Trabajo fin de grado

Clasificacion y deteccion de trafico de red atıpicoaplicando tecnicas de Inteligencia Artificial

Trabajo Fin de Grado

Jose M. Pineiro Garcıa

Jose Carlos Dafonte VazquezFrancisco Javier Novoa de Manuel

Universidad de A CorunaFacultad de Informatica

Tecnologıas de la Informacion y las Comunicacionesdesarrollar [email protected]

18 de febrero de 2016

J. Pineiro, C. Dafonte, F. Novoa Clasificacion y deteccion de trafico de red atıpico

Indice

1 IntroduccionIntroduccionMotivacion

2 ContextualizacionSistemas de Deteccion deIntrusosMapas auto-organizadosConjuntos de datosObjetivos principales

3 Diseno e implementacionDiseno arquitectonicoComponentes

4 Demo5 Tecnologıas y metodologıa

Herramientas y tecnologıasutilizadasMetodologıa utilizada

6 Conclusiones7 Trabajos futuros


Introduccion

El “Big Data” o tecnologıa de procesado de millones de datos en tiemporeal, junto con el “Internet de las Cosas” (Internet of Things, IoT), esefenomeno creciente de conexion de todo con todo, plantea nuevos retospara la seguridad informatica.

A diario se descubren nuevas vulnerabilidades que ponen en peligro laconfidencialidad, la integridad y la disponibilidad de los sistemas de lainformacion y de los datos que almacenan.


Motivacion

Los desafıos mas importantes a los que se enfrenta la Seguridad de laInformacion son:

La creciente cantidad de informacion a monitorizar por los sistemasde seguridad

Los ataques de dıa cero (zero day)

La exfiltracion de informacion mediante ataques de persistencia(APT )

En el caso concreto de la Facultad de Informatica, el ingente volumen detrafico que circula por las redes del CeCaFI ha motivado el desarrollo deun sistema de clasificacion de trafico que permita detectar conexionespotencialmente peligrosas.Para abordar este desafıo de forma eficiente se ha decidido implementar unIDS basado en mapas auto-organizados.


Sistemas de deteccion de intrusos

Definicion: Un IDS es un sistema software y/o hardware encargadode analizar la actividad y/o el trafico de red de un host o de una redde computadores.

Objetivo: Detectar anomalıas o usos indebidos y en ciertos casostomar medidas para mitigar y detener estas amenazas.

Segun el tipo de respuesta

→ Activos→ Pasivos

Segun la fuente de informacion

→ de Red→ de Host

Segun el tipo de analisis

→ Anomalıas→ Patrones


Mapas auto-organizados

Una RNA es un sistema basado en el aprendizaje y el procesamientoautomatico, cuyo objetivo es tomar decisiones de forma autonoma.

Esta formada por una estructura multicapa de neuronas artificialesinterconectadas.

El aprendizaje es el proceso de modificacion de los pesos asociados ala neuronas (centroides) como respuesta a una entrada.

→ Supervisado→ No supervisado

Los mapas auto-organizados, redes de Kohonen o SOM, son una redneuronal de aprendizaje no supervisado y competitivo.

El objetivo es procesar un conjunto de datos n-dimensional conrelaciones complejas, produciendo una salida bidimensionalinterpretable, conservando las propiedades topologicas del conjunto deentrada.


Conjuntos de datos

Escenario de aplicacion:

Conjunto de entrenamiento real: Registro semanal de conexiones delfirewall del CeCaFI con mas de 10 millones de entradas.

Conjunto de entrenamiento sintetico: Conjunto de flujos de trafico dered sintetico y etiquetado, desarrollado por el ISCX (InformationSecurity Centre of Excellence) de la Universidad de New Brunswickcon un total de 2 millones de flujos.


Conjuntos de datos originales

Conjunto CeCaFI: conexion

Conjunto ISCX: flujo


Conjuntos de datos originales

Conjunto CeCaFI: conexion

Conjunto ISCX: flujo

8 J. Pineiro, C. Dafonte, F. Novoa Clasificacion y deteccion de trafico de red atıpico

Factores de repeticion

Factores numericos que determinan la repeticion de una conexion enun determinado tiempo

Permitira detectar ataques de denegacion de servicio (DoS) y defuerza bruta.

Cuanto menos tiempo transcurra entre las repeticiones mayor sera elvalor

A medida que se repite una misma conexion, este factor vaaumentando de valor


Codificacion de los datos originales

La SOM no puede trabajar con los datos de los conjuntos originalesdirectamente.

Normalizacion de los datos numericos

Categorizacion de los datos no numericos


Categorizacion de las IPs de origen y destino

CeCaFI:

Nombre red Nombre red Nombre red Nombre red

FICFWSYNC FICREFERENCIA FIC0XESTION FIC0CERNE

FIC0LAB0W FIC0LAB12 FIC0LAB2 FIC0LAB34

FIC1LAB12 FIC12LAB32 FICDEV FIC0CECAFI

FICCISCO FICDEVEXT FICDEVINT FICINTERNA

UDCWIFI UDCINTERNA PUBLICA OTHER

ISCX:

Nombre red Direccion

PRIVADA 192.168.0.1-4

ADMINISTRACION 192.168.0.5

DMZ 192.168.0.6

PUBLICA x.x.x.x


Categorizacion del Protocolo

Categorizacion en base al nombre del protocolo.

Protocolo Valor componente

TCP TCP

UDP UDP

ICMP ICMP

IGMP IGMP

resto OTHER


Categorizacion de los puertos de origen y destino

Categorizacion en base los rangos definidos por la IANA.

Rango puerto Valor componente

0-1023 SYSTEM

1024-49151 USER

49152-65535 PRIVATE


Adaptacion de la SOM

La SOM determina cual es la neurona ganadora para cada patron delconjunto mediante el calculo de la distancia Euclıdea entre elcentroide y el patron que se procesa.

Debido a que las componentes categoricas son variables nominales, espreciso adaptar la SOM para calcular la distancia de estascomponentes de otro modo.

Esta adaptacion consiste en cambiar el concepto de distancia por elde disimilitud.


Objetivos principales

El objetivo principal es desarrollar un sistema de clasificacion de traficoque permita detectar conexiones potencialmente peligrosas, basado enSOM. Para ello es necesario:

Diseno e implementacion de un sistema para el analisis sintactico delos conjuntos originales para generar los conjuntos de entrenamiento

Diseno e implementacion de un sistema para la ejecucion dediferentes entrenamientos para realizar el aprendizaje de los mapasauto-organizados

Diseno e implementacion de un sistema que permita la visualizacion yanalisis de los diferentes mapas entrenados


Arquitectura del software

Arquitectura modular basada en componentes:

SOMIDS-Model

SOMIDS-Rest

SOMIDS-Web


Modulo SOMIDS-Model


Modulo SOMIDS-Rest


Modulo SOMIDS-Web


Demostracion

DEMOSTRACION


http://localhost:8080/SOMADS-Web/

Herramientas y tecnologıas utilizadas


Metodologıa Scrum


Conclusiones

1 La adaptacion de la SOM para que procese datos categoricos ha sidomuy exitosa y los tiempos de entrenamiento se han visto reducidos enun 90 % con respecto a implementaciones numericas.

2 El sistema de visualizacion implementado aporta toda la informacionnecesaria para analizar de forma rigurosa, el trafico clasificado.

3 La implementacion del IDS realizada y la informacion obtenida con el,han revelado que la aplicacion de tecnicas de Inteligencia Artificial, yen concreto el uso de mapas auto-organizados, es una solucion muyeficiente y que otorga muy buenos resultados para la clasificacion ydeteccion de trafico atıpico.


Trabajos futuros

Validacion con conjuntos adicionales.

Integracion con un sistema de Geolocalizacion.


Clasificacion y deteccion de trafico de red atıpicoaplicando tecnicas de Inteligencia Artificial

Trabajo Fin de Grado

Jose M. Pineiro Garcıa

Jose Carlos Dafonte VazquezFrancisco Javier Novoa de Manuel

Universidad de A CorunaFacultad de Informatica

Tecnologıas de la Informacion y las Comunicacionesdesarrollar [email protected]

18 de febrero de 2016


Trabajo fin de grado

Technology

Transcript of Trabajo fin de grado