INSTITUTO POLITÉCNICO ACIONAL

INSTITUTO POLITÉCNICO NACIONAL .

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA

Y ELÉCTRICA UNIDAD CULHUACAN ,

SECCIÓN DE ESTUDIOS DE POSGRADO E

INVESTIGACIÓN

SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE

EVENTOS DE SEGURIDAD EN REDES DE DATOS

T E S I S

PARA OBTENER EL GRADO DE MAESTRO EN CIENCIAS DE INGENIERÍA EN MICROELECTRÓNICA P R E S E N T A: JOSÉ LUIS SISNIEGA GONZÁLEZ

D I R E C T O R E S: DR. HÉCTOR MANUEL PÉREZ MEANA M. EN C. ELEAZAR AGUIRRE ANAYA

MÉXICO, D. F. DICIEMBRE 2010

ÍNDICE DE CONTENIDO

Agradecimientos ...................................................................................................... ix

Resumen ................................................................................................................... xi

Abstract .................................................................................................................... xii

Agradecimientos .................................................................................................... xiii

CAPÍTULO I ................................................................................................................ 1

1.1 Planteamiento del Problema ....................................................................... 1

1.2 Justificación ................................................................................................ 3

1.3 Objetivo General ......................................................................................... 5

1.3.1Objetivos Particulares ...................................................................... 5

1.4 Hipótesis ..................................................................................................... 6

CAPÍTULO II ............................................................................................................... 7

2.1 Seguridad Informática ................................................................................. 7

2.1.1 Seguridad en Redes de Datos ........................................................ 9

2.1.2 Monitoreo ...................................................................................... 12

2.1.3 Forensia en Redes de Datos ......................................................... 14

2.2 Eventos en Redes de Datos ..................................................................... 15

2.2.1 Ataques ......................................................................................... 17

2.2.2 Bitácoras ....................................................................................... 21

2.2.3 Incidente ........................................................................................ 21

SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS

2.3 Redes Neuronales .................................................................................... 23

2.4.1 Red Neuronal Recurrente .............................................................. 25

2.4.2 Arquitectura de la red neuronal recurrente .................................... 25

2.4.3 Algoritmo de Aprendizaje ............................................................... 27

2.4 Investigaciones Relacionadas ................................................................... 30

2.5 Resumen del Capítulo ............................................................................... 32

CAPÍTULO III ............................................................................................................ 35

3.1 Modelo de Reconstrucción de Eventos ..................................................... 36

3.1.1 Grabador de Tráfico....................................................................... 39

3.1.2 Pre procesamiento......................................................................... 41

3.1.3 Reconstrucción de Eventos ........................................................... 44

3.1.4 Base de Eventos ........................................................................... 64

3.1.7 Base de Conocimientos ................................................................. 65


3.1.7 Eventos de Seguridad ................................................................... 67

3.2 Entrenamiento de la Red Neuronal ........................................................... 68

3.3 Resumen del Capítulo ............................................................................... 69

CAPÍTULO IV ............................................................................................................ 71

4.1 Pruebas ..................................................................................................... 71

4.1.1 Escenarios ..................................................................................... 72

4.1.2 Características de Información de la Red ...................................... 73

4.1.3 Análisis de Tráfico ......................................................................... 75



4.2 Resultados ................................................................................................ 78

4.2.1 Preprocesamiento ......................................................................... 78

4.2.2 Reconstrucción de Flujos .............................................................. 82

4.2.3 Eventos de la Red de Datos .......................................................... 85

4.2.4 Aprendizaje de la Red Neuronal Recurrente ................................. 87

4.2.5 Respuesta de la Red Neuronal Recurrente ................................... 91

4.3 Análisis de Resultados .............................................................................. 93

4.4 Resumen del Capítulo .............................................................................. 94

CAPÍTULO V ............................................................................................................. 95

REFERENCIAS BIBLIOGRÁFICAS ......................................................................... 99

ANEXOS ................................................................................................................. 103

ANEXO A ............................................................................................. 103

ANEXO B ............................................................................................. 114


ÍNDICE DE FIGURAS

Figura 2.1: Ejemplos de Acciones y Objetivos en Eventos .................................................... 16

Figura 2.2: Evolución de los Ataques [17] ............................................................................. 18

Figura 2.3: Tipos de Ataques Activos .................................................................................... 20

Figura 2.4: Neurona Biológica ............................................................................................... 24

Figura 2.5: Arquitectura de la Red Neuronal Recurrente ....................................................... 26

Figura 3.1: Sistema de Monitoreo ......................................................................................... 38

Figura 3.2: Arquitectura del Sistema ..................................................................................... 39

Figura 3.3: Ejemplo de captura de Tráfico de Red en formato crudo .................................... 40

Figura 3.4: Ejemplo de Bitácora de IDS en formato crudo .................................................... 41

Figura 3.5: Ejemplo de Bitácora de Estado de Red en formato crudo ................................... 41

Figura 3.6: Bitácora de Estado de Conexión Preprocesada .................................................. 43

Figura 3.7: Bitácora del Tráfico de la Red Preprocesada ...................................................... 43

Figura 3.8: Esquema modular de la Reconstrucción de Eventos .......................................... 44

Figura 3.9: Secuencia de solicitudes de Direcciones MAC.................................................... 47

Figura 3.10: Secuencia de solicitudes de Direcciones MAC .................................................. 47

Figura 3.11: Diagrama de Reconstrucción de Flujos de paquetes ARP ................................ 49

Figura 3.12: Diagrama de Reconstrucción de Flujos de paquetes ICMP .............................. 51

Figura 3.13: Diagrama de Reconstrucción de Flujos de paquetes UDP ................................ 53

Figura 3.14: Diagrama de Reconstrucción de Flujos de paquetes TCP ................................ 55

Figura 3.15: Diagrama de Reconstrucción de Flujos de paquetes TCP ................................ 56

Figura 3.16: Flujo Reconstruido ............................................................................................ 58

Figura 3.17: Entidad-Relación entre bitácoras ...................................................................... 61

Figura 3.18: Resultado de correlación de eventos ................................................................ 63

Figura 3.19: Ejemplo de un evento registrado ....................................................................... 64

Figura 3.20: Ejemplo de detalle en la Base de Eventos ........................................................ 64


Figura 3.21: Ejemplo de Identificadores para la Base de Conocimientos ............................. 65

Figura 3.22: Ejemplo de mapeado con la Base de Conocimientos ....................................... 66

Figura 3.23: Estructura para la Detección de Flujos Anormales ........................................... 67

Figura 4.1: Captura de información de la red de datos ......................................................... 75

Figura 4.2: Arquitectura de la Red Neuronal Recurrente utilizada ........................................ 77

Figura 4.3: a) Búsqueda de Flujo con Wireshark b) Búsqueda de Flujo con Sistema

Propuesto ............................................................................................................................. 82

Figura 4.4: Salida del Sistema .............................................................................................. 93


ÍNDICE DE TABLAS

Tabla 3.1: Características de los Protocolos ............................................................. 45

Tabla 4.1: Ambientes utilizados para la evaluación del sistema ................................ 72

Tabla 4.2: Capturas de tráfico generadas ................................................................. 74

Tabla 4.3: Resumen de Capturas para el entrenamiento .......................................... 74

Tabla 4.4: Resumen de reducciones de bitácoras ..................................................... 81

Tabla 4.5: Resumen de reconstrucción de flujos ....................................................... 84

Tabla 4.6: Comparación de Flujos entre el Sistema Propuesto vs Wireshark ........... 85

Tabla 4.7: Eventos totales y eventos que se pueden analizar ................................... 86

Tabla 4.8: Resumen de Evento ................................................................................. 87

Tabla 4.9: Entrenamiento de las Redes Neuronales con ventana de 24 tramas ....... 88

Tabla 4.10: Detalle de las capturas de Entrenamiento .............................................. 89

Tabla 4.11: Entrenamiento de las Redes Neuronales con ventana de 24 tramas ..... 90

Tabla 4.12: Entrenamiento de las Redes Neuronales con ventana de 24 tramas ..... 91

Tabla 4.13: Detección de Eventos con el sistema ..................................................... 92

SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS

vii

A Dios por hacerme una persona que piensa, siente y existe,

A mis padres y hermana por su apoyo, confianza y amor,

A mi familia con mucho cariño.


ix

AGRADECIMIENTOS

Al CONACyT por las facilidades que me brindó en el desarrollo de todo el

proceso de Investigación.

Instituto Politécnico Nacional por la formación académica y por el apoyo en el

desarrollo de esta investigación, a la Sección de Estudios de Posgrado e

Investigación de ESIME Culhuacan, por darme la oportunidad para cumplir una de

mis metas en mi formación académica.

A mis asesores, Dr. Héctor Manuel Pérez Meana y M. en C. Eleazar Aguirre

Anaya por darme la oportunidad de participar con ellos, por apoyarme, aconsejarme

y brindarme su confianza y dedicación en la culminación de este proyecto.

A mis padres María de la Luz y Luis, por las palabras de aliento en los

momentos de flaqueza y titubeo, su apoyo incondicional en mis decisiones y sobre

todo, por impulsarme siempre a seguir mis objetivos, sus esfuerzos se convirtieron

en su triunfo y en el mío.

A mi hermana Enedina por su cariño y pensar siempre en mí. A Esther por ser

un ejemplo a seguir, su cariño y sus regaños que siempre me han ayudado. A

ustedes les doy las gracias por guiarme sobre el camino de la educación.

A Luis, Enedina, Roberto y Josefina, que se que en donde estén, me cuidan y

están orgullosos de mí.


x

A Paz, Antonieta, Lorena, Aleyda, Eduardo, Alfredo, Oscar, Ana, David, Lionel,

Felipe, Noemí, Sebastián, Natalia, Francisco, Fabien, María Sofía y María José, por

darme momentos de alegría y su cariño en estos años de preparación. A mis tíos,

primos y sobrinos.

A Luis Carlos y Gabriel, por las enseñanzas y sobre todo, por sus consejos en

estos años y la oportunidad de seguir aprendiendo.

A mis amigos de SEPI les agradezco de corazón los momentos que vivimos. A

Araceli, por iniciar con este proyecto de investigación, a los doctores y personas de

SEPI por compartir su conocimiento.

A Sofía, Silvia, Carmen y Lidia por brindarme su amistad.

A mis amigos de Cd. Pemex, que siempre me han dado buenos deseos y

momentos de alegría.

MUCHAS GRACIAS

José Luis Sisniega González


xi

RESUMEN

La influencia de las tecnologías de computo en las actividades humanas se ha

incrementado durante las últimas tres décadas y el uso de los equipos

computacionales ha incrementado considerablemente los crímenes cibernéticos en

las Redes de Datos.

En este trabajo se presenta el desarrollo de un sistema que permite hacer la

reconstrucción de eventos en una Red de Datos y posteriormente hacer el

reconocimiento a través de Redes Neuronales Recurrentes de incidentes de

seguridad generados para un ataque informático de Hombre en Medio, que se sigue

utilizando para obtener información en las redes. Este ataque genera dos variables,

un escaneo de equipos conectados a la red y el envenenamiento ARP para generar

el ataque.

En reportes de investigaciones informáticas precedentes, este ataque es

utilizado para realizar pruebas y resultados de la información analizada. La

información extraída del tráfico de red permite realizar el reconocimiento de una

manera automática reduciendo el tiempo de análisis de información para los expertos

entre los eventos que no están relacionados con este ataque.


xii

ABSTRACT

The influence of computer technology on the human activities has greatly

increased during the last three decades and the use of computer equipment has

generated considerable increase of computer crimes in Data Networks.

This work presents the development of a system that allows the reconstruction

of events in a Data Network and then makes the recognition of security incidents

using Recurrent Neural Networks generated for a computer attack of “Man in the

Middle”, which still used to obtain information in networks. This attack generates two

variables, a scan of computers on the network and to generate the ARP poisoning

attack.

In previous computing research reports, this attack is used for testing and

reporting results of an analysis. The information extracted from network traffic allows

the automatic recognition and shortening the analysis of information for the security

investigator among the events that are unrelated to this attack.


xiii

INTRODUCCIÓN

La Seguridad Informática y la Seguridad en Redes actualmente son parte

fundamental de las organizaciones, ya que son las encargadas de la protección de la

información que ha sido almacenada en un sistema, estas actividades pueden ser

conocidas como seguridad de la información, en un principio, se concentraban en la

protección del equipo en “cajas de cristal”, sin embargo, con el crecimiento de las

redes, el alcance ha ocasionado que se generen leyes, estándares y mejores

prácticas para promover la protección de la información y redes de datos de ataques

internos y externos, así como el uso indebido del contenido por los atacantes.

La Seguridad Informática incluye el proceso de generación y utilización de

conocimientos científicos que permiten recolectar, almacena, analizar y presentar

información sobre un ataque informático, garantizando la integridad de esta como

una evidencia. La información que puede considerar como evidencia, es analizada

de manera detallada sobre las acciones que alteraron el flujo normal de la

información en el tráfico de la red de datos en la que se lleva a cabo un ataque, con

el fin de reconstruir el evento en que se desarrolló el incidente informático.

Para llevar a cabo el análisis de una Red de Datos no existe un algoritmo

estandarizado, y mucho menos que pueda detectar la herramienta que fue utilizada

en el desarrollo del incidente, haciendo que el trabajo del experto se incremente. Por

eso surge la necesidad de desarrollar un sistema eficiente y automatizado con el

objetivo de ayudar al administrador a detectar los incidentes que se presenten en una

red y pueda corregir las vulnerabilidades existentes en la Red de Datos.


xiv

En el capítulo 1 se presenta el marco teórico de la investigación, la

presentación de la problemática, los objetivos propuestos, la hipótesis propuesta y la

justificación.

En el desarrollo de este proyecto se estudiaron y analizaron diferentes

algoritmos e investigaciones que se encuentran en diferentes artículos, estos se

mencionan en el capítulo 2, además se hace una descripción de los conceptos y

elementos de Seguridad Informática y Seguridad en Redes de Datos, se definen los

conceptos de evento, ataque e incidentes informáticos, elementos y metodologías

para la detección y prevención de intrusiones, se definen las características de una

Red Neuronal y se describe matemáticamente el comportamiento de una Red

Neuronal Recurrente, su arquitectura y el algoritmo de aprendizaje.

En el capítulo 3 se describe el proceso para realizar, en un primer paso la

reconstrucción de eventos en una Red de Datos, desde la reconstrucción de flujos

proponiendo diferentes algoritmos para los protocolos más utilizados y

posteriormente se describe el proceso del sistema como propuesta para la detección

de eventos de seguridad utilizando un arreglo de Redes Neuronales Recurrentes.

En el capítulo 4 se muestran los escenarios, pruebas realizadas y resultados

obtenidos de la reconstrucción de eventos en una red de datos y la identificación de

los eventos de seguridad utilizando una Red Neuronal Recurrente.

1

CAPÍTULO I. MARCO TEÓRICO

1.1 Planteamiento del Problema

Actualmente, la influencia de la tecnología en computación se ha

incrementado durante las últimas décadas, y las computadoras se han convertido en

una herramienta que se encuentra presente en la vida diaria de los individuos, siendo

un apoyo en sus actividades como pueden ser en el área de la medicina, comercio,

noticias y entretenimiento.

Los medios de comunicación globales tuvieron un gran auge y el ser humano

adoptó los sistemas de comunicación, como la Internet, como una parte primordial de

su vida cotidiana, consultando cuentas de correo electrónico, realizando

videoconferencias o comprando y pagando servicios en línea sin la necesidad de

trasladarse a un punto específico, convirtiéndose en una herramienta de apoyo en

las actividades humanas y empresariales. Mediante las redes de datos

interconectadas se aceleró el desarrollo informático, al mismo tiempo, se

desarrollaron conductas enfocadas en la obtención no autorizada de información o

dirigidas a causar daños en diferentes sistemas informáticos [1].

La investigación sobre la seguridad en Internet durante las últimas décadas se

ha centrado principalmente en el aseguramiento de información, confidencialidad de

los datos y la integridad a través de algoritmos criptográficos, de firma digital, de

códigos de autenticación, etcétera.


2

Los ataques a la infraestructura de red afectan a grandes porciones de la

Internet a la vez y crean grandes cantidades de perturbación del servicio, debido a

las infracciones tales como la suplantación de IP, el envenenamiento de las tablas de

enrutamiento o robos de sesiones. Las operaciones diarias en todo el mundo cada

vez más dependen de la disponibilidad y fiabilidad de Internet, lo que hace a la

seguridad de esta infraestructura un problema de máxima prioridad en el campo [2].

Debido al incremento de incidentes y delitos informáticos en las redes de

datos, que se pueden generan por sabotajes que son conductas dirigidas a causar

daño en el software o hardware de un sistema, búsqueda de información a través de

accesos no autorizados, destrucción de datos, creación de datos falsos, por citar

algunos ejemplos nace la Seguridad Informática, que tiene por objetivo la protección

de la información y propiedad contra robo o corrupción.

La recolección de información en las redes de datos mediante archivos de

registro (como puede ser las bitácoras de eventos) tiene el propósito central de

generar una base de información para el análisis e identificar así los eventos

relacionados con incidentes de seguridad en el sistema atacado [3].


3

1.2 Justificación

Diferentes sistemas computacionales administran información crítica y

sensible. La detección oportuna de fallas y el monitoreo de los elementos que

conforman una red de cómputo son actividades de gran relevancia para brindar un

buen servicio a los usuarios [4].

El análisis forense de redes es una disciplina de investigación emergente que

combina elementos de la administración y seguridad en redes de datos para

mantener el tiempo máximo de funcionamiento de las redes en situaciones críticas,

utilizar el análisis de reconstrucción de tráfico para investigar y definir eventos en la

red, permite su rápida solución y prevención de recurrencias. La Forensia en Redes

permite a los analistas de seguridad, administradores de red o investigación criminal

reconstruir lo que ocurrió durante y después de un incidente informático, además

permite conocer los eventos que antecedieron al incidente [5].

De esto se deriva la importancia de contar con un esquema capaz de

reconstruir eventos de seguridad en la red de datos y mostrar su comportamiento

mediante la generación de bitácoras de elementos, el análisis y recolección de tráfico

de la red durante todo el proceso de la generación.

El análisis de eventos permite adquirir los conocimientos para comprender las

vulnerabilidades de un sistema, al no tener la información relacionada con un

incidente, sse dificulta el proceso de disminución de riesgos ya que se podrían

analizar elementos que no se encuentran inmiscuidos en el incidente, ocasionando

además un retraso en el tiempo de respuesta.

La información que se puede obtener en un incidente en una red de datos es

sensible al tiempo, ya que no existen dispositivos intermedios que almacenen la

información [2], dificultando el proceso de análisis. Este proyecto plantea como


4

solución la generación de bitácoras que permitan tener los datos que podrían estar

involucrados en el incidente informático.


5

1.3 Objetivo General

Diseñar un sistema que sea capaz de reconstruir eventos de seguridad en una

red de datos a partir de bitácoras y de flujos de datos.

1.3.1 Objetivos Particulares

Generar registros del firewall, de la red y conexiones entre hosts.

Reconstruir eventos de seguridad a partir de las bitácoras de

registros.

Diseñar un algoritmo que permita la reconstrucción de flujos de

datos.

Entrenar diferentes redes neuronales que sean capaces de

determinar si un flujo de datos es normal o pertenece a un

ataque como puede ser un hombre en el medio, identificando que

herramienta se utilizó para ese ataque.


6

1.4 Hipótesis

En probabilidad y estadística, la correlación trata de establecer la relación o

dependencia que existe entre las dos variables que intervienen en una distribución

bidimensional. Esta relación que existe entre dos variables aleatorias permite

identificar el grado de dependencia o parecido +entre ellas.

Llevando esta definición a la correlación práctica de conexiones de red, se

basan en las características compartidas entre dos o más paquetes, que pueden ser

los contenidos, información de cabeceras (como puede ser protocolos encapsulados

o direcciones físicas o lógicas de origen y destino) y la salida o llegada de ellos;

utilizando esta información se pueden obtener los flujos de diferentes conexiones

para realizar el análisis de seguridad en ellos.

Mediante la caracterización de los paquetes en los flujos de datos normales y

anormales localizados a través de la correlación, se puede identificar los eventos de

la red que están inmiscuidos en un incidente, además de proporcionar la herramienta

que pudo haber generado el ataque derivado de la acción de un intruso.

7

CAPÍTULO II. ESTADO DEL ARTE

Actualmente, la computación tiene un impacto importante en las actividades

humanas, como puede ser en la medicina, comunicaciones, gobierno, educación,

comercio o entretenimiento, y gran parte de los sistemas de comunicación están

conectados en una red global llamada Internet, que es de fácil acceso para cualquier

persona a través de una computadora y una conexión a la red. Internet no es una

sola red de datos, sino un conjunto mundial de redes de datos que son accesados

por equipos individuales a través de routers, gateways, conexiones y proveedores de

servicio de Internet [6].

Con la comodidad y el fácil acceso de la información a través de este servicio,

se generan nuevos riesgos, uno que se puede nombrar es el riesgo de que la

información valiosa o sensible se pierda, se dañe, sea robada o mal utilizada,

haciendo que el sistema sea corrompido. Al encontrarse la información registrada

electrónicamente y en equipos de una red, los intrusos pueden manipular los datos

sin estar físicamente frente al equipo, creando archivos electrónicos, generando

puertas traseras y ocultando pruebas de una actividad no autorizada [7].

2.1 Seguridad Informática

La seguridad es un factor muy importante en todos los ambientes de cómputo,

puesto que cualquier dispositivo conectado a Internet tiene el riesgo de ser atacada


8

desde computadoras, servidores, PDA's, ruteadores, teléfonos móviles, etc, es

necesario que estén protegidos. En los incidentes de seguridad es necesaria una

respuesta rápida para evitar pérdidas y daños que pueden llegar a ser irreversibles

[8]. Con base en lo anterior, ha creado grupos de la comunidad informática cuyo

objetivo principal era facilitar una rápida respuesta a los problemas de seguridad que

afectaron a Internet [8,9].

Una concepción general de la seguridad informática es que su único objetivo

es el secreto y protección, que representan una parte principal de ella, pero no es el

todo, en algunos entornos de aplicación o sistemas un aspecto de seguridad puede

ser más importante que otro, esta valoración se da de acuerdo a las necesidades de

la organización, por lo tanto, son parte de ella.

Este termino de tiene diferentes definiciones de acuerdo al enfoque que se le

asigne [9], se puede definir como la prevención y protección contra el acceso a la

información por personas no autorizadas [10] o como la minimización de las

vulnerabilidades que pueden ser aprovechadas en un sistema para la obtención de

información que reside en un sistema [11], de estas se puede concluir que la

seguridad informática es la protección de la información y los recursos del sistema

con respecto a la confidencialidad, integridad, autenticidad y disponibilidad.

Generalmente, la Seguridad Informática está asociada con 4 áreas centrales

[12]:

Confidencialidad: Asegura que la información no tiene acceso por

personas no autorizadas.

Integridad: Asegura que la información no es alterada por personas no

autorizadas de una manera que no es detectable por los usuarios

autorizados.

Autenticidad: Consiste en verificar la identidad del usuario para accesar a

un sistema. Asegura el origen y el destino de toda información de los

correspondientes servicios de redes y sistemas.


9

Disponibilidad. Ofrece un servicio ininterrumpido, garantizando que se

puede acceder al recurso en cualquier momento y cualquier lugar,

evitando en lo posible que algún tipo de incidencia detenga el mismo.

Se puede entender que la protección de la información para evitar la

revelación no autorizada, modificación, destrucción accidental o intencional o la

incapacidad de procesar la información es parte de la seguridad de la información, al

trasladar esto a las redes de datos, la seguridad en redes se compone de medidas

preventivas para proteger una red del acceso no autorizado, interferencia accidental

o intencionada con operaciones normales e inclusive la protección de facilidades

físicas, software y seguridad del personal [13].

2.1.1 Seguridad en Redes de Datos

En los primeros días de las redes, un administrador de red por lo

general tenía un estricto control sobre un sistema que puede conectarse a otro

sistema remoto. En estos días, con la proliferación de redes y acceso remoto

fácil y el intercambio de recursos, a menudo es imposible identificar todos los

puntos de acceso a un sistema.

Hay una serie de diferentes estrategias para lograr la seguridad en un

entorno de red. La elección de qué y cómo las estrategias que utilizan muchos

de ellos dependerá en gran medida del tipo y el alcance de la red, el nivel de

confianza que puede depositarse en los usuarios, y el valor de los datos que

están transmitiendo. Las actividades más importantes en la Seguridad en

Redes de Datos son:

Identificación de los usuarios: las técnicas que se pueden mencionar

son las contraseñas o sistemas de reconocimiento biométrico.

Detección de intrusos: el objetivo es la detección de intrusos en

sobre cualquier acceso no autorizado. Esto puede ser en tiempo real,

antes de que el sistema haya sido dañado seriamente.


10

Análisis de riesgos: cuantifica los beneficios obtenidos con la

protección contra amenazas de seguridad, está en función de la

frecuencia con la que se producen las amenazas, la vulnerabilidad y

los costos potenciales en el caso de que se presentará un evento.

Clasificación de datos: para una buena supervisión de la seguridad

es importante clasificar los datos convenientemente, de tal forma que

se ahorre tiempo en su análisis.

Control de las nuevas aplicaciones: antes de la instalación se debe

comprobar que no introduzca nuevas brechas de seguridad, sobre

todo si se ejecutan con permisos de superusuario.

Análisis de accesos de usuarios: brinda un control para poder

detectar intentos de acceso no autorizado [14].

En el ISO 27000 de la gestión de seguridad [15] brindan la siguiente

terminología, que define las actividades de mejor manera:

Recurso: cualquier cosa que tenga valor para la organización.

Disponibilidad: propiedad de ser accesible y usable bajo demanda

por una entidad autorizada.

Confidencialidad: propiedad que la información no esté disponible o

pueda ser descubierta por usuarios no autorizados, entidades o

procesos.

Seguridad de la información: preservación de la confidencialidad,

integridad y disponibilidad de la información, en adición también de

otras propiedades como autenticación, autorización, registro de

actividad, no repudio y confiabilidad pueden ser también

consideradas.

Eventos de seguridad de la información: pcurrencia de un evento

identificado sobre un sistema, servicio o red, cuyo estado indica una

posible brecha en la política de seguridad de la información o fallo en

el almacenamiento de la misma, también cualquier situación previa


11

desconocida que pueda ser relevante desde el punto de vista de la

seguridad.

Incidente de seguridad: uno o varios eventos de seguridades de la

información, no deseados o inesperados que tienen una cierta

probabilidad de comprometer las operaciones de la empresa y

amenazan a la seguridad de la información.

Sistema de administración de la seguridad de la información (ISMS:

Information Security Management System): parte de los sistemas de

la empresa, basado en el análisis de riesgo de negocio, cuya

finalidad es establecer, implementar, operar, monitorizar, revisar,

mantener y mejorar la seguridad de la información. El ISMS incluye

las políticas, planes, actividades, responsabilidades, prácticas,

procedimientos, procesos y recursos.

Integridad: propiedad de salvaguardar la precisión y completitud de

los recursos.

Riesgo residual: el riesgo remanente luego de una amenaza a la

seguridad.

Aceptación de riesgo: decisión de aceptar un riesgo.

Análisis de riego: uso sistemático de la información para identificar

fuentes y estimar riesgos.

Valoración de riesgo: totalidad de los procesos de análisis y

evaluación de riesgo.

Evaluación de riesgo: proceso de comparar los riesgos estimados

contra los criterios de riesgo establecidos o dados, para determinar el

grado de significativo del riesgo.

Conforme se tratan de definir las actividades en la gestión de seguridad

aumenta el número; una primer propuesta para poder iniciar con una correcta

administración de los servicios es el monitoreo.


12

2.1.2 Monitoreo

La detección oportuna de fallas y el monitoreo de los elementos que

conforman una red de cómputo son actividades de gran relevancia para

brindar un buen servicio a los usuarios. De esto se deriva la importancia de

contar con un esquema capaz de notificar las fallas en la red y mostrar su

comportamiento mediante el análisis y recolección de tráfico.

Existen, al menos, tres puntos de vista para abordar el proceso de

monitorear una red: el enfoque activo, el enfoque pasivo y el enfoque reactivo,

que, aunque son diferentes, estos se complementan [16]:

Monitoreo Activo

Este monitoreo se realiza inyectando paquetes de prueba en la red, o

enviando paquetes a determinadas aplicaciones midiendo sus tiempos

de respuesta. Este enfoque tiene la característica de agregar tráfico en

la red. Este monitoreo tiene el fin de medir el rendimiento de una red.

Monitoreo Pasivo

Este enfoque se basa en la obtención de datos a partir de recolectar y

analizar el tráfico que circula por la red. Se emplean diversos

dispositivos como son: sniffers1, ruteadores, computadoras con

software de análisis de tráfico. Este enfoque no agrega tráfico como lo

hace el activo. Es utilizado para caracterizar el tráfico en la red y para

contabilizar su uso. La captura del tráfico permite contabilizar el tráfico

que circula por la red y poder identificar el tipo de aplicaciones y

servicios más utilizados, clasificando el tráfico por aplicación,

direcciones origen y destino en IP y puertos origen y destino de manera

general.

1 Aplicación de monitorización y de análisis para el tráfico de una red para detectar problemas,

lo hace buscando cadenas numéricas o de caracteres en los paquetes. Se usa especialmente para detectar problemas de congestionamiento (cuellos de botella o bottlenecks). Puede usarse ilegalmente para recibir datos privados en una red, además son difíciles de detectar.


13

Monitoreo Reactivo

En un sistema reactivo, el IDS (Intrusion Detection System) responde a

la actividad sospechosa reprogramando el firewall para que detenga el

tráfico que proviene de la red del atacante.

Para proponer en un sistema de detección de intrusos se debe tener en

cuenta que es posible optar por una solución de hardware, software o

incluso una combinación de estos dos. La posibilidad de introducir un

elemento puro de hardware es debido al alto requerimiento del

procesador, buffer, etcétera en redes con mucho tráfico. A su vez, los

registros de firmas y las bases de datos con los posibles ataques

necesitan gran cantidad de memoria, aspecto que debe tomar en

cuenta.

Alarmas

Las alarmas son consideradas como los eventos con un

comportamiento inusual, reportan cuando el estado operacional de un

dispositivo o servicio cambia. Otro tipo de alarma basado en patrones

definidos por las métricas son valores máximos conocidos como

umbrales, cuando estos patrones son superados se produce una

alarma ya que el estado actual es considerado como un

comportamiento anormal.

Alarmas de procesamiento.

Alarmas de conectividad.

Alarmas de utilización.

Alarmas de disponibilidad (estado operacional).

Una vez que se tiene la información, se tiene que hacer un análisis de

ella, aplicando así la forensia en Redes de Datos.


14

2.1.3 Forensia en Redes de Datos

La Forensia digital tiene su origen en el arte de la medicina legal que se

deriva de la medicina forense, debido al crecimiento de crímenes cibernéticos

se produjo la necesidad de organizar un equipo de respuesta a incidentes

estableciendo procedimientos y métodos para recopilar y analizar los datos de

la computadora, sistemas, redes, flujos de comunicación y medios de

almacenamiento de manera que sea admisible en un tribunal de justicia. Una

de las ciencias que cubre estas necesidades es la Ciencia Forense, la cual

aporta las técnicas y principios necesarios para realizar la investigación ya sea

criminal o no, en función de las disciplinas de las ciencias de la computación y

la ley [17].

La forensia en redes se usa para buscar donde se encuentra una

computadora o equipo, lo mismo que para saber si un archivo en particular se

ha enviado desde una máquina en concreto, y se puede definir como: “El uso

de técnicas científicas para recopilar, identificar, examinar, correlacionar,

analizar y documentar múltiples pruebas digitales, la transmisión de fuentes

digitales con el fin de descubrir hechos intencionales de parte del intruso, o

medición de éxito de actividades no autorizadas que tiene por objeto alterar,

corromper, y/o comprometer sistemas proporcionando información para

ayudar a recuperar los datos de estas actividades” [5,18].

Los sistemas de forensia en redes han sido diseñados para identificar el

uso no autorizado, mal uso y/o los ataques sobre sistemas de información que

fueron previamente identificados manualmente o en la mayoría de los casos,

no identificados. Ambos sistemas se basan en acontecimientos que

sucedieron en el pasado [19], haciendo referencia al análisis forense en redes

de datos, que es el proceso de analizar una copia completa de los registros de

red (como pueden ser en el caso de las sniffer, firewall, IDS, etc) que han

sufrido una intrusión o ataque. La recopilación de evidencias digitales puede

llegar a ser una tarea difícil, por lo cual es necesario preparar los sistemas


15

para obtener resultados eficientes. La implantación de procedimientos

adecuados en la gestión de archivos, registros y copias de seguridad pueden

ayudar al equipo investigador en esta labor [18].

De esto se puede concluir que es necesario tener un sistema que

pueden almacenar los eventos para en el caso que un incidente estos puedan

ser analizados para poder encontrar información relacionada con un incidente.

2.2 Eventos en Redes de Datos

Un evento es una acción dirigida a un objetivo que intenta dar lugar a un

cambio de estado en un sistema o dispositivo [20]. El modo en el que operan las

computadoras y las redes de datos involucran eventos. Los elementos básicos que

conforman a un evento son las acciones y el objetivo; las tareas realizadas por un

usuario o un proceso con un objetivo específico en un archivo o un programa

generan un evento [21]. Ejemplos de esto son las acciones que pueden realizarse

sobre los archivos, como son el copiar, leer, modificar o eliminar, las acciones de un

usuario sobre una computadora o un servicio, al intentar ingresar a una cuenta de un

sistema.

Un evento representa la vinculación lógica entre una acción y un objetivo

específico en el cual se dirige la tarea, y corresponde a una serie de pasos

individuales que tienen lugar durante el evento. También hay que tener en cuenta

que para que exista un evento, no es necesario que la acción tenga éxito en cambiar

el estado del objetivo; si un usuario introduce un usuario incorrecto y/o la contraseña

al iniciar una sesión en una cuenta, se generó un evento (autenticación2), pero este

no tuvo éxito en la verificación de que el usuario tiene permiso para acceder a esa

cuenta [22].

2 Es el acto de verificación de algo o alguien como auténtico, es decir, presenta una identidad

de una persona o proceso, y se verifica la identidad para poder acceder a un recurso [21].


16

Un aspecto importante en la definición de los eventos es que estos son

autorizados o no autorizados, y para un evento de seguridad los dos tipos deben ser

analizados, ya que un usuario puede autenticarse correctamente para iniciar la

sesión en una cuenta (proporciona la contraseña correcta para una cuenta de

acceso), accesando al recurso, generando así un evento autorizado. Sin embargo,

puede ocurrir el caso en el que el usuario se hace pasar por el usuario real,

generando así una suplantación3.

Para ejemplificar la información generada, se presenta en la figura 2.1, se

presentan acciones y objetivos que en algunos casos se pueden combinar o son

exclusivos para algún objetivo. Un evento que se produce en una red de datos o una

computadora puede ser parte de una serie de acciones destinadas a obtener algo

que no está autorizado a pasar, siendo parte de un ataque.

Sesión

Proceso

Datos

Componente

Computadora

Red de Datos

Escaneo

Inundación

Eliminación

Suplantación

Autenticación

Eliminación

Modificación

Lectura

Acción Objetivo

Evento

Figura 2.1: Ejemplos de Acciones y Objetivos en Eventos

3 Conocido en Inglés como spoofing, en términos de seguridad de redes hace referencia al

uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación [21].


17

2.2.1 Ataques

Un ataque es una acción llevada a cabo por un adversario en una

víctima potencial y puede tener diferentes perspectivas. Desde la perspectiva

del administrador responsable del mantenimiento de un sistema, un ataque es

un conjunto de uno o más eventos que tienen de una o más consecuencias de

seguridad; desde la perspectiva de un observador neutral, el ataque puede

tener éxito o no en un intento de intrusión y desde la perspectiva de un

intruso, un ataque es un mecanismo para cumplir un objetivo.

Una intrusión supone una entrada forzada, mientras que un ataque tan

sólo exige la aplicación de la fuerza; la búsqueda de información y las

exploraciones realizadas por un intruso se pueden consideran ataques [23].

En la década de 1980 los intrusos eran expertos en sistemas con un

alto nivel de conocimientos que personalmente los métodos construidos por

irrumpir en los sistemas. El uso de herramientas automatizadas y las

secuencias de comandos exploit4 modificó el perfil de los intrusos. Para el año

2000, debido a la amplia disponibilidad y fácil acceso a herramientas de

intrusión y exploits se puede reproducir fácilmente los métodos conocidos de

ataques a la red, haciendo así, que los intrusos novatos requieran de menores

conocimientos e incrementando la magnitud de los incidentes y tipos de

ataques [17], este incremento se presenta en la figura 2.2.

4 Es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin

de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o componente electrónico computarizado).


18

1980 20001985 1990 1995 2005

Alto

Ba

jo

Co

no

cim

ien

tos

Adivinación de Password

Conocimiento del Usuario

Sofisticación

de Ataques

Replicación de Código

Password

Exploits a vulnerabilidades

Deshabilitación de Auditorias

Robos

Sniffers

Sesiones Hijacking

Puertas Traseras

SweepersSuplantación de Paquetes

Diagnostico de Redes

GUIMapeado Automatico

Denegación de Servicios

Ataques www

Técnicas de Mapeo AvanzadoHerramientas de Ataques Distribuidos

Bootnet

Figura 2.2: Evolución de los Ataques [17]

Un patrón de ataque típico consiste en acceder a la cuenta del usuario, el

acceso privilegiado, y utilizando el sistema de la víctima como una plataforma de

lanzamiento para ataques contra otros sitios.

Los ataques se pueden clasificar en dos tipos de acuerdo a sus

características:

Ataques Pasivos: tienen la característica de no alterar el flujo de datos al

obtener información al monitorear el tráfico de una red. La ventaja que

presenta este ataque es la gran dificultad de detección, ya que no generan

una alteración a la información pero es posible evitar el éxito, mediante el

cifrado de la información.

Ataques Activos: son aquellos donde el intruso monitorea o escucha el

tráfico de la red alterando la información. Estos ataques se subdividen en las

siguientes categorías:

a) Interrupción: un objeto del sistema es destruido volviéndolo inutilizable o

no disponible.

b) Intercepción: un elemento no autorizado consigue el acceso a un

determinado objeto del sistema.


19

c) Modificación: al conseguir el acceso al sistema se logra modificar el

objeto.

d) Fabricación: un elemento no autorizado inserta objetos falsos dentro del

sistema.

e) Destrucción: se produce una modificación que inutiliza el objeto [23].

Estos tipos de ataques se ejemplifican en la figura 2.3.


20

A---------------

-----------------

-----------------

-----------------

-----------------

A---------------

-----------------

-----------------

-----------------

-----------------

Flujo Normal

A---------------

-----------------

------------

a) Interrupción

A---------------

-----------------

-----------------

-----------------

-----------------

A’--------------

-----------------

-----------------

b) Intercepción

A---------------

-----------------

-----------------

-----------------

-----------------

A’--------------

-----------------

-----------------

A’--------------

-----------------

-----------------

-----------------

-----------------

c) Modificación

A---------------

-----------------

-----------------

-----------------

-----------------

A’--------------

-----------------

-----------------

-----------------

-----------------

C---------------

-----------------

-----------------

-----------------

-----------------

d) Fabricación

C---------------

-----------------

-----------------

-----------------

-----------------

e) Destrucción

A---------------

-----------------

-----------------

-----------------

-----------------

Figura 2.3: Tipos de Ataques Activos


21

2.2.2 Bitácoras

También conocidos como log5, es un registro de eventos durante un

rango de tiempo en particular. En seguridad informática es usado para

registrar datos o información sobre quién, qué, cuándo, dónde y por qué (who,

what, when, where y why, W5) un evento ocurre para un dispositivo en

particular o aplicación [24].

La mayoría de las bitácoras son almacenados o desplegados en el

formato estándar, el cual es un conjunto de caracteres para dispositivos

comunes y aplicaciones. De esta forma cada log generado por un dispositivo

en particular puede ser leído y desplegado en otro diferente.

También se le considera como aquel mensaje que genera el

programador de un sistema operativo, alguna aplicación o algún proceso, en

virtud del cual se muestra un evento del sistema.

A su vez la palabra log se relaciona con el término evidencia digital. Un

tipo de evidencia física construida de campos magnéticos y pulsos

electrónicos que pueden ser recolectados y analizados con herramientas y

técnicas especiales, lo que implica la lectura del log y deja al descubierto la

actividad registrada en el mismo [25].

2.2.3 Incidente

Un incidente de seguridad de red es cualquier actividad relacionado con

la red con implicaciones negativas en la seguridad, generalmente significa que

la actividad que viola una política de seguridad, explícita o implícita es un

incidente. Pueden venir de cualquier lugar de Internet, aunque algunos

ataques deben ser lanzados desde los sistemas o redes específicos y algunas

requieren acceso a las cuentas especiales. Una intrusión puede ser un evento

5 Término anglosajón, equivalente a la palabra bitácora en lengua castellana.


22

relativamente menor que afectan a un solo sitio o un acontecimiento

importante en la que decenas de miles de sitios se vean comprometidas.

Los incidentes de seguridad computacional pueden ser los eventos que

se considera una amenaza para la seguridad de un sistema [26]. En general,

los diferentes ataques que sufren los sistemas de cómputo pueden ser

conocidos como incidentes de seguridad, que son una amenaza para la

operatividad y buen funcionamiento de cualquier organización. Una gran

variedad de incidentes de seguridad que existe, entre los que se pueden

mencionar [6]:

• Los intentos (exitosos o no) para obtener acceso sin autorización a

un sistema o sus datos.

• Las interrupciones no deseado o de denegación de servicio. Para

utilizar un sistema para procesar o almacenar datos sin autorización

• Para cambiar las características de hardware, software o instalar

software malicioso, sin el conocimiento del propietario.

De esta manera, los incidentes de seguridad informática son cualquier

evento que se considera una amenaza para la seguridad de un sistema y se

clasifican en [27,28]:

Automáticos: son las herramientas de software que sin la

interacción del usuario, ejecutan alguna operación para

desequilibrar el funcionamiento de un sistema computacional; estos

tipos de incidentes son los virus, gusanos y troyanos.

Manuales: se dan de forma intencional cuando un atacante se

quiere introducir en un sistema informático violando las restricciones

de seguridad que tienen. Entre los ataques manuales se tienen la

búsqueda de vulnerabilidades, hacking, cracking e ingeniería social,

entre otros.

Estáticos: no se reproducen; entre estos tenemos: bombas lógicas,

los ataques de denegación de servicio, entre otros.


23

La detección de intrusiones mediante técnicas de inteligencia artificial

es una de las áreas con grandes aportes en los sistemas de seguridad,

utilizando datos para entrenamiento poder determinar qué actividades son

normales y cuáles pueden ser anómalas. Una forma de hacer esto es utilizar

un algoritmo inteligente que pueda simular las características más importantes

del cerebro humano: la capacidad de aprendizaje y el poder procesar

información incompleta o que no es precisa.

2.3 Redes Neuronales

Las Redes Neuronales son sistemas de software que modelan el proceso de

los humanos de aprendizaje y recuerdos. Una red neuronal puede ser usada en

seguridad informática para detectar una transacción fraudulenta o una intrusión a un

sistema computacional [29, 30].

Mediante las Redes Neuronales se ha intentado simular dos de las

características más importantes con que cuenta el cerebro humano: la capacidad de

aprendizaje y el poder procesar información incompleta o que no es precisa. Esto se

ha solicitado para la solución de problemas tanto científicos como de la vida diaria.

Las Redes Neuronales intentan imitar el proceso de aprendizaje del cerebro

humano, que está formado por millones de neuronas conectadas entre sí. Utilizan

información que es percibida y transmitida hasta las neuronas, y al ser procesadas

por ellas, dan una respuesta a cada uno de los diferentes estímulos. Cada neurona

biológica tiene tres partes: un cuerpo celular, una estructura de entrada (Dendrita) y

una de salida (Axón), esta estructura se puede observar en la figura 2.4. La mayoría

de las terminales de los axones se conectan con las dendritas de otras neuronas,

generando así la Sinapsis. Matemáticamente el comportamiento de la neurona puede

representarse por una lista de sus señales de entrada que son multiplicadas por sus

pesos respectivos y posteriormente sumados, el resultado es llamado nivel de


24

activación de la neurona del cual depende la señal de salida que es enviada a cada

una de las neuronas a las que está conectada a ella.

Figura 2.4: Neurona Biológica

Dependiendo de la estructura de la red neuronal existen varias tipologías,

algunas de estas son: Perceptrón, Adaline, Perceptrón multicapa, Backpropagation,

Elman, Hopfield, Kohonen, etc. Las redes neuronales artificiales pueden ser vistas

como grafos dirigidos con peso, en las cuales las neuronas artificiales son nodos y

las conexiones dirigidas (con pesos) están entre las salidas y entradas de las

neuronas. Basándose en las arquitecturas de conexión, las redes neuronales pueden

ser agrupadas en dos categorías:

Redes Neuronales hacia adelante (feed-forward), en las cuales los grafos

no tienen ciclos.

Redes Neuronales Recurrentes (feedback), en las cuales los ciclos

ocurrren por las conexiones hacia atrás.


25

2.4.1 Red Neuronal Recurrente

Las redes neuronales recurrentes (RNN) son sistemas dinámicos no

lineales capaces de detectar regularidades temporales en las secuencias que

pueden ser procesadas, pudiendo ser aplicadas, por lo tanto, a una multitud

de tareas de procesamiento de dichas secuencias. La red neuronal con

conexiones recurrentes, como su nombre lo indica, describe la periocidad de

la información. Aquí la señal viaja desde la capa de entrada hasta la capa de

salida, mientras al mismo tiempo, algunos o todos los datos de salida regresan

desde la capa de salida ya sea a la capa de entrada o a una capa intermedia,

formando un ciclo, pudiendo la salida regresar al mismo nodo de salida un

instante después [31].

2.4.2 Arquitectura de la red neuronal recurrente

La red neuronal empleada consiste de dos capas: capa de entrada y

capa de salida. La estructura de esta red difiere de la red perceptrón simple

incluyendo una recurrencia en la capa de salida porque se trata de un

clasificador de tipo supervisado con el objetivo de separar las diferentes

clases conociendo su pertenencia [31], la arquitectura es mostrada en la figura

2.5.


26

2

3

i

q

1

j

m

1

fn

fn

fn

1

k

l

Wij

Vjk

Capa de

EntradaCapa de Salida

Figura 2.5: Arquitectura de la Red Neuronal Recurrente

Las neuronas de la capa de salida de la red están completamente

conectadas con las neuronas de las capas de entrada y las neuronas de la

capa de salida están conectadas a ellas mismas. Cada conexión de pesos

cuyo valor es modificado durante el proceso de entrenamiento. Por lo tanto, la

salida Y de la red en el tiempo t es obtenida de la siguiente manera:

( ) (∑ ( ) ∑ ( )

) ( )

Donde, Xi es el i-ésimo elemento de entrada de la capa de entrada de

tiempo t, Wij(t) es el peso de conexión entre i-ésimo elemento de entrada de la

capa de entrada y el j-ésimo elemento de salida de la capa de salida, Vjk es el

elemento recurrente de la capa de salida en el tiempo t-1, q es el número de


27

elementos de entrada y m es el número de elementos de salida. La función de

activación es no lineal. La adaptación de los pesos de conexión se realiza

usando los datos de entrada y de salida, no se requiere de un dato de

referencia.

La Red Neuronal Recurrente funciona de la siguiente manera, los pesos

de la conexión W ij y Vjk, se inicializan con valores aleatorios en el instante t=0

y con los valores existentes desde q neuronas de entrada hasta m neuronas

de salida para los tiempos t>0, los valores de los pesos Vjk se inicializan con

valores existentes desde m neuronas de salidas hasta k neuronas de salida,

ya que se trata de la recurrencia de la misma capa que es de salida. Los

valores con los cuales se inicializan los pesos en t=0 son valores aleatorios

muy pequeños.

1. Yk t-1 inicializa con valores de ceros.

2. Calcula la salida deseada de la red aplicando la función de activación

que es no lineal.

3. Se repite el proceso en tiempo t hasta que el error de aprendizaje

sea cero.

2.4.3 Algoritmo de Aprendizaje

Se utiliza la regla delta para el entrenamiento de cualquier tipo de red

neuronal, en la que se aplica el concepto de gradiente descendente, que

consiste principalmente en una técnica de disminución del error. El objetivo

consiste en minimizar la función de error cuadrático medio entre la salida real

y la salida deseada de la red. El error de k-ásimo elemento de la capa de

salida en el tiempo t es definido por:

∑ ( )


28

Donde: ek= (dk-Yk) Error de salida

dk= Salida deseada

Yk= Salida real de la red

En la salida real de la red tiene dos posibles resultados, 0 si se trata de

un flujo normal y 1 si es un flujo con algún ataque.

Las matrices de pesos se adaptan con las siguientes ecuaciones:

( ) ( )

( )

( ) ( )

( )

La variable α es el constante de aprendizaje. Para poder obtener las

ecuaciones de adaptación, se debe considerar la regla de cadena:

( )

( )

Al desarrollar las ecuaciones parciales en 2.5

( )

( )


29

Al desarrollar las ecuaciones parciales en 2.6 se tiene que:

( )

(∑ ( ) ∑ ( )

) ( )

Aplicando el cambio de variable se obtiene:

∑ ( )

∑ ( )

( )

(∑ ( )

∑ ( )

) ( )

Por lo tanto la adaptación de los pesos en el tiempo t se obtiene de la

siguiente manera:

( ) ( ) ( )

( ) ( ) ( ) ( )

Teóricamente en el análisis del algoritmo de aprendizaje para la

convergencia es importante para entender el procedimiento de la red. Este

tipo de técnicas se han utilizado para analizar tráfico de red en la identificación


30

de ataques, en el siguiente punto se hablarán de trabajos relacionados con

esta investigación.

2.4 Investigaciones Relacionadas

En este apartado se presentarán algunos trabajos relacionados con esta

investigación, observando los desarrollos y metodologías que se han implementado

en los sistemas informáticos para resolver problemas que se pueden presentar en las

redes de datos de alguna organización.

El trabajo titulado “Building a Time Machine for Efficient Recording and

Retrieval of High-Volume Network Traffic” [32] presenta un modelo de captura masiva

de grabación con un tiempo de espera, incorporándole la idea de registrar sólo las

primeros n-tramas para cada conexión, al sobrepasar el número promedio disminuye

la cantidad de datos, no almacena por completo los términos de la conexión,

únicamente N-bytes de la conexión (que es el tamaño de corte de conexión).

La arquitectura propuesta en este trabajo separa la interacción del usuario y

de la grabación, priorizando la grabación de los datos a la recuperación de paquetes.

Los elementos que conforman al módulo de grabación son:

1. Grabador: es el responsable de la captura de paquetes y el

almacenamiento. La unidad de captura recibe paquetes desde la red y

los transmite a la unidad de clasificación

2. Unidad de Clasificación: es el encargado de seguir el punto de corte

con la ayuda del componente de seguimiento de conexiones, una vez

superadas las n tramas completas, se inicia el corte duro de N-bytes.

3. Contenedor de Almacenamiento: guarda la información en varios

contenedores de almacenamiento, cada uno almacena un subconjunto


31

de los paquetes dentro de los recursos (memoria y disco) que se

asignan a través de la interfaz de usuario.

4. Indexado: permite la recuperación eficiente de todos los paquetes

almacenados en todos los contenedores de almacenamiento,

gestionado por el módulo de indexación

5. Módulo de búsqueda: cada consulta consiste en una combinación

lógica de rangos de tiempo y palabras claves.

La evaluación del sistema la hicieron en el Lawrance Berkley National

Laboratory, que tiene una tasa de tráfico diario de 1.5 TB; aplicaron un corte de 20

KB, y diferentes espacios de almacenamiento: en tráfico TCP un espacio de 90 GB,

en UDP con 30 GB, y para otros protocolos utilizaron un espacio de 10 GB. Indican

que la capacidad de retención en el primer buffer de almacenamiento permite

conservar la información en un rango de 3 a 5 días, informando que el 98% del

tráfico se descarta, con una tasa promedio de 300 KB/s a una velocidad de 2.6 MB/s

en almacenamiento, perdiendo el 0.016 % del tráfico total reportado por libpcap. En

los resultados reportan que sólo se pueden obtener la información de robos de

sesiones, por lo cual el sistema no permite identificar ataques sobre otros protocolos,

como puede ser un ataque de hombre en el medio, icmp smurf, land y ping of death.

El trabajo titulado “A Fuzzy Logic Based Expert System as a Network

Forensics” [33] presenta el desarrollo de un sistema experto basado en lógica difusa

para el análisis forense de la red de datos de manera automática y eficiente; capaz

de caracterizar los crímenes informáticos en entornos de la red, generando

evidencias digitales automáticamente. Esto lo presentan a través de las

comparaciones entre el sistema desarrollado y Snort, indicando que puede reconocer

los ataques: TCP port SCAN, TCP SYN flooding, ICMP smurf, land y ping of death,

proporcionando la información relacionada con los ataques antes mencionados para

el análisis de un especialista. La arquitectura que se presenta consta de 6

componentes principales:


32

1. El analizador de tráfico: se secciona la captura de tráfico de red en

clasificación de paquetes usando el mismo de tipo de protocolos en

intervalos de tiempo de 60 a 120 segundos.

2. Fusificación: hacen uso del modelo difuso de Takagi-Sugeno para hacer la

fusificación.

3. El motor de inferencia difusa: manipula los datos obtenidos de las

funciones de membresía.

4. Base de conocimiento: en este componente están almacenadas las reglas

IF-THEN para cada uno de los 5 ataques antes mencionados.

5. Defusificación: hacen uso de las técnicas de máximo centro y centro de

gravedad. El menor de los máximos fue usado para la eficiencia.

6. Analizador forense: se encarga de encontrar la posible evidencia en las

capturas de tráfico.

Se indica en el trabajo que el sistema snort tuvo una eficiencia del 63.07% en

la identificación de 4 de los 5 ataques, el ataque ICMP smurf no lo detectó en las

pruebas, mientras que el sistema propuesto tiene el 93 % de eficiencia al reconocer

los 5 ataques mencionados.

2.5 Resumen del Capítulo

Un evento es el resultado de una acción sobre una entidad destino con el

objetivo de generar un cambio de estado, ya sea de manera exitosa o no. Estos

definen dos elementos importantes:

Acción: medida tomada por un usuario o proceso con el fin de lograr un

resultado, como el escaneo, inundación, eliminación, autenticar, modificar,

leer, etcétera.

Objetivo: entidad física (computadora, red física interna o externa) o red

lógica (cuenta, proceso o datos).


33

La generación de registros permite realizar un análisis sobre un incidente

ocurrido, teniendo la evidencia en algún incidente, además de poder brindar

información para mitigar una vulnerabilidad.

En general, los sistemas basados en redes neuronales son diseñados con el

fin de aprender, generalizar y poder predecir patrones o estados deseados del

entrenamiento y prueba de dichos sistemas. Las redes Neuronales recurrentes

tienen un buen desempeño en la identificación y clasificación de patrones

secuenciales con distintas probabilidades de ocurrir a través del tiempo [34].

En el siguiente capítulo se presenta el sistema propuesto para dar solución a

la identificación de eventos de seguridad no detectados en una red de datos, además

de una propuesta de implementación de una red neuronal para el reconocimiento de

ataques conocidos.

35

CAPÍTULO III. RECONSTRUCCIÓN DE

COMUNICACIONES Y ANÁLISIS DE EVENTOS DE

SEGURIDAD

En este capítulo se presentan los componentes del sistema propuesto que se

enfoca en la reconstrucción de eventos de seguridad y la aplicación de redes

neuronales recurrentes para la identificación de flujos de comunicaciones completos

e incompletos reconstruidos a través de las bitácoras propuestas en las redes de

datos. Las redes neuronales aplicadas para la identificación de flujos sospechosos

del tráfico en la red funcionan de una manera eficiente y automática, identificando las

herramientas que pudieron ser utilizadas para generar un ataque en la etapa de

análisis, de acuerdo a los resultados obtenidos. Comparando estos resultados con

los dos artículos presentados en el tema 2.4, estos complementan el objetivo de este

trabajo al implementar un sistema de almacenamiento de tráfico de red y un sistema

difuso para analizar la información y determinar si existe algún ataque desarrollado.

En esta tesis se tiene como objetivo principal el almacenamiento del tráfico que

puede ser necesario para el análisis de incidentes de seguridad en varios protocolos,

obteniendo un mejor porcentaje en el reconocimiento de ataques implementando el

reconocimiento de herramientas en los ataques de estudio. Es importante mencionar

que en esta fase no se implementó un sistema difuso, sino un arreglo de redes

neuronales para identificar la herramienta que se utilizó en el ataque. A continuación

se describirá el sistema que se implementó.


36

3.1 Modelo de Reconstrucción de Eventos

Generalmente la detección de intrusiones en una red de datos consta de tres

partes fundamentales: la recolección de datos, el análisis de información y finalmente

la presentación de los eventos. La propuesta en este trabajo está integrado por dos

partes principales: la de monitoreo, el cual permite cubrir la fase de recolección de

datos y el modelo a bloques del sistema, que es la encargada de analizar la

información y presentar los eventos involucrados en un incidente mediante la

implementación de redes neuronales.

Esquema de Monitoreo

Las acciones, hechos, y la información se convierten en evidencia en los

eventos de seguridad, pero la información que se maneja en los elementos de las

redes de datos son diferentes a los de una aplicación por parte de un sistema

operativo, además que los lugares donde se puede generar un análisis no son los

mismos, por lo cual se propone que el proceso aplicado en los sistemas de redes de

datos interconectados en un primer paso sea el almacenamiento de tramas de datos

en una base de almacenamiento.

Una característica fundamental en el análisis de incidentes es garantizar que

la evidencia no sea modificada [35], por lo cual, el esquema de control de monitoreo

no tiene que realizar algún cambio y almacenar toda la información que sea posible.

La cantidad de datos que se debe almacenar es difícil de determinar, porque si se

observa la cantidad de información que fluyen en una red de datos es amplia, por lo

cual, el espacio requerido para el almacenamiento es demasiado grande.

Para hacer una aproximación a la recolección de información se propone un

modelo de monitoreo pasivo para la obtención de datos del tráfico de la red. La razón

principal es que un modelo pasivo no agrega más datos a la red. En este modelo la

captura se realiza en el canal de comunicación entre el Firewall y en la conexión de


37

la red externa con el fin de capturar el tráfico de estas e implementar bitácoras para

la reconstrucción de eventos; los elementos de conectividad considerados son los

siguientes [36,37]:

• Bitácoras del Firewall.

• Bitácoras del IDS.

• Bitácoras del Estado de Conexión.

• Bitácoras del Tráfico de Red.

Se presupone que la Red de datos cuenta con controles y políticas de

seguridad adecuadas para el tipo de red. En un sistema digital, incluyendo una red

de datos, la información y la posible evidencia es volátil, y esto condiciona a tener

controles de monitoreo previos. En el modelo que se utilizó, los scripts de la

plataforma de monitoreo se ejecutaron en el firewall, una posible mejora es el utilizar

hardware especializado como puede llegar a ser un Network TAP6, que puede

generar un duplicado de la información que circula en el segmento de conexión. El

modelo del sistema de monitoreo se muestra en la figura 3.1, en ella se presenta la

conexión básica entre la red interna y externa, el canal de salida lo tiene el firewall

6 La alternativa. TAP significa `Test Access Port' (Puerto de Acceso de Pruebas). Los Network

Tap (dispositivos de escucha de red) son dispositivos que permiten examinar el tráfico de red sin intervenir en el flujo de datos. Trabajan a nivel 1 de OSI, por lo que no realizan ninguna función de redirección o encaminamiento del tráfico, suelen tener buffers para evitar pérdidas de datos, regeneran la señal, pueden monitorizar comunicaciones de fibra óptica, entre otras características.


38

Red

Externa

Red

Interna

Plataforma

de

Monitoreo

Firewall

IDS

Figura 3.1: Sistema de Monitoreo

El sistema de reconstrucción de eventos consta de 6 elementos: el analizador

de Tráfico, el preprocesamiento, el módulo de reconstrucción de eventos, la base de

eventos, la red neuronal recurrente, la base de conocimientos y el módulo de evento

de seguridad. El funcionamiento de cada parte de forma general es el siguiente:

Grabador de Tráfico: se encarga de la lectura del tráfico de la red a través

de un sniffer en un modo de captura en crudo, además de generar las

bitácoras del Firewall, IDS, y las Conexiones de la Red.

Módulo de Pre procesamiento: es el encargado de dar formato los registros,

eliminando estados repetidos.

Módulo de Reconstrucción de Eventos: se encarga de reconstruir los flujos

de datos y realizar la correlación entre las diferentes bitácoras. Los flujos de

los eventos registrados por el IDS son ignorados para el análisis mediante

la red recurrente.

Red Neuronal Recurrente: se encarga de analizar los eventos

almacenados.

Eventos de Seguridad: presenta los Eventos que son marcados como

sospechosos.

La arquitectura del sistema se presenta en la figura 3.2.


39

Tráfico en RedReconstrucción de

EventosPreprocesamiento

Base de Eventos

Red Neuronal

Recurrente

Evento de

Seguridad

Base de

Conocimentos

Figura 3.2: Arquitectura del Sistema

A continuación se describirán las características de cada módulo de la

arquitectura propuesta en el sistema de detección y reconstrucción de eventos de

seguridad. El primer paso del sistema de seguridad es el proceso de captura de

tráfico, al realizar esta tarea, permite generar una ventana de tiempo de los paquetes

transmitidos en la red que proporcionan una de las partes de la base de información

para el sistema.

3.1.1 Grabador de Tráfico

Este módulo es el encargado de generar cada una de las bitácoras

propuestas en el sistema para el análisis. El Detector de Intrusiones analiza el

tráfico en la red y genera un registro donde se almacenan las alarmas o avisos

de ataques detectados y bloqueados; el Firewall almacena los intentos de

violación de las políticas y la bitácora de Estado de Conexión almacena los


40

cambios de estados de los sockets en cada host y puerto (como puede ser

una nueva conexión, una conexión en tiempo de espera o cerrada).

Al momento que se están generando estas tres bitácoras, se genera

una cuarta, la cual se encarga de realizar la captura de tráfico, para hacer esta

operación se utiliza un dispositivo dedicado a monitorear todo el tráfico de la

red en un modo promiscuo llamado sniffer o rastreador. Este software captura

la información de tráfico con ayuda de las librerías .pcap; estas librerías

permiten que estas bitácoras puedan ser analizadas de forma manual por

programas analizadores de tráfico, como pueden ser tcpdump o wireshark. La

herramienta utilizada en específico es t-shark, que captura la información

mediante línea de comandos, forma parte de Wireshark, que es la

continuación del trabajo de Ethereal.

Las cuatro bitácoras se graban en un formato crudo, tratando de que no

se pierda información de generación de nuevas conexiones y transferencia de

datos; el principal problema que se presenta en este punto es el espacio de

almacenamiento, ya que de acuerdo al tamaño de la red que se monitoree, la

cantidad de información que se transmita y el número de host se incrementa la

cantidad de datos a capturar.

Una vez que se tienen las bitácoras de información los logs son usados

por el módulo de preprocesamiento, que realiza un barrido de los datos para

iniciar con la reconstrucción de eventos. En las figuras 3.3, 3.4 y 3.5 se

presentan los resultados de los scripts en formato crudo.


41

Figura 3.3: Ejemplo de captura de Tráfico de Red en formato crudo

Figura 3.4: Ejemplo de Bitácora de IDS en formato crudo

Figura 3.5: Ejemplo de Bitácora de Estado de Red en formato crudo

3.1.2 Pre procesamiento

El módulo de preprocesamiento utiliza las bitácoras generadas por los

scripts implementados en un formato crudo, y genera archivos con un formato


42

estándar para la obtención de la información utilizada tanto en la

reconstrucción de flujos y la correlación de eventos.

Cada bitácora tiene parte de la información relacionada con los eventos

de seguridad, anexando la información actualizada en periodos cortos de

tiempo; esto puede llegar a ocasionar que se duplique información como

puede ser en una conexión, que en una ventana de 10 segundos puede seguir

el socket en un estado de establecido y se tengan 30 registros indicando la

misma información, así, este módulo realiza la tarea de no tener información

duplicada en una misma bitácora.

Para ejemplificar este módulo, en las figuras 3.6 y 3.7 se presentan

ejemplos de las bitácoras de Tráfico de Red y Estado de Conexión

preprocesadas.


43

Fig

ura

3.6

: B

itáco

ra d

e E

sta

do

de C

on

exió

n P

rep

rocesad

a

Fig

ura

3.7

: B

itáco

ra d

el T

ráfi

co

de

la R

ed

Pre

pro

ce

sad

a


44

La ventaja principal que presenta este modulo es la reducción de

espacio necesario para el almacenamiento de la información, al retirar

información que puede estar duplicada en alguno de las bitácoras como puede

ser la de estado de la red.

3.1.3 Reconstrucción de Eventos

Este módulo realiza un análisis del tráfico de red seleccionando la

información importante y el criterio para clasificar los paquetes que pertenecen

a un flujo de información, además clasifica la información en los eventos ya

analizados e identificados por las alarmas del IDS, enviando los flujos

incompletos y no marcados como sospechosos a un análisis posterior. Este

módulo realiza dos tareas principales: La reconstrucción de flujos de datos

utilizando la bitácora de Tráfico de Red y la correlación de las bitácoras del

Firewalll, IDS y Estadísticas de Red para hacer la detección de eventos que

no han sido analizados en la red. El esquema modular de esta operación se

presenta en la figura 3.8.

Figura 3.8: Esquema modular de la Reconstrucción de Eventos

Reconstrucción de Flujos

Esta parte reconstruye los flujos que aparecen en la bitácora del

tráfico de red y se enfoca en tres protocolos principalmente: ARP,


45

ICMP y TCP y UDP sobre IPv4. Las capturas de tráfico se

realizaron en una red LAN; los parámetros utilizados de las

cabeceras de los protocolos para realizar la reconstrucción son

mostrados en la tabla 3.1.

Protocolo Parámetros utilizados

ARP Tipo, dirección MAC origen, dirección MAC destino, dirección IP origen y dirección IP destino.

IPv4 Versión, protocolo, dirección origen y dirección destino.

ICMP Dirección origen y destino, tipo y código.

UDP Puertos origen y destino.

TCP Puertos origen y destino, banderas y números de secuencia.

Tabla 3.1: Características de los Protocolos

Para cada uno de los protocolos se analizan los campos de las

cabeceras para iniciar con la reconstrucción de los flujos. El

proceso para hacer la búsqueda de cualquier flujo es la lectura del

archivo de información y crea una imagen de trabajo, en la cual se

eliminará cada trama y se dejará como un campo nulo al pertenecer

a un flujo, al leer la trama N que va desde la trama 1 hasta el

número de tramas que se encuentran en el archivo, valida el tipo de

encapsulado que se encuentra dentro de la cabecera Ethernet y se

realizan las primeras tomas de decisiones, que es la reconstrucción

de flujos ARP o IPv4. En el primer caso que el tipo de la trama N

que se leyó se tiene un código 0x0806 (ARP), se almacena en el

buffer temporal y se inicia con un barrido con las tramas

posteriores, validando la respuesta o solicitud de información, en

este proceso se plantean 3 escenarios: Un flujo normal de

información, un ataque con envenenamiento de las tablas ARP y un

flujo incompleto. Para el primer escenario se valida que las tramas

subsecuentes a la almacenada temporalmente en buffer

corresponda a la respuesta de la solicitud, con el campo de MAC


46

destino e IP destino correspondan a la MAC origen e IP destino de

la trama N, además que el código se envíe dentro del protocolo sea

la respuesta a una solitud ARP o RARP.

El segundo escenario, en un envenenamiento se puede presentar

desde una secuencia de solicitudes ARP de direcciones físicas

correspondientes en el segmento de red, además de las respuestas

de solicitudes ARP con la MAC origen e IP origen de la trama N en

las tramas subsecuentes, esto se muestra en las figuras 3.9 y 3.10

respectivamente.


47

Fig

ura

3.9

: S

ecu

en

cia

de s

olicit

ud

es d

e D

irec

cio

ne

s M

AC

Fig

ura

3.1

0:

Secu

en

cia

de s

olic

itu

des d

e D

ireccio

nes M

AC


48

El tercer escenario corresponde a una solicitud o respuesta en una

trama, en la cual no aparece la trama de respuesta para la primera

opción o la solicitud durante la captura, la trama N se envía a los

flujos incompletos. El diagrama de flujo se presenta en la figura

3.11.


49

X =

Nú

me

ro to

tal d

e

Tra

ma

s

N =

1 M

= 1

Inic

io

Le

e tra

ma

Eth

ern

et N

Tip

oN =

= 0

80

6S

i

No

IPA =

IP

Orig

en

MA

Ca =

MA

Co

rig

en

Alm

ace

na

en

Bu

ffe

r T

ram

a N

K =

1

Pa

q =

1L

ee

Tra

ma

N+

K

Tip

oN

+K =

= 0

80

6M

AC

orig

en

N+

K =

= M

AC

A

Ipo

rig

en

N+

K =

= IP

A

Co

dig

oN

+K =

= 0

1 || 0

3

Tip

oN

+K =

= 0

80

6M

AC

de

stin

oN

+K =

= M

AC

A

Ipd

estin

oN

+K =

= IP

A

Co

dig

oN

+K =

= 0

2 || 0

4

Si

No

Si

No

N +

K >

X

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Incre

me

nta

N +

1

Alm

ace

na

en

Bu

ffe

r

Tra

ma

N+

K

Incre

me

nta

Pa

q

Elim

ina

Tra

ma

N+

K d

e

Ima

ge

n d

e T

rab

ajo

Incre

me

nta

K +

1

Si

No

Si

No

N =

= X

Tra

ma

N e

s n

ula

( da

to e

limin

ad

o)

Si

En

vía

Tra

ma

N a

Flu

jos

Inco

mp

leto

s

N +

K =

= X

Si

No

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Va

cía

Bu

ffe

r

1

1

Le

ctu

ra d

e B

itá

co

ra

de

Re

d

Pre

pro

ce

sa

da

Ge

ne

ració

n d

e Im

ag

en

de

Tra

ba

jo

Fin

Alm

ace

na

Bu

ffe

r e

n

Flu

jo M

Alm

ace

na

Pa

q e

n N

o d

e

Tra

ma

s e

n e

l F

lujo

Incre

me

nta

M +

1

Va

cía

Bu

ffe

r

Incre

me

nta

N +

1

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

Fin

Fig

ura

3.1

1:

Dia

gra

ma d

e R

eco

nstr

uc

ció

n d

e F

lujo

s d

e p

aq

uete

s A

RP


50

En el caso de que en las tramas Ethernet se encuentre un

encapsulado tipo 0x0800 (IPv4), se valida el protocolo encapsulado

dentro de esta cabecera; los tipos que se validan son ICMP, UDP y

TCP.

Cuando el encapsulamiento en IPv4 es un protocolo ICMP en la

trama N, esta se almacena en el buffer temporal y se inicia un

barrido hacia adelante comparando la respuesta al código en la

cabecera ICMP, además de comparar que la IP origen de la trama

N+K corresponda a la IP destino de la trama N y la IP destino de la

trama N+K corresponda a la IP origen de la trama N. Los códigos

analizados en esta búsqueda son: la petición y respuesta de eco,

router, información y máscara de dirección. Una vez hecho se

almacenan en el buffer temporal y se siguen buscando las tramas

subsecuentes en las que se presente nuevamente alguna solicitud

con la IP origen y destino previamente señalados. Al finalizar con la

búsqueda en las tramas subsecuentes a N, almacenan las tramas

en el flujo correspondiente, en caso de que en la búsqueda no se

encuentre otra trama con las características de N, la trama se

almacena en los flujos incompletos, una vez hecha cualquiera de

estas dos acciones, se vacía el buffer de almacenamiento y

continua con la búsqueda de nuevos flujos en las siguientes tramas,

repitiendo este proceso. El diagrama de flujo de esta operación se



51

X =

Nú

me

ro to

tal d

e

Tra

ma

s

N =

1 M

= 1

Inic

io

Le

e tra

ma

Eth

ern

et

N

Tip

oN =

= 0

80

0

Pro

toco

loN =

= 0

1

Si

No

IPA =

IP

Orig

en

N

IPB =

IP

De

stin

oN

Co

dig

o =

Co

de

N

Alm

ace

na

en

Bu

ffe

r T

ram

a N

K =

1

Pa

q =

1L

ee

Tra

ma

N+

K

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 0

1

IP O

rig

en

N+

K =

= IP

B

IP D

est

ino

N+

K =

= I

PAC

od

igo

N+

K

==

0

Co

dig

oN =

= 8

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 0

1IP

Orig

en

N+

K =

= IP

B

IP D

est

ino

N+

K =

= IP

A

Co

dig

oN

+K =

= 1

4

Co

dig

oN =

= 1

0

Si

No

Si

No

N +

K =

= X

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Incr

em

en

ta N

+1

Alm

ace

na

en

Bu

ffe

r

Tra

ma

N+

K

Incr

em

en

ta P

aq

Elim

ina

Tra

ma

N+

K d

e

Ima

ge

n d

e T

rab

ajo

Incr

em

en

ta K

+1

Si

No

Si

No

N =

= X

Tra

ma

N e

s n

ula

(da

to e

limin

ad

o)

Si

N +

K =

= X

Si

No

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Va

cía

Bu

ffe

r

1

1

Le

ctu

ra d

e B

itáco

ra

de

Re

d

Pre

pro

cesa

da

Ge

ne

raci

ón

de

Im

ag

en

de

Tra

ba

jo

Fin

Alm

ace

na

Bu

ffe

r e

n

Flu

jo M

Alm

ace

na

Pa

q e

n N

o d

e

Tra

ma

s e

n e

l Flu

jo

Incr

em

en

ta M

+1

Va

cía

Bu

ffe

r

Incr

em

en

ta N

+1

Alm

ace

na

Tra

ma

N e

n

Flu

jos

Inco

mp

leto

s

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 0

1

IP O

rig

en

N+

K =

= IP

B

IP D

est

ino

N+

K =

= I

PA

Co

dig

oN

+K =

= 1

6

Co

dig

oN =

= 1

5

Si

No

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 0

1

IP O

rig

en

N+

K =

= IP

B

IP D

est

ino

N+

K =

= I

PAC

od

igo

N+

K

==

18

Co

dig

oN =

= 1

6

Si

No

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 0

1

IP O

rig

en

N+

K =

= I

PB

IP D

est

ino

N+

K =

=

IPAIp

de

stin

oN

+K =

= I

PA

Co

dig

oN

+K =

= C

od

igo

Si

No

Alm

ace

na

Tra

ma

N e

n

Flu

jos

Inco

mp

leto

s

2

NoN <

X

Si

Tra

ma

N e

s n

ula

(da

to e

limin

ad

o)

Si

Fin

Alm

ace

na

Tra

ma

N e

n

Flu

jos

Inco

mp

leto

s

2

Fig

ura

3.1

2:

Dia

gra

ma d

e R

eco

nstr

uc

ció

n d

e F

lujo

s d

e p

aq

uete

s IC

MP


52

Para la reconstrucción de flujos UDP, cuando la trama N contiene

este protocolo en la cabecera IPv4, se almacena en el buffer

temporal la trama y en las subsecuentes, se comparan que el

puerto destino e IP destino correspondan al Puerto Origen e IP de

la trama N, y que el puerto origen e IP origen correspondan al

puerto destino de la trama N. Otro caso es que la trama N+K

contenga los mismos identificadores que la trama N (IP origen,

puerto origen, IP destino y puerto destino iguales), en cualquiera de

los dos casos, estas tramas son almacenadas en el buffer temporal,

el diagrama de esta reconstrucción se presenta en la figura 3.13. Al

finalizar esta búsqueda, se repite el proceso de almacenamiento de

las tramas en el flujo correspondiente si se encontraron dos o más

tramas que comparten las características señaladas; en caso de

que en la búsqueda no se encuentre otra trama con las

características de N, la trama se almacena en los flujos

incompletos, una vez hecha cualquiera de estas dos acciones, se

vacía el buffer de almacenamiento y continua con la búsqueda de

nuevos flujos en las siguientes tramas, repitiendo este proceso.


53

X =

Nú

me

ro to

tal d

e

Tra

ma

s

N =

1 M

= 1

Inic

io

Le

e tra

ma

Eth

ern

et N

Tip

oN =

= 0

80

0

Pro

toco

loN =

= 1

1

Si

No

IPA =

IP

Orig

en

N

IPB =

IP

De

stin

oN

Pu

ert

oA =

Pu

ert

o O

rig

en

N

Pu

ert

oB =

Pu

ert

o D

estin

oN

Alm

ace

na

en

Bu

ffe

r T

ram

a N

K =

1

Pa

q =

1L

ee

Tra

ma

N+

K

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 1

1

Pu

ert

o O

rig

en

N+

K =

Pu

ert

oB

Pu

ert

o D

estin

oN

+K =

Pu

ert

oA

IP O

rig

en

N+

K =

= IP

B

IP D

estin

oN

+K =

= I

PA

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 1

1

Pu

ert

o O

rig

en

N+

K =

Pu

ert

oA

Pu

ert

o D

estin

oN

+K =

Pu

ert

oB

IP O

rig

en

N+

K =

= I

PA

IP D

estin

oN

+K =

= I

PB

Si

No

N +

K =

= X

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Alm

ace

na

en

Bu

ffe

r

Tra

ma

N+

K

Incre

me

nta

Pa

q

Elim

ina

Tra

ma

N+

K d

e

Ima

ge

n d

e T

rab

ajo

Incre

me

nta

K +

1

Si

No

Si

No

N =

= X

Tra

ma

N e

s n

ula

(da

to e

limin

ad

o)

Si

N +

K =

= X

Si

No

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Va

cía

Bu

ffe

r

1

1

Le

ctu

ra d

e B

itá

co

ra

de

Re

d

Pre

pro

ce

sa

da

Ge

ne

ració

n d

e Im

ag

en

de

Tra

ba

jo

Fin

Alm

ace

na

Bu

ffe

r e

n

Flu

jo M

Alm

ace

na

Pa

q e

n N

o d

e

Tra

ma

s e

n e

l F

lujo

Incre

me

nta

M +

1

Va

cía

Bu

ffe

r

Incre

me

nta

N +

1

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

Si

No

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

Incre

me

nta

N +

12

NoN <

X

Si

Tra

ma

N e

s n

ula

(da

to e

limin

ad

o)

Si

Fin

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

2

Fig

ura

3.1

3:

Dia

gra

ma d

e R

eco

nstr

uc

ció

n d

e F

lujo

s d

e p

aq

uete

s U

DP


54

La reconstrucción de flujos TCP/IP se validan las direcciones IP y

puertos origen y destino y las banderas dentro de la cabecera TCP.

Cuando en la trama N dentro del encapsulado IPv4 se encuentre el

protocolo TCP, se revisa que en las banderas de esta trama

corresponda sólo se active la sincronización, si esta condición no se

cumple, la trama se envía a los flujos incompletos, cuando esta

condición se cumple, se almacena la trama N en el buffer temporal

y se busca en las tramas subsecuentes la que contiene el puerto e

IP destino como la origen de la trama N, que el número de acuse se

incremente en 1 al del número de secuencia de la trama N y que las

banderas de sincronización y acuse estén activas, si esto se

cumple, la trama N+K se almacena en el buffer y se busca en los

las tramas posteriores aquella que cumpla con el puerto origen,

destino e IP origen y destino sean iguales al de la trama N, que la

bandera de acuse este activa y el número de acuse se incremente

en 1 de la trama anterior perteneciente al flujo para nuevamente

almacenarla en el buffer temporal; una vez que se cumplió todo

este proceso, se comparan que el puerto destino e IP destino

correspondan al Puerto Origen e IP de la trama N, y que el puerto

origen e IP origen correspondan al puerto destino de la trama N o

que la trama N+K contenga los mismos identificadores que la trama

N (IP origen, puerto origen, IP destino y puerto destino iguales), en

cualquiera de los dos casos, estas tramas son almacenadas en el

buffer temporal, este proceso continua hasta que la conexión se

termine con las banderas de FIN activas o ya no existan paquetes

con esas características en la captura de tráfico. Una vez que esto

ocurre se almacena el buffer en los flujos con el identificador

correspondiente, y se repite el proceso de búsqueda de inicio de

transferencia en otras tramas subsecuentes a la que inició el

análisis. Este proceso se presenta en las figuras 3.14 y 3.15.


55

No

X =

Nú

me

ro to

tal d

e

Tra

ma

s

N =

1 M

= 1

Inic

io

Le

e tra

ma

Eth

ern

et

N

Tip

oN =

= 0

80

0

Pro

toco

loN =

= 0

6

Si

No

IPA =

IP

Orig

en

N

IPB =

IP

De

stin

oN

Pu

ert

oA =

Pu

ert

o O

rig

en

N

Pu

ert

oB =

Pu

ert

o D

estin

oN

Alm

ace

na

en

Bu

ffe

r T

ram

a N

K =

1

Pa

q =

1L

ee

Tra

ma

N+

K

Tip

oN

+K =

= 0

80

6

Tip

oN

+K =

= 0

6

Pu

ert

o O

rig

en

N+

K =

Pu

ert

oB

Pu

ert

o D

estin

oN

+K =

Pu

ert

oA

IP O

rig

en

N+

K =

= IP

B

IP D

estin

oN

+K =

= IP

A

SY

NN

+K=

=1

AC

KN

+K=

=1 Si

No

Incre

me

nta

N +

1

Le

ctu

ra d

e B

itá

co

ra

de

Re

d

Pre

pro

ce

sa

da

Ge

ne

ració

n d

e Im

ag

en

de

Tra

ba

jo

SY

NN=

= 1

Si

No

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Va

cía

Bu

ffe

r

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

2

N +

K =

= X

Si

No

Incre

me

nta

K +

1

1

Elim

ina

Tra

ma

N y

N+

K

de

Im

ag

en

de

Tra

ba

jo

Va

cía

Bu

ffe

r

Alm

ace

na

Tra

ma

N y

N+

K e

n F

lujo

s

Inco

mp

leto

s

1

2

Alm

ace

na

en

Bu

ffe

r

Tra

ma

N+

K

Incre

me

nta

Pa

q

Elim

ina

Tra

ma

N+

K d

e

Ima

ge

n d

e T

rab

ajo

Incre

me

nta

K +

1

Tip

oN

+K =

= 0

80

6

Tip

oN

+K =

= 0

6

Pu

ert

o O

rig

en

N+

K =

Pu

ert

oA

Pu

ert

o D

estin

oN

+K =

Pu

ert

oB

IP O

rig

en

N+

K =

= I

PA

IP D

estin

oN

+K =

= I

PB

AC

KN

+K=

=1

N +

K =

= X

Si

No

Elim

ina

Tra

ma

N y

N+

K

de

Im

ag

en

de

Tra

ba

jo

Va

cía

Bu

ffe

r

Alm

ace

na

Bu

ffe

r y

Tra

ma

N+

K e

n F

lujo

s

Inco

mp

leto

s

2

No

Si

Alm

ace

na

en

Bu

ffe

r

Tra

ma

N+

K

Incre

me

nta

Pa

q

Elim

ina

Tra

ma

N+

K d

e

Ima

ge

n d

e T

rab

ajo

3

3 3

3

N <

X

Si

Tra

ma

N e

s n

ula

(da

to e

limin

ad

o)

Si

Fin

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

No

1

Fig

ura

3.1

4:

Dia

gra

ma d

e R

eco

nstr

uc

ció

n d

e F

lujo

s d

e p

aq

uete

s T

CP


56

2

1

Incre

me

nta

K +

1

4

Le

e T

ram

a N

+K

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 1

1

Pu

ert

o O

rig

en

N+

K =

Pu

ert

oB

Pu

ert

o D

estin

oN

+K =

Pu

ert

oA

IP O

rig

en

N+

K =

= IP

B

IP D

estin

oN

+K =

= I

PA

Tip

oN

+K =

= 0

80

0

Pro

toco

loN

+K =

= 1

1

Pu

ert

o O

rig

en

N+

K =

Pu

ert

oA

Pu

ert

o D

estin

oN

+K =

Pu

ert

oB

IP O

rig

en

N+

K =

= IP

A

IP D

estin

oN

+K =

= I

PB

Si

No

N +

K =

= X

Elim

ina

Tra

ma

N d

e

Ima

ge

n d

e T

rab

ajo

Alm

ace

na

en

Bu

ffe

r

Tra

ma

N+

K

Incre

me

nta

Pa

q

Elim

ina

Tra

ma

N+

K d

e

Ima

ge

n d

e T

rab

ajo

Si

No

Si

No

N =

= X

Tra

ma

N e

s n

ula

( da

to e

limin

ad

o)

Si

N +

K =

= X

Si

No

Incre

me

nta

M +

1

Va

cía

Bu

ffe

r

Incre

me

nta

N +

1

Fin

Alm

ace

na

Bu

ffe

r e

n

Flu

jo M

Alm

ace

na

Pa

q e

n N

o d

e

Tra

ma

s e

n e

l F

lujo

Incre

me

nta

M +

1

Va

cía

Bu

ffe

r

Incre

me

nta

N +

1

Alm

ace

na

Bu

ffe

r e

n

Flu

jo M

Alm

ace

na

Pa

q e

n N

o d

e

Tra

ma

s e

n e

l F

lujo

Si

No

Alm

ace

na

Tra

ma

N e

n

Flu

jos In

co

mp

leto

s

4

Fig

ura

3.1

5:

Dia

gra

ma d

e R

eco

nstr

uc

ció

n d

e F

lujo

s d

e p

aq

uete

s T

CP


57

Una vez que se analizan todos los paquetes del archivo analizado y

se determinó si los paquetes pertenecen a un flujo completo o no,

se almacenan los flujos y se continua con el proceso de correlación

para detectar los eventos que ocurrieron durante la transferencia de

información en la Red Analizada. Un ejemplo de la reconstrucción

se presenta en la figura 3.16, en ella se presentan dos flujos

reconstruidos.


58

Fig

ura

3.1

6:

Flu

jo R

eco

ns

tru

ido


59

Al tener los flujos de datos de las capturas el siguiente paso es la

correlación, este paso es el encargado de relacionar cada las bitácoras

que se almacenaron.

Correlación

Esta parte del sistema establece la relación entre las bitácoras que se

propusieron en el sistema. Esto se realiza utilizando como

identificadores algunos de los campos que presentan cada una de ellas.

El objetivo de este módulo es eliminar los flujos que están relacionados

con un evento ya identificado por el IDS y no realizar un nuevo análisis.

Los campos utilizados se presentan a continuación.

Flujos:

Flujo Id.

MAC destino

IP destino.

Estampa de Tiempo.

Protocolo encapsulado en Ethernet.

Código (para tramas ARP).

IP ID (para tramas IPv4).

MAC origen.

IP origen.

Banderas (para tramas IPv4).

Estado de Conexión:

Estampa de Tiempo.

IP Destino.

Protocolo en IP.


60

Puerto Origen.

Firewall:

Estampa de Tiempo.

Interfaz de Entrada.

Interfaz de Salida.

IP Origen.

IP Destino.

IP ID.

Longitud Total.

TTL.

Protocolo.

IDS:

Estampa de Tiempo.

MAC Origen.

MAC Destino.

IP Origen.

IP Destino.

IP ID.

Puerto Origen.

Puerto Destino.

Longitud Total.

Cada uno de estos identificadores permite realizar la relación entre

las tablas de información de las bitácoras. La relación que existe

entre las bitácoras del IDS, Firewall y Estado de Conexión permiten

identificar cada uno de los eventos ya detectados, con la bitácora

de flujos se identifican cuáles son los paquetes involucrados en el


61

evento enviando al módulo de la base de eventos aquellos que no

han sido analizados y pueden contener información sobre un

incidente no identificado. La figura 3.17 tiene la relación entre las

tablas.

Figura 3.17: Entidad-Relación entre bitácoras

Las relaciones de las tablas permiten generar un resumen de los

eventos no detectados con una alarma, para presentar el registro

del evento y el detalle para el análisis de los datos en la base de

eventos. Este proceso se realiza iniciando con la lectura de la


62

alarma en el registro del IDS y tomando los identificadores

principales, estos se validan con los registros del Firewall y el

Estado de la conexión, el resultado de la relación permite hacer la

búsqueda en los flujos para eliminar el índice del flujo y no realizar

un nuevo análisis sobre un evento ya detectado, para esto se

validan los identificadores de la tabla de flujos, revisando que no

coincidan con ellos, una vez que se termina todo este proceso, se

envía un registro con la información de los eventos no analizados al

módulo de la base de eventos con la información necesaria para la

operación en el siguiente módulo.

Con la correlación de las bitácoras que se almacenan, el siguiente

paso es la generación de una base donde se almacenan los

eventos incompletos o no analizados para realizar un estudio

posterior. El resultado final de todo el proceso de este módulo se



63

Fig

ura

3.1

8:

Re

su

ltad

o d

e c

orr

ela

ció

n d

e e

ven

tos


64

3.1.4 Base de Eventos

En la Base de Eventos está almacenada la información de los flujos de

datos que se deben analizar. Separa cada flujo completo o incompleto que

puede ser analizado, teniendo un reporte del evento en el que se presenta un

resumen de éste; está integrado el identificador del evento, duración, número

de paquetes en el evento, y hora de inicio, un ejemplo de este reporte se

presenta en la figura 3.19. El detalle del evento guarda la información

necesaria para poder identificar los flujos, un ejemplo para un flujo ARP es

almacenar la dirección IP origen y destino, la dirección MAC origen y destino,

la longitud del paquete, la estampa de tiempo, y el protocolo, la figura 3.20

ejemplifica esto.

Figura 3.19: Ejemplo de un evento registrado

Figura 3.20: Ejemplo de detalle en la Base de Eventos

La ventaja que presenta hacer esta codificación es la reducción de

espacio necesario para almacenar la información original. Una vez que se

tienen almacenados los archivos, el sistema puede hacer uso de la red


65

neuronal entrenada con la base de conocimientos para iniciar con el análisis

de los archivos e identificar si el flujo pertenece a un comportamiento normal o

no.

3.1.7 Base de Conocimientos

La base de conocimientos almacena los identificadores de las

direcciones IP, direcciones MAC y el protocolo de cada paquete en los flujos

de datos para generar minimizar las matrices de flujos de datos.

Este cambio se utiliza para hacer una reducción en la información que

se introduce en las redes neuronales. Cada dirección IP o dirección MAC

identifica un host en específico en una red de datos, es única e irrepetible; al

realizar un mapeado de los identificadores de cada dirección o protocolo para

generar una nueva matriz con ellos para el entrenamiento y el reconocimiento

de los flujos en la red neuronal, se obtiene una reducción en el tamaño de los

vectores introducidos, el tiempo de entrenamiento y reconocimiento en la red

neuronal, un ejemplo de los identificadores se muestra en la figura 3.21 [35].

ID Dirección IP

1 192.168.0.1

2 192.168.0.2

3 192.168.0.3

4 192.168.0.4

5 192.168.0.5

6 192.168.0.6

7 192.168.0.7

8 192.168.0.8

9 192.168.0.9

10 192.168.0.10

ID Dirección MAC

1 00:00:00:00:00:01

2 00:00:00:00:00:02

3 00:00:00:00:00:03

4 00:1B:77:B0:48:DC

5 00:0F:B0:6A:F9:C7

6 00:0C:29;D9:23:A8

7 00:0C:29:4D:0B:AB

8 00:0C:29:AB:0E:EF

9 00:50:56:C0:00:01

10 00:0C:29:EA:35:3C

ID Protocolo

1 ARP

2 TCP

3 UDP

4 ICMP

5 IP

a) Identificadores de direcciones IP

a) Identificadores de direcciones MAC

a) Identificadores de Protocolos

Figura 3.21: Ejemplo de Identificadores para la Base de Conocimientos


66

Una vez que se identifica a cada dirección o protocolo, se realiza un

mapeado para generar una nueva matriz con los identificadores en una

captura para realizar el análisis. Un ejemplo de esto se presenta en la figura

3.22.

Figura 3.22: Ejemplo de mapeado con la Base de Conocimientos

Con la información obtenida de la Base de Eventos y la Base de

Conocimientos las matrices reducidas se utilizan en la Red Neuronal

Recurrente para realizar los análisis y determine si el flujo pertenece a un

comportamiento normal o anormal.


Las Redes Neuronales Recurrentes son entrenadas con diferentes

capturas de red antes de ser utilizadas para analizar uno o varios flujos de

datos; estas deberán identificar o reconocer los patrones típicos de un ataque.

Las capturas de los ataques serán creadas para diferentes escenarios con

diferentes ambientes (redes diferentes y sistemas operativos distintos), esto


67

permitirá que durante el entrenamiento de la Red Neuronal Recurrente se

aumente la capacidad de reconocimiento de ataques [35].

Las características de la Red Neuronal Recurrente utilizada son las

siguientes: 7 neuronas en la capa de entrada, estas están conformadas por 7

de los parámetros propuestos para la detección de un ataque en la Tesis

“Detección y Prevención de Intrusos usando Redes Neuronales Recurrentes”

[39], con una ventana deslizante de 24 tramas del flujo de datos; en la capa de

salida se tiene una neurona, la cual define si la información del flujo es normal

o no. En esta etapa se encuentra la implementación de la Red Neuronal

Recurrente para el reconocimiento de ataques. En la figura 3.23 se representa

la estructura definida.

1 fn

1

o

0

W8,1 V1,1

Capa de Entrada

Capa de Salida

1

2

3

7

Bias

Figura 3.23: Estructura para la Detección de Flujos Anormales

3.1.7 Eventos de Seguridad

El evento de seguridad es dado por la salida de la red neuronal y

definido por el comportamiento del flujo, para este caso, se determina como


68

evento de seguridad a aquel que la Red Neuronal Recurrente haya reconocido

como un comportamiento anormal. Una de las ventajas que presenta este

módulo en conjunto con la Red Neuronal Recurrente es que puede identificar

alguna herramienta utilizada para un ataque, como puede ser un ataque de

Hombre de Hombre en el Medio utilizando la herramienta Ettercap o némesis.

3.2 Entrenamiento de la Red Neuronal

Para el entrenamiento de Red Neuronal Recurrente es necesario generar

varias capturas del tráfico de red, las cuales estarán integradas con información de

flujos normales y ataques, estos flujos se encuentran en el formato reducido para que

el tiempo de entrenamiento se reduzca [38]. Durante este proceso se suministran

estos flujos a la Red Neuronal para que después del periodo de entrenamiento, la red

haya obtenido los valores de pertenencia.

Para realizar la inicialización de los pesos con números aleatorios se definen:

( ( ))

( ( ))

La matriz de pesos V y W son definidas al término del entrenamiento de todas

las capturas utilizadas en la Red Neuronal Recurrente, estos pesos son utilizados

durante el reconocimiento de las capturas. Las 8 neuronas de entrada se obtienen de

la ventana de 24 paquetes con 7 identificadores reducidos de las cabeceras de los

protocolos analizados más el bias.

Para definir la salida deseada de la Red Neuronal Recurrente, los paquetes

son relacionados entre ellos mismos durante el entrenamiento, se analiza el

comportamiento de un bloque de paquetes y se define el valor de salida para la

obtención de los pesos ideales. La salida deseada 0 corresponde a un evento


69

normal, mientras la salida 1 representa un ataque. En el sistema se entrenan 4 redes

diferentes, tres para identificar una de las posibles herramientas utilizadas para

generar el ataque de hombre en el medio (que pueden ser: Ettercap, Caín & Abel y

Némesis) y una más para identificar un evento normal o anormal, la salida con el

valor mayor será la que determine si existe un evento normal o anormal y la

herramienta utilizada.


La búsqueda de flujos para un análisis de seguridad se puede hacer mediante

el uso de la fuerza bruta (por ejemplo, usar wireshark sobre todos los archivos en

disco buscando en cada uno los flujos que pueden aparecer), el hacerlo puede llevar

una gran cantidad de tiempo, el sistema presentado realiza esta tarea, además que

se aplica en un Sistema de Seguridad enfocado en la Detección de Intrusos.

Para desarrollar un sistema de seguridad se lleva a cabo una metodología

propuesta teniendo como resultado el comportamiento esperado; en este capítulo se

presentaron los componentes de un sistema que está enfocado en el

almacenamiento de datos que permiten ser utilizados en un análisis enfocado en el

descubrimiento de incidentes, implementando una Red Neuronal Recurrente eficiente

para apoyo en la búsqueda de comportamientos anómalos en la Red de Datos

Analizada.

Cada componente del sistema tiene una función específica, que va desde

extraer la información de la red, reducir los datos necesarios para hacer el análisis,

realizar un mapeo de información, analizar y obtener una posible evidencia de un

evento de seguridad. En el siguiente capítulo se presentaran los escenarios de

pruebas y resultados obtenidos.

71

CAPÍTULO IV. PRUEBAS Y RESULTADOS

En este capítulo se presentan las pruebas y resultados de la reconstrucción de

eventos de seguridad a través del sistema de monitoreo propuesto y los resultados

del entrenamiento de las Redes Neuronales Recurrente para un análisis en

ambientes controlados de redes de datos, para presentar esto, se divide en dos

partes este capítulo, en el primero se presentan los escenarios que se utilizaron para

obtener los datos con los que se aplicó la metodología propuesta para la obtención

de eventos y entrenamiento de la Red Neuronal Recurrente y en la segunda parte se

presentan los resultados obtenidos en cada una de las fases de pruebas que son la

reconstrucción de flujos en capturas de tráfico en la red de datos utilizada, la

correlación de las bitácoras para obtener los eventos no analizados y la aplicación de

un arreglo de redes neuronales para determinar que herramienta se utilizó para un

ataque de hombre en el medio.

4.1 Pruebas

Las pruebas de la información capturada para ser procesada y después ser

analizada por la Red Neuronal Recurrente se realizaron en MATLAB R2009a, versión

7.8.0.347, la correlación de flujos, detección de eventos y entrenamiento se

desarrollaron en un procesador Intel Core 2 Duo CPU P8600 @ 2.4 Ghz, un sistema

operativo de 64 bits (Windows 7 Home Premium) y memoria RAM de 4 GB.


72

4.1.1 Escenarios

Para la evaluación del sistema propuesto, se capturaron un conjunto de

datos diferentes del tráfico de redes, en los cuales se consideraron diferentes

ambientes para la generación de la información que analizó el sistema, estos

ambientes incluyen diferentes sistemas operativos, redes IP, herramientas que

el atacante utiliza para generar el evento de seguridad; estos son mostrados

en la tabla 4.1, además que con ellos se generaron los eventos con los que

fueron entrenadas las redes neuronales para el reconocimiento de las

herramientas utilizadas en el ataque de envenenamiento ARP.

Sistema Operativo Herramientas Redes IP

Fedora Caín & Abel 172.16.0.X

Back Track 3 Ettercap 172.20.8.X

Windows XP Home Edición Némesis 172.16.157.X

Windows Vista Ultímate 192.168.0.X

192.168.1.X

192.168.100.X

192.168.200.X Tabla 4.1: Ambientes utilizados para la evaluación del sistema

Los eventos se realizaron con 3 herramientas para realizar los ataques,

4 sistemas operativos utilizados por el atacante y diferentes redes IP, en cada

escenario se realizó la captura de tráfico normal y una secuencia del proceso

que usa la herramienta para realizar el ataque. Los ambientes que se

generaron para estos eventos son los siguientes:

Escenario 1: El ataque fue generado por Ettercap y Back Track 3.

Escenario 2: El ataque fue generado con Ettercap y Windows XP

Home Edición.

Escenario 3: El ataque fue generado con Caín & Abel y Windows XP

Home Edición.

Escenario 4: El ataque fue generado con Caín & Abel y Windows

Vista Ultímate.

Escenario 5: El ataque fue generado con Némesis y Back Track 3.


73

El sistema operativo de la víctima fue Fedora-12-i686-L y Snort 2.8.5.1

como un IDS pasivo, usando las reglas del paquete snortrules-snapshot-

CURRENT, reportado el 10 de febrero de 2010

A continuación se explicarán como se realizaron cada una de las

capturas de los eventos de seguridad.

4.1.2 Características de Información de la Red

El primer paso para la evaluación del sistema propuesto se generaron

diferentes capturas de información para encontrar los eventos que no fueron

detectados por el IDS, para obtener así los eventos que pueden ser

analizados por la red.

Para las pruebas del sistema de reconstrucción de eventos, se

realizaron diferentes capturas con de las bitácoras necesarias para hacer la

reconstrucción de eventos y seleccionar aquellos que no han sido detectados

por el IDS. Interactuaron en promedio 6 máquinas para llevar a cabo

diferentes tipos de capturas con información de tráfico normal y con el ataque

de envenenamiento ARP o rastreo de puertos. A estas máquinas se les

cambiaron los segmentos de red a las que pertenecían, con el propósito de

obtener diferentes capturas con información respecto a las direcciones IPs y

MAC que intervenían en el tráfico que se analizó, las redes utilizadas se

presentaron en la tabla 4.1. Se realizaron 15 capturas para detección de

eventos, 12 con una duración de 10 a 20 minutos y 3 con capturas de 1 hora.

En la tabla 4.2 se presenta un resumen de esta información.


74

Número de

Capturas Servicios Involucrados Duración

5 Sesiones FTP para descargas, servicios http, conversaciones con Windows Live Messenger

10 minutos

2 Una descarga y navegación http 10 minutos

5 Navegación por http, envenenamiento ARP

20 minutos

3 Sesiones FTP para descargas, servicios http, conversaciones con Windows Live Messenger, envenenamiento ARP

1 hora

Tabla 4.2: Capturas de tráfico generadas

Para las pruebas con las redes neuronales con el ataque de

envenenamiento ARP se utilizaron capturas de ataques con diferentes

herramientas con la plataforma del atacante y como un usuario normal. Se

generaron 20 capturas con la herramienta Ettercap, 20 con Caín & Abel, 20

con Némesis y 30 de flujos normales, donde se refrescaban las tablas ARP

con información correcta. En la tabla 4.2 se presenta un resumen de esta

información.

Número de

Capturas

Promedio de tiempo entre tramas (seg)

Herramienta utilizada

Sistema Operativo utilizado en el ataque

13 1.50 Caín & Abel Windows XP Home Edición

7 1.00 Caín & Abel Windows Vista Ultímate

7 9.00 Ettercap Back Track 3

13 10.00 Ettercap Windows XP Home Edición

20 0.15 Némesis Back Track 3 Tabla 4.3: Resumen de Capturas para el entrenamiento

Una vez que se realizaron las capturas de tráfico y se generaron las

bitácoras, se inició con la evaluación de la reconstrucción de flujos y

correlación de eventos para realizar los análisis de seguridad.


75

4.1.3 Análisis de Tráfico

Para capturar la información del tráfico de la red y generar las bitácoras,

se utilizaron las herramientas t-shark, Snort, un script para almacenar los

datos de netstat en un archivo con la fecha y hora del sistema como se

muestra en la figura 4.1. La herramienta t-shark es un sniffer, la cual permite

escuchar y grabar el tráfico de la red en un archivo de texto plano.

Figura 4.1: Captura de información de la red de datos

Al tener la información de las capturas de tráfico de red el primer paso

para la evaluación del sistema fue la reconstrucción de flujos para localizar los

eventos, en los que se aplicó la metodología propuesta con los tipos y

protocolos señalados en el punto 3.1.3, se inició con el preprocesamiento de

información, con el fin que la búsqueda de información se realice de una

manera fácil y se inicie con el proceso de reducción de espacio necesario para


76

el almacenamiento de información. Con este proceso se pueden ubicar cada

una de las cabeceras de los protocolos encapsulados dentro de las cabeceras

Ethernet, necesarias para obtener los parámetros de comunicación de mayor

importancia para definir los detalles de un evento de seguridad, como son:

tiempo de diferencia entre paquetes, IP origen, IP destino, MAC origen, MAC

destino, tipo encapsulado, banderas TCP, tamaño del paquete, protocolo,

fragment offset, opciones TCP, puerto origen y puerto destino, esta

información es la que analiza la red propuesta para la detección de un ataque

e identificación de la herramienta utilizada para este evento.


De acuerdo con los resultados presentados en la Tesis “Detección y

Prevención de Intrusos usando Redes Neuronales Recurrentes” [39], se

retoma la arquitectura de una Red Neuronal Recurrente sin capas ocultas y en

la capa de salida se aplica la recurrencia en los nodos donde se identifica las

relaciones temporales entre las unidades de datos de los flujos en el evento a

analizar, en la implementación de esta red se entrenaron 4 redes diferentes,

las primeras tres se entrenaron con el propósito que reconozcan los patrones

del ataque de hombre en el medio y la herramienta que se utilizó. En los

experimentos las herramientas utilizadas se presentaron en la tabla 4.3; la

cuarta red fue entrenada para que determinara si el evento analizado

corresponde a un evento normal o no, la arquitectura se presenta en la figura

4.2.


77

1 fn

1

o

0

W8,1 V1,1

Capa de Entrada

Capa de Salida

2

3

4

8

1

Bias

Figura 4.2: Arquitectura de la Red Neuronal Recurrente utilizada

Los entrenamientos de las Redes Neuronales Recurrentes se utilizaron

para obtener las siguientes posibilidades en la salida del sistema:

La detección de un evento de seguridad en un ataque de Hombre en

el Medio hecho con la herramienta Ettercap.


el Medio hecho con la herramienta Caín & Abel.


el Medio hecho con la herramienta Némesis.

La detección de un evento de seguridad.

La detección de un evento normal.

Para lograr esto se utilizaron parte de las capturas que se tenían con

ataques presentes y capturas de tráfico normal para obtener así las matrices

de pesos. A continuación se presentarán los resultados obtenidos por el

sistema propuesto para la reconstrucción de eventos.


78

4.2 Resultados

En este punto se presentarán los resultados obtenidos durante el proceso de

implementación de cada uno de los módulos del sistema propuesto, además del

entrenamiento de las redes neuronales para el reconocimiento de los ataques. El

primer punto que se evaluó fue la ventaja del preprocesamiento de información, al

reducir el espacio necesario para almacenar los datos:

4.2.1 Preprocesamiento

Este módulo permite hacer la reducción de información de las bitácoras,

obteniendo la información que se correlaciona entre ellas para poder obtener

los eventos no detectados como sospechosos. En el caso de la bitácora de

estadísticas de red se refresca el estado de todos los sockets en n segundos,

de acuerdo a la configuración del script, en el caso de las pruebas, esto se

hizo cada medio segundo. La bitácora de alertas del IDS presenta la

información de los eventos capturados, el resumen de ella posee la estampa

de tiempo del evento además de las entidades relacionadas y CVE (Common

Vulnerabilities and Exposures). En la tabla 4.5 se presenta el resumen de

reducción de espacio necesario con 15 capturas presentadas en la tabla 4.2.

La forma de calcular los porcentajes de reducción se presentan en la ecuación

4.1.


79

Bitácora 1

Tamaño Original

Tamaño Final

Reducción Bitácora

2 Tamaño Original

Tamaño Final

Reducción

Estado de Red

751 KB 12.13 KB 98.38% Estado

de Red 3.16 MB

52.30 KB

98.37%

IDS 38.9 KB 18.20 KB 53.21%

IDS 167.69 KB

78.46 KB

53.21%

Firewall 340 KB

339.90 KB

0.02% Firewall

1.43 MB 1.43 MB 0%

Tráfico de Red

1.16 MB 752.90

KB 36.61%

Tráfico de Red

5 MB 3.16 MB 36.73%

Total 2.26 MB 1.09 MB 51.76% Total 9.75 MB 4.72 MB 51.56%

Bitácora 3

Tamaño Original

Tamaño Final


4 Tamaño Original

Tamaño Final

Reducción

Estado de Red

1.03 MB 17.15 KB 98.39% Estado

de Red 2.4 MB

39.70 KB

98.38%

IDS 55 KB 25.73 KB 53.18%

IDS 127.44 KB

59.70 KB

53.15%

Firewall 480.55 KB

480 KB 0.11% Firewall

1.08 MB 1.00 MB 7.40%

Tráfico de Red

1.64 MB 1.03 MB 37.19% Tráfico

de Red 3.80 MB 2.4 MB 36.84%

Total 3.19 MB 1.55 MB 52.61% Total 7.41 MB 3.59 51.55%

Bitácora 5

Tamaño Original

Tamaño Final


6 Tamaño Original

Tamaño Final

Reducción

Estado de Red

2.66 MB 44.20 KB 98.37% Estado

de Red 4.4 MB

73.23 KB

98.37%

IDS 141 KB 66.20 KB 53.04%

IDS 234 KB

109.84 KB

53.05%

Firewall 1.20 MB 1.17 MB 2.5% Firewall 2.00 MB 2.00 MB 0%

Tráfico de Red

4.22 MB 2.67 MB 36.72% Tráfico

de Red 7.1 MB 4.44 MB 37.46%

Total 8.23 MB 3.9 MB 52.61%

Total 13.65 MB

6.61 MB 51.57%

Tabla 4.4: Resumen de reducciones de bitácoras


80

Bitácora 7

Tamaño Original

Tamaño Final


8 Tamaño Original

Tamaño Final

Reducción

Estado de Red

789.92 KB

12.76 KB 98.38% Estado

de Red 2.59 MB

42.99 KB

98.37%

IDS 40.91 KB 19.14 KB 53.21%

IDS 137.85 KB

64.49 KB

53.21%

Firewall 357.48 KB

357.48 KB

0% Firewall

1.17 MB 1.17 MB 0%

Tráfico de Red

1.22 MB 791.85

KB 36.61%

Tráfico de Red

4.11 MB 2.60 MB 36.73%

Total 2.38 MB 1.15 MB 51.68% Total 8.01 MB 3.88 MB 51.56%

Bitácora 9

Tamaño Original

Tamaño Final


10 Tamaño Original

Tamaño Final

Reducción

Estado de Red

9.16 MB 151 KB 98.39% Estado

de Red 3.80 MB

62.76 KB

98.38%

IDS 486 KB

227.53 KB

53.18% IDS 201.23

KB 94.15

KB 53.21%

Firewall 4.14 MB 4.12 MB 0.48% Firewall 1.71 MB 1.70 MB 0.58%

Tráfico de Red

14.50 MB

9.19 MB 36.62% Tráfico

de Red 6 MB 3.8 MB 36.66%%

Total 28.29 MB

13.71 MB 51.53% Total 11.70

MB 5.70 MB 51.28%

Bitácora 11

Tamaño Original

Tamaño Final


12 Tamaño Original

Tamaño Final

Reducción

Estado de Red

4.11 MB 68 KB 98.39% Estado

de Red 59.9 MB

941.53 KB

98.38%

IDS 218 KB 102 KB 53.18% IDS 1.37 MB 650 KB 53.21%

Firewall 1.86 MB 1.86 MB 0.48%

Firewall 25.77 MB

25.75 MB

0.58%

Tráfico de Red

6.5 MB 4.12 MB 36.62% Tráfico

de Red 90 MB

57.04 MB

36.66%

Total 12.31 MB

6.14 MB 51.53% Total 175.60

MB 85.09 MB

51.28%

Tabla 4.4: Resumen de reducciones de bitácoras


81

Bitácora 13

Tamaño Original

Tamaño Final


14 Tamaño Original

Tamaño Final

Reducción

Estado de Red

329.52 MB

5.32 MB 98.38% Estado

de Red 385 MB 5.0 MB 98.70%

IDS 17.06 MB

7.98 MB 53.22% IDS 16.04

MB 7.5 MB 53.24%

Firewall 149 MB 148.5 MB 0.33%

Firewall 140.21 MB

140.12 MB

0.06%

Tráfico de Red

521.15 MB

330.32 MB

36.61% Tráfico

de Red 490 MB 310 MB 36.73%

Total 0.99 GB

492.76 MB

51.39% Total 956.09

MB 463.31

MB 51.54%

Bitácora 15

Tamaño Original

Tamaño Final

Reducción

Estado de Red

932.37 MB

15.06 MB

98.38%

IDS 48.29 MB

22.59 MB

53.22%

Firewall 421.95 MB

421 MB 0.22%

Tráfico de Red

1.44 GB 934.6 MB

36.59%

Total 2.80 GB 1.36 MB 51.42% Tabla 4.4: Resumen de reducciones de bitácoras

Las reducciones promedios obtenidas son: Bitácora de Estado de Red:

98%, IDS 53% y Tráfico de Red 36.75%, con esta información se obtiene una

reducción promedio del 51.50%, observando que la bitácora de Estado de Red

es en la que se tiene una mayor reducción de información, ya que sólo

almacenan en el de trabajo los cambios de estado de cada socket con la

estampa de tiempo, en la bitácora de Firewall no se tiene una reducción

relevante ya que no se tiene información que se reduzca. El siguiente punto

de evaluación del sistema fue la reconstrucción de flujos, esta se presenta en

el siguiente subtema.


82

4.2.2 Reconstrucción de Flujos

Para la evaluación de este punto se compararon los flujos completos

encontrados y el número de tramas encontrados en ellos. Es importante

indicar que en las sesiones TCP/IP se definieron los flujos completos en

aquellos en los que se tenía el inicio de sesión presente (Apretón de tres vías-

The 3 way hand shake), aquellos flujos que no cumplen esta condición para

este protocolo se definían como flujos incompletos y se unen al resto.

El proceso de comparación se realizó con la herramienta Wireshark, la

cual puede obtener los flujos de manera manual al seguir el proceso de

intercambio de información, el primer proceso de comparación se realizó con

capturas cortas, en ellas se buscaba que los flujos involucrados en una

sesión, y se comparaban el número de paquetes que conformaban esas

sesiones; un ejemplo de estas comparaciones se presenta en la figura 4.3.

a)

b)

Figura 4.3: a) Búsqueda de Flujo con Wireshark b) Búsqueda de Flujo con Sistema Propuesto

El segundo proceso de evaluación fue la obtención de los flujos que se

encontraban en las capturas de análisis, en ella se identificaron la cantidad de

flujos completos que había por cada protocolo de red analizado, el número

total de paquetes que conformaban estos flujos y el número de paquetes que


83

se reconocían como flujos incompletos, logrando así el porcentaje de

reconstrucción por flujos, esto se presenta en la tabla 4.5.

Captura Protocolo Flujos

Reconstruidos Paquetes totales

en los flujos

1 ARP 3 6

1 ICMP/IPv4 0 0

1 UDP/IPv4 15 48

1 TCP/IPv4 3 62

2 ARP 1 2

2 ICMP/IPv4 0 0

2 UDP/IPv4 4 8

2 TCP/IPv4 2 48

3 ARP 4 8

3 ICMP/IPv4 4 8

3 UDP/IPv4 53 159

3 TCP/IPv4 2 28

4 ARP 1 2

4 ICMP/IPv4 4 6

4 UDP/IPv4 4 20

4 TCP/IPv4 12 706

5 ARP 5 10

5 ICMP/IPv4 0 0

5 UDP/IPv4 1 3

5 TCP/IPv4 10 94

6 ARP 3 7

6 ICMP/IPv4 0 0

6 UDP/IPv4 14 74

6 TCP/IPv4 0 0

7 ARP 1 412

7 ICMP/IPv4 0 0

7 UDP/IPv4 4 8

7 TCP/IPv4 3 30

8 ARP 3 7

8 ICMP/IPv4 1 315

8 UDP/IPv4 21 105

8 TCP/IPv4 3 32

9 ARP 1 2

9 ICMP/IPv4 0 0

9 UDP/IPv4 10 20

9 TCP/IPv4 17 738

Tabla 4.5: Resumen de reconstrucción de flujos


84

Captura Protocolo Flujos

Reconstruidos Paquetes totales

en los flujos

10 ARP 6 1035

10 ICMP/IPv4 0 0

10 UDP/IPv4 138 1784

10 TCP/IPv4 102 3260

11 ARP 7 375

11 ICMP/IPv4 0 0

11 UDP/IPv4 21 630

11 TCP/IPv4 32 2524

12 ARP 4 215

12 ICMP/IPv4 0 0

12 UDP/IPv4 54 1105

12 TCP/IPv4 70 12130

13 ARP 3 48

13 ICMP/IPv4 1 6235

13 UDP/IPv4 47 92

13 TCP/IPv4 134 490000

14 ARP 3 90

14 ICMP/IPv4 0 0

14 UDP/IPv4 34 208

14 TCP/IPv4 70 273958

15 ARP 2 76

15 ICMP/IPv4 1 6403

15 UDP/IPv4 15 1099

15 TCP/IPv4 245 591179 Tabla 4.5: Resumen de reconstrucción de flujos

Con el algoritmo propuesto se logró la reconstrucción promedio del

100% de los flujos completos, el siguiente punto de comparación fue de

acuerdo al número de flujos encontrados por el sistema y por la búsqueda

manual de la aplicación Wireshark, los datos de esta evaluación se presenta

en la figura 4.6.


85

Número de Captura

Flujos Número de Captura

Flujos

Sistema Wireshark Sistema Wireshark

1 21 18 9 28 27 2 7 6 10 246 240 3 63 59 11 60 53 4 21 732 12 128 124 5 16 20 13 185 182 6 17 11 14 107 104 7 8 7 15 263 261 8 28 25 Tabla 4.6: Comparación de Flujos entre el Sistema Propuesto vs Wireshark

Al observar los flujos encontrados por estos sistemas se tiene un

reconocimiento mayor de flujos, esto es porque se logran obtener los flujos de

las peticiones de los paquetes del tipo ARP, que son importantes analizar en

el caso del ataque que se utilizó para el entrenamiento de las redes

neuronales recurrentes utilizadas en la parte de reconocimiento de eventos de

seguridad. El siguiente punto de evaluación fue la correlación de bitácoras

para la reconstrucción de eventos de las redes de datos analizadas, este

análisis se presenta en el tema 4.2.3.

4.2.3 Eventos de la Red de Datos

Una vez que se contó con las bitácoras preprocesadas se inició con la

búsqueda de eventos de red, que corresponden a las diferentes conexiones

que ocurrieron en la red de datos para intercambio de información en

diferentes protocolos y retirando los eventos que ya fueron detectados por el

IDS, obteniendo así una base de eventos de red que pueden ser reconocidos

por la red de neuronal recurrente y determinar si son eventos normales o

corresponden a un envenenamiento ARP o un probable barrido de hosts.

Al hacer esta operación se tiene una reducción de eventos a ser

analizados, esta comparación se presenta en la tabla 4.7.


86

Captura Eventos Totales Eventos a ser Analizados

1 21 6

2 7 3

3 63 10

4 16 17

5 16 16

6 17 3

7 8 4

8 28 7

9 28 18

10 248 64

11 60 39

12 128 74

13 185 138

14 107 73

15 263 248 Tabla 4.7: Eventos totales y eventos que se pueden analizar

Con esta operación se genera un resumen de eventos y las tablas con

la información de este evento, generando así dos archivos que contienen la

información de todos los eventos que pueden ser analizados por la Red

Neuronal Recurrente y determinar si en alguno de esos eventos se presenta

un evento de seguridad. En la tabla 4.8 se presenta un resumen del tamaño

original de las bitácoras y el tamaño después de hacer todo el proceso de

análisis hasta la selección de eventos que pueden ser analizados por la red de

datos con el porcentaje de reducción total que se puede realizar con el

sistema propuesto.


87

Captura Tamaño Original Tamaño final Reducción final

1 2.26 MB 8.5 KB 99.63 %

2 9.75 MB 36 KB 99.63 %

3 3.19 MB 12.5 KB 99.61 %

4 7.41 MB 27.32 KB 99.63 %

5 8.23 MB 32.5 KB 99.61 %

6 13.65 MB 50.16 KB 99.64 %

7 2.38 MB 8.9 KB 99.63 %

8 8.01 MB 29.43 KB 99.64 %

9 28.29 MB 100.02 KB 99.65 %

10 11.7 MB 43 KB 99.64 %

11 12.3 MB 45.2 KB 99.64 %

12 175.6 MB 645.5 KB 99.64 %

13 0.99 GB 3.72 MB 99.99 %

14 956.09 MB 3.49 MB 99.99 %

15 2.8 GB 10.52 MB 99.99 % Tabla 4.8: Resumen de Evento

Con esta información se determina que el sistema logra reducir hasta

en un 99.99% el espacio necesario para realizar el análisis de eventos de

seguridad, en este punto es importante indicar que con esta información la red

puede determinar si existe un evento de seguridad o no y que equipos

estuvieron involucrados en ese evento. El siguiente punto de evaluación fue el

entrenamiento de la red neuronal para la identificación de eventos de

seguridad con las diferentes capturas de tráfico.

4.2.4 Aprendizaje de la Red Neuronal Recurrente

Para la fase de entrenamiento de las Redes Neuronales Recurrentes se

realizaron diferentes implementaciones de entrenamiento utilizando como

patrones las capturas de ataques presentadas en la tabla 4.3, además de

capturas de tráfico ARP normales e identificación de host activos para que las

redes pudieran determinar el tipo de comportamiento de cada captura de

tráfico. Durante este proceso se tomó un número diferente de capturas,

además de diferentes tamaños de ventanas para el entrenamiento con las


88

mismas capturas, los escenarios propuestos y tiempos de respuesta se

presentan en la tabla 4.3. La primera prueba se realizó con una ventana de 24

tramas por captura, utilizando 15 capturas de ataques y 15 capturas flujos

normales para el entrenamiento y 5 capturas de ataques y 5 capturas flujos

normales pruebas para la fase de verificación de la respuesta en tramas

desconocidas en la red para obtener las salidas correspondiente. En total se

entrenaron 4 Redes Neuronales Recurrentes, las primeras tres se utilizaron

para que lograra identificar el ataque de hombre en el medio con una

herramienta, mientras que la cuarta red se utilizó para identificar un evento

normal o un barrido de flujos, los resultados de este entrenamiento se

presentan en la tabla 4.9, las características de las capturas utilizadas en esta

fase del protocolo ARP se presentan en la tabla 4.10.

Información en la Captura

Flujos a ser analizados

Ataques Reconocidos Falsos Positivos

Falsos Negativos

Hombre en el Medio con Ettercap

20 20 20 0 0

Hombre en el Medio con Caín & Abel

20 20 20 0 0

Hombre en el Medio con Némesis

20 20 20 0 0

Barridos de Host 15 15 15 0 0

Flujos Normales 40 0 22 18 0 Número de iteraciones para la convergencia: 782

Tabla 4.9: Entrenamiento de las Redes Neuronales con ventana de 24 tramas


89

Captura Tramas Tiempo (seg)

Captura Tramas Tiempo (seg)

Ataque Ettercap 1 24 0.0000 Barrido de Puertos 1 24 0.097400















Ataque Caín y Abel 1 24 29.9960 Tráfico Normal 1 24 102















Ataque Némesis 1 24 1.15














Ataque Némesis 15 24 0.0 Tabla 4.10: Detalle de las capturas de Entrenamiento


90

En estas pruebas las redes lograron detectar de manera individual cada

uno de los ataques en las tramas, obteniendo un reconocimiento del 100%,

teniendo un reconocimiento del 55% en los eventos normales y reconociendo

como eventos de seguridad al 45% de estos de manera incorrecta; esto se

debe principalmente a que en las capturas de tráfico normal el tiempo de

actualización de las tablas ARP es mayor al del envenenamiento, por lo cual

las ventanas de estos eventos en varias de las capturas muestra era menor al

necesario teniendo datos no válidos que se reconocen como un evento de

seguridad. Para tratar de corregir esto se realizaron otras pruebas reduciendo

el tamaño de la ventana de análisis en 12 y 6 tramas respectivamente,

teniendo un mejor resultado con la ventana 24, esto fue ya que el tamaño

lograba tener un tamaño mayor de información para poder obtener

información del evento de seguridad. Los resultados de estas pruebas se

presentan en la tabla 4.11 para la ventana de 12 tramas y 4.12 para la

ventana de 6 tramas. El número de iteraciones necesarias para llegar al

umbral del error cuadrático medio propuesto para llegar a la convergencia del

entrenamiento se presentan al final de cada tabla.




Falsos Negativos


20 20 20 0 0


20 20 20 0 0


20 20 20 0 0

Barridos de Host 15 15 15 0 0

Flujos Normales 40 0 13 27 0 Número de iteraciones para la convergencia: 1025

Tabla 4.11: Entrenamiento de las Redes Neuronales con ventana de 24 tramas


91




Falsos Negativos


20 20 20 0 0


20 20 20 0 0


20 20 20 0 0

Barridos de Host 15 15 15 0 0 Flujos Normales 40 0 14 26 0

Número de iteraciones para la convergencia: 1000 Tabla 4.12: Entrenamiento de las Redes Neuronales con ventana de 24 tramas

Con estos resultados, el arreglo utilizado para el análisis de eventos de

seguridad fue el que utiliza la ventana de 24 tramas y se implementó en el

sistema.

4.2.5 Respuesta de la Red Neuronal Recurrente

La parte final de la evaluación del sistema propuesto para la detección

de eventos de seguridad fue la respuesta que tiene el sistema utilizando las

bases de eventos generadas con las con las bitácoras presentadas en la tabla

4.2, con ellas se obtuvieron los resultados del reconocimiento para las

capturas con un mayor número de paquetes ARP, es decir, con las bitácoras

10, 11, 12, 13, 14 y 15. De ellas se analizaron cada uno de los flujos y se

presentan los resultados en la tabla 4.13. De estos 6 eventos analizados en

las bitácoras 10, 11 y 12 se encuentran presentes envenenamientos de tablas

ARP para efectuar el ataque de hombre en el medio y barrido de host en la

red para encontrar posibles víctimas y actualizaciones de tablas ARP

normales, es decir, refrescamientos de ellas; mientras que en las bitácoras 13,

14 y 15 solo se encuentran actualizaciones de tablas arp.


92

Número de Bitácora

Número de Eventos

Eventos Normales

Eventos de Seguridad

Falsos Positivos

Falsos Negativos

10 6 1 5 0 0 11 7 1 6 0 0 12 4 0 4 0 0 13 3 3 0 0 0 14 3 3 0 0 0 15 2 2 0 0 0

Tabla 4.13: Detección de Eventos con el sistema

El resultado del sistema es que logra identificar sin problemas los

eventos de seguridad y los eventos normales para el ataque planteado, la

salida del sistema no presenta algún falso positivo (evento normal que se

detecta como un evento de seguridad) o falso negativo (evento de seguridad

que se presenta como un evento normal), esto es gracias a que por el tiempo

de capturas de información de la red se tienen las ventanas completas para

los análisis y sin datos inválidos. En la figura 4.4 se presenta la salida del

sistema al analizar los eventos antes mencionados.


93

Figura 4.4: Salida del Sistema

4.3 Análisis de Resultados

En este punto se presenta el resumen de los resultados obtenidos durante el

desarrollo del proyecto de investigación.

Con el algoritmo propuesto se lograron hacer las reconstrucciones de flujos, y

al hacer la correlación de eventos se obtuvieron eventos que en un principio se

puede pensar que en ellos no se tuvo un incidente de seguridad, logrando la

reconstrucción de flujos completos para un análisis mediante redes neuronales para

identificar los eventos sospechosos, esto genera un ahorro en el tiempo de análisis


94

de información para un experto, ya que hace entrega del evento que se detectó. El

preprocesamiento de la información que generan las bitácoras también es

importante, ya que reduce el espacio de disco necesario para almacenar la

información sin hacer cambios a la información, únicamente omite la información no

valida en los archivos. El mapeado de información permite trabajar con imágenes

reducidas de información para que el manejo de información en el análisis sea

menor, utilizando únicamente los datos necesarios para el mapeo.


Durante el proceso de evaluación del sistema propuesto se realizaron y

analizaron varias capturas de tráfico de red con la finalidad de obtener los resultados

acorde con el objetivo del trabajo para el área de Seguridad Informática.

En el siguiente capítulo se mostrarán las conclusiones que se obtuvieron al

realizar este proyecto, así como los trabajos a futuro que plantea este proyecto.

95

CAPÍTULO V. CONCLUSIONES

Debido al manejo de información sensible en diferentes sistemas informáticos,

la seguridad informática ha incrementado su necesidad en las tecnologías

informáticas, convirtiéndose en un aspecto relevante en esta era tecnológica. En este

capítulo se encuentran presentes los comentarios finales y conclusiones que se

obtuvieron de este proyecto de investigación

En este proyecto se presentó un Sistema de Detección y Reconstrucción de

Eventos de Seguridad en Redes de Datos, con la hipótesis de que a través de la

generación de bitácoras se pueden obtener los eventos que no se consideran como

incidentes y a través de una Red Neuronal se obtienen los eventos de seguridad. Al

término del proyecto se cumplió el objetivo principal, al diseñar los algoritmos de

reconstrucción de flujos para 4 protocolos (3 de ellos deben de estar encapsulados

en el protocolo IPv4), y lograr la detección de incidentes de seguridad en eventos en

los que el IDS no reconoció ningún ataque.

Las principales contribuciones de este trabajo se encuentran en:

La generación de bitácoras y preprocesamiento, que permiten tener la

información con la que se hace el análisis forense del tráfico de una red

de datos y hace una reducción del espacio necesario de

almacenamiento, reduciéndolo en porcentajes superiores al 50%.

La reconstrucción de flujos y correlación de bitácoras para obtener los

eventos que no han sido analizados que pueden contener un evento de


96

seguridad, como se demuestra con los resultados obtenidos en el

capítulo 4.

Entrenamiento de un arreglo de Redes Neuronales, con los que se

identifica en un evento de seguridad que herramienta se utilizó para

realizar el ataque que genero el incidente.

La implementación de un sistema que realiza estas tareas de manera

automática de cada uno de los módulos de este para iniciar con el

análisis de eventos y la implementación de las Redes Neuronales

Recurrentes para el reconocimiento de los eventos de seguridad.

La metodología utilizada en la investigación logró resolver los problemas y dar

solución a las necesidades encontradas en las diversas etapas del proyecto, como

fue el caso del análisis de los protocolos para la reconstrucción de flujos, el

determinar que bitácoras eran necesarias la correlación y obtención de eventos que

no se consideraban de seguridad y la codificación de la información para poder

realizar el entrenamiento de las Redes Neuronales y reducir el espacio necesario de

almacenamiento, teniendo como conclusión que fue buena y ordenada.

En el desarrollo de este proyecto se realizaron una serie de pruebas para

cumplir con el reconocimiento de los incidentes, en primer lugar, para poder obtener

la posible evidencia que puede tener un ataque, al realizar el grabado de tráfico y las

bitácoras de elementos de la red, con el objetivo de hacer una correlación de eventos

y no hacer un segundo análisis sobre un incidente ya detectado y las pruebas para la

identificación de evidencias, desde el entrenamiento, utilizando capturas con flujos

correspondientes a un ataque o a un flujo normal de tráfico de red, con diferentes

tipos de redes, consiguiendo la eficiencia en el reconocimiento. Un punto importante

es que mientras la ventana que se seleccione para el análisis de flujos ARP se

encuentre con la información suficiente permite obtener un alto porcentaje de

aciertos en el reconocimiento del incidente, al no tener información invalida que

confunda al arreglo de Redes Neuronales Recurrentes.


97

Los resultados obtenidos se compararon con los trabajos propuestos por

Kornexl, S., Paxson, V., Dreger, H., Feldmann, A., Sommer, R [32] y Seung-Hoon,

K., Juho, K [33]. El sistema de almacenamiento propuesto por Kornexl, S., Paxson,

V., Dreger, H., Feldmann, A., Sommer, R [32] presentan un almacenamiento total del

15% del tráfico en una red para hacer el análisis del tráfico, mientras que en el

sistema propuesto se almacenan los eventos que no se detectaron en un principio

como eventos de seguridad, teniendo el 40% de la información en promedio para el

análisis. El sistema propuesto por Seung-Hoon, K., Juho, K [33] presenta el

reconocimiento de ataques, que tiene una eficiencia del 93% de eficiencia para 3

tipos de ataques, mientras que el sistema propuesto tiene una detección del 100% de

los eventos normales o de seguridad, siempre que se tenga la ventana propuesta

completa con diferentes redes utilizando un arreglo de redes neuronales para la

detección.

Es importante tomar algunos aspectos pendientes a ser mejorados de este

sistema, considerados como trabajos a futuro, como el entrenar un arreglo de redes

para la identificación de otros ataques, incluir información de otros protocolos de

información como pueden ser TCP/IP para la identificación de herramientas

utilizadas en de Robos de Sesiones, el reconocimiento de ataques realizados sobre

protocolos ICMP/IP, el desarrollo de reconstrucciones de flujos para tecnologías

superiores como son protocolos encapsulados sobre IPv6 y el desarrollo de un

Sistema Neurodifuso para la identificación de los eventos de seguridad.

99

REFERENCIAS BIBLIOGRÁFICAS

[1] CERT (Computer Emergency Response Team). “Alertas Técnicas de Seguridad” [http://www.us-cert.gov/cas/techalerts/index.html] y “Actividades Actuales” [http://www.us-cert.gov/current/].

[2] Wong, A., Yeung, A. “Network Infrastructure Security”. Springer. Impreso en 2009.

[3] Wylder, J. “Strategic Information Security”. Auerbach. Impreso en 2004.

[4] “E‐Crime Watch Survey shows security incidents, electronic crimes and their impact steady versus last year”. Revista CSO, 2007.

[5] Digital Forensic Research Workshop. “A Road Map for Digital Forensic Research”, Impreso en 2001.

[6] Caelli, W., Longley, D., and Shain, M., “Information Security Handbook, Stockton Press”, New York, Impreso en 1991.

[7] Trček, D. “Using System Dynamics for Managing Risks in Information Systems Denis”, WSEAS Transactions on Information Science & Applications 2008 5(2):175-180.

[8] Tahar, R., Benferhat, S. "Towards Handling Dynamic Security Policies", WSEAS Transactions on Computers, 2006 1(2):162-167.

[9] Aguilar J., Abraham, B, Moreno G. "A security incidents management for a CERT based on Swarm Intelligence". WSEAS TRANSACTIONS on COMPUTERS. 8(8) 1398-1407, Agosto de 2009

[10] Lehtinen, R. “Computer Security Basics”, 2da Edición. O'Reilly. Impreso en Junio 2006.

[11] Pfaffenberger, B. “Webster's New World Dictionary of Computing Terms”, 6ta Edición. New York: Simon and Schuster. 1997.

[12] International Standards Organization, “Information Processing Systems - Open Systems Interconnection - Basic Reference Model, Security Architecture, part 2”, ISO Standard 7498-2, Geneva, 1989.

[13] Allen, J. “The CERT Guide to System and Network Security Practices”. Addison-Wesley. Impreso en 2001.

[14] Jerez Lugo, C. A. “Seguridad para lograr Confiabilidad y Calidad de los Servicios Digitales en Internet”. Tesis Licenciatura. Universidad de las Américas, Puebla. Mayo 2004.

[15] ISO-27001:2005.

SISTEMA DE DETECCIÓN Y GENERACIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS

100

[16] Roback, E. “Glosary of Computer Security Terminology”, NISTIR 4659, Septiembre 1991.

[17] Angrisani, L., D’Antonio, S., Esposito, M., Vadursi M. “Techniques for available bandwidth measurement in IP networks: A performance comparison”. Universität Trier. Computer Networks. Febrero 2006. 50(3): 322-349

[18] Nolan, R., O’Sullivan, C., Branson, J., Waits, C. “First responder guide to computer forensics” CERT Training and Education. Marzo 2005.

[19] Kruse, W., Heiser, J. “Computer Forensics: Incident Response Essentials”. Addison-Wesley Professional. Impreso en 2001.

[20] Garfinkel, S., Spafford, E. “Web Security, Privacy and Commerce”. 2da Edición. O'Reilly. Impreso en 2002.

[21] Radatz, J. “The IEEE Standard Dictionary of Electrical and Electronics Terms”, Sexta Edición. Impreso en 1996 por IEEE.

[22] Howard, J., Longstaff, T. “A Common Language for Computer Security Incidents”. Sandia National Laboratories. Impreso en Octubre de 1999.

[23] Lucas, J., Moller, B. “The Effective Incident Response Team”. Addison-Wesley Professional. Impreso en Septiembre de 2003.

[24] Berenguela C., Cortes J. “Metodología de Medición de Vulnerabilidades en Redes de Datos de Organizaciones”. Instituto Profesional INACAP La serena. Diciembre 2006.

[25] Nikkel, B. “Generalizing Sources of Live Network Evidence”. September 2, 2005

[26] U.S. Department of Justice, Federal Bureau of Investigation. “Digital Evidence: Standars and Principles Scientific, Working Group on Digital Evidence (SWGDE), International Organization on Digital Evidence (IOCE)”. Octubre de 1999.

[27] Mena, J. “Investigative Data Mining for Security and Criminal Detection”. Butterworth Heinemann. Impreso en 2003.

[28] Alberts C., Dorofee A. "Managing Information Security Risks". Addison Wesley. Impreso en 2002.

[29] Killcrece, G., Kosakowsky, K., Ruefle, R., Zajicek, M. "Organizational models for computer security incidents response teams (CSIRT's)". Technical Report No. IA-230, Carnegie Mellon Software Engineering Institute. Impreso 2003.

[30] Barradas-Acosta, A., Aguirre-Anaya, E., Nakano-Miyatake, M., Perez-Meana, H., “Neural Network Based Attack Detection Algorithm”. WSEAS Transactions on Computers 2009, 8(6): 905-915.

[31] Oropeza-Clavel, C. Tesis “Modelado y Simulación de un Sistema de Detección de Intrusos Utilizando Redes Neuronales Recurrentes”. Universidad de las Américas Puebla, 2007.

[32] Kornexl, S., Paxson, V., Dreger, H., Feldmann, A., Sommer, R. “Building a Time Machine for Efficient Recording and Retrieval of High-Volume Network Traffic”. 5th ACM SIGCOMM conference on Internet Measurement 2005. 267-272.

SISTEMA DE DETECCIÓN Y GENERACIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS

101

[33] Jung-Sun, K. Doug-Geun, K. Bong-Nam, N. “A Fuzzy Logic Based Expert System as a Network Forensics”. IEEE International Conference 2004(2). 25-29. Julio 2004.

[34] Mejía-Sánchez, J. Tesis “Diseño de un sistema de detección de Intrusos en Redes de Comunicaciones Utilizando Redes Neuronales”. Universidad de las Américas Puebla, 2004.

[35] Peisert, S., Bishop, M., Karin, S., Marzullo, K. “Principles-Driven Forensic Analysis”. NSPW 2005 Lake Arrowhead CA USA. © 2006 ACM

[36] Nikkel, B. “Generalizing sources of live network evidence”. September 2, 2005.

[37] Bruschi, D., Monga, M., Rosti, E. “Trusted Internet Forensics: design of a network forensics appliance”. 2003.

[38] Rong-Chang, C., Chin-Yi, L. “Back Propagation Networks for Predicting Credit Card Freaud with Stratifed Personalized Data”. WSEAS Transactions on Computers. 3(8). Marzo de 2007.

[39] Barradas-Acosta, A. Tesis “Detección y Prevención de Intrusiones usando Redes Neuronales Reccurentes”. Sección de Estudios de Posgrado e Investigación, ESIME Culhuacan, IPN. Diciembre de 2009.

103

ANEXO A

Artículo de revista publicado en “Telecommunications and Radio Engienering”

en 2010, volumen 6, tomo 7.


104


105


106


107


108


109


110


111


112


113

115

ANEXO B

Artículo para participar en el congreso M2IS: Mexican Meeting on Informatic

Security en 2010.


116


117


118


119

INSTITUTO POLITÉCNICO ACIONAL

Documents

Transcript of INSTITUTO POLITÉCNICO ACIONAL