gran canaria 15 al 17 de septiembre de...
TRANSCRIPT
Desniveles Canarios
Gran Canaria 15 al 17 de septiembre de 2003
Editores: Álvaro Suárez Sarmiento Eisa María Macías López
Carmen Nieves Ojeda Guerra
UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA VICERRECTORADO DE INVESTIGACIÓN, DESARROLLO E INNOVACIÓN
© del texto: Los AUTORES DE lOS ARTicUlOS
© de la edición: SERVICIO DE PUBLICACIONES DE LA UNIVERSIDAD DE LAS
PALMAS DE GRAN CANARIA
ISBN: 84-96131-38-6
Depósito Legal: GC-487-2003
Impresión: Cometa S.A.
Queda rigurosamente prohibida , sin la autorización escrita de los titulares del «Copyright» , bajo
las sanciones establecidas por las leyes, la reproducción parcial o total de esta obra por
cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático.
IV
IV Jornadas -== JITEL 2OC3
JITEL 2 Comité
Javier' -
Arturo~;
Julio Be-x
Victo ',' :;..¡
ViceniE --
Can
Gui -- ==-An o- '~ =:,'
Lidie = -
J02
Ana - =-
An
José -Vi
KI2
Ju- ~'-=::.-
Jase ~=.- :
José =-
Ju n Q::-~
Jo n ," .~
Jua , E._.
IV Jornadas de Ingeniería Telemática JITEL 2003
15- I 7 de Septiembre 2003 Gran Canaria
fNDICE Sesión 1 A: Modelado y control de tráfico (1)
Análisis de las prestaciones del acondicionador de tráfico CBM en un dominio DiffServ ......... . María-Dolores Cano, Fernando Cerdán, Joan Garcia-Haro, José María Malgosa-Sanahuja
Modelos markovianos para la resolución de sistemas con reintentos. Evaluación de diferentes 9 metodologías ........................... .... .......................... ............... ............... ....... ................................. .. Mil José Doménech Benlloch, José Manuel Jiménez Guzmán, Vicente Casares Giner
Identificación de tráfico anómalo mediante modelado estadístico de protocolos. Aplicación a la 17 detección de intrusiones en redes ...... ...... ........ ........................ .... .... ...... ..... .. ...................... ...... .... .. Juan M. Estévez- Tapiador, Pedro García-Teodoro, Jesús E. Díaz-Verdejo
Sistema de medida de tráfico IP en un switch Ethernet............ .................... . .................................. 25 Julián Fernández Navajas, MB Jesús Clemente Clemente, Angela Hernández Solana
Contribución a la caracterización de variables de teletráfico en redes FCA urbanas mediante 33 simulación ....... ....... .............. .... ..... .............. ............. ..... ... ..... ......... ........... .. .... .. ... ..... ........... ... ... ... . Israel Martin-Escalona, Francisco Barceló, Enríca Zola
Servicio simultáneo de flujos semi-elásticos en interne!. Primera aproximación: caso homogéneo . 41 Marcos Postigo Boix, Joan Garcia Hara, Jase L. Melús Moreno
Sesión 1 B: Aplicaciones y servicios telemáticos
Modelo de servicios de colaboración basados en SIP .. ............ ., ....... .......... .................... ., ............ . 49 Miguel Gómez, Tomás Pedro de Miguel
Verificación biométrica mediante firma on-line basada en modelos ocultos de markov y redes 57 neuronales .... .... ................ ..... .. .......... .. .. ...... .. .. ..... .... ........ ................. . ............. .. Juan J. Igarza, Raúl Méndez, Inmaculada Hernáez, Carlos E. Vivaracho, Isaac o. Moro, David Escudera
Sistema avanzado de gestión de billetes para transporte público con tarjetas inteligentes ..... 65 Luis R. López, Jesús Martínez, Pedro Merino
Asistente para la automatización de operaciones de comercio electrónico B2C en Internet 73 Paula Montoto, Juan Raposo, Manuel Alvarez, Angel Viña, Justo Hidalgo, Alberto Pan
Protocolo de intercambio con atomicidad para el pago de cantidades elevadas mediante moneda 81 electrónica ..... ....... ............ .... ... ......................... ........... ...... ...... ...... ... . ...... ... ..... ..... .... ...... . Magdalena Payeras Capella, Josep L/uís Ferrer Gomila, L/orenr; Huguet Rotger
Sistema integral de pago telemático para entornos de comercio electrónico ....... .............. .... ...... ... 89 Juan José Unzilla, Jan Matías, Eduardo Jacob. Mariví Higuera, Cristina Pelfecto, Puri Saiz
Sesión 2A: Redes y servicios multicast
Evaluación de rendimiento de un algoritmo para recuperación de errores en comunicaciones 97 multipunto ...... ... ....... ................ ........... ...... .... ...... ....... ..................... .... .............................. . Marta Barria, Reinaldo Vallejos, Mónica Aguílar
Protocolo de transporte punto a multipunto fiable con control de congestión (PMFCC) ................... 105 Javier Muñoz Kirschberg, Marta Solera Delgado
Alternativas para el control de congestión en redes multicast .... . .......... .. ........................................ 113 Miguel Rodríguez Pérez, Manuel Fernández Veiga, Cándido López Garcia, Sergio Herreria Alonso
XIII
IV JORNADAS DE INGENIERíA T ELEMÁTICA 17
Identificación de Tráfico Anómalo mediante Modelado Estadístico de Protocolos. Aplicación a la
Detección de Intrusiones en Redes t
Juan M. Estévez-Tapiador, Pedro García-Teodoro, Jesús E. Díaz-Verdejo Área de Ingeniería Telemática. Depto. Electrónica y Tecnología de Computadores.
Universidad de Granada E.T.S. Ingeniería Informática. C/ Daniel Saucedo Aranda, s/n, 1807 1, Granada
Teléfono: +34958242305 Fax: +34958240831 E-mail: {tapiador. pgteodor. jedv}@ugr.es
Abstract. This paper presenls a nel1l l1Ielhod for detecting anomalies in Ihe usage of protoco!s in computer networks. The proposed approach is illlIslrated through ils application lo Tep and disposed in two sleps. Firsl, a qllanlization of Ihe proloco! header space is accomplished, so thal a l/nique symbol is associaled wilh each proloco! instance. Nenl'ork Iraffic is Ihlls caplured and represenled by a sequence of symbo!s. The modeling 01 these lemporal sequences by l1I eans of a Markov chain constilutes Ihe second slep in our approach. Once Ihe mode! is buill il is possible 10 use il as a representation oflhe "norma/" usage ofthe prolocol, so ¡hal devialionsfrom Ihe behaviorprovided by Ihe model can be considered as a sign of proloco! misusage. Preliminary experimenlal results revea! lhat severa! proloco! misllsages used in cerlain nelwork atlacks are delecled lhrough the inlroduced scheme. Addiliol7ally, anoma!y-based prolocol modeling can be used in conjunclion with olher inlrusion delection lechniques for improving the peljormance 01 currenl detection technology.
1 Introducción
La investigación en Sistemas de Detección de Intrusiones (JOS en adelante) ha sido un campo extremadamente acti vo durante los últimos veinte años . No obstante, la tecnología actual de detección aún padece limitaciones de rendimiento en lo concemiente a aspectos ta les como la alta probabi lidad de falsas alannas generadas, la baja precisión de detección obtenida o las elevadas necesidades de monitorización de eventos y carga computacional asociadas a las técnicas empleadas.
Actualmente son dos los principales enfoques establecidos frente al problema de la detección de intrusiones: detección de abusos (misuse delection) y detecc ión de anomalías (anol11a!y delecfion). En los sistemas basados en detección de abusos, cada ataque conocido es modelado mediante un patrón referido comúnmente como firma. Las acti vidades que coinciden con alguno de los patrones en la base de datos de firmas de ataques provocan el disparo de una alarma. El porcentaje de fa lsas alarmas en estos sistemas depende, entre otros factores, de si el proceso de emparejamiento admite únicamente emparejamientos estrictos o pennite algún tipo de desviación. Por el contrari o, en los sistemas basados en detección de anomalías el objetivo principal es el mode lado del perfil normal de comportamiento del sistema, de tal forma que cualquier desviación
sustancial con respecto al mismo puede ser etiquetada como intrusiva o, al menos, como sospechosa. Diversas herramientas estadísticas han sido las técnicas más empleadas para la construcción de los perfil es de func ionamiento normal del sistema. Los lectores interesados pueden encontrar excelentes introducciones al campo de la detección de intrusiones en [1) y [2).
Con independencia del método utili zado para los procesos de detección, un lOS puede ser clas ificado como basado en hosl o basado en red en función de cuál sea su fuente de datos de anál isis. Un IDS basado en hosl (HlDS) intenta identi fi car intrusiones analizando las acti vidades que se producen en cada nodo final de la red, principalmente aquéllas producidas por usuarios y programas. En un trabajo pionero, Denning propuso un esquema en el que se construían patrones de comportamiento relac ionados con la duración de las sesiones de los usuarios y los recursos consumidos por las aplicaciones [3). En cambio, los sistemas de detección basados en red (N IDS) centran su atención en el tráfico que es transportado a través de los distintos enlaces de comunicaciones [4]. Snort [5), Bro [6) y NetSTA T [20) son ejemplos representativos de sistemas de estas características.
La necesidad de definir el estado normal de un sistema moni torizado es 1ma cuestión crucial para
t Este trabajo ha sido parcialmente financiado por el Ministerio Espaiiol de Educación, Cultura y Deporte dentro del Programa Nacional de Formación de Profesorado Universitario (PNFPU) con referencia AP2001-3805 .
18
cualquier lOS basado en la detección de anomalías. Varios autores señalan que, con toda seguridad, el reto más importante para este tipo de métodos radica en la elección de las características que modelan el comportamíento [7], [8]. Tales rasgos deben caracterizar con prec isión los patrones de uso de los distintos servicios monitorizados, con objeto de obtener posteIiom1ente modelos precisos de la operación normal de los mismos; pero al mismo tiempo deben contener elementos característicos que permitan una adecuada di scriminación posterior entre activídades intmsivas y no intrusivas. Medir la normalidad de un sistema se convierte así en uno de los problemas más importantes en lo concerniente a la mejora de prestaciones de la tecnología actual de detección de anomalías.
En el caso de lOS basados en hOSI, los primeros esfuerzos en esta línea dejaron patente la dificultad de obtener perfiles con'ectos del comportamiento normal de usuarios. En efecto, se trata de elementos sujetos a una elevada variabilidad debido a la diversidad y constante evolución de su conducta frente al sistema. Algunos trabajos posteriores, centrados en el modelado del comportamiento de las aplicaciones, han evidenciado que las secuencias de llamadas al sistema ejecutadas por un programa son excelentes características para establecer perfiles de comp0l1amiento normal [7] , [9]. Una vez que una aplicación es muestreada mediante un conjunto extenso de las secuencias de llamadas al sistema que éste ejecuta durante su funcionamiento nonllal, es posible extraer ciertas propiedades estadísticas con la finalidad de modelar su comportamiento con·ecto. Cadenas de Markov, sistemas de aprendizaje de reglas y otros paradigmas similares han sido ampliamente utilizadas para estc propósito (véanse, por ejemplo, [lO] y (l1J).
En el contexto de lOS basados en red se ha argumentado recientemente que detenllinadas características asociadas con e l modelado de tráfico, como el ancho de banda consumido en ventanas de tiempo de diferente escala o ciertos estadísticos relativos a la operación de los protocolos, son especialmente adec uados para la detección de algunos ataq ues [12], [13]. Otros enfoques propuestos definen el estado n0l111al de la red mediante autómatas finitos , asociando de este modo las secuencias de acciones correctas con transiciones permitidas entre los estados del autómata [81, (14]. Algunas de estas soluciones son en toques basados en la detección de abusos, y las máquinas de estados obtenidas son utilizadas fundamentalmente como contexto gcneral para derivar las firmas de ataques.
].1 Sinopsis de la Contribución
En este trabajo se presenta un método basado en anomalías para la detección de abusos en la utilización de protocolos de red. Para ello se diseI'ia un detector de anomalías para supervisar un protocolo dado, monitorizando constantemente la
IV JORNADAS DE ING ENIERÍA T ELEMÁTICA
actividad en la red en busca de desviaciones con respecto a su uso "normal". La justificación para este enfoque proviene del hecho de que gran parte dc los ataques de red se sustentan en usos de los protocolos que caen fuera de la descripción oficia l de los mismos. La constmcción de tales detectores precisa un análisis de la implementación específica del protocolo existente en el sistema, así como del uso concreto que los servicios están hac iendo de él.
El método propuesto por los autores se inspira en el utili zado en JOS basados cn hos/. La idea bás ica consiste en la definición de un conjunto de características para un protocolo dado, de tal forma que puedan ser concebidas como el equivalente al papel que las llamadas al sistema representan para las apl icaciones (es decir, como una rúbrica de su operación). Estas características son posteriormente utili zadas para modelar los fluj os de tráfico que utihzan el protocolo. El uso 110rmol de un protocolo como fenómeno tempora l se modela así a través de una cadena de Markov, utilizando secuencias de tráfico observado in si/u como conjuntos de entrenamiento. Por último, se propone el empleo de una medida de reconocimiento especifica, denominada MAP, como mecanismo básico para la eva luación y clasificación del tráfico a partir del modelo obtenido.
1.2 Organización del Resto del Artículo
El contenido restante de este trabajo está organizado en torno al método lOS presentado como sigue. La Sección 2 introduce brevemente los fundamentos de las cadenas de Markov y su utilización en el reconocimiento de secuencias. El enfoque propuesto para el modelado de protocolos denU'o del contcxto de la detección de anomalías es descri to en la Sección 3. En la Sección 4 se exponen detalladamente la ap licación del esquema propuesto al caso de TCr, el entorno de pruebas utilizado durante la experimentación y los resultados obten idos. Finalmente, la Sección 5 rcsume el trabajo desarrollado presentando las principales conclusiones así como futuros objetivos de investigación.
2 Cadenas de Markov y su Uso
Supongamos un sistema que evoluciona a través de un conj unto de estados numerados de acuerdo con leyes probabilísticas y satisfaciendo la hipótesis de Markov (es decir, el estado del sistema en el instante 1+ 1 depende únicamente de su estado en el instante 1). Cada uno de los posibles estados ['={S/, 5'], .... SN} representa una situación diferente y específica en la que el sistema puede estar. Sea q, la variable que representa el estado del sistema en el instante 1.
Entonces, si P[q,=i] > O, de finimos a¡j como:
(l)
De eSla t'0=' transIción ..1 =[ "estando en : = alcanzar el ~ requ iere la cel1;:;:inicia les I1= -: la probabih.:hc c:<t
sati sfacer:
, . ::>:
De acuerdo co:;
matriz A=[a ; :,. junto con el \ o I1={ 1t,} satiSl2...'e":} Markov on estacionaIias. La esté en el estaco recursi vament
p
p
Una buena 111
puede encontrarsi' !
2.1 Estimación I
A lo largo d", :-"_ que el conoc~~
estados alcanzad.:t; mediante la ci proporcionadas =e lementos de un ~ que cada una de ! con uno de los ¡X-., "
Supongamos = : O2, ... , Or de s.ali-=-= la teoría de general izac ión asumir que la o~:~ depende exclusI' instante de ti empc la matriz de pr~ c.
estimada por
Obsérvese que I : -expres ión anteri0, I simple proceso d<." ~ las secuencias de oc
V JORNADAS DE INGENIERíA T ELEMÁTICA
y sea A la matriz [a;j]. Entonces, si P[ q,= i] > O,
(2)
De esta forma, la matri z de probabilidades de rransición ,1=[ a¡j] representa la probabilidad de, estando en el estado i en un instante de tiempo 1,
alcanzar el estado j en el instante 1+ l. Asimismo, se requiere la definición de un vector de probabilidades
in iciales TI={1t;}, siendo 1t¡=P[q l=i] , para establecer la probabilidad del estado inicial. Tal vector debe satisfacer:
(3)
De acuerdo con las definiciones anteriores, cualquier matri z A=[aij] sat isfaciendo (2) puede ser utilizada, j unto con el vector de probabilidades iniciales TI= {1t¡} satisfaciendo (3) para definir una cadena de Markov con probabilidades de trans ición estacionarias. La probabilidad p/") de que el sistema esté en el estado j en el instante de tiempo n está dada recursivamente por:
n > I (4)
Una buena introducción a las cadenas de Markov puede encontrarse en [1 51 Y r 161·
2.1 Estimación de Parámetros
A lo largo de esta exposición asumiremos siempre que el conocimiento concerniente a los distintos estados alcanzados por el sistema es adquirido mediante la observación de las salidas proporcionadas por el mismo. Estas salidas son elementos de un conjunto finito E>= { Ol}, de [onna tal que cada una de ellas se corresponde exclusivamente con uno de los posibles estados del sistema.
Supongamos una secuencia temporal ordenada Oj, O2, .. . , OT de salidas observadas para un sistema. En la teoría de cadenas de Markov se considera la generalización más simple posible, consistente en asumir que la observación en un instante de tiempo depende exclusivamente de la sa lida obtenida en el instante de tiempo inmediatamente anterior [15J. Asi, la matriz de probabilidades de transición puede ser estimada por
(5)
Obsérvese que los dos ténninos de probabilidad en la expresión anterior pueden calcularse mediante un s imple proceso de recuento de ocurrenc ias a partir de las secuencias de observaciones.
19
Por otro lado, el vector de probabilidades inicia les TI puede ser estimado de manera similar. La probabilidad inicia l de cada símbolo puede ser fác ilmente computada contando el número de veces que dicho símbolo aparece como primer elemento de las sec uencias observadas.
2.2 Reconocimiento de Secuencias
Supongamos una cadena de Markov 1..=(,1 , TI), donde A = [a;j] es la matri z de probab ilidades de transición y TI = (1t;) e l vector de probabilidades iniciales, y sea O = {Ol, O2, ... OT} una secuencia observada de símbolos. El problema del reconocimiento con cadenas de Markov se puede fonnular como la estimación de prO I 1..], esto es, la probabilidad de la secuencia observada evaluada por la cadena. Una medida lltil para este propósito es la conocida como Probabilidad Máxima A-posteriori (MAP), de finida como:
T - I
MAP(O ,A.) = 7fo, 11 ao,o,., (6) 1=01
Un problema relacionado con esta medida es su rápida convergencia a cero. Consecuentemente, en ocasiones resulta más útil su representación en una escala logarítmica, esto es:
T - 1
LogMAP(O , A.) = log(7fo, )+ ¿log(a O;lJ; , ,) (7) i=l
El uso de probabilidades acumuladas presenta el inconvcniente de que ninguna probabilidad pucde ser cero. Para la aplicación práctica de cadenas de Markov, esta cuestión se resuelve mediante un proceso previo de suavizado de la cadena. Aunque son muchas las técnicas existentes para su consecución, la más simple consiste en fijar aquell as probabi lidades menores que un valor dado "¡;" a dicho va lor ([ 15]).
3 Modelado Estocástico para la Detección de Anomalías
La infonnación concerniente a la sefialización y dinámica de los protocolos de red se ubica en los encabezados de cada PDU (Proloeol Dara Unit). Por consigu iente, es de esperar que las variables convenientes para el modelado del comportamiento " normal" de l protoco lo sean los va lores de los campos del encabezado o combinaciones de los mismos.
La Fig. 1 ilustra esquemáticamente la arquitectura general del modelo propuesto en este rrabajo . La idea subyacente es la de modelar el comportamiento de un protocolo dado como una secuencia estocástica de eventos que ocun'en mientras las partes involucradas en la comunicac ión intercambian mensajes. Por su naturaleza, este modelado puede reali zarse de una
IV JORNADAS DE INGENIERíA TELEMÁTICA 19
y sea A la matriz [a¡;]. Entonces, si P[ qt=i] > 0,
(2)
De esta forma, la matriz de probabilidades de transición A=[a¡;l representa la probabilidad de, estando en el estado i en un instante de tiempo 1,
alcanzar el estado j en el instante 1+ l. Asimismo, se requiere la definición de un vector de probabilidades iniciales I1= {11¡}, siendo 11¡=P[ql=i], para establecer la probabilidad del estado inicial. Tal vector debe satisfacer:
(3)
De acuerdo con las definiciones anteriores, cualquier matriz A=[a¡;] satisfaciendo (2) puede ser utilizada, junto con el vector de probabilidades iniciales I1={11¡} satisfaciendo (3) para defInir una cadena de Markov con probabilidades de transición estacionarias. La probabilidad p/") de que el sistema esté en el estado) en el instante de tiempo n está dada recursivamente por:
n> 1 (4)
Una buena introducción a las cadenas de Markov puede encontrarse en [15] y [16].
2.1 Estimación de Parámetros
A lo largo de esta exposición asumiremos siempre que el conocimiento concerniente a los distintos estados alcanzados por el sistema es adquirido mediante la observación de las salidas proporcionadas por el mismo. Estas salidas son elementos de un conjunto finito 0={ O;}, de forma tal que cada una de ellas se corresponde exclusivamente con uno de los posibles estados del sistema.
Supongamos una secuencia temporal ordenada O], O" ... , Or de salidas observadas para un sistema. En la teoria de cadenas de Markov se considera la generalización más simple posible, consistente en asumir que la observación en un instante de tiempo depende exclusivamente de la salida obtenida en el instante de tiempo inmediatamente anterior II S]. Así, la matriz de probabilidades de transición puede ser estimada por
(5)
Obsérvese que los dos ténn inos de probabilidad en la expresión anterior pueden calcularse mediante un simple proceso de recuento de ocurrencias a partir de las secuencias de observaciones.
Por otro lado, el vector de probabilidades iniciales I1 puede ser estimado de manera similar. La probabilidad inicial de cada símbolo puede ser fácilmente computada contando el número de veces que dicho símbolo aparece como primer elemento de las secuencias observadas.
2.2 Reconocimiento de Secuencias
Supongamos una cadena de Markov lc=(A , I1), donde A = [a¡;] es la matriz de probabilidades de transición y
I1 = (11,) el vector ele probabilidades iniciales, y sea O = {O 1, O2, •.• Or} una secuencia observada de símbolos. El problema del reconocimiento con cadenas de Markov se puede fonnular como la estimación de prO I l.], esto es, la probabilidad de la secuencia observada eval uada por la cadena. Una medida útil para este propósito es la conocida como Probabilidad Máxima A-posleriori (MAP), definida como:
T -j
MAP(O,A) = !ro, 11 ao,o", (6) , "" ]
Un problema relacionado con esta medida es su rápida convergencia a cero. Consecuentemente, en ocasiones resulta más útil su representación en una escala logarítmica, esto es:
1' -1
LogMAP (O , A) = log( JI: O, ) + ¿ log( a 0;0;,, ) (7) ;=1
El uso de probabilidades acumuladas presenta el inconveniente de que ninguna probabilidad puede ser cero. Para la aplicación práctica de cadenas de Markov, esta cuestión se resuelve mediante un proceso previo de suavizado de la cadena. Aunque son muchas las técnicas existentes para su consecución, la más simple consiste en fijar aquellas probabilidades menores que un valor dado "¡;" a dicho valor ([15]).
3 Modelado Estocástico para la Detección de Anomalías
La información concerniente a la señalización y dinámica de los protocolos de red se ubica en los encabezados de cada PDU (Prolocol Dala Unit). Por consiguiente, es de esperar que las variables convenientes para el modelado del comportamiento "normal" del protocolo sean los valores de los campos del encabezado o combinaciones de los mismos.
La Fig. I ilustra esquemáticamente la arquitectura general del modelo propuesto en este trabajo. La idea subyacente es la de modelar el comportamiento de un protocolo dado como una secuencia estocástica de eventos que ocurren mientras las partes involucradas en la comunicación intercambian mensajes. Por su naturaleza, este modelado puede realizarse de una
20
fonna senci lla haciendo uso de cualquier formalismo matemático para e l estudio de procesos estocásticos. Las cadenas de Markov son, seguramente, una de las técnicas más elementales para ello.
Sin embargo, la aplicación de esta técnica de mode lado a la problemática planteada no es inmediata. Para alcanzar e l propósito anterior es necesario llevar a cabo una etapa previa de cuantización de los encabezados del protocolo. El objetivo de tal cuantización es reali zar un mapeado del espacio f2p de posibles encabezados del protocolo a modelar en un conjunto finito de símbolos L. La principal propiedad que debe verificar el esquema de cuantización elegido es que conserve el discernimiento entre instancias del protocolo que son significativamente distintas, esto es, que dos encabezados "suficientemente" diferentes sean representados como dos símbolos distintos, y viceversa.
Tras la etapa de cuantizac ión se dispone de una representación del tráfico de red en una detem1inada capa como una secuenc ia de observaciones escalares (símbolos). Una vez que esta transfonnac ión ha sido reali zada, el siguiente paso consistirá en e l modelado de tal secuencia. En el modelo propuesto son las cadenas de Markov las herramientas utili zadas para capturar la dinámica del protocolo. Dado un conjunto de secuencias de observaciones ( instancias de uso del protocolo) es posible, haciendo uso de la expres ión (5), estimar todos los parámetros que definen el modelo.
Finalmente, durante la etapa de evaluación, una vez disponible el modelo construido en la fase anterior, se procederá a estimar las expresiones (6) o (7) a fin de clasificar los eventos observados como normales o no.
4 Aplicación al Caso TCP
En esta sección ilustraremos la apl icación práctica del modelo expuesto a l caso particu lar del protocolo TCP. Los apartados siguientes detallan la construcción de un detector simple para la identificac ión de anomal ías en el uso de este protocolo, con especia l énfasis en aquéllas concernientes a problemas de seguridad.
4.1 Parametrización y Cuantización
En el caso de TCP, la mayor parte de la información de señalización está localizada en los campos conocidos como flags [17]. Un enfoque simple (aunque eficaz, como se verá posterionnente) es considerar la configuración de flags de cada segmento TCP como su representación particular. De esta fom1a, es posible asociar un único símbolo SI' con cada segmento dado por:
IV J ORNADAS DE INGENIERíA TELEMÁTICA
ETAPA DKMonn.J\.no
Rtsuf!adc1 ~- --------------------- ----------------- - -- - - - ----_.'
Figura 1: A rquitectura general del sistema de modelado de protocolos propuesto para la detección de anomalías.
6
S = "w. ·b,. =S +2A+4P +8R+I6U +32F (8) f' L.,¡ I
;=1
donde S, A, P, R, U y F se corresponden, respectivamente, con el valor de los flags SYN, ACK, PSH, RST, URG y FIN. La idea subyacente a este esquema de cuanti zac ión es la de asociar con cada segmento TCP el símbolo S,,, donde "n" es el número resultante de considerar la disposición de flags del segmento como un número binario de 6 bits (n = O, 1, ... 63).
4.2 Entorno de Pruebas
El principal requisito para efectuar una evaluación de l modelo propuesto es la obtenc ión de tráfico de las dos clases necesarias: normal y de naturaleza anómala. Como primera aproximación han sido uti lizadas conexiones TCP filtradas por el puerto de destino (es decir, por la aplicación destinataria del tráfico). Las aplicaciones monitorizadas para los experimentos han sido HTTP, SSH y FTP.
La Tabla I resume a lgunas estadísticas sobre los ficheros de tráfico utilizados. Los paquetes han sido captlLrados monitori zando conexiones normales destinadas a un hasl que ejecuta un servidor HITP, un servidor FTP y un servidor SSH. La captura, fi ltrado y extracción de los segmentos TCP puede ser llevada a cabo fáci lmente haciendo uso de la herramienta Icpdul71p [18]. Cada fic hero contiene varias sesiones compuestas por secuencias ordenadas de las cabeceras TCP intercambiadas a lo largo de toda la sesión.
Por otro lado, las conexiones anómalas emp leadas durante la experimentación han s ido obtenidas uti lizando diversas herramientas que explotan ciertas debi lidades y ambigüedades en TC P con fines diversos. Por ejemplo, I1map [1 9J y otras herramientas similares de reconocimiento utilizan ciertos segmentos TCP para ll evar a cabo sus objetivos. La mayor pat1e de estas técnicas se basan en un uso anómalo de la señalización transportada en los flags . Cabe citar, por ejemplo, segmentos con ningúnj7ag activado (null sean), segmentos con todos
IV JORNADAS DE I G
Tab!a I Conjuntos . el número de cabete
Aplic Traza ~
flp.l flp.2 flp.3 flp.4 flp.5 flp.6 flp.7
se
los flags act ivados . flag FIN activado ( conexión previa est:l slealth sean). A pes. son bien conocidas correspondientes par capacidades de detec de las firmas con e fill11as, de f011na nuevas finnas.
4.3 Estimación d
La etapa de cuant iza. de cada conexión ce símbolos. Estas tran como entradas para l. siguiendo las expresl la Sección 2. 1 .
En una aproxi mació; modelo se ha realiJ conexiones por el pU¡ obtención de un moa destinado a cada apl modelos obtenidos I componen los cor.. anterionnente: FTP. ilustración correspo; antes de llevar a cabo
En concreto, el mo procedentes de Irá ';: con probabilidades de SJ4. El estado SI com el flag SYN pu IG
para el establecimiem S2 y Só son x reconocimiento de mientras que S2 úmC3 a l , el estado SÓ COD
flags ACK y PSH diferencia podría e!
estados de carga de I paquetes se aCli \ a I
inmediata. Finalmen:e paquete con los . a.
IV JORNADAS DE INGENIERíA TELEMÁTICA 21
Tabla \: Conjuntos de datos de tráfico normal utilizados para la construcción de los modelos Tep. El tamaño de cada traza indica el número de cabeceras Ter registradas.
Aplicación FTP Aplicación HTfP Aplicación SSH Traza No. de Tamaño Traza No. de
sesIOnes Total sesiones
ftp.l 14 5207 hltp .l ftp.2 9 3762 http.2 ftp.3 18 6862 http.3 ftp.4 32 18101 http.4 ftp.5 69 27753 http.5 ftp.6 78 51345 http.6 ftp.7 156 133615 http.7
los jlags activados (Xmas sean l, o segmentos con el jlag FIN activado destinados a un puerto sin una conexión previa establecida (una de las variantes de stealth sean). A pesar de que éstas y otras técnicas son bien conocidas, y es posible instalar filtros correspondientes para evitarlas, resulta obvio que las capacidades de detección siempre serán dependientes de las firmas contenidas en la base de datos de fim1as, de forma que nuevos ataques requerirán nuevas finnas.
4.3 Estimación del Modelo
La etapa de cuantización produce una representación de cada conexión como una secuencia ordenada de símbolos. Estas trazas son utilizadas a continuación como entradas para la fase de estimación del modelo, siguiendo las expresiones brevemente comentadas en la Sección 2.1.
En una aproximación preliminar, la construcción del modelo se ha realizado filtrando previamente las conexiones por el puerto de destino. El resultado es la obtención de un modelo distinto para el tráfico TCP destinado a cada aplicación. La Fig. 2 muestra los modelos obtenidos para las tres aplicaciones que componen los conjwllos de datos comentados anterionnente: FTP, SSH y HTTP. Nótese que la ilustración corresponde a los modelos estimados antes de llevar a cabo el proceso de suavizado
En concreto, el modelo obtenido con secuencias procedentes de tráfico FTP presenta cuatro estados con probabilidades de transición 110 nulas: SI, S2, Só y S34. El estado S I corresponde a un segmento TCP con el flag SYN puesto al, representando la solicitud para el establecimiento de una conexión. Los estados S2 y Só son conceptualmente idénticos: el reconocimiento de un paquete recibido. No obstante, mientras que S] únicamente tiene el/lag ACK puesto al, el estado Só cOlTesponde a un segmento con los jlags ACK y PSH activados simultáneamente. Esta diferencia podría estar originada por diferentes estados de carga de la red, de forma que en ciertos paquetes se activa el flag PSH para su entrega inmediata. Finalmente, el estado S34 corresponde a un paquete con los flags ACK y FIN activados, y
29 41
102 57 98 62
117
Tamaño Traza No. de Tamaño Total seSIOnes Total
8975 ssh.l 11 3349 13862 ssh.2 9 3294 28107 ssh.3 12 3766 19343 ssh.4 24 7069 50462 ssh.5 143 63252 21310 ssh.6 218 122355 41329 ssh.7 241 151142
Modelo para tráfico FTP
SYN
Modelo para tráfico HTTP
Modelo para tráfico SSH
0.05
Figura 2: Modelos estimados para diferentes servicios sobre TCP. Los valores de las probabilidades de transición entre estados están representados sobre cada arco del autómata. Cada transición queda así definida por el estado actual Si junto con el siguiente Si+ l . Las transiciones de probabilidad nula no se encuentran representadas en la figura.
22
representa el cierre de una conexión junto con el reconocimiento de la recepción de un paquete anterior.
El análi sis de las transiciones presentes en el modelo revela que se ha capturado correctamente la dinámica especificada para el protocolo TCP [17]. Más especificamente, es inmediato establecer una analogía entre este autómata y un cierto subconjunto de la conocida máquina de estados TCP.
La discusión anterior se puede extender fácilmente al caso de los servicios I-ITTP y SSH. Aunque los modelos obten idos son esencialmente equiva lentes, las diferencias observadas (como la aparición de estados con el flag RST activado) son originadas por el uso concreto que cada apl icación hace del protocolo. Sin embargo, en ellos es pos ible identificar la misma semántica de uso.
4.4 Evaluación y Análisis de Resultados
Tras el periodo de entrenamiento se dispone de una cadena de Markov para el tráfico Ter entrante destinado a cada servicio específico. La evaluación posterior es reali zada siguiendo e l proced imiento descrito en la Sección 2.2. El método de suavizado implementado para so lventar el problema de las transiciones nulas es el que fue comentado brevcmente en dicha Sección: aqucllas transiciones con probabilidad menor que un um bra l fijo (¡;= 10·6 en nuestro caso) son fijadas a este va lor.
La curva mostrada en la gráfica superior izquierda de la Fig. 3 corresponde a la función Log MA P para una sesión I-ITTP "normal" . Esta función posee siempre una f0n11a simi lar a la allí mostrada. Mientras los símbolos entrantes se adecuen correctamente a los esperados por el modelo en términos probabilíst icos, las transiciones entre estados serán las esperadas y, por lo tanto, la suma acumulada proporcionada por LogMA P no presentará cambios bruscos de pendiente. Por el contrario, la aparic ión de patrones de tráfico inesperados producirá una ráfaga de bajas probabi lidades. Este fenómeno se man ifestará en un cambio abrupto de la pendiente de la curva, como queda patente en el grá fi ca inferior izquierda de la Fig.3 .
Un método útil para detectar estos cambios y, por tanto, la presencia de tráfico anómalo, es observar cuándo la derivada de LogMAP supera cierto umbral. Para este propósito se ha uti li zado la üunil ia de funciones:
I I 11'", I Dw", {!) = LogMAp(I)--;- 'ILogMAp(I-i)
I ~II 1=\
(9)
para valores del parámetro W", = 1, 2, 3, Nótese que el seglUldo término en (9) es la media de las últimas W", sa lidas . Un incremento en este parámetro producirá una amp lificación de D w",(t),
IV JORNADAS DE INGENIERíA T ELEMÁTICA
""1 1 k.~·~.iWMt-\t~'iJ.I _·,-ti~I''ill o 50 100 ISO 200 250 100
rr,lk .. T<"1' "~)rn ;,I ,),' .,,,' ~; 'C')
'~I'''---' ----- -.".,
~-300 ·.00
'''''1 01;00
0
" I ¡~ I 1 ~_10
:~.~. , oo ' ~M~;"~' -;"';;,.,
Figura 3: Gráficas comparativas de la salida producida por el detector (cadena IITTP) en presencia de sesiones con tráfico normal y anómalo. En las curvas de la parle inferior los ataques cstll.n IOL:alizados cn los instantes dc tiempo t- 37, 1=85. t= 11 8. 1= 172. y 1=235.
desempet'\ando así un papel equ ivalente al del parámetro de suavizado ¡;.
La curva inferior derecha de la Fig. 3 muestra la sali da proporc ionada por c l detector (función D ,(t) durante la monitorización de varias ses iones con presencia de trático intrusivo del tipo del descri to en la Sección 4.2 (concretamente, cinco variantes d istintas de paquetes sonda para el escaneo de pueI1.os). Resu lta evidente cómo el detector ha caplurado en estc caso la aparic ión de anomalías en las conexiones. El rango de sa lida de la fi.lI1c ión DI(t) para los patrones nOl1l1a les oscila en el interva lo [0 ' 0,3 '0], mien tras que las secuencias anómalas se mani fíestan con va lores superiores a 15'0 en todos los casos.
4.5 Discusión
De acuerdo con la metodología expuesta hasta ahora, el resultado de la etapa de entrenamiento es la obtención de un modelo de uso de Tep por patie de cada uno de los servic ios considerados. El despliegue de detectores basados en este esquema se rea li7.aría como ha sido comentado previamente: cada modelo aislado monitoriza e l tráfico entrante dest inado a la aplicac ión concreta.
No obstante, resulta razonable concebir un único modelo para el uso g lobal del protoco lo (Tep en el caso anterior), con independencia de la aplicación que lo utili za. Tal modelo puede ser fácilmente construido siguiendo las mismas pautas de modelado, pero considerando todos los conjuntos de trático de entrenam iento sin discernir en función del puerto de destino de cada segmento.
La Fig. 4 muestra el modelo res ultante obtenido tras la apl icación de este enfoque. Como era de esperar, el modelo obtenido corresponde a una "media" de los modelos individua les mostrados en la Fig. 2. Efectivamente, el conjunto de estados obtenido es la unión de los estados de los tres modelos individuales. Por otro lado, las nuevas probabil idades de transición
IV J ORNADAS DE I G:
Figura .. k Modelo Te diferentes fuentes. :-.. :~ una " media·' de los ml. 4
pueden ser vislas presentes en lo (';ilustrar con un ejem; transición S2-7 So' L: es 0' 66 en el caso ce caso de IITTP y O' : La correspondient presenta una prob~
(véase Fig. 4). Es po.. , para e l resto de tran-
La Fig. 5 l11ueSlra ~:
del modelo global O'"
anó malos del prot parámetro de sua\ lud observa clarameme anomalías dc igual :individuales, es pr _ rangos de la set'\a, ejemplo, el modelo _ valores in feriores :!
superiores a 17' O iJX'mismo tráfico con salida inferior a 6': r
superior a 8'5 para I s
Este fenómen o se n con la pérdida d~
anteriormente dis ut ~ la detección puede "': parámctro de sua\-i= en el caso de modek- ' € = 10.6 eran sufície:-" cntre conexiones no. para e l caso del mooé ¡; = 10.9 o inferior par_
5 Conclusione
En este trabajo han SIC
un nuevo esquema pa;.
IV J ORNADAS DE INGENIERíA T ELEMÁTICA
Figura 4: Modelo Ter obtenido con trá fic o procedente de diferentes flJ~ntes. Nótese cómo el modelo puede sa visto como una " media"' de los modelos individLWks mostrados I;!I1 la Fig. 2.
pueden ser vistas como una med ia ponderada de las presentes en los originales. Este hecho se puede ilustrar con un ej emplo sencillo si consideramos la transic ión S2'¿S". La probabilidad de esta transición es 0'66 en el caso de la cadena para FTP, 0'26 en el caso de l-ITTP y 0'05 para el caso SS I-I (véase Fig. 2) . La correspondiente transic ión en el modelo g lobal presenta una probabi lidad dc ocurrencia de O' II (véase Fig . 4) . Es posible rea li zar un análi s is análogo para el resto de transiciones.
La Fig. 5 muestra algunos resul tados de evaluación del modelo global obtenido para la detección de usos anómalos del protocolo. En este caso, e l valor del parámetro de suavizado E ha sido de 10-9. Aunque se observa claramente cómo el mode lo detecta anoma lías de igual forma que lo hacían los modelos indiv idua les, es preciso hacer notar que los nuevos rangos de la sei\al de sa lida son distintos. Por ejemplo, e l mode lo correspondien te a IITTP produce va lores in feriores a 2'0 pa ra e l tráfico normal y superiores a 17'0 para el anómalo. La cvaluac ión del mismo tráfico con el nuevo modelo proporciona una sa lida inferior a 6 ' 5 para las conexiones normales y superior a 8'5 para los usos anómalos.
Este fenó meno se encuentra directamente relacionado con la pérdida de espec ialización del 1110delo anteriormente di scutida. No obstante, la precisión de la dctección puede ser controlada tanto a través del parámetro de sua vizado E como de w,,,. Por ejemplo, en el caso de l11odelos individuales, valores en torno a E = 10-" eran sufi cientes para una separac ión correcta entre conex iones normales y anómalas. S in embargo, para el caso de l mode lo g lobal se requiere un va lor de e = 10.9 o inferior para una di scrim inac ión prec isa.
5 Conclusiones y Trabajo Futuro
En este trabajo han sido presentados los resultados de un nuevo esquema para la detección de anomalías en
23
el uso de los protoco los de red. La aplicac ión de cadenas de Markov como mode lo subyacente a la d inámica de un protoco lo, en conj unción con el empleo de med idas de reconocimiento de l tipo de las presentadas (AI/A P y LogMAP), proporcionan un marco de trabajo sól ido y prometedor de cara a una investigación más extensa en esta línea.
El método expucsto ha probado su efcctividau a lo largo de todos los experimentos preliminares ll evados a cabo. En el caso de Tep, los resultados obtenidos tras el mode lado son si milares a los que pudieran ser deri vados directamente de la especificac ión fo rmal del protoco lo (véase [17]). No obstante, la elaboración "manua l" de tal modelo no es s iempre fac tible por, al menos, dos razones. En pri mer lugar, aunquc la espec i ticac ión abstracta de cada protoco lo esté siempre disponi ble y sea respetada como estándar, determinados aspectos concern ientes a l di seño suelen ser ambiguos y su uso concreto se delega en la implementación que cada fab ricante efectúa del protoco lo. Este hecho se man ifiesta claramente en el comportamiento heterogéneo que las pilas de protocolos de diferentes s istemas operativos exhiben en ciertas circunstancias y que, entre otros hechos, permiten la identifi cación remota de la plataforma ([2 1 J, [19]). En segundo lugar, muchos de los protoco los comúnmente empleados no se sustentan sobre una máquina de estados similar a la ex istente para Tep o ARP, por ci tar algunos ejemplos . La construcción de un modelo obten ido di rectamcnte ele la utilizac ión espec ifica que las aplicac iones hacen de los mismos es, en ta les casos, aún más llt il si cabe.
Ad icionalmente a todo lo expuesto a lo largo de esta discus ión, el despliegue de sensores basados en e l modelado propuesto no debe ser concebido como una so lución completa para las tareas de detección. Por e l contrario, su uso en cOl1j unción tanto con otras técnicas de detecc ión de anomalías, C0 l11 0 con métodos basados en firnlas, es especialmente recomendado. Recuérdese que la uti lizac ión anómala de protocolos constituye ún icamente una pieza dentro
ses,~ TCP l1oonol (I ,{,fico SSHl]!'
:W~ifoVl ~~iíjlilJ.li!"'MIf\~~~~\\ ,\~j,jI! ¡iiiI ~~¡¡\¡' If!'!!~I ! liijl~~ o 50 100 150 200 250 :wo o 50 100 150 200 250 300
;':J]J2~J~~I~~~::1 o 200 400 aoo 800 o i()() 400 600 800 ,
Fi gura 5: Salida pt\)porciollada por el detector global durantt' la monitorización ll t~ dos sesiolles SSH y dos HTTP. Aunque la pn.:<.:i siótl de la detección no ha cambiado, se puede observar cómo los rangos de la señal de salida son disti ntos.
24
del vasto arsena l de herramientas de intrusión ex istentes.
La eva luación de la viabilidad en entom os rea les, la ex tensión a otros protoco los y la investigac ión de técnicas de cuanti zación de paquetes más genera les constit uyen las principa les líneas de trabajo futuro. La particulari z.ación al caso dc protocolos en la capa de apli cación (a llí donde sea ap li cable), resulta especialmente relevante dado el papel que esta capa desempeña en los problemas de seguridad existentes. Fina lmente, la obtención de mecani smos e fici entes de correlación entre los fl ujos de tráfi co entrantes y sali entes promete suponer un ava nce significati vo en la mejora de la tecnología de detecc ión existente .
Referencias
[1) J . A llen, A. Christi e, W. Fi then, J . Mcl lugh, J. Picke l, E. Stoner. "State of the pract ice of intrusion detection technologies". Technical Report CMU/SEl -99-TR-028 . Software Engineeri ng Insti tute, Carnegie Me llon, January 2000.
[2] S. Axe lsson. " lntrusion Detection Systems: A Survey and Taxonomy". hllp:/lcileseer.I/j.nec. cOI/1/axelssonOOil1ll'/ls ion. h Iml,2000.
[3 1 D. Denning. "An intrusion-detection mode l". IEEE T ransacti ons 011 Software Engineeri ng, Vo!. SE-D, No.2, pp. 222-232. February 1987.
[4] B. Muk heljee, L. T. lleberle in, K. N. Lcvitt. "Nctwork ln trusio n Dctect ion". IEEE Network, Vo!. 8, No. 3, May/June, pp. 26-4 1, 1994.
[51 M. Roesch. "Snort - lightweight intrusion detection for nctworks". I'roceedings of the 1999 USEN 1 X LISA conference, Novcmoer 1999.
[61 V. Paxon. "Bro: A Sys tem for detccting network int ruders in real -time". Proccedings of the t h
USENIX Securi ty Symposium, San Antonio, Texas, 1998.
[7] C. Warrender, S. Forrest, B. Pearhnutter. "Detectillg Intrusions Using System Calls: A lternative Data Models". Proceedings oC 1999 1 EEE Symposi um on Sccurity and Priyacy. pp. 133-145, 1999.
[81 K. L1gun, R. A. Kcmmercr, P. A. Porras. "State T rallsitioll s Analysis: A Rule-based Intrusion Detcction Approach", 1995 .
[9] S. Fones t, S. ;\. I-Iofineyr, A, Somayaji , T. A. Logstarr. "A sense of Self ror Unix process". Proceedings or 1996 IEEE Symposium on
IV JORNADAS DE INGENIERíA TELEMÁTICA
Computer Security and Privacy, pp. 120-1 28, 1996.
[10) S . .Iha, K. Tan, R. A. Max ion. "Markov Chains, Classifiers, and l ntrusion Detect ion". Proceedings of lhe 141h 1 EEE Computer Security Foundalions Workshop, pp. 206-219, 200 l.
[ 11] T . Lunt, A. Tamaru, F. Gi lham, RJ agannathan, P. Ne umann , 1-1 . Javitz, A. Va ldes, T. (¡arvey. A real-lime inlrusiol/ deleclion experl ~yslell7
(IDES) - fino l lechnical reporl. Technical Repon, Computer Science Laboratory, S RI Ln ternat ional , Menlo Park , Ca li fornia, February 1992.
[12] .I. B.D . Cabrera, B. Rav ichandran, R. K. Mehra. "Statistica l Traffic Mode ling for Network Intrusión Detcct ion". Proceedings of the 81h
IEEE Il1lcrnat iona l Symposi um on Modeli ng, Analysis and Simulation of Computer Te lecoll1munication Systems, pp. 466-473, 2000.
(13) M. Bykoba, S. Osterman n, B. Tjaden. " Detecting Network Intrusions via a Statistical Analys is of Network Packet Characte ri stics". Proceedings of the 33"1 IEEE Southeastern Syl11posium on Systel11 Theory, pp. 309-314, 2001.
[14J S. Zheng, C. Peng, X. Ying, X. Ke. " ;\ Network State l3ased Intrusion Detection Mode l" . Proceed ings of the Intcrnati ona l IEEE Confercnce on Computer Networks and Mobilc Computing, pp. 481-486, 200 l.
[15J .l . L. Doob. Slochaslic Processes, .1 01111 Wiley & Sons, 1953
[161 W. Fcller. An Inlroduclion lo ProhahililV Thear¡- {{mi lis Applicolions, Vol. 1, 3'" Editio l; , John Wiley & Sons, 1968.
[1 7J J. Poste!. "Transl11ission Control Protocol", RFC- 793, Septcmbcr 1981.
l18] V. Jacobson, C. Leres, S. McCanne. Icpdul1Ip, hlIP:!/ 't"lI 'II'.tcpdul1lp.org, June 1994.
[19] Fyodor. Nl1lap - Free Sleallh POr! Scanner jór Nellt'Ork Explor({{ion & Securily Audits. hllp: / / WI I '11'. insecure. org/nlllap/index.llliul
[20J G. Vigna, R. A. Kcmmercr. "NctSTAT: A Network-bascd Intrusion Detection Systelll" . Journal o/Coll1puler Securily, Vo!. 7, No. 1, pp. 37-7 1,1999.
[21"1 Ollr Arkin . ICMP Usage in Scanning: The Complete Know-I-low, Vers ion 3.0, Junio 2001. hIIP://'I" t',v,svs-sec/lril) ·.COII/
GTC (Grupo':' T~
lIntroducci ól
El diseiio de rn..~ pre\ io ind i-pcr:s -implementación ~_ ::
r 1] , este pro.: : primero. de!erm'--':: la red, de, pu · · información qt:~
di seiiar la, di:'e-~:
sopoI1ar \ dC\:l~ - , introduce una --~
responder el es! _ es necesario?" :: están preocupa': - " va a exigir de~-s eval uado ade -L'l~
redes multimecll _ _
que se sati sfag:lr la naturaleza d", >_
Pero más imp :-_ sistema de medlu.1 ~ redes que han ,,¡~ I
requerimientos ql..c _ Se debe ten ~ _
Servicio (QoS :-generados por la- :;::: existen básiC3mr:e recursos y asigT'_ recursos implic_ __
transmitir mien~~
requerimientos de _ Ejemplos de red. -pueden ser Fr,¡ asignación de reorganizac ión q_e colas de paque~_ . • prioridad, qu e.;;.,.;el tipo de requerimientos "e basado en la asl;restringido por b _ s i se supera d .. _ ~ prioridades no g .... ~