SlideShare una empresa de Scribd logo

Trabajo fin de grado

J
Jose Manuel Piñeiro Garcia

Clasificación y detección de tráfico de red atípico aplicando técnicas de Inteligencia Artificial

Tecnología
1 de 26
Descargar para leer sin conexión
Clasificaci´on y detecci´on de tr´afico de red at´ıpico aplicando t´ecnicas de Inteligencia Artificial Trabajo Fin de Grado Jose M. Pi˜neiro Garc´ıa Jos´e Carlos Dafonte V´azquez Francisco Javier N´ovoa de Manuel Universidad de A Coru˜na Facultad de Inform´atica Tecnolog´ıas de la Informaci´on y las Comunicaciones desarrollar jose.pineiro@udc.es 18 de febrero de 2016 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
´Indice 1 Introducci´on Introducci´on Motivaci´on 2 Contextualizaci´on Sistemas de Detecci´on de Intrusos Mapas auto-organizados Conjuntos de datos Objetivos principales 3 Dise˜no e implementaci´on Dise˜no arquitect´onico Componentes 4 Demo 5 Tecnolog´ıas y metodolog´ıa Herramientas y tecnolog´ıas utilizadas Metodolog´ıa utilizada 6 Conclusiones 7 Trabajos futuros J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Introducci´on El “Big Data” o tecnolog´ıa de procesado de millones de datos en tiempo real, junto con el “Internet de las Cosas” (Internet of Things, IoT), ese fen´omeno creciente de conexi´on de todo con todo, plantea nuevos retos para la seguridad inform´atica. A diario se descubren nuevas vulnerabilidades que ponen en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas de la informaci´on y de los datos que almacenan. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Motivaci´on Los desaf´ıos m´as importantes a los que se enfrenta la Seguridad de la Informaci´on son: La creciente cantidad de informaci´on a monitorizar por los sistemas de seguridad Los ataques de d´ıa cero (zero day) La exfiltraci´on de informaci´on mediante ataques de persistencia (APT) En el caso concreto de la Facultad de Inform´atica, el ingente volumen de tr´afico que circula por las redes del CeCaFI ha motivado el desarrollo de un sistema de clasificaci´on de tr´afico que permita detectar conexiones potencialmente peligrosas. Para abordar este desaf´ıo de forma eficiente se ha decidido implementar un IDS basado en mapas auto-organizados. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Sistemas de detecci´on de intrusos Definici´on: Un IDS es un sistema software y/o hardware encargado de analizar la actividad y/o el tr´afico de red de un host o de una red de computadores. Objetivo: Detectar anomal´ıas o usos indebidos y en ciertos casos tomar medidas para mitigar y detener estas amenazas. Seg´un el tipo de respuesta → Activos → Pasivos Seg´un la fuente de informaci´on → de Red → de Host Seg´un el tipo de an´alisis → Anomal´ıas → Patrones J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Mapas auto-organizados Una RNA es un sistema basado en el aprendizaje y el procesamiento autom´atico, cuyo objetivo es tomar decisiones de forma aut´onoma. Est´a formada por una estructura multicapa de neuronas artificiales interconectadas. El aprendizaje es el proceso de modificaci´on de los pesos asociados a la neuronas (centroides) como respuesta a una entrada. → Supervisado → No supervisado Los mapas auto-organizados, redes de Kohonen o SOM, son una red neuronal de aprendizaje no supervisado y competitivo. El objetivo es procesar un conjunto de datos n-dimensional con relaciones complejas, produciendo una salida bidimensional interpretable, conservando las propiedades topol´ogicas del conjunto de entrada. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Conjuntos de datos Escenario de aplicaci´on: Conjunto de entrenamiento real: Registro semanal de conexiones del firewall del CeCaFI con m´as de 10 millones de entradas. Conjunto de entrenamiento sint´etico: Conjunto de flujos de tr´afico de red sint´etico y etiquetado, desarrollado por el ISCX (Information Security Centre of Excellence) de la Universidad de New Brunswick con un total de 2 millones de flujos. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Conjuntos de datos originales Conjunto CeCaFI: conexi´on Conjunto ISCX: flujo J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Conjuntos de datos originales Conjunto CeCaFI: conexi´on Conjunto ISCX: flujo 8 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Factores de repetici´on Factores num´ericos que determinan la repetici´on de una conexi´on en un determinado tiempo Permitir´a detectar ataques de denegaci´on de servicio (DoS) y de fuerza bruta. Cuanto menos tiempo transcurra entre las repeticiones mayor ser´a el valor A medida que se repite una misma conexi´on, este factor va aumentando de valor J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Codificaci´on de los datos originales La SOM no puede trabajar con los datos de los conjuntos originales directamente. Normalizaci´on de los datos num´ericos Categorizaci´on de los datos no num´ericos J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Categorizaci´on de las IPs de origen y destino CeCaFI: Nombre red Nombre red Nombre red Nombre red FICFWSYNC FICREFERENCIA FIC0XESTION FIC0CERNE FIC0LAB0W FIC0LAB12 FIC0LAB2 FIC0LAB34 FIC1LAB12 FIC12LAB32 FICDEV FIC0CECAFI FICCISCO FICDEVEXT FICDEVINT FICINTERNA UDCWIFI UDCINTERNA PUBLICA OTHER ISCX: Nombre red Direcci´on PRIVADA 192.168.0.1-4 ADMINISTRACION 192.168.0.5 DMZ 192.168.0.6 PUBLICA x.x.x.x J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Categorizaci´on del Protocolo Categorizaci´on en base al nombre del protocolo. Protocolo Valor componente TCP TCP UDP UDP ICMP ICMP IGMP IGMP resto OTHER J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Categorizaci´on de los puertos de origen y destino Categorizaci´on en base los rangos definidos por la IANA. Rango puerto Valor componente 0-1023 SYSTEM 1024-49151 USER 49152-65535 PRIVATE J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Adaptaci´on de la SOM La SOM determina cu´al es la neurona ganadora para cada patr´on del conjunto mediante el c´alculo de la distancia Eucl´ıdea entre el centroide y el patr´on que se procesa. Debido a que las componentes categ´oricas son variables nominales, es preciso adaptar la SOM para calcular la distancia de estas componentes de otro modo. Esta adaptaci´on consiste en cambiar el concepto de distancia por el de disimilitud. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Objetivos principales El objetivo principal es desarrollar un sistema de clasificaci´on de tr´afico que permita detectar conexiones potencialmente peligrosas, basado en SOM. Para ello es necesario: Dise˜no e implementaci´on de un sistema para el an´alisis sint´actico de los conjuntos originales para generar los conjuntos de entrenamiento Dise˜no e implementaci´on de un sistema para la ejecuci´on de diferentes entrenamientos para realizar el aprendizaje de los mapas auto-organizados Dise˜no e implementaci´on de un sistema que permita la visualizaci´on y an´alisis de los diferentes mapas entrenados J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Arquitectura del software Arquitectura modular basada en componentes: SOMIDS-Model SOMIDS-Rest SOMIDS-Web J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
M´odulo SOMIDS-Model J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
M´odulo SOMIDS-Rest J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
M´odulo SOMIDS-Web J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Demostraci´on DEMOSTRACI´ON J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Herramientas y tecnolog´ıas utilizadas J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Metodolog´ıa Scrum J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Conclusiones 1 La adaptaci´on de la SOM para que procese datos categ´oricos ha sido muy exitosa y los tiempos de entrenamiento se han visto reducidos en un 90 % con respecto a implementaciones num´ericas. 2 El sistema de visualizaci´on implementado aporta toda la informaci´on necesaria para analizar de forma rigurosa, el tr´afico clasificado. 3 La implementaci´on del IDS realizada y la informaci´on obtenida con ´el, han revelado que la aplicaci´on de t´ecnicas de Inteligencia Artificial, y en concreto el uso de mapas auto-organizados, es una soluci´on muy eficiente y que otorga muy buenos resultados para la clasificaci´on y detecci´on de tr´afico at´ıpico. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Trabajos futuros Validaci´on con conjuntos adicionales. Integraci´on con un sistema de Geolocalizaci´on. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
Clasificaci´on y detecci´on de tr´afico de red at´ıpico aplicando t´ecnicas de Inteligencia Artificial Trabajo Fin de Grado Jose M. Pi˜neiro Garc´ıa Jos´e Carlos Dafonte V´azquez Francisco Javier N´ovoa de Manuel Universidad de A Coru˜na Facultad de Inform´atica Tecnolog´ıas de la Informaci´on y las Comunicaciones desarrollar jose.pineiro@udc.es 18 de febrero de 2016 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico

Recomendados

Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
Fundación Universitaria Konrad Lorenz
 
Ccfiw computer forensic investigations windows
Ccfiw computer forensic investigations windowsCcfiw computer forensic investigations windows
Ccfiw computer forensic investigations windows
Rafael Seg
 
Diagnóstico de problemas de red para DBAs
Diagnóstico de problemas de red para DBAsDiagnóstico de problemas de red para DBAs
Diagnóstico de problemas de red para DBAs
Guatemala User Group
 
Informe final de pasantia
Informe final de pasantiaInforme final de pasantia
Informe final de pasantia
Johana Palacios
 
Instrumento de evaluación redes informáticas
Instrumento de evaluación redes informáticasInstrumento de evaluación redes informáticas
Instrumento de evaluación redes informáticas
Spipe1
 
Evaluación de la Red
Evaluación de la Red Evaluación de la Red
Evaluación de la Red
Adolfo Azpeitia Escalera
 
Practica 10
Practica 10Practica 10
Practica 10
Ury Hernandez Espinoza
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
n3xasec
 

Recomendados

Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fukl
Fundación Universitaria Konrad Lorenz
 
Ccfiw computer forensic investigations windows
Ccfiw computer forensic investigations windowsCcfiw computer forensic investigations windows
Ccfiw computer forensic investigations windows
Rafael Seg
 
Diagnóstico de problemas de red para DBAs
Diagnóstico de problemas de red para DBAsDiagnóstico de problemas de red para DBAs
Diagnóstico de problemas de red para DBAs
Guatemala User Group
 
Informe final de pasantia
Informe final de pasantiaInforme final de pasantia
Informe final de pasantia
Johana Palacios
 
Instrumento de evaluación redes informáticas
Instrumento de evaluación redes informáticasInstrumento de evaluación redes informáticas
Instrumento de evaluación redes informáticas
Spipe1
 
Evaluación de la Red
Evaluación de la Red Evaluación de la Red
Evaluación de la Red
Adolfo Azpeitia Escalera
 
Practica 10
Practica 10Practica 10
Practica 10
Ury Hernandez Espinoza
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
n3xasec
 
Area caribe 11
Area caribe 11Area caribe 11
Area caribe 11
Angélica Cano
 
Vimal_Company Profile1-2014
Vimal_Company Profile1-2014Vimal_Company Profile1-2014
Vimal_Company Profile1-2014
Dipak Patil
 
conducta infantil
conducta infantilconducta infantil
conducta infantil
blanca lopez
 
Osborne-Donald-Resume-2-2015-O&G
Osborne-Donald-Resume-2-2015-O&GOsborne-Donald-Resume-2-2015-O&G
Osborne-Donald-Resume-2-2015-O&G
Donald Osborne, CHMP
 
Redes semanticas
Redes semanticasRedes semanticas
Redes semanticas
NickyMolina2016
 
Information among networks and systems of knowledge
Information among networks and systems of knowledgeInformation among networks and systems of knowledge
Information among networks and systems of knowledge
José Nafría
 
2.3 bılgıpaylasımaracları
2.3 bılgıpaylasımaracları2.3 bılgıpaylasımaracları
2.3 bılgıpaylasımaracları
fatma_ela
 
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
Xyleme
 
Presentación del curso epistemología de las organizaciones
Presentación del curso epistemología de las organizacionesPresentación del curso epistemología de las organizaciones
Presentación del curso epistemología de las organizaciones
José Nafría
 
New lp
New lpNew lp
New lp
mary grace Bermundo
 
Rapat umum pemegang saham
Rapat umum pemegang sahamRapat umum pemegang saham
Rapat umum pemegang saham
Dua Dunia
 
Invitations
InvitationsInvitations
Invitations
Francisco Perez
 
1 senses lesson 2 -dear dokončno
1 senses lesson 2 -dear dokončno1 senses lesson 2 -dear dokončno
1 senses lesson 2 -dear dokončno
Francisco Perez
 
Laboratorios 1 y 3 robin bonilla
Laboratorios 1 y 3 robin bonillaLaboratorios 1 y 3 robin bonilla
Laboratorios 1 y 3 robin bonilla
Robin Bonilla
 
Herramienta matemática para determinar las especificaciones técnicas para pos...
Herramienta matemática para determinar las especificaciones técnicas para pos...Herramienta matemática para determinar las especificaciones técnicas para pos...
Herramienta matemática para determinar las especificaciones técnicas para pos...
Manuel Mujica
 
Procesamiento de imagenes python con raspberri pi 2
Procesamiento de imagenes python con raspberri pi 2Procesamiento de imagenes python con raspberri pi 2
Procesamiento de imagenes python con raspberri pi 2
Franklin J.
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
Jack Daniel Cáceres Meza
 
Presentacion semillero de_redes[1]
Presentacion semillero de_redes[1]Presentacion semillero de_redes[1]
Presentacion semillero de_redes[1]
Andres Camilo
 
Diseño de redes de comunicacion
Diseño de redes de comunicacionDiseño de redes de comunicacion
Diseño de redes de comunicacion
Horacio Quispe Huaroto
 
Modulo reloc
Modulo relocModulo reloc
Modulo reloc
I LG
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
Jhon Jairo Hernandez
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación cisco
Oscar Lombas Otegui
 

Más contenido relacionado

Destacado

Vimal_Company Profile1-2014
Vimal_Company Profile1-2014Vimal_Company Profile1-2014
Vimal_Company Profile1-2014
Dipak Patil
 
2.3 bılgıpaylasımaracları
2.3 bılgıpaylasımaracları2.3 bılgıpaylasımaracları
2.3 bılgıpaylasımaracları
fatma_ela
 
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
Xyleme
 
Rapat umum pemegang saham
Rapat umum pemegang sahamRapat umum pemegang saham
Rapat umum pemegang saham
Dua Dunia
 

Destacado (13)

Area caribe 11
Area caribe 11Area caribe 11
Area caribe 11
 
Vimal_Company Profile1-2014
Vimal_Company Profile1-2014Vimal_Company Profile1-2014
Vimal_Company Profile1-2014
 
conducta infantil
conducta infantilconducta infantil
conducta infantil
 
Osborne-Donald-Resume-2-2015-O&G
Osborne-Donald-Resume-2-2015-O&GOsborne-Donald-Resume-2-2015-O&G
Osborne-Donald-Resume-2-2015-O&G
 
Redes semanticas
Redes semanticasRedes semanticas
Redes semanticas
 
Information among networks and systems of knowledge
Information among networks and systems of knowledgeInformation among networks and systems of knowledge
Information among networks and systems of knowledge
 
2.3 bılgıpaylasımaracları
2.3 bılgıpaylasımaracları2.3 bılgıpaylasımaracları
2.3 bılgıpaylasımaracları
 
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
The Google Analytics Approach to Measuring Learning: Allowing HR to move at t...
 
Presentación del curso epistemología de las organizaciones
Presentación del curso epistemología de las organizacionesPresentación del curso epistemología de las organizaciones
Presentación del curso epistemología de las organizaciones
 
New lp
New lpNew lp
New lp
 
Rapat umum pemegang saham
Rapat umum pemegang sahamRapat umum pemegang saham
Rapat umum pemegang saham
 
Invitations
InvitationsInvitations
Invitations
 
1 senses lesson 2 -dear dokončno
1 senses lesson 2 -dear dokončno1 senses lesson 2 -dear dokončno
1 senses lesson 2 -dear dokončno
 

Similar a Trabajo fin de grado

Laboratorios 1 y 3 robin bonilla
Laboratorios 1 y 3 robin bonillaLaboratorios 1 y 3 robin bonilla
Laboratorios 1 y 3 robin bonilla
Robin Bonilla
 
Presentacion semillero de_redes[1]
Presentacion semillero de_redes[1]Presentacion semillero de_redes[1]
Presentacion semillero de_redes[1]
Andres Camilo
 
Modulo reloc
Modulo relocModulo reloc
Modulo reloc
I LG
 

Similar a Trabajo fin de grado (20)

Laboratorios 1 y 3 robin bonilla
Laboratorios 1 y 3 robin bonillaLaboratorios 1 y 3 robin bonilla
Laboratorios 1 y 3 robin bonilla
 
Herramienta matemática para determinar las especificaciones técnicas para pos...
Herramienta matemática para determinar las especificaciones técnicas para pos...Herramienta matemática para determinar las especificaciones técnicas para pos...
Herramienta matemática para determinar las especificaciones técnicas para pos...
 
Procesamiento de imagenes python con raspberri pi 2
Procesamiento de imagenes python con raspberri pi 2Procesamiento de imagenes python con raspberri pi 2
Procesamiento de imagenes python con raspberri pi 2
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Presentacion semillero de_redes[1]
Presentacion semillero de_redes[1]Presentacion semillero de_redes[1]
Presentacion semillero de_redes[1]
 
Diseño de redes de comunicacion
Diseño de redes de comunicacionDiseño de redes de comunicacion
Diseño de redes de comunicacion
 
Modulo reloc
Modulo relocModulo reloc
Modulo reloc
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación cisco
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datosCurso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
 
Investigacion Cientifica Descriptiva
Investigacion Cientifica DescriptivaInvestigacion Cientifica Descriptiva
Investigacion Cientifica Descriptiva
 
Documentacion
DocumentacionDocumentacion
Documentacion
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobit
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 
IMPLANTACION DE MICRO CHIP EN LA EMPRESA THREE SQUAR MARKET
IMPLANTACION DE MICRO CHIP EN LA EMPRESA THREE SQUAR MARKETIMPLANTACION DE MICRO CHIP EN LA EMPRESA THREE SQUAR MARKET
IMPLANTACION DE MICRO CHIP EN LA EMPRESA THREE SQUAR MARKET
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Practica 1 sniffer
Practica 1 sniffer Practica 1 sniffer
Practica 1 sniffer
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (12)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Trabajo fin de grado

  • 1. Clasificaci´on y detecci´on de tr´afico de red at´ıpico aplicando t´ecnicas de Inteligencia Artificial Trabajo Fin de Grado Jose M. Pi˜neiro Garc´ıa Jos´e Carlos Dafonte V´azquez Francisco Javier N´ovoa de Manuel Universidad de A Coru˜na Facultad de Inform´atica Tecnolog´ıas de la Informaci´on y las Comunicaciones desarrollar jose.pineiro@udc.es 18 de febrero de 2016 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 2. ´Indice 1 Introducci´on Introducci´on Motivaci´on 2 Contextualizaci´on Sistemas de Detecci´on de Intrusos Mapas auto-organizados Conjuntos de datos Objetivos principales 3 Dise˜no e implementaci´on Dise˜no arquitect´onico Componentes 4 Demo 5 Tecnolog´ıas y metodolog´ıa Herramientas y tecnolog´ıas utilizadas Metodolog´ıa utilizada 6 Conclusiones 7 Trabajos futuros J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 3. Introducci´on El “Big Data” o tecnolog´ıa de procesado de millones de datos en tiempo real, junto con el “Internet de las Cosas” (Internet of Things, IoT), ese fen´omeno creciente de conexi´on de todo con todo, plantea nuevos retos para la seguridad inform´atica. A diario se descubren nuevas vulnerabilidades que ponen en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas de la informaci´on y de los datos que almacenan. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 4. Motivaci´on Los desaf´ıos m´as importantes a los que se enfrenta la Seguridad de la Informaci´on son: La creciente cantidad de informaci´on a monitorizar por los sistemas de seguridad Los ataques de d´ıa cero (zero day) La exfiltraci´on de informaci´on mediante ataques de persistencia (APT) En el caso concreto de la Facultad de Inform´atica, el ingente volumen de tr´afico que circula por las redes del CeCaFI ha motivado el desarrollo de un sistema de clasificaci´on de tr´afico que permita detectar conexiones potencialmente peligrosas. Para abordar este desaf´ıo de forma eficiente se ha decidido implementar un IDS basado en mapas auto-organizados. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 5. Sistemas de detecci´on de intrusos Definici´on: Un IDS es un sistema software y/o hardware encargado de analizar la actividad y/o el tr´afico de red de un host o de una red de computadores. Objetivo: Detectar anomal´ıas o usos indebidos y en ciertos casos tomar medidas para mitigar y detener estas amenazas. Seg´un el tipo de respuesta → Activos → Pasivos Seg´un la fuente de informaci´on → de Red → de Host Seg´un el tipo de an´alisis → Anomal´ıas → Patrones J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 6. Mapas auto-organizados Una RNA es un sistema basado en el aprendizaje y el procesamiento autom´atico, cuyo objetivo es tomar decisiones de forma aut´onoma. Est´a formada por una estructura multicapa de neuronas artificiales interconectadas. El aprendizaje es el proceso de modificaci´on de los pesos asociados a la neuronas (centroides) como respuesta a una entrada. → Supervisado → No supervisado Los mapas auto-organizados, redes de Kohonen o SOM, son una red neuronal de aprendizaje no supervisado y competitivo. El objetivo es procesar un conjunto de datos n-dimensional con relaciones complejas, produciendo una salida bidimensional interpretable, conservando las propiedades topol´ogicas del conjunto de entrada. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 7. Conjuntos de datos Escenario de aplicaci´on: Conjunto de entrenamiento real: Registro semanal de conexiones del firewall del CeCaFI con m´as de 10 millones de entradas. Conjunto de entrenamiento sint´etico: Conjunto de flujos de tr´afico de red sint´etico y etiquetado, desarrollado por el ISCX (Information Security Centre of Excellence) de la Universidad de New Brunswick con un total de 2 millones de flujos. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 8. Conjuntos de datos originales Conjunto CeCaFI: conexi´on Conjunto ISCX: flujo J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 9. Conjuntos de datos originales Conjunto CeCaFI: conexi´on Conjunto ISCX: flujo 8 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 10. Factores de repetici´on Factores num´ericos que determinan la repetici´on de una conexi´on en un determinado tiempo Permitir´a detectar ataques de denegaci´on de servicio (DoS) y de fuerza bruta. Cuanto menos tiempo transcurra entre las repeticiones mayor ser´a el valor A medida que se repite una misma conexi´on, este factor va aumentando de valor J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 11. Codificaci´on de los datos originales La SOM no puede trabajar con los datos de los conjuntos originales directamente. Normalizaci´on de los datos num´ericos Categorizaci´on de los datos no num´ericos J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 12. Categorizaci´on de las IPs de origen y destino CeCaFI: Nombre red Nombre red Nombre red Nombre red FICFWSYNC FICREFERENCIA FIC0XESTION FIC0CERNE FIC0LAB0W FIC0LAB12 FIC0LAB2 FIC0LAB34 FIC1LAB12 FIC12LAB32 FICDEV FIC0CECAFI FICCISCO FICDEVEXT FICDEVINT FICINTERNA UDCWIFI UDCINTERNA PUBLICA OTHER ISCX: Nombre red Direcci´on PRIVADA 192.168.0.1-4 ADMINISTRACION 192.168.0.5 DMZ 192.168.0.6 PUBLICA x.x.x.x J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 13. Categorizaci´on del Protocolo Categorizaci´on en base al nombre del protocolo. Protocolo Valor componente TCP TCP UDP UDP ICMP ICMP IGMP IGMP resto OTHER J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 14. Categorizaci´on de los puertos de origen y destino Categorizaci´on en base los rangos definidos por la IANA. Rango puerto Valor componente 0-1023 SYSTEM 1024-49151 USER 49152-65535 PRIVATE J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 15. Adaptaci´on de la SOM La SOM determina cu´al es la neurona ganadora para cada patr´on del conjunto mediante el c´alculo de la distancia Eucl´ıdea entre el centroide y el patr´on que se procesa. Debido a que las componentes categ´oricas son variables nominales, es preciso adaptar la SOM para calcular la distancia de estas componentes de otro modo. Esta adaptaci´on consiste en cambiar el concepto de distancia por el de disimilitud. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 16. Objetivos principales El objetivo principal es desarrollar un sistema de clasificaci´on de tr´afico que permita detectar conexiones potencialmente peligrosas, basado en SOM. Para ello es necesario: Dise˜no e implementaci´on de un sistema para el an´alisis sint´actico de los conjuntos originales para generar los conjuntos de entrenamiento Dise˜no e implementaci´on de un sistema para la ejecuci´on de diferentes entrenamientos para realizar el aprendizaje de los mapas auto-organizados Dise˜no e implementaci´on de un sistema que permita la visualizaci´on y an´alisis de los diferentes mapas entrenados J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 17. Arquitectura del software Arquitectura modular basada en componentes: SOMIDS-Model SOMIDS-Rest SOMIDS-Web J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 18. M´odulo SOMIDS-Model J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 19. M´odulo SOMIDS-Rest J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 20. M´odulo SOMIDS-Web J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 21. Demostraci´on DEMOSTRACI´ON J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 22. Herramientas y tecnolog´ıas utilizadas J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 23. Metodolog´ıa Scrum J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 24. Conclusiones 1 La adaptaci´on de la SOM para que procese datos categ´oricos ha sido muy exitosa y los tiempos de entrenamiento se han visto reducidos en un 90 % con respecto a implementaciones num´ericas. 2 El sistema de visualizaci´on implementado aporta toda la informaci´on necesaria para analizar de forma rigurosa, el tr´afico clasificado. 3 La implementaci´on del IDS realizada y la informaci´on obtenida con ´el, han revelado que la aplicaci´on de t´ecnicas de Inteligencia Artificial, y en concreto el uso de mapas auto-organizados, es una soluci´on muy eficiente y que otorga muy buenos resultados para la clasificaci´on y detecci´on de tr´afico at´ıpico. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 25. Trabajos futuros Validaci´on con conjuntos adicionales. Integraci´on con un sistema de Geolocalizaci´on. J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
  • 26. Clasificaci´on y detecci´on de tr´afico de red at´ıpico aplicando t´ecnicas de Inteligencia Artificial Trabajo Fin de Grado Jose M. Pi˜neiro Garc´ıa Jos´e Carlos Dafonte V´azquez Francisco Javier N´ovoa de Manuel Universidad de A Coru˜na Facultad de Inform´atica Tecnolog´ıas de la Informaci´on y las Comunicaciones desarrollar jose.pineiro@udc.es 18 de febrero de 2016 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico