uI menos dos redes. os punLos de conexIn con eI "encumInudor" son Ius puerLus de
enIuce de cudu red.
Inmuscurudo: ALucunLe que uccede u un sIsLemu uLIIIzundo IdenLIIIcudores de usuurIo y
conLruseus de usuurIos IegiLImos.
Intorno conmotudo: EnLorno de red en eI que predomInu eI uso de conmuLudores.
Involtoru, Iorro, empucudor: SoILwure que compIemenLu Ius curucLerisLIcus de oLro soILwure
puru mejorur deLermInudos uspecLos como compuLIbIIIdud, o segurIdud.
Irror de Tipo I. Vuse tumbin {"Iulso positivo"): En deLeccIn de InLrusIones, error
producIdo cuundo eI sIsLemu dIugnosLIcu como uLuque unu ucLIvIdud normuI. TumbIn conocIdo
como IuIso posILIvo.
Irror de Tipo II. Vuse tumbin {"Iulso negutivo"): En deLeccIn de InLrusIones, error
producIdo cuundo eI sIsLemu dIugnosLIcu como ucLIvIdud normuI un uLuque. TumbIn conocIdo
como IuIso neguLIvo.
Isculubilidud: ormu en que Iu soIucIn u un deLermInudo probIemu se comporLu cuundo eI
Lumuo deI probIemu crece.
Apendice - Gloscrio
1;z
Iscuneo sigiloso de poertos. Vuse tumbin {"escuneo de poertos"): BurrIdo de puerLos
medIunLe dIversus LcnIcus con eI IIn de evudIr Ios mLodos de deLeccIn comunes. AIgunus de esLus
LcnIcus ImpIIcun un escuneo InLencIonudumenLe IenLo, o eI envio de puqueLes especIuIes
uprovecIundo purLIcuIurIdudes deI proLocoIo.
Iscner o unulizudor de volnerubilidudes: HerrumIenLu dIseudu puru IIevur u cubo unuIIsIs
de vuInerubIIIdudes.
IstegunogruIiu: ArLe de LrunsmILIr InIormucIn de modo que Iu presencIu de Iu mIsmu puse
InudverLIdu. Se sueIe Iucer cumuIIundo Ios duLos en eI InLerIor un LexLo, Imugen, o IIcIero
muILImedIu. ProvIene de Ius puIubrus grIegus stecns (cubIerLo) y rcptos (escrILo).
Ethernet: SIsLemu de red de ureu IocuI de uILu veIocIdud.
Iulseumiento, enmuscurumiento: ModIIIcucIn de Iu IdenLIdud de orIgen reuI durunLe unu
comunIcucIn. EI mLodo mus comn consIsLe en uILerur dIrecLumenLe Iu dIreccIn orIgen de cudu
puqueLe de Iu comunIcucIn.
Iulso negutivo: En deLeccIn de InLrusIones, error producIdo cuundo eI sIsLemu dIugnosLIcu como
uLuque unu ucLIvIdud normuI. TumbIn conocIdo como error de LIpo .
Iulso positivo: En deLeccIn de InLrusIones, error producIdo cuundo eI sIsLemu dIugnosLIcu como
ucLIvIdud normuI un uLuque. TumbIn conocIdo como error de LIpo .
Iiltro de unomulius de protocolo. Vuse tumbin {"Iiltro de unomulius estudisticus"):
TIpo de IIILro de unomuIius esLudisLIcus uI que se Ie Iun uudIdo conocImIenLos sobre un proLocoIo
deLermInudo, puru poder deLecLur usos poco comunes deI mIsmo.
Iiltro de unomulius estudisticus: IILro que permILe Iu deLeccIn de ucLIvIdudes y
comporLumIenLos poco usuuIes o comunes.
Iiltro de puqoetes Berkeley {BPI): Unu urquILecLuru dIseudu puru Iu cupLuru de puqueLes,
desurroIIudu en eI "uwrence BerkeIey NuLIonuI uboruLory".
Iirmu, putrn: En deLeccIn de InLrusIn, puLrones que IndIcun Ios usos IndebIdos de un sIsLemu.
Iormuto de registro binurio: ormuLo de regIsLro uLIIIzudo por IerrumIenLus busudus en Ius
IIbrerius "IIbpcup", como por ejempIo "Lcpdump". Se upIIcu puru regIsLrur eI LruIIco de red. AIgunus
de Ius venLujus deI IormuLo bInurIo sobre eI IormuLo ASC son que ocupu menos, y Iu InIormucIn
que conLIene puede ser uccedIdu en menor LIempo.
Ioncin resomen: uncIn de cIIrudo que permILe deLecLur cumbIos en objeLos.
Generucin de Putrones Probubles: TcnIcu que permILe, medIunLe mLodos esLudisLIcos,
predecIr evenLos IuLuros busundose en Ios que Iu yu Iun LenIdo Iugur. En deLermInudus
cIrcunsLuncIus, sI no se cumpIen Ios evenLos esperudos, Iuy posIbIIIdudes de que se LruLe de un
uLuque.
Gestin de redes: ConLroIur dIversos uspecLos de unu red puru opLImIzur su eIIcIencIu. us cInco
cuLegorius de gesLIn de red son: segurIdud, IuIIo, uudILoriu, conIIgurucIn y gesLIn de
rendImIenLo.
Apendice - Gloscrio
1;
Gestin de rendimiento: En gesLIn de redes, medIcIn de Ios dIIerenLes eIemenLos de Iu red.
os resuILudos de esLus medIcIones se uLIIIzun puru opLImIzur su IuncIonumIenLo.
Gestin de segoridud: 1. Proceso de esLubIecer y munLener Iu segurIdud en un sIsLemu o red de
sIsLemus InIormuLIcos. us eLupus de esLe proceso IncIuyen Iu prevencIn de probIemus de
segurIdud, deLeccIn de InLrusIones, InvesLIgucIn de InLrusIones, y resoIucIn. z. En gesLIn de
redes, conLroIur (permILIr, IImILur, resLrIngIr, o denegur) ucceso u Iu red y recursos, buscur
InLrusIones, IdenLIIIcur punLos de enLrudu de InLrusIones, y repurur o cerrur esLus posIbIes vius de
ucceso.
Gestor de registro de uctividudes: ComponenLe de sIsLemu encurgudo de Ius Iubores de
regIsLro de ucLIvIdud.
Gropo de Trubujo de Ingenieriu de Internet {IITI): Unu de Ius prIncIpuIes orgunIzucIones
encurgudus de Iu IormuIucIn de esLundures en nLerneL.
Gosuno: Progrumu InIormuLIco que se uuLo-dupIIcu y uuLo-propugu. A dIIerencIu que Ios vIrus,
sueIen esLur dIseudos puru redes.
Horizonte de evento: imILe de LIempo upIIcubIe u unu curucLerisLIcu de sIsLemu deLermInudu,
como por ejempIo Iu dIIerencIu de LIempo enLre dos enLrudus u un sIsLemu.
IdentiIicucin de Sistemu Operutivo: ConjunLo de LcnIcus uLIIIzudus puru deLermInur Iu
IdenLIdud deI sIsLemu operuLIvo de un sIsLemu remoLo. GeneruImenLe se Iogru medIunLe eI envio de
deLermInudos duLos de red y eI posLerIor unuIIsIs de Ius respuesLus recIbIdus.
IdentiIicucin y uotenticucin {I&A): MecunIsmo de segurIdud que usIgnu unu IdenLIdud
nIcu u cudu usuurIo (IdenLIIIcucIn) y Iu compruebu (uuLenLIcucIn).
Inodo, nodo i: EsLrucLuru de duLos que conLIene InIormucIn sobre cudu urcIIvo en sIsLemus
UNX. Cudu urcIIvo LIene un nodo-I usocIudo.
Integrucin: En IngenIeriu de sIsLemus, combInucIn de componenLes en unu enLIdud coIerenLe.
Integridud: RequIsILo de segurIdud que IndIcu que Iu InIormucIn deberu ser proLegIdu unLe
uILerucIones no uuLorIzudus.
Inteligenciu urtiIiciul {AI): CIencIu que buscu Iu comprensIn de enLIdudes InLeIIgenLes.
Interconexin de Sistemus Abiertos {OSI): EsLrucLuru de proLocoIos en sIeLe nIveIes
propuesLu por SO ("nLernuLIonuI SLundurdIsuLIon OrgunIsuLIon") e TU-T ("nLernuLIonuI
TeIecommunIcuLIon UnIon TeIecommunIcuLIon SLundurdIzuLIon SecLor").
InterIuz Comn de Acceso {CGI): EspecIIIcucIn puru Iu LrunsmIsIn duLos enLre progrumus
resIdenLes en servIdores Web y nuvegudores.
InterIuz de comundos polimrIicu: nLerIuz de comundos cuyo cdIgo cumbIu con cudu
ejecucIn. EsLo se Iuce puru evudIr Ios deLecLores de InLrusIn busudos en regIus. En Iu muyoriu de
Ios cusos se uLIIIzun durunLe uLuques de desbordumIenLo de bIer.
InterIuz de comundos segoru {SSH): TumbIn conocIdu como "Secure SockeL SIeII", es unu
InLerIuz de comundos busudu en UNX y un proLocoIo puru ucceder de Iormu seguru u unu muquInu
Apendice - Gloscrio
1;q
remoLu. Es umpIIumenLe uLIIIzudu por udmInIsLrudores de red puru reuIIzur Lureus de gesLIn y
conLroI. SSH es un conjunLo de Lres uLIIIdudes: s1og1n, ssh y scp; versIones segurus de Ius
unLerIores uLIIIdudes de UNX: 1og1n, sh y cp.
InterIuz de progrumucin de uplicuciones {API): ConjunLo de ruLInus, proLocoIos, y
IerrumIenLus puru Iu consLruccIn de upIIcucIones soILwure.
Interoperubilidud: CupucIdud de un sIsLemu puru Lrubujur con oLros sIn que seun necesurIos
grundes esIuerzos por purLe deI usuurIo.
Introsin: VIoIucIn InLencIonudu de Ius poIiLIcus de segurIdud de un sIsLemu.
Introsos desde el exterior: UsuurIos no uuLorIzudos de un sIsLemu.
Libpcup: nLerIuz IndependIenLe deI sIsLemu, puru Iu cupLuru de puqueLes de nIveI de usuurIo,
escrILo en eI "uwrence BerkeIey NuLIonuI uboruLory".
Libro Murrn {"Goiu puru lu Comprensin de lu Aoditoriu en Sistemus de ConIIunzu"):
Uno de Ios voImenes de Iu SerIe Arco rIs que expIIcu Ios crILerIos deI sIsLemu de uudILoriu de
SIsLemus de ConIIunzu, mencIonundo uspecLos reIevunLes puru Ios sIsLemus de deLeccIn de
InLrusIones.
Listu de Control de Acceso {ACL): ConjunLo de duLos que IndIcun uI sIsLemu operuLIvo qu
permIsos LIene un usuurIo o grupo sobre un deLermInudo objeLo de sIsLemu. Cudu objeLo LIene
uLrIbuLos de segurIdud nIcos que IndIcun qu usuurIos pueden uccederIo, y Iu IsLu de ConLroI de
Acceso conLIene unu descrIpcIn de Ios prIvIIegIos de ucceso de cudu objeLo y usuurIo.
Lote: En InIormuLIcu, progrumu usIgnudo u un sIsLemu puru ser ejecuLudo de Iormu desuLendIdu.
os Lrubujos por IoLes sueIen ejecuLurse en un pIuno secundurIo, mIenLrus que Ios InLerucLIvos se
ejecuLun en prImer pIuno.
Lgicu diIosu: ormu de ruzonumIenLo que Incorporu crILerIos mILIpIes puru Lomur decIsIones y
vuIores mILIpIes puru evuIuur posIbIIIdudes. PermILe IormuIIzur operucIones deI ruzonumIenLo
ImprecIso sobre concepLos ImprecIsos, comunes en eI ruzonumIenLo Iumuno.
Mullu mondiul, teluruu mondiul. Vuse tumbin {"web"): SIsLemu de InIormucIn
dIsLrIbuIdo, busudo en IIperLexLo. u InIormucIn puede ser de dIIerenLe nuLuruIezu, como por
ejempIo LexLo, gruIIco, uudIo, o video.
Mullu, teluruu. Vuse tumbin {"WWW"): ServIdor de InIormucIn WWW. Se uLIIIzu
LumbIn puru deIInIr eI unIverso WWW en su LoLuIIdud.
Murco de eteccin de Introsiones Comn {CII): Grupo de Lrubujo encurgudo de creur
InLerIuces que permILun u Ios desurroIIudores de deLeccIn de InLrusIones compurLIr sus
conocImIenLos y poder reuLIIIzur Ios resuILudos en oLros sIsLemus. ue Iundudo por Teresu unL.
Mineriu de dutos: ArLe y cIencIu de descubrIr y expIoLur reIucIones nuevus, LIIes, y provecIosus
en grundes cunLIdudes de InIormucIn.
Modo en lineu: MLodo de InLercepLucIn deI LruIIco de red que consIsLe en Iucer pusur Lodo eI
LruIIco u Lruvs de un monILor o rusLreudor, generuImenLe conIIgurudo como puenLe puru mInImIzur
eI ImpucLo sobre eI rendImIenLo de Iu red y dIIIcuILur su deLeccIn.
Apendice - Gloscrio
1;
Modo promiscoo: RespecLo u unu InLerIuz de red, eI modo de operucIn que generu unu
InLerrupcIn por cudu ucLIvIdud de red deLecLudu. EsLo permILe u Iu InLerIuz recoger Lodo eI LruIIco
de red de su segmenLo y enLregurseIo uI deLecLor de InLrusIones.
Monitor, monitorizur: CuuIquIer mecunIsmo o mLodo uLIIIzudo por un sIsLemu de deLeccIn de
InLrusIones puru obLener InIormucIn.
Monitorizucin introsu: En unuIIsIs de vuInerubIIIdudes, obLener InIormucIn medIunLe Iu
reuIIzucIn de comprobucIones que uIecLun uI esLudo deI sIsLemu, IIegundo en uIgunos cusos u
provocur su cuidu.
Monitorizucin no introsu: En unuIIsIs de vuInerubIIIdudes, obLener InIormucIn medIunLe Iu
ejecucIn de unu IIsLu de comprobucIones de Ios uLrIbuLos deI sIsLemu.
Mdolo de Segoridud Bsico {BSM): PuqueLe de segurIdud de "Sun MIcrosysLem"
proporcIonudo por Ios sIsLemus operuLIvos de Sun puru cumpIIr con Ios requIsILos deI documenLo
TCSEC (Iu cIuse Cz).
No purumtrico: TcnIcus esLudisLIcus que no Iucen suposIcIones sobre Iu dIsLrIbucIn
subyucenLe de Ios duLos.
Puqoete: EsLrucLuru de duLos con unu cubeceru que puede esLur o no IgIcumenLe compIeLu. Mus u
menudo, se reIIere u un empuqueLumIenLo IisIco de duLos que IgIco. Se uLIIIzu puru envIur duLos u
Lruvs de unu red conmuLudu de puqueLes.
Purche: En segurIdud InIormuLIcu, cdIgo que corrIge un IuIIo (ugujero) de segurIdud.
Petri Net Coloreudu {CP-net): enguuje orIenLudo u objeLos puru eI dIseo, especIIIcucIn y
verIIIcucIn de sIsLemus. EsLu especIuImenLe IndIcudo en sIsLemus compuesLos por grun vurIedud de
procesos que necesILun esLur comunIcudos y sIncronIzudos.
Pilu de protocolos: ConjunLo de proLocoIos que se ImpIemenLun en un deLermInudo sIsLemu.
Pilu: reu de duLos o bIer uLIIIzudu puru uImucenur peLIcIones que deben ser uLendIdus. TIene unu
esLrucLuru O (prImero en enLrur, ILImo en suIIr) o O (ILImo en enLrur, prImero en suIIr).
Politicu de monitorizucin: ConjunLo de regIus que deIInen Iu Iormu en que se debe cupLurur e
InLerpreLur Iu InIormucIn.
Politicu de segoridud: 1. ConjunLo de esLuLuLos que descrIben Iu IIIosoIiu de unu orgunIzucIn
respecLo u Iu proLeccIn de su InIormucIn y sIsLemus InIormuLIcos. z. ConjunLo de regIus que
ponen en prucLIcu Ios requIsILos de segurIdud deI sIsLemu.
Privucidud: EsLur IIbre de uccesos no uuLorIzudos.
Privilegio: NIveI de conIIunzu perLenecIenLe u un objeLo de sIsLemu.
Procesumiento por lotes, procesumiento en lotes: ProcesumIenLo reuIIzudo en InLervuIos de
LIempo, de Iormu dIsconLInuu.
Procesos de conIiunzu: Procesos que sIrven puru cumpIIr un objeLIvo de segurIdud.
Apendice - Gloscrio
1;6
Protocolo Internet versin 6: RevIsIn deI ProLocoIo nLerneL que vIene u susLILuIr u Iu
LrudIcIonuI versIn q. CuenLu con nuevus curucLerisLIcus, como mejorus en Ius dIreccIones,
sImpIIIIcucIn de Iu cubeceru, nuevo soporLe de exLensIones y opcIones, eLIqueLudo de LruIIco, y
cupucIdudes de uuLenLIcucIn y prIvucIdud.
Protocolo Simple de TrunsIerenciu de Correo: ProLocoIo de comunIcucIones puru Iu
LrunsmIsIn de correo eIecLrnIco enLre ordenudores.
Protocolo de Control de Trunsmisin [ Protocolo Internet {TCP[IP): ConjunLo de
proLocoIos busIco sobre Ios que se IundumenLu nLerneL. Se sILun en Lorno uI nIveI Lres y cuuLro deI
modeIo OS.
Protocolo de Tiempo de Red {NTP): ProLocoIo sILuudo sobre TCPJP dIseudo puru permILIr Iu
sIncronIzucIn de Ios reIojes de Ius muquInus conecLudus u Lruvs de unu red.
Protocolo de TrunsIerenciu de Iicheros {ITP): ProLocoIo que permILe u un usuurIo de un
sIsLemu ucceder u oLro sIsLemu de unu red, e InLercumbIur InIormucIn con eI mIsmo.
Protocolo de TrunsIerenciu de Hipertexto {HTTP). Vuse tumbin {"WWW"):
ProLocoIo usudo puru Iu LrunsIerencIu de documenLos WWW.
Poente. Vuse tumbin {"conmotudor"): DIsposILIvo que permILe Iu InLerconexIn de dos
redes con IguuI o dIsLInLos InLerIuces o pIIu de proLocoIos. ReuIIzu IuncIones de encumInumIenLo de
puqueLes u nIveI de enIuce. Un puenLe muILI-puerLo es prucLIcumenLe un conmuLudor.
Poertu truseru. Vuse tumbin {"volnerubilidud"): MecunIsmo que permILe u un uLucunLe
enLrur y conLroIur un sIsLemu de Iormu ocuILu. SueIen InsLuIurse jusLo despus de compromeLer un
sIsLemu.
Poerto de extensin, poerto uburcudor: PuerLo especIuI con eI que cuenLun uIgunos
conmuLudores uvunzudos. EsLu progrumudo puru poder recIbIr unu copIu deI LruIIco desLInudo u
uno o vurIos puerLos deI conmuLudor.
Rustreudor: DIsposILIvo cupuz de cupLurur Lodos Ios puqueLes de duLos que vIujun por eI segmenLo
de red uI que esLu conecLudo. CuenLu con unu InLerIuz de red en modo promIscuo.
Rechuzo, esqoivumiento. Vuse tumbin {"respoestu uctivu"): RespuesLu unLe un uLuque
en Iu que eI sIsLemu LermInu y recIuzu Ius subsIguIenLes conexIones con dIreccIn deI uLucunLe.
Red Privudu Virtoul {VPN): Red generuImenLe consLruIdu sobre InIruesLrucLuru pbIIcu, que
uLIIIzu mLodos de cIIrudo y oLros mecunIsmos de segurIdud puru proLeger eI ucceso y Iu prIvucIdud
de sus comunIcucIones.
Red trumpu, red de miel: Es un LIpo de sIsLemu Lrumpu. Es unu red de sIsLemus reuIes dIseudu
puru ser compromeLIdu.
Redoccin de uoditoriu: MLodo uLIIIzudo puru eIImInur InIormucIn redundunLe o no necesurIu
de Ios regIsLros de uudILoriu.
Registro de uplicucin: En sIsLemus WIndows, es uno de Ios Lres LIpos de regIsLros de evenLos.
EsLe regIsLro conLIene Ios evenLos generudos por Ius upIIcucIones.
Apendice - Gloscrio
1;;
Registro de eventos: MecunIsmo de uudILoriu uLIIIzudo por sIsLemus WIndows.
Registro de segoridud: En sIsLemus WIndows, es uno de Ios Lres LIpos de regIsLros de evenLos.
EsLe regIsLro conLIene Ios evenLos consIderudos como reIevunLes en muLerIu de segurIdud.
Registro de sistemu: 1. En sIsLemus WIndows, es uno de Ios Lres LIpos de regIsLros de evenLos.
EsLe regIsLro conLIene Ios evenLos generudos por Ios componenLes de sIsLemu. z. en sIsLemus UNX,
IIcIeros de evenLos de sIsLemu y upIIcucIones, que sueIen consIsLIr en IIcIeros de LexLo consIsLenLes
en unu Iineu por cudu evenLo.
Registros de uoditoriu de sistemu operutivo: HIsLorIuIes de evenLos de sIsLemu generudos
por eI mecunIsmo especIuIIzudo de un sIsLemu operuLIvo.
Repetidor. Vuse tumbin {"concentrudor"): DIsposILIvo que regeneru Iu seuI que pusu u
Lruvs de Iu red, permILIendo exLender Iu dIsLuncIu de LrunsmIsIn de dIcIu seuI. Un repeLIdor
muILI-puerLo se conoce como un concenLrudor.
Respoestu uctivu: RespuesLu en Iu que eI sIsLemu (uuLomuLIcumenLe, o junLo con eI usuurIo)
modIIIcu eI curso deI uLuque. Huy Lres Iormus busIcus de respuesLus ucLIvus: ejecuLur uccIones
conLru eI InLruso, corregIr eI enLorno, y recopIIur mus InIormucIn.
Respoestu pusivu: RespuesLu en Iu que eI sIsLemu sImpIemenLe regIsLru e InIormu de Iu InLrusIn
o uLuque, deIegundo en eI usuurIo Ius uccIones subsecuenLes.
Rompedor de contruseus: HerrumIenLu de segurIdud dIseudu puru descubrIr Ius conLruseus
de Ios usuurIos. En Iu muyoriu de Ios cusos se uLIIIzun dIIerenLes uproxImucIones puru obLenerIus.
STRIAMs: ModeIo de progrumucIn de sIsLemu puru eI desurroIIo de conLroIudores de
dIsposILIvos.
SVRq++: Unu propuesLu de esLundur puru eI IormuLo de Ios regIsLros de uudILoriu de Ios sIsLemus
operuLIvos. ue pubIIcudu por SLepIen SmuIu.
Sulto de red: EsLruLegIu de uLuque en Iu que eI uLucunLe InLenLu ocuILur su IdenLIdud reuIIzundo sus
ucLIvIdudes desde oLros sIsLemus compromeLIdos.
Segmento: UnIdud IgIcu de duLos, en purLIcuIur un segmenLo de TCP es Iu unIdud de duLos
LrunsIerIdu enLre dos mduIos de TCP.
Segoridud de Protocolo Internet {IPSec): ConjunLo de proLocoIos desurroIIudos por ET
puru soporLur eI InLercumbIo seguro de puqueLes en eI nIveI P. Psec se uLIIIzu umpIIumenLe puru
ImpIemenLur Redes VIrLuuIes PrIvudus (VPNs).
Segoridud: 1. Segn un enIoque prucLIco, Iu segurIdud ImpIIcu que un sIsLemu se comporLe de Iu
muneru esperudu. EsLu deIInIcIn depende de Ios nIveIes de conIIunzu z. Segn un enIoque IormuI,
consIsLe en eI cumpIImIenLo de Iu "Lriudu de concepLos": conIIdencIuIIdud, InLegrIdud y
dIsponIbIIIdud.
Sensor. Vuse tumbin {"ugente"): En deLeccIn de InLrusIn, unu enLIdud que reuIIzu Iubores
de monILorIzucIn y obLencIn de duLos de Ius IuenLes de InIormucIn. TumbIn conocIdo como
ugenLe. En mucIos DS, eI sensor y eI unuIIzudor Iormun purLe deI mIsmo componenLe.
Apendice - Gloscrio
1;8
Serie Arco Iris. Vuse tumbin {"Libro Nurunju" y "Libro Murrn"): ConjunLo de
documenLo que deIInen Iu nIcIuLIvu de SIsLemus ConIIubIes, un progrumu deI gobIerno de EE.UU.
puru resoIver probIemus reIucIonudos con Iu segurIdud InIormuLIcu. os nombres de Ios
documenLos se corresponden con Ios coIores de sus cubIerLus.
Servidor de Gestin de Sistemus {SMS): SIsLemu desurroIIudo por MIcrosoIL que permILe
gesLIonur Iu conIIgurucIn de esLucIones y servIdores WIndows.
Sistemu Ixperto de eteccin de Introsiones {IIS). Vuse tumbin "Sistemu
Ixperto de deteccin de introsiones de sigoiente generucin {NIIS)": SIsLemu de
DeLeccIn de nLrusIones busudo en regIus dIseudo puru deLecLur uLuques conocIdos. ue eI
precursor de NDES.
Sistemu Ixperto de deteccin de introsiones de sigoiente generucin {NIIS). Vuse
tumbin "Sistemu Ixperto de eteccin de Introsiones {IIS)": DeLecLor de InLrusIones
que reuIIzu IuncIones de monILorIzucIn en LIempo reuI de ucLIvIdudes de usuurIo u Lruvs de
mILIpIes sIsLemus conecLudos viu Ethernet.
Sistemu de Nombres de ominio {NS): ServIcIo dIsLrIbuIdo de bsquedu de duLos que
reuIIzu LruduccIones enLre dIreccIones P y nombres de muquInus. u esLrucLuru de Ios nombres de
muquInu (nombres de domInIo), que son mus IucIIes de recordur que Ius dIreccIones P, sIgue unu
esLrucLuru jerurquIcu.
Sistemu de deteccin de introsiones {IS): SIsLemu que monILorIzu redes de ordenudores y
sIsLemus en buscu de vIoIucIones de poIiLIcus de segurIdud. EsLu compuesLo por Lres eIemenLos
IundumenLuIes: IuenLes de InIormucIn, moLor de unuIIsIs y mecunIsmos de respuesLu.
Sistemu de prevencin de introsiones {IPS): SIsLemu que combInu Ius cupucIdudes de
bIoqueo de un corLuIuegos y Ius de unuIIsIs de un DS. EsLu dIseudo puru deLener uLuques unLes de
que Lengun xILo.
Sistemu experto: ApIIcucIn InIormuLIcu que reuIIzu unu Lureu que podriu reuIIzur un Iumuno
experLo, como por ejempIo, dIugnsLIco de enIermedudes, uLuques, o bsquedu de ruLus de
encumInumIenLo pLImus. os sIsLemus experLos perLenecen u unu cuLegoriu generuI de upIIcucIones
que uLIIIzun LcnIcus de InLeIIgencIu urLIIIcIuI.
Sistemu trumpu, turro de miel: Recurso de sIsLemu de InIormucIn cuyo vuIor resIde en eI uso
no uuLorIzudo o IIicILo de dIcIo recurso.
Sistemus de conIiunzu: SIsLemus que empIeun Ius suIIcIenLes medIdus puru cumpIIr Ios
requIsILos necesurIos puru su uso en eI proceso de InIormucIn sensIbIe o cIusIIIcudu.
SoItwure libre. Vuse tumbin {"cdigo ubierto"): CdIgo que oLorgu IIberLud u Ios usuurIos
puru ejecuLur, copIur, dIsLrIbuIr, esLudIur, cumbIur y mejorur eI mIsmo.
Sondeo de poertos, escuneo de poertos. Vuse tumbin {"escuneo sigiloso de
poertos"): BurrIdo de puerLos generuImenLe puru deLermInur qu servIcIos oIrece un sIsLemu. Es
uno de Ios mLodos mus comunes enLre Ios uLucunLes puru obLener InIormucIn de sus objeLIvos.
Apendice - Gloscrio
1;q
Somu de control, somu de veriIicucin, somu de comprobucin: AIgorILmo muLemuLIco
que generu un nmero nIco u purLIr de un conjunLo de duLos, uLIIIzudu puru comprobur Iu
InLegrIdud de Ios mIsmos.
Tcpdomp: HerrumIenLu de monILorIzucIn y udquIsIcIn de duLos que reuIIzu Iubores de IIILrudo,
recopIIucIn, y vIsuuIIzucIn de puqueLes.
Lso indebido: AcLIvIdud o comporLumIenLo conocIdu como muIu o InupropIudu.
Viros polimrIico: VIrus InIormuLIco que cumbIu de uspecLo con cudu ejecucIn. EsLu
curucLerisLIcu LIene eI objeLo de evILur Ios deLecLores de vIrus.
Volnerubilidudes: DebIIIdudes en un sIsLemu que pueden ser uLIIIzudus puru vIoIur Ius poIiLIcus
de segurIdud.
Zonu desmiliturizudu, red perimtricu {MZ): MuquInu o pequeu subred sILuudu enLre unu
red InLernu de conIIunzu (como unu red IocuI prIvudu) y unu red exLernu no conIIubIe (como
nLerneL). NormuImenLe en esLu zonu se sILun Ios dIsposILIvos uccesIbIes desde nLerneL, como
servIdores Web, TP, SMTP o DNS, evILundo Iu necesIdud de ucceso desde eI exLerIor u Iu red
prIvudu. EsLe LrmIno es de orIgen mIIILur, y se uLIIIzu puru deIInIr un ureu sILuudu enLre dos
enemIgos.

181
ApndIce C - BIbIIogruIiu
EsLu bIbIIogruIiu esLu busudu en unu IIsLu InIcIudu y munLenIdu por SLeve SmuIu y su equIpo
de Hcstccl Lcbs junLo con uIgunus modIIIcucIones y ucLuuIIzucIones IecIus por Rebeccu Buce. Yo
Ie uprovecIudo puru uudIr uIgunus enLrudus mus de recIenLe upurIcIn, udemus de comprobur y
ucLuuIIzur Ius reIerencIus exIsLenLes u documenLos en nLerneL. Se Iu procurudo IncIuIr en Iu
sIguIenLe IIsLu excIusIvumenLe uqueIIus reIerencIus bIbIIogruIIcus reIucIonudus de unu u oLru Iormu
con Iu deLeccIn de InLrusIones.

AbboLL, RoberL P., J.S. CIIn, J.E. DonneIIey, W.. KonIgsIord, S. Tokubo, und D.A. Webb, Securit
Anclsis cnd Enhcncements oj Computer Dperctin Sstems. TecInIcuI reporL NBSR ;6 -
1oq1, nsLILuLe Ior CompuLer ScIence und TecInoIogy, NuLIonuI Bureuu oI SLundurds, 1q;6.
Anderson, Jumes P. Computer Securit Threct Monitorin cnd Surteillcnce. orL WusIIngLon,
PA: Jumes P. Anderson Co., 1q8o.
_______. Computer Securit Technolo Plcnnin Stud. ESD-TR-;-1, v . EIecLronIc
SysLems DIvIsIon, AIr orce SysLems Commund, Hunscom IeId, BedIord, MA, OcLober 1q;z.
Anderson, Ross. Licbilit cnd Computer Securit: Nine Principles. TIIrd Europeun SymposIum on
ReseurcI In CompuLer SecurILy (ESORCS), BrIgILon, U.K., November 1qqq.
Anderson, Ross, und A. KIuLLuk. The Use oj Injormction Retrietcl Techniques jor Intrusion
Detection. PresenLuLIon, IrsL nLernuLIonuI WorksIop on LIe RecenL Advunces In nLrusIon
DeLecLIon, ouvuIn-Iu-Neuve, BeIgIum, SepLember 1qq8.
Anderson, Ross, und R. NeedIum. Prorcmmin Sctcn's Computer. CompuLer ScIence Toduy,
CompuLer ScIence Toduy, ecLure NoLes In CompuLer ScIence, SprInger-VerIug, HeIdeIberg,
Germuny, v 1ooo: qz6-qq1. SprInger NCS v 1ooo: qz6-qq1.
AxeIsson, SLeIun. Dn c Dijjicult oj Intrusion Detection. ProceedIngs oI LIe Second nLernuLIonuI
WorksIop on RecenL Advunces In nLrusIon DeLecLIon, W. uIuyeLLe, N, SepLember 1qqq.
AxeIsson, SLeIun, U. IndqvIsL, U. GusLuIson, und E. Jonsson. An Approcch to UNIX Securit
Loin. ProceedIngs oI LIe TwenLy-IrsL NuLIonuI nIormuLIon SysLem SecurILy ConIerence,
CrysLuI CILy, VA, OcLober 1qq8.
Buce, Rebeccu. A Neu Lool ct Perpetrctors oj Computer Crime. ProceedIngs oI LIe SIxLeenLI
DepurLmenL oI Energy CompuLer SecurILy Group ConIerence, Denver, CO, Muy 1qqq.
_______. Intrusion Detection. MucmIIIun TecInIcuI PubIIsIIng, zooo.
_______ und PeLer MeII. Intrusion Detection Sstems. |en Iineu|. |consuILudo en murzo, zoo|.
BuIusubrumunIyun, J. S., J. o. Gurciu-ernundez, D. sucoII, E. H. SpuIIord, und D. ZumbonI. An
Architecture jor Intrusion Detection Usin Autonomous Aents. COAST LecInIcuI reporL
q8Jo, Purdue UnIversILy, W. uIuyeLLe, N, June 1qq8.
BuIusubrumunIyun, JuI S., J. o. GurcIu-ernundez, D. sucoII, E. H. SpuIIord, und D. ZumbonI. An
Architecture jor Intrusion Detection Usin Autonomous Aents. ProceedIngs oI LIe
ourLeenLI EEE CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ: 1 - zq, December
1qq8.
Apendice C - ibliorcjc
18z
BuIdwIn, RoberL W. Kucn: Rule-csed Securit Checlin. MT, ub Ior CompuLer ScIence
ProgrummIng SysLems ReseurcI Group, Muy 1qqq.
BuIdwIn, RoberL W. Rule-csed Anclsis oj Computer Securit. MussucIuseLLs nsLILuLe oI
TecInoIogy, June 1q8;.
BunnIng, Debru, G. EIIIngwood, C. runkIIn, C. MuckInIIrn, und D. PrIce. Auditin oj Distributed
Sstems. ProceedIngs oI LIe ourLeenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon,
DC, OcLober 1qq1.
Buuer, DuvId S. und M. E. KobIenLz. NIDX-An Expert Sstem jor Recl-Time Netuorl Intrusion
Detection. ProceedIngs oI LIe EEE CompuLer NeLworkIng SymposIum, New York, NY, pp. q8
- 1o6, AprII 1q88.
BIsIop, MuLL. A Model oj Securit Monitorin. ProceedIngs oI LIe IILI AnnuuI CompuLer SecurILy
AppIIcuLIons ConIerence, Tucson, AZ, December 1q8q.
_______. A Stcndcrd Audit Lo Iormct. ProceedIngs oI LIe 1qq NuLIonuI nIormuLIon SysLems
SecurILy ConIerence, BuILImore, MD, OcLober 1qq.
_______. Vulnercbilities Anclsis: Extended Abstrcct. ProceedIngs oI LIe Second nLernuLIonuI
WorksIop on RecenL Advunces In nLrusIon DeLecLIon, W. uIuyeLLe, N, SepLember 1qqq.
BIsIop, MuLL, S. CIeung, C. Wee, J. runk, J. HougIund, und S. SumorodIn. The Threct jrom the
Net. EEE SpecLrum q, no. 8(1qq;): 6 - 6.
BIsIop, MuLL und MIcIueI DIIger. Checlin jor Rcce Conditions in Iile Access. CompuLIng SysLems
q, no. z (SprIng 1qq6): 11 - 1z.
BIuIn, uurenL und Yves DeswurLe. An Intrusion-Tolercnt Securit Serter jor cn Dpen Distributed
Sstem. ProceedIngs oI LIe Europeun SymposIum on ReseurcI In CompuLer SecurILy,
TouIouse, runce, OcLober 1qqo.
BrudIey, KIrk, S. CIeung, N. PukeLzu, B. MukIeIjee, und B.. A. OIsson. Detectin Disruptite
Routers: A Distributed Netuorl Monitorin Approcch. ProceedIngs oI LIe NIneLeenLI EEE
SymposIum on SecurILy und PrIvucy, OukIund, CA, Muy 1qq8.
BrenLuno, Jumes. An Expert Sstem jor Detectin Attccls on Distributed Computer Sstems.
MusLer LIesIs, DIvIsIon oI CompuLer ScIence, UnIversILy oI CuIIIornIu, DuvIs, CA, MurcI 1qq1.
BrenLuno, Jumes, S. R. Snupp, G. V. DIus, T. . Goun, . T. HeberIeIn, C.-. Ho, K. N. euvILL, B.
MukIerjee, und S. E. SmuIu. An Architecture jor c Distributed Intrusion Sstem. DOE
CompuLer SecurILy ConIerence, us Vegus, NV, MurcI 1qq1.
BrIdges, Susun M. und RuyIord B. VuugIn. Iuzz Dctc Minin cnd Genetic Alorithms cpplied to
Intrusion Detection. MIssIssIppI SLuLe UnIversILy.
CurreLLonI, ., S. CusLuno, G. MurLeIIu, und P. SumuruLI. RETISS: A Recl Time Securit Sstem jor
Threct Detection Usin Iuzz Loic. ProceedIngs oI LIe TwenLy-IILI AnnuuI EEE
nLernuLIonuI CurnuIun ConIerence on SecurILy TecInoIogy, TuIpeI, TuIwun, OcLober 1qq1.
CIeswIck, WIIIIum. An Etenin uith erjerd in Which c Crccler Is Lured, Endured, cnd Studied.
ProceedIngs oI USENX SecurILy ConIerence, Sun runcIsco, CA, WInLer 1qqz.
CIeung, SLeven, R. CruwIord, M. DIIger, J. runk, J. HougIund, K. evILL, J. Rowe, S. SLunIIord-
CIen, B.. YIp, und D. ZerkIe. The Desin oj GrIDS: A Grcph-csed Intrusion Detection
Sstem. UnIversILy oI CuIIIornIu, DuvIs, CompuLer ScIence DepurLmenL LecInIcuI reporL CSE-
qq - z 1qqq.
18
CIeung, SLeven und K. N. evILL. Protectin Routin Injrcstructures jrom Denicl oj Sertice Usin
Cooperctite Intrusion Detection. ProceedIngs New SecurILy PurudIgms WorksIop 1qq;,
CumbrIu, U.K., SepLember 1qq;.
CIung, CIrIsLInu, M. GerLz, und K. evILL. Misuse Detection in Dctcbcse Sstems Throuh User
Projilin. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon
DeLecLIon, W. uIuyeLLe, N, SepLember 1qqq.
CIung, Mundy, N. PukeLzu, R. A. OIsson, und B. MukIerjee. Simulctin Concurrent Intrusions jor
Testin Intrusion Detection Sstems: Pcrcllelizin Intrusions. ProceedIngs oI LIe 1qq
NuLIonuI nIormuLIon SysLems SecurILy ConIerence, BuILImore, MD, OcLober 1qq.
CIrIsLopI, Gury G., K. A. Juckson, M. C. Neumunn, C. . B. SIcIIIuno, D. D. SImmonds, C. A.
SLuIIIngs, und J. . TIompson. UNICDRN: Misuse Detection jor UNICDS. ProceedIngs oI
SupercompuLIng 'q, Sun DIego, CA, December 1qq.
CIyde, AIIen R. Insider Threct Identijicction Sstems. ProceedIngs oI LIe TenLI NuLIonuI CompuLer
SecurILy ConIerence, WusIIngLon, DC, SepLember 1q8;.
_______. A Surteillcnce-Gcte Model jor Automcted Injormction Securit cnd Insider Threct
Identijicction on Sensitite Computer Sstems. ProceedIngs oI LIe Second nsIder TIreuL
denLIIIcuLIon SysLems ConIerence, RockvIIIe, MD, AprII 1q8;.
_______. Suspicious Etent Testin cnd Weihted Scorin jor the Anclsis oj c Surteillcnce Dctc
Set. ProceedIngs oI LIe TIIrd nsIder TIreuL denLIIIcuLIon SysLems ConIerence, RockvIIIe,
MD, AprII 1q8;.
CrosbIe, Murk. Applin Genetic Prorcmmin to Intrusion Detection. ProceedIngs oI 1qq AAA
uII SymposIum on GeneLIc ProgrummIng, Sun Jose, CA, November 1qq.
CrosbIe, Murk, B. DoIe, T. EIIIs, . KrsuI, und E. H. SpuIIord. IDIDT - Users Guide. TecInIcuI reporL
TR-q6 - oo, Purdue UnIversILy, COAST uboruLory, W. uIuyeLLe, N, SepLember 1qq6.
CrosbIe, Murk, und E. H. SpuIIord. Dejendin c Computer Sstem Usin Autonomous Aents.
ProceedIngs oI LIe EIgILeenLI NuLIonuI nIormuLIon SysLems SecurILy ConIerence, BuILImore,
MD, OcLober 1qq.
D.C.. nLeIIIgence nIormuLIon HundIIng CommILLee. ProceedIngs oI LIe 1q8; nLrusIon DeLecLIon
ExperL SysLem ConIerence, VIennu, VA, November 1q8;.
Debur, Herve, M. Becker, und D. SIbonI. A Neurcl Netuorl Component jor cn Intrusion Detection
Sstem. ProceedIngs oI LIe EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund,
CA, Muy 1qqz.
_______ und B. DorIzzI. An Applicction oj c Recurrent Netuorl to cn Intrusion Detection
Sstem. ProceedIngs oI LIe nLernuLIonuI JoInL ConIerence on NeuruI NeLworks, BuILImore,
MD, June 1qqz.
DennIng, DoroLIy E. An Intrusion Detection Model. ProceedIngs oI LIe 1q86 EEE SymposIum on
_______, D. Edwurds, R. JugunnuLIun, T. unL, und P. G. Neumunn. A Prototpe IDES - A Recl-
Time Intrusion Detection Expert Sstem. InuI reporL, CompuLer ScIence ub, SR
nLernuLIonuI, MenIo Purk, CA, AugusL 1q8;.
_______. und P. G. Neumunn. Requirements cnd Model jor IDES - A Recl-Time Intrusion Expert
Sstem. TecInIcuI reporL, CompuLer ScIence ub, SR nLernuLIonuI, MenIo Purk, CA, AugusL
1q8.
18q
de QueIroz, Jose DuurLe, . . RusL du CosLu Curmo, . PIrmez. Miccel: An Autonomous Mobile
Aent Sstem to Protect Netuorled Applicctions oj Neu Generction. ProceedIngs oI LIe
Second nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon DeLecLIon, W. uIuyeLLe, N,
SepLember 1qqq.
DIus, GIIun, K. N. evILL, und B. MukIerjee. Modelin Attccls on Computer Sstems: Etcluctin
Vulnercbilities cnd Iormin c csis jor Attccl Detection. SR nLrusIon DeLecLIon WorksIop
, MenIo Purk, CA, Muy 1qqo.
DIckerson, JoIn E., Jukku JusIIn, OurunIu KoukousouIu, JuIIe A. DIckerson. Iuzz Intrusion
Detection. EIecLrIcuI und CompuLer EngIneerIng DepurLmenL. owu SLuLe UnIversILy.
Douk, JusLIn. Intrusion Detection: The Applicction oj Iecture Selection, c Compcrison oj
Alorithms, cnd the Applicction oj c Netuorl Anclzer. MusLer LIesIs, UnIversILy oI
CuIIIornIu, DuvIs, CA, SepLember 1qqz.
DoweII, CIerI und P. RumsLedL. The Computeructch Dctc Reduction Tool. ProceedIngs oI LIe
TIIrLeenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1qqo.
urmer, D. und E. H. SpuIIord. The Cops Securit Checler Sstem. n LIe ProceedIngs oI LIe
Summer oI 1qqo UsenIx ConIerence, AnuIeIm, CA: 16 - 1;o, June 1qqo.
urmer, Dun, und W. Venemu. Improtin the Securit oj Your Site b reclin into It. nLerneL
|en Iineu|. 1qq |consuILudo en junIo, zoo| DIsponIbIe desde <hffp://WWW.f1sh.com>.
urmer, D. und W. Venemu. Securit Administrctor's Tool jor Anclzin Netuorls (SATAN). |en
Iineu|. |consuILudo en junIo, zoo| DIsponIbIe desde
<hffp://WWW.f1sh.com/zen/safan/safan.hfm1>.
eIerLug, RIcIurd, . BenzInger, S. RIo, und S. Wu. Intrusion Detection Intercomponent Adcptite
Neotiction. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In
nLrusIon DeLecLIon, W. uIuyeLLe, N, SepLember 1qqq.
ox K. ., R. HennIng, J. Reed. A NeuruI NeLwork ApproucI Towurds nLrusIon DeLecLIon'.
ProceedIngs oI LIe 1LI NuLIonuI CompuLer SecurILy ConIerence. Pp 1z-1 q WusIInLong,
DC, OcLober 1qqo.
runk, Jeremy. Mcchine Lecrnin cnd Intrusion Detection: Current cnd Iuture Directions.
ProceedIngs oI LIe SevenLeenLI NuLIonuI CompuLer SecurILy ConIerence, BuILImore, MD,
OcLober 1qqq.
rIncke, DeboruI, D. TobIn, und Y. Ho. Plcnnin, Petri Nets, cnd Intrusion Detection. ProceedIngs
oI TwenLy-IrsL NuLIonuI nIormuLIon SysLem SecurILy ConIerence, CrysLuI CILy, VA, OcLober
1qq8.
Gurvey, TIomus D. und T. unL. Model-csed Intrusion Detection. ProceedIngs oI LIe ourLeenLI
NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1qq1.
GuLes, Jumes D. Tools jor Identijin the Source oj Securit recches. ProceedIngs oI LIe TIIrd
nsIder TIreuL denLIIIcuLIon SysLems ConIerence, RockvIIIe, MD, AprII 1q8;.
GredIugu, A., burru, ., edesmu, B., BroLons, . Utilizccin de redes neuroncles pcrc lc deteccin
de intrusos. DepurLumenLo de TecnoIogiu nIormuLIcu y CompuLucIn. UnIversIdud de
AIIcunLe.
Gross, Andrew H. Anclzin Computer Intrusions. PI.D. LIesIs, UnIversILy oI CuIIIornIu, Sun
DIego, DepurLmenL oI CompuLer ScIences, Sun DIego, CA, 1qq;.
18
GuIu, BIswuroop und B. MukIerjee. Netuorl Securit tic Reterse Enineerin oj TCP Code:
Vulnercbilit Anclsis cnd Proposed Solutions. ProceedIngs oI LIe EEE nIocom 'q6, Sun
runcIsco, CA, MurcI 1qq6.
GupLu, S. und V. D. GIIgor. Experience uith c Penetrction Anclsis Method cnd Tool. ProceedIngs
oI LIe IILeenLI NuLIonuI CompuLer SecurILy ConIerence, BuILImore, MD, OcLober 1qqz.
Hubru, N., B. e CIurIIer, und A. MounjI. Prelimincr Report on Adtcnced Securit Audit Trcil
Anclsis on UNIX. UnIversILuIres NoLre Dume de Iu PuIx, Numur, BeIgIum, ReseurcI reporL,
December 1qq1.
_______, B. e CIurIIer, und A. MounjI. Adtcnced Securit Audit Trcil Anclsis on UNIX:
Implementction Desin oj the NADI Etcluctor. ReseurcI reporL, UnIversILuIres NoLre Dume
de u PuIx, Numur, BeIgIum, MurcI 1qq.
_______, B. c CIurIIer, A. MounjI, und . MuLIIeu. ASAXL Sojtucre Architecture cnd Rule-cse
Lcnuce jor Uniterscl Audit Trcil Anclsis. ProceedIngs oI LIe Second Europeun
SymposIum on ReseurcI In CompuLer SecurILy (ESOBJCS), TouIouse, runce, November
1qqz.
HuIme, uwrence K und B.. K. Buuer. A1NT Misbehctin - A Tcxonom oj Antiintrusion
Techniques. ProceedIngs oI LIe EIgILeenLI NuLIonuI nIormuLIon SysLems SecurILy
ConIerence, BuILImore, MD, OcLober 1qq.
_______ und BrIun . KuIn. uildin c Securit Monitor uith Adcptite User Worl Projiles.
ProceedIngs oI LIe EIevenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC,
OcLober 1q88.
_______ und J. V. Home. Automcted Anclsis oj Computer Sstem Audit Trcils jor Securit
Purposes. ProceedIngs oI LIe NInLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC,
SepLember 1q86.
Hunsen, SLepIen E. und T. ALkIns. Automcted Sstem Monitorin cnd Notijicction uith Suctch.
ProceedIngs oI LIe USENX SysLems AdmInIsLruLIon (SA V) ConIerence, MonLerey, CA,
November 1qq.
HuskIns, DenIs H. Keepin Wctch on c VAX. DIgILuI RevIew, December 16, 1q88.
Heudy, RIcIurd, G. uger, A. B. Muccube, und M. ServIIIu. The Architecture oj c Netuorl Letel
Intrusion Detection Sstem. TecInIcuI reporL CSqo - zo, DepurLmenL oI CompuLer ScIence,
UnIversILy oI New MexIco, AIbuquerque, NM, AugusL 1qqo.
_______, G. uger, A. B. Muccube, M. ServIIIu, und J. SLurLevunL. The Prototpe Implementction
oj c Netuorl Letel Intrusion Detection Sstem. TecInIcuI ReporL CSq 1 - 11, DepurLmenL oI
CompuLer ScIence, UnIversILy oI New MexIco, AIbuquerque, NM, AprII 1qq1.
HeberIeIn, Todd. Netuorl Securit Monitor (NSM) - Iincl Report. uwrence Ivermore NuLIonuI
uboruLory, DuvIs, CA, ebruury 1qq.
_______ und M. BIsIop. Attccl Clcss: Address Spoojin. NIneLeenLI NuLIonuI nIormuLIon
SysLems SecurILy ConIerence, BuILImore, MD, OcLober 1qq6.
_______, K. evILL, und B. MukIerjee. A Netuorl Securit Monitor. ProceedIngs oI LIe 1qqo
EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA, Muy 1qqo.
_______, K. evILL, und B. MukIerjee. A Method to Detect Intrusite Actitit in c Netuorled
Entironment. ProceedIngs oI LIe ourLeenLI NuLIonuI CompuLer SecurILy ConIerence,
WusIIngLon, DC, OcLober 1qq1.
186
_______, B. MukIerjee, und K. N. evILL. Internetuorl Securit Monitor. ProceedIngs oI LIe
IILeenLI NuLIonuI CompuLer SecurILy ConIerence, OcLober 1qqz.
_______, B. MukIerjee, K. N. evILL, und G. DIus (wILI D. Munsur). Toucrds Detectin
Intrusions in c Netuorled Entironment. ProceedIngs oI LIe ourLeenLI DepurLmenL oI
Energy CompuLer SecurILy Group ConIerence, Muy 1qq1.
HeImun, PuuI und G. IepIns. Stctisticcl Ioundctions oj Audit Trcil Anclsis jor the Detection oj
Computer Misuse. EEE TrunsucLIons on SoILwure EngIneerIng 1q, no. q(1qq): 886 - qo1.
_______ G. IepIns, und W. RIcIurds. Ioundctions oj Intrusion Detection. ProceedIngs oI LIe
IILI CompuLer SecurILy ounduLIons WorksIop, runconIu, NH, June 1qqz.
HougIund, J., S. SLunIIord. SIIIcon DeIense. SPICE , SPADE. |en Iineu|. AcLuuIIzudo con IrecuencIu
|consuILudo en murzo, zoo|. DIsponIbIe desde nLerneL en
<hffp://WWW.s111condefense.com/soffWae/sp1ce/>.
_______, C. Wee, und K. N. evILL. Audit Lo Anclsis Usin the Visucl Audit rouser Toollit.
UnIversILy oI CuIIIornIu, DuvIs, CompuLer ScIence DepurLmenL LecInIcuI reporL CSE-q - 11,
1qq.
HocIberg, JudILI, K. Juckson, C. SLuIIIngs, J. . McCIury, D. DuBoIs, und J. ord. NADIR: An
Automcted Sstem jor Detectin Netuorl Intrusion cnd Misuse. CompuLers und SecurILy 1z,
no. (Muy 1qq): z - zq8.
HoImeyr, SLeven A., S. orresL, und A. SomuyujI. Intrusion Detection Usin Sequences oj Sstem
Cclls. JournuI oI CompuLer SecurILy 6, no. (1qq6): 11 - 18o.
BM ReseurcI, ZurIcI ReseurcI uboruLory. Andreus WespI, Murc DucIer, und Herve Debur.
Intrusion Detection Usin Vcricble-Lenth Audit Trcil Pctterns. SprInger-VerIug BerIIn
HeIdeIberg, zooo.
Igun, KoruI. USTAT: A Recl-Time Intrusion Detection Sstem jor UNIX. MusLer LIesIs, UnIversILy
oI CuIIIornIu, SunLu Burburu, CA, November 1qqz.
_______. US TAT: A Recl-Time Intrusion Detection Sstem jor UNIX. ProceedIngs oI LIe EEE
SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA, Muy 1qq.
_______, R. A. Kemmerer, und P. A. Porrus. Stcte Trcnsition Anclsis: A Rule-csed Intrusion
Detection Approcch. EEE TrunsucLIons on SoILwure EngIneerIng z1, no. (MurcI 1qq): 181 -
1qq.
Juckson, KuLIIeen A., D. DuBoIs, und C. SLuIIIngs. An Expert Sstem Applicction Ior Netuorl
Intrusion Detection. ProceedIngs oI LIe ourLeenLI NuLIonuI CompuLer SecurILy ConIerence,
WusIIngLon, DC, OcLober 1qq1.
_______, M. C. Neumunn, D. SImmonds, C. SLuIIIngs, J. TIompson, und G. CIrIsLopI. An
Automcted Computer Misuse Detection Sstem jor UNICDS. ProceedIngs oI LIe Cruy Users
Group ConIerence, Tours, runce, OcLober 1qqq.
JujodIu, S., S. K. GudIu, G. BIurguvu, und E. H. SIbIey. Audit Trcil Drcnizction in Relctioncl
Dctcbcses. ProceedIngs oI LIe 1q8q P WorksIop on DuLubuse SecurILy, MonLerey, CA,
SepLember 1q8q.
JuvILz, HuroId S. und VuIdes, A. The SRI IDES Stctisticcl Anomcl Detector. ProceedIngs oI LIe
1qq1 EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA, Muy 1qq1.
18;
Josu KurI, GonzuIo Nuvurro, udovIc M, uurenL Heye. A Pcttern Mctchin csed Iilter jor
Audit Reduction cnd Icst Detection oj Potenticl Intrusions. SprInger-VerIug BerIIn
HeIdeIberg, zooo.
KuIn, CIIIIord, P. Porrus, S. SLunIIord-CIen, und B. Tung. A Common Intrusion Detection
Ircmeuorl. SubmILLed Lo LIe JournuI oI CompuLer SecurILy, JuIy 1qq8.
KeIsey, JoIn und B. ScIneIer. Minimizin cnduidth jor Remote Access to Crptorcphiccll
Protected Audit Los. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces
In nLrusIon DeLecLIon, W. uIuyeLLe, N, SepLember 1qqq.
KercIen, PuuI, R. o, J. CrossIey, G. EIkInburd, und R. OIsson. Stctic Anclsis Virus Detection
Tools jor UNIX Sstems. ProceedIngs oI LIe TIIrLeenLI NuLIonuI CompuLer SecurILy
ConIerence, WusIIngLon, DC, OcLober 1qqo.
KIm, Gene H. und E. H. SpuIIord. Writin, Supportin, cnd Etcluctin Tripuire: A Publicl
Atcilcble Securit Tool. ProceedIngs oI LIe USENX UNX AppIIcuLIons DeveIopmenL
SymposIum: 8q - 1o;, 1qqq.
KIm Gene H. und E. H. SpuIIord. Tripuire: A Ccse Stud in Interit Monitorin. nLerneL
BeseIged: CounLerIng Cyberspuce ScoIIIuws; edILed by DoroLIy und PeLer DennIng, AddIson-
WesIey, 1qq;.
KIng, MurIu M. Identijin cnd Controllin Undesircble Prorcm ehctiors. ProceedIngs oI LIe
ourLeenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1qq1.
Ko, CuIvIn C. W. Execution Monitorin oj Securit-Criticcl Prorcms in c Distributed Sstem: A
Specijicction-csed Approcch. PI.D. LIesIs, UnIversILy oI CuIIIornIu, DuvIs, CA, AugusL 1qq6.
_______, G. Ink, und K. evILL. Automcted Detection oj Vulnercbilities in Pritileed Prorcms
b Execution Monitorin. ProceedIngs oI LIe TenLI AnnuuI CompuLer SecurILy AppIIcuLIons
ConIerence, OrIundo, , December 1qqq.
_______, G. Ink, und K evILL. 'ExecuLIon MonILorIng oI SecurILy-CrILIcuI Progrums In
DIsLrIbuLed SysLems: A SpecIIIcuLIon-Bused ApproucI. Proceedins oj the EEE SymposIum
on SecurILy und PrIvucy, Muy 1qq;.
_______, D. rIncke, T. Goun, . T. HeberIeIn, K. evILL, B. MukIerjee, und C. Wee. Anclsis oj cn
Alorithm jor Distributed Reconition cnd Accountcbilit. ProceedIngs oI LIe IrsL ACM
ConIerence on CompuLer und CommunIcuLIon SecurILy. uIrIux, VA, November 1qq.
Kogun, BorIs und S. JujodIu. An Audit Model jor Dbject-Driented Dctcbcses. ProceedIngs oI LIe
SevenLI CompuLer SecurILy AppIIcuLIons ConIerence, Sun AnLonIo, TX, December 1qq1.
KuIn, JeIIrey D. Resecrch Toucrd Intrusion Detection Throuh the Automcted Abstrcction oj
Audit Dctc. ProceedIngs oI LIe NInLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon,
DC, SepLember 1q86.
Kumur, Sundeep. Clcssijicction cnd Detection oj Computer Intrusions. PI.D. LIesIs, Purdue
UnIversILy DepurLmenL oI CompuLer ScIences, W. uIuyeLLe, N, 1qq.
_______ und E. SpuIIord. A Pcttern Mctchin Model jor Misuse Intrusion Detection. ProceedIngs
oI LIe SevenLeenLI NuLIonuI CompuLer SecurILy ConIerence, BuILImore, MD, OcLober 1qqq.
_______ und E. SpuIIord. A Sojtucre Architecture to Support Misuse Intrusion Detection. CSD-
TR-q - ooq, DepurLmenL oI CompuLer ScIences, Purdue UnIversILy, W. uIuyeLLe, N, 1qq.
188
une, Terrun und CurIu E. BrodIey. An Applicction oj Mcchine Lecrnin to Anomcl Detection.
ProceedIngs oI LIe TwenLIeLI NuLIonuI nIormuLIon SysLem SecurILy ConIerence, BuILImore,
MD, OcLober 1qq;.
_______ und CurIu E. BrodIey. Detectin the Abnormcl: Mcchine Lecrnin in Computer
Securit. Purdue UnIversILy, Junuury 1qq;.
_______ und CurIu E. BrodIey. Sequence Mctchin cnd Lecrnin in Anomcl Detection jor
Computer Securit. Purdue UnIversILy, 1qq;.
unkewIcz, Indu und M. Benurd. A Nonpcrcmetric Pcttern Reconition Approcch to Intrusion
Detection. TecInIcuI reporL TUTR qo - 1o6, TuIune UnIversILy DepurLmenL oI CompuLer
ScIence, New OrIeuns, A, OcLober 1qqo.
_______ und M. Benurd. Recl-Time Anomcl Detection Usin c Nonpcrcmetric Pcttern
Reconition Approcch. ProceedIngs oI LIe SevenLI CompuLer SecurILy AppIIcuLIons
ConIerence, Sun AnLonIo, TX, December 1qq1.
eucI, JoIn und GIunnI Tedesco. Iirestorm. |en Iineu|. zooz |consuILudo en ubrII, zoo|.
DIsponIbIe en <hffp://WWW.scaamanga.co.uk/f1esfom/1ndex.hfm1>.
ee, Wenke und S. J. SLoIIo. Combinin Knoulede Discoter cnd Knoulede Enineerin to
uild IDSs. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In
_______, S. J. SLoIIo, und K. W. Mok. A Dctc Minin Ircmeuorl jor uildin Intrusion
Detection Models. ProceedIngs oI LIe TwenLIeLI EEE SymposIum on SecurILy und PrIvucy,
OukIund, CA, 1qqq.
_______, WeI un, MuLLew MIIIer, SuIvuLore J. SLoIIo, PIIIIp K. CIun. Usin Anomclies to Detect
Unlnoun cnd Knoun Netuorl Intrusions. CoIIege oI CompuLIng. GeorgIu TecI. BM T.J.
WuLson ReseurcI. CoIumbIu UnIversILy. CompuLer ScIence, IorIdu TecI. November zoo1.
_______, und SuIvuLore J. SLoIIo. Adcptctite Intrusion Detection: c Dctc Minin Approcch.
CompuLer ScIence DepurLmenL, CoIumbIu UnIversILy, zooo.
_______, RuIuI A. NImbuIkur, Kum K. Yee, SunII B. PuLII, PrugnesIkumur H. DesuI, TIuun T.
Trun, und SuIvuLore J. SLoIIo. A Dctc Minin cnd CIDI csed Approcch jor Detectin Notel
cnd Distributed Intrusions. CompuLer ScIence DepurLmenL, NorLI CuroIInu SLuLe UnIversILy.
CompuLer ScIence DepurLmenL, CoIumbIu UnIversILy, OcLober zooo.
_______, SuIvuLore J. SLoIIo, KuI W. Mok. Minin Audit Dctc to uild Intrusion Detection
Models. CompuLer ScIence DepurLmenL, CoIumbIu UnIversILy, AugusL 1qq8.
emmonIer, E. Protocol Anomcl Detection in Netuorl-bcsed IDSs. DeIcom, Sweden, SLockIoIm,
z8 de junIo de zoo1.
evILL, KurI, ed. Proceedins oj Worlshop on Iuture Directions in Computer Misuse cnd Anomcl
Detection. UnIversILy oI CuIIIornIu, DuvIs, CA, AprII 1qqz.
IcILmun, ZuvdI und JoIn KImmIns. An Audit Trcil Reduction Pcrcdim csed on Trusted
Processes. ProceedIngs oI LIe TIIrLeenLI NuLIonuI CompuLer SecurILy ConIerence,
WusIIngLon, DC, OcLober 1qqo.
IepIns, Gunur E. und H. S. Vuccuro. Anomcl Detection: Purpose cnd Ircmeuorl. ProceedIngs oI
LIe TweIILI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1q8q.
_______ und H. S. Vuccuro. Intrusion Detection: Its Role cnd Vclidction. CompuLers und
SecurILy, v 11, OxIord, UK: EIsevIer ScIence PubIIsIers, Ld, 1qqz: q; - .
18q
IndqvIsL, UII, E. Jonsson, und P. KuIjser. The Remed Dimension oj Vulnercbilit Anclsis.
ProceedIngs oI TwenLy-IrsL NuLIonuI nIormuLIon SysLem SecurILy ConIerence, CrysLuI CILy,
VA, OcLober 1qq8.
undIn, EmIIIe und E. Jonsson. Pritcc tersus Intrusion Detection Anclsis. ProceedIngs oI LIe
SepLember 1qqq.
unL, Teresu. Automcted Audit Trcil Anclsis cnd Intrusion Detection: A Surte. ProceedIngs oI
LIe EIevenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1q88.
_______. Recl-Time Intrusion Detection. ProceedIngs oI COMPCON SprIng '8q, Sun runcIsco,
CA, ebruury 1q8q.
_______ und R. JugunnuLIun. A Prototpe Recl-Time Intrusion Detection Expert Sstem.
ProceedIngs oI LIe 1q88 EEE SymposIum on SecurILy und PrIvucy, OuIdund, CA, AprII 1q88.
_______, R. JugunnuLIun, R. ee, S. IsLgurLen, D. . Edwurds, P. G. Neumunn, H. S. JuvILz, und
A. VuIdez. IDES: The Enhcnced Prototpe. CompuLer ScIence ub, SR nLernuLIonuI, MenIo
Purk, CA, OcLober 1q88.
_______, eL uI. Knoulede-csed Intrusion Detection. ProceedIngs oI LIe AT SysLems In
GovernmenL ConIerence, WusIIngLon, DC, MurcI 1q8q.
_______, eL uI. A Recl-Time Intrusion Detection Expert Sstem (IDES). CompuLer ScIence ub,
SR nLernuLIonuI, MenIo Purk, CA, Muy 1qqo.
_______, eL uI. IDES: A Proress Report. ProceedIngs oI LIe SIxLI AnnuuI CompuLer SecurILy
AppIIcuLIons ConIerence, Tucson, AZ, December 1qqo.
_______. A Surte oj Intrusion Detection Techniques. CompuLers und SecurILy 1z, q (June 1qq):
qo-q18.
McAuIIIIe, NoeIIe, D. WoIcoLL, . ScIueIer, N. KeIem, B. Hubburd, und T. HuIey. Is Your Computer
ein Misused? A Surte oj Current Intrusion Detection Technolo. ProceedIngs oI LIe
SIxLI AnnuuI CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ, December 1qqo.
McConneII, Jesse, D. A. rIncke, D. TobIn, J. MurconI, und D. PoIIu. A Ircmeuorl jor Cooperctite
Intrusion Detection. ProceedIngs oI TwenLy-IrsL NuLIonuI nIormuLIon SysLem SecurILy
ConIerence, CrysLuI CILy, VA, OcLober 1qq8.
McKosky, RoberL. An Aposteriori Computer Securit Sstem to Identij Computer Viruses. PID
TIesIs, UnIversILy oI AIubumu In HunLsvIIIe, HunLsvIIIe, A, 1q8q.
MuIoney, MuLLIew, P. K. CIun. Lecrnin Models oj Netuorl Trcjjic jor Detectin Notel Attccls.
IorIdu TecI. LecInIcuI reporL zooz-o8. DIsponIbIe en <hffp://cs.f1f.edu/~fJ>
_______, P. K. CIun, Lecrnin Nonstctioncr Models oj Normcl Netuorl Trcjjic jor Detectin
Notel Attccls, EdmonLon, AIberLu: Proc. SGKDD, zooz, ;6-8.
_______, P. K. CIun, PHAD: Pcclet Hecder Anomcl Detection jor Identijin Hostile Netuorl
Trcjjic, IorIdu TecI. LecInIcuI reporL zoo1-oq. DIsponIbIe en <hffp://cs.f1f.edu/~f/>.
_______, V. Netuorl Trcjjic Anomcl Detection csed on Pcclet tes. IorIdu nsLILuLe oI
TecInoIogy, MeIbourne, IorIdu, zoo.
MundunurIs, SLeIunos, M. CIrIsLensen, D. ZerkIe, und K. HermIs. A Dctc Minin Anclsis oj RTID
Alcrms. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon
1qo
MunsIIeId, GIenn, K. OILu, Y. TukeI, N. KuLo, und Y. NemoLo. Toucrds Trcppin Wil Intruders in
the Lcre. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In
M, udovIc. Securit Audit Trcil Anclsis Usin Genetic Alorithms. ProceedIngs oI LIe TweIILI
nLernuLIonuI ConIerence on CompuLer SuIeLy, ReIIubIIILy, und SecurILy, Poznun, PoIund,
OcLober 1qq.
_______. GASSATA, c Genetic Alorithm cs cn Alternctite Tool jor Securit Audit Trcils
Anclsis. IrsL nLernuLIonuI WorksIop on LIe RecenL Advunces In nLrusIon DeLecLIon,
ouvuIn-Iu-Neuve, BeIgIum, SepLember 1qq8.
MeII, PeLer und M. Mcurnon. Mobile Aent Attccl Resistcnt Distributed Hiercrchiccl Intrusion
Detection Sstems. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In
MoILru, Abbu. Recl-Time Audit Lo Vieuer cnd Anclzer. ProceedIngs oI LIe ourLI WorksIop on
CompuLer SecurILy ncIdenL HundIIng, Denver, CO, AugusL 1qqz.
MounjI, A. Lcnuces cnd Tools jor Rule-csed Distributed Intrusion Detection. TIesIs, ucuILe's
UnIversILuIres NoLre-Dume de u PuIx, Numur, BeIgIum, SepLember 1qq;.
MukIerjee, BIswunuLI, . T. HeberIeIn, und K. N. evILL. Netuorl Intrusion Detection. EEE
NeLwork 8, no. (Muy - June 1qqq): z6 - q1.
MuLuI, Purs. Dejendin Acinst c Denicl-oj-Sertice Attccl on TCP. ProceedIngs oI LIe Second
nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon DeLecLIon, W. uIuyeLLe, N,
SepLember 1qqq.
NuLIonuI CompuLer SecurILy CenLer. Depcrtment oj Dejense Trusted Computer Sstem Etcluction
_______. DoD Trusted Computer Sstem Etcluction Criteric. DoD zoo.z8 - STD, December
1q8.
_______. Glossc oj Computer Securit Terms. VersIn 1, RuInbow SerIes, ocLubre 1q88.
_______. A Guide to Understcndin Audit in Trusted Sstems. NCSC-TG-OO1, v z, June 1q88.
Neumunn, PeLer G. und D. B. Purker. A Summcr oj Computer Misuse Techniques. ProceedIngs oI
LIe TweIILI NuLIonuI CompuLer SecurILy ConIerence, OcLober 1q8q.
_______ und P. A. Porrus. Experience uith EMERALD to Dcte. IrsL USENX WorksIop on
nLrusIon DeLecLIon und NeLwork MonILorIng, SunLu CIuru, CA, AprII 1qqq.
NR. Netuorl Iliht Recorder. |en Iineu|. ecIu no dIsponIbIe |consuILudo en murzo, zoo|.
DIsponIbIe desde nLerneL <hffp://WWW.nf.nef>.
O'BrIen, DuvId. Reconizin cnd Recoterin jrom Rootlit Attccls. Sys AdmIn , no. 11, November
1qq6.
Ong, T. H., C. P. Tun, Y. T. Tun, C. K. CIew, und C. TIng. SNMS - Shcdou Netuorl Mcncement
Sstem. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon
Puxson, Vern. ro: A Sstem jor Detectin Netuorl Intruders in Recl Time. SevenLI USENX
SecurILy SymposIum, Sun AnLonIo, TX, Junuury 1qq8.
1q1
_______ und M. HundIey. Dejendin Acinst Netuorl IDS Etcsion. ProceedIngs oI LIe Second
nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon DeLecLIon, W. uIuyeLLe, N,
SepLember 1qqq.
_______, ro: A Sstem jor Detectin Netuorl Intruders in Recl-Time. uwrence BerkeIey
NuLIonuI uboruLory, BerkeIey, CA und AT&T CenLer Ior nLerneL ReseurcI uL CS, BerkeIey,
CA. |en Iineu|. 1q de dIcIembre de 1qqq |consuILudo en murzo de zoo|. DIsponIbIe desde
nLerneL en <hffp://WWW.1c1.og/ven/bo-1nfo.hfmI>
PIccIoLo, JeIIrey. The Desin oj cn Ejjectite Auditin Subsstem. ProceedIngs oI LIe 1q8; EEE
SymposIum on SecurILy und PrIvucy, OukIund, CA, AprII 1q8;.
PInucIo, P., ConLrerus, R. Unc propuestc de Sistemcs pcrc Trctcmiento de Intrusos Inspircdo en
lc ioloc. UnIversIdud de SunLIugo de CIIIe. ucuILud de ngenIeriu. UnIversIdud de
ConcepcIn, ucuILud de ngenIeriu.
Porrus, PIIIIIp. STAT, c Stcte Trcnsition Anclsis Tool jor Intrusion Detection. MusLer LIesIs,
CompuLer ScIence DepurLmenL, UnIversILy oI CuIIIornIu, SunLu Burburu, CA, JuIy 1qqz.
_______ und R. A. Kemmerer. Penetrction Stcte Trcnsition Anclsis: A Rule-csed Intrusion
Detection Approcch. ProceedIngs oI LIe EIgILI AnnuuI CompuLer SecurILy AppIIcuLIons
ConIerence, Sun AnLonIo, TX, November 1qqz.
_______ und PeLer Neumunn. EMERALD: Etent Monitorin Encblin Responses to Anomclous
Lite Disturbcnces. ProceedIngs oI TwenLIeLI NuLIonuI nIormuLIon SysLem SecurILy
ConIerence, BuILImore, MD, OcLober 1qq;.
PrIce, KuLIerIne E. Host-csed Misuse Detection cnd Contentioncl Dperctin Sstems' Audit
Dctc Collection. MusLer LIesIs, Purdue UnIversILy, W. uIuyeLLe, N, December 1qq;.
PLucek, TIomus H. und T. NewsIum. Insertions, Etcsion, cnd Denicl oj Sertice: Eludin Netuorl
Intrusion Detection. |en Iineu|. Enero 1qq8 |consuILudo en junIo, zoo| DIsponIbIe desde
<hffp://WWW.secu1fyfocus.com/dafa/11bay/1ds.ps>.
PukeLzu, NIck, M. CIung, R. A. OIsson, und B. MukIerjee. A Sojtucre Plctjorm jor Testin
Intrusion Detection Sstems. EEE SoILwure 1q, no. (1qq;): q - 1.
_______, B. MukIerjee, R. A. OIsson, und K. ZIung. Testin Intrusion Detection Sstems: Desin
Methodoloies cnd Results jrom cn Ecrl Prototpe. ProceedIngs oI LIe SevenLeenLI
NuLIonuI CompuLer SecurILy ConIerence, BuILImore, MD, OcLober 1qqq.
_______, K. ZIung, M. CIung, B. MukIerjee, und R. A. OIsson. A Methodolo jor Testin
Intrusion Detection Sstems. EEE TrunsucLIons on SoILwure EngIneerIng zz, no. 1o: ;1q -
;zq, OcLober 1qq6.
Ruo, K. N. Securit Audit jor Embedded Ationics Sstems. ProceedIngs oI LIe IILI AnnuuI
CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ, December 1q8q.
RoescI, MurLy eL uI. Snort.or. |en Iineu|. AcLuuIIzudo semunuImenLe |consuILudo en murzo de
zoo|. DIsponIbIe en <hffp://WWW.snof.og>.
SuILzer, Jerome H. und MIcIueI D. ScIroeder. The Protection oj Injormction in Computer Sstems.
ProceedIngs oI LIe EEE, 6, no. q: 1z;8 - 1o8, SepLember 1q;.
ScIueIer, MurvIn, B. Hubburd, D. SLerne, T. K. HuIey, J. N. McAuIIIIe, und D. WooIcoLL. Auditin: A
Reletcnt Contribution To Trusted Dctcbcse Mcncement Sstems. ProceedIngs oI LIe IILI
AnnuuI CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ, December 1q8q.
1qz
ScIuen, SumueI . und B. McKenney. Netuorl Auditin: Issues cnd Recommendctions.
ProceedIngs oI LIe SevenLI CompuLer SecurILy AppIIcuLIons ConIerence, Sun AnLonIo, TX,
December 1qq1.
ScIneIer, Bruce und J. KeIsey. Crptorcphic Support jor Secure Los on Untrusted Mcchines.
ProceedIngs oI SevenLI USENX SecurILy SymposIum Sun AnLonIo, TX: - 6z, Junuury 1qq8.
_______ und J. KeIsey. Secure Audit Los to Support Computer Iorensics. ACM TrunsucLIons on
nIormuLIon und SysLem SecurILy 1, no. (1qqq), Lo uppeur.
SebrIng, MIcIueI M., E. SIeIIIouse, M. E. Hunnu, und R. A. WIILeIursL. Expert Sstems in
Intrusion Detection: A Ccse Stud. ProceedIngs oI LIe EIevenLI NuLIonuI CompuLer SecurILy
ConIerence, WusIIngLon, DC, OcLober 1q88.
SeIden, KenneLI . und J. P. MeIunson. The Auditin Iccilit jor c VMM Securit Kernel.
ProceedIngs oI LIe 1qqo EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA,
Muy 1qqo.
Sekur, R., M. Bendre, D. DIurjuLI, P. BoIIInenI, A Icst Automcton-bcsed Method jor Detectin
Anomclous Prorcm ehctiors. ProceedIngs oI LIe zoo1 EEE SymposIum on SecurILy und
PrIvucy.
SeIeznyov, AIexundr und S. Puuronen. Anomcl Intrusion Detection Sstems: Hcndlin Temporcl
Relctions etueen Etents. ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL
Advunces In nLrusIon DeLecLIon, W. uIuyeLLe, N, SepLember 1qqq.
SIIeI, S. W. und V. D. GIIgor. Auditin the Use oj Cotert Storce Chcnnels in Secure Sstems.
ProceedIngs oI LIe 1qqo EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA,
Muy 1qqo.
_______ und V. D. GIIgor. A Pcttern-Driented Intrusion Detection Model cnd Its Applicctions.
ProceedIngs oI LIe 1qq1 EEE SymposIum on ReseurcI In SecurILy und PrIvucy, OukIund, CA,
Muy 1qq1.
SIosLuck, Adum und ScoLL BIuke. Toucrds c Tcxonom oj Netuorl Securit Assessment
Techniques. ProceedIngs oI 1qqq BIuck HuL BrIeIIngs, us Vegus, NV, JuIy 1qqq.
SIberL, W. OIIn. Auditin in c Distributed Sstem: SunDS MLS Audit Trcils. ProceedIngs oI LIe
EIevenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1q88.
_______. Mclicious Dctc cnd Computer Securit. ProceedIngs oI NIneLeenLI NuLIonuI
nIormuLIon SysLem SecurILy ConIerence, BuILImore, MD, OcLober 1qq6.
SImonIun, RIcIurd, eL uI. A Neurcl Netuorl Approcch Toucrds Intrusion Detection. ProceedIngs
oI LIe TIIrLeenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC, OcLober 1qqo.
SmuIu SLeve E. An Intrusion Detection Sstem jor the Air Iorce. ProceedIngs oI LIe ourLI
Aurospuce CompuLer SecurILy AppIIcuLIons ConIerence, OrIundo, , December 1q88.
_______. Hcstccl: An Intrusion Detection Sstem. ProceedIngs oI LIe EEE ourLI Aerospuce
CompuLer SecurILy AppIIcuLIons ConIerence, OrIundo, , December 1q88.
_______ und S. Snupp. Method cnd Sstem jor Detectin Intrusion into cnd Misuse oj c Dctc
Processin Sstem. US;qz, U.S. PuLenL OIIIce, SepLember 1;, 1qq6.
_______ und J. WInsIow. Misuse Detection Tools. CompuLer SecurILy JournuI 1o, no. 1, SprIng
1qqq.
1q
SmILI, C. red. Some Unintended Lecl Consequences oj Intentioncl Technoloiccl Discsters.
Second PucIIIc nsLILuLe oI CompuLer SecurILy WorksIop, Sun DIego, CA, ebruury 1qqq.
_______ und ErIn KenneuIIy. The Ties Thct ind cnd Set Them Plecin - Testimon jrom the
Entisioned Tricl oj Ketin Mitnicl. Second PucIIIc nsLILuLe oI CompuLer SecurILy WorksIop,
Sun DIego, CA, ebruury 1qqq.
Snupp, SLeven R., J. BrenLuno, G. DIus, T. Goun, T. Grunce, T. HeberIeIn, C. Ho, K. evILL, B.
MukIeIjee, D. Munsur, K. Pon, und S. SmuIu. A Sstem jor Distributed Intrusion Detection.
ProceedIngs oI COMPCON SprIng 'q1, Sun runcIsco, CA, ebruury 1qq1.
_______, J. BrenLuno, G. DIus, T. Goun, T. HeberIeIn, C. Ho, K. evILL, B. MukIerjee, S. SmuIu, T.
Grunce, D. TeuI, und D. Munsur. DIDS (Distributed Intrusion Detection Sstem) Motitction,
Architecture, cnd cn Ecrl Prototpe. ProceedIngs oI LIe ourLeenLI NuLIonuI CompuLer
SecurILy ConIerence, WusIIngLon, DC, OcLober 1qq1.
_______, B. MukIerjee, und K. N. evILL. Detectin Intrusions Throuh Attccl Sincture
Anclsis. ProceedIngs oI LIe TIIrd WorksIop on CompuLer SecurILy ncIdenL HundIIng.
Herndon, VA, AugusL 1qq1.
SobIrey, M., B. RIcILer, und H. KonIg. The Intrusion Detection Sstem AID: Architecture, cnd
Experiences in Automcted Audit Anclsis. ProceedIngs oI LIe PTC6JTC1 1 nLernuLIonuI
ConIerence on CommunIcuLIons und MuILImedIu SecurILy, Essen, Germuny, SepLember 1qq6.
Sommer, PeLer. Intrusion Detection Sstems cs Etidence. IrsL nLernuLIonuI WorksIop on LIe
RecenL Advunces In nLrusIon DeLecLIon, ouvuIn-Iu-Neuve, BeIgIum, SepLember 1qq8.
SpuIIord, Eugene H. TIe nLerneL Worm: CrIsIs und AILermuLI; CommunIcuLIons oI LIe ACM;
z(6): 6;8 - 68;, June 1q8q.
SR nLernuLIonuI. Sstem Desin Lcborctor Lcborctor - Intrusion Detection. |en Iineu|. ecIu
no dIsponIbIe |consuILudo en enero, zoo|. NexL-GeneruLIon DES (NDES). DIsponIbIe desde
nLerneL <hffp://WWW.sd1.s1.com/pogams/1nfus1on/h1sfoy.hfm1>.
SLunIIord-CIen, SLuurL, S. CIeung, R. CruwIord, M. DIIger, J. runk, J. HougIund, K. evILL, C. Wee,
R. YIp, und D. ZerkIe. GrIDS - A Grcph-csed Intrusion Detection Sstem jor Lcre
Netuorls. NIneLeenLI NuLIonuI nIormuLIon SysLems SecurILy ConIerence, BuILImore, MD,
OcLober 1qq6.
_______, und . Todd HeberIeIn. Holdin Intruders Accountcble on the Internet. ProceedIngs oI
LIe 1qq EEE SymposIum on SecurILy und PrIvucy, OukIund, CA, Muy 1qq.
Sundurum, AurobIndo. An Introduction to Intrusion Detection. Crossrouds: TIe ACM SLudenL
MuguzIne z, no.q (AprII 1qq6) uvuIIubIe uL www.ucm.orgJcrossroudsJxrdsz - qJ InLrus. ILmI.
SyLek, nc. Anclsis oj Computer Sstem Audit Trcils. SyLek LecInIcuI reporLs 8ooq,
8o18,86oo, 86oo;, MounLuIn VIew, CA, 1q8 - 1q86.
Tener, WIIIIum T. Discoter: An Expert Sstem in the Commercicl Dctc Securit Entironment.
ProceedIngs oI LIe P SecurILy ConIerence, MonLe CurIo, 1q86.
_______. Al cnd (GL: Automcted Detection cnd Intestiction cnd Detection Tools. ProceedIngs
oI LIe P SecurILy ConIerence, Sydney, AusLruIIu, 1q88.
Teng, H. S., K. CIen, und S. C. Y. u. Adcptite Recl-Time Anomcl Detection Usin Inductitel
Genercted Sequenticl Pctterns. ProceedIngs oI LIe 1qqo EEE SymposIum on ReseurcI In
SecurILy und PrIvucy, OukIund, CA, Muy 1qqo.
1qq
_______, KuIIu CIen und SLepIen C. u. Securit Audit Trcil Anclsis Usin Inductitel
Genercted Predictite Rules. ProceedIngs oI LIe 11LI NuLIonuI ConIerence on ArLIIIcIuI
nLeIIIgence AppIIcuLIons, puges zq-zq, EEE, EEE ServIce CenLer, PIscuLuwuy, NJ, MurcI
1qqo.
TIng, CIrIsLopIer, T. H. Ong, Y. T. Tun, und P. Y. Ng. Intrusion Detection, Internet Lcu
Enjorcement, cnd Insurcnce Coterce to Accelercte the Prolijerction oj Internet usiness.
ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon
TRW DeIense SysLems Group. Intrusion Detection Expert Sstem Iecsibilit Stud. InuI reporL
q6;61, 1q86.
TsudIk, G. und R. Summers. AudES - An Expert Sstem jor Securit Auditin. ProceedIngs oI LIe
AAA ConIerence on nnovuLIve AppIIcuLIons In AI, Sun Jose, CA, Muy 1qqo, reprInLed In
CompuLer SecurILy JournuI 6, no. 1 (1qqo): 8q - q.
UnILed NuLIons CommILLee on CrIme PrevenLIon und ConLroI. Internctioncl Retieu oj Crimincl
Polic - United Nctions Mcnucl on the Pretention cnd Control oj ComputerRelcted Crime.
RevIsIons q und qq, New York, NY, 1qqq.
Vuccuro, Henry S. und G. E. IepIns. Detection oj Anomclous Computer Session Actitit.
ProceedIngs oI LIe 1q8q EEE SymposIum on SecurILy und PrIvucy, OukIund, CA, Muy 1q8q.
VuIcurce, E. M., G. W. HogIund, . Junsen, und . BuIIIIe. ESSENSE: An Experiment in Knoulede-
csed Securit Monitorin cnd Control. ProceedIngs oI LIe TIIrd USENX UnIx SecurILy
SymposIum, BuILImore, MD, SepLember 1qqz.
VerL, Greg, D. A. rIncke, und J. McConneII. A Visucl Mcthemcticcl Model jor Intrusion Detection.
ProceedIngs oI TwenLy-IrsL NuLIonuI nIormuLIon SysLem SecurILy ConIerence, CrysLuI CILy,
VA, OcLober 1qq8.
Wurrender, C., S. orresL, und B. PeurImuLLer. Detectin Intrusions Usin Sstem Cclls:
Alternctite Dctc Models. ProceedIngs oI TwenLy-IILI EEE SymposIum on SecurILy und
PrIvucy, OukIund, CA, Muy 1qqq.
Wussermun, JosepI J. The Vcnishin Trcil. BeII TeIepIone MuguzIne q;, no. q, JuIy - AugusL 1q68:
1z - 1.
Wee, CIrIsLopIer. LAIS: A Loin cnd Auditin Iile Sstem. ProceedIngs oI LIe EIevenLI
CompuLer SecurILy AppIIcuLIons ConIerence, New OrIeuns, A, December 1qq.
_______. Polic-Directed Auditin cnd Loin. PI.D. LIesIs, UnIversILy oI CuIIIornIu, DuvIs, CA,
AprII 1qq6.
WeIss, WInIrIed R. E. und A. Buur. Anclsis oj Audit cnd Protocol Dctc Usin Methods jrom
Artijicicl Intellience. ProceedIngs oI LIe TIIrLeenLI NuLIonuI CompuLer SecurILy ConIerence,
WusIIngLon, DC, OcLober 1qqo.
WeLmore, Brud. Audit rousin. MusLer LIesIs, UnIversILy oI CuIIIornIu, DuvIs, CA, 1qq.
WIILe, Greg, E. A. IscI, und U. W. PoocI. Cooperctin Securit Mcncers: A Peer-csed
Intrusion Detection Sstem. EEE NeLwork 1o, no. 1: zo - z, Junuury - ebruury 1qq6.
_______, und Udo PoocI. Cooperctin Securit Mcncers: Distributed Intrusion Detection
Sstems. OxIord, UK: EIsevIer ScIence PubIIsIers, Ld, CompuLers und SecurILy, v 1, no. :
qq1 - qo, SepLemberJOcLober 1qq6.
1q
WInkIer, J. B.. A UNIX Prototpe jor Intrusion cnd Anomcl Detection in Secure Netuorls.
ProceedIngs oI LIe TIIrLeenLI NuLIonuI CompuLer SecurILy ConIerence, WusIIngLon, DC,
OcLober 1qqo.
_______ und W. J. Puge. Intrusion cnd Anomcl Detection in Trusted Sstems. ProceedIngs oI
LIe IILI AnnuuI CompuLer SecurILy AppIIcuLIons ConIerence, Tucson, AZ, December 1q8q.
Wood, Murk. Intrusion Detection Exchcne Iormct Requirements. nLerneL druIL, nLerneL
EngIneerIng Tusk orce, June 1qqq.
Yuo-Tsung In, SIIun-SIyong Tseng And SIun-CIIeI In. An Intrusion Detection Model csed
Upon Intrusion Detection Mcrlup Lcnuce (IDML). DepurLmenL oI CompuLer und
nIormuLIon ScIence, NuLIonuI CIIuo Tung UnIversILy, TuIwun, ugosLo de zoo1.
YIp, Ruymond und K. evILL. Dctc Letel Injerence Detection in Dctcbcse Sstems. ProceedIngs oI
LIe EIevenLI EEE CompuLer SecurILy ounduLIons WorksIop, RockporL, MA, June 1qq8.
_______ und K. evILL. The Desin cnd Implementction oj c Dctc Letel Dctcbcse Injerence
Detection Sstem. ProceedIngs oI LIe TweIILI AnnuuI P WG 11. WorkIng ConIerence on
DuLubuse SecurILy, CIuIkIdIkI, Greece, JuIy 1qq8.
YuIII, JIm, S. . Wu, . Gong, und M-Y. Huung. Intrusion Detection jor cn Dnoin Attccl.
ProceedIngs oI LIe Second nLernuLIonuI WorksIop on RecenL Advunces In nLrusIon
ZumbonI, DIego M. SMNT: A Securit Anclsis Interction Tool. SysLems AdmInIsLruLIon,
NeLworkIng und SecurILy (SANS) ConIerence, WusIIngLon, DC, Muy 1qq6.
_______ und E. H. SpuIIord. Neu Directions jor the AAIID Architecture. ProceedIngs oI LIe
SepLember 1qqq.
ZerkIe, Dun und K. evILL. NetKucn - A Multi-Host Conjiurction Vulnercbilit Checler.
ProceedIngs oI LIe SIxLI USENX SecurILy SymposIum, Sun Jose, CA, JuIy 1qq6.

1q;
ApndIce D - NormuLIvu IeguI
Murco generuI
Nombrur Lodu Iu normuLIvu IeguI que puede Iucer reIerencIu u Lemus de segurIdud
InIormuLIcu en Espuu puede resuILur unu Lureu IuborIosu. A conLInuucIn se mencIonun Ius normus
mus ImporLunLes.
ey OrgunIcu 1J1qqq, de 1 de dIcIembre, de ProLeccIn de DuLos de CurucLer PersonuI (B.O.E.
nm. zq8, 1qJ1zJ1qqq).
ey qJzooz, de 11 de juIIo, de ServIcIos de Iu SocIedud de Iu nIormucIn y ComercIo
EIecLrnIco (SSCE).
ey ;J1qq8, de 1 de ubrII, sobre CondIcIones GeneruIes de Iu ConLruLucIn (B.O.E. nm. 8q,
1qJqJ1qq8).
ReuI DecreLo 1J1qq6, de 1z de ubrII (BOE zz-q-1qq6), por eI que se upruebu eI LexLo reIundIdo
de Iu ey de PropIedud nLeIecLuuI.
ReuI DecreLo 1qJ1qqq, de 1; de sepLIembre, sobre Irmu EIecLrnIcu.
ReuI DecreLo 1qo6J1qqq, de 1; de dIcIembre, por eI que se reguIu Iu conLruLucIn LeIeInIcu o
eIecLrnIcu con condIcIones generuIes, en desurroIIo deI urLicuIo . de Iu ey ;J1qq8, de 1 de
ubrII, de CondIcIones GeneruIes de Iu ConLruLucIn.
ReuI DecreLo 11J1qq;, de 11 de juIIo, por eI que se reguIu Iu uuLorIzucIn de Ius venLus u
dIsLuncIu e InscrIpcIn en eI RegIsLro de empresus de venLus u dIsLuncIu.
DIrecLIvu q8Jz;JCE deI PurIumenLo Europeo y deI Consejo, de 1q de muyo de 1qq8, reIuLIvu u
Ius uccIones de cesucIn en muLerIu de proLeccIn de Ios InLereses de Ios consumIdores (D.O.
166, 11J6J1qq8).
DIrecLIvu q;J;JCE deI PurIumenLo Europeo y deI Consejo, de zo de muyo, reIuLIvu u Iu
proLeccIn de Ios consumIdores en muLerIu de conLruLos u dIsLuncIu (D.O. 1qq, qJ6J1qq;).
DIrecLIvu zoozJ6JCE deI PurIumenLo Europeo y deI Consejo, de z de sepLIembre, reIuLIvu u Iu
comercIuIIzucIn u dIsLuncIu de servIcIos IInuncIeros desLInudos u Ios consumIdores, y por Iu
que se modIIIcun Iu DIrecLIvu qoJ61qJCEE deI Consejo y Ius DIrecLIvus q;J;JCE y q8Jz;JCE.
DIrecLIvu qJq6JCE deI PurIumenLo Europeo y deI Consejo, de zq de ocLubre, reIuLIvu u Iu
proLeccIn de Ius personus IisIcus en Io que respecLu uI LruLumIenLo de duLos personuIes y u Iu
IIbre cIrcuIucIn de esLos duLos (DO z81, zJ11J1qq).
DIrecLIvu zoozJ8JCE deI PurIumenLo Europeo y deI Consejo, de 1z de juIIo, reIuLIvu uI
LruLumIenLo de Ios duLos personuIes y u Iu proLeccIn de Iu InLImIdud en eI secLor de Ius
comunIcucIones eIecLrnIcus (DIrecLIvu sobre Iu prIvucIdud y Ius comunIcucIones eIecLrnIcus)
(DO zo1, 1J;Jzooz).
DIrecLIvu qJ1JCEE deI Consejo, de de ubrII, sobre Ius cIuusuIus ubusIvus en Ios conLruLos
ceIebrudos con consumIdores (D.O. q, z1JqJ1qq).
ApndIce D - NormuLIvu IeguI. Intrusiones, ctcques
1q8
nLrusIones, uLuques
Como se puede observur mus ubujo, uIgunos de Ios deIILos InIormuLIcos LIpIIIcudos en eI CdIgo
PenuI son upIIcubIes en cuso de InLrusIn o uLuque. Por oLru purLe, de Iormu udIcIonuI, LumbIn
convIene IndIcur uIgunus de Ius normus u que ucudIr en cuso de unuIIsIs Iorense deI sIsLemu
compromeLIdo.
ey OrgunIcu 1oJ1qq, de z de NovIembre, deI CdIgo PenuI.
o DeIILos conLru Iu conIIdencIuIIdud, Iu InLegrIdud y Iu dIsponIbIIIdud de Ios duLos y
sIsLemus InIormuLIcos.
ArLicuIos 1q;, z6q.z, z;8.1, z;8.
o DeIILos InIormuLIcos.
ArLicuIo zq8.z, z6
o DeIILos reIucIonudos con eI conLenIdo.
ArLicuIo 186, 18q
o DeIILos reIucIonudos con InIruccIones de Iu propIedud InLeIecLuuI y derecIos uIInes.
ArLicuIo z;o, z;
ey 1Jzooo, de ; de enero, de EnjuIcIumIenLo CIvII.
o ArLicuIos u z, "DeI dIcLumen de perILos".
ey de 1q de sepLIembre de 188z, de EnjuIcIumIenLo CrImInuI.
o ArLicuIos q6 u q8, "DeI InIorme perIcIuI".

ApndIce D - NormuLIvu IeguI. Le Drcnicc :o,:pp, de z de notiembre, del Cdio Pencl
1qq
ey OrgunIcu 1oJ1qq, de z de novIembre, deI
CdIgo PenuI
(B.O.E. zq-11-1qq).
El texto que siue es un extrccto del escrito ojicicl, c pescr de sertir de rejerencic, c
ejectos lecles no tiene tclor cluno.
BRO
DeIILos y sus penus
TTUO V
DeIILos conLru Iu IIberLud e IndemnIdud sexuuIes
CAPTUO V
De Ios deIILos de exIIbIcIonIsmo y provocucIn sexuuI
Articolo 1S6.
EI que, por cuuIquIer medIo dIrecLo, vendIere, dIIundIere o exIIbIere muLerIuI pornogruIIco enLre
menores de edud o Incupuces, seru cusLIgudo con Iu penu de prIsIn de seIs meses u un uo, o muILu
de seIs u doce meses.

CAPTUO V
De Ios deIILos reIuLIvos u Iu prosLILucIn y Iu corrupcIn de menores
Articolo 1Sq.
1. Seru cusLIgudo con Iu penu de prIsIn de uno u Lres uos:
u) EI que uLIIIzure u menores de edud o u Incupuces con IInes o en especLucuIos exIIbIcIonIsLus o
pornogruIIcos, LunLo pbIIcos como prIvudos, o puru eIuborur cuuIquIer cIuse de muLerIuI
pornogruIIco, o IInuncIure cuuIquIeru de esLus ucLIvIdudes.
b) EI que produjere, vendIere, dIsLrIbuyere, exIIbIere o IucIIILure Iu produccIn, venLu, dIIusIn o
exIIbIcIn por cuuIquIer medIo de muLerIuI pornogruIIco en cuyu eIuborucIn Iuyun sIdo uLIIIzudos
menores de edud o Incupuces, uunque eI muLerIuI LuvIere su orIgen en eI exLrunjero o Iuere
desconocIdo.
A quIen poseyeru dIcIo muLerIuI puru Iu reuIIzucIn de cuuIquIeru de esLus conducLus se Ie Impondru
Iu penu en su mILud InIerIor.
z. Se Impondru Iu penu superIor en grudo cuundo eI cuIpubIe perLenecIere u unu orgunIzucIn o
usocIucIn, IncIuso de curucLer LrunsILorIo, que se dedIcure u Iu reuIIzucIn de LuIes ucLIvIdudes.
. EI que Iugu purLIcIpur u un menor o Incupuz en un comporLumIenLo de nuLuruIezu sexuuI que
perjudIque Iu evoIucIn o desurroIIo de Iu personuIIdud de sLe, seru cusLIgudo con Iu penu de
prIsIn de seIs meses u un uo o muILu de seIs u doce meses.
q. EI que LuvIere bujo su poLesLud, LuLeIu, guurdu o ucogImIenLo, u un menor de edud o Incupuz, y
que, con conocImIenLo de su esLudo de prosLILucIn o corrupcIn, no Iugu Io posIbIe puru ImpedIr
zoo
su conLInuucIn en LuI esLudo, o no ucudu u Iu uuLorIdud compeLenLe puru eI mIsmo IIn sI curece de
medIos puru Iu cusLodIu deI menor o Incupuz, seru cusLIgudo con Iu penu de muILu de seIs u doce
meses.
. EI MInIsLerIo IscuI promoveru Ius uccIones perLInenLes con objeLo de prIvur de Iu puLrIu
poLesLud, LuLeIu, guurdu o ucogImIenLo IumIIIur, en su cuso, u Iu personu que Incurru en uIgunu de
Ius conducLus descrILus en eI upurLudo unLerIor.

TTUO X
DeIILos conLru Iu InLImIdud, eI derecIo u Iu propIu Imugen y Iu InvIoIubIIIdud deI domIcIIIo
CAPTUO
DeI descubrImIenLo y reveIucIn de secreLos
Articolo 1q,.
1. EI que, puru descubrIr Ios secreLos o vuInerur Iu InLImIdud de oLro, sIn su consenLImIenLo, se
upodere de sus pupeIes, curLus, mensujes de correo eIecLrnIco o cuuIesquIeru oLros documenLos o
eIecLos personuIes o InLercepLe sus LeIecomunIcucIones o uLIIIce urLIIIcIos LcnIcos de escucIu,
LrunsmIsIn, grubucIn o reproduccIn deI sonIdo o de Iu Imugen, o de cuuIquIer oLru seuI de
comunIcucIn, seru cusLIgudo con Ius penus de prIsIn de uno u cuuLro uos y muILu de doce u
veInLIcuuLro meses. z. us mIsmus penus se Impondrun uI que, sIn esLur uuLorIzudo, se upodere,
uLIIIce o modIIIque, en perjuIcIo de Lercero, duLos reservudos de curucLer personuI o IumIIIur de oLro
que se IuIIen regIsLrudos en IIcIeros o soporLes InIormuLIcos, eIecLrnIcos o LeIemuLIcos, o en
cuuIquIer oLro LIpo de urcIIvo o regIsLro pbIIco o prIvudo. guuIes penus se Impondrun u quIen, sIn
esLur uuLorIzudo, uccedu por cuuIquIer medIo u Ios mIsmos y u quIen Ios uILere o uLIIIce en perjuIcIo
deI LILuIur de Ios duLos o de un Lercero.
. Se Impondru Iu penu de prIsIn de dos u cInco uos sI se dIIunden, reveIun o ceden u Lerceros Ios
duLos o IecIos descubIerLos o Ius Imugenes cupLudus u que se reIIeren Ios nmeros unLerIores.
Seru cusLIgudo con Ius penus de prIsIn de uno u Lres uos y muILu de doce u veInLIcuuLro meses, eI
que, con conocImIenLo de su orIgen IIicILo y sIn Iuber Lomudo purLe en su descubrImIenLo, reuIIzure
Iu conducLu descrILu en eI purruIo unLerIor.
q. SI Ios IecIos descrILos en Ios upurLudos 1 y z de esLe ArLicuIo se reuIIzun por Ius personus
encurgudus o responsubIes de Ios IIcIeros, soporLes InIormuLIcos, eIecLrnIcos o LeIemuLIcos,
urcIIvos o regIsLros, se Impondru Iu penu de prIsIn de Lres u cInco uos, y sI se dIIunden, ceden o
reveIun Ios duLos reservudos, se Impondru Iu penu en su mILud superIor.
. guuImenLe, cuundo Ios IecIos descrILos en Ios upurLudos unLerIores uIecLen u duLos de curucLer
personuI que reveIen Iu IdeoIogiu, reIIgIn, creencIus, suIud, orIgen rucIuI o vIdu sexuuI, o Iu vicLImu
Iuere un menor de edud o un Incupuz, se Impondrun Ius penus prevIsLus en su mILud superIor.
6. SI Ios IecIos se reuIIzun con IInes IucruLIvos, se Impondrun Ius penus respecLIvumenLe prevIsLus
en Ios upurLudos 1 uI q de esLe ArLicuIo en su mILud superIor. SI udemus uIecLun u duLos de Ios
mencIonudos en eI upurLudo , Iu penu u Imponer seru Iu de prIsIn de cuuLro u sIeLe uos.
Articolo 1qS.
u uuLorIdud o IuncIonurIo pbIIco que, Iueru de Ios cusos permILIdos por Iu ey, sIn medIur cuusu
IeguI por deIILo, y prevuIIndose de su curgo, reuIIzure cuuIquIeru de Ius conducLus descrILus en eI
ArLicuIo unLerIor, seru cusLIgudo con Ius penus respecLIvumenLe prevIsLus en eI mIsmo, en su mILud
superIor y, udemus, con Iu de InIubIIILucIn ubsoIuLu por LIempo de seIs u doce uos.
zo1
Articolo 1qq.
1. EI que reveIure secreLos ujenos, de Ios que Lengu conocImIenLo por ruzn de su oIIcIo o sus
reIucIones IuboruIes, seru cusLIgudo con Iu penu de prIsIn de uno u Lres uos y muILu de seIs u doce
meses.
z. EI proIesIonuI que, con IncumpIImIenLo de su obIIgucIn de sIgIIo o reservu, dIvuIgue Ios secreLos
de oLru personu, seru cusLIgudo con Iu penu de prIsIn de uno u cuuLro uos, muILu de doce u
veInLIcuuLro meses e InIubIIILucIn especIuI puru dIcIu proIesIn por LIempo de dos u seIs uos.
Articolo oo.
o dIspuesLo en esLe cupiLuIo seru upIIcubIe uI que descubrIere, reveIure o cedIere duLos reservudos
de personus juridIcus, sIn eI consenLImIenLo de sus represenLunLes, suIvo Io dIspuesLo en oLros
precepLos de esLe CdIgo.
Articolo o1.
1. Puru proceder por Ios deIILos prevIsLos en esLe cupiLuIo seru necesurIu denuncIu de Iu personu
ugruvIudu o de su represenLunLe IeguI. Cuundo uquIIu seu menor de edud, Incupuz o unu personu
desvuIIdu, LumbIn podru denuncIur eI MInIsLerIo IscuI.
z. No seru precIsu Iu denuncIu exIgIdu en eI upurLudo unLerIor puru proceder por Ios IecIos
descrILos en eI ArLicuIo 1q8 de esLe CdIgo, nI cuundo Iu comIsIn deI deIILo uIecLe u Ios InLereses
generuIes o u unu pIuruIIdud de personus.
. EI perdn deI oIendIdo o de su represenLunLe IeguI, en su cuso, exLIngue Iu uccIn penuI o Iu penu
ImpuesLu, sIn perjuIcIo de Io dIspuesLo en eI segundo purruIo deI nmero q. deI ArLicuIo 1o.

TTUO X
DeIILos conLru eI puLrImonIo y conLru eI orden socIoeconmIco
CAPTUO V
De Ius deIruuducIones
SECCN 1. DE AS ESTAAS
Articolo qS.
1. ComeLen esLuIu Ios que, con unImo de Iucro, uLIIIzuren enguo busLunLe puru producIr error en
oLro, InducIndoIo u reuIIzur un ucLo de dIsposIcIn en perjuIcIo propIo o ujeno.
z. TumbIn se consIderun reos de esLuIu Ios que, con unImo de Iucro, y vuIIndose de uIgunu
munIpuIucIn InIormuLIcu o urLIIIcIo semejunLe consIgun Iu LrunsIerencIu no consenLIdu de
cuuIquIer ucLIvo puLrImonIuI en perjuIcIo de Lercero.

SECCN . DE AS DERAUDACONES DE UDO ECTRCO Y ANOGAS
Articolo g6.
EI que IIcIere uso de cuuIquIer equIpo LermInuI de LeIecomunIcucIn, sIn consenLImIenLo de su
LILuIur, ocusIonundo u sLe un perjuIcIo superIor u cIncuenLu mII peseLus, seru cusLIgudo con Iu penu
de muILu de Lres u doce meses.

zoz
CAPTUO X
De Ios duos
Articolo 6q.
1. Seru cusLIgudo con Iu penu de prIsIn de uno u Lres uos y muILu de doce u veInLIcuuLro meses eI
que cuusure duos expresudos en eI ArLicuIo unLerIor, sI concurrIere uIguno de Ios supuesLos
sIguIenLes:
1. Que se reuIIcen puru ImpedIr eI IIbre ejercIcIo de Iu uuLorIdud o en vengunzu de sus
deLermInucIones, bIen se comeLIere eI deIILo conLru IuncIonurIos pbIIcos, bIen conLru purLIcuIures
que, como LesLIgos o de cuuIquIer oLru muneru, Iuyun conLrIbuIdo o puedun conLrIbuIr u Iu
ejecucIn o upIIcucIn de Ius eyes o dIsposIcIones generuIes.
z. Que se cuuse por cuuIquIer medIo InIeccIn o conLugIo de gunudo.
. Que se empIeen susLuncIus venenosus o corrosIvus.
q. Que uIecLen u bIenes de domInIo o uso pbIIco o comunuI.
. Que urruInen uI perjudIcudo o se Ie coIoque en gruve sILuucIn econmIcu.
z. u mIsmu penu se Impondru uI que por cuuIquIer medIo desLruyu, uILere, InuLIIIce o de cuuIquIer
oLro modo due Ios duLos, progrumus o documenLos eIecLrnIcos ujenos conLenIdos en redes,
soporLes o sIsLemus InIormuLIcos.

CAPTUO X
De Ios deIILos reIuLIvos u Iu propIedud InLeIecLuuI e IndusLrIuI, uI mercudo y u Ios consumIdores
SECCN 1. DE OS DETOS REATVOS A A PROPEDAD NTEECTUA
Articolo ,o.
Seru cusLIgudo con Iu penu de prIsIn de seIs meses u dos uos o de muILu de seIs u veInLIcuuLro
meses quIen, con unImo de Iucro y en perjuIcIo de Lercero, reproduzcu, pIugIe, dIsLrIbuyu o
comunIque pbIIcumenLe, en Lodo o en purLe, unu obru IILerurIu, urLisLIcu o cIenLiIIcu, o su
LrunsIormucIn, InLerpreLucIn o ejecucIn urLisLIcu IIjudu en cuuIquIer LIpo de soporLe o
comunIcudu u Lruvs de cuuIquIer medIo, sIn Iu uuLorIzucIn de Ios LILuIures de Ios correspondIenLes
derecIos de propIedud InLeIecLuuI o de sus cesIonurIos.
u mIsmu penu se Impondru u quIen InLencIonudumenLe ImporLe, exporLe o uImucene ejempIures
de dIcIus obrus o produccIones o ejecucIones sIn Iu reIerIdu uuLorIzucIn.
Seru cusLIgudu LumbIn con Iu mIsmu penu Iu IubrIcucIn, puesLu en cIrcuIucIn y LenencIu de
cuuIquIer medIo especiIIcumenLe desLInudu u IucIIILur Iu supresIn no uuLorIzudu o Iu neuLruIIzucIn
de cuuIquIer dIsposILIvo LcnIco que se Iuyu uLIIIzudo puru proLeger progrumus de ordenudor.

SECCN z. DE OS DETOS REATVOS A A PROPEDAD NDUSTRA
Articolo ,.
1. Seru cusLIgudo con Ius penus de prIsIn de seIs meses u dos uos y muILu de seIs u veInLIcuuLro
meses eI que, con IInes IndusLrIuIes o comercIuIes, sIn consenLImIenLo deI LILuIur de unu puLenLe o
modeIo de uLIIIdud y con conocImIenLo de su regIsLro, IubrIque, ImporLe, poseu, uLIIIce, oIrezcu o
InLroduzcu en eI comercIo objeLos umpurudos por LuIes derecIos.
zo
z. us mIsmus penus se Impondrun uI que, de IguuI muneru, y puru Ios cILudos IInes, uLIIIce u oIrezcu
Iu uLIIIzucIn de un procedImIenLo objeLo de unu puLenLe, o poseu, oIrezcu, InLroduzcu en eI
comercIo, o uLIIIce eI producLo dIrecLumenLe obLenIdo por eI procedImIenLo puLenLudo.
. Seru cusLIgudo con Ius mIsmus penus eI que reuIIce cuuIquIeru de Ios ucLos LIpIIIcudos en eI
purruIo prImero de esLe ArLicuIo concurrIendo IguuIes cIrcunsLuncIus en reIucIn con objeLos
umpurudos en Iuvor de Lercero por un modeIo o dIbujo IndusLrIuI o urLisLIco o LopogruIiu de un
producLo semIconducLor.

SECCN . DE OS DETOS REATVOS A MERCADO Y A OS CONSUMDORES
Articolo ,S.
1. EI que, puru descubrIr un secreLo de empresu se upoderure por cuuIquIer medIo de duLos,
documenLos escrILos o eIecLrnIcos, soporLes InIormuLIcos u oLros objeLos que se reIIerun uI mIsmo,
o empIeure uIguno de Ios medIos o InsLrumenLos seuIudos en eI upurLudo 1 deI ArLicuIo 1q;, seru
cusLIgudo con Iu penu de prIsIn de dos u cuuLro uos y muILu de doce u veInLIcuuLro meses.
z. Se Impondru Iu penu de prIsIn de Lres u cInco uos y muILu de doce u veInLIcuuLro meses sI se
dIIundIeren, reveIuren o cedIeren u Lerceros Ios secreLos descubIerLos.
. o dIspuesLo en eI presenLe ArLicuIo se enLenderu sIn perjuIcIo de Ius penus que pudIerun
corresponder por eI upoderumIenLo o desLruccIn de Ios soporLes InIormuLIcos.
ApndIce D - NormuLIvu IeguI. Le :,zooo, de ; de enero, de Enjuicicmiento Citil
zoq
ey 1Jzooo, de ; de enero, de EnjuIcIumIenLo
CIvII
(BOE nm. ;, de 8 de enero deI zooo, pp. ;-;z8. CorreccIn de errores BOE
nm. qo, de 1q-oq-zooo, p. 1z;8 y BOE nm. 18o, de z8-o;-zoo1, p. z;;q6).
|ModIIIcudu por Iu ey qJzooz, de z8 de ocLubre, de LrunsposIcIn uI ordenumIenLo juridIco espuoI de
dIversus dIrecLIvus comunILurIus en muLerIu de proLeccIn de Ios InLereses de Ios consumIdores y usuurIos
(BOE nm. zq, de zq-1o-zooz, pp. ;qzz-;q). EsLu modIIIcucIn uIecLu u Ios urLicuIo 6, 11, 1, z, zz1,
zqq, zo, ;11 y ;z8.|
BRO
De Ios procesos decIuruLIvos
TTUO
De Ius dIsposIcIones comunes u Ios procesos decIuruLIvos
CAPTUO V
De Ios medIos de pruebu y Ius presuncIones
SECCN . DE DCTAMEN DE PERTOS
Articolo g. ObjeLo y IInuIIdud deI dIcLumen de perILos. JurumenLo o promesu de ucLuur con
objeLIvIdud.
1. Cuundo seun necesurIos conocImIenLos cIenLiIIcos, urLisLIcos, LcnIcos o prucLIcos puru vuIorur
IecIos o cIrcunsLuncIus reIevunLes en eI usunLo o udquIrIr cerLezu sobre eIIos, Ius purLes podrun
uporLur uI proceso eI dIcLumen de perILos que poseun Ios conocImIenLos correspondIenLes o
soIIcILur, en Ios cusos prevIsLos en esLu Iey, que se emILu dIcLumen por perILo desIgnudo por eI
LrIbunuI.
z. AI emILIr eI dIcLumen, Lodo perILo deberu munIIesLur, bujo jurumenLo o promesu de decIr verdud,
que Iu ucLuudo y, en su cuso, ucLuuru con Iu muyor objeLIvIdud posIbIe, Lomundo en consIderucIn
LunLo Io que puedu Iuvorecer como Io que seu suscepLIbIe de cuusur perjuIcIo u cuuIquIeru de Ius
purLes, y que conoce Ius suncIones penuIes en Ius que podriu IncurrIr sI IncumpIIere su deber como
perILo.
Articolo 6. AporLucIn con Iu demundu y Iu conLesLucIn de dIcLumenes eIuborudos por perILos
desIgnudos por Ius purLes.
1. os dIcLumenes de que Ios IILIgunLes dIspongun, eIuborudos por perILos por eIIos desIgnudos, y
que esLImen necesurIos o convenIenLes puru Iu deIensu de sus derecIos, Iubrun de uporLurIos con Iu
demundu o con Iu conLesLucIn, sI sLu IubIere de reuIIzurse en Iormu escrILu, sIn perjuIcIo de Io
dIspuesLo en eI urLicuIo ; de Iu presenLe ey.
z. os dIcLumenes se IormuIurun por escrILo, ucompuudos, en su cuso, de Ios demus documenLos,
InsLrumenLos o muLerIuIes udecuudos puru exponer eI purecer deI perILo sobre Io que Iuyu sIdo
objeLo de Iu perIcIu.
zo
SI no Iuese posIbIe o convenIenLe uporLur esLos muLerIuIes e InsLrumenLos, eI escrILo de dIcLumen
conLendru sobre eIIos Ius IndIcucIones suIIcIenLes. Podrun, usImIsmo, ucompuurse uI dIcLumen Ios
documenLos que se esLImen udecuudos puru su mus ucerLudu vuIorucIn.
. Se enLenderu que uI demundunLe Ie es posIbIe uporLur con Iu demundu dIcLumenes escrILos
eIuborudos por perILo por I desIgnudo, sI no jusLIIIcu cumpIIdumenLe que Iu deIensu de su derecIo
no Iu permILIdo demorur Iu InLerposIcIn de uquIIu IusLu Iu obLencIn deI dIcLumen.
q. En Ios juIcIos con conLesLucIn u Iu demundu por escrILo, eI demundudo que no puedu uporLur
dIcLumenes escrILos con uqueIIu conLesLucIn u Iu demundu deberu jusLIIIcur Iu ImposIbIIIdud de
pedIrIos y obLenerIos denLro deI pIuzo puru conLesLur.
Articolo ,. AnuncIo de dIcLumenes cuundo no se puedun uporLur con Iu demundu o con Iu
conLesLucIn. AporLucIn posLerIor.
1. SI no Ies Iuese posIbIe u Ius purLes uporLur dIcLumenes eIuborudos por perILos por eIIus
desIgnudos, junLo con Iu demundu o conLesLucIn, expresurun en unu u oLru Ios dIcLumenes de que,
en su cuso, preLendun vuIerse, que Iubrun de uporLur, puru su LrusIudo u Iu purLe conLrurIu, en
cuunLo dIspongun de eIIos, y en Lodo cuso unLes de InIcIurse Iu uudIencIu prevIu uI juIcIo ordInurIo o
unLes de Iu vIsLu en eI verbuI.
z. AporLudos Ios dIcLumenes conIorme u Io dIspuesLo en eI upurLudo unLerIor, Ius purLes Iubrun de
munIIesLur sI deseun que Ios perILos uuLores de Ios dIcLumenes compurezcun en eI juIcIo reguIudo en
Ios urLicuIos q 1 y sIguIenLes de esLu ey o, en su cuso, en Iu vIsLu deI juIcIo verbuI, expresundo S
deberun exponer o expIIcur eI dIcLumen o responder u pregunLus, objecIones o propuesLus de
recLIIIcucIn o InLervenIr de cuuIquIer oLru Iormu LII puru enLender y vuIorur eI dIcLumen en
reIucIn con Io que seu objeLo deI pIeILo.
Articolo S. AporLucIn de dIcLumenes en IuncIn de ucLuucIones procesuIes posLerIores u Iu
demundu. SoIIcILud de InLervencIn de Ios perILos en eI juIcIo o vIsLu.
1. o dIspuesLo en eI urLicuIo unLerIor no seru de upIIcucIn u Ios dIcLumenes cuyu necesIdud o
uLIIIdud se pongu de munIIIesLo u cuusu de uIegucIones deI demundudo en Iu conLesLucIn u Iu
demundu o de Ius uIegucIones o preLensIones compIemenLurIus udmILIdus en Iu uudIencIu, u Lenor
deI urLicuIo qz6 de esLu ey.
z. os dIcLumenes cuyu necesIdud o uLIIIdud vengu suscILudu por Iu conLesLucIn u Iu demundu o por
Io uIegudo y preLendIdo en Iu uudIencIu prevIu uI juIcIo se uporLurun por Ius purLes, puru su LrusIudo
u Ius conLrurIus, con uI menos cInco dius de unLeIucIn u Iu ceIebrucIn deI juIcIo o de Iu vIsLu, en Ios
juIcIos verbuIes, munIIesLundo Ius purLes uI LrIbunuI sI consIderun necesurIo que concurrun u dIcIos
juIcIo o vIsLu Ios perILos uuLores de Ios dIcLumenes, con expresIn de Io que se seuIu en eI upurLudo
z deI urLicuIo ;.
EI LrIbunuI podru ucordur LumbIn en esLe cuso Iu presencIu de Ios perILos en eI juIcIo o vIsLu en Ios
LrmInos seuIudos en eI upurLudo z deI urLicuIo unLerIor.
Articolo q. SoIIcILud de desIgnucIn de perILos por eI LrIbunuI y resoIucIn judIcIuI sobre dIcIu
soIIcILud. DesIgnucIn de perILos por eI LrIbunuI, sIn InsLuncIu de purLe.
1. SI cuuIquIeru de Ius purLes Iuese LILuIur deI derecIo de usIsLencIu juridIcu gruLuILu, no Lendru que
uporLur con Iu demundu o Iu conLesLucIn eI dIcLumen perIcIuI, sIno sImpIemenLe ununcIurIo, u Ios
eIecLos de que se procedu u Iu desIgnucIn judIcIuI de perILo, conIorme u Io que se esLubIece en Iu
ey de AsIsLencIu JuridIcu GruLuILu.
z. EI demundunLe o eI demundudo, uunque no se IuIIen en eI cuso deI upurLudo unLerIor, LumbIn
podrun soIIcILur en sus respecLIvos escrILos InIcIuIes que se procedu u Iu desIgnucIn judIcIuI de
perILo, sI enLIenden convenIenLe o necesurIo puru sus InLereses Iu emIsIn de InIorme perIcIuI. En
zo6
LuI cuso, eI LrIbunuI procederu u Iu desIgnucIn, sIempre que consIdere perLInenLe y LII eI dIcLumen
perIcIuI soIIcILudo. DIcIo dIcLumen seru u cosLu de quIen Io Iuyu pedIdo, sIn perjuIcIo de Io que
pudIere ucordurse en muLerIu de cosLus.
SuIvo que se reIIeru u uIegucIones o preLensIones no conLenIdus en Iu demundu, no se podru
soIIcILur, con posLerIorIdud u Iu demundu o u Iu conLesLucIn, InIorme perIcIuI eIuborudo por perILo
desIgnudo judIcIuImenLe.
u desIgnucIn judIcIuI de perILo deberu reuIIzurse en eI pIuzo de cInco dius desde Iu presenLucIn de
Iu conLesLucIn u Iu demundu, con IndependencIu de quIen Iuyu soIIcILudo dIcIu desIgnucIn.
Cuundo umbus purLes Iu IubIesen pedIdo InIcIuImenLe, eI LrIbunuI podru desIgnur, sI uquIIus se
muesLrun conIormes, un nIco perILo que emILu eI InIorme soIIcILudo. En LuI cuso, eI ubono de Ios
IonorurIos deI perILo corresponderu reuIIzurIo u umbos IILIgunLes por purLes IguuIes, sIn perjuIcIo de
Io que pudIere ucordurse en muLerIu de cosLus.
. En eI juIcIo ordInurIo, sI, u consecuencIu de Ius uIegucIones o preLensIones compIemenLurIus
permILIdus en Iu uudIencIu, Ius purLes soIIcILusen, conIorme prevIene eI upurLudo cuurLo deI urLicuIo
qz;, Iu desIgnucIn por eI LrIbunuI de un perILo que dIcLumIne, Io ucorduru sLe usi, sIempre que
consIdere perLInenLe y LII eI dIcLumen, y umbus purLes se muesLren conIormes en eI objeLo de Iu
perIcIu y en ucepLur eI dIcLumen deI perILo que eI LrIbunuI nombre.
o mIsmo podru Iucer eI LrIbunuI cuundo se LruLe de juIcIo verbuI y Ius purLes soIIcILusen
desIgnucIn de perILo, con Ios requIsILos deI purruIo unLerIor.
q. En Ios cusos seuIudos en Ios dos upurLudos unLerIores, sI Ius purLes que soIIcILusen Iu desIgnucIn
de un perILo por eI LrIbunuI esLuvIesen udemus de ucuerdo en que eI dIcLumen seu emILIdo por unu
deLermInudu personu o enLIdud, usi Io ucorduru eI LrIbunuI. SI no IubIese ucuerdo de Ius purLes, eI
perILo seru desIgnudo por eI procedImIenLo esLubIecIdo en eI urLicuIo q1.
. EI LrIbunuI podru, de oIIcIo, desIgnur perILo cuundo Iu perIcIu seu perLInenLe en procesos sobre
decIurucIn o ImpugnucIn de Iu IIIIucIn, puLernIdud y muLernIdud, sobre Iu cupucIdud de Ius
personus o en procesos muLrImonIuIes.
6. EI LrIbunuI no desIgnuru mus que un perILo LILuIur por cudu cuesLIn o conjunLo de cuesLIones que
Iuyun de ser objeLo de perIcIu y que no requIerun, por Iu dIversIdud de su muLerIu, eI purecer de
experLos dIsLInLos.
Articolo qo. CondIcIones de Ios perILos.
1. os perILos deberun poseer eI LiLuIo oIIcIuI que correspondu u Iu muLerIu objeLo deI dIcLumen yu Iu
nuLuruIezu de sLe. SI se LruLure de muLerIus que no esLn comprendIdus en LiLuIos proIesIonuIes
oIIcIuIes, Iubrun de ser nombrudos enLre personus enLendIdus en uqueIIus muLerIus.
z. Podru usImIsmo soIIcILurse dIcLumen de AcudemIus e InsLILucIones cuILuruIes y cIenLiIIcus que se
ocupen deI esLudIo de Ius muLerIus correspondIenLes uI objeLo de Iu perIcIu. TumbIn podrun emILIr
dIcLumen sobre cuesLIones especiIIcus Ius personus juridIcus IeguImenLe IubIIILudus puru eIIo.
. En Ios cusos deI upurLudo unLerIor, Iu InsLILucIn u Iu que se encurgue eI dIcLumen expresuru u Iu
muyor brevedud qu personu o personus se encurgurun dIrecLumenLe de prepururIo, u Ius que se
exIgIru eI jurumenLo o promesu prevIsLo en eI upurLudo segundo deI urLicuIo .
Articolo q1. ProcedImIenLo puru Iu desIgnucIn judIcIuI de perILo.
1. En eI mes de enero de cudu uo se InLeresuru de Ios dIsLInLos CoIegIos proIesIonuIes o, en su
deIecLo, de enLIdudes unuIogus, usi como de Ius AcudemIus e InsLILucIones cuILuruIes y cIenLiIIcus u
que se reIIere eI upurLudo segundo deI urLicuIo unLerIor eI envio de unu IIsLu de coIegIudos o
usocIudos dIspuesLos u ucLuur como perILos. u prImeru desIgnucIn de cudu IIsLu se eIecLuuru por
zo;
sorLeo reuIIzudo en presencIu deI SecreLurIo JudIcIuI, y u purLIr de eIIu se eIecLuurun Ius sIguIenLes
desIgnucIones por orden correIuLIvo.
z. Cuundo Iuyu de desIgnurse perILo u personu sIn LiLuIo oIIcIuI, prucLIcu o enLendIdu en Iu muLerIu,
prevIu cILucIn de Ius purLes, se reuIIzuru Iu desIgnucIn por eI procedImIenLo esLubIecIdo en eI
upurLudo unLerIor, usundose puru eIIo unu IIsLu de personus que cudu uo se soIIcILuru de sIndIcuLos,
usocIucIones y enLIdudes upropIudus, y que deberu esLur InLegrudu por uI menos cInco de uqueIIus
personus. SI, por ruzn de Iu sInguIurIdud de Iu muLerIu de dIcLumen, nIcumenLe se dIspusIeru deI
nombre de unu personu enLendIdu o prucLIcu, se recuburu de Ius purLes su consenLImIenLo y sIo sI
Lodus Io oLorgun se desIgnuru perILo u esu personu.
Articolo q. IumumIenLo uI perILo desIgnudo, ucepLucIn y nombrumIenLo. ProvIsIn de Iondos.
1. En eI pIuzo de cInco dius desde Iu desIgnucIn, se comunIcuru sLu uI perILo LILuIur, requIrIndoIe
puru que, denLro de oLros cInco dius, munIIIesLe sI ucepLu eI curgo. En cuso uIIrmuLIvo, se eIecLuuru
eI nombrumIenLo y eI perILo Iuru, en Iu Iormu en que se dIspongu, Iu munIIesLucIn bujo jurumenLo
o promesu que ordenu eI upurLudo z deI urLicuIo .
z. SI eI perILo desIgnudo udujere jusLu cuusu que Ie ImpIdIere Iu ucepLucIn, y eI LrIbunuI Iu
consIderure suIIcIenLe, seru susLILuIdo por eI sIguIenLe de Iu IIsLu, y usi sucesIvumenLe, IusLu que se
pudIere eIecLuur eI nombrumIenLo.
. EI perILo desIgnudo podru soIIcILur, en Ios Lres dius sIguIenLes u su nombrumIenLo, Iu provIsIn de
Iondos que consIdere necesurIu, que seru u cuenLu de Iu IIquIducIn IInuI. EI LrIbunuI, medIunLe
provIdencIu, decIdIru sobre Iu provIsIn soIIcILudu y ordenuru u Iu purLe o purLes que IubIesen
propuesLo Iu pruebu perIcIuI y no LuvIesen derecIo u Iu usIsLencIu juridIcu gruLuILu, que procedun u
ubonur Iu cunLIdud IIjudu en Iu CuenLu de
DepsILos y ConsIgnucIones deI LrIbunuI, en eI pIuzo de cInco dius.
TrunscurrIdo dIcIo pIuzo, sI no se IubIere deposILudo Iu cunLIdud esLubIecIdu, eI perILo queduru
exImIdo de emILIr eI dIcLumen, sIn que puedu procederse u unu nuevu desIgnucIn.
Cuundo eI perILo desIgnudo Io IubIese sIdo de comn ucuerdo, y uno de Ios IILIgunLes no reuIIzure Iu
purLe de Iu consIgnucIn que Ie correspondIere, se oIreceru uI oLro IILIgunLe Iu posIbIIIdud de
compIeLur Iu cunLIdud que IuILure, IndIcundo en LuI cuso Ios punLos sobre Ios que debu pronuncIurse
eI dIcLumen, o de recuperur Iu cunLIdud deposILudu, en cuyo cuso se upIIcuru Io dIspuesLo en eI
purruIo unLerIor.
Articolo q. TucIus de Ios perILos. TIempo y Iormu de Ius LucIus.
1. SIo podrun ser objeLo de recusucIn Ios perILos desIgnudos judIcIuImenLe.
En cumbIo, Ios perILos no recusubIes podrun ser objeLo de LucIu cuundo concurru en eIIos uIgunu de
Ius sIguIenLes cIrcunsLuncIus:
1. Ser cnyuge o purIenLe por consunguInIdud o uIInIdud, denLro deI cuurLo grudo cIvII de unu de
Ius purLes o de sus ubogudos o procurudores.
z. Tener InLers dIrecLo o IndIrecLo en eI usunLo o en oLro semejunLe.
. EsLur o Iuber esLudo en sILuucIn de dependencIu o de comunIdud o conLruposIcIn de InLereses
con uIgunu de Ius purLes o con sus ubogudos o procurudores.
q. AmIsLud InLImu o enemIsLud con cuuIquIeru de Ius purLes o sus procurudores o ubogudos.
. CuuIquIer oLru cIrcunsLuncIu, debIdumenLe ucredILudu, que Ies Iugu desmerecer en eI concepLo
proIesIonuI.
zo8
z. us LucIus no podrun IormuIurse despus deI juIcIo o de Iu vIsLu, en Ios juIcIos verbuIes. SI se
LruLure de juIcIo ordInurIo, Ius LucIus de Ios perILos uuLores de dIcLumenes uporLudos con demundu
o conLesLucIn se propondrun en Iu uudIencIu prevIu uI juIcIo.
AI IormuIur LucIus de perILos, se podru proponer Iu pruebu conducenLe u jusLIIIcurIus, excepLo Iu
LesLIIIcuI.
Articolo qq. ConLrudIccIn y vuIorucIn de Iu LucIu. SuncIn en cuso de LucIu LemerurIu o
desIeuI.
1. CuuIquIer purLe InLeresudu podru dIrIgIrse uI LrIbunuI u IIn de negur o conLrudecIr Iu LucIu,
uporLundo Ios documenLos que consIderen perLInenLes u LuI eIecLo.
SI Iu LucIu menoscuburu Iu consIderucIn proIesIonuI o personuI deI perILo, podru sLe soIIcILur deI
LrIbunuI que, uI LrmIno deI proceso, decIure, medIunLe provIdencIu, que Iu LucIu curece de
IundumenLo.
z. SIn mus LrumILes, eI LrIbunuI Lendru en cuenLu Iu LucIu y su evenLuuI negucIn o conLrudIccIn en
eI momenLo de vuIorur Iu pruebu, IormuIundo, en su cuso, medIunLe provIdencIu, Iu decIurucIn de
IuILu de IundumenLo de Iu LucIu prevIsLu en eI upurLudo unLerIor. SI uprecIuse LemerIdud o
desIeuILud procesuI en Iu LucIu, u cuusu de su moLIvucIn o deI LIempo en que se IormuIuru, podru
Imponer u Iu purLe responsubIe, con prevIu uudIencIu, unu muILu de dIez mII u cIen mII peseLus.
Articolo qg. OperucIones perIcIuIes y posIbIe InLervencIn de Ius purLes en eIIus.
1. Cuundo Iu emIsIn deI dIcLumen requIeru uIgn reconocImIenLo de Iugures, objeLos o personus o
Iu reuIIzucIn de operucIones unuIogus, Ius purLes y sus deIensores podrun presencIur uno y oLrus, sI
con eIIo no se ImpIde o esLorbu Iu Iubor deI perILo y se puede gurunLIzur eI ucIerLo e ImpurcIuIIdud
deI dIcLumen.
z. SI uIgunu de Ius purLes soIIcILure esLur presenLe en Ius operucIones perIcIuIes deI upurLudo
unLerIor, eI LrIbunuI decIdIru Io que procedu y, en cuso de udmILIr esu presencIu, ordenuru uI perILo
que d uvIso dIrecLumenLe u Ius purLes, con unLeIucIn de uI menos cuurenLu y ocIo Iorus, deI diu,
Ioru y Iugur en que uqueIIus operucIones se IIevurun u cubo.
Articolo q6. EmIsIn y ruLIIIcucIn deI dIcLumen por eI perILo que eI LrIbunuI desIgne.
EI perILo que eI LrIbunuI desIgne emILIru por escrILo su dIcLumen, que Iuru IIegur uI LrIbunuI en eI
pIuzo que se Ie Iuyu seuIudo. De dIcIo dIcLumen se duru LrusIudo u Ius purLes por sI consIderun
necesurIo que eI perILo concurru uI juIcIo o u Iu vIsLu u Ios eIecLos de que uporLe Ius ucIurucIones o
expIIcucIones que seun oporLunus. EI LrIbunuI podru ucordur, en Lodo cuso, medIunLe provIdencIu,
que consIderu necesurIu Iu presencIu deI perILo en eI juIcIo o Iu vIsLu puru comprender y vuIorur
mejor eI dIcLumen reuIIzudo.
Articolo q,. PosIbIe ucLuucIn de Ios perILos en eI juIcIo o en Iu vIsLu.
1. os perILos Lendrun en eI juIcIo o en Iu vIsLu Iu InLervencIn soIIcILudu por Ius purLes, que eI
LrIbunuI udmILu.
EI LrIbunuI sIo deneguru Ius soIIcILudes de InLervencIn que, por su IInuIIdud y conLenIdo, Iuyun de
esLImurse ImperLInenLes o InLIIes.
En especIuI, Ius purLes y sus deIensores podrun pedIr:
1. ExposIcIn compIeLu deI dIcLumen, cuundo esu exposIcIn requIeru Iu reuIIzucIn de oLrus
operucIones, compIemenLurIus deI escrILo uporLudo, medIunLe eI empIeo de Ios documenLos,
muLerIuIes y oLros eIemenLos u que se reIIere eI upurLudo z deI urLicuIo 6.
zoq
z. ExpIIcucIn deI dIcLumen o de uIguno o uIgunos de sus punLos, cuyo sIgnIIIcudo no se
consIderuse suIIcIenLemenLe expresIvo u Ios eIecLos de Iu pruebu.
. RespuesLus u pregunLus y objecIones, sobre mLodo, premIsus, concIusIones y oLros uspecLos deI
dIcLumen.
q. RespuesLus u soIIcILudes de umpIIucIn deI dIcLumen u oLros punLos conexos, por sI pudIeru
IIevurse u cubo en eI mIsmo ucLo y u eIecLos, en cuuIquIer cuso, de conocer Iu opInIn deI perILo
sobre Iu posIbIIIdud y uLIIIdud de Iu umpIIucIn, usi como deI pIuzo necesurIo puru IIevurIu u cubo.
. CriLIcu deI dIcLumen de que se LruLe por eI perILo de Iu purLe conLrurIu.
6. ormuIucIn de Ius LucIus que pudIeren uIecLur uI perILo.
z. EI LrIbunuI podru LumbIn IormuIur pregunLus u Ios perILos y requerIr de eIIos expIIcucIones sobre
Io que seu objeLo deI dIcLumen uporLudo, pero sIn poder ucordur, de oIIcIo, que se umpIie, suIvo que
se LruLe de perILos desIgnudos de oIIcIo conIorme u Io dIspuesLo en eI upurLudo deI urLicuIo q.
Articolo qS. VuIorucIn deI dIcLumen perIcIuI.
EI LrIbunuI vuIoruru Ios dIcLumenes perIcIuIes segn Ius regIus de Iu sunu criLIcu.
Articolo qq. CoLejo de IeLrus.
1. Se prucLIcuru por perILo eI coLejo de IeLrus cuundo Iu uuLenLIcIdud de un documenLo prIvudo se
nIegue o se pongu en dudu por Iu purLeu quIen perjudIque.
z. TumbIn podru prucLIcurse coLejo de IeLrus cuundo se nIegue o dIscuLu Iu uuLenLIcIdud de
cuuIquIer documenLo pbIIco que curezcu de muLrIz y de copIus IeIucIenLes segn Io dIspuesLo en eI
urLicuIo 1zz 1 deI CdIgo CIvII, sIempre que dIcIo documenLo no puedu ser reconocIdo por eI
IuncIonurIo que Io IubIese expedIdo o por quIen upurezcu como IeduLurIo InLervInIenLe.
. EI coLejo de IeLrus se prucLIcuru por perILo desIgnudo por eI LrIbunuI conIorme u Io dIspuesLo en
Ios urLicuIos q1 y qz de esLu ey.
Articolo go. DocumenLos IndubILudos o cuerpo de escrILuru puru eI coLejo.
1. u purLe que soIIcILe eI coLejo de IeLrus desIgnuru eI documenLo o documenLos IndubILudos con
que debu Iucerse.
z. Se consIderurun documenLos IndubILudos u Ios eIecLos de coLejur Ius IeLrus:
1. os documenLos que reconozcun como LuIes Lodus Ius purLes u Ius que puedu uIecLur esLu pruebu
perIcIuI.
z. us escrILurus pbIIcus y Ios que consLen en Ios urcIIvos pbIIcos reIuLIvos uI DocumenLo
NucIonuI de denLIdud:
. os documenLos prIvudos cuyu IeLru o IIrmu Iuyu sIdo reconocIdu en juIcIo por uqueI u quIen se
uLrIbuyu Iu dudosu.
q. EI escrILo Impugnudo, en Iu purLe en que reconozcu Iu IeLru como suyu uqueI u quIen perjudIque.
. A IuILu de Ios documenLos enumerudos en eI upurLudo unLerIor, Iu purLe u Iu que se uLrIbuyu eI
documenLo Impugnudo o Iu IIrmu que Io uuLorIce podru ser requerIdu, u InsLuncIu de Iu conLrurIu,
puru que Iorme un cuerpo de escrILuru que Ie dIcLuru eI LrIbunuI o eI SecreLurIo JudIcIuI.
SI eI requerIdo se neguse, eI documenLo Impugnudo se consIderuru reconocIdo.
q. SI no IubIese documenLos IndubILudos y Iuese ImposIbIe eI coLejo con un cuerpo de escrILuru por
IuIIecImIenLo o uusencIu de quIen debIeru IormurIo, eI LrIbunuI uprecIuru eI vuIor deI documenLo
Impugnudo conIorme u Ius regIus de Iu sunu criLIcu.
z1o
Articolo g1. ProduccIn y vuIorucIn deI dIcLumen sobre eI coLejo de IeLrus.
1. EI perILo que IIeve u cubo eI coLejo de IeLrus consIgnuru por escrILo Ius operucIones de
comprobucIn y sus resuILudos.
z. Seru de upIIcucIn uI dIcLumen perIcIuI de coLejo de IeLrus Io dIspuesLo en Ios urLicuIos q6, q; y
q8 de esLu ey.
Articolo g. OLros dIcLumenes perIcIuIes InsLrumenLuIes de pruebus dIsLInLus.
Cuundo seu necesurIo o convenIenLe puru conocer eI conLenIdo o senLIdo de unu pruebu o puru
proceder u su mus ucerLudu vuIorucIn, podrun Ius purLes uporLur o proponer dIcLumenes perIcIuIes
sobre oLros medIos de pruebu udmILIdos por eI LrIbunuI uI umpuro de Io prevIsLo en Ios upurLudos z
y deI urLicuIo zqq.
ApndIce D - NormuLIvu IeguI. Le de :( de septiembre de :88z, de Enjuicicmiento Crimincl.
z11
ey de 1q de sepLIembre de 188z, de
EnjuIcIumIenLo CrImInuI.
BRO
TTUO V
De Iu comprobucIn deI deIILo y uverIguucIn deI deIIncuenLe
CAPTUO V
DeI InIorme perIcIuI
qg6. EI Juez ucorduru eI InIorme perIcIuI cuundo, puru conocer o uprecIur uIgn IecIo o
cIrcunsLuncIu ImporLunLe en eI sumurIo, Iuesen necesurIos o convenIenLes conocImIenLos cIenLiIIcos
o urLisLIcos.
qg,. os perILos pueden ser o no LILuIures.
Son perILos LILuIures Ios que LIenen LiLuIo oIIcIuI de unu cIencIu o urLe cuyo ejercIcIo esL
regIumenLudo por Iu AdmInIsLrucIn.
Son perILos no LILuIures Ios que, curecIendo de LiLuIo oIIcIuI, LIenen, sIn emburgo, conocImIenLos o
prucLIcu especIuIes en uIgunu cIencIu o urLe.
qgS. EI Juez se vuIdru de perILos LILuIures con preIerencIu u Ios que no LuvIesen LiLuIo.
qgq. Todo reconocImIenLo perIcIuI se Iuru por dos perILos.
Se excepLu eI cuso en que no IubIese mus de uno en eI Iugur y no Iuere posIbIe esperur Iu IIegudu
de oLro sIn gruves InconvenIenLes puru eI curso deI sumurIo.
q6o. EI nombrumIenLo se Iuru suber u Ios perILos por medIo de oIIcIo, que Ies seru enLregudo por
uIguucII o porLero deI Juzgudo, con Ius IormuIIdudes prevenIdus puru Iu cILucIn de Ios LesLIgos,
reempIuzundose Iu cduIu orIgInuI, puru Ios eIecLos deI urLicuIo 1;, por un uLesLudo que exLenderu
eI uIguucII o porLero encurgudo de Iu enLregu.
q61. SI Iu urgencIu deI encurgo Io exIge, podru Iucerse eI IIumumIenLo verbuImenLe de orden deI
Juez, IucIndoIo consLur usi en Ios uuLos; pero exLendIendo sIempre eI uLesLudo prevenIdo en eI
urLicuIo unLerIor eI encurgudo deI cumpIImIenLo de Iu orden de IIumumIenLo.
q6. NudIe podru negurse u ucudIr uI IIumumIenLo deI Juez puru desempeur un servIcIo perIcIuI, sI
no esLuvIere IegiLImumenLe ImpedIdo.
En esLe cuso deberu ponerIo en conocImIenLo deI Juez en eI ucLo de recIbIr eI nombrumIenLo, puru
que se proveu u Io que Iuyu Iugur.
q6. EI perILo, que sIn uIegur excusu Iundudu, deje de ucudIr uI IIumumIenLo deI Juez o se nIegue u
presLur eI InIorme, IncurrIru en Ius responsubIIIdudes seuIudus puru Ios LesLIgos en eI urLicuIo qzo.
q6q. No podrun presLur InIorme perIcIuI ucercu deI deIILo, cuuIquIeru que seu Iu personu oIendIdu,
Ios que segn eI urLicuIo q16 no esLun obIIgudos u decIurur como LesLIgos.
z1z
EI perILo que, IuIIundose comprendIdo en uIguno de Ios cusos de dIcIo urLicuIo, presLe eI InIorme
sIn poner unLes esu cIrcunsLuncIu en conocImIenLo deI Juez que Ie IubIese nombrudo IncurrIru en Iu
muILu de zoo u .ooo euros, u no ser que eI IecIo dIere Iugur u responsubIIIdud crImInuI.
q6g. os que presLen InIorme como perILos en vIrLud de orden judIcIuI Lendrun derecIo u recIumur
Ios IonorurIos e IndemnIzucIones que seun jusLos, sI no LuvIeren en concepLo de LuIes perILos,
reLrIbucIn IIju suLIsIecIu por eI EsLudo, por Iu ProvIncIu o por eI MunIcIpIo.
q66. HecIo eI nombrumIenLo de perILos, se noLIIIcuru InmedIuLumenLe usi uI ucLor purLIcuIur, sI Io
IubIere, como uI procesudo sI esLuvIere u dIsposIcIn deI Juez o se enconLrure en eI mIsmo Iugur de
Iu InsLruccIn, o u su represenLunLe sI Ie LuvIere.
q6,. SI eI reconocImIenLo e InIorme perIcIuIes pudIeren Lener Iugur de nuevo en eI juIcIo oruI, Ios
perILos nombrudos no podrun ser recusudos por Ius purLes.
SI no pudIere reproducIrse en eI juIcIo oruI, Iubru Iugur u Iu recusucIn.
q6S. Son cuusu de recusucIn de Ios perILos:
1) EI purenLesco de consunguInIdud o de uIInIdud denLro deI cuurLo grudo con eI quereIIunLe o con
eI reo.
z) EI InLers dIrecLo o IndIrecLo en Iu cuusu o en oLru semejunLe.
) u umIsLud inLImu o Iu enemIsLud munIIIesLu.
q6q. EI ucLor o procesudo que InLenLe recusur uI perILo o perILos nombrudos por eI Juez deberu
IucerIo por escrILo unLes de empezur Iu dIIIgencIu perIcIuI, expresundo Iu cuusu de Iu recusucIn y Iu
pruebu LesLIIIcuI que oIrezcu, y ucompuundo Iu documenLuI o desIgnundo eI Iugur en que sLu se
IuIIe sI no Iu LuvIere u su dIsposIcIn.
Puru Iu presenLucIn de esLe escrILo, no esLuru obIIgudo u vuIerse de Procurudor.
q,o. EI Juez, sIn IevunLur muno, exumInuru Ios documenLos que produzcu eI recusunLe y oIru u Ios
LesLIgos que presenLe en eI ucLo, resoIvIendo Io que esLIme jusLo respecLo de Iu recusucIn.
SI IubIere Iugur u eIIu, suspenderu eI ucLo perIcIuI por eI LIempo esLrIcLumenLe necesurIo puru
nombrur eI perILo que Iuyu de susLILuIr uI recusudo, IucrseIo suber y consLILuIrse eI nombrudo en
eI Iugur correspondIenLe.
SI no Iu udmILIere, se procederu como sI no se IubIese usudo de Iu IucuILud de recusur.
Cuundo eI recusunLe no produjese Ios documenLos, pero desIgnure eI urcIIvo o Iugur en que se
encuenLren, eI Juez InsLrucLor Ios recIumuru y exumInuru unu vez recIbIdos sIn deLener por esLo eI
curso de Ius ucLuucIones; y sI de eIIos resuILuse jusLIIIcudu Iu cuusu de Iu recusucIn, unuIuru eI
InIorme perIcIuI que se IubIese dudo, mundundo que se prucLIque de nuevo esLu dIIIgencIu.
q,1. En eI cuso deI purruIo segundo deI urLicuIo q6;, eI quereIIunLe Lendru derecIo u nombrur u su
cosLu un perILo que InLervengu en eI ucLo perIcIuI.
EI mIsmo derecIo Lendru eI procesudo.
SI Ios quereIIunLes o Ios procesudos Iuesen vurIos, se pondrun respecLIvumenLe de ucuerdo enLre si
puru Iucer eI nombrumIenLo.
EsLos perILos deberun ser LILuIures, u no ser que no Ios IubIere de esLu cIuse en eI purLIdo o
demurcucIn, en cuyo cuso podrun ser nombrudos sIn LiLuIo.
SI Iu prucLIcu de Iu dIIIgencIu perIcIuI no udmILIere esperu, se procederu como Ius cIrcunsLuncIus Io
permILun puru que eI ucLor y eI procesudo puedun InLervenIr en eIIu.
z1
q,. SI Ius purLes IIcIeren uso de Iu IucuILud que se Ies concede en eI urLicuIo unLerIor, munIIesLurun
uI Juez eI nombre deI perILo, y oIrecerun, uI Iucer esLu munIIesLucIn, Ios comprobunLes de Lener Iu
cuuIIdud de LuI perILo Iu personu desIgnudu.
En nIngn cuso podrun Iucer uso de dIcIu IucuILud despus de empezudu Iu operucIn de
reconocImIenLo.
q,. EI Juez resoIveru sobre Iu udmIsIn de dIcIos perILos en Iu Iormu deLermInudu en eI urLicuIo
q;o puru Ius recusucIones.
q,q. AnLes de durse prIncIpIo uI ucLo perIcIuI, Lodos Ios perILos, usi Ios nombrudos por eI Juez como
Ios que Io IubIeren sIdo por Ius purLes, presLurun jurumenLo, conIorme uI urLicuIo qq, de proceder
bIen y IIeImenLe en sus operucIones, y de no proponerse oLro IIn mus que eI de descubrIr y decIurur
Iu verdud.
q,g. EI Juez munIIesLuru cIuru y deLermInudumenLe u Ios perILos eI objeLo de su InIorme.
q,6. AI ucLo perIcIuI podrun concurrIr, en eI cuso deI purruIo z urLicuIo q6;, eI quereIIunLe, sI Io
IubIere, con su represenLucIn, y eI procesudo con Iu suyu un cuundo esLuvIere preso, en cuyo cuso
udopLuru eI Juez Ius precuucIones oporLunus.
q,,. EI ucLo perIcIuI seru presIdIdo por eI Juez InsLrucLor o, en vIrLud de su deIegucIn, por eI Juez
munIcIpuI. Podru LumbIn deIegur en eI cuso deI urLicuIo en un IuncIonurIo de PoIIciu judIcIuI.
AsIsLIru sIempre eI SecreLurIo que ucLe en Iu cuusu.
q,S. EI InIorme perIcIuI comprenderu, sI Iuere posIbIe:
1) DescrIpcIn de Iu personu o cosu que seu objeLo deI mIsmo, en eI esLudo o deI modo en que se
IuIIe.
EI SecreLurIo exLenderu esLu descrIpcIn, dIcLundoIu Ios perILos y suscrIbIndoIu Lodos Ios
concurrenLes.
z) ReIucIn deLuIIudu de Lodus Ius operucIones prucLIcudus por Ios perILos y de su resuILudo,
exLendIdu y uuLorIzudu en Iu mIsmu Iormu que Iu unLerIor.
) us concIusIones que en vIsLu de LuIes duLos IormuIen Ios perILos, conIorme u Ios prIncIpIos y
regIus de su cIencIu o urLe.
q,q. SI Ios perILos LuvIeren necesIdud de desLruIr o uILerur Ios objeLos que unuIIcen, deberun
conservurse, u ser posIbIe, purLe de eIIos en poder deI Juez puru que, en cuso necesurIo, puedu
Iucerse nuevo unuIIsIs.
qSo. us purLes que usIsLIeren u Ius operucIones o reconocImIenLos podrun someLer u Ios perILos Ius
observucIones que esLImen convenIenLes, IucIndose consLur Lodus en Iu dIIIgencIu.
qS1. HecIo eI reconocImIenLo, podrun Ios perILos, sI Io pIdIeren, reLIrurse por eI LIempo
ubsoIuLumenLe precIso uI sILIo que eI Juez Ies seuIe puru deIIberur y reducLur Ius concIusIones.
qS. SI Ios perILos necesILuren descunso, eI Juez o eI IuncIonurIo que Ie represenLe podru
concederIes puru eIIo eI LIempo necesurIo.
TumbIn podru suspender Iu dIIIgencIu IusLu oLru Ioru u oLro diu, cuundo Io exIgIere su nuLuruIezu.
En esLe cuso, eI Juez o quIen Io represenLe udopLuru Ius precuucIones convenIenLes puru evILur
cuuIquIer uILerucIn en Iu muLerIu de Iu dIIIgencIu perIcIuI.
qS. EI Juez podru, por su propIu InIcIuLIvu o por recIumucIn de Ius purLes presenLes o de sus
deIensores, Iucer u Ios perILos, cuundo produzcun sus concIusIones, Ius pregunLus que esLIme
perLInenLes y pedIrIes Ius ucIurucIones necesurIus.
z1q
us conLesLucIones de Ios perILos se consIderurun como purLe de su InIorme.
qSq. SI Ios perILos esLuvIeren dIscordes y su nmero Iuere pur, nombruru oLro eI Juez.
Con InLervencIn deI nuevumenLe nombrudo, se repeLIrun, sI Iuere posIbIe, Ius operucIones que
IubIesen prucLIcudo uquIIos y se ejecuLurun Ius demus que purecIeren oporLunus.
SI no Iuere posIbIe Iu repeLIcIn de Ius operucIones nI Iu prucLIcu de oLrus nuevus, Iu InLervencIn deI
perILo ILImumenLe nombrudo se IImILuru u deIIberur con Ios demus, con vIsLu de Ius dIIIgencIus de
reconocImIenLo prucLIcudus, y u IormuIur Iuego con quIen esLuvIere conIorme, o sepurudumenLe sI
no Io esLuvIere con nInguno, sus concIusIones moLIvudus.
qSg. EI Juez IucIIILuru u Ios perILos Ios medIos muLerIuIes necesurIos puru prucLIcur Iu dIIIgencIu que
Ies encomIende, recIumundoIos de Iu AdmInIsLrucIn pbIIcu, o dIrIgIendo u Iu AuLorIdud
correspondIenLe un uvIso prevIo sI exIsLIeren prepurudos puru LuI objeLo, suIvo Io dIspuesLo
especIuImenLe en eI urLicuIo 6z.

z1
ApndIce E - Recursos
Ibros
EnconLrur IIbros sobre segurIdud InIormuLIcu no sIempre es Lureu IucII. En esLu seccIn se
IncIuye un conjunLo de reIerencIus que pueden servIr de punLo de purLIdu. Se podrun enconLrur
enLre eIIus LunLo escrILos sobre DeLeccIn de nLrusIones como sobre segurIdud en generuI.

DeLeccIn de nLrusIones y LecnoIogius sImIIures
Amoroso, Edwurd G. Intrusion Detection: An Introduction to Internet Surteillcnce, Correlction,
Trcce ccl, Trcps, cnd Response. nLrusIon.NeL Books, Iebrero de 1qqq.
Buce, Rebeccu. Intrusion Detection. MucmIIIun TecInIcuI PubIIsIIng, zooo.
CusweII, BrIun , Juy BeuIe, Jumes C. osLer, Jeremy uIrcIoLI. Snort z.o Intrusion Detection.
Syngress, zoo.
EscumIIIu, Terry. Intrusion Detection: Netuorl Securit eond the Iireucll. JoIn WIIey und
Sons, 1qq8.
reIss, MurLIn und R. BucI. Protectin Netuorls uith Sctcn: Internet Securit jor Sstem
Administrctors. O'ReIIIy und AssocIuLes, 1qq8.
unce SpILzner. Honepots: Trcclin Hcclers. AddIson WesIey ProIessIonuI, zooz.
Murruy, Jumes D. und D. RusseII (ed.). Windous NT Etent Loin. O'ReIIIy und AssocIuLes, 1qq8.
NorLIcuLL, SLepIen. Netuorl Intrusion Detection: An Anclsts' Hcndbool. Que, 1qqq.
NorLIcuLL, SLepIen und Judy Novuk. Netuorl Intrusion Detection. Que, zooz.
NorLIcuLL, SLepIen, enny ZeILser, ScoLL WInLers, Kuren redrIck, RonuId W. RILcIey. Inside
Netuorl Perimeter Securit: The Dejinitite Guide to Iireuclls, Virtucl Pritcte Netuorls (VPNs),
Routers, cnd Intrusion Detection Sstems. Que, zooz.
NorLIcuLL, SLepIen, Murk Cooper, MuLL eurnow, Kuren rederIck. Intrusion Sinctures cnd
Anclsis. Que, zoo1.
ProcLor, PuuI E. Prccticcl Intrusion Detection Hcndbool. PrenLIce HuII, zooo.
TIe HoneyneL ProjecL. Knou Your Enem: Reteclin the Securit Tools, Tcctics, cnd Motites oj
the lcclhct Communit. AddIson-WesIey Pub Co, zoo1.

SegurIdud generuI
ALkIns, Derek. Internet Securit: Projessioncl Rejerence. New RIders Press, 1qq;.
GurIInkeI, SImson und E. H. SpuIIord. Prccticcl UNIX cnd Internet Securit. O'ReIIIy und
AssocIuLes, 1qq6.
GoIImunn, DIeLer. Computer Securit. JoIn WIIey & Son Ld, 1qqq.
ApndIce E - Recursos. Libros
z16
Jumes, Jumes und Coopers und ybrund. Microsojt Windous NT (.o Securit, Audit, cnd Control.
MIcrosoIL Press, 1qq8.
KuuImun, CIurIIe, R. PerImun, M. SpecIner, C. KuuImun. Netuorl Securit: Pritcte
Communicction in c Public World. PrenLIce HuII, zooz.
Munn, ScoLL, E. . MILcIeII. Linux Sstem Securit: The Administrctor's Guide to Dpen Source
Securit Tools. PrenLIce HuII, 1qqq.
PIIeeger, CIurIes P. Securit in Computin. PrenLIce HuII, zooz.
PIpkIn, DonuId, DonuId . PIpkIn. Injormction Securit: Protectin the Globcl Enterprise.
PrenLIce HuII, zooo.
PoocI, Udo und Gregory WIILe. Computer Sstem cnd Netuorl Securit. CRC Press, 1qq.
RusseII, DeboruI. Computer Securit csics. O`ReIIIy und AssocIuLes, 1qq1.

CrIpLogruIiu
erguson, NIeIs, Bruce ScIneIer. Prccticcl Crptorcph. JoIn WIIey & Sons, zoo.
GurIInkeI, SImson. PGP: Prett Good Pritcc. O`ReIIIy und AssocIuLes, 1qq.
Menezes, AIIred J., PuuI C. Vun OorscIoL, ScoLL A. VunsLone. Hcndbool oj Applied Crptorcph.
CRC Press, 1qq6.
ScIneIer, Bruce. Applied Crptorcph: Protocols, Alorithms, cnd Source Code in C. JoIn WIIey
und Sons, 1qq.
ScIneIer, Bruce. Secrets cnd Lies: Diitcl Securit in c Netuorled World. JoIn WIIey & Sons,
zooo.
SLuIIIngs, WIIIIum. Crptorcph cnd Netuorl Securit: Principles cnd Prcctice. PrenLIce HuII,
zooz.

AnuIIsIs Iorense
Cusey, EogIun. Diitcl Etidence cnd Computer Crime. AcudemIc Press, zooo.
Cusey, EogIun. Hcndbool oj Computer Crime Intestiction: Iorensic Tools & Technolo.
AcudemIc Press, zoo1.
Kruse , Wurren G., Juy G. HeIser. Computer Iorensics: Incident Response Essenticls. AddIson-
WesIey Pub Co., zoo1.
MurceIIu, AIberL J., R. S. GreenIIeId. Cber Iorensics: A Iield Mcnucl jor Collectin, Excminin,
cnd Presertin Etidence oj Computer Crimes. AuerbucI PubIIcuLIons, zooz.
ProsIse, CIrIs, KevIn MundIu. Incident Response: Intestictin Computer Crime. McGruw-HIII
Osborne MedIu, zoo1.
Vuccu, JoIn R., MIcIueI ErbscIIoe. Computer Iorensics: Computer Crime Scene Intestiction.
CIurIes RIver MedIu, zooz.

ApndIce E - Recursos. Recursos WWW
z1;
Cusos concreLos de upIIcucIn
GurIInkeI, SImson und E. H. SpuIIord. Web Securit cnd Commerce. O`ReIIIy und AssocIuLes, zooz.
GIosI, Anup K. -Commerce Securit: Wecl Linls, est Dejenses. JoIn WIIey und Sons, 1qq8.
McGruw, Gury und E. eILen. Securin 1ctc: Gettin Doun to usiness uith Mobile Code. JoIn
WIIey und Sons, 1qqq.

HIsLorIus sobre segurIdud
reedmun, DuvId und C. Munn. At Lcre: The Strcne Ccse oj the World's iest Internet
Intcsion. ToucIsLone Books, 1qq8.
SIuLuIu, MIcIeIIe. und J. QuILLner. Mcsters oj Deception: The Gcn Thct Ruled Cberspcce.
PerennIuI, 1qq6.
SLoII, CIIIIord. The Cucloo's E. PockeL Books, zooo.

Recursos WWW
(retiscdos en junio de zoo)
EI mundo de Iu segurIdud de Ius LecnoIogius de Iu InIormucIn es muy dInumIco y exIgenLe.
os experLos necesILun uLIIIzur medIos de comunIcucIn cupuces de udupLurse u esLos cumbIos. os
recursos de nLerneL son perIecLos puru esLu Iubor. Aunque Ius reIerencIus u conLInuucIn no exImen
de Iu IecLuru de Ios IIbros yu mencIonudos, es convenIenLe conocerIus puru esLur uI LunLo de Ius
ILImus noLIcIus y novedudes.

PorLuIes de segurIdud
CenLer Ior EducuLIon und ReseurcI In nIormuLIon Assurunce und SecurILy, Purdue UnIversILy
hffp://WWW.ce1as.pudue.edu/
EnGurde SysLem`s Secure Zone
hffp://WWW.secuezone.com/
HuckIng und Huckers - CompuLer SecurILy Progrums DownIoudIng SeurcI EngInes PorLuI News
hffp://WWW.1nfosyssec.og/1nfosyssec/1ndex.hfm1
NuLIonuI nsLILuLe oI SLundurds und TecInoIogy CompuLer SecurILy Resource CIeurIngIouse
hffp://csc.n1sf.gov

nIormucIn sobre vuInerubIIIdudes y segurIdud
sLuke, nc.
hffp://WWW.afsfake.com/
z18
CERT CoordInuLIon CenLer, CurnegIe MeIIon UnIversILy
hffp://WWW.cef.og
CompuLer SecurILy News DuIIy
hffp://WWW.mounfa1nWave.com
CrIpLoRed
hffp://WWW.1ps1.eu1.upm.es/c1pfoed/c1pfoed.hfm
esCERT
hffp://escef.upc.es/
nLerneL SecurILy SysLems`s XIorce vuInerubIIILy duLubuse
hffp://xfoce.1ss.nef
rIsCERT
hffp://WWW.ed11s.es/cef/
NT-BugLruq
hffp://WWW.nfbugfaq.com
SecurILy ocus (BugLruq, DS, y oLros Ioros de dIscusIn)
hffp://WWW.secu1fyfocus.com/

DocumenLos sobre DeLeccIn de nLrusIones
Runum, Murcus J. CSA ubs DSC. Iclse Positites: c User's Guide to Mclin Sense oj IDS
Alcrms. ebrero, zoo.
hffp://WWW.1csa1abs.com/hfm1/commun1f1es/1ds/Wh1fepape/Ia1sePos1f1ves.pdf
Buce, Rebeccu, PeLer MeII. CSA ubs. An Introduction to Intrusion Detection And Assessment.
hffp://WWW.1nf1de1.nef/Af1c1es/lC5AWh1fepape.pdf
Buce, Rebeccu. NIST Specicl Publicction on Intrusion Detection Sstems. 1qqq.
hffp://csc.n1sf.gov/pub11caf1ons/n1sfpubs/00-31/sp00-31.pdf
ee, Wenke, SuI. SLoIIo, und KuI Mok. A Dctc Minin Ircmeuorl jor uildin Intrusion
Detection Models. ProceedIngs oI LIe 1qqq EEE SymposIum on SecurILy und PrIvucy, OukIund,
CA, Muy 1qqq.
hffp://WWW.cc.gafech.edu/~Wenke/papes/1eeesp991ee.ps
KruegeI, CIrIsLopIer, TIomus ToLI und EngIn KIrdu. Sertice Specijic Anomcl Detection jor
Netuorl Intrusion Detection. SymposIum on AppIIed CompuLIng (SAC), ACM DIgILuI Ibrury,
SpuIn, MurcI zooz.
hffp://WWW.1nfosys.fuW1en.ac.af/5faff/ch1s/doc/200203.ps
PLucek, TIomus H. und T. NewsIum. Insertions, Etcsion, cnd Denicl oj Sertice: Eludin
Netuorl Intrusion Detection. Enero 1qq8 .
hffp://WWW.secu1fyfocus.com/dafa/11bay/1ds.ps

ProducLos, desurroIIo
AgnILum - OuLposL IrewuII
hffp://WWW.agn1fum.com/poducfs/oufposf/
BIndvIew DeveIopmenL
hffp://WWW.b1ndv1eW.com
Bro
hffp://WWW.1c1.og/ven/bo-1nfo.hfm1
z1q
CounLerpune SysLems
hffp://WWW.counfepane.com
EnGurde SysLems
hffp://WWW.engade.com
EnLerusys - Drugon nLrusIon DeLecLIon SysLem
hffp://WWW.enfeasys.com/poducfs/1ds/
EnLerusys NeLworks
hffp://WWW.enfeasys.com/home.hfm1
DSwukeup
hffp://WWW.hsc.f/essouces/ouf11s/1dsWakeup/1ndex.hfm1
nLerneL SecurILy SysLems
hffp://WWW.1ss.nef
nLrusIon DeLecLIon CybersuIe
hffp://WWW.cybesafe.com
NeLwork AssocIuLes
hffp://WWW.na1.com
NDSbencI
hffp://packefsfom.W1dexs.n1/uNlX/lD5/n1dsbench/n1dsbench.hfm1
PorLcuIIIs CompuLer SecurILy Ld. - Drugon nLrusIon DeLecLIon SysLem
hffp://WWW.pofcu111s-secu1fy.com/Poducfs/
PreIude
hffp://WWW.pe1ude-1ds.og
RSA SecurILy nc.
hffp://WWW.sasecu1fy.com/
SnorL
hffp://WWW.snof.og/
SR nLernuLIonuI
hffp://WWW.cs1.s1.com/pogams/secu1fy/
TrIpwIre SecurILy SysLems
hffp://WWW.f1pW1esecu1fy.com

ReIerencIus vurIudus sobre DeLeccIn de nLrusIones
Dun urmer`s securILy puges
hffp://WWW.f1sh.com
DS AQ
hffp://WWW.obefgaham.com/pubs/nefWok-1nfus1on-defecf1on.hfm1
MIcIueI SobIrey`s nLrusIon DeLecLIon SysLems puge
hffp://WWW-nks.1nfomaf1k.fu-coffbus.de/~sob1ey/1ds.hfm1
SANS nIoSec ReudIng Room - nLrusIon DeLecLIon
hffp://WWW.sans.og//caf1ndex.php?caf1d=30
SANS nsLILuLe nLrusIon DeLecLIon AQ
hffp://WWW.sans.og/esouces/1dfaq/
TruSecure CorporuLIon
hffp://WWW.fusecue.com/
zzo
nLrusIon DeLecLIon
hffp://cnscenfe.fufue.co.k/secu1fy/1ds.hfm1
SecurILyocus DS
hffp://WWW.secu1fyfocus.com/1ds
PugInu personuI de Wenke ee
hffp://WWW.cc.gafech.edu/~Wenke/

OrgunIzucIones
Advunced CompuLIng SysLems AssocIuLIon
hffp://WWW.usen1x.og
AssocIuLIon Ior CompuLIng MucIInery
hffp://WWW.acm.og
CompuLer SecurILy nsLILuLe
hffp://WWW.gocs1.com/
nIormuLIon SysLems AudIL und ConLroI AssocIuLIon (SACA)
hffp://WWW.1saca.og
nsLILuLe oI EIecLrIcuI und EIecLronIc EngIneers (EEE)
hffp://WWW.1eee.og
nLernuLIonuI nIormuLIon SysLems SecurILy AssocIuLIon (SSA)
hffp://WWW.1ssa-1nf1.og/
nLernuLIonuI nIormuLIon SysLems SecurILy CerLIIIcuLIon ConsorLIum (SCC)
hffps://WWW.1sc2.og/
nLerneL EngIneerIng Tusk orce
hffp://WWW.1eff.og
nLerneL SocIeLy
hffp://WWW.1soc.og/
nLrusIon DeLecLIon WorkIng Group oI ET
hffp://WWW.1eff.og/hfm1.chafes/1dWg-chafe.hfm1
SysLem AdmInIsLruLIon, NeLworkIng, und SecurILy nsLILuLe
hffp://WWW.sans.og/

Grupos de dIscusIn, IIsLus de correo
SecurILyocus - DS MuIIIng IsL (ocus-Ids)
hffp://WWW.secu1fyfocus.com/ach1ve/96
SecurILyocus - orensIcs MuIIIng IsL (orensIcs)
SecurILyocus - orensIcs In SpunIsI MuIIIng IsL (orensIcs-es)
SecurILyocus - HoneypoLs MuIIIng IsL (HoneypoLs)

zz1

NormuLIvu IeguI, orgunIsmos oIIcIuIes
GuurdIu CIvII - Grupo de DeIILos TeIemuLIcos
hffp://WWW.guad1ac1v11.og/00fe1emaf1cos/
C.N.P. - BrIgudu de nvesLIgucIn LecnoIgIcu
hffp://WWW.m1.es/po11c1a/b1f/
DeIILos nIormuLIcos -- nIormucIn IeguI Nuevus TecnoIogius
hffp://WWW.de11fos1nfomaf1cos.com/

UnIversIdudes
owu SLuLe UnIversILy
hffp://WWW.1ss1.og
Purdue UnIversILy
hffp://WWW.cs.pudue.edu
UnIversILy oI CuIIIornIu, DuvIs
hffp://sec1ab.cs.ucdav1s.edu
UnIversILy oI CuIIIornIu, SunLu Burburu
hffp://cs.ucsb.edu
UnIversILy oI duIo
hffp://WWW.cs.u1daho.edu
UnIversILy oI WoIIongong
hffp://WWW.uoW.edu.au/

zz
ApndIce - ndIce
A
AAII {Agentes Aotnomos puru lu
eteccin de Introsiones), ,, ,, ,q, 1qg
occountohilitg, q, 1g,, 1S,
ACL {Listu de Control de Acceso), 1g,, 1,q
AAM, 61, 6
ugente, 1, ,o, ,, ,, ,q, ,6, 1o, 11q, 1o,
1, 1qq, 1qq, 1g1, 1g, 1g,, 16, 16g, 16,,
1,,, q
de usuurIo, 1, 16
Agentes Aotnomos puru lu eteccin de
Introsiones. Vose AAII
uislumiento, 1o1, 161
ALA, 61, 6, 6q
umenuzu, 1q, qg, 1, 16q, 16,
unlisis
busudo en InLervuIo, 161, 16;
con ucredILucIones, 88, 1q, 16;
de vuInerubIIIdudes, 88, 8q, q1, qz, 16, 16;,
1;z, 1;
dInumIco, 1q, 16;
en modo por IoLes, 18, 16;
en LIempo reuI, zo, zz, qq, 16, 16;
esLuLIco, 8;, 16q, 16;
unulizudor de volnerubilidudes, SS, Sq,
1oS, 16g, 1,
uncho de bundu, 1, q,, 1oq, 1qq, 1gS, 16,
Anderson, Jumes P., ,, 11, 1S1
unomuliu, S, q, 1q, o, q, qq, qg, q6, q,, gq,
6o, 61, 6, 6, 6q, 66, 6,, 6S, 6q, ,1, ,g,
,6, 1o, 11q, 11g, 1q, 1qq, 1q6, 1gg, 1g,,
16, 16,, 1,1, 1,
onomolg, qq, 6, 6, S, Sq, Sg, 1g,, 16,
16q, 1S6, 1SS, 1Sq, 1q, 1q, 1qg, 1S
API {InterIuz de progrumucin de
uplicuciones), gq, g,, 1g,, 1,q
uplicucin enguosu, 1o, 1oS, 1oq, 1gq, 16,
opplicotion hosed, 1q, 1g,
Applicotion Progrom 1nterfoce. Vose API
urchivo, ,, 11, 1g,, 1gq, 1,, oo, 1, qo
ARPAnet, , g
orrogs, q, q6
ASL, g,
ossesment sgstem, S,, 1g,
utriboto, 6o, 6, 6q, 6g, S,, SS, 1g,, 16q,
1,q, 1,g
oudit, 6, ,, S, 11, 1, 6, S, ,, S1, S, S,
Sq, Sg, 1q,, 1g,, 1gq, 16, 16q, 1S, 1Sg,
1S6, 1S,, 1SS, 1Sq, 1qo, 1q1, 1q, 1q, 1qq,
16, o
clcsses, z6
jlcs, z6
reduction, ;, z8, 1;
trcil, 1, 1;, 16z
uoditoriu, g, 6, ,, q, 1, 1S, , q, g, 6,
,, S, q, o, q6, q,, g, gq, gS, 6o, 66,
6,, ,1, ,, 11, 11g, 1S, 1q, 1g,, 1gq, 16,
16q, 16S, 1,, 1,q, 1,,
cIuses de, z6, 1;
InIormes de, z
rusLro de, 1, z8
reduccIn de, z8, o, 6o, 11, 1;, 1q, 1;6
uotenticucin, S, 16, 1, Sq, q1, 116, 1g,,
16o, 16q, 16S, 1,, 1,6
uotentiIicucin, q, 1g,, 16S
uoto contenido, 16, 16S
uoto corucin, 16
uoto-corucin, ,,
Autonomous Agents for 1ntrusion
Detection. Vose AAII
uotorizucin, ,,, 1, 1g,, 16S, 1q,, o
B
hockup, ,, 1gS
busudo en
ugenLes, ;o, ;z, ;q
upIIcucIn, 1q, z, 1o, 1o8, 1oq, 1;, 168
muquInu, q, 18, z, z, q, 8;, 88, 8q, q1,
1oz, 1o, 1zo, 1zq, 16o, 161, 168
modeIos,
muILI-muquInu, 18, 161, 168
objeLIvo, 1q, z, 6o, 16q, 168
red, q, 1q, , q, q6, o, z, 61, 6;, ;q, ;,
88, 8q, qo, q1, 1o, 11q, 116, 11q, 1zo, 1zz,
1z, 1zq, 1z, 1q, 1qq, 161, 168, 1;1
redes neuronuIes, 6;
regIus, 8, 1, 66, ;1, 11, 1zo, 16, 168, 1;8
LesLIgos, 16
buse de reglus, 66, 6,, 16, 16S
Bosic Securitg Module. Vose BSM, Vose
BSM
hotch mode, o, qq, 1gS
Berkeleg Pocket 1ilter. Vose BPI
hinorg log formot, , 1gS
Biologiu. Vose sistemu inmone
Bloqoe de mensujes de servidor. Vose
SMB
hridge, 1gS
Bro, go, g, g, S, 1o, 16, 1qo, 1q1, 1S
Apendice I - ndice
zzq
BSM {Bosic Securitg Module), g, 6, S1,
1gS, 1,g
BSM {Mdolo de Segoridud Bsico), g, 6,
S1, 1gS, 1,g
bIer, 1gS, 16q, 1,o, 1,g
huffer, 1,, g1, 1gS
C
C {nivel de TSIC), 6, q, g, 6, 1,g
cuble de slo recepcin, , q, 1o, 16,
16q
Cupu de Conexin Segoru. Vose SSL
clolu de uislumiento, 1o1, 16, 1,o
Cerherus 1nternet Sconner. Vose CIS
CGI {InterIuz comn de ucceso), g1, 1gS,
1,
Ch
checksum, , 6o, 1gS
C
Ciberdelincoenciu, Convenio sobre lu, 1o,
11
CII {Murco de eteccin de Introsiones
Comn), ,, Sg, 1S, 1q,, 1go, 1gq, 1gS,
1,q, 1SS
ciIrudo, 16, 1,, 1q, ,q, qq, 1o, 11, 1, 1,
1q, 1q1, 1qq, 1qg, 1q6, 1g1, 1gq, 16S, 16q,
1,1, 1,, 1,6
CIS {Cerherus 1nternet Sconner), Sq, 1oq
cluve, 16, 1,, S, q, 1q1, 1qg, 16
CLIPS, g,
clusterig onolgsis, 6g, 1gS
cdigo ubierto, qS, 1o, 16o, 16, 1,o, 1,S
Cdigo Penul, 11, 1, 1, 1q, 1g, 16,
1qS, 1qq
Colored Petri Net, gq, gg, 1gS, Vose CP-net
Colored Petri Net {CP-net), gg, 1gS, 1,g, 1Sq
Common Coteuog 1nterfoce. Vose CGI
Common 1ntrusion Detection 1romeuork.
Vose CII
Common Log 1ormot. Vose CIL
composicin, , 1g, 1gS, 16q
comprobudor de integridud, 16o, 16q
comprometido, gg, ,q, qg, 1, 1S, 1gS,
16q, 1qS
concentrudor, q, 1, 16o, 16, 16q, 1,1,
1,,
condicin de curreru, 1,, ,o, 16, 16q
conIiunzu, , 6, 1, 1q, 1,, 1S, q, gq, SS, 11q,
16q, 16g, 16q, 1,o, 1,q, 1,g, 1,,, 1,q
conIidenciulidud, 6, 1q, 1o, 11, 1gS, 16q,
1,,, 1qS
conmotudor, 1q, q, qg, 1o, 1og, 1o6, 1o,,
1oS, 116, 1, 1, 1g, 1qq, 1gS, 16q, 16q,
1,1, 1,6
IibrIdo, 1q
conmotudor hibrido, 1o, 1o,, 1oS
contruseu, 16, qq, 6o, SS, q1, 11g, 16, 16,
16,, 1,1, 1,,
contruseu ocoltu, 16
control de ucceso, 16, 1,, q, q, qg, 1g,,
1gq, 161, 1,o
Control de ucceso discrecionul. Vose AC
Control de uccesos obligutorio. Vose MAC
Convenio sobre lu Ciberdelincoenciu, 1o,
11
copiu de segoridud, 6, 1gS
correlucin, , Sq, 11, 1g, 1g, 1gg, 1gS,
1,o
cortuIoegos, 1,, q, qo, q, qg, q6, q,, 1oo,
1o, 1o, 1og, 1o6, 1o,, 1oS, 11g, 116, 1o,
11, 1, 1qq, 1g, 16o, 1,o, 1,S
crocking, 1q
credentioled, SS, 1gq
CRISIS {Criticol Resource Allocotion ond
1ntrusion Response for Suroioohle
1nformotion Sgstems), 1S, 1q,
Criterio de Ivuloucin de Sistemus
InIormticos Iiubles. Vose TCSIC
Criticol Resource Allocotion ond 1ntrusion
Response for Suroioohle 1nformotion
Sgstems. Vose CRISIS

AC {Control de ucceso discrecionul), 16,
1gq, 1,o
ARPA {Defense Adoonced Reseorch
Projects Agencg), 1S, 1q1
doto mining, ,1, ,, ,q, Sg, 1g, 1gq, 1S,
1SS, 1Sq, 1S
dutugrumu, ,, S, 1gq, 1,o
oS {enegucin de servicio distriboidu),
1og, 1q1, 1gq, 1,o
deceptioe opplicotion, 1oS, 1oq, 1gq
decog, ,S, 1gq
Defense Adoonced Reseorch Projects
Agencg. Vose ARPA
Definohle Lof 1ormot. Vose LI
delitos inIormticos, 1,, 1o, 11, 1, 1,
1g, 16, 1q, 1qS
De-Militorized Zone. Vose MZ
enegucin de servicio. Vose oS
enegucin de servicio distriboidu. Vose
oS
Deniol of Seroice. Vose oS
enning, orothy, ,, 11, q6, gq, 6,, S, S,
11o, 1q, 1q,, 1S, 1S,
Apendice I - ndice
zz
erecho
cIvII, 1z8
penuI, 1o
procesuI, 1o
desbordumiento de bIer, 1o6, 11g, 1gS,
16q, 1,o, 1,
deteccin
de unomuIius, 1q, q, q6, q;, q8, qq, 1, 8,
q, 6o, 61, 6z, 6, 6, 66, 6;, 68, 6q, ;z, ;,
8o, 1o, 1o;, 11q, 11, 1zo, 1q, 1z, 1,
1;, 1;1
de InLrusIones, , , ;, 8, q, 1o, 1, 1q, 1, 16,
18, 1q, zo, z1, zz, z, zq, zq, o, z, , 8,
q, q1, qz, q, qq, q;, qq, 1, 6, ;, 61, 6q,
66, 6;, 6q, ;o, ;1, ;z, ;, ;q, ;, ;6, ;8, ;q,
8o, 81, 8;, 8q, q1, qz, q, 1oo, 1o1, 1oz,
11, 11q, 1zo, 1o, 1;, 18, 1q, 1qo, 1q1,
1qz, 1qq, 1qq, 1o, 11, 1z, 1, 1, 161,
16q, 1;o, 1;1, 1;z, 1;, 1;q, 1;, 1;8, 181
de muquInu, 1zq
de red, 11q
dIIusu, ;q
de usos IndebIdos, 1q, q, q6, q;, q8, qq, o,
, q, ;, q, 6o, 6z, 6q, 6, 6q, 1o, 11,
11, 1z, 161, 1;1
eteccin de introsiones de nodo de red.
Vose NNI
eteccin de introsiones de red. Vose NI
detector
de muquInu, 1q6
de nodo de red, 1z
de red, 1q6
etector de Introsiones de mqoinu. Vose
HI
deterministu, 1gq, 1,1
IS {Distrihuted 1ntrusion Detection
Sgstem), q, 1o, 11, go, 1q
direccin, 1, , 6, ,, qo, ,,, ,S, q,, 1oq,
116, 1o, 1g, 16, 1qg, 1g,, 1,, 1,6, q
Discretionorg Access Control. Vose AC
dispurudor, 6o, 16g
disponibilidud, 1q, 1o, 11, 1gS, 1,1, 1,,,
1qS
dispositivo de escochu de red, q, S, 1o,
16, 1,1
Distrihuted Deniol of Seroice. Vose oS
Distrihuted 1ntrusion Detection Sgstem.
Vose IS
LI {Definohle Lof 1ormot), 1
MZ {Zonu desmiliturizudu), 11, 1gq, 1,q
NS {Sistemu de Nombres de ominio), 1,
,, 1og, 11, 1g, 1gq, 1,S, 1,q
Domoin Nome Sgstem. Vose NS
orothy enning, ,, 11, q6, gq, 6,, S, S,
11o, 1q, 1q,, 1S, 1S,
oS {enegucin de servicio), o, 1og, 1o6,
1gq, 1,o
rugon, 1g, 1gq, 1q
I
IP {Electronic Doto Proccess), g, 6, 1gq
Electronic Doto Process. Vose IP
ILI {Extended Log 1ormot), 1
encuminudor, 16, 1,1
enmuscurudo, 161, 1,1
enmuscurumiento, 16, qo, ,o, 161, 16q, 1,
enrotudor, 16, 1,1
entorno conmotudo, 1qq, 16q, 1,1
entrenumiento, 6, 6q, 6,, 6S, ,g, 1o,, 1q,
16q
error de Tipo I, 16g, 1,1
error de Tipo II, 16g, 1,1
esculubilidud, 1qo, 1q1, 1g1, 16, 1,1
escuneo de poertos, ,q, qq, 16, 16q, 1,,
1,S
escuneo sigiloso de poertos, g1, 16, 16q,
1,, 1,S
escner de volnerubilidudes, 6S, S,, q1, 1q1,
1q
estegunogruIiu, 11, 16q, 1,
Ethernet, S, qo, 6, 1,, 1,S
Iogene H. SpuIIord, 11, q, , S, S, 11o,
1S1, 1S, 1Sq, 1S,, 1q, 1qg, 1g, 1,
eoent horizon, qq, 1gq
expert sgstem, q6, 1gq
exploit, q6, Sq, 1gq, 16q
Extended Log 1ormot. Vose ILI
I
Iulseumiento, 161, 16q, 1,
IulsiIicur, 1g
Iulso negutivo, 6S, ,q, q, 11q, 1q, 1go, 1gq,
16g, 1,1, 1,
Iulso positivo, qo, qq, 6,, 6S, ,1, ,q, q, 11q,
11g, 1qo, 1q, 1go, 1gq, 16g, 1,1, 1,
1ile Tronsfer Protocol. Vose ITP
Iiltro
busudo en concorduncIu de puLrones, z8
de unomuIius de proLocoIo, 61, 6q, 16, 1;z
de unomuIius esLudisLIcus, 61, 16q, 1;z
de puqueLes, 1;, 8, 18, 1;z
Iiltro de puqoetes Berkeley. Vose BPI
fingerprinting, qq
IIRI {1uzzg 1ntrusion Recognition
Engine), ,q
Iirmu, 1q, o, q6, gg, g,, 6, 6q, S1, 1q, 16,
16, 1,, 1q,, oq
Iormuto de registro binurio, 1gS, 1,
Apendice I - ndice
zz6
ITP {Protocolo de TrunsIerenciu de
Iicheros), q, g, 6, 6q, qq, 1og, 1oS,
11, 1gq, 16o, 1,6, 1,q
Ioncin resomen, o, 1o, 1q, 16o, 161,
16S, 16q, 1,
fuzzg doto mining, ,q, 16o
1uzzg 1ntrusion Recognition Engine.
Vose IIRI
fuzzg logic, ,q, 16o
G
goteuog, g, q,, 1o, 1gS, 16o
generucin de putrones probubles, 66, 6,
generucin de Putrones Probubles, 16, 1,
gestin
de buses de duLos, o
de memorIu, 1o6
de red, zz, ;8, ;q, 1z, 16z, 1;z, 1;
de rendImIenLo, 16z, 1;z, 1;
de segurIdud, q1, qz, q, ;, 16, 1;
gestor de registro de uctividudes, 161, 1,
GI {IdentiIicudor de gropo), , 16o
GLIMPSI, gS
Croph-Dosed 1ntrusion Detection Sgstem.
Vose GrIS
GrIS {Croph-Dosed 1ntrusion Detection
Sgstem), 1q1, 1S, 1q
guord, g6, 11o, 16o
gourdius, 16o
gosuno, q, 16g, 1,
H
hocking, 1q, 1g, 1,
hosh, o, , 6o, 16o
hosh function, o
Huystuck, S, 1o, g,, 61, 6, S, 1q, 1q,, 1S1,
1q
hibrido, 1q, ,o, 1o, 1g, 1g
HI {eteccin de introsiones de
mqoinu), 16o
historiul, ,, qS, 161, 16
Honegnet, q, qg, q6, q,, qS, qq, 1oo, 1o,
11o, 16o, 1g
Gen, q, q6, q;
Gen, q, q6, q;
The Honenet Project, q, 11o, z1
vIrLuuI
uuLo-conLenIdu, q8, qq
IibrIdu, qq, 1oo
honegpot, ,S, q, q, qg, qq, 1oq, 11o, 11,,
1gq, 16o, 1g, o
horizonte de evento, qq, 1gq, 1,
host hosed, 1S, , 16o
Host hosed 1ntrusion Detection. Vose HI
HTTP {Protocolo de TrunsIerenciu de
Hipertexto), 1, , q6, 6, S, 1og, 11,
1g, 16o, 1,6
hob, q
hoellu ductilur, qq, 1gq
hoellu digitul, 1gq
hghrid, 1q, 16, 1gq
Hgpertext Tronsfer Protocol. Vose HTTP
I
I&A {IdentiIicucin y uotenticucin), 16,
16o, 1,
IIS {Sistemu Ixperto de eteccin de
Introsiones), ,, S, 11, q6, q,, qq, go, 61,
6, 6g, S, 1q, 16o, 161, 16, 1,S, 1S,
1S6, 1Sq, 1q
IIOT {1ntrusion Detection 1n Our Time),
gg, g6, g,, 1S
IS {Sistemu de deteccin de introsiones),
1g, 1, 6S, q,, qq, 1o, 1o, 1o6, 1o,, 1oS,
11o, 11q, 11q, 1o, 1, 1g, 16, 1, 1q,
1qq, 1g1, 1gq, 16o, 161, 1,,, 1,S, 1q1, 1S,
1q, o
IWG, 1q, 1go
IITI {1nternet Engineering Tosk 1orce),
1S, 1q, 1go, 16o, 1,, 1,,, o
IIS {Sistemu de eteccin de Introsiones
Inteligente), ,q
IML {1ntrusion Detection Morkup
Longuoge), g,
inulmbrico, 16g
indoccin, ,1
informotion retrieool, gS, S, 16o, 1S1
in-line, mode, 1o, 1oq, 1og, 16o
inode,
inodo,
integrucin, , ,S, qo, 1qo, 16o, 1,
integridud, 1q, o, , 6o, S,, 1o, 11, 1q,
1o, 11, 16o, 1,, 1,,, 1,q, 1qS
inteligenciu urtiIiciul, , 1q, 1g, 1g,, 1,,
1,S
Interconexin de Sistemus Abiertos. Vose
OSI
interIuces, q, qo, 1o1, 1o, 1o, 1,, 1S,
1q, 1qg, 1,o, 1,q, 1,6
interIuz, S, S, q, qo, g1, ,, qS, 1oq, 11q,
1o, 1q6, 1g,, 1gS, 16o, 16, 16, 1,, 1,q,
1,g, 1,6
InterIuz comn de ucceso. Vose CGI
interIuz de comundos, S, 16, 16, 1,
poIImrIIcu, 16z, 1;
InterIuz de comundos segoru. Vose SSH
InterIuz de progrumucin de uplicuciones.
Vose API
Apendice I - ndice
zz;
Internet, , S, q, 11, g, 6, ,, g, gS, S,
S, Sq, Sq, qq, q6, 1o, 1og, 1oq, 11o, 116,
11, 16, 1, 1q, 1S, 1q, 1q,, 1g1, 1gq,
16o, 161, 16q, 16g, 1,, 1,6, 1,,, 1,q, 1S1,
1Sq, 1S6, 1S,, 1qo, 1q1, 1q, 1qq, 1qg, 1g,
1,, 1S, 1q, o
1nternet Engineering Tosk 1orce. Vose
IITI
1nternet Protocol Securitg. Vose IPsec
1nternet Protocol oersion o. Vose IPv6
interoperubilidud, 161, 1,q
introsin, 1o, qg, qS, go, gg, gS, gq, 6o, 6,
6,, ,1, ,S, So, qq, 11q, 11g, 1q, 1g, 1qo,
1q, 1q, 1go, 161, 16,, 16S, 1,, 1,, 1,q,
1,,, 1qS
1ntrusion Detection Expert Sgstem. Vose
IIS
1ntrusion Detection 1n Our Time. Vose
IIOT
1ntrusion Detection Morkup Longuoge.
Vose IML
1ntrusion Detection Sgstem. Vose IS
1ntrusion Preoention Sgstem. Vose IPS
invudir, 1gq, 1,o
IPS {Sistemu de prevencin de
introsiones), 1o, 1o, 1oq, 1o,, 1oS, 1oq,
1qq, 161, 1,S
IPSec {Segoridud de Procotolo Internet),
qq, 116, 1qq, 1q6, 16o, 1,,
IPv6 {Protocolo Internet versin 6), qq,
116, 1g1, 161
J
Jumes P. Anderson, ,, 11, 1S1
K
kernel-leoel oudit eoents, 6
L
Lee, Wenke, ,, ,g, Sg, 1SS, 1S, o
LIRA, 61, 6, 6q
lihpcop, S, g1, g, 1,, 1,q
Libro Murrn, 6, 1S, 16, 16q, 1,q, 1,S
Libro Nurunju, 6, , q, 1S, 16, 16, 1,o,
1,S
Linox, q, , S, g1, qg, q,, qS, 1o, 11o,
16
log, g, q, g, S, q, o, 1, S, 16, 1q,, 1g,,
1gq, 161, 16, 16q, 1S, 1S6, 1qo
lgicu diIosu, ,q, 16o, 1,q
LOP, 1q
lote, 1gS, 1,q
LSSICI, 1q, 1q,
M
MAC {Control de uccesos obligutorio), 16,
qo, 161, 1,o
Mondotorg Access Control. Vose MAC
Murco de eteccin de Introsiones Comn.
Vose CII
Murkov, Proceso, 6o, 6,
MIAS {Multics 1ntrusion Detection ond
Alerting Sgstem), S, go
mineriu de dutos, ,1, ,, 11q, 1g, 1gq, 16o,
1,q
dIIusu, 16o
misuse, ,, 1q, qq, S1, S, 161, 1S, 1S6, 1S,,
1SS, 1qo, 1q1, 1q
modo
de escucIu, 8, 1o, 16q
en Iineu, 1oq, 16o, 1;q
promIscuo, q, 1q, q, 16z, 1;, 1;6
mdolo, g, qo, q,, 1gS, 16, 1,g, 1,,
Mdolo de Segoridud Bsico. Vose BSM
monitor, ,, q, 11, 1q, , , , q, S, g,
,, 16, 1qq, 161, 16S, 1,q, 1,g, 1Sg, 1S6
monitor de reIerencius, ,
monitorizur, , S, q, 1o, 1, 1S, q, S, q,
q, qg, 11, 1o, 1q1, 1q, 1qg, 1g1, 161,
16,, 1,1, 1,g
Multics 1ntrusion Detection ond Alerting
Sgstem. Vose MIAS
multi-host, 1S, ,
bcsed, 18, 161
N
NAIR {Netuork Audit Director ond
1ntrusion Reporter), S, 6o, S, 1S6
Notionol Center for Supercomputing
Allionces. Vose NCSA
NCSA {Notionol Center for
Supercomputing Allionces), o, , 161
Nessos, 6S, qo, 1oq, 1q1
NITA, 61, 6, 6q
Netuork Audit Director ond 1ntrusion
Reporter. Vose NAIR
netuork hosed, 1q, 161
Netuork 1light Recorder. Vose NIR
Netuork 1ntrusion Detection. Vose NI
Netuork Node 1ntrusion Detection. Vose
NNI
Netuork Sgstem Monitor. Vose NSM
netuork top, q, S, 1oq, 1o, 1qq
Netuork Time Protocol. Vose NTP
Neomunn, Peter, ,, S, 1q1
Next-Cenerotion 1ntrusion Detection
Expert Sgstem. Vose NIIS
Apendice I - ndice
zz8
NIR {Netuork 1light Recorder), g,, S,
1qo
NI {eteccin de introsiones de red), 16
NIIS {Sistemu Ixperto de deteccin de
introsiones de sigoiente generucin), 11,
go, 61, 6, 161, 16, 1,S, 1q
NNI {eteccin de introsiones de nodo de
red), 1q, 16
no purumtrico, qq, 6g, 66, 16, 1,g
NSM {Netuork Sgstem Monitor), q, 11, 1Sg
NTP {Protocolo de Tiempo de Red), qo,
16, 1,6
O
Open Sgstems 1nterconnection. Vose OSI
OS fingerprinting, g1, 16
OSI {Interconexin de Sistemus Abiertos),
g, 6, 1o6, 16, 1,, 1,6
P
podded cell, 1o1, 16
puqoete, q, ,, qo, q,, 6q, q6, 16, 1,, 1,g
purche, 16, 1,g
pusurelu, 16o
possuord crocking, q1
putrn, qg, g6, g,, qq, 16, 1,
P-BIST, g,
Peter Neomunn, ,, S, 1q1
Petri Net Coloreudu. Vose CP-net
PHA, 61, 6, 6q, Sq, 1Sq
pilu, g, 1gS, 16, 16q, 1,o, 1,g, 1,6
pilu de protocolos, g, 16, 1,g, 1,6
plugin, 6, 16
politicu de monitorizucin, 161, 1,g
predictioe pottern generotion, 6o, 66, 16
Prelode, 1o, 1g, 16, 1g, 1gq, 1q
privucidud, , 1q, 16, 1,g, 1,6, 1q,
privilegio, 6, 1,, q, gq, Sq, 16, 1,q, 1,g
procesumiento por lotes, 1gS, 1,g
promiscuous mode, q, 16
Protocolo de Control de Trunsmisin [
Protocolo Internet. Vose TCP[IP
Protocolo de Tiempo de Red. Vose NTP
Protocolo de TrunsIerenciu de Iicheros.
Vose ITP
Protocolo de TrunsIerenciu de Hipertexto.
Vose HTTP
Protocolo Internet versin 6. Vose IPv6
Protocolo Simple de TrunsIerenciu de
Correo. Vose SMTP
poente, q,, 1oq, 1gS, 16q, 16q, 1,q, 1,6
poertu de enluce, q,, 16o
poertu truseru, 1o, 1gS, 16g, 16q, 1,6
R
roce condition, 1,, 16
rustreudor, 1q, q, g, S, q, qq, g, 1,
1qq, 16, 1,1, 1,q, 1,6
record, g, 6, 16
Red Privudu Virtoul. Vose VPN
red trumpu, qg, q,, 16o, 1,6
redes neoronules. Vose busudo en redes
neoronules
redoccin de dutos, 61, 66, 6q, ,, 1gq
registro
de upIIcucIn, 1;, 1;6
de uudILoriu, z, zq, z, z8, zq, o, z, q;,
, q, ;, 61, 66, 1z, 18, 1q, 1qo, 1qq,
1;, 1;6, 1;;
de evenLos, z;, z8, qq, q8, 1qq, 1q6, 1q, 168,
1;6, 1;;
de segurIdud, 16, 1;;
de sIsLemu, z, z8, zq, o, qq, q8, 8, 6o, 8o,
1z, 1q6, 16q, 1;;
repetidor, 16o, 16, 16q, 1,,
respoestu uctivu, 1, ,6, ,,, 1g,, 16, 1,6,
1,,
respoestu pusivu, ,S, So, 16, 1,,
resomen de mensuje, , 161
rompedor de contruseus, 16, 1,,
router, g, qg, q6, 1g, 1S, 1g
rule-hosed, 66
RLSSIL, g,
S
sulto de red, 161, 1,,
SATAN, qo, 1oq, 1q1, 1Sq
script, qq, 16
Secure Shell. Vose SSH
Secure Socket Loger. Vose SSL
segmento, , q, g, ,, S, 1oq, 11g, 11,
16, 16q, 1,1, 1,g, 1,6, 1,,
segoridud, , g, 6, ,, S, q, 1o, 1, 1q, 1g, 16,
1,, 1S, , , q, g, 6, ,, S, q, o,
g, q, q1, q, q, qq, qg, q6, qq, gq, gg,
gS, 6q, 6S, 6q, ,g, ,6, ,,, ,q, So, S1, S,,
SS, qo, q1, q, q, qq, qg, qS, qq, 1oo, 1o1,
1o, 1o6, 11, 11q, 11g, 116, 11q, 11, 1,
1, 1q, 1q, 1g, 1q, 1qo, 1q, 1q, 1qg,
1q6, 1qq, 1g, 1gg, 1gS, 16o, 16, 16,, 16S,
16q, 1,o, 1,1, 1,, 1,, 1,q, 1,g, 1,6, 1,,,
1,S, 1q,, 1g, 1,
poIiLIcu de, , 6, 1, 1q, 1, z, q6, z, ;, 8o,
11q, 16, 1;q, 1;, 1;8, 1;q
Segoridud de Procotolo Internet. Vose
IPSec
self-heoling, ,,, 16
sensor, qq, 1q1, 1q6, 1g1, 1g,, 16, 16,, 1,,
Apendice I - ndice
zzq
serie Arco Iris, 16, 1,q, 1,S
Seroer Messoge Block. Vose SMB
Servidor de Gestin de Sistemus. Vose
SMS
servidor seoelo, 1gq
session creep, gq, 6,, 6S, ,o, 16
shell, S, 16, 16, 16q, 1,
Short Messuge Service. Vose SMS
Simple Moil Tronsfer Protocol. Vose
SMTP
sistemu
experLo, 8, q6, o, 1q, 1;8
IibrIdo, 8
Inmune, 6q, ;o, 11q, 1z
Sistemu de eteccin de Introsiones. Vose
IS
Sistemu de eteccin de Introsiones
Inteligente. Vose IIS
Sistemu de Nombres de ominio. Vose
NS
Sistemu de prevencin de introsiones.
Vose IPS
Sistemu Ixperto de eteccin de
Introsiones. Vose IIS
Sistemu Ixperto de eteccin de
Introsiones de Sigoiente Generucin.
Vose NIIS
Sistemu inmone, 6q, ,o, 11q, 1g
sistemu trumpu, q, q, qq, qg, 1o1, 16o,
1,6, 1,S
sistemus de conIiunzu, 6, 16g, 1,S
Smuhu, Steve, S, 1o, 11, g,, S, 1q, 1q,, 1,,,
1S1, 1S, 1q, 1q
SMB {Bloqoe de mensujes de servidor), g1,
16, 16S
SMS {Servidor de Gestin de Sistemus), S,
16, 16q
SMS {Short Messuge Service), 11q, 1g
SMTP {Protocolo Simple de TrunsIerenciu
de Correo), 1oS, 11, 16, 1,q
sniffer, 1q, q, S, g, 16
sniffing cohle, , 16
Snort, 1g, go, g1, g, 6, 6S, S, 1o, 1oq,
11o, 1o, 16, 1q1, 1g, 1q
soItwure libre, 16o, 16, 1,o, 1,S, qo, q6
Soluris, g, ,, q, , q, g1, qg
SPAI, 61, 6, Sq, 1S6
SpuIIord, Iogene H., 11, q, , S, S, 11o,
1S1, 1S, 1Sq, 1S,, 1q, 1qg, 1g, 1,
SpuIIord, Gene, 11, q, , S, S, 11o, 1S1,
1S, 1Sq, 1S,, 1q, 1qg, 1g, 1,
sponning port, 1qq
SPICI, 6, Sq, 1S6
spoofing, ,,, 16q, 1Sg
SSH {InterIuz de comundos segoru), qq,
116, 1qq, 16, 16q, 1,
SSL {Cupu de Conexin Segoru), qq, 116,
1qq, 1q6, 16, 16q, 16q
STALKIR, g,, gS, 1q
STAT, gq, gg, g6, S, 1q1
STAT {Stote Tronsition Anolgsis Tool), gq,
gg, g6, S, 1q1
Stote Tronsition Anolgsis Tool. Vose
STAT
stote tronsitions, gq
steolth port scons, g1
Steve Smuhu, S, 1o, 11, g,, S, 1q, 1q,, 1,,,
1S1, 1S, 1q, 1q
streom, q, 16q
STREAMS, q
suhnetting, 6
sobred, 6, 11, 1, 16q, 1,q
somu de comprobucin, , 1gS, 1,q
somu de control, 6o, 1gS, 1,q
somu de veriIicucin, 1gS, 1,q
Son, q, g, ,, S, q, g,, S1, 11, 1,g
SVRq++, 1,,
suitch, 1o1, 1o, 1og, 11o, 16q
suitched enoiroments, 116
syslogd, S, q
Sgstems Monogement Seroer. Vose SMS
T
top mode, 1o, 16q
torget hosed, 1q, , 16q
TCP[IP {Protocolo de Control de
Trunsmisin [ Protocolo Internet), g,
6, S, 116, 16q, 16g, 1,6
tcpdump, S, g, 1,, 1,q
TCSIC {Criterio de Ivuloucin de Sistemus
InIormticos Iiubles), , g, 6, 16,
16q, 16g, 1,o, 1,g
testigo, 16, g, 16q, 16S, o, 11, 1
threod, 66, 16q
threshold, 6o, 16q
TIM {Time-Bosed 1nductioe Mochine), 66,
6,
Time-Bosed 1nductioe Mochine. Vose TIM
trunsiciones de estudos, go, gq, 6o
trunsmisor-receptor, ,, 16q, 16,
Tronsmission Control Protocol , 1nternet
Protocol. Vose TCP[IP
trigger, 6o
Tripwire, , 6o, S, 1o, 11o, 1g, 16, 1S,,
1q
troyuno, 16, q, ,q, 1o, 16g, 16q
Trusted Computer Sgstem Eooluotion
Criterio. Vose TCSIC
Apendice I - ndice
zo
L
ombrul, gq, 6o, 16q
LNIX, S, q, 1S, S, q, 1, , , S, q, q,
g1, gq, gS, 6q, S, S, SS, Sq, 1q, 1q,,
1,, 1,,, 1S1, 1Sg, 1S6, 1S,, 1qg, 1g, 1q
user-ogent, 1, 16g
oso indebido, ,, 1q, o, qq, qg, q6, q,, qS,
qq, go, g,, 6q, ,1, ,, ,g, 1q, 1qq, 1q6,
1go, 1g, 1gg, 161, 1,, 1,q
V
veriIicudor de integridud, , 1o
Virtuol Prioote Netuork. Vose VPN
viros polimrIico, 16, 1,q
VPN {Red Privudu Virtoul), 1,, 16g, 1,6
volnerubilidud, 1, 1q, q, qq, qg, ,S, S,,
SS, Sq, qo, q1, 11, 11q, 11q, 1gS, 16q, 16g,
1,6, 1,q, 1,
oulnerohilitg sconner, S,, 16g
W
Wenke Lee, ,, ,g, o
Windows, g, 6, ,, S, o, 1, , S, q,
g1, SS, Sq, qg, qS, 16S, 1,6, 1,,, 1,S, 1g,
16
Wisdom und Sense, q, 66, 6,
uropper, ,o, 16g
Z
Zonu desmiliturizudu. Vose MZ

Apendice I - ndice
z1

z
GNU ree DocumenLuLIon Icense
VersIon 1.z, November zooz

CopyrIgIL (C) zooo,zoo1,zooz ree SoILwure ounduLIon, nc.
q TempIe PIuce, SuILe o, BosLon, MA oz111-1o; USA
Everyone Is permILLed Lo copy und dIsLrIbuLe verbuLIm copIes
oI LIIs IIcense documenL, buL cIungIng IL Is noL uIIowed.

o. PRIAMBLI
TIe purpose oI LIIs Icense Is Lo muke u munuuI, LexLbook, or oLIer IuncLIonuI und useIuI documenL
"Iree" In LIe sense oI Ireedom: Lo ussure everyone LIe eIIecLIve Ireedom Lo copy und redIsLrIbuLe IL,
wILI or wILIouL modIIyIng IL, eILIer commercIuIIy or noncommercIuIIy. SecondurIIy, LIIs Icense
preserves Ior LIe uuLIor und pubIIsIer u wuy Lo geL credIL Ior LIeIr work, wIIIe noL beIng consIdered
responsIbIe Ior modIIIcuLIons mude by oLIers.

TIIs Icense Is u kInd oI "copyIeIL", wIIcI meuns LIuL derIvuLIve works oI LIe documenL musL
LIemseIves be Iree In LIe sume sense. L compIemenLs LIe GNU GeneruI PubIIc Icense, wIIcI Is u
copyIeIL IIcense desIgned Ior Iree soILwure.

We Iuve desIgned LIIs Icense In order Lo use IL Ior munuuIs Ior Iree soILwure, becuuse Iree soILwure
needs Iree documenLuLIon: u Iree progrum sIouId come wILI munuuIs provIdIng LIe sume Ireedoms
LIuL LIe soILwure does. BuL LIIs Icense Is noL IImILed Lo soILwure munuuIs; IL cun be used Ior uny
LexLuuI work, regurdIess oI subjecL muLLer or wIeLIer IL Is pubIIsIed us u prInLed book. We
recommend LIIs Icense prIncIpuIIy Ior works wIose purpose Is InsLrucLIon or reIerence.

1. APPLICABILITY AN IIINITIONS
TIIs Icense uppIIes Lo uny munuuI or oLIer work, In uny medIum, LIuL conLuIns u noLIce pIuced by
LIe copyrIgIL IoIder suyIng IL cun be dIsLrIbuLed under LIe Lerms oI LIIs Icense. SucI u noLIce
grunLs u worId-wIde, royuILy-Iree IIcense, unIImILed In duruLIon, Lo use LIuL work under LIe
condILIons sLuLed IereIn. TIe "DocumenL", beIow, reIers Lo uny sucI munuuI or work. Any member
oI LIe pubIIc Is u IIcensee, und Is uddressed us "you". You uccepL LIe IIcense II you copy, modIIy or
dIsLrIbuLe LIe work In u wuy requIrIng permIssIon under copyrIgIL Iuw.

A "ModIIIed VersIon" oI LIe DocumenL meuns uny work conLuInIng LIe DocumenL or u porLIon oI IL,
eILIer copIed verbuLIm, or wILI modIIIcuLIons undJor LrunsIuLed InLo unoLIer Iunguuge.

A "Secondury SecLIon" Is u numed uppendIx or u IronL-muLLer secLIon oI LIe DocumenL LIuL deuIs
excIusIveIy wILI LIe reIuLIonsIIp oI LIe pubIIsIers or uuLIors oI LIe DocumenL Lo LIe DocumenL's
GNU Iree Documentction License
zq
overuII subjecL (or Lo reIuLed muLLers) und conLuIns noLIIng LIuL couId IuII dIrecLIy wILIIn LIuL
overuII subjecL. (TIus, II LIe DocumenL Is In purL u LexLbook oI muLIemuLIcs, u Secondury SecLIon
muy noL expIuIn uny muLIemuLIcs.) TIe reIuLIonsIIp couId be u muLLer oI IIsLorIcuI connecLIon wILI
LIe subjecL or wILI reIuLed muLLers, or oI IeguI, commercIuI, pIIIosopIIcuI, eLIIcuI or poIILIcuI
posILIon regurdIng LIem.

TIe "nvurIunL SecLIons" ure cerLuIn Secondury SecLIons wIose LILIes ure desIgnuLed, us beIng LIose
oI nvurIunL SecLIons, In LIe noLIce LIuL suys LIuL LIe DocumenL Is reIeused under LIIs Icense. I u
secLIon does noL IIL LIe ubove deIInILIon oI Secondury LIen IL Is noL uIIowed Lo be desIgnuLed us
nvurIunL. TIe DocumenL muy conLuIn zero nvurIunL SecLIons. I LIe DocumenL does noL IdenLIIy
uny nvurIunL SecLIons LIen LIere ure none.

TIe "Cover TexLs" ure cerLuIn sIorL pussuges oI LexL LIuL ure IIsLed, us ronL-Cover TexLs or Buck-
Cover TexLs, In LIe noLIce LIuL suys LIuL LIe DocumenL Is reIeused under LIIs Icense. A ronL-Cover
TexL muy be uL mosL words, und u Buck-Cover TexL muy be uL mosL z words.

A "TrunspurenL" copy oI LIe DocumenL meuns u mucIIne-reudubIe copy, represenLed In u IormuL
wIose specIIIcuLIon Is uvuIIubIe Lo LIe generuI pubIIc, LIuL Is suILubIe Ior revIsIng LIe documenL
sLruIgILIorwurdIy wILI generIc LexL edILors or (Ior Imuges composed oI pIxeIs) generIc puInL
progrums or (Ior druwIngs) some wIdeIy uvuIIubIe druwIng edILor, und LIuL Is suILubIe Ior InpuL Lo
LexL IormuLLers or Ior uuLomuLIc LrunsIuLIon Lo u vurIeLy oI IormuLs suILubIe Ior InpuL Lo LexL
IormuLLers. A copy mude In un oLIerwIse TrunspurenL IIIe IormuL wIose murkup, or ubsence oI
murkup, Ius been urrunged Lo LIwurL or dIscouruge subsequenL modIIIcuLIon by reuders Is noL
TrunspurenL. An Imuge IormuL Is noL TrunspurenL II used Ior uny subsLunLIuI umounL oI LexL. A copy
LIuL Is noL "TrunspurenL" Is cuIIed "Opuque".

ExumpIes oI suILubIe IormuLs Ior TrunspurenL copIes IncIude pIuIn ASC wILIouL murkup, TexInIo
InpuL IormuL, uTeX InpuL IormuL, SGM or XM usIng u pubIIcIy uvuIIubIe DTD, und sLundurd-
conIormIng sImpIe HTM, PosLScrIpL or PD desIgned Ior Iumun modIIIcuLIon. ExumpIes oI
LrunspurenL Imuge IormuLs IncIude PNG, XC und JPG. Opuque IormuLs IncIude proprIeLury
IormuLs LIuL cun be reud und edILed onIy by proprIeLury word processors, SGM or XM Ior wIIcI
LIe DTD undJor processIng LooIs ure noL generuIIy uvuIIubIe, und LIe mucIIne-generuLed HTM,
PosLScrIpL or PD produced by some word processors Ior ouLpuL purposes onIy.

TIe "TILIe Puge" meuns, Ior u prInLed book, LIe LILIe puge ILseII, pIus sucI IoIIowIng puges us ure
needed Lo IoId, IegIbIy, LIe muLerIuI LIIs Icense requIres Lo uppeur In LIe LILIe puge. or works In
IormuLs wIIcI do noL Iuve uny LILIe puge us sucI, "TILIe Puge" meuns LIe LexL neur LIe mosL
promInenL uppeurunce oI LIe work's LILIe, precedIng LIe begInnIng oI LIe body oI LIe LexL.

A secLIon "EnLILIed XYZ" meuns u numed subunIL oI LIe DocumenL wIose LILIe eILIer Is precIseIy
XYZ or conLuIns XYZ In purenLIeses IoIIowIng LexL LIuL LrunsIuLes XYZ In unoLIer Iunguuge. (Here
XYZ sLunds Ior u specIIIc secLIon nume menLIoned beIow, sucI us "AcknowIedgemenLs",
"DedIcuLIons", "EndorsemenLs", or "HIsLory".) To "Preserve LIe TILIe" oI sucI u secLIon wIen you
modIIy LIe DocumenL meuns LIuL IL remuIns u secLIon "EnLILIed XYZ" uccordIng Lo LIIs deIInILIon.
z

TIe DocumenL muy IncIude WurrunLy DIscIuImers nexL Lo LIe noLIce wIIcI sLuLes LIuL LIIs Icense
uppIIes Lo LIe DocumenL. TIese WurrunLy DIscIuImers ure consIdered Lo be IncIuded by reIerence In
LIIs Icense, buL onIy us regurds dIscIuImIng wurrunLIes: uny oLIer ImpIIcuLIon LIuL LIese WurrunLy
DIscIuImers muy Iuve Is voId und Ius no eIIecL on LIe meunIng oI LIIs Icense.

. VIRBATIM COPYING
You muy copy und dIsLrIbuLe LIe DocumenL In uny medIum, eILIer commercIuIIy or
noncommercIuIIy, provIded LIuL LIIs Icense, LIe copyrIgIL noLIces, und LIe IIcense noLIce suyIng
LIIs Icense uppIIes Lo LIe DocumenL ure reproduced In uII copIes, und LIuL you udd no oLIer
condILIons wIuLsoever Lo LIose oI LIIs Icense. You muy noL use LecInIcuI meusures Lo obsLrucL or
conLroI LIe reudIng or IurLIer copyIng oI LIe copIes you muke or dIsLrIbuLe. However, you muy
uccepL compensuLIon In excIunge Ior copIes. I you dIsLrIbuLe u Iurge enougI number oI copIes you
musL uIso IoIIow LIe condILIons In secLIon .

You muy uIso Iend copIes, under LIe sume condILIons sLuLed ubove, und you muy pubIIcIy dIspIuy
copIes.

. COPYING IN QLANTITY
I you pubIIsI prInLed copIes (or copIes In medIu LIuL commonIy Iuve prInLed covers) oI LIe
DocumenL, numberIng more LIun 1oo, und LIe DocumenL's IIcense noLIce requIres Cover TexLs, you
musL encIose LIe copIes In covers LIuL curry, cIeurIy und IegIbIy, uII LIese Cover TexLs: ronL-Cover
TexLs on LIe IronL cover, und Buck-Cover TexLs on LIe buck cover. BoLI covers musL uIso cIeurIy und
IegIbIy IdenLIIy you us LIe pubIIsIer oI LIese copIes. TIe IronL cover musL presenL LIe IuII LILIe wILI
uII words oI LIe LILIe equuIIy promInenL und vIsIbIe. You muy udd oLIer muLerIuI on LIe covers In
uddILIon. CopyIng wILI cIunges IImILed Lo LIe covers, us Iong us LIey preserve LIe LILIe oI LIe
DocumenL und suLIsIy LIese condILIons, cun be LreuLed us verbuLIm copyIng In oLIer respecLs.

I LIe requIred LexLs Ior eILIer cover ure Loo voIumInous Lo IIL IegIbIy, you sIouId puL LIe IIrsL ones
IIsLed (us muny us IIL reusonubIy) on LIe ucLuuI cover, und conLInue LIe resL onLo udjucenL puges.

I you pubIIsI or dIsLrIbuLe Opuque copIes oI LIe DocumenL numberIng more LIun 1oo, you musL
eILIer IncIude u mucIIne-reudubIe TrunspurenL copy uIong wILI eucI Opuque copy, or sLuLe In or
wILI eucI Opuque copy u compuLer-neLwork IocuLIon Irom wIIcI LIe generuI neLwork-usIng pubIIc
Ius uccess Lo downIoud usIng pubIIc-sLundurd neLwork proLocoIs u compIeLe TrunspurenL copy oI
LIe DocumenL, Iree oI udded muLerIuI. I you use LIe IuLLer opLIon, you musL Luke reusonubIy
prudenL sLeps, wIen you begIn dIsLrIbuLIon oI Opuque copIes In quunLILy, Lo ensure LIuL LIIs
TrunspurenL copy wIII remuIn LIus uccessIbIe uL LIe sLuLed IocuLIon unLII uL IeusL one yeur uILer LIe
IusL LIme you dIsLrIbuLe un Opuque copy (dIrecLIy or LIrougI your ugenLs or reLuIIers) oI LIuL edILIon
Lo LIe pubIIc.

z6
L Is requesLed, buL noL requIred, LIuL you conLucL LIe uuLIors oI LIe DocumenL weII beIore
redIsLrIbuLIng uny Iurge number oI copIes, Lo gIve LIem u cIunce Lo provIde you wILI un upduLed
versIon oI LIe DocumenL.

q. MOIIICATIONS
You muy copy und dIsLrIbuLe u ModIIIed VersIon oI LIe DocumenL under LIe condILIons oI secLIons
z und ubove, provIded LIuL you reIeuse LIe ModIIIed VersIon under precIseIy LIIs Icense, wILI LIe
ModIIIed VersIon IIIIIng LIe roIe oI LIe DocumenL, LIus IIcensIng dIsLrIbuLIon und modIIIcuLIon oI
LIe ModIIIed VersIon Lo wIoever possesses u copy oI IL. n uddILIon, you musL do LIese LIIngs In LIe
ModIIIed VersIon:

A. Use In LIe TILIe Puge (und on LIe covers, II uny) u LILIe dIsLIncL Irom LIuL oI LIe DocumenL, und
Irom LIose oI prevIous versIons (wIIcI sIouId, II LIere were uny, be IIsLed In LIe HIsLory secLIon oI
LIe DocumenL). You muy use LIe sume LILIe us u prevIous versIon II LIe orIgInuI pubIIsIer oI LIuL
versIon gIves permIssIon.
B. IsL on LIe TILIe Puge, us uuLIors, one or more persons or enLILIes responsIbIe Ior uuLIorsIIp oI
LIe modIIIcuLIons In LIe ModIIIed VersIon, LogeLIer wILI uL IeusL IIve oI LIe prIncIpuI uuLIors oI LIe
DocumenL (uII oI ILs prIncIpuI uuLIors, II IL Ius Iewer LIun IIve), unIess LIey reIeuse you Irom LIIs
requIremenL.
C. SLuLe on LIe TILIe puge LIe nume oI LIe pubIIsIer oI LIe ModIIIed VersIon, us LIe pubIIsIer.
D. Preserve uII LIe copyrIgIL noLIces oI LIe DocumenL.
E. Add un upproprIuLe copyrIgIL noLIce Ior your modIIIcuLIons udjucenL Lo LIe oLIer copyrIgIL
noLIces.
. ncIude, ImmedIuLeIy uILer LIe copyrIgIL noLIces, u IIcense noLIce gIvIng LIe pubIIc permIssIon Lo
use LIe ModIIIed VersIon under LIe Lerms oI LIIs Icense, In LIe Iorm sIown In LIe Addendum
beIow.
G. Preserve In LIuL IIcense noLIce LIe IuII IIsLs oI nvurIunL SecLIons und requIred Cover TexLs gIven
In LIe DocumenL's IIcense noLIce.
H. ncIude un unuILered copy oI LIIs Icense.
. Preserve LIe secLIon EnLILIed "HIsLory", Preserve ILs TILIe, und udd Lo IL un ILem sLuLIng uL IeusL LIe
LILIe, yeur, new uuLIors, und pubIIsIer oI LIe ModIIIed VersIon us gIven on LIe TILIe Puge. I LIere Is
no secLIon EnLILIed "HIsLory" In LIe DocumenL, creuLe one sLuLIng LIe LILIe, yeur, uuLIors, und
pubIIsIer oI LIe DocumenL us gIven on ILs TILIe Puge, LIen udd un ILem descrIbIng LIe ModIIIed
VersIon us sLuLed In LIe prevIous senLence.
J. Preserve LIe neLwork IocuLIon, II uny, gIven In LIe DocumenL Ior pubIIc uccess Lo u TrunspurenL
copy oI LIe DocumenL, und IIkewIse LIe neLwork IocuLIons gIven In LIe DocumenL Ior prevIous
versIons IL wus bused on. TIese muy be pIuced In LIe "HIsLory" secLIon. You muy omIL u neLwork
IocuLIon Ior u work LIuL wus pubIIsIed uL IeusL Iour yeurs beIore LIe DocumenL ILseII, or II LIe
orIgInuI pubIIsIer oI LIe versIon IL reIers Lo gIves permIssIon.
K. or uny secLIon EnLILIed "AcknowIedgemenLs" or "DedIcuLIons", Preserve LIe TILIe oI LIe secLIon,
und preserve In LIe secLIon uII LIe subsLunce und Lone oI eucI oI LIe conLrIbuLor ucknowIedgemenLs
undJor dedIcuLIons gIven LIereIn.
z;
. Preserve uII LIe nvurIunL SecLIons oI LIe DocumenL, unuILered In LIeIr LexL und In LIeIr LILIes.
SecLIon numbers or LIe equIvuIenL ure noL consIdered purL oI LIe secLIon LILIes.
M. DeIeLe uny secLIon EnLILIed "EndorsemenLs". SucI u secLIon muy noL be IncIuded In LIe ModIIIed
VersIon.
N. Do noL reLILIe uny exIsLIng secLIon Lo be EnLILIed "EndorsemenLs" or Lo conIIIcL In LILIe wILI uny
nvurIunL SecLIon.
O. Preserve uny WurrunLy DIscIuImers.
I LIe ModIIIed VersIon IncIudes new IronL-muLLer secLIons or uppendIces LIuL quuIIIy us Secondury
SecLIons und conLuIn no muLerIuI copIed Irom LIe DocumenL, you muy uL your opLIon desIgnuLe
some or uII oI LIese secLIons us InvurIunL. To do LIIs, udd LIeIr LILIes Lo LIe IIsL oI nvurIunL SecLIons
In LIe ModIIIed VersIon's IIcense noLIce. TIese LILIes musL be dIsLIncL Irom uny oLIer secLIon LILIes.

You muy udd u secLIon EnLILIed "EndorsemenLs", provIded IL conLuIns noLIIng buL endorsemenLs oI
your ModIIIed VersIon by vurIous purLIes--Ior exumpIe, sLuLemenLs oI peer revIew or LIuL LIe LexL
Ius been upproved by un orgunIzuLIon us LIe uuLIorILuLIve deIInILIon oI u sLundurd.

You muy udd u pussuge oI up Lo IIve words us u ronL-Cover TexL, und u pussuge oI up Lo z words
us u Buck-Cover TexL, Lo LIe end oI LIe IIsL oI Cover TexLs In LIe ModIIIed VersIon. OnIy one pussuge
oI ronL-Cover TexL und one oI Buck-Cover TexL muy be udded by (or LIrougI urrungemenLs mude
by) uny one enLILy. I LIe DocumenL uIreudy IncIudes u cover LexL Ior LIe sume cover, prevIousIy
udded by you or by urrungemenL mude by LIe sume enLILy you ure ucLIng on beIuII oI, you muy noL
udd unoLIer; buL you muy repIuce LIe oId one, on expIIcIL permIssIon Irom LIe prevIous pubIIsIer
LIuL udded LIe oId one.

TIe uuLIor(s) und pubIIsIer(s) oI LIe DocumenL do noL by LIIs Icense gIve permIssIon Lo use LIeIr
numes Ior pubIIcILy Ior or Lo usserL or ImpIy endorsemenL oI uny ModIIIed VersIon.

g. COMBINING OCLMINTS
You muy combIne LIe DocumenL wILI oLIer documenLs reIeused under LIIs Icense, under LIe
Lerms deIIned In secLIon q ubove Ior modIIIed versIons, provIded LIuL you IncIude In LIe
combInuLIon uII oI LIe nvurIunL SecLIons oI uII oI LIe orIgInuI documenLs, unmodIIIed, und IIsL LIem
uII us nvurIunL SecLIons oI your combIned work In ILs IIcense noLIce, und LIuL you preserve uII LIeIr
WurrunLy DIscIuImers.

TIe combIned work need onIy conLuIn one copy oI LIIs Icense, und muILIpIe IdenLIcuI nvurIunL
SecLIons muy be repIuced wILI u sIngIe copy. I LIere ure muILIpIe nvurIunL SecLIons wILI LIe sume
nume buL dIIIerenL conLenLs, muke LIe LILIe oI eucI sucI secLIon unIque by uddIng uL LIe end oI IL, In
purenLIeses, LIe nume oI LIe orIgInuI uuLIor or pubIIsIer oI LIuL secLIon II known, or eIse u unIque
number. Muke LIe sume udjusLmenL Lo LIe secLIon LILIes In LIe IIsL oI nvurIunL SecLIons In LIe
IIcense noLIce oI LIe combIned work.

z8
n LIe combInuLIon, you musL combIne uny secLIons EnLILIed "HIsLory" In LIe vurIous orIgInuI
documenLs, IormIng one secLIon EnLILIed "HIsLory"; IIkewIse combIne uny secLIons EnLILIed
"AcknowIedgemenLs", und uny secLIons EnLILIed "DedIcuLIons". You musL deIeLe uII secLIons EnLILIed
"EndorsemenLs."

6. COLLICTIONS OI OCLMINTS
You muy muke u coIIecLIon consIsLIng oI LIe DocumenL und oLIer documenLs reIeused under LIIs
Icense, und repIuce LIe IndIvIduuI copIes oI LIIs Icense In LIe vurIous documenLs wILI u sIngIe
copy LIuL Is IncIuded In LIe coIIecLIon, provIded LIuL you IoIIow LIe ruIes oI LIIs Icense Ior
verbuLIm copyIng oI eucI oI LIe documenLs In uII oLIer respecLs.

You muy exLrucL u sIngIe documenL Irom sucI u coIIecLIon, und dIsLrIbuLe IL IndIvIduuIIy under LIIs
Icense, provIded you InserL u copy oI LIIs Icense InLo LIe exLrucLed documenL, und IoIIow LIIs
Icense In uII oLIer respecLs regurdIng verbuLIm copyIng oI LIuL documenL.

,. AGGRIGATION WITH INIPININT WORKS
A compIIuLIon oI LIe DocumenL or ILs derIvuLIves wILI oLIer sepuruLe und IndependenL documenLs
or works, In or on u voIume oI u sLoruge or dIsLrIbuLIon medIum, Is cuIIed un "uggreguLe" II LIe
copyrIgIL resuILIng Irom LIe compIIuLIon Is noL used Lo IImIL LIe IeguI rIgILs oI LIe compIIuLIon's
users beyond wIuL LIe IndIvIduuI works permIL. WIen LIe DocumenL Is IncIuded In un uggreguLe,
LIIs Icense does noL uppIy Lo LIe oLIer works In LIe uggreguLe wIIcI ure noL LIemseIves derIvuLIve
works oI LIe DocumenL.

I LIe Cover TexL requIremenL oI secLIon Is uppIIcubIe Lo LIese copIes oI LIe DocumenL, LIen II LIe
DocumenL Is Iess LIun one IuII oI LIe enLIre uggreguLe, LIe DocumenL's Cover TexLs muy be pIuced
on covers LIuL bruckeL LIe DocumenL wILIIn LIe uggreguLe, or LIe eIecLronIc equIvuIenL oI covers II
LIe DocumenL Is In eIecLronIc Iorm. OLIerwIse LIey musL uppeur on prInLed covers LIuL bruckeL LIe
wIoIe uggreguLe.

S. TRANSLATION
TrunsIuLIon Is consIdered u kInd oI modIIIcuLIon, so you muy dIsLrIbuLe LrunsIuLIons oI LIe
DocumenL under LIe Lerms oI secLIon q. RepIucIng nvurIunL SecLIons wILI LrunsIuLIons requIres
specIuI permIssIon Irom LIeIr copyrIgIL IoIders, buL you muy IncIude LrunsIuLIons oI some or uII
nvurIunL SecLIons In uddILIon Lo LIe orIgInuI versIons oI LIese nvurIunL SecLIons. You muy IncIude
u LrunsIuLIon oI LIIs Icense, und uII LIe IIcense noLIces In LIe DocumenL, und uny WurrunLy
DIscIuImers, provIded LIuL you uIso IncIude LIe orIgInuI EngIIsI versIon oI LIIs Icense und LIe
orIgInuI versIons oI LIose noLIces und dIscIuImers. n cuse oI u dIsugreemenL beLween LIe
LrunsIuLIon und LIe orIgInuI versIon oI LIIs Icense or u noLIce or dIscIuImer, LIe orIgInuI versIon
wIII prevuII.

zq
I u secLIon In LIe DocumenL Is EnLILIed "AcknowIedgemenLs", "DedIcuLIons", or "HIsLory", LIe
requIremenL (secLIon q) Lo Preserve ILs TILIe (secLIon 1) wIII LypIcuIIy requIre cIungIng LIe ucLuuI
LILIe.

q. TIRMINATION
You muy noL copy, modIIy, subIIcense, or dIsLrIbuLe LIe DocumenL excepL us expressIy provIded Ior
under LIIs Icense. Any oLIer uLLempL Lo copy, modIIy, subIIcense or dIsLrIbuLe LIe DocumenL Is
voId, und wIII uuLomuLIcuIIy LermInuLe your rIgILs under LIIs Icense. However, purLIes wIo Iuve
receIved copIes, or rIgILs, Irom you under LIIs Icense wIII noL Iuve LIeIr IIcenses LermInuLed so
Iong us sucI purLIes remuIn In IuII compIIunce.

1o. ILTLRI RIVISIONS OI THIS LICINSI
TIe ree SoILwure ounduLIon muy pubIIsI new, revIsed versIons oI LIe GNU ree DocumenLuLIon
Icense Irom LIme Lo LIme. SucI new versIons wIII be sImIIur In spIrIL Lo LIe presenL versIon, buL
muy dIIIer In deLuII Lo uddress new probIems or concerns. See ILLp:JJwww.gnu.orgJcopyIeILJ.

EucI versIon oI LIe Icense Is gIven u dIsLInguIsIIng versIon number. I LIe DocumenL specIIIes LIuL
u purLIcuIur numbered versIon oI LIIs Icense "or uny IuLer versIon" uppIIes Lo IL, you Iuve LIe
opLIon oI IoIIowIng LIe Lerms und condILIons eILIer oI LIuL specIIIed versIon or oI uny IuLer versIon
LIuL Ius been pubIIsIed (noL us u druIL) by LIe ree SoILwure ounduLIon. I LIe DocumenL does noL
specIIy u versIon number oI LIIs Icense, you muy cIoose uny versIon ever pubIIsIed (noL us u druIL)
by LIe ree SoILwure ounduLIon.

zq1
IcencIu de DocumenLucIn Ibre GNU
(LruduccIn)
VersIn 1.1, Murzo de zooo

TIIs Is un unoIIIcIuI LrunsIuLIon oI LIe GNU ree DocumenLuLIon Icense InLo spunIsI. L wus noL
pubIIsIed by LIe ree SoILwure ounduLIon, und does noL IeguIIy sLuLe LIe dIsLrIbuLIon Lerms Ior
soILwure LIuL uses LIe GNU D--onIy LIe orIgInuI EngIIsI LexL oI LIe GNU D does LIuL.
However, we Iope LIuL LIIs LrunsIuLIon wIII IeIp spunIsI speukers undersLund LIe GNU D beLLer.

EsLu es unu LruduccIn NO oIIcIuI de Iu "GNU ree DocumenLuLIon Icense" uI espuoI. No Iue
pubIIcudu por Iu "S ree SoILwure ounduLIon", y no respuIdu IeguImenLe Ios LrmInos de
dIsLrIbucIn deI soILwure que uLIIIzu Iu "GNU D", sIo eI LexLo orIgInuI en IngIs Io Iuce. SIn
emburgo esperumos que esLu LruduccIn uyude u Ius personus de IubIu IIspunu u enLender mejor Iu
"GNU D".

os uuLores de esLu LruduccIn son:
gor Tumuru <IkksbIgIooL.com>
PubIo Reyes <reyes_pubIoIoLmuII.com>
RevIsIn : VIudImIr Tumuru P. <vLumurugnu.org>

CopyrIgIL zooo

ree SoILwure ounduLIon, nc. q TempIe PIuce, SuILe o,
BosLon, MA oz111-1o; USA

Se permILe Iu copIu y dIsLrIbucIn de copIus IILeruIes de esLe documenLo de IIcencIu, pero no se
permILen cumbIos.

o. Prembolo
EI propsILo de esLu IIcencIu es permILIr que un munuuI, IIbro de LexLo, u oLro documenLo escrILo seu
"IIbre" en eI senLIdo de IIberLud: usegurur u Lodo eI mundo Iu IIberLud eIecLIvu de copIurIo y
redIsLrIbuIrIo, con o sIn modIIIcucIones, de muneru comercIuI o no. En segundo LrmIno, esLu
IIcencIu preservu puru eI uuLor o puru quIen pubIIcu unu muneru de obLener reconocImIenLo por su
Lrubujo, uI LIempo que no se consIderun responsubIes de Ius modIIIcucIones reuIIzudus por Lerceros.

Licencic de Documentccin Libre GNU (trcduccin)
zqz
EsLu IIcencIu es unu especIe de "copyIeIL" que sIgnIIIcu que Ios Lrubujos derIvudos deI documenLo
deben u su vez ser IIbres en eI mIsmo senLIdo. EsLo compIemenLu Iu IcencIu PbIIcu GeneruI GNU,
que es unu IIcencIu de copyIeIL dIseudu puru eI soILwure IIbre.

Hemos dIseudo esLu IcencIu puru usurIu en munuuIes de soILwure IIbre, yu que eI soILwure IIbre
necesILu documenLucIn IIbre: Un progrumu IIbre debe venIr con Ios munuuIes que oIrezcun Iu
mIsmus IIberLudes que du eI soILwure. Pero esLu IIcencIu no se IImILu u munuuIes de soILwure; puede
ser usudu puru cuuIquIer Lrubujo LexLuuI, sIn Lener en cuenLu su LemuLIcu o sI se pubIIcu como IIbro
Impreso. Recomendumos esLu IIcencIu prIncIpuImenLe puru Lrubujos cuyo IIn seu InsLrucLIvo o de
reIerencIu.

1. Aplicubilidud y deIiniciones
EsLu IcencIu se upIIcu u cuuIquIer munuuI u oLro documenLo que conLengu unu noLu deI propIeLurIo
de Ios derecIos que IndIque que puede ser dIsLrIbuIdo bujo Ios LrmInos de Iu IcencIu. EI
"DocumenLo", en udeIunLe, se reIIere u cuuIquIeru de dIcIos munuuIes o Lrubujos. CuuIquIer
mIembro deI pbIIco es un IIcencIuLurIo, y seru denomInudo como "UsLed".

Unu "VersIn ModIIIcudu" deI DocumenLo sIgnIIIcu cuuIquIer Lrubujo que conLengu eI DocumenLo o
unu porcIn deI mIsmo, yu seu unu copIu IILeruI o con modIIIcucIones yJo LruduccIones u oLro
IdIomu.

Unu "SeccIn SecundurIu" es un upndIce LILuIudo o unu seccIn preIImInur uI prIogo deI
DocumenLo que LIene que ver excIusIvumenLe con Iu reIucIn de quIen pubIIcu o, Ios uuLores deI
DocumenLo o, eI Lemu generuI deI DocumenLo(o usunLos reIucIonudos) y cuyo conLenIdo no enLru
dIrecLumenLe en esLe Lemu generuI. (Por ejempIo, sI eI DocumenLo es en purLe un LexLo de
muLemuLIcus, unu SeccIn SecundurIu puede no expIIcur muLemuLIcus.) u reIucIn puede ser un
usunLo de conexIn IIsLrIcu, o de posIcIn IeguI, comercIuI, IIIosIIcu, LIcu o poIiLIcu con eI Lemu o
Iu muLerIu deI LexLo.

us "SeccIones nvurIunLes" son cIerLus SeccIones SecundurIus cuyos LiLuIos son denomInudos como
SeccIones nvurIunLes, en Iu noLu que IndIcu que eI documenLo es IIberudo bujo esLu IIcencIu.

os "TexLos de CubIerLu" son cIerLos pusujes corLos de LexLo que se IIsLun, como TexLos de PorLudu o
TexLos de ConLru PorLudu, en Iu noLu que IndIcu que eI documenLo es IIberudo bujo esLu IcencIu.

Unu copIu "TrunspurenLe" deI DocumenLo, sIgnIIIcu unu copIu puru IecLuru en muquInu,
represenLudu en un IormuLo cuyu especIIIcucIn esLu dIsponIbIe uI pbIIco generuI, cuyos
conLenIdos pueden ser vIsLos y edILudos dIrecLumenLe con edILores de LexLo genrIcos o (puru
Imugenees compuesLus por pIxeIes) de progrumus genrIcos de dIbujo o (puru dIbujos) uIgn edILor
gruIIco umpIIumenLe dIsponIbIe, y que seu udecuudo puru exporLur u IormuLeudores de LexLo o puru
LruduccIn uuLomuLIcu u unu vurIedud de IormuLos udecuudos puru Ingresur u IormuLeudores de
LexLo. Unu copIu IecIu en un IormuLo de un urcIIvo que no seu TrunspurenLe, cuyo IormuLo Iu sIdo
zq
dIseudo puru ImpedIr o dIIIcuILur subsecuenLes modIIIcucIones posLerIores por purLe de Ios
IecLores no es TrunspurenLe. Unu copIu que no es "TrunspurenLe" es IIumudu "Opucu".

Como ejempIos de IormuLos udecuudos puru copIus TrunspurenLes esLun eI ASC pIuno sIn IormuLo,
IormuLo de TexInIo, IormuLo de uTeX, SGM o XM usundo un DTD dIsponIbIe umpIIumenLe, y
HTM sImpIe que sIgue Ios esLundures, dIseudo puru modIIIcucIones Iumunus. os IormuLos
Opucos IncIuyen PosLScrIpL, PD, IormuLos propIeLurIos que pueden ser Ieidos y edILudos
unIcumenLe en procesudores de puIubrus propIeLurIos, SGM o XM puru Ios cuuIes Ios DTD yJo
IerrumIenLus de procesumIenLo no esLun dIsponIbIes generuImenLe, y eI HTM generudo por
muquInus producLo de uIgn procesudor de puIubrus soIo puru propsILos de suIIdu.

u "PorLudu" en un IIbro Impreso sIgnIIIcu, Iu porLudu mIsmu, mus Ius pugInus sIguIenLes necesurIus
puru munLener Iu IegIbIIIdud deI muLerIuI, que esLu IcencIu requIere que upurezcu en Iu porLudu.
Puru Lrubujos en IormuLos que no LIenen PorLudu como LuI, "PorLudu" sIgnIIIcu eI LexLo cercu u Iu
upurIcIn mus promInenLe deI LiLuIo deI Lrubujo, precedIendo eI comIenzo deI cuerpo deI Lrubujo.

. Copiu literul
Puede copIur y dIsLrIbuIr eI DocumenLo en cuuIquIer medIo, seu en Iormu comercIuI o no, sIempre y
cuundo esLu IcencIu, Ius noLus de derecIo de uuLor, y Iu noLu de IIcencIu que IndIcu que esLu
IcencIu se upIIcu uI DocumenLo se reproduzcu en Lodus Ius copIus, y que usLed no udIcIone nIngunu
oLru condIcIn u Ius expuesLus en en esLu IcencIu. No puede usur medIdus LcnIcus puru obsLruIr o
conLroIur Iu IecLuru o copIu posLerIor de Ius copIus que usLed Iugu o dIsLrIbuyu. SIn emburgo, usLed
puede ucepLur compensucIn u cumbIo de Ius copIus. SI dIsLrIbuye un nmero suIIcIenLemenLe
grunde de copIus LumbIn deberu seguIr Ius condIcIones de Iu seccIn .

TumbIn puede presLur copIus, bujo Ius mIsmus condIcIones esLubIecIdus unLerIormenLe, y puede
exIIbIr copIus pubIIcumenLe.

. Copiudo en cuntidudes
SI pubIIcu copIus Impresus deI DocumenLo que sobrepusen Ius 1oo, y Iu noLu de IcencIu deI
DocumenLo exIge TexLos de CubIerLu, debe IncIuIr Ius copIus con cubIerLus que IIeven en Iormu cIuru
y IegIbIe, Lodos esos LexLos de CubIerLu: TexLos ronLuIes en Iu cubIerLu IronLuI, y TexLos PosLerIores
de CubIerLu en Iu CubIerLu PosLerIor. Ambus cubIerLus deben IdenLIIIcurIo u UsLed cIuru y
IegIbIemenLe como quIen pubIIcu LuIes copIus. u CubIerLu ronLuI debe mosLrur eI LiLuIo compIeLo
con Lodus Ius puIubrus IguuImenLe promInenLes y vIsIbIes. Ademus puede udIcIonur oLro muLerIuI en
Iu cubIerLu. us copIus con cumbIos IImILudos en Ius cubIerLus, sIempre que preserven eI LiLuIo deI
DocumenLo y suLIsIugun esLus condIcIones, puede consIderurse como copIu IILeruI.

SI Ios LexLos requerIdos puru Iu cubIerLu son muy voIumInosos puru que ujusLen IegIbIemenLe, debe
coIocur Ios prImeros (LunLos como seu ruzonubIe coIocur) en Iu cubIerLu reuI, y conLInuur eI resLo en
pugInus udyucenLes.

zqq
SI pubIIcu o dIsLrIbuye copIus Opucus deI DocumenLo cuyu cunLIdud excedu Ius 1oo, debe IncIuIr unu
copIu TrunspurenLe que puedu ser Ieidu por unu muquInu con cudu copIu Opucu, o enLregur en o con
cudu copIu Opucu unu dIreccIn en red de compuLudor pubIIcumenLe-uccesIbIe conLenIendo unu
copIu compIeLu TrunspurenLe deI DocumenLo, sIn muLerIuI udIcIonuI, u Iu cuuI eI pbIIco en generuI
de Iu red puedu ucceder u bujur unnImumenLe sIn curgo usundo proLocoIos de sLundurd pbIIco. SI
usLed Iuce uso de Iu ILImu opcIn, deberu Lomur medIdus necesurIus, cuundo comIence Iu
dIsLrIbucIn de Ius copIus Opucus en cunLIdud, puru usegurur que esLu copIu TrunspurenLe
permuneceru uccesIbIe en eI sILIo por Io menos un uo despus de su ILImu dIsLrIbucIn de copIus
Opucus (dIrecLumenLe o u Lruvs de sus ugenLes o dIsLrIbuIdores) de esu edIcIn uI pbIIco.

Se soIIcILu, uunque no es requIsILo, que conLucLe u Ios uuLores deI DocumenLo unLes de redIsLrIbuIr
cuuIquIer grun nmero de copIus, puru permILIrIe Iu oporLunIdud de que Ie proveun unu versIn deI
DocumenLo.

q. ModiIicuciones
Puede copIur y dIsLrIbuIr unu VersIn ModIIIcudu deI DocumenLo bujo Ius condIcIones de Ius
seccIons z y unLerIores, sIempre que usLed IIbere Iu VersIn ModIIIcudu bujo esLu mIsmu IcencIu,
con Iu VersIn ModIIIcudu IucIendo eI roI deI DocumenLo, por Io LunLo IIcencIundo Iu dIsLrIbucIn y
modIIIcucIn de Iu VersIn ModIIIcudu u quIenquIeru que poseu unu copIu de esLe. En udIcIn, debe
Iucer Io sIguIenLe en Iu VersIn ModIIIcudu:

A. Uso en Iu PorLudu (y en Ius cubIerLus, sI Iuy uIgunu) de un LiLuIo dIsLInLo uI deI DocumenLo, y de
versIones unLerIores (que deberiun, sI Iuy uIgunu, esLur IIsLudos en Iu seccIn de HIsLorIu deI
DocumenLo). Puede usur eI mIsmo LiLuIo que versIones unLerIores uI orIgInuI sIempre que quIn
pubIIc Iu prImeru versIn Io permILu.
B. IsLur en Iu PorLudu, como uuLores, unu o mus personus o enLIdudes responsubIes por Iu uuLoriu o
Ius modIIIcucIones en Iu VersIn ModIIIcudu, junLo con por Io menos cInco de Ios uuLores
prIncIpuIes deI DocumenLo (Todos sus uuLores prIncIpuIes, sI Iuy menos de cInco).
C. EsLudo en Iu PorLudu deI nombre de quIn pubIIcu Iu VersIn ModIIIcudu, como quIen pubIIcu.
D. Preservur Lodus Ius noLus de derecIos de uuLor deI DocumenLo.
E. AdIcIonur unu noLu de derecIo de uuLor upropIudu u sus modIIIcucIones udyucenLes u Ius oLrus
noLus de derecIo de uuLor.
. ncIuIr, ImmedIuLumenLe despus de Iu noLu de derecIo de uuLor, unu noLu de IIcencIu dundo eI
permIso pbIIco puru usur Iu VersIn ModIIIcudu bujo Ios LrmInos de esLu IcencIu, de Iu Iormu
mosLrudu en Iu AdIcIn (EGA)ubujo.
G. Preservur en esu noLu de IIcencIu eI IIsLudo compIeLo de SeccIones nvurIunLes y en Ios TexLos de
Ius CubIerLus que seun requerIdos como se especIIIque en Iu noLu de IcencIu deI DocumenLo
H. ncIuIr unu copIu sIn modIIIcucIn de esLu IcencIu.
. Preservur Iu seccIn IIumudu "HIsLorIu", y su LiLuIo, y udIcIonur u esLu unu seccIn esLubIecIendo uI
menos eI LiLuIo, eI uo,Ios nuevos uuLores, y quIn pubIIc Iu VersIn ModIIIcudu como rezu en Iu
PorLudu. SI no Iuy unu seccIn LILuIudu "HIsLorIu" en eI DocumenLo, creur unu esLubIecIendo eI
zq
LiLuIo, eI uo, Ios uuLores y quIen pubIIc eI DocumenLo como rezu en Iu PorLudu, uudIendo udemus
un urLicuIo descrIbIendo Iu VersIn ModIIIcudu como se esLubIecI en eI punLo unLerIor.
J. Preservur Iu IocuIIzucIn en red, sI Iuy , dudu en Iu DocumenLucIn puru ucceder pbIIcumenLe u
unu copIu TrunspurenLe deI DocumenLo, LunLo como Ius oLrus dIreccIones de red dudus en eI
DocumenLo puru versIones unLerIores en Ius cuuIes esLuvIese busudo. EsLus pueden ubIcurse en Iu
seccIn "HIsLorIu". Se puede omILIr Iu ubIcucIn en red puru un Lrubujo que seu pubIIcudo por Io
menos q uos unLes que eI mIsmo DocumenLo, o sI quIen pubIIcu orIgInuImenLe Iu versIn du
permIso expIicILumenLe.
K. En cuuIquIer seccIn LILuIudu "AgrudecImIenLos" o "DedIcuLorIus", preservur eI LiLuIo de Iu
seccIn, y preservur en Iu seccIn Lodu Iu susLuncIu y eI Lono de Ios ugrudeImIenLos yJo dedIcuLorIus
de cudu conLrIbuyenLe que esLn IncIuidus.
. Preservur Lodus Ius SeccIones nvurIunLes deI DocumenLo, sIn uILerur su LexLo nI sus LiLuIos.
Nmeros de seccIn o eI equIvuIenLe no son consIderudos purLe de Ios LiLuIos de Iu seccIn. M.
Borrur cuuIquIer seccIn LILuIudu "AprobucIones". TuIes seccIones no pueden esLur IncIuIdus en Ius
VersIones ModIIIcudus.
M. Borrur cuuIquIer seccIn LILuIudu "AprobucIones". TuIes seccIones no pueden esLur IncIuIdus en
Ius VersIones ModIIIcudus.
N. No reLILuIur nIngunu seccIn exIsLenLe como "AprobucIones" o conIIIcLuur con LiLuIo con uIgunu
SeccIn nvurIunLe.

SI Iu VersIn ModIIIcudu IncIuye seccIones o upendIces nuevos o preIImInures uI prIogo que
cuIIIIcun como SeccIones SecundurIus y conLIenen muLerIuI no copIudo deI DocumenLo, puede
opcIonuImenLe desIgnur uIgunus o Lodus esus seccIones como InvurIunLes. Puru IucerIo, udIcIone
sus LiLuIos u Iu IIsLu de SeccIones nvurIunLes en Iu noLu de IIcencIu de Iu VersIn ModIIIcudu. TuIes
LiLuIos deben ser dIsLInLos de cuuIquIer oLro LiLuIo de seccIn.

Puede udIcIonur unu seccIn LILuIudu "AprobucIones", sIempre que conLengu unIcumenLe
uprobucIones de su VersIn ModIIIcudu por vurIus IuenLes--por ejempIo, observucIones de perILos o
que eI LexLo Iu sIdo uprobudo por unu orgunIzucIn como un sLundurd.

Puede udIcIonur un pusuje de IusLu cInco puIubrus como un TexLo de CubIerLu ronLuI, y un pusuje
de IusLu z puIubrus como un LexLo de CubIerLu PosLerIor, uI IInuI de Iu IIsLu de TexLos de CubIerLu
en Iu VersIn ModIIIcudu. SoIumenLe un pusuje de TexLo de CubIerLu ronLuI y un TexLo de CubIerLu
PosLerIor puede ser udIcIonudo por (o u muneru de urregIos IecIos por) unu enLIdud. SI eI
DocumenLo yu IncIuye un LexLo de cubIerLu puru Iu mIsmu cubIerLu, prevIumenLe udIcIonudo por
usLed o por urregIo IecIo por Iu mIsmu enLIdud, u nombre de Iu cuuI esLu ucLuundo, no puede
udIcIonur oLru; pero puede reempIuzur Iu unLerIor, con permIso expIicILo de quIen pubIIc
unLerIormenLe LuI cubIerLu.

EI(Ios) uuLor(es) y quIen(es) pubIIcu(n) eI DocumenLo no dun con esLu IcencIu permIso puru usur
sus nombres puru pubIIcIdud o puru usegurur o ImpIIcur uprobucIn de cuuIquIer VersIn
ModIIIcudu.

zq6
g. Combinundo docomentos
Puede combInur eI DocumenLo con oLros documenLos IIberudos bujo esLu IcencIu, bujo Ios
LrmInos deIInIdos en Iu seccIn q unLerIor puru versIones modIIIcudus, sIempre que IncIuyu en Iu
combInucIn Lodus Ius SeccIones nvurIunLes de Lodos Ios documenLos orIgInuIes, sIn modIIIcur, y
IIsLudus Lodus como SeccIones nvurIunLes deI Lrubujo combInudo en su noLu de IIcencIu.

EI Lrubujo combInudo necesILu conLener soIumenLe unu copIu de esLu IcencIu, y mILIpIes SeccIons
nvurIunLes dnLIcus pueden ser reempIuzudus por unu soIu copIu. SI Iuy mILIpIes SeccIones
nvurIunLes con eI mIsmo nombre pero con conLenIdos dIIerenLes, Iugu eI LiLuIo de cudu unu de
esLus seccIones nIco udIcIonundoIe uI IInuI de esLe, en purnLesIs, eI nombre deI uuLor o de quIen
pubIIc orIgInuImenLe esu seccIn, sI es conocIdo, o sI no, un nmero nIco. Hugu eI mIsmo ujusLe u
Ios LiLuIos de seccIn en Iu IIsLu de SeccIones nvurIunLes en Iu noLu de IIcencIu deI Lrubujo
combInudo.

En Iu combInucIn, debe combInur cuuIquIer seccIn LILuIudu "HIsLorIu" de Ios vurIos documenLos
orIgInuIes, Iormundo unu seccIn LILuIudu "HIsLorIu"; de Iu mIsmu Iormu combIne cuuIquIer secIn
LILuIudu "AgrudecImIenLos", y cuuIquIer seccIn LILuIudu "DedIcuLorIus". Debe borrur Lodus Ius
seccIones LILuIudus "AprobucIones."

6. Colecciones de docomentos
Puede Iucer unu coIeccIn consIsLenLe deI DocumenLo y oLros documenLos IIberudos bujo esLu
IcencIu, y reempIuzur Ius copIus IndIvIduuIes de esLu IcencIu en Ios vurIos documenLos con unu
soIu copIu que esL IncIuIdu en Iu coIeccIn, sIempre que sIgu Ius regIus de esLu IcencIu puru unu
copIu IILeruI de cudu uno de Ios documenLos en cuuIquIeru de Lodos Ios uspecLos.

Puede exLruer un soIo documenLo de unu de LuIes coIeccIones, y dIsLrIbuIrIo IndIvIduuImenLe bujo
esLu IcencIu, sIempre que InserLe unu copIu de esLu IcencIu en eI documenLo exLruIdo, y sIgu esLu
IcencIu en Lodos Ios oLros uspecLos concernIenLes u Iu copIu IILeruI de LuI documenLo.

,. Agregucin con trubujos independientes
Unu recopIIucIn deI DocumenLo o de sus derIvudos con oLros documenLos o Lrubujos sepurudos o
IndependIenLes, en cuuIquIer LIpo de dIsLrIbucIn o medIo de uImucenumIenLo, no como un Lodo,
cuenLu como unu VersIn ModIIIcudu deI DocumenLo, LenIendo en cuenLu que nIngunu compIIucIn
de derecIos de uuLor seu cIumudu por Iu recopIIucIn. TuI recopIIucIn es IIumudu un "ugregudo", y
esLu IcencIu no upIIcu u Ios oLros Lrubujos uuLo-conLenIdos y por Io LunLo compIIudos con eI
DocumenLo, o u cuenLu de Iuber sIdo compIIudos, sI no son eIIos mIsmos Lrubujos derIvudos deI
DocumenLo.

SI eI requerImIenLo de Iu seccIn deI TexLo de Iu CubIerLu es upIIcubIe u esLus copIus deI
DocumenLo, enLonces sI eI DocumenLo es menor que un cuurLo deI ugregudo enLero, os TexLos de
Iu CubIerLu deI DocumenLo pueden ser coIocudos en cubIerLus que enmurquen soIumenLe eI
zq;
DocumenLo enLre eI ugregudo. De oLru Iormu deben upurecer en cubIerLus enmurcundo Lodo eI
ugregudo.

S. Trudoccin
u TruduccIn es consIderudu como unu cIuse de modIIIcucIn, Asi que puede dIsLrIbuIr
LruduccIones deI DocumenLo bujo Ios LrmInos de Iu seccIn q. ReempIuzur Ius SeccIones
nvurIunLes con LruduccIones requIere permIso especIuI de Ios dueos de derecIo de uuLor, pero
puede IncIuIr LruduccIones de uIgunus o Lodus Ius SeccIones nvurIunLes udIcIonuImenLe u Ius
versIones orIgInuIes de Ius SeccIones nvurIunLes. Puede IncIuIr unu LruduccIn de esLu IcencIu
sIempre que IncIuyu LumbIn Iu versIn ngIesu de esLu IcencIu. En cuso de un desucuerdo enLre Iu
LruduccIn y Iu versIn orIgInuI en ngIs de esLu IcencIu, Iu versIn orIgInuI en ngIs prevuIeceru.

q. Terminucin
No se puede copIur, modIIIcur, subIIcencIur, o dIsLrIbuIr eI DocumenLo excepLo por Io permILIdo
expresumenLe bujo esLu IcencIu. CuuIquIer oLro InLenLo de copIu, modIIIcucIn, subIIcencIumIenLo
o dIsLrIbucIn deI DocumenLo es nuIo, y serun uuLomuLIcumenLe LermInudos sus derecIos bujo esu
IIcencIu. De Lodus munerus, Ios Lerceros que Iuyun recIbIdo copIus, o derecIos, de su purLe bujo esLu
IcencIu no Lendrun por LermInudus sus IIcencIus sIempre que LuIes personus o enLIdudes se
encuenLren en LoLuI conIormIdud con Iu IIcencIu orIgInuI.

1o. Iotorus revisiones de estu licenciu
u ree SoILwure ounduLIon puede pubIIcur nuevus, revIsudus versIones de Iu IcencIu de
DocumenLucIn Ibre GNU de LIempo en LIempo. TuIes nuevus versIones serun sImIIures en espirILu
u Iu presenLe versIn, pero pueden dIIerIr en deLuIIes puru soIucIonur probIemus o InLereses. Veu
ILLp:JJwww.gnu.orgJcopyIeILJ.

Cudu versIn de Iu IcencIu LIene un nmero de versIn que Iu dIsLIngue. SI eI DocumenLo especIIIcu
que unu versIn numerudu purLIcuIurmenLe de esLu IIcencIu o "cuuIquIer versIn posLerIor" se upIIcu
u esLu, LIene Iu opcIn de seguIr Ios LrmInos y condIcIones de Iu versIn especIIIcudu o cuuIquIeru
posLerIor que Iu sIdo pubIIcudu(no como un borrudor)por Iu ree SoILwure ounduLIon. SI eI
DocumenLo no especIIIcu un nmero de versIn de esLu IcencIu, puede escoger cuuIquIer versIn
que Iuyu sIdo pubIIcudu(no como un borrudor) por Iu ree SoILwure ounduLIon.

Addendum
Puru usur esLu IIcencIu en un documenLo que usLed Iuyu escrILo, IncIuyu unu copIu de Iu IcencIu en
eI documenLo y pongu eI sIguIenLe derecIo de uuLor y noLu de IIcencIu jusLo despus deI LiLuIo de Iu
pugInu:

DerecIo de AuLor Ao Su Nombre.

zq8
PermIso puru copIur, dIsLrIbuIr yJo modIIIcur esLe documenLo bujo Ios LrmInos de Iu IcencIu de
DocumenLucIn Ibre GNU, VersIn 1.1 o cuuIquIer oLru versIn posLerIor pubIIcudu por Iu ree
SoILwure ounduLIon; con Ius SeccIones nvurIunLes sIendo STE SUS TTUOS, con Ios sIendo
STEO eI LexLo de Iu CubIerLu ronLuI, y sIendo STEO eI LexLo de Iu CubIerLu PosLerIor. Unu
copIu de Iu IIcencIu es IncIuIdu en Iu seccIn LILuIudu "IcencIu de DocumenLucIn Ibre GNU".

SI no LIene SeccIones nvurIunLes, escrIbu "SIn SeccIones nvurIunLes" en vez de decIr cuuIes son
InvurIunLes. SI no LIene TexLo de CubIerLu ronLuI, escrIbu "SIn TexLo de CubIerLu ronLuI" en vez
de"sIendo STEO eI LexLo de Iu CubIerLu ronLuI"; Asi como puru Iu CubIerLu PosLerIor.

SI su documenLo conLIene ejempIos de cdIgo de progrumu no LrIvIuIes, recomendumos IIberur
esLos ejempIos en puruIeIo bujo su eIeccIn de IIcencIu de soILwure IIbre, LuI como Iu IcencIu de
PbIIco GeneruI GNU, puru permILIr su uso en soILwure IIbre.

IDS v1.0

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

IDS v1.0

Caricato da

Copyright:

Formati disponibili

SIsLemus de DeLeccIn de

Potrebbero piacerti anche