Maskana (Apr 2016)

A response toolkit to provide an active response against intrusions using Ontology-Based IRS

  • Danny S. Guamán,
  • Julio C. Caiza,
  • Verónica Mateos

Journal volume & issue
Vol. 5, no. Ed. Esp.

Abstract

Read online

Active response systems are intended to run an automatic response against an intrusion. However, running an automatic response is not a trivial task because the execution cost could cause a greater negative effect than the intrusion itself. Also, the system should have a broad set of responses and an algorithm to select the optimal response. This paper proposes a response toolkit that is integrated into an ontology-based IRS to allow automatic execution of the best response against a detected intrusion. A set of host-based and network-based responses that can be performed by an IRS is presented. The response execution is performed by several plugin-based agents that have been distributed over the network. The verification of this proposal is made in a defacement attack case with satisfactory results. Keywords: Network security, intrusion response, active response. RESUMEN Los sistemas de respuesta activa tienen por objetivo ejecutar una respuesta en contra de una intrusión de forma automática. Sin embargo, ejecutar una respuesta automáticamente no es una tarea trivial ya que el costo de ejecutar una respuesta podría ser más grande que el efecto que cause la intrusión propiamente dicha. También, el sistema debe contar con un amplio conjunto de acciones de respuesta y un algoritmo que seleccione la respuesta óptima. Este artículo propone un toolkit de respuestas que será integrado a un IRS basado en Ontologías para permitir la ejecución automática de la mejor respuesta cuando una intrusión es detectada. Se presenta un conjunto de respuestas basadas en host y basadas en red que pueden ser ejecutadas por el IRS, dicha ejecución es llevada a cabo mediante agentes basados en plugins que han sido distribuidos en la red. Finalmente, se realiza la verificación del sistema propuesto, tomando como caso de uso un ataque de defacement obteniéndose resultados satisfactorios. Palabras clave: Seguridad de redes, respuesta a intrusiones, respuestas activa.