1. Clasificaci´on y detecci´on de tr´afico de red at´ıpico
aplicando t´ecnicas de Inteligencia Artificial
Trabajo Fin de Grado
Jose M. Pi˜neiro Garc´ıa
Jos´e Carlos Dafonte V´azquez
Francisco Javier N´ovoa de Manuel
Universidad de A Coru˜na
Facultad de Inform´atica
Tecnolog´ıas de la Informaci´on y las Comunicaciones
desarrollar jose.pineiro@udc.es
18 de febrero de 2016
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
2. ´Indice
1 Introducci´on
Introducci´on
Motivaci´on
2 Contextualizaci´on
Sistemas de Detecci´on de
Intrusos
Mapas auto-organizados
Conjuntos de datos
Objetivos principales
3 Dise˜no e implementaci´on
Dise˜no arquitect´onico
Componentes
4 Demo
5 Tecnolog´ıas y metodolog´ıa
Herramientas y tecnolog´ıas
utilizadas
Metodolog´ıa utilizada
6 Conclusiones
7 Trabajos futuros
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
3. Introducci´on
El “Big Data” o tecnolog´ıa de procesado de millones de datos en tiempo
real, junto con el “Internet de las Cosas” (Internet of Things, IoT), ese
fen´omeno creciente de conexi´on de todo con todo, plantea nuevos retos
para la seguridad inform´atica.
A diario se descubren nuevas vulnerabilidades que ponen en peligro la
confidencialidad, la integridad y la disponibilidad de los sistemas de la
informaci´on y de los datos que almacenan.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
4. Motivaci´on
Los desaf´ıos m´as importantes a los que se enfrenta la Seguridad de la
Informaci´on son:
La creciente cantidad de informaci´on a monitorizar por los sistemas
de seguridad
Los ataques de d´ıa cero (zero day)
La exfiltraci´on de informaci´on mediante ataques de persistencia
(APT)
En el caso concreto de la Facultad de Inform´atica, el ingente volumen de
tr´afico que circula por las redes del CeCaFI ha motivado el desarrollo de
un sistema de clasificaci´on de tr´afico que permita detectar conexiones
potencialmente peligrosas.
Para abordar este desaf´ıo de forma eficiente se ha decidido implementar un
IDS basado en mapas auto-organizados.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
5. Sistemas de detecci´on de intrusos
Definici´on: Un IDS es un sistema software y/o hardware encargado
de analizar la actividad y/o el tr´afico de red de un host o de una red
de computadores.
Objetivo: Detectar anomal´ıas o usos indebidos y en ciertos casos
tomar medidas para mitigar y detener estas amenazas.
Seg´un el tipo de respuesta
→ Activos
→ Pasivos
Seg´un la fuente de informaci´on
→ de Red
→ de Host
Seg´un el tipo de an´alisis
→ Anomal´ıas
→ Patrones
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
6. Mapas auto-organizados
Una RNA es un sistema basado en el aprendizaje y el procesamiento
autom´atico, cuyo objetivo es tomar decisiones de forma aut´onoma.
Est´a formada por una estructura multicapa de neuronas artificiales
interconectadas.
El aprendizaje es el proceso de modificaci´on de los pesos asociados a
la neuronas (centroides) como respuesta a una entrada.
→ Supervisado
→ No supervisado
Los mapas auto-organizados, redes de Kohonen o SOM, son una red
neuronal de aprendizaje no supervisado y competitivo.
El objetivo es procesar un conjunto de datos n-dimensional con
relaciones complejas, produciendo una salida bidimensional
interpretable, conservando las propiedades topol´ogicas del conjunto de
entrada.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
7. Conjuntos de datos
Escenario de aplicaci´on:
Conjunto de entrenamiento real: Registro semanal de conexiones del
firewall del CeCaFI con m´as de 10 millones de entradas.
Conjunto de entrenamiento sint´etico: Conjunto de flujos de tr´afico de
red sint´etico y etiquetado, desarrollado por el ISCX (Information
Security Centre of Excellence) de la Universidad de New Brunswick
con un total de 2 millones de flujos.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
8. Conjuntos de datos originales
Conjunto CeCaFI: conexi´on
Conjunto ISCX: flujo
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
9. Conjuntos de datos originales
Conjunto CeCaFI: conexi´on
Conjunto ISCX: flujo
8 J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
10. Factores de repetici´on
Factores num´ericos que determinan la repetici´on de una conexi´on en
un determinado tiempo
Permitir´a detectar ataques de denegaci´on de servicio (DoS) y de
fuerza bruta.
Cuanto menos tiempo transcurra entre las repeticiones mayor ser´a el
valor
A medida que se repite una misma conexi´on, este factor va
aumentando de valor
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
11. Codificaci´on de los datos originales
La SOM no puede trabajar con los datos de los conjuntos originales
directamente.
Normalizaci´on de los datos num´ericos
Categorizaci´on de los datos no num´ericos
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
12. Categorizaci´on de las IPs de origen y destino
CeCaFI:
Nombre red Nombre red Nombre red Nombre red
FICFWSYNC FICREFERENCIA FIC0XESTION FIC0CERNE
FIC0LAB0W FIC0LAB12 FIC0LAB2 FIC0LAB34
FIC1LAB12 FIC12LAB32 FICDEV FIC0CECAFI
FICCISCO FICDEVEXT FICDEVINT FICINTERNA
UDCWIFI UDCINTERNA PUBLICA OTHER
ISCX:
Nombre red Direcci´on
PRIVADA 192.168.0.1-4
ADMINISTRACION 192.168.0.5
DMZ 192.168.0.6
PUBLICA x.x.x.x
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
13. Categorizaci´on del Protocolo
Categorizaci´on en base al nombre del protocolo.
Protocolo Valor componente
TCP TCP
UDP UDP
ICMP ICMP
IGMP IGMP
resto OTHER
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
14. Categorizaci´on de los puertos de origen y destino
Categorizaci´on en base los rangos definidos por la IANA.
Rango puerto Valor componente
0-1023 SYSTEM
1024-49151 USER
49152-65535 PRIVATE
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
15. Adaptaci´on de la SOM
La SOM determina cu´al es la neurona ganadora para cada patr´on del
conjunto mediante el c´alculo de la distancia Eucl´ıdea entre el
centroide y el patr´on que se procesa.
Debido a que las componentes categ´oricas son variables nominales, es
preciso adaptar la SOM para calcular la distancia de estas
componentes de otro modo.
Esta adaptaci´on consiste en cambiar el concepto de distancia por el
de disimilitud.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
16. Objetivos principales
El objetivo principal es desarrollar un sistema de clasificaci´on de tr´afico
que permita detectar conexiones potencialmente peligrosas, basado en
SOM. Para ello es necesario:
Dise˜no e implementaci´on de un sistema para el an´alisis sint´actico de
los conjuntos originales para generar los conjuntos de entrenamiento
Dise˜no e implementaci´on de un sistema para la ejecuci´on de
diferentes entrenamientos para realizar el aprendizaje de los mapas
auto-organizados
Dise˜no e implementaci´on de un sistema que permita la visualizaci´on y
an´alisis de los diferentes mapas entrenados
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
17. Arquitectura del software
Arquitectura modular basada en componentes:
SOMIDS-Model
SOMIDS-Rest
SOMIDS-Web
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
24. Conclusiones
1 La adaptaci´on de la SOM para que procese datos categ´oricos ha sido
muy exitosa y los tiempos de entrenamiento se han visto reducidos en
un 90 % con respecto a implementaciones num´ericas.
2 El sistema de visualizaci´on implementado aporta toda la informaci´on
necesaria para analizar de forma rigurosa, el tr´afico clasificado.
3 La implementaci´on del IDS realizada y la informaci´on obtenida con ´el,
han revelado que la aplicaci´on de t´ecnicas de Inteligencia Artificial, y
en concreto el uso de mapas auto-organizados, es una soluci´on muy
eficiente y que otorga muy buenos resultados para la clasificaci´on y
detecci´on de tr´afico at´ıpico.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
25. Trabajos futuros
Validaci´on con conjuntos adicionales.
Integraci´on con un sistema de Geolocalizaci´on.
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico
26. Clasificaci´on y detecci´on de tr´afico de red at´ıpico
aplicando t´ecnicas de Inteligencia Artificial
Trabajo Fin de Grado
Jose M. Pi˜neiro Garc´ıa
Jos´e Carlos Dafonte V´azquez
Francisco Javier N´ovoa de Manuel
Universidad de A Coru˜na
Facultad de Inform´atica
Tecnolog´ıas de la Informaci´on y las Comunicaciones
desarrollar jose.pineiro@udc.es
18 de febrero de 2016
J. Pi˜neiro, C. Dafonte, F. N´ovoa Clasificaci´on y detecci´on de tr´afico de red at´ıpico