Resumen de Minería de procesos para la mejora de la seguridad de sistemas de información Web

Raúl Piraces Alastuey, Simona Bernardi, Raquel Trillo Lado

• El uso de sistemas de información Web para automatizar la gestión de información está ampliamente extendido. Tradicionalmente, estos sistemas se han protegido mediante medidas preventivas y reactivas. Las medidas preventivas se basan en el análisis de patrones de ataques existentes y documentados, y el establecimiento de reglas que eviten las condiciones que permitan dichos ataques. Las medidas reactivas no impiden que se produzcan ataques y actúan cuando se detecta un comportamiento anómalo. El principal inconveniente del uso de medidas preventivas es que no permiten analizar y evitar ataques no conocidos. Por otro lado, las medidas reactivas se activan una vez ha ocurrido una intrusión; esto puede implicar que el ataque se detecte demasiado tarde, cuando el daño producido sea irreparable o reparable a un alto coste. En este artículo se define un método mixto (preventivo-reactivo), basado en técnicas de ingeniería del software dirigida por modelos (Model-Driven Software Engineering -MDSE-)y de minería de procesos, para la detección de amenazas persistentes avanzadas antes de que estas se materialicen y/o produzcan algún tipo de daño en sistemas de información Web. En concreto, se plantean técnicas y herramientas para la monitorización, procesado y análisis de las trazas de ejecución de los logs de los sistemas de informacin Web con el objetivo de detectar y gestionar comportamientos anómalos. Además, en el artículo se presentan los resultados experimentales obtenidos de la aplicación del método propuesto al sistema de gestión de bibliotecas digitales del grupo de investigación Sistemas de Información Distribuidos (SID) de Zaragoza