Una aproximación efectiva a la detección de anomalías en el tráfico TCP/IP usando técnicas de inteligencia artificial

(1)

Una Aproximación Efectiva a la Detección de

Anomalías en el Tráfico TCP/IP Usando Técnicas de

Inteligencia Artificial

Jorge Couchet1, Miriam Steiner2, Rodrigo San Vicente3, Enrique Ferreira4

!

"# $ % # & ' #

(

' # # $ # #

Resumen

"

) * +

! "

" #" $ "

% & $ '

, - * '(

#" + . / - )* "

" #" ' +

#" , #

- $

-. / "

Palabras claves!

0 / " , - , 1 1 , 2 0 ,

(2)

1 Introducción

1.1 Seguridad de la información

4 0 " 405 - $ # "

, 6 , & #

$ . " $

" 405 6 , ,

" 40 ,

" , ,

, ,

" " " 40 ,

. ! 0 #1 ,

, " ,

# # 2 "

"

-7 6 ,

8 " 2 94 :;<,

' 0 " #

!

17 !

Año ;==> ;==; ;==? ;==@ ;==A ;==B ;==C ;==D ;==E ;===

Incidentes ?B? A>C DD@ ;,@@A ?,@A> ?,A;? ?,BD@ ?,;@A @,D@A =,EB=

Año ?>>> ?>>; ?>>? ?>>@

Incidentes ?;,DBC B?,CBE E?,>=A ;@D,B?=

,

. " F

$ ) 03' !

3* ) 4! ( ,

"

3" ) 4! 8 $ * + :?<

$ ,

-03' - * ) ,

# ,

, " ! ,

7 ,

$ ,

(3)

6 7 , "

" "

, 03'

03' "

) 4, " # #

40 $ ,

, #

# # 2 3

-" $ # ) # "

, ! :@<, :A<, :B<, :C<, :D<, :E<

'( )*

/ 3 ' '(

)* '

' :=<

-"

1.2 Self-Organizing Maps (SOM)

'( :;>< $ , $

" "

?+3

2 i '( miG :mi1, ,min<T,

'( #

H ,

-" , i

Ni " # '( , 7

" 7

" , " $

3 , '(

, , ,

' , ,

$ "

-- - , - - #

, x

'

-,

;

!

(4)

IIJ

KII 5−

=

3 . $

-$ i

!

  

∉ ∈ −

+ =

+

1 ,

1 <, :

; α 5

t x(t)

t, Nc(t) " ?

c " α(t) $ , #

> ; - "

" α > @ - > == , "

6 > >; - > ; ' " ,

"

1.3 Learning Vector Quantization (LVQ)

) * $ )* '( ,

9 1 8 )* #

! , " ,

F )*! +./ , +./ , +./! +./ /

+./ ! 7 # 6 '

mi

x $ 8 # 6 '

x, . x

mi # . ! mc , # !

IIJ KII5−

=

L mi

$ ! , mi(t)

mi 2 $

, " # $ +./ !

< + :

; = +α

+

< + :

; = −α

+

; = ≠

+

> Mαααα(t)M ;, αααα(t)

(5)

2 Detección de anomalías basadas en SOM / LVQ

"

#" 42& #

- $ O L :;;<, :;?< P ;L :;@<, # '( 5 ,

, #

" "

# , "

, )*5 % & , "

" # , "

" & $ "

#" 42& - "

,

2.1 Arquitectura general

'( Q )* !

/ +; / + / +;;

Level 1

(5;GM R (5 GM R (5;;GM R

(;GM(5; (5 (5;;R

Level 2

)*; )* )*@C

(? ;G K J (?G K J (? @CG K J

M R M R M R

)*; )* )*@C

Level 3

o o o o o o o o o o o o o o o o o o

; @C

Figura 1

[image:5.595.161.439.373.743.2]

(6)

2.2 Primer nivel - “Clustering” de características

# ;; '( 5 C C ,

$ #" 42& $ '(

?>, 6 ,

:;?<

, #" 8 $

'( , C "

$ " !

7 :;@<, #"

, #"

Attr11

'; ' '?>

M ;;;, ;;?, ;;@, ;;A, ;;B, ;;CR

Attr1

'; ' '?>

M ;;, ;?, ;@, ;A, ;B, ;CR

Attri

'; ' '?>

M ;, ?, @, A, B, CR

(;G M ;;, , ;C, , ;, , C, , ;;;, , ;;CR

Attr 1 = Codification of TCP Flags Attr 2 = IP Protocol Number Attr 3 = IP Type of Service Attr 4 = TCP Windows Attr 5 = Packet Size

Attr 6 = Codification of <Src Port / Src IP, Dest Port / Dest IP> Attr 7 = Destination Port

Attr 8 = Source Port Attr 9 = Source IP Attr 10 = Destination IP

Attr 11 = Codification of TCP Options

C C

C C C C

[image:6.595.103.493.317.707.2]

(7)

2.3 Segundo nivel - Agregación y clasificación

# " '( C C , )*

@C '( "

'( C

,

! C ;; G CC '(

, " " #"

$

8 $ $ $ '( , "

)* ,

)* )*

* + , !

& L 1

/ L & L

1 _"

)*5 !

* + " , $

* + % , " 8 # # , > M # # M 9" 8 !

# $ " @ , #

" " # #

(;GM ;;, , ;C, , ;, , C, , ;;;, , ;;CR

)* M1 R M/ R M0 " R

(? G K M/ ;+' , ,/ +' , ,/ ;;+' R J

K M ;;, , ;C, , ;, , C, , ;;;, , ;;CR J

; @C

C C

[image:7.595.135.460.412.664.2]

(8)

2.4 Tercer nivel - Procesamiento de indefinidos

$ 7

8 S/ , )*5

'( ;> ;> ,

# # )* 2 '( 5

)* " ,

'(

)* M1 R M/ R

M/ ;+' , ,/ +' , ,/ ;;+' R

;> ;> M ;, ?, , , , ;>>R

(? G K M/ ;+' , ,/ +' , ,/ ;;+' R J

( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( (

Figura 4

3 Experimentos

3.1 Diseño de los experimentos

3.1.1 Medidas de performance

& " !

/ L

1 O L "

1

3

/ L

1 O L "

1 9

3 =

2 1

" 1

4

& % " 1

9 &

[image:8.595.158.437.263.514.2]

(9)

3.1.2 Conjunto de datos

& )": " ;;< )

:;A<, # " = 1,514,848

, & 765,029

&

3.2 Resultados de los experimentos

3.2.1 Preprocesamiento de los datos

3/9&/ " ' , " "

#" 42&, "

& $ ' ,

. $ "

42& , 83& 02 &

3.2.2 Herramientas

- '( )* " "

'( S&/P :;B<

3.2.3 Selección de características

$ 7 , "

" 42&,

- #" / #

42&7 " "

3.2.4 Experimentos

" - - &2 0) B;? N

' '( &/P

-& !

" '( Q )* " , # "

, # " '

$ N, A, I @ ! 1 , / 0 "

(10)

' C & %

)*5 $ !

Clasificación OK Desviaciones

N I A N I A N-I N-A I-N I-A A-N A-I

Nivel2 396674 132355 236000 227250 7657 208396 41845 14382 28584 13222 140840 82853

Nivel3 522269 0 71111 481170 0 50926 0 20185 0 0 41099 0

' C & %

)*5 $ !

N I A N I A N-I N-A I-N I-A A-N A-I

Nivel2 648290 66580 50159 239197 11238 33256 36754 7526 28848 9377 380245 18588

Nivel3 859386 0 429934 701701 0 112103 0 317831 0 0 157685 0

' C 7 ! @ / Q @ 1

)*5 $ !

N I A N I A N-I N-A I-N I-A A-N A-I

Nivel2 413132 44929 306968 272431 3922 301335 6591 4455 44363 1178 96338 34416

Nivel3 637367 0 261213 246029 0 233798 0 27415 0 0 391338 0

'

"

" @ , @

" " !

D?T A@?>E=

@;@>?B @AA;C

=C@@E @>;@@B

?> Q ?@@D=E @>;@@B

9

3 ≅ ≅

+ +

+ =

T ; ? ?E@ADD

BE?C AABB

CB=; ?D?A@;

?> Q ?DA;B AABB

9

& ≅ ≅

+ + + =

(11)

4 Discusión y Conclusiones

. " ) 4

) : 4 $ , 7 ' : 4 , "

, " "

"

, " $

/ " ) .

* + :;@<,:;C<!

Técnica

Detection Rate

False Positive Rate

Clustering 93% 10%

K-NN 91% 8%

SVM 98% 10%

SOM 90% 7.6%

' ) : $ "

, .

!

• 8 6 " " ) :

7 ' : , # "

• 8 "

8?9 : ,

" 7 42&Q0&

• , " # $ 7

, "

, # " ,

) :

"

$ , # ,

,

" ,

" $ " $,

$

) : 4 #

" 5 $ 0 , 02 & 83&

4 . . * )*5 ,

(12)

5 Referencias

1. 2 94 2 2 2 94Q22 =:&> ;<<, ??@

- !QQOOO Q Q

2. 4 - * + , H O+F , ;==D

3. L ' ' - % ' ) / 9 O, & 00! 1 1 O L N

/ - , ?>>@ - !QQOOO LQ -Q Q Q?>>@

-4. - O ) - " * + " ) " 6

# " % 1 6 & 3 " &- - 5 - , % 0 "

4 - , ?>>@ - !QQOOO " QU L Q - Q - >@ "

5. L 9 ) " % 1 6 & 1 , - *

5 - , (- 8 , ?>>?

- !QQ$ - QU Q3(2'Q Q + - "

6. ' " V # ) A & # " #

' N - 5 - , & , ?>>?

- !QQOOO Q Q$ Q Q03'+ "

7. 3 +W W 2 2- O - ,1 # 1 1 6 # 0

5 : , / ?>>?

8. N 9- , X / - "" , X 3 2 * ,

-* ) 0 # ! # %

, ?>>>

9. ' 03' ( ' - !QQOOO

10. 4 P - - * ' , 4- , ?>>;

11. & - $ O L , / 1 V +F O , 0 F O )

) , - * 0 & ( " #

& B & C, ?>>?

12. & - $ O L , / 1 V +F O , 0 F O 0 , #

) , - * 0 & === D #

E % % 1 6 E %%F? ,

?>>?

13. F HY P 1L 0 - * A # ) G))

A 6 5 - , 3 - 8 , ?>>@

- !QQ QU - O Q4- QHP L "

14. 04 - !QQOOO Q0'4Q Q Q

-15. '( S&/P - !QQOOO - " Q -Q S S L

-16. L , / / , & , & , ' " ' " H 7 1 6

' # " ) ) # # 0 3 N

' X , , / " 3 2 ' P O , ?>>? 0'N1