El objetivo de un detector de incidentes es la determinación (lo más temprana posible) de todos aquellos eventos y actividades que suponen un riesgo para el entorno a proteger. El trabajo y experiencia de NESG en esta línea se refiere al análisis y modelado del comportamiento “normal” de un entorno/sistema/servicio, a fin de determinar posibles desviaciones respecto de éste (anomalías) para, a partir de ello, dar lugar a alarmas que permitan la adopción de contramedidas que solucionen tales eventualidades.

La detección basada en anomalías se evidencia altamente prometedora por cuanto que, al menos desde un punto de vista teórico, permite la determinación de eventos “intrusivos” (donde hemos de incluir fallas de funcionamiento) no observados con anterioridad.

Por otro lado, y directamente relacionado con el proceso de detección antes mencionado, y complemento del mismo, NESG también se encuentra trabajando en el estudio y desarrollo de mecanismos de respuesta. Estos persiguen la adopción automática de contramedidas que den solución a los eventos causantes de las alarmas por parte de los subsistemas de detección. Dichas contramedidas tendrán en cuenta aspectos diversos de las eventualidades detectadas para escalar adecuadamente los procedimientos de interacción con el entorno a proteger, a fin de adaptar éste para solucionar, o en su caso tolerar, las eventualidades reportadas.