INSTITUTO POLITÉCNICO NACIONAL .
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA
Y ELÉCTRICA UNIDAD CULHUACAN ,
SECCIÓN DE ESTUDIOS DE POSGRADO E
INVESTIGACIÓN
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE
EVENTOS DE SEGURIDAD EN REDES DE DATOS
T E S I S
PARA OBTENER EL GRADO DE MAESTRO EN CIENCIAS DE INGENIERÍA EN MICROELECTRÓNICA P R E S E N T A: JOSÉ LUIS SISNIEGA GONZÁLEZ
D I R E C T O R E S: DR. HÉCTOR MANUEL PÉREZ MEANA M. EN C. ELEAZAR AGUIRRE ANAYA
MÉXICO, D. F. DICIEMBRE 2010
ÍNDICE DE CONTENIDO
Agradecimientos ...................................................................................................... ix
Resumen ................................................................................................................... xi
Abstract .................................................................................................................... xii
Agradecimientos .................................................................................................... xiii
CAPÍTULO I ................................................................................................................ 1
1.1 Planteamiento del Problema ....................................................................... 1
1.2 Justificación ................................................................................................ 3
1.3 Objetivo General ......................................................................................... 5
1.3.1Objetivos Particulares ...................................................................... 5
1.4 Hipótesis ..................................................................................................... 6
CAPÍTULO II ............................................................................................................... 7
2.1 Seguridad Informática ................................................................................. 7
2.1.1 Seguridad en Redes de Datos ........................................................ 9
2.1.2 Monitoreo ...................................................................................... 12
2.1.3 Forensia en Redes de Datos ......................................................... 14
2.2 Eventos en Redes de Datos ..................................................................... 15
2.2.1 Ataques ......................................................................................... 17
2.2.2 Bitácoras ....................................................................................... 21
2.2.3 Incidente ........................................................................................ 21
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
2.3 Redes Neuronales .................................................................................... 23
2.4.1 Red Neuronal Recurrente .............................................................. 25
2.4.2 Arquitectura de la red neuronal recurrente .................................... 25
2.4.3 Algoritmo de Aprendizaje ............................................................... 27
2.4 Investigaciones Relacionadas ................................................................... 30
2.5 Resumen del Capítulo ............................................................................... 32
CAPÍTULO III ............................................................................................................ 35
3.1 Modelo de Reconstrucción de Eventos ..................................................... 36
3.1.1 Grabador de Tráfico....................................................................... 39
3.1.2 Pre procesamiento......................................................................... 41
3.1.3 Reconstrucción de Eventos ........................................................... 44
3.1.4 Base de Eventos ........................................................................... 64
3.1.7 Base de Conocimientos ................................................................. 65
3.1.6 Red Neuronal Recurrente .............................................................. 66
3.1.7 Eventos de Seguridad ................................................................... 67
3.2 Entrenamiento de la Red Neuronal ........................................................... 68
3.3 Resumen del Capítulo ............................................................................... 69
CAPÍTULO IV ............................................................................................................ 71
4.1 Pruebas ..................................................................................................... 71
4.1.1 Escenarios ..................................................................................... 72
4.1.2 Características de Información de la Red ...................................... 73
4.1.3 Análisis de Tráfico ......................................................................... 75
4.1.5 Red Neuronal Recurrente .............................................................. 76
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
4.2 Resultados ................................................................................................ 78
4.2.1 Preprocesamiento ......................................................................... 78
4.2.2 Reconstrucción de Flujos .............................................................. 82
4.2.3 Eventos de la Red de Datos .......................................................... 85
4.2.4 Aprendizaje de la Red Neuronal Recurrente ................................. 87
4.2.5 Respuesta de la Red Neuronal Recurrente ................................... 91
4.3 Análisis de Resultados .............................................................................. 93
4.4 Resumen del Capítulo .............................................................................. 94
CAPÍTULO V ............................................................................................................. 95
REFERENCIAS BIBLIOGRÁFICAS ......................................................................... 99
ANEXOS ................................................................................................................. 103
ANEXO A ............................................................................................. 103
ANEXO B ............................................................................................. 114
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
ÍNDICE DE FIGURAS
Figura 2.1: Ejemplos de Acciones y Objetivos en Eventos .................................................... 16
Figura 2.2: Evolución de los Ataques [17] ............................................................................. 18
Figura 2.3: Tipos de Ataques Activos .................................................................................... 20
Figura 2.4: Neurona Biológica ............................................................................................... 24
Figura 2.5: Arquitectura de la Red Neuronal Recurrente ....................................................... 26
Figura 3.1: Sistema de Monitoreo ......................................................................................... 38
Figura 3.2: Arquitectura del Sistema ..................................................................................... 39
Figura 3.3: Ejemplo de captura de Tráfico de Red en formato crudo .................................... 40
Figura 3.4: Ejemplo de Bitácora de IDS en formato crudo .................................................... 41
Figura 3.5: Ejemplo de Bitácora de Estado de Red en formato crudo ................................... 41
Figura 3.6: Bitácora de Estado de Conexión Preprocesada .................................................. 43
Figura 3.7: Bitácora del Tráfico de la Red Preprocesada ...................................................... 43
Figura 3.8: Esquema modular de la Reconstrucción de Eventos .......................................... 44
Figura 3.9: Secuencia de solicitudes de Direcciones MAC.................................................... 47
Figura 3.10: Secuencia de solicitudes de Direcciones MAC .................................................. 47
Figura 3.11: Diagrama de Reconstrucción de Flujos de paquetes ARP ................................ 49
Figura 3.12: Diagrama de Reconstrucción de Flujos de paquetes ICMP .............................. 51
Figura 3.13: Diagrama de Reconstrucción de Flujos de paquetes UDP ................................ 53
Figura 3.14: Diagrama de Reconstrucción de Flujos de paquetes TCP ................................ 55
Figura 3.15: Diagrama de Reconstrucción de Flujos de paquetes TCP ................................ 56
Figura 3.16: Flujo Reconstruido ............................................................................................ 58
Figura 3.17: Entidad-Relación entre bitácoras ...................................................................... 61
Figura 3.18: Resultado de correlación de eventos ................................................................ 63
Figura 3.19: Ejemplo de un evento registrado ....................................................................... 64
Figura 3.20: Ejemplo de detalle en la Base de Eventos ........................................................ 64
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
Figura 3.21: Ejemplo de Identificadores para la Base de Conocimientos ............................. 65
Figura 3.22: Ejemplo de mapeado con la Base de Conocimientos ....................................... 66
Figura 3.23: Estructura para la Detección de Flujos Anormales ........................................... 67
Figura 4.1: Captura de información de la red de datos ......................................................... 75
Figura 4.2: Arquitectura de la Red Neuronal Recurrente utilizada ........................................ 77
Figura 4.3: a) Búsqueda de Flujo con Wireshark b) Búsqueda de Flujo con Sistema
Propuesto ............................................................................................................................. 82
Figura 4.4: Salida del Sistema .............................................................................................. 93
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
ÍNDICE DE TABLAS
Tabla 3.1: Características de los Protocolos ............................................................. 45
Tabla 4.1: Ambientes utilizados para la evaluación del sistema ................................ 72
Tabla 4.2: Capturas de tráfico generadas ................................................................. 74
Tabla 4.3: Resumen de Capturas para el entrenamiento .......................................... 74
Tabla 4.4: Resumen de reducciones de bitácoras ..................................................... 81
Tabla 4.5: Resumen de reconstrucción de flujos ....................................................... 84
Tabla 4.6: Comparación de Flujos entre el Sistema Propuesto vs Wireshark ........... 85
Tabla 4.7: Eventos totales y eventos que se pueden analizar ................................... 86
Tabla 4.8: Resumen de Evento ................................................................................. 87
Tabla 4.9: Entrenamiento de las Redes Neuronales con ventana de 24 tramas ....... 88
Tabla 4.10: Detalle de las capturas de Entrenamiento .............................................. 89
Tabla 4.11: Entrenamiento de las Redes Neuronales con ventana de 24 tramas ..... 90
Tabla 4.12: Entrenamiento de las Redes Neuronales con ventana de 24 tramas ..... 91
Tabla 4.13: Detección de Eventos con el sistema ..................................................... 92
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
vii
A Dios por hacerme una persona que piensa, siente y existe,
A mis padres y hermana por su apoyo, confianza y amor,
A mi familia con mucho cariño.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
ix
AGRADECIMIENTOS
Al CONACyT por las facilidades que me brindó en el desarrollo de todo el
proceso de Investigación.
Instituto Politécnico Nacional por la formación académica y por el apoyo en el
desarrollo de esta investigación, a la Sección de Estudios de Posgrado e
Investigación de ESIME Culhuacan, por darme la oportunidad para cumplir una de
mis metas en mi formación académica.
A mis asesores, Dr. Héctor Manuel Pérez Meana y M. en C. Eleazar Aguirre
Anaya por darme la oportunidad de participar con ellos, por apoyarme, aconsejarme
y brindarme su confianza y dedicación en la culminación de este proyecto.
A mis padres María de la Luz y Luis, por las palabras de aliento en los
momentos de flaqueza y titubeo, su apoyo incondicional en mis decisiones y sobre
todo, por impulsarme siempre a seguir mis objetivos, sus esfuerzos se convirtieron
en su triunfo y en el mío.
A mi hermana Enedina por su cariño y pensar siempre en mí. A Esther por ser
un ejemplo a seguir, su cariño y sus regaños que siempre me han ayudado. A
ustedes les doy las gracias por guiarme sobre el camino de la educación.
A Luis, Enedina, Roberto y Josefina, que se que en donde estén, me cuidan y
están orgullosos de mí.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
x
A Paz, Antonieta, Lorena, Aleyda, Eduardo, Alfredo, Oscar, Ana, David, Lionel,
Felipe, Noemí, Sebastián, Natalia, Francisco, Fabien, María Sofía y María José, por
darme momentos de alegría y su cariño en estos años de preparación. A mis tíos,
primos y sobrinos.
A Luis Carlos y Gabriel, por las enseñanzas y sobre todo, por sus consejos en
estos años y la oportunidad de seguir aprendiendo.
A mis amigos de SEPI les agradezco de corazón los momentos que vivimos. A
Araceli, por iniciar con este proyecto de investigación, a los doctores y personas de
SEPI por compartir su conocimiento.
A Sofía, Silvia, Carmen y Lidia por brindarme su amistad.
A mis amigos de Cd. Pemex, que siempre me han dado buenos deseos y
momentos de alegría.
MUCHAS GRACIAS
José Luis Sisniega González
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
xi
RESUMEN
La influencia de las tecnologías de computo en las actividades humanas se ha
incrementado durante las últimas tres décadas y el uso de los equipos
computacionales ha incrementado considerablemente los crímenes cibernéticos en
las Redes de Datos.
En este trabajo se presenta el desarrollo de un sistema que permite hacer la
reconstrucción de eventos en una Red de Datos y posteriormente hacer el
reconocimiento a través de Redes Neuronales Recurrentes de incidentes de
seguridad generados para un ataque informático de Hombre en Medio, que se sigue
utilizando para obtener información en las redes. Este ataque genera dos variables,
un escaneo de equipos conectados a la red y el envenenamiento ARP para generar
el ataque.
En reportes de investigaciones informáticas precedentes, este ataque es
utilizado para realizar pruebas y resultados de la información analizada. La
información extraída del tráfico de red permite realizar el reconocimiento de una
manera automática reduciendo el tiempo de análisis de información para los expertos
entre los eventos que no están relacionados con este ataque.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
xii
ABSTRACT
The influence of computer technology on the human activities has greatly
increased during the last three decades and the use of computer equipment has
generated considerable increase of computer crimes in Data Networks.
This work presents the development of a system that allows the reconstruction
of events in a Data Network and then makes the recognition of security incidents
using Recurrent Neural Networks generated for a computer attack of “Man in the
Middle”, which still used to obtain information in networks. This attack generates two
variables, a scan of computers on the network and to generate the ARP poisoning
attack.
In previous computing research reports, this attack is used for testing and
reporting results of an analysis. The information extracted from network traffic allows
the automatic recognition and shortening the analysis of information for the security
investigator among the events that are unrelated to this attack.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
xiii
INTRODUCCIÓN
La Seguridad Informática y la Seguridad en Redes actualmente son parte
fundamental de las organizaciones, ya que son las encargadas de la protección de la
información que ha sido almacenada en un sistema, estas actividades pueden ser
conocidas como seguridad de la información, en un principio, se concentraban en la
protección del equipo en “cajas de cristal”, sin embargo, con el crecimiento de las
redes, el alcance ha ocasionado que se generen leyes, estándares y mejores
prácticas para promover la protección de la información y redes de datos de ataques
internos y externos, así como el uso indebido del contenido por los atacantes.
La Seguridad Informática incluye el proceso de generación y utilización de
conocimientos científicos que permiten recolectar, almacena, analizar y presentar
información sobre un ataque informático, garantizando la integridad de esta como
una evidencia. La información que puede considerar como evidencia, es analizada
de manera detallada sobre las acciones que alteraron el flujo normal de la
información en el tráfico de la red de datos en la que se lleva a cabo un ataque, con
el fin de reconstruir el evento en que se desarrolló el incidente informático.
Para llevar a cabo el análisis de una Red de Datos no existe un algoritmo
estandarizado, y mucho menos que pueda detectar la herramienta que fue utilizada
en el desarrollo del incidente, haciendo que el trabajo del experto se incremente. Por
eso surge la necesidad de desarrollar un sistema eficiente y automatizado con el
objetivo de ayudar al administrador a detectar los incidentes que se presenten en una
red y pueda corregir las vulnerabilidades existentes en la Red de Datos.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
xiv
En el capítulo 1 se presenta el marco teórico de la investigación, la
presentación de la problemática, los objetivos propuestos, la hipótesis propuesta y la
justificación.
En el desarrollo de este proyecto se estudiaron y analizaron diferentes
algoritmos e investigaciones que se encuentran en diferentes artículos, estos se
mencionan en el capítulo 2, además se hace una descripción de los conceptos y
elementos de Seguridad Informática y Seguridad en Redes de Datos, se definen los
conceptos de evento, ataque e incidentes informáticos, elementos y metodologías
para la detección y prevención de intrusiones, se definen las características de una
Red Neuronal y se describe matemáticamente el comportamiento de una Red
Neuronal Recurrente, su arquitectura y el algoritmo de aprendizaje.
En el capítulo 3 se describe el proceso para realizar, en un primer paso la
reconstrucción de eventos en una Red de Datos, desde la reconstrucción de flujos
proponiendo diferentes algoritmos para los protocolos más utilizados y
posteriormente se describe el proceso del sistema como propuesta para la detección
de eventos de seguridad utilizando un arreglo de Redes Neuronales Recurrentes.
En el capítulo 4 se muestran los escenarios, pruebas realizadas y resultados
obtenidos de la reconstrucción de eventos en una red de datos y la identificación de
los eventos de seguridad utilizando una Red Neuronal Recurrente.
1
CAPÍTULO I. MARCO TEÓRICO
1.1 Planteamiento del Problema
Actualmente, la influencia de la tecnología en computación se ha
incrementado durante las últimas décadas, y las computadoras se han convertido en
una herramienta que se encuentra presente en la vida diaria de los individuos, siendo
un apoyo en sus actividades como pueden ser en el área de la medicina, comercio,
noticias y entretenimiento.
Los medios de comunicación globales tuvieron un gran auge y el ser humano
adoptó los sistemas de comunicación, como la Internet, como una parte primordial de
su vida cotidiana, consultando cuentas de correo electrónico, realizando
videoconferencias o comprando y pagando servicios en línea sin la necesidad de
trasladarse a un punto específico, convirtiéndose en una herramienta de apoyo en
las actividades humanas y empresariales. Mediante las redes de datos
interconectadas se aceleró el desarrollo informático, al mismo tiempo, se
desarrollaron conductas enfocadas en la obtención no autorizada de información o
dirigidas a causar daños en diferentes sistemas informáticos [1].
La investigación sobre la seguridad en Internet durante las últimas décadas se
ha centrado principalmente en el aseguramiento de información, confidencialidad de
los datos y la integridad a través de algoritmos criptográficos, de firma digital, de
códigos de autenticación, etcétera.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
2
Los ataques a la infraestructura de red afectan a grandes porciones de la
Internet a la vez y crean grandes cantidades de perturbación del servicio, debido a
las infracciones tales como la suplantación de IP, el envenenamiento de las tablas de
enrutamiento o robos de sesiones. Las operaciones diarias en todo el mundo cada
vez más dependen de la disponibilidad y fiabilidad de Internet, lo que hace a la
seguridad de esta infraestructura un problema de máxima prioridad en el campo [2].
Debido al incremento de incidentes y delitos informáticos en las redes de
datos, que se pueden generan por sabotajes que son conductas dirigidas a causar
daño en el software o hardware de un sistema, búsqueda de información a través de
accesos no autorizados, destrucción de datos, creación de datos falsos, por citar
algunos ejemplos nace la Seguridad Informática, que tiene por objetivo la protección
de la información y propiedad contra robo o corrupción.
La recolección de información en las redes de datos mediante archivos de
registro (como puede ser las bitácoras de eventos) tiene el propósito central de
generar una base de información para el análisis e identificar así los eventos
relacionados con incidentes de seguridad en el sistema atacado [3].
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
3
1.2 Justificación
Diferentes sistemas computacionales administran información crítica y
sensible. La detección oportuna de fallas y el monitoreo de los elementos que
conforman una red de cómputo son actividades de gran relevancia para brindar un
buen servicio a los usuarios [4].
El análisis forense de redes es una disciplina de investigación emergente que
combina elementos de la administración y seguridad en redes de datos para
mantener el tiempo máximo de funcionamiento de las redes en situaciones críticas,
utilizar el análisis de reconstrucción de tráfico para investigar y definir eventos en la
red, permite su rápida solución y prevención de recurrencias. La Forensia en Redes
permite a los analistas de seguridad, administradores de red o investigación criminal
reconstruir lo que ocurrió durante y después de un incidente informático, además
permite conocer los eventos que antecedieron al incidente [5].
De esto se deriva la importancia de contar con un esquema capaz de
reconstruir eventos de seguridad en la red de datos y mostrar su comportamiento
mediante la generación de bitácoras de elementos, el análisis y recolección de tráfico
de la red durante todo el proceso de la generación.
El análisis de eventos permite adquirir los conocimientos para comprender las
vulnerabilidades de un sistema, al no tener la información relacionada con un
incidente, sse dificulta el proceso de disminución de riesgos ya que se podrían
analizar elementos que no se encuentran inmiscuidos en el incidente, ocasionando
además un retraso en el tiempo de respuesta.
La información que se puede obtener en un incidente en una red de datos es
sensible al tiempo, ya que no existen dispositivos intermedios que almacenen la
información [2], dificultando el proceso de análisis. Este proyecto plantea como
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
4
solución la generación de bitácoras que permitan tener los datos que podrían estar
involucrados en el incidente informático.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
5
1.3 Objetivo General
Diseñar un sistema que sea capaz de reconstruir eventos de seguridad en una
red de datos a partir de bitácoras y de flujos de datos.
1.3.1 Objetivos Particulares
Generar registros del firewall, de la red y conexiones entre hosts.
Reconstruir eventos de seguridad a partir de las bitácoras de
registros.
Diseñar un algoritmo que permita la reconstrucción de flujos de
datos.
Entrenar diferentes redes neuronales que sean capaces de
determinar si un flujo de datos es normal o pertenece a un
ataque como puede ser un hombre en el medio, identificando que
herramienta se utilizó para ese ataque.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
6
1.4 Hipótesis
En probabilidad y estadística, la correlación trata de establecer la relación o
dependencia que existe entre las dos variables que intervienen en una distribución
bidimensional. Esta relación que existe entre dos variables aleatorias permite
identificar el grado de dependencia o parecido +entre ellas.
Llevando esta definición a la correlación práctica de conexiones de red, se
basan en las características compartidas entre dos o más paquetes, que pueden ser
los contenidos, información de cabeceras (como puede ser protocolos encapsulados
o direcciones físicas o lógicas de origen y destino) y la salida o llegada de ellos;
utilizando esta información se pueden obtener los flujos de diferentes conexiones
para realizar el análisis de seguridad en ellos.
Mediante la caracterización de los paquetes en los flujos de datos normales y
anormales localizados a través de la correlación, se puede identificar los eventos de
la red que están inmiscuidos en un incidente, además de proporcionar la herramienta
que pudo haber generado el ataque derivado de la acción de un intruso.
7
CAPÍTULO II. ESTADO DEL ARTE
Actualmente, la computación tiene un impacto importante en las actividades
humanas, como puede ser en la medicina, comunicaciones, gobierno, educación,
comercio o entretenimiento, y gran parte de los sistemas de comunicación están
conectados en una red global llamada Internet, que es de fácil acceso para cualquier
persona a través de una computadora y una conexión a la red. Internet no es una
sola red de datos, sino un conjunto mundial de redes de datos que son accesados
por equipos individuales a través de routers, gateways, conexiones y proveedores de
servicio de Internet [6].
Con la comodidad y el fácil acceso de la información a través de este servicio,
se generan nuevos riesgos, uno que se puede nombrar es el riesgo de que la
información valiosa o sensible se pierda, se dañe, sea robada o mal utilizada,
haciendo que el sistema sea corrompido. Al encontrarse la información registrada
electrónicamente y en equipos de una red, los intrusos pueden manipular los datos
sin estar físicamente frente al equipo, creando archivos electrónicos, generando
puertas traseras y ocultando pruebas de una actividad no autorizada [7].
2.1 Seguridad Informática
La seguridad es un factor muy importante en todos los ambientes de cómputo,
puesto que cualquier dispositivo conectado a Internet tiene el riesgo de ser atacada
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
8
desde computadoras, servidores, PDA's, ruteadores, teléfonos móviles, etc, es
necesario que estén protegidos. En los incidentes de seguridad es necesaria una
respuesta rápida para evitar pérdidas y daños que pueden llegar a ser irreversibles
[8]. Con base en lo anterior, ha creado grupos de la comunidad informática cuyo
objetivo principal era facilitar una rápida respuesta a los problemas de seguridad que
afectaron a Internet [8,9].
Una concepción general de la seguridad informática es que su único objetivo
es el secreto y protección, que representan una parte principal de ella, pero no es el
todo, en algunos entornos de aplicación o sistemas un aspecto de seguridad puede
ser más importante que otro, esta valoración se da de acuerdo a las necesidades de
la organización, por lo tanto, son parte de ella.
Este termino de tiene diferentes definiciones de acuerdo al enfoque que se le
asigne [9], se puede definir como la prevención y protección contra el acceso a la
información por personas no autorizadas [10] o como la minimización de las
vulnerabilidades que pueden ser aprovechadas en un sistema para la obtención de
información que reside en un sistema [11], de estas se puede concluir que la
seguridad informática es la protección de la información y los recursos del sistema
con respecto a la confidencialidad, integridad, autenticidad y disponibilidad.
Generalmente, la Seguridad Informática está asociada con 4 áreas centrales
[12]:
Confidencialidad: Asegura que la información no tiene acceso por
personas no autorizadas.
Integridad: Asegura que la información no es alterada por personas no
autorizadas de una manera que no es detectable por los usuarios
autorizados.
Autenticidad: Consiste en verificar la identidad del usuario para accesar a
un sistema. Asegura el origen y el destino de toda información de los
correspondientes servicios de redes y sistemas.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
9
Disponibilidad. Ofrece un servicio ininterrumpido, garantizando que se
puede acceder al recurso en cualquier momento y cualquier lugar,
evitando en lo posible que algún tipo de incidencia detenga el mismo.
Se puede entender que la protección de la información para evitar la
revelación no autorizada, modificación, destrucción accidental o intencional o la
incapacidad de procesar la información es parte de la seguridad de la información, al
trasladar esto a las redes de datos, la seguridad en redes se compone de medidas
preventivas para proteger una red del acceso no autorizado, interferencia accidental
o intencionada con operaciones normales e inclusive la protección de facilidades
físicas, software y seguridad del personal [13].
2.1.1 Seguridad en Redes de Datos
En los primeros días de las redes, un administrador de red por lo
general tenía un estricto control sobre un sistema que puede conectarse a otro
sistema remoto. En estos días, con la proliferación de redes y acceso remoto
fácil y el intercambio de recursos, a menudo es imposible identificar todos los
puntos de acceso a un sistema.
Hay una serie de diferentes estrategias para lograr la seguridad en un
entorno de red. La elección de qué y cómo las estrategias que utilizan muchos
de ellos dependerá en gran medida del tipo y el alcance de la red, el nivel de
confianza que puede depositarse en los usuarios, y el valor de los datos que
están transmitiendo. Las actividades más importantes en la Seguridad en
Redes de Datos son:
Identificación de los usuarios: las técnicas que se pueden mencionar
son las contraseñas o sistemas de reconocimiento biométrico.
Detección de intrusos: el objetivo es la detección de intrusos en
sobre cualquier acceso no autorizado. Esto puede ser en tiempo real,
antes de que el sistema haya sido dañado seriamente.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
10
Análisis de riesgos: cuantifica los beneficios obtenidos con la
protección contra amenazas de seguridad, está en función de la
frecuencia con la que se producen las amenazas, la vulnerabilidad y
los costos potenciales en el caso de que se presentará un evento.
Clasificación de datos: para una buena supervisión de la seguridad
es importante clasificar los datos convenientemente, de tal forma que
se ahorre tiempo en su análisis.
Control de las nuevas aplicaciones: antes de la instalación se debe
comprobar que no introduzca nuevas brechas de seguridad, sobre
todo si se ejecutan con permisos de superusuario.
Análisis de accesos de usuarios: brinda un control para poder
detectar intentos de acceso no autorizado [14].
En el ISO 27000 de la gestión de seguridad [15] brindan la siguiente
terminología, que define las actividades de mejor manera:
Recurso: cualquier cosa que tenga valor para la organización.
Disponibilidad: propiedad de ser accesible y usable bajo demanda
por una entidad autorizada.
Confidencialidad: propiedad que la información no esté disponible o
pueda ser descubierta por usuarios no autorizados, entidades o
procesos.
Seguridad de la información: preservación de la confidencialidad,
integridad y disponibilidad de la información, en adición también de
otras propiedades como autenticación, autorización, registro de
actividad, no repudio y confiabilidad pueden ser también
consideradas.
Eventos de seguridad de la información: pcurrencia de un evento
identificado sobre un sistema, servicio o red, cuyo estado indica una
posible brecha en la política de seguridad de la información o fallo en
el almacenamiento de la misma, también cualquier situación previa
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
11
desconocida que pueda ser relevante desde el punto de vista de la
seguridad.
Incidente de seguridad: uno o varios eventos de seguridades de la
información, no deseados o inesperados que tienen una cierta
probabilidad de comprometer las operaciones de la empresa y
amenazan a la seguridad de la información.
Sistema de administración de la seguridad de la información (ISMS:
Information Security Management System): parte de los sistemas de
la empresa, basado en el análisis de riesgo de negocio, cuya
finalidad es establecer, implementar, operar, monitorizar, revisar,
mantener y mejorar la seguridad de la información. El ISMS incluye
las políticas, planes, actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.
Integridad: propiedad de salvaguardar la precisión y completitud de
los recursos.
Riesgo residual: el riesgo remanente luego de una amenaza a la
seguridad.
Aceptación de riesgo: decisión de aceptar un riesgo.
Análisis de riego: uso sistemático de la información para identificar
fuentes y estimar riesgos.
Valoración de riesgo: totalidad de los procesos de análisis y
evaluación de riesgo.
Evaluación de riesgo: proceso de comparar los riesgos estimados
contra los criterios de riesgo establecidos o dados, para determinar el
grado de significativo del riesgo.
Conforme se tratan de definir las actividades en la gestión de seguridad
aumenta el número; una primer propuesta para poder iniciar con una correcta
administración de los servicios es el monitoreo.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
12
2.1.2 Monitoreo
La detección oportuna de fallas y el monitoreo de los elementos que
conforman una red de cómputo son actividades de gran relevancia para
brindar un buen servicio a los usuarios. De esto se deriva la importancia de
contar con un esquema capaz de notificar las fallas en la red y mostrar su
comportamiento mediante el análisis y recolección de tráfico.
Existen, al menos, tres puntos de vista para abordar el proceso de
monitorear una red: el enfoque activo, el enfoque pasivo y el enfoque reactivo,
que, aunque son diferentes, estos se complementan [16]:
Monitoreo Activo
Este monitoreo se realiza inyectando paquetes de prueba en la red, o
enviando paquetes a determinadas aplicaciones midiendo sus tiempos
de respuesta. Este enfoque tiene la característica de agregar tráfico en
la red. Este monitoreo tiene el fin de medir el rendimiento de una red.
Monitoreo Pasivo
Este enfoque se basa en la obtención de datos a partir de recolectar y
analizar el tráfico que circula por la red. Se emplean diversos
dispositivos como son: sniffers1, ruteadores, computadoras con
software de análisis de tráfico. Este enfoque no agrega tráfico como lo
hace el activo. Es utilizado para caracterizar el tráfico en la red y para
contabilizar su uso. La captura del tráfico permite contabilizar el tráfico
que circula por la red y poder identificar el tipo de aplicaciones y
servicios más utilizados, clasificando el tráfico por aplicación,
direcciones origen y destino en IP y puertos origen y destino de manera
general.
1 Aplicación de monitorización y de análisis para el tráfico de una red para detectar problemas,
lo hace buscando cadenas numéricas o de caracteres en los paquetes. Se usa especialmente para detectar problemas de congestionamiento (cuellos de botella o bottlenecks). Puede usarse ilegalmente para recibir datos privados en una red, además son difíciles de detectar.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
13
Monitoreo Reactivo
En un sistema reactivo, el IDS (Intrusion Detection System) responde a
la actividad sospechosa reprogramando el firewall para que detenga el
tráfico que proviene de la red del atacante.
Para proponer en un sistema de detección de intrusos se debe tener en
cuenta que es posible optar por una solución de hardware, software o
incluso una combinación de estos dos. La posibilidad de introducir un
elemento puro de hardware es debido al alto requerimiento del
procesador, buffer, etcétera en redes con mucho tráfico. A su vez, los
registros de firmas y las bases de datos con los posibles ataques
necesitan gran cantidad de memoria, aspecto que debe tomar en
cuenta.
Alarmas
Las alarmas son consideradas como los eventos con un
comportamiento inusual, reportan cuando el estado operacional de un
dispositivo o servicio cambia. Otro tipo de alarma basado en patrones
definidos por las métricas son valores máximos conocidos como
umbrales, cuando estos patrones son superados se produce una
alarma ya que el estado actual es considerado como un
comportamiento anormal.
Alarmas de procesamiento.
Alarmas de conectividad.
Alarmas de utilización.
Alarmas de disponibilidad (estado operacional).
Una vez que se tiene la información, se tiene que hacer un análisis de
ella, aplicando así la forensia en Redes de Datos.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
14
2.1.3 Forensia en Redes de Datos
La Forensia digital tiene su origen en el arte de la medicina legal que se
deriva de la medicina forense, debido al crecimiento de crímenes cibernéticos
se produjo la necesidad de organizar un equipo de respuesta a incidentes
estableciendo procedimientos y métodos para recopilar y analizar los datos de
la computadora, sistemas, redes, flujos de comunicación y medios de
almacenamiento de manera que sea admisible en un tribunal de justicia. Una
de las ciencias que cubre estas necesidades es la Ciencia Forense, la cual
aporta las técnicas y principios necesarios para realizar la investigación ya sea
criminal o no, en función de las disciplinas de las ciencias de la computación y
la ley [17].
La forensia en redes se usa para buscar donde se encuentra una
computadora o equipo, lo mismo que para saber si un archivo en particular se
ha enviado desde una máquina en concreto, y se puede definir como: “El uso
de técnicas científicas para recopilar, identificar, examinar, correlacionar,
analizar y documentar múltiples pruebas digitales, la transmisión de fuentes
digitales con el fin de descubrir hechos intencionales de parte del intruso, o
medición de éxito de actividades no autorizadas que tiene por objeto alterar,
corromper, y/o comprometer sistemas proporcionando información para
ayudar a recuperar los datos de estas actividades” [5,18].
Los sistemas de forensia en redes han sido diseñados para identificar el
uso no autorizado, mal uso y/o los ataques sobre sistemas de información que
fueron previamente identificados manualmente o en la mayoría de los casos,
no identificados. Ambos sistemas se basan en acontecimientos que
sucedieron en el pasado [19], haciendo referencia al análisis forense en redes
de datos, que es el proceso de analizar una copia completa de los registros de
red (como pueden ser en el caso de las sniffer, firewall, IDS, etc) que han
sufrido una intrusión o ataque. La recopilación de evidencias digitales puede
llegar a ser una tarea difícil, por lo cual es necesario preparar los sistemas
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
15
para obtener resultados eficientes. La implantación de procedimientos
adecuados en la gestión de archivos, registros y copias de seguridad pueden
ayudar al equipo investigador en esta labor [18].
De esto se puede concluir que es necesario tener un sistema que
pueden almacenar los eventos para en el caso que un incidente estos puedan
ser analizados para poder encontrar información relacionada con un incidente.
2.2 Eventos en Redes de Datos
Un evento es una acción dirigida a un objetivo que intenta dar lugar a un
cambio de estado en un sistema o dispositivo [20]. El modo en el que operan las
computadoras y las redes de datos involucran eventos. Los elementos básicos que
conforman a un evento son las acciones y el objetivo; las tareas realizadas por un
usuario o un proceso con un objetivo específico en un archivo o un programa
generan un evento [21]. Ejemplos de esto son las acciones que pueden realizarse
sobre los archivos, como son el copiar, leer, modificar o eliminar, las acciones de un
usuario sobre una computadora o un servicio, al intentar ingresar a una cuenta de un
sistema.
Un evento representa la vinculación lógica entre una acción y un objetivo
específico en el cual se dirige la tarea, y corresponde a una serie de pasos
individuales que tienen lugar durante el evento. También hay que tener en cuenta
que para que exista un evento, no es necesario que la acción tenga éxito en cambiar
el estado del objetivo; si un usuario introduce un usuario incorrecto y/o la contraseña
al iniciar una sesión en una cuenta, se generó un evento (autenticación2), pero este
no tuvo éxito en la verificación de que el usuario tiene permiso para acceder a esa
cuenta [22].
2 Es el acto de verificación de algo o alguien como auténtico, es decir, presenta una identidad
de una persona o proceso, y se verifica la identidad para poder acceder a un recurso [21].
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
16
Un aspecto importante en la definición de los eventos es que estos son
autorizados o no autorizados, y para un evento de seguridad los dos tipos deben ser
analizados, ya que un usuario puede autenticarse correctamente para iniciar la
sesión en una cuenta (proporciona la contraseña correcta para una cuenta de
acceso), accesando al recurso, generando así un evento autorizado. Sin embargo,
puede ocurrir el caso en el que el usuario se hace pasar por el usuario real,
generando así una suplantación3.
Para ejemplificar la información generada, se presenta en la figura 2.1, se
presentan acciones y objetivos que en algunos casos se pueden combinar o son
exclusivos para algún objetivo. Un evento que se produce en una red de datos o una
computadora puede ser parte de una serie de acciones destinadas a obtener algo
que no está autorizado a pasar, siendo parte de un ataque.
Sesión
Proceso
Datos
Componente
Computadora
Red de Datos
Escaneo
Inundación
Eliminación
Suplantación
Autenticación
Eliminación
Modificación
Lectura
Acción Objetivo
Evento
Figura 2.1: Ejemplos de Acciones y Objetivos en Eventos
3 Conocido en Inglés como spoofing, en términos de seguridad de redes hace referencia al
uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación [21].
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
17
2.2.1 Ataques
Un ataque es una acción llevada a cabo por un adversario en una
víctima potencial y puede tener diferentes perspectivas. Desde la perspectiva
del administrador responsable del mantenimiento de un sistema, un ataque es
un conjunto de uno o más eventos que tienen de una o más consecuencias de
seguridad; desde la perspectiva de un observador neutral, el ataque puede
tener éxito o no en un intento de intrusión y desde la perspectiva de un
intruso, un ataque es un mecanismo para cumplir un objetivo.
Una intrusión supone una entrada forzada, mientras que un ataque tan
sólo exige la aplicación de la fuerza; la búsqueda de información y las
exploraciones realizadas por un intruso se pueden consideran ataques [23].
En la década de 1980 los intrusos eran expertos en sistemas con un
alto nivel de conocimientos que personalmente los métodos construidos por
irrumpir en los sistemas. El uso de herramientas automatizadas y las
secuencias de comandos exploit4 modificó el perfil de los intrusos. Para el año
2000, debido a la amplia disponibilidad y fácil acceso a herramientas de
intrusión y exploits se puede reproducir fácilmente los métodos conocidos de
ataques a la red, haciendo así, que los intrusos novatos requieran de menores
conocimientos e incrementando la magnitud de los incidentes y tipos de
ataques [17], este incremento se presenta en la figura 2.2.
4 Es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin
de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o componente electrónico computarizado).
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
18
1980 20001985 1990 1995 2005
Alto
Ba
jo
Co
no
cim
ien
tos
Adivinación de Password
Conocimiento del Usuario
Sofisticación
de Ataques
Replicación de Código
Password
Exploits a vulnerabilidades
Deshabilitación de Auditorias
Robos
Sniffers
Sesiones Hijacking
Puertas Traseras
SweepersSuplantación de Paquetes
Diagnostico de Redes
GUIMapeado Automatico
Denegación de Servicios
Ataques www
Técnicas de Mapeo AvanzadoHerramientas de Ataques Distribuidos
Bootnet
Figura 2.2: Evolución de los Ataques [17]
Un patrón de ataque típico consiste en acceder a la cuenta del usuario, el
acceso privilegiado, y utilizando el sistema de la víctima como una plataforma de
lanzamiento para ataques contra otros sitios.
Los ataques se pueden clasificar en dos tipos de acuerdo a sus
características:
Ataques Pasivos: tienen la característica de no alterar el flujo de datos al
obtener información al monitorear el tráfico de una red. La ventaja que
presenta este ataque es la gran dificultad de detección, ya que no generan
una alteración a la información pero es posible evitar el éxito, mediante el
cifrado de la información.
Ataques Activos: son aquellos donde el intruso monitorea o escucha el
tráfico de la red alterando la información. Estos ataques se subdividen en las
siguientes categorías:
a) Interrupción: un objeto del sistema es destruido volviéndolo inutilizable o
no disponible.
b) Intercepción: un elemento no autorizado consigue el acceso a un
determinado objeto del sistema.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
19
c) Modificación: al conseguir el acceso al sistema se logra modificar el
objeto.
d) Fabricación: un elemento no autorizado inserta objetos falsos dentro del
sistema.
e) Destrucción: se produce una modificación que inutiliza el objeto [23].
Estos tipos de ataques se ejemplifican en la figura 2.3.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
20
A---------------
-----------------
-----------------
-----------------
-----------------
A---------------
-----------------
-----------------
-----------------
-----------------
Flujo Normal
A---------------
-----------------
------------
a) Interrupción
A---------------
-----------------
-----------------
-----------------
-----------------
A’--------------
-----------------
-----------------
b) Intercepción
A---------------
-----------------
-----------------
-----------------
-----------------
A’--------------
-----------------
-----------------
A’--------------
-----------------
-----------------
-----------------
-----------------
c) Modificación
A---------------
-----------------
-----------------
-----------------
-----------------
A’--------------
-----------------
-----------------
-----------------
-----------------
C---------------
-----------------
-----------------
-----------------
-----------------
d) Fabricación
C---------------
-----------------
-----------------
-----------------
-----------------
e) Destrucción
A---------------
-----------------
-----------------
-----------------
-----------------
Figura 2.3: Tipos de Ataques Activos
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
21
2.2.2 Bitácoras
También conocidos como log5, es un registro de eventos durante un
rango de tiempo en particular. En seguridad informática es usado para
registrar datos o información sobre quién, qué, cuándo, dónde y por qué (who,
what, when, where y why, W5) un evento ocurre para un dispositivo en
particular o aplicación [24].
La mayoría de las bitácoras son almacenados o desplegados en el
formato estándar, el cual es un conjunto de caracteres para dispositivos
comunes y aplicaciones. De esta forma cada log generado por un dispositivo
en particular puede ser leído y desplegado en otro diferente.
También se le considera como aquel mensaje que genera el
programador de un sistema operativo, alguna aplicación o algún proceso, en
virtud del cual se muestra un evento del sistema.
A su vez la palabra log se relaciona con el término evidencia digital. Un
tipo de evidencia física construida de campos magnéticos y pulsos
electrónicos que pueden ser recolectados y analizados con herramientas y
técnicas especiales, lo que implica la lectura del log y deja al descubierto la
actividad registrada en el mismo [25].
2.2.3 Incidente
Un incidente de seguridad de red es cualquier actividad relacionado con
la red con implicaciones negativas en la seguridad, generalmente significa que
la actividad que viola una política de seguridad, explícita o implícita es un
incidente. Pueden venir de cualquier lugar de Internet, aunque algunos
ataques deben ser lanzados desde los sistemas o redes específicos y algunas
requieren acceso a las cuentas especiales. Una intrusión puede ser un evento
5 Término anglosajón, equivalente a la palabra bitácora en lengua castellana.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
22
relativamente menor que afectan a un solo sitio o un acontecimiento
importante en la que decenas de miles de sitios se vean comprometidas.
Los incidentes de seguridad computacional pueden ser los eventos que
se considera una amenaza para la seguridad de un sistema [26]. En general,
los diferentes ataques que sufren los sistemas de cómputo pueden ser
conocidos como incidentes de seguridad, que son una amenaza para la
operatividad y buen funcionamiento de cualquier organización. Una gran
variedad de incidentes de seguridad que existe, entre los que se pueden
mencionar [6]:
• Los intentos (exitosos o no) para obtener acceso sin autorización a
un sistema o sus datos.
• Las interrupciones no deseado o de denegación de servicio. Para
utilizar un sistema para procesar o almacenar datos sin autorización
• Para cambiar las características de hardware, software o instalar
software malicioso, sin el conocimiento del propietario.
De esta manera, los incidentes de seguridad informática son cualquier
evento que se considera una amenaza para la seguridad de un sistema y se
clasifican en [27,28]:
Automáticos: son las herramientas de software que sin la
interacción del usuario, ejecutan alguna operación para
desequilibrar el funcionamiento de un sistema computacional; estos
tipos de incidentes son los virus, gusanos y troyanos.
Manuales: se dan de forma intencional cuando un atacante se
quiere introducir en un sistema informático violando las restricciones
de seguridad que tienen. Entre los ataques manuales se tienen la
búsqueda de vulnerabilidades, hacking, cracking e ingeniería social,
entre otros.
Estáticos: no se reproducen; entre estos tenemos: bombas lógicas,
los ataques de denegación de servicio, entre otros.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
23
La detección de intrusiones mediante técnicas de inteligencia artificial
es una de las áreas con grandes aportes en los sistemas de seguridad,
utilizando datos para entrenamiento poder determinar qué actividades son
normales y cuáles pueden ser anómalas. Una forma de hacer esto es utilizar
un algoritmo inteligente que pueda simular las características más importantes
del cerebro humano: la capacidad de aprendizaje y el poder procesar
información incompleta o que no es precisa.
2.3 Redes Neuronales
Las Redes Neuronales son sistemas de software que modelan el proceso de
los humanos de aprendizaje y recuerdos. Una red neuronal puede ser usada en
seguridad informática para detectar una transacción fraudulenta o una intrusión a un
sistema computacional [29, 30].
Mediante las Redes Neuronales se ha intentado simular dos de las
características más importantes con que cuenta el cerebro humano: la capacidad de
aprendizaje y el poder procesar información incompleta o que no es precisa. Esto se
ha solicitado para la solución de problemas tanto científicos como de la vida diaria.
Las Redes Neuronales intentan imitar el proceso de aprendizaje del cerebro
humano, que está formado por millones de neuronas conectadas entre sí. Utilizan
información que es percibida y transmitida hasta las neuronas, y al ser procesadas
por ellas, dan una respuesta a cada uno de los diferentes estímulos. Cada neurona
biológica tiene tres partes: un cuerpo celular, una estructura de entrada (Dendrita) y
una de salida (Axón), esta estructura se puede observar en la figura 2.4. La mayoría
de las terminales de los axones se conectan con las dendritas de otras neuronas,
generando así la Sinapsis. Matemáticamente el comportamiento de la neurona puede
representarse por una lista de sus señales de entrada que son multiplicadas por sus
pesos respectivos y posteriormente sumados, el resultado es llamado nivel de
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
24
activación de la neurona del cual depende la señal de salida que es enviada a cada
una de las neuronas a las que está conectada a ella.
Figura 2.4: Neurona Biológica
Dependiendo de la estructura de la red neuronal existen varias tipologías,
algunas de estas son: Perceptrón, Adaline, Perceptrón multicapa, Backpropagation,
Elman, Hopfield, Kohonen, etc. Las redes neuronales artificiales pueden ser vistas
como grafos dirigidos con peso, en las cuales las neuronas artificiales son nodos y
las conexiones dirigidas (con pesos) están entre las salidas y entradas de las
neuronas. Basándose en las arquitecturas de conexión, las redes neuronales pueden
ser agrupadas en dos categorías:
Redes Neuronales hacia adelante (feed-forward), en las cuales los grafos
no tienen ciclos.
Redes Neuronales Recurrentes (feedback), en las cuales los ciclos
ocurrren por las conexiones hacia atrás.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
25
2.4.1 Red Neuronal Recurrente
Las redes neuronales recurrentes (RNN) son sistemas dinámicos no
lineales capaces de detectar regularidades temporales en las secuencias que
pueden ser procesadas, pudiendo ser aplicadas, por lo tanto, a una multitud
de tareas de procesamiento de dichas secuencias. La red neuronal con
conexiones recurrentes, como su nombre lo indica, describe la periocidad de
la información. Aquí la señal viaja desde la capa de entrada hasta la capa de
salida, mientras al mismo tiempo, algunos o todos los datos de salida regresan
desde la capa de salida ya sea a la capa de entrada o a una capa intermedia,
formando un ciclo, pudiendo la salida regresar al mismo nodo de salida un
instante después [31].
2.4.2 Arquitectura de la red neuronal recurrente
La red neuronal empleada consiste de dos capas: capa de entrada y
capa de salida. La estructura de esta red difiere de la red perceptrón simple
incluyendo una recurrencia en la capa de salida porque se trata de un
clasificador de tipo supervisado con el objetivo de separar las diferentes
clases conociendo su pertenencia [31], la arquitectura es mostrada en la figura
2.5.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
26
2
3
i
q
1
j
m
1
fn
fn
fn
1
k
l
Wij
Vjk
Capa de
EntradaCapa de Salida
Figura 2.5: Arquitectura de la Red Neuronal Recurrente
Las neuronas de la capa de salida de la red están completamente
conectadas con las neuronas de las capas de entrada y las neuronas de la
capa de salida están conectadas a ellas mismas. Cada conexión de pesos
cuyo valor es modificado durante el proceso de entrenamiento. Por lo tanto, la
salida Y de la red en el tiempo t es obtenida de la siguiente manera:
( ) (∑ ( ) ∑ ( )
) ( )
Donde, Xi es el i-ésimo elemento de entrada de la capa de entrada de
tiempo t, Wij(t) es el peso de conexión entre i-ésimo elemento de entrada de la
capa de entrada y el j-ésimo elemento de salida de la capa de salida, Vjk es el
elemento recurrente de la capa de salida en el tiempo t-1, q es el número de
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
27
elementos de entrada y m es el número de elementos de salida. La función de
activación es no lineal. La adaptación de los pesos de conexión se realiza
usando los datos de entrada y de salida, no se requiere de un dato de
referencia.
La Red Neuronal Recurrente funciona de la siguiente manera, los pesos
de la conexión W ij y Vjk, se inicializan con valores aleatorios en el instante t=0
y con los valores existentes desde q neuronas de entrada hasta m neuronas
de salida para los tiempos t>0, los valores de los pesos Vjk se inicializan con
valores existentes desde m neuronas de salidas hasta k neuronas de salida,
ya que se trata de la recurrencia de la misma capa que es de salida. Los
valores con los cuales se inicializan los pesos en t=0 son valores aleatorios
muy pequeños.
1. Yk t-1 inicializa con valores de ceros.
2. Calcula la salida deseada de la red aplicando la función de activación
que es no lineal.
3. Se repite el proceso en tiempo t hasta que el error de aprendizaje
sea cero.
2.4.3 Algoritmo de Aprendizaje
Se utiliza la regla delta para el entrenamiento de cualquier tipo de red
neuronal, en la que se aplica el concepto de gradiente descendente, que
consiste principalmente en una técnica de disminución del error. El objetivo
consiste en minimizar la función de error cuadrático medio entre la salida real
y la salida deseada de la red. El error de k-ásimo elemento de la capa de
salida en el tiempo t es definido por:
∑ ( )
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
28
Donde: ek= (dk-Yk) Error de salida
dk= Salida deseada
Yk= Salida real de la red
En la salida real de la red tiene dos posibles resultados, 0 si se trata de
un flujo normal y 1 si es un flujo con algún ataque.
Las matrices de pesos se adaptan con las siguientes ecuaciones:
( ) ( )
( )
( ) ( )
( )
La variable α es el constante de aprendizaje. Para poder obtener las
ecuaciones de adaptación, se debe considerar la regla de cadena:
( )
( )
Al desarrollar las ecuaciones parciales en 2.5
( )
( )
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
29
Al desarrollar las ecuaciones parciales en 2.6 se tiene que:
( )
(∑ ( ) ∑ ( )
) ( )
Aplicando el cambio de variable se obtiene:
∑ ( )
∑ ( )
( )
(∑ ( )
∑ ( )
) ( )
Por lo tanto la adaptación de los pesos en el tiempo t se obtiene de la
siguiente manera:
( ) ( ) ( )
( ) ( ) ( ) ( )
Teóricamente en el análisis del algoritmo de aprendizaje para la
convergencia es importante para entender el procedimiento de la red. Este
tipo de técnicas se han utilizado para analizar tráfico de red en la identificación
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
30
de ataques, en el siguiente punto se hablarán de trabajos relacionados con
esta investigación.
2.4 Investigaciones Relacionadas
En este apartado se presentarán algunos trabajos relacionados con esta
investigación, observando los desarrollos y metodologías que se han implementado
en los sistemas informáticos para resolver problemas que se pueden presentar en las
redes de datos de alguna organización.
El trabajo titulado “Building a Time Machine for Efficient Recording and
Retrieval of High-Volume Network Traffic” [32] presenta un modelo de captura masiva
de grabación con un tiempo de espera, incorporándole la idea de registrar sólo las
primeros n-tramas para cada conexión, al sobrepasar el número promedio disminuye
la cantidad de datos, no almacena por completo los términos de la conexión,
únicamente N-bytes de la conexión (que es el tamaño de corte de conexión).
La arquitectura propuesta en este trabajo separa la interacción del usuario y
de la grabación, priorizando la grabación de los datos a la recuperación de paquetes.
Los elementos que conforman al módulo de grabación son:
1. Grabador: es el responsable de la captura de paquetes y el
almacenamiento. La unidad de captura recibe paquetes desde la red y
los transmite a la unidad de clasificación
2. Unidad de Clasificación: es el encargado de seguir el punto de corte
con la ayuda del componente de seguimiento de conexiones, una vez
superadas las n tramas completas, se inicia el corte duro de N-bytes.
3. Contenedor de Almacenamiento: guarda la información en varios
contenedores de almacenamiento, cada uno almacena un subconjunto
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
31
de los paquetes dentro de los recursos (memoria y disco) que se
asignan a través de la interfaz de usuario.
4. Indexado: permite la recuperación eficiente de todos los paquetes
almacenados en todos los contenedores de almacenamiento,
gestionado por el módulo de indexación
5. Módulo de búsqueda: cada consulta consiste en una combinación
lógica de rangos de tiempo y palabras claves.
La evaluación del sistema la hicieron en el Lawrance Berkley National
Laboratory, que tiene una tasa de tráfico diario de 1.5 TB; aplicaron un corte de 20
KB, y diferentes espacios de almacenamiento: en tráfico TCP un espacio de 90 GB,
en UDP con 30 GB, y para otros protocolos utilizaron un espacio de 10 GB. Indican
que la capacidad de retención en el primer buffer de almacenamiento permite
conservar la información en un rango de 3 a 5 días, informando que el 98% del
tráfico se descarta, con una tasa promedio de 300 KB/s a una velocidad de 2.6 MB/s
en almacenamiento, perdiendo el 0.016 % del tráfico total reportado por libpcap. En
los resultados reportan que sólo se pueden obtener la información de robos de
sesiones, por lo cual el sistema no permite identificar ataques sobre otros protocolos,
como puede ser un ataque de hombre en el medio, icmp smurf, land y ping of death.
El trabajo titulado “A Fuzzy Logic Based Expert System as a Network
Forensics” [33] presenta el desarrollo de un sistema experto basado en lógica difusa
para el análisis forense de la red de datos de manera automática y eficiente; capaz
de caracterizar los crímenes informáticos en entornos de la red, generando
evidencias digitales automáticamente. Esto lo presentan a través de las
comparaciones entre el sistema desarrollado y Snort, indicando que puede reconocer
los ataques: TCP port SCAN, TCP SYN flooding, ICMP smurf, land y ping of death,
proporcionando la información relacionada con los ataques antes mencionados para
el análisis de un especialista. La arquitectura que se presenta consta de 6
componentes principales:
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
32
1. El analizador de tráfico: se secciona la captura de tráfico de red en
clasificación de paquetes usando el mismo de tipo de protocolos en
intervalos de tiempo de 60 a 120 segundos.
2. Fusificación: hacen uso del modelo difuso de Takagi-Sugeno para hacer la
fusificación.
3. El motor de inferencia difusa: manipula los datos obtenidos de las
funciones de membresía.
4. Base de conocimiento: en este componente están almacenadas las reglas
IF-THEN para cada uno de los 5 ataques antes mencionados.
5. Defusificación: hacen uso de las técnicas de máximo centro y centro de
gravedad. El menor de los máximos fue usado para la eficiencia.
6. Analizador forense: se encarga de encontrar la posible evidencia en las
capturas de tráfico.
Se indica en el trabajo que el sistema snort tuvo una eficiencia del 63.07% en
la identificación de 4 de los 5 ataques, el ataque ICMP smurf no lo detectó en las
pruebas, mientras que el sistema propuesto tiene el 93 % de eficiencia al reconocer
los 5 ataques mencionados.
2.5 Resumen del Capítulo
Un evento es el resultado de una acción sobre una entidad destino con el
objetivo de generar un cambio de estado, ya sea de manera exitosa o no. Estos
definen dos elementos importantes:
Acción: medida tomada por un usuario o proceso con el fin de lograr un
resultado, como el escaneo, inundación, eliminación, autenticar, modificar,
leer, etcétera.
Objetivo: entidad física (computadora, red física interna o externa) o red
lógica (cuenta, proceso o datos).
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
33
La generación de registros permite realizar un análisis sobre un incidente
ocurrido, teniendo la evidencia en algún incidente, además de poder brindar
información para mitigar una vulnerabilidad.
En general, los sistemas basados en redes neuronales son diseñados con el
fin de aprender, generalizar y poder predecir patrones o estados deseados del
entrenamiento y prueba de dichos sistemas. Las redes Neuronales recurrentes
tienen un buen desempeño en la identificación y clasificación de patrones
secuenciales con distintas probabilidades de ocurrir a través del tiempo [34].
En el siguiente capítulo se presenta el sistema propuesto para dar solución a
la identificación de eventos de seguridad no detectados en una red de datos, además
de una propuesta de implementación de una red neuronal para el reconocimiento de
ataques conocidos.
35
CAPÍTULO III. RECONSTRUCCIÓN DE
COMUNICACIONES Y ANÁLISIS DE EVENTOS DE
SEGURIDAD
En este capítulo se presentan los componentes del sistema propuesto que se
enfoca en la reconstrucción de eventos de seguridad y la aplicación de redes
neuronales recurrentes para la identificación de flujos de comunicaciones completos
e incompletos reconstruidos a través de las bitácoras propuestas en las redes de
datos. Las redes neuronales aplicadas para la identificación de flujos sospechosos
del tráfico en la red funcionan de una manera eficiente y automática, identificando las
herramientas que pudieron ser utilizadas para generar un ataque en la etapa de
análisis, de acuerdo a los resultados obtenidos. Comparando estos resultados con
los dos artículos presentados en el tema 2.4, estos complementan el objetivo de este
trabajo al implementar un sistema de almacenamiento de tráfico de red y un sistema
difuso para analizar la información y determinar si existe algún ataque desarrollado.
En esta tesis se tiene como objetivo principal el almacenamiento del tráfico que
puede ser necesario para el análisis de incidentes de seguridad en varios protocolos,
obteniendo un mejor porcentaje en el reconocimiento de ataques implementando el
reconocimiento de herramientas en los ataques de estudio. Es importante mencionar
que en esta fase no se implementó un sistema difuso, sino un arreglo de redes
neuronales para identificar la herramienta que se utilizó en el ataque. A continuación
se describirá el sistema que se implementó.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
36
3.1 Modelo de Reconstrucción de Eventos
Generalmente la detección de intrusiones en una red de datos consta de tres
partes fundamentales: la recolección de datos, el análisis de información y finalmente
la presentación de los eventos. La propuesta en este trabajo está integrado por dos
partes principales: la de monitoreo, el cual permite cubrir la fase de recolección de
datos y el modelo a bloques del sistema, que es la encargada de analizar la
información y presentar los eventos involucrados en un incidente mediante la
implementación de redes neuronales.
Esquema de Monitoreo
Las acciones, hechos, y la información se convierten en evidencia en los
eventos de seguridad, pero la información que se maneja en los elementos de las
redes de datos son diferentes a los de una aplicación por parte de un sistema
operativo, además que los lugares donde se puede generar un análisis no son los
mismos, por lo cual se propone que el proceso aplicado en los sistemas de redes de
datos interconectados en un primer paso sea el almacenamiento de tramas de datos
en una base de almacenamiento.
Una característica fundamental en el análisis de incidentes es garantizar que
la evidencia no sea modificada [35], por lo cual, el esquema de control de monitoreo
no tiene que realizar algún cambio y almacenar toda la información que sea posible.
La cantidad de datos que se debe almacenar es difícil de determinar, porque si se
observa la cantidad de información que fluyen en una red de datos es amplia, por lo
cual, el espacio requerido para el almacenamiento es demasiado grande.
Para hacer una aproximación a la recolección de información se propone un
modelo de monitoreo pasivo para la obtención de datos del tráfico de la red. La razón
principal es que un modelo pasivo no agrega más datos a la red. En este modelo la
captura se realiza en el canal de comunicación entre el Firewall y en la conexión de
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
37
la red externa con el fin de capturar el tráfico de estas e implementar bitácoras para
la reconstrucción de eventos; los elementos de conectividad considerados son los
siguientes [36,37]:
• Bitácoras del Firewall.
• Bitácoras del IDS.
• Bitácoras del Estado de Conexión.
• Bitácoras del Tráfico de Red.
Se presupone que la Red de datos cuenta con controles y políticas de
seguridad adecuadas para el tipo de red. En un sistema digital, incluyendo una red
de datos, la información y la posible evidencia es volátil, y esto condiciona a tener
controles de monitoreo previos. En el modelo que se utilizó, los scripts de la
plataforma de monitoreo se ejecutaron en el firewall, una posible mejora es el utilizar
hardware especializado como puede llegar a ser un Network TAP6, que puede
generar un duplicado de la información que circula en el segmento de conexión. El
modelo del sistema de monitoreo se muestra en la figura 3.1, en ella se presenta la
conexión básica entre la red interna y externa, el canal de salida lo tiene el firewall
6 La alternativa. TAP significa `Test Access Port' (Puerto de Acceso de Pruebas). Los Network
Tap (dispositivos de escucha de red) son dispositivos que permiten examinar el tráfico de red sin intervenir en el flujo de datos. Trabajan a nivel 1 de OSI, por lo que no realizan ninguna función de redirección o encaminamiento del tráfico, suelen tener buffers para evitar pérdidas de datos, regeneran la señal, pueden monitorizar comunicaciones de fibra óptica, entre otras características.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
38
Red
Externa
Red
Interna
Plataforma
de
Monitoreo
Firewall
IDS
Figura 3.1: Sistema de Monitoreo
El sistema de reconstrucción de eventos consta de 6 elementos: el analizador
de Tráfico, el preprocesamiento, el módulo de reconstrucción de eventos, la base de
eventos, la red neuronal recurrente, la base de conocimientos y el módulo de evento
de seguridad. El funcionamiento de cada parte de forma general es el siguiente:
Grabador de Tráfico: se encarga de la lectura del tráfico de la red a través
de un sniffer en un modo de captura en crudo, además de generar las
bitácoras del Firewall, IDS, y las Conexiones de la Red.
Módulo de Pre procesamiento: es el encargado de dar formato los registros,
eliminando estados repetidos.
Módulo de Reconstrucción de Eventos: se encarga de reconstruir los flujos
de datos y realizar la correlación entre las diferentes bitácoras. Los flujos de
los eventos registrados por el IDS son ignorados para el análisis mediante
la red recurrente.
Red Neuronal Recurrente: se encarga de analizar los eventos
almacenados.
Eventos de Seguridad: presenta los Eventos que son marcados como
sospechosos.
La arquitectura del sistema se presenta en la figura 3.2.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
39
Tráfico en RedReconstrucción de
EventosPreprocesamiento
Base de Eventos
Red Neuronal
Recurrente
Evento de
Seguridad
Base de
Conocimentos
Figura 3.2: Arquitectura del Sistema
A continuación se describirán las características de cada módulo de la
arquitectura propuesta en el sistema de detección y reconstrucción de eventos de
seguridad. El primer paso del sistema de seguridad es el proceso de captura de
tráfico, al realizar esta tarea, permite generar una ventana de tiempo de los paquetes
transmitidos en la red que proporcionan una de las partes de la base de información
para el sistema.
3.1.1 Grabador de Tráfico
Este módulo es el encargado de generar cada una de las bitácoras
propuestas en el sistema para el análisis. El Detector de Intrusiones analiza el
tráfico en la red y genera un registro donde se almacenan las alarmas o avisos
de ataques detectados y bloqueados; el Firewall almacena los intentos de
violación de las políticas y la bitácora de Estado de Conexión almacena los
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
40
cambios de estados de los sockets en cada host y puerto (como puede ser
una nueva conexión, una conexión en tiempo de espera o cerrada).
Al momento que se están generando estas tres bitácoras, se genera
una cuarta, la cual se encarga de realizar la captura de tráfico, para hacer esta
operación se utiliza un dispositivo dedicado a monitorear todo el tráfico de la
red en un modo promiscuo llamado sniffer o rastreador. Este software captura
la información de tráfico con ayuda de las librerías .pcap; estas librerías
permiten que estas bitácoras puedan ser analizadas de forma manual por
programas analizadores de tráfico, como pueden ser tcpdump o wireshark. La
herramienta utilizada en específico es t-shark, que captura la información
mediante línea de comandos, forma parte de Wireshark, que es la
continuación del trabajo de Ethereal.
Las cuatro bitácoras se graban en un formato crudo, tratando de que no
se pierda información de generación de nuevas conexiones y transferencia de
datos; el principal problema que se presenta en este punto es el espacio de
almacenamiento, ya que de acuerdo al tamaño de la red que se monitoree, la
cantidad de información que se transmita y el número de host se incrementa la
cantidad de datos a capturar.
Una vez que se tienen las bitácoras de información los logs son usados
por el módulo de preprocesamiento, que realiza un barrido de los datos para
iniciar con la reconstrucción de eventos. En las figuras 3.3, 3.4 y 3.5 se
presentan los resultados de los scripts en formato crudo.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
41
Figura 3.3: Ejemplo de captura de Tráfico de Red en formato crudo
Figura 3.4: Ejemplo de Bitácora de IDS en formato crudo
Figura 3.5: Ejemplo de Bitácora de Estado de Red en formato crudo
3.1.2 Pre procesamiento
El módulo de preprocesamiento utiliza las bitácoras generadas por los
scripts implementados en un formato crudo, y genera archivos con un formato
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
42
estándar para la obtención de la información utilizada tanto en la
reconstrucción de flujos y la correlación de eventos.
Cada bitácora tiene parte de la información relacionada con los eventos
de seguridad, anexando la información actualizada en periodos cortos de
tiempo; esto puede llegar a ocasionar que se duplique información como
puede ser en una conexión, que en una ventana de 10 segundos puede seguir
el socket en un estado de establecido y se tengan 30 registros indicando la
misma información, así, este módulo realiza la tarea de no tener información
duplicada en una misma bitácora.
Para ejemplificar este módulo, en las figuras 3.6 y 3.7 se presentan
ejemplos de las bitácoras de Tráfico de Red y Estado de Conexión
preprocesadas.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
43
Fig
ura
3.6
: B
itáco
ra d
e E
sta
do
de C
on
exió
n P
rep
rocesad
a
Fig
ura
3.7
: B
itáco
ra d
el T
ráfi
co
de
la R
ed
Pre
pro
ce
sad
a
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
44
La ventaja principal que presenta este modulo es la reducción de
espacio necesario para el almacenamiento de la información, al retirar
información que puede estar duplicada en alguno de las bitácoras como puede
ser la de estado de la red.
3.1.3 Reconstrucción de Eventos
Este módulo realiza un análisis del tráfico de red seleccionando la
información importante y el criterio para clasificar los paquetes que pertenecen
a un flujo de información, además clasifica la información en los eventos ya
analizados e identificados por las alarmas del IDS, enviando los flujos
incompletos y no marcados como sospechosos a un análisis posterior. Este
módulo realiza dos tareas principales: La reconstrucción de flujos de datos
utilizando la bitácora de Tráfico de Red y la correlación de las bitácoras del
Firewalll, IDS y Estadísticas de Red para hacer la detección de eventos que
no han sido analizados en la red. El esquema modular de esta operación se
presenta en la figura 3.8.
Figura 3.8: Esquema modular de la Reconstrucción de Eventos
Reconstrucción de Flujos
Esta parte reconstruye los flujos que aparecen en la bitácora del
tráfico de red y se enfoca en tres protocolos principalmente: ARP,
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
45
ICMP y TCP y UDP sobre IPv4. Las capturas de tráfico se
realizaron en una red LAN; los parámetros utilizados de las
cabeceras de los protocolos para realizar la reconstrucción son
mostrados en la tabla 3.1.
Protocolo Parámetros utilizados
ARP Tipo, dirección MAC origen, dirección MAC destino, dirección IP origen y dirección IP destino.
IPv4 Versión, protocolo, dirección origen y dirección destino.
ICMP Dirección origen y destino, tipo y código.
UDP Puertos origen y destino.
TCP Puertos origen y destino, banderas y números de secuencia.
Tabla 3.1: Características de los Protocolos
Para cada uno de los protocolos se analizan los campos de las
cabeceras para iniciar con la reconstrucción de los flujos. El
proceso para hacer la búsqueda de cualquier flujo es la lectura del
archivo de información y crea una imagen de trabajo, en la cual se
eliminará cada trama y se dejará como un campo nulo al pertenecer
a un flujo, al leer la trama N que va desde la trama 1 hasta el
número de tramas que se encuentran en el archivo, valida el tipo de
encapsulado que se encuentra dentro de la cabecera Ethernet y se
realizan las primeras tomas de decisiones, que es la reconstrucción
de flujos ARP o IPv4. En el primer caso que el tipo de la trama N
que se leyó se tiene un código 0x0806 (ARP), se almacena en el
buffer temporal y se inicia con un barrido con las tramas
posteriores, validando la respuesta o solicitud de información, en
este proceso se plantean 3 escenarios: Un flujo normal de
información, un ataque con envenenamiento de las tablas ARP y un
flujo incompleto. Para el primer escenario se valida que las tramas
subsecuentes a la almacenada temporalmente en buffer
corresponda a la respuesta de la solicitud, con el campo de MAC
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
46
destino e IP destino correspondan a la MAC origen e IP destino de
la trama N, además que el código se envíe dentro del protocolo sea
la respuesta a una solitud ARP o RARP.
El segundo escenario, en un envenenamiento se puede presentar
desde una secuencia de solicitudes ARP de direcciones físicas
correspondientes en el segmento de red, además de las respuestas
de solicitudes ARP con la MAC origen e IP origen de la trama N en
las tramas subsecuentes, esto se muestra en las figuras 3.9 y 3.10
respectivamente.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
47
Fig
ura
3.9
: S
ecu
en
cia
de s
olicit
ud
es d
e D
irec
cio
ne
s M
AC
Fig
ura
3.1
0:
Secu
en
cia
de s
olic
itu
des d
e D
ireccio
nes M
AC
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
48
El tercer escenario corresponde a una solicitud o respuesta en una
trama, en la cual no aparece la trama de respuesta para la primera
opción o la solicitud durante la captura, la trama N se envía a los
flujos incompletos. El diagrama de flujo se presenta en la figura
3.11.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
49
X =
Nú
me
ro to
tal d
e
Tra
ma
s
N =
1 M
= 1
Inic
io
Le
e tra
ma
Eth
ern
et N
Tip
oN =
= 0
80
6S
i
No
IPA =
IP
Orig
en
MA
Ca =
MA
Co
rig
en
Alm
ace
na
en
Bu
ffe
r T
ram
a N
K =
1
Pa
q =
1L
ee
Tra
ma
N+
K
Tip
oN
+K =
= 0
80
6M
AC
orig
en
N+
K =
= M
AC
A
Ipo
rig
en
N+
K =
= IP
A
Co
dig
oN
+K =
= 0
1 || 0
3
Tip
oN
+K =
= 0
80
6M
AC
de
stin
oN
+K =
= M
AC
A
Ipd
estin
oN
+K =
= IP
A
Co
dig
oN
+K =
= 0
2 || 0
4
Si
No
Si
No
N +
K >
X
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Incre
me
nta
N +
1
Alm
ace
na
en
Bu
ffe
r
Tra
ma
N+
K
Incre
me
nta
Pa
q
Elim
ina
Tra
ma
N+
K d
e
Ima
ge
n d
e T
rab
ajo
Incre
me
nta
K +
1
Si
No
Si
No
N =
= X
Tra
ma
N e
s n
ula
( da
to e
limin
ad
o)
Si
En
vía
Tra
ma
N a
Flu
jos
Inco
mp
leto
s
N +
K =
= X
Si
No
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Va
cía
Bu
ffe
r
1
1
Le
ctu
ra d
e B
itá
co
ra
de
Re
d
Pre
pro
ce
sa
da
Ge
ne
ració
n d
e Im
ag
en
de
Tra
ba
jo
Fin
Alm
ace
na
Bu
ffe
r e
n
Flu
jo M
Alm
ace
na
Pa
q e
n N
o d
e
Tra
ma
s e
n e
l F
lujo
Incre
me
nta
M +
1
Va
cía
Bu
ffe
r
Incre
me
nta
N +
1
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
Fin
Fig
ura
3.1
1:
Dia
gra
ma d
e R
eco
nstr
uc
ció
n d
e F
lujo
s d
e p
aq
uete
s A
RP
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
50
En el caso de que en las tramas Ethernet se encuentre un
encapsulado tipo 0x0800 (IPv4), se valida el protocolo encapsulado
dentro de esta cabecera; los tipos que se validan son ICMP, UDP y
TCP.
Cuando el encapsulamiento en IPv4 es un protocolo ICMP en la
trama N, esta se almacena en el buffer temporal y se inicia un
barrido hacia adelante comparando la respuesta al código en la
cabecera ICMP, además de comparar que la IP origen de la trama
N+K corresponda a la IP destino de la trama N y la IP destino de la
trama N+K corresponda a la IP origen de la trama N. Los códigos
analizados en esta búsqueda son: la petición y respuesta de eco,
router, información y máscara de dirección. Una vez hecho se
almacenan en el buffer temporal y se siguen buscando las tramas
subsecuentes en las que se presente nuevamente alguna solicitud
con la IP origen y destino previamente señalados. Al finalizar con la
búsqueda en las tramas subsecuentes a N, almacenan las tramas
en el flujo correspondiente, en caso de que en la búsqueda no se
encuentre otra trama con las características de N, la trama se
almacena en los flujos incompletos, una vez hecha cualquiera de
estas dos acciones, se vacía el buffer de almacenamiento y
continua con la búsqueda de nuevos flujos en las siguientes tramas,
repitiendo este proceso. El diagrama de flujo de esta operación se
presenta en la figura 3.12.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
51
X =
Nú
me
ro to
tal d
e
Tra
ma
s
N =
1 M
= 1
Inic
io
Le
e tra
ma
Eth
ern
et
N
Tip
oN =
= 0
80
0
Pro
toco
loN =
= 0
1
Si
No
IPA =
IP
Orig
en
N
IPB =
IP
De
stin
oN
Co
dig
o =
Co
de
N
Alm
ace
na
en
Bu
ffe
r T
ram
a N
K =
1
Pa
q =
1L
ee
Tra
ma
N+
K
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 0
1
IP O
rig
en
N+
K =
= IP
B
IP D
est
ino
N+
K =
= I
PAC
od
igo
N+
K
==
0
Co
dig
oN =
= 8
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 0
1IP
Orig
en
N+
K =
= IP
B
IP D
est
ino
N+
K =
= IP
A
Co
dig
oN
+K =
= 1
4
Co
dig
oN =
= 1
0
Si
No
Si
No
N +
K =
= X
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Incr
em
en
ta N
+1
Alm
ace
na
en
Bu
ffe
r
Tra
ma
N+
K
Incr
em
en
ta P
aq
Elim
ina
Tra
ma
N+
K d
e
Ima
ge
n d
e T
rab
ajo
Incr
em
en
ta K
+1
Si
No
Si
No
N =
= X
Tra
ma
N e
s n
ula
(da
to e
limin
ad
o)
Si
N +
K =
= X
Si
No
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Va
cía
Bu
ffe
r
1
1
Le
ctu
ra d
e B
itáco
ra
de
Re
d
Pre
pro
cesa
da
Ge
ne
raci
ón
de
Im
ag
en
de
Tra
ba
jo
Fin
Alm
ace
na
Bu
ffe
r e
n
Flu
jo M
Alm
ace
na
Pa
q e
n N
o d
e
Tra
ma
s e
n e
l Flu
jo
Incr
em
en
ta M
+1
Va
cía
Bu
ffe
r
Incr
em
en
ta N
+1
Alm
ace
na
Tra
ma
N e
n
Flu
jos
Inco
mp
leto
s
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 0
1
IP O
rig
en
N+
K =
= IP
B
IP D
est
ino
N+
K =
= I
PA
Co
dig
oN
+K =
= 1
6
Co
dig
oN =
= 1
5
Si
No
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 0
1
IP O
rig
en
N+
K =
= IP
B
IP D
est
ino
N+
K =
= I
PAC
od
igo
N+
K
==
18
Co
dig
oN =
= 1
6
Si
No
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 0
1
IP O
rig
en
N+
K =
= I
PB
IP D
est
ino
N+
K =
=
IPAIp
de
stin
oN
+K =
= I
PA
Co
dig
oN
+K =
= C
od
igo
Si
No
Alm
ace
na
Tra
ma
N e
n
Flu
jos
Inco
mp
leto
s
2
NoN <
X
Si
Tra
ma
N e
s n
ula
(da
to e
limin
ad
o)
Si
Fin
Alm
ace
na
Tra
ma
N e
n
Flu
jos
Inco
mp
leto
s
2
Fig
ura
3.1
2:
Dia
gra
ma d
e R
eco
nstr
uc
ció
n d
e F
lujo
s d
e p
aq
uete
s IC
MP
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
52
Para la reconstrucción de flujos UDP, cuando la trama N contiene
este protocolo en la cabecera IPv4, se almacena en el buffer
temporal la trama y en las subsecuentes, se comparan que el
puerto destino e IP destino correspondan al Puerto Origen e IP de
la trama N, y que el puerto origen e IP origen correspondan al
puerto destino de la trama N. Otro caso es que la trama N+K
contenga los mismos identificadores que la trama N (IP origen,
puerto origen, IP destino y puerto destino iguales), en cualquiera de
los dos casos, estas tramas son almacenadas en el buffer temporal,
el diagrama de esta reconstrucción se presenta en la figura 3.13. Al
finalizar esta búsqueda, se repite el proceso de almacenamiento de
las tramas en el flujo correspondiente si se encontraron dos o más
tramas que comparten las características señaladas; en caso de
que en la búsqueda no se encuentre otra trama con las
características de N, la trama se almacena en los flujos
incompletos, una vez hecha cualquiera de estas dos acciones, se
vacía el buffer de almacenamiento y continua con la búsqueda de
nuevos flujos en las siguientes tramas, repitiendo este proceso.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
53
X =
Nú
me
ro to
tal d
e
Tra
ma
s
N =
1 M
= 1
Inic
io
Le
e tra
ma
Eth
ern
et N
Tip
oN =
= 0
80
0
Pro
toco
loN =
= 1
1
Si
No
IPA =
IP
Orig
en
N
IPB =
IP
De
stin
oN
Pu
ert
oA =
Pu
ert
o O
rig
en
N
Pu
ert
oB =
Pu
ert
o D
estin
oN
Alm
ace
na
en
Bu
ffe
r T
ram
a N
K =
1
Pa
q =
1L
ee
Tra
ma
N+
K
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 1
1
Pu
ert
o O
rig
en
N+
K =
Pu
ert
oB
Pu
ert
o D
estin
oN
+K =
Pu
ert
oA
IP O
rig
en
N+
K =
= IP
B
IP D
estin
oN
+K =
= I
PA
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 1
1
Pu
ert
o O
rig
en
N+
K =
Pu
ert
oA
Pu
ert
o D
estin
oN
+K =
Pu
ert
oB
IP O
rig
en
N+
K =
= I
PA
IP D
estin
oN
+K =
= I
PB
Si
No
N +
K =
= X
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Alm
ace
na
en
Bu
ffe
r
Tra
ma
N+
K
Incre
me
nta
Pa
q
Elim
ina
Tra
ma
N+
K d
e
Ima
ge
n d
e T
rab
ajo
Incre
me
nta
K +
1
Si
No
Si
No
N =
= X
Tra
ma
N e
s n
ula
(da
to e
limin
ad
o)
Si
N +
K =
= X
Si
No
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Va
cía
Bu
ffe
r
1
1
Le
ctu
ra d
e B
itá
co
ra
de
Re
d
Pre
pro
ce
sa
da
Ge
ne
ració
n d
e Im
ag
en
de
Tra
ba
jo
Fin
Alm
ace
na
Bu
ffe
r e
n
Flu
jo M
Alm
ace
na
Pa
q e
n N
o d
e
Tra
ma
s e
n e
l F
lujo
Incre
me
nta
M +
1
Va
cía
Bu
ffe
r
Incre
me
nta
N +
1
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
Si
No
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
Incre
me
nta
N +
12
NoN <
X
Si
Tra
ma
N e
s n
ula
(da
to e
limin
ad
o)
Si
Fin
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
2
Fig
ura
3.1
3:
Dia
gra
ma d
e R
eco
nstr
uc
ció
n d
e F
lujo
s d
e p
aq
uete
s U
DP
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
54
La reconstrucción de flujos TCP/IP se validan las direcciones IP y
puertos origen y destino y las banderas dentro de la cabecera TCP.
Cuando en la trama N dentro del encapsulado IPv4 se encuentre el
protocolo TCP, se revisa que en las banderas de esta trama
corresponda sólo se active la sincronización, si esta condición no se
cumple, la trama se envía a los flujos incompletos, cuando esta
condición se cumple, se almacena la trama N en el buffer temporal
y se busca en las tramas subsecuentes la que contiene el puerto e
IP destino como la origen de la trama N, que el número de acuse se
incremente en 1 al del número de secuencia de la trama N y que las
banderas de sincronización y acuse estén activas, si esto se
cumple, la trama N+K se almacena en el buffer y se busca en los
las tramas posteriores aquella que cumpla con el puerto origen,
destino e IP origen y destino sean iguales al de la trama N, que la
bandera de acuse este activa y el número de acuse se incremente
en 1 de la trama anterior perteneciente al flujo para nuevamente
almacenarla en el buffer temporal; una vez que se cumplió todo
este proceso, se comparan que el puerto destino e IP destino
correspondan al Puerto Origen e IP de la trama N, y que el puerto
origen e IP origen correspondan al puerto destino de la trama N o
que la trama N+K contenga los mismos identificadores que la trama
N (IP origen, puerto origen, IP destino y puerto destino iguales), en
cualquiera de los dos casos, estas tramas son almacenadas en el
buffer temporal, este proceso continua hasta que la conexión se
termine con las banderas de FIN activas o ya no existan paquetes
con esas características en la captura de tráfico. Una vez que esto
ocurre se almacena el buffer en los flujos con el identificador
correspondiente, y se repite el proceso de búsqueda de inicio de
transferencia en otras tramas subsecuentes a la que inició el
análisis. Este proceso se presenta en las figuras 3.14 y 3.15.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
55
No
X =
Nú
me
ro to
tal d
e
Tra
ma
s
N =
1 M
= 1
Inic
io
Le
e tra
ma
Eth
ern
et
N
Tip
oN =
= 0
80
0
Pro
toco
loN =
= 0
6
Si
No
IPA =
IP
Orig
en
N
IPB =
IP
De
stin
oN
Pu
ert
oA =
Pu
ert
o O
rig
en
N
Pu
ert
oB =
Pu
ert
o D
estin
oN
Alm
ace
na
en
Bu
ffe
r T
ram
a N
K =
1
Pa
q =
1L
ee
Tra
ma
N+
K
Tip
oN
+K =
= 0
80
6
Tip
oN
+K =
= 0
6
Pu
ert
o O
rig
en
N+
K =
Pu
ert
oB
Pu
ert
o D
estin
oN
+K =
Pu
ert
oA
IP O
rig
en
N+
K =
= IP
B
IP D
estin
oN
+K =
= IP
A
SY
NN
+K=
=1
AC
KN
+K=
=1 Si
No
Incre
me
nta
N +
1
Le
ctu
ra d
e B
itá
co
ra
de
Re
d
Pre
pro
ce
sa
da
Ge
ne
ració
n d
e Im
ag
en
de
Tra
ba
jo
SY
NN=
= 1
Si
No
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Va
cía
Bu
ffe
r
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
2
N +
K =
= X
Si
No
Incre
me
nta
K +
1
1
Elim
ina
Tra
ma
N y
N+
K
de
Im
ag
en
de
Tra
ba
jo
Va
cía
Bu
ffe
r
Alm
ace
na
Tra
ma
N y
N+
K e
n F
lujo
s
Inco
mp
leto
s
1
2
Alm
ace
na
en
Bu
ffe
r
Tra
ma
N+
K
Incre
me
nta
Pa
q
Elim
ina
Tra
ma
N+
K d
e
Ima
ge
n d
e T
rab
ajo
Incre
me
nta
K +
1
Tip
oN
+K =
= 0
80
6
Tip
oN
+K =
= 0
6
Pu
ert
o O
rig
en
N+
K =
Pu
ert
oA
Pu
ert
o D
estin
oN
+K =
Pu
ert
oB
IP O
rig
en
N+
K =
= I
PA
IP D
estin
oN
+K =
= I
PB
AC
KN
+K=
=1
N +
K =
= X
Si
No
Elim
ina
Tra
ma
N y
N+
K
de
Im
ag
en
de
Tra
ba
jo
Va
cía
Bu
ffe
r
Alm
ace
na
Bu
ffe
r y
Tra
ma
N+
K e
n F
lujo
s
Inco
mp
leto
s
2
No
Si
Alm
ace
na
en
Bu
ffe
r
Tra
ma
N+
K
Incre
me
nta
Pa
q
Elim
ina
Tra
ma
N+
K d
e
Ima
ge
n d
e T
rab
ajo
3
3 3
3
N <
X
Si
Tra
ma
N e
s n
ula
(da
to e
limin
ad
o)
Si
Fin
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
No
1
Fig
ura
3.1
4:
Dia
gra
ma d
e R
eco
nstr
uc
ció
n d
e F
lujo
s d
e p
aq
uete
s T
CP
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
56
2
1
Incre
me
nta
K +
1
4
Le
e T
ram
a N
+K
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 1
1
Pu
ert
o O
rig
en
N+
K =
Pu
ert
oB
Pu
ert
o D
estin
oN
+K =
Pu
ert
oA
IP O
rig
en
N+
K =
= IP
B
IP D
estin
oN
+K =
= I
PA
Tip
oN
+K =
= 0
80
0
Pro
toco
loN
+K =
= 1
1
Pu
ert
o O
rig
en
N+
K =
Pu
ert
oA
Pu
ert
o D
estin
oN
+K =
Pu
ert
oB
IP O
rig
en
N+
K =
= IP
A
IP D
estin
oN
+K =
= I
PB
Si
No
N +
K =
= X
Elim
ina
Tra
ma
N d
e
Ima
ge
n d
e T
rab
ajo
Alm
ace
na
en
Bu
ffe
r
Tra
ma
N+
K
Incre
me
nta
Pa
q
Elim
ina
Tra
ma
N+
K d
e
Ima
ge
n d
e T
rab
ajo
Si
No
Si
No
N =
= X
Tra
ma
N e
s n
ula
( da
to e
limin
ad
o)
Si
N +
K =
= X
Si
No
Incre
me
nta
M +
1
Va
cía
Bu
ffe
r
Incre
me
nta
N +
1
Fin
Alm
ace
na
Bu
ffe
r e
n
Flu
jo M
Alm
ace
na
Pa
q e
n N
o d
e
Tra
ma
s e
n e
l F
lujo
Incre
me
nta
M +
1
Va
cía
Bu
ffe
r
Incre
me
nta
N +
1
Alm
ace
na
Bu
ffe
r e
n
Flu
jo M
Alm
ace
na
Pa
q e
n N
o d
e
Tra
ma
s e
n e
l F
lujo
Si
No
Alm
ace
na
Tra
ma
N e
n
Flu
jos In
co
mp
leto
s
4
Fig
ura
3.1
5:
Dia
gra
ma d
e R
eco
nstr
uc
ció
n d
e F
lujo
s d
e p
aq
uete
s T
CP
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
57
Una vez que se analizan todos los paquetes del archivo analizado y
se determinó si los paquetes pertenecen a un flujo completo o no,
se almacenan los flujos y se continua con el proceso de correlación
para detectar los eventos que ocurrieron durante la transferencia de
información en la Red Analizada. Un ejemplo de la reconstrucción
se presenta en la figura 3.16, en ella se presentan dos flujos
reconstruidos.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
58
Fig
ura
3.1
6:
Flu
jo R
eco
ns
tru
ido
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
59
Al tener los flujos de datos de las capturas el siguiente paso es la
correlación, este paso es el encargado de relacionar cada las bitácoras
que se almacenaron.
Correlación
Esta parte del sistema establece la relación entre las bitácoras que se
propusieron en el sistema. Esto se realiza utilizando como
identificadores algunos de los campos que presentan cada una de ellas.
El objetivo de este módulo es eliminar los flujos que están relacionados
con un evento ya identificado por el IDS y no realizar un nuevo análisis.
Los campos utilizados se presentan a continuación.
Flujos:
Flujo Id.
MAC destino
IP destino.
Estampa de Tiempo.
Protocolo encapsulado en Ethernet.
Código (para tramas ARP).
IP ID (para tramas IPv4).
MAC origen.
IP origen.
Banderas (para tramas IPv4).
Estado de Conexión:
Estampa de Tiempo.
IP Destino.
Protocolo en IP.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
60
Puerto Origen.
Firewall:
Estampa de Tiempo.
Interfaz de Entrada.
Interfaz de Salida.
IP Origen.
IP Destino.
IP ID.
Longitud Total.
TTL.
Protocolo.
IDS:
Estampa de Tiempo.
MAC Origen.
MAC Destino.
IP Origen.
IP Destino.
IP ID.
Puerto Origen.
Puerto Destino.
Longitud Total.
Cada uno de estos identificadores permite realizar la relación entre
las tablas de información de las bitácoras. La relación que existe
entre las bitácoras del IDS, Firewall y Estado de Conexión permiten
identificar cada uno de los eventos ya detectados, con la bitácora
de flujos se identifican cuáles son los paquetes involucrados en el
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
61
evento enviando al módulo de la base de eventos aquellos que no
han sido analizados y pueden contener información sobre un
incidente no identificado. La figura 3.17 tiene la relación entre las
tablas.
Figura 3.17: Entidad-Relación entre bitácoras
Las relaciones de las tablas permiten generar un resumen de los
eventos no detectados con una alarma, para presentar el registro
del evento y el detalle para el análisis de los datos en la base de
eventos. Este proceso se realiza iniciando con la lectura de la
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
62
alarma en el registro del IDS y tomando los identificadores
principales, estos se validan con los registros del Firewall y el
Estado de la conexión, el resultado de la relación permite hacer la
búsqueda en los flujos para eliminar el índice del flujo y no realizar
un nuevo análisis sobre un evento ya detectado, para esto se
validan los identificadores de la tabla de flujos, revisando que no
coincidan con ellos, una vez que se termina todo este proceso, se
envía un registro con la información de los eventos no analizados al
módulo de la base de eventos con la información necesaria para la
operación en el siguiente módulo.
Con la correlación de las bitácoras que se almacenan, el siguiente
paso es la generación de una base donde se almacenan los
eventos incompletos o no analizados para realizar un estudio
posterior. El resultado final de todo el proceso de este módulo se
presenta en la figura 3.18.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
63
Fig
ura
3.1
8:
Re
su
ltad
o d
e c
orr
ela
ció
n d
e e
ven
tos
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
64
3.1.4 Base de Eventos
En la Base de Eventos está almacenada la información de los flujos de
datos que se deben analizar. Separa cada flujo completo o incompleto que
puede ser analizado, teniendo un reporte del evento en el que se presenta un
resumen de éste; está integrado el identificador del evento, duración, número
de paquetes en el evento, y hora de inicio, un ejemplo de este reporte se
presenta en la figura 3.19. El detalle del evento guarda la información
necesaria para poder identificar los flujos, un ejemplo para un flujo ARP es
almacenar la dirección IP origen y destino, la dirección MAC origen y destino,
la longitud del paquete, la estampa de tiempo, y el protocolo, la figura 3.20
ejemplifica esto.
Figura 3.19: Ejemplo de un evento registrado
Figura 3.20: Ejemplo de detalle en la Base de Eventos
La ventaja que presenta hacer esta codificación es la reducción de
espacio necesario para almacenar la información original. Una vez que se
tienen almacenados los archivos, el sistema puede hacer uso de la red
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
65
neuronal entrenada con la base de conocimientos para iniciar con el análisis
de los archivos e identificar si el flujo pertenece a un comportamiento normal o
no.
3.1.7 Base de Conocimientos
La base de conocimientos almacena los identificadores de las
direcciones IP, direcciones MAC y el protocolo de cada paquete en los flujos
de datos para generar minimizar las matrices de flujos de datos.
Este cambio se utiliza para hacer una reducción en la información que
se introduce en las redes neuronales. Cada dirección IP o dirección MAC
identifica un host en específico en una red de datos, es única e irrepetible; al
realizar un mapeado de los identificadores de cada dirección o protocolo para
generar una nueva matriz con ellos para el entrenamiento y el reconocimiento
de los flujos en la red neuronal, se obtiene una reducción en el tamaño de los
vectores introducidos, el tiempo de entrenamiento y reconocimiento en la red
neuronal, un ejemplo de los identificadores se muestra en la figura 3.21 [35].
ID Dirección IP
1 192.168.0.1
2 192.168.0.2
3 192.168.0.3
4 192.168.0.4
5 192.168.0.5
6 192.168.0.6
7 192.168.0.7
8 192.168.0.8
9 192.168.0.9
10 192.168.0.10
ID Dirección MAC
1 00:00:00:00:00:01
2 00:00:00:00:00:02
3 00:00:00:00:00:03
4 00:1B:77:B0:48:DC
5 00:0F:B0:6A:F9:C7
6 00:0C:29;D9:23:A8
7 00:0C:29:4D:0B:AB
8 00:0C:29:AB:0E:EF
9 00:50:56:C0:00:01
10 00:0C:29:EA:35:3C
ID Protocolo
1 ARP
2 TCP
3 UDP
4 ICMP
5 IP
a) Identificadores de direcciones IP
a) Identificadores de direcciones MAC
a) Identificadores de Protocolos
Figura 3.21: Ejemplo de Identificadores para la Base de Conocimientos
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
66
Una vez que se identifica a cada dirección o protocolo, se realiza un
mapeado para generar una nueva matriz con los identificadores en una
captura para realizar el análisis. Un ejemplo de esto se presenta en la figura
3.22.
Figura 3.22: Ejemplo de mapeado con la Base de Conocimientos
Con la información obtenida de la Base de Eventos y la Base de
Conocimientos las matrices reducidas se utilizan en la Red Neuronal
Recurrente para realizar los análisis y determine si el flujo pertenece a un
comportamiento normal o anormal.
3.1.6 Red Neuronal Recurrente
Las Redes Neuronales Recurrentes son entrenadas con diferentes
capturas de red antes de ser utilizadas para analizar uno o varios flujos de
datos; estas deberán identificar o reconocer los patrones típicos de un ataque.
Las capturas de los ataques serán creadas para diferentes escenarios con
diferentes ambientes (redes diferentes y sistemas operativos distintos), esto
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
67
permitirá que durante el entrenamiento de la Red Neuronal Recurrente se
aumente la capacidad de reconocimiento de ataques [35].
Las características de la Red Neuronal Recurrente utilizada son las
siguientes: 7 neuronas en la capa de entrada, estas están conformadas por 7
de los parámetros propuestos para la detección de un ataque en la Tesis
“Detección y Prevención de Intrusos usando Redes Neuronales Recurrentes”
[39], con una ventana deslizante de 24 tramas del flujo de datos; en la capa de
salida se tiene una neurona, la cual define si la información del flujo es normal
o no. En esta etapa se encuentra la implementación de la Red Neuronal
Recurrente para el reconocimiento de ataques. En la figura 3.23 se representa
la estructura definida.
1 fn
1
o
0
W8,1 V1,1
Capa de Entrada
Capa de Salida
1
2
3
7
Bias
Figura 3.23: Estructura para la Detección de Flujos Anormales
3.1.7 Eventos de Seguridad
El evento de seguridad es dado por la salida de la red neuronal y
definido por el comportamiento del flujo, para este caso, se determina como
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
68
evento de seguridad a aquel que la Red Neuronal Recurrente haya reconocido
como un comportamiento anormal. Una de las ventajas que presenta este
módulo en conjunto con la Red Neuronal Recurrente es que puede identificar
alguna herramienta utilizada para un ataque, como puede ser un ataque de
Hombre de Hombre en el Medio utilizando la herramienta Ettercap o némesis.
3.2 Entrenamiento de la Red Neuronal
Para el entrenamiento de Red Neuronal Recurrente es necesario generar
varias capturas del tráfico de red, las cuales estarán integradas con información de
flujos normales y ataques, estos flujos se encuentran en el formato reducido para que
el tiempo de entrenamiento se reduzca [38]. Durante este proceso se suministran
estos flujos a la Red Neuronal para que después del periodo de entrenamiento, la red
haya obtenido los valores de pertenencia.
Para realizar la inicialización de los pesos con números aleatorios se definen:
( ( ))
( ( ))
La matriz de pesos V y W son definidas al término del entrenamiento de todas
las capturas utilizadas en la Red Neuronal Recurrente, estos pesos son utilizados
durante el reconocimiento de las capturas. Las 8 neuronas de entrada se obtienen de
la ventana de 24 paquetes con 7 identificadores reducidos de las cabeceras de los
protocolos analizados más el bias.
Para definir la salida deseada de la Red Neuronal Recurrente, los paquetes
son relacionados entre ellos mismos durante el entrenamiento, se analiza el
comportamiento de un bloque de paquetes y se define el valor de salida para la
obtención de los pesos ideales. La salida deseada 0 corresponde a un evento
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
69
normal, mientras la salida 1 representa un ataque. En el sistema se entrenan 4 redes
diferentes, tres para identificar una de las posibles herramientas utilizadas para
generar el ataque de hombre en el medio (que pueden ser: Ettercap, Caín & Abel y
Némesis) y una más para identificar un evento normal o anormal, la salida con el
valor mayor será la que determine si existe un evento normal o anormal y la
herramienta utilizada.
3.3 Resumen del Capítulo
La búsqueda de flujos para un análisis de seguridad se puede hacer mediante
el uso de la fuerza bruta (por ejemplo, usar wireshark sobre todos los archivos en
disco buscando en cada uno los flujos que pueden aparecer), el hacerlo puede llevar
una gran cantidad de tiempo, el sistema presentado realiza esta tarea, además que
se aplica en un Sistema de Seguridad enfocado en la Detección de Intrusos.
Para desarrollar un sistema de seguridad se lleva a cabo una metodología
propuesta teniendo como resultado el comportamiento esperado; en este capítulo se
presentaron los componentes de un sistema que está enfocado en el
almacenamiento de datos que permiten ser utilizados en un análisis enfocado en el
descubrimiento de incidentes, implementando una Red Neuronal Recurrente eficiente
para apoyo en la búsqueda de comportamientos anómalos en la Red de Datos
Analizada.
Cada componente del sistema tiene una función específica, que va desde
extraer la información de la red, reducir los datos necesarios para hacer el análisis,
realizar un mapeo de información, analizar y obtener una posible evidencia de un
evento de seguridad. En el siguiente capítulo se presentaran los escenarios de
pruebas y resultados obtenidos.
71
CAPÍTULO IV. PRUEBAS Y RESULTADOS
En este capítulo se presentan las pruebas y resultados de la reconstrucción de
eventos de seguridad a través del sistema de monitoreo propuesto y los resultados
del entrenamiento de las Redes Neuronales Recurrente para un análisis en
ambientes controlados de redes de datos, para presentar esto, se divide en dos
partes este capítulo, en el primero se presentan los escenarios que se utilizaron para
obtener los datos con los que se aplicó la metodología propuesta para la obtención
de eventos y entrenamiento de la Red Neuronal Recurrente y en la segunda parte se
presentan los resultados obtenidos en cada una de las fases de pruebas que son la
reconstrucción de flujos en capturas de tráfico en la red de datos utilizada, la
correlación de las bitácoras para obtener los eventos no analizados y la aplicación de
un arreglo de redes neuronales para determinar que herramienta se utilizó para un
ataque de hombre en el medio.
4.1 Pruebas
Las pruebas de la información capturada para ser procesada y después ser
analizada por la Red Neuronal Recurrente se realizaron en MATLAB R2009a, versión
7.8.0.347, la correlación de flujos, detección de eventos y entrenamiento se
desarrollaron en un procesador Intel Core 2 Duo CPU P8600 @ 2.4 Ghz, un sistema
operativo de 64 bits (Windows 7 Home Premium) y memoria RAM de 4 GB.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
72
4.1.1 Escenarios
Para la evaluación del sistema propuesto, se capturaron un conjunto de
datos diferentes del tráfico de redes, en los cuales se consideraron diferentes
ambientes para la generación de la información que analizó el sistema, estos
ambientes incluyen diferentes sistemas operativos, redes IP, herramientas que
el atacante utiliza para generar el evento de seguridad; estos son mostrados
en la tabla 4.1, además que con ellos se generaron los eventos con los que
fueron entrenadas las redes neuronales para el reconocimiento de las
herramientas utilizadas en el ataque de envenenamiento ARP.
Sistema Operativo Herramientas Redes IP
Fedora Caín & Abel 172.16.0.X
Back Track 3 Ettercap 172.20.8.X
Windows XP Home Edición Némesis 172.16.157.X
Windows Vista Ultímate 192.168.0.X
192.168.1.X
192.168.100.X
192.168.200.X Tabla 4.1: Ambientes utilizados para la evaluación del sistema
Los eventos se realizaron con 3 herramientas para realizar los ataques,
4 sistemas operativos utilizados por el atacante y diferentes redes IP, en cada
escenario se realizó la captura de tráfico normal y una secuencia del proceso
que usa la herramienta para realizar el ataque. Los ambientes que se
generaron para estos eventos son los siguientes:
Escenario 1: El ataque fue generado por Ettercap y Back Track 3.
Escenario 2: El ataque fue generado con Ettercap y Windows XP
Home Edición.
Escenario 3: El ataque fue generado con Caín & Abel y Windows XP
Home Edición.
Escenario 4: El ataque fue generado con Caín & Abel y Windows
Vista Ultímate.
Escenario 5: El ataque fue generado con Némesis y Back Track 3.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
73
El sistema operativo de la víctima fue Fedora-12-i686-L y Snort 2.8.5.1
como un IDS pasivo, usando las reglas del paquete snortrules-snapshot-
CURRENT, reportado el 10 de febrero de 2010
A continuación se explicarán como se realizaron cada una de las
capturas de los eventos de seguridad.
4.1.2 Características de Información de la Red
El primer paso para la evaluación del sistema propuesto se generaron
diferentes capturas de información para encontrar los eventos que no fueron
detectados por el IDS, para obtener así los eventos que pueden ser
analizados por la red.
Para las pruebas del sistema de reconstrucción de eventos, se
realizaron diferentes capturas con de las bitácoras necesarias para hacer la
reconstrucción de eventos y seleccionar aquellos que no han sido detectados
por el IDS. Interactuaron en promedio 6 máquinas para llevar a cabo
diferentes tipos de capturas con información de tráfico normal y con el ataque
de envenenamiento ARP o rastreo de puertos. A estas máquinas se les
cambiaron los segmentos de red a las que pertenecían, con el propósito de
obtener diferentes capturas con información respecto a las direcciones IPs y
MAC que intervenían en el tráfico que se analizó, las redes utilizadas se
presentaron en la tabla 4.1. Se realizaron 15 capturas para detección de
eventos, 12 con una duración de 10 a 20 minutos y 3 con capturas de 1 hora.
En la tabla 4.2 se presenta un resumen de esta información.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
74
Número de
Capturas Servicios Involucrados Duración
5 Sesiones FTP para descargas, servicios http, conversaciones con Windows Live Messenger
10 minutos
2 Una descarga y navegación http 10 minutos
5 Navegación por http, envenenamiento ARP
20 minutos
3 Sesiones FTP para descargas, servicios http, conversaciones con Windows Live Messenger, envenenamiento ARP
1 hora
Tabla 4.2: Capturas de tráfico generadas
Para las pruebas con las redes neuronales con el ataque de
envenenamiento ARP se utilizaron capturas de ataques con diferentes
herramientas con la plataforma del atacante y como un usuario normal. Se
generaron 20 capturas con la herramienta Ettercap, 20 con Caín & Abel, 20
con Némesis y 30 de flujos normales, donde se refrescaban las tablas ARP
con información correcta. En la tabla 4.2 se presenta un resumen de esta
información.
Número de
Capturas
Promedio de tiempo entre tramas (seg)
Herramienta utilizada
Sistema Operativo utilizado en el ataque
13 1.50 Caín & Abel Windows XP Home Edición
7 1.00 Caín & Abel Windows Vista Ultímate
7 9.00 Ettercap Back Track 3
13 10.00 Ettercap Windows XP Home Edición
20 0.15 Némesis Back Track 3 Tabla 4.3: Resumen de Capturas para el entrenamiento
Una vez que se realizaron las capturas de tráfico y se generaron las
bitácoras, se inició con la evaluación de la reconstrucción de flujos y
correlación de eventos para realizar los análisis de seguridad.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
75
4.1.3 Análisis de Tráfico
Para capturar la información del tráfico de la red y generar las bitácoras,
se utilizaron las herramientas t-shark, Snort, un script para almacenar los
datos de netstat en un archivo con la fecha y hora del sistema como se
muestra en la figura 4.1. La herramienta t-shark es un sniffer, la cual permite
escuchar y grabar el tráfico de la red en un archivo de texto plano.
Figura 4.1: Captura de información de la red de datos
Al tener la información de las capturas de tráfico de red el primer paso
para la evaluación del sistema fue la reconstrucción de flujos para localizar los
eventos, en los que se aplicó la metodología propuesta con los tipos y
protocolos señalados en el punto 3.1.3, se inició con el preprocesamiento de
información, con el fin que la búsqueda de información se realice de una
manera fácil y se inicie con el proceso de reducción de espacio necesario para
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
76
el almacenamiento de información. Con este proceso se pueden ubicar cada
una de las cabeceras de los protocolos encapsulados dentro de las cabeceras
Ethernet, necesarias para obtener los parámetros de comunicación de mayor
importancia para definir los detalles de un evento de seguridad, como son:
tiempo de diferencia entre paquetes, IP origen, IP destino, MAC origen, MAC
destino, tipo encapsulado, banderas TCP, tamaño del paquete, protocolo,
fragment offset, opciones TCP, puerto origen y puerto destino, esta
información es la que analiza la red propuesta para la detección de un ataque
e identificación de la herramienta utilizada para este evento.
4.1.5 Red Neuronal Recurrente
De acuerdo con los resultados presentados en la Tesis “Detección y
Prevención de Intrusos usando Redes Neuronales Recurrentes” [39], se
retoma la arquitectura de una Red Neuronal Recurrente sin capas ocultas y en
la capa de salida se aplica la recurrencia en los nodos donde se identifica las
relaciones temporales entre las unidades de datos de los flujos en el evento a
analizar, en la implementación de esta red se entrenaron 4 redes diferentes,
las primeras tres se entrenaron con el propósito que reconozcan los patrones
del ataque de hombre en el medio y la herramienta que se utilizó. En los
experimentos las herramientas utilizadas se presentaron en la tabla 4.3; la
cuarta red fue entrenada para que determinara si el evento analizado
corresponde a un evento normal o no, la arquitectura se presenta en la figura
4.2.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
77
1 fn
1
o
0
W8,1 V1,1
Capa de Entrada
Capa de Salida
2
3
4
8
1
Bias
Figura 4.2: Arquitectura de la Red Neuronal Recurrente utilizada
Los entrenamientos de las Redes Neuronales Recurrentes se utilizaron
para obtener las siguientes posibilidades en la salida del sistema:
La detección de un evento de seguridad en un ataque de Hombre en
el Medio hecho con la herramienta Ettercap.
La detección de un evento de seguridad en un ataque de Hombre en
el Medio hecho con la herramienta Caín & Abel.
La detección de un evento de seguridad en un ataque de Hombre en
el Medio hecho con la herramienta Némesis.
La detección de un evento de seguridad.
La detección de un evento normal.
Para lograr esto se utilizaron parte de las capturas que se tenían con
ataques presentes y capturas de tráfico normal para obtener así las matrices
de pesos. A continuación se presentarán los resultados obtenidos por el
sistema propuesto para la reconstrucción de eventos.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
78
4.2 Resultados
En este punto se presentarán los resultados obtenidos durante el proceso de
implementación de cada uno de los módulos del sistema propuesto, además del
entrenamiento de las redes neuronales para el reconocimiento de los ataques. El
primer punto que se evaluó fue la ventaja del preprocesamiento de información, al
reducir el espacio necesario para almacenar los datos:
4.2.1 Preprocesamiento
Este módulo permite hacer la reducción de información de las bitácoras,
obteniendo la información que se correlaciona entre ellas para poder obtener
los eventos no detectados como sospechosos. En el caso de la bitácora de
estadísticas de red se refresca el estado de todos los sockets en n segundos,
de acuerdo a la configuración del script, en el caso de las pruebas, esto se
hizo cada medio segundo. La bitácora de alertas del IDS presenta la
información de los eventos capturados, el resumen de ella posee la estampa
de tiempo del evento además de las entidades relacionadas y CVE (Common
Vulnerabilities and Exposures). En la tabla 4.5 se presenta el resumen de
reducción de espacio necesario con 15 capturas presentadas en la tabla 4.2.
La forma de calcular los porcentajes de reducción se presentan en la ecuación
4.1.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
79
Bitácora 1
Tamaño Original
Tamaño Final
Reducción Bitácora
2 Tamaño Original
Tamaño Final
Reducción
Estado de Red
751 KB 12.13 KB 98.38% Estado
de Red 3.16 MB
52.30 KB
98.37%
IDS 38.9 KB 18.20 KB 53.21%
IDS 167.69 KB
78.46 KB
53.21%
Firewall 340 KB
339.90 KB
0.02% Firewall
1.43 MB 1.43 MB 0%
Tráfico de Red
1.16 MB 752.90
KB 36.61%
Tráfico de Red
5 MB 3.16 MB 36.73%
Total 2.26 MB 1.09 MB 51.76% Total 9.75 MB 4.72 MB 51.56%
Bitácora 3
Tamaño Original
Tamaño Final
Reducción Bitácora
4 Tamaño Original
Tamaño Final
Reducción
Estado de Red
1.03 MB 17.15 KB 98.39% Estado
de Red 2.4 MB
39.70 KB
98.38%
IDS 55 KB 25.73 KB 53.18%
IDS 127.44 KB
59.70 KB
53.15%
Firewall 480.55 KB
480 KB 0.11% Firewall
1.08 MB 1.00 MB 7.40%
Tráfico de Red
1.64 MB 1.03 MB 37.19% Tráfico
de Red 3.80 MB 2.4 MB 36.84%
Total 3.19 MB 1.55 MB 52.61% Total 7.41 MB 3.59 51.55%
Bitácora 5
Tamaño Original
Tamaño Final
Reducción Bitácora
6 Tamaño Original
Tamaño Final
Reducción
Estado de Red
2.66 MB 44.20 KB 98.37% Estado
de Red 4.4 MB
73.23 KB
98.37%
IDS 141 KB 66.20 KB 53.04%
IDS 234 KB
109.84 KB
53.05%
Firewall 1.20 MB 1.17 MB 2.5% Firewall 2.00 MB 2.00 MB 0%
Tráfico de Red
4.22 MB 2.67 MB 36.72% Tráfico
de Red 7.1 MB 4.44 MB 37.46%
Total 8.23 MB 3.9 MB 52.61%
Total 13.65 MB
6.61 MB 51.57%
Tabla 4.4: Resumen de reducciones de bitácoras
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
80
Bitácora 7
Tamaño Original
Tamaño Final
Reducción Bitácora
8 Tamaño Original
Tamaño Final
Reducción
Estado de Red
789.92 KB
12.76 KB 98.38% Estado
de Red 2.59 MB
42.99 KB
98.37%
IDS 40.91 KB 19.14 KB 53.21%
IDS 137.85 KB
64.49 KB
53.21%
Firewall 357.48 KB
357.48 KB
0% Firewall
1.17 MB 1.17 MB 0%
Tráfico de Red
1.22 MB 791.85
KB 36.61%
Tráfico de Red
4.11 MB 2.60 MB 36.73%
Total 2.38 MB 1.15 MB 51.68% Total 8.01 MB 3.88 MB 51.56%
Bitácora 9
Tamaño Original
Tamaño Final
Reducción Bitácora
10 Tamaño Original
Tamaño Final
Reducción
Estado de Red
9.16 MB 151 KB 98.39% Estado
de Red 3.80 MB
62.76 KB
98.38%
IDS 486 KB
227.53 KB
53.18% IDS 201.23
KB 94.15
KB 53.21%
Firewall 4.14 MB 4.12 MB 0.48% Firewall 1.71 MB 1.70 MB 0.58%
Tráfico de Red
14.50 MB
9.19 MB 36.62% Tráfico
de Red 6 MB 3.8 MB 36.66%%
Total 28.29 MB
13.71 MB 51.53% Total 11.70
MB 5.70 MB 51.28%
Bitácora 11
Tamaño Original
Tamaño Final
Reducción Bitácora
12 Tamaño Original
Tamaño Final
Reducción
Estado de Red
4.11 MB 68 KB 98.39% Estado
de Red 59.9 MB
941.53 KB
98.38%
IDS 218 KB 102 KB 53.18% IDS 1.37 MB 650 KB 53.21%
Firewall 1.86 MB 1.86 MB 0.48%
Firewall 25.77 MB
25.75 MB
0.58%
Tráfico de Red
6.5 MB 4.12 MB 36.62% Tráfico
de Red 90 MB
57.04 MB
36.66%
Total 12.31 MB
6.14 MB 51.53% Total 175.60
MB 85.09 MB
51.28%
Tabla 4.4: Resumen de reducciones de bitácoras
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
81
Bitácora 13
Tamaño Original
Tamaño Final
Reducción Bitácora
14 Tamaño Original
Tamaño Final
Reducción
Estado de Red
329.52 MB
5.32 MB 98.38% Estado
de Red 385 MB 5.0 MB 98.70%
IDS 17.06 MB
7.98 MB 53.22% IDS 16.04
MB 7.5 MB 53.24%
Firewall 149 MB 148.5 MB 0.33%
Firewall 140.21 MB
140.12 MB
0.06%
Tráfico de Red
521.15 MB
330.32 MB
36.61% Tráfico
de Red 490 MB 310 MB 36.73%
Total 0.99 GB
492.76 MB
51.39% Total 956.09
MB 463.31
MB 51.54%
Bitácora 15
Tamaño Original
Tamaño Final
Reducción
Estado de Red
932.37 MB
15.06 MB
98.38%
IDS 48.29 MB
22.59 MB
53.22%
Firewall 421.95 MB
421 MB 0.22%
Tráfico de Red
1.44 GB 934.6 MB
36.59%
Total 2.80 GB 1.36 MB 51.42% Tabla 4.4: Resumen de reducciones de bitácoras
Las reducciones promedios obtenidas son: Bitácora de Estado de Red:
98%, IDS 53% y Tráfico de Red 36.75%, con esta información se obtiene una
reducción promedio del 51.50%, observando que la bitácora de Estado de Red
es en la que se tiene una mayor reducción de información, ya que sólo
almacenan en el de trabajo los cambios de estado de cada socket con la
estampa de tiempo, en la bitácora de Firewall no se tiene una reducción
relevante ya que no se tiene información que se reduzca. El siguiente punto
de evaluación del sistema fue la reconstrucción de flujos, esta se presenta en
el siguiente subtema.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
82
4.2.2 Reconstrucción de Flujos
Para la evaluación de este punto se compararon los flujos completos
encontrados y el número de tramas encontrados en ellos. Es importante
indicar que en las sesiones TCP/IP se definieron los flujos completos en
aquellos en los que se tenía el inicio de sesión presente (Apretón de tres vías-
The 3 way hand shake), aquellos flujos que no cumplen esta condición para
este protocolo se definían como flujos incompletos y se unen al resto.
El proceso de comparación se realizó con la herramienta Wireshark, la
cual puede obtener los flujos de manera manual al seguir el proceso de
intercambio de información, el primer proceso de comparación se realizó con
capturas cortas, en ellas se buscaba que los flujos involucrados en una
sesión, y se comparaban el número de paquetes que conformaban esas
sesiones; un ejemplo de estas comparaciones se presenta en la figura 4.3.
a)
b)
Figura 4.3: a) Búsqueda de Flujo con Wireshark b) Búsqueda de Flujo con Sistema Propuesto
El segundo proceso de evaluación fue la obtención de los flujos que se
encontraban en las capturas de análisis, en ella se identificaron la cantidad de
flujos completos que había por cada protocolo de red analizado, el número
total de paquetes que conformaban estos flujos y el número de paquetes que
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
83
se reconocían como flujos incompletos, logrando así el porcentaje de
reconstrucción por flujos, esto se presenta en la tabla 4.5.
Captura Protocolo Flujos
Reconstruidos Paquetes totales
en los flujos
1 ARP 3 6
1 ICMP/IPv4 0 0
1 UDP/IPv4 15 48
1 TCP/IPv4 3 62
2 ARP 1 2
2 ICMP/IPv4 0 0
2 UDP/IPv4 4 8
2 TCP/IPv4 2 48
3 ARP 4 8
3 ICMP/IPv4 4 8
3 UDP/IPv4 53 159
3 TCP/IPv4 2 28
4 ARP 1 2
4 ICMP/IPv4 4 6
4 UDP/IPv4 4 20
4 TCP/IPv4 12 706
5 ARP 5 10
5 ICMP/IPv4 0 0
5 UDP/IPv4 1 3
5 TCP/IPv4 10 94
6 ARP 3 7
6 ICMP/IPv4 0 0
6 UDP/IPv4 14 74
6 TCP/IPv4 0 0
7 ARP 1 412
7 ICMP/IPv4 0 0
7 UDP/IPv4 4 8
7 TCP/IPv4 3 30
8 ARP 3 7
8 ICMP/IPv4 1 315
8 UDP/IPv4 21 105
8 TCP/IPv4 3 32
9 ARP 1 2
9 ICMP/IPv4 0 0
9 UDP/IPv4 10 20
9 TCP/IPv4 17 738
Tabla 4.5: Resumen de reconstrucción de flujos
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
84
Captura Protocolo Flujos
Reconstruidos Paquetes totales
en los flujos
10 ARP 6 1035
10 ICMP/IPv4 0 0
10 UDP/IPv4 138 1784
10 TCP/IPv4 102 3260
11 ARP 7 375
11 ICMP/IPv4 0 0
11 UDP/IPv4 21 630
11 TCP/IPv4 32 2524
12 ARP 4 215
12 ICMP/IPv4 0 0
12 UDP/IPv4 54 1105
12 TCP/IPv4 70 12130
13 ARP 3 48
13 ICMP/IPv4 1 6235
13 UDP/IPv4 47 92
13 TCP/IPv4 134 490000
14 ARP 3 90
14 ICMP/IPv4 0 0
14 UDP/IPv4 34 208
14 TCP/IPv4 70 273958
15 ARP 2 76
15 ICMP/IPv4 1 6403
15 UDP/IPv4 15 1099
15 TCP/IPv4 245 591179 Tabla 4.5: Resumen de reconstrucción de flujos
Con el algoritmo propuesto se logró la reconstrucción promedio del
100% de los flujos completos, el siguiente punto de comparación fue de
acuerdo al número de flujos encontrados por el sistema y por la búsqueda
manual de la aplicación Wireshark, los datos de esta evaluación se presenta
en la figura 4.6.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
85
Número de Captura
Flujos Número de Captura
Flujos
Sistema Wireshark Sistema Wireshark
1 21 18 9 28 27 2 7 6 10 246 240 3 63 59 11 60 53 4 21 732 12 128 124 5 16 20 13 185 182 6 17 11 14 107 104 7 8 7 15 263 261 8 28 25 Tabla 4.6: Comparación de Flujos entre el Sistema Propuesto vs Wireshark
Al observar los flujos encontrados por estos sistemas se tiene un
reconocimiento mayor de flujos, esto es porque se logran obtener los flujos de
las peticiones de los paquetes del tipo ARP, que son importantes analizar en
el caso del ataque que se utilizó para el entrenamiento de las redes
neuronales recurrentes utilizadas en la parte de reconocimiento de eventos de
seguridad. El siguiente punto de evaluación fue la correlación de bitácoras
para la reconstrucción de eventos de las redes de datos analizadas, este
análisis se presenta en el tema 4.2.3.
4.2.3 Eventos de la Red de Datos
Una vez que se contó con las bitácoras preprocesadas se inició con la
búsqueda de eventos de red, que corresponden a las diferentes conexiones
que ocurrieron en la red de datos para intercambio de información en
diferentes protocolos y retirando los eventos que ya fueron detectados por el
IDS, obteniendo así una base de eventos de red que pueden ser reconocidos
por la red de neuronal recurrente y determinar si son eventos normales o
corresponden a un envenenamiento ARP o un probable barrido de hosts.
Al hacer esta operación se tiene una reducción de eventos a ser
analizados, esta comparación se presenta en la tabla 4.7.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
86
Captura Eventos Totales Eventos a ser Analizados
1 21 6
2 7 3
3 63 10
4 16 17
5 16 16
6 17 3
7 8 4
8 28 7
9 28 18
10 248 64
11 60 39
12 128 74
13 185 138
14 107 73
15 263 248 Tabla 4.7: Eventos totales y eventos que se pueden analizar
Con esta operación se genera un resumen de eventos y las tablas con
la información de este evento, generando así dos archivos que contienen la
información de todos los eventos que pueden ser analizados por la Red
Neuronal Recurrente y determinar si en alguno de esos eventos se presenta
un evento de seguridad. En la tabla 4.8 se presenta un resumen del tamaño
original de las bitácoras y el tamaño después de hacer todo el proceso de
análisis hasta la selección de eventos que pueden ser analizados por la red de
datos con el porcentaje de reducción total que se puede realizar con el
sistema propuesto.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
87
Captura Tamaño Original Tamaño final Reducción final
1 2.26 MB 8.5 KB 99.63 %
2 9.75 MB 36 KB 99.63 %
3 3.19 MB 12.5 KB 99.61 %
4 7.41 MB 27.32 KB 99.63 %
5 8.23 MB 32.5 KB 99.61 %
6 13.65 MB 50.16 KB 99.64 %
7 2.38 MB 8.9 KB 99.63 %
8 8.01 MB 29.43 KB 99.64 %
9 28.29 MB 100.02 KB 99.65 %
10 11.7 MB 43 KB 99.64 %
11 12.3 MB 45.2 KB 99.64 %
12 175.6 MB 645.5 KB 99.64 %
13 0.99 GB 3.72 MB 99.99 %
14 956.09 MB 3.49 MB 99.99 %
15 2.8 GB 10.52 MB 99.99 % Tabla 4.8: Resumen de Evento
Con esta información se determina que el sistema logra reducir hasta
en un 99.99% el espacio necesario para realizar el análisis de eventos de
seguridad, en este punto es importante indicar que con esta información la red
puede determinar si existe un evento de seguridad o no y que equipos
estuvieron involucrados en ese evento. El siguiente punto de evaluación fue el
entrenamiento de la red neuronal para la identificación de eventos de
seguridad con las diferentes capturas de tráfico.
4.2.4 Aprendizaje de la Red Neuronal Recurrente
Para la fase de entrenamiento de las Redes Neuronales Recurrentes se
realizaron diferentes implementaciones de entrenamiento utilizando como
patrones las capturas de ataques presentadas en la tabla 4.3, además de
capturas de tráfico ARP normales e identificación de host activos para que las
redes pudieran determinar el tipo de comportamiento de cada captura de
tráfico. Durante este proceso se tomó un número diferente de capturas,
además de diferentes tamaños de ventanas para el entrenamiento con las
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
88
mismas capturas, los escenarios propuestos y tiempos de respuesta se
presentan en la tabla 4.3. La primera prueba se realizó con una ventana de 24
tramas por captura, utilizando 15 capturas de ataques y 15 capturas flujos
normales para el entrenamiento y 5 capturas de ataques y 5 capturas flujos
normales pruebas para la fase de verificación de la respuesta en tramas
desconocidas en la red para obtener las salidas correspondiente. En total se
entrenaron 4 Redes Neuronales Recurrentes, las primeras tres se utilizaron
para que lograra identificar el ataque de hombre en el medio con una
herramienta, mientras que la cuarta red se utilizó para identificar un evento
normal o un barrido de flujos, los resultados de este entrenamiento se
presentan en la tabla 4.9, las características de las capturas utilizadas en esta
fase del protocolo ARP se presentan en la tabla 4.10.
Información en la Captura
Flujos a ser analizados
Ataques Reconocidos Falsos Positivos
Falsos Negativos
Hombre en el Medio con Ettercap
20 20 20 0 0
Hombre en el Medio con Caín & Abel
20 20 20 0 0
Hombre en el Medio con Némesis
20 20 20 0 0
Barridos de Host 15 15 15 0 0
Flujos Normales 40 0 22 18 0 Número de iteraciones para la convergencia: 782
Tabla 4.9: Entrenamiento de las Redes Neuronales con ventana de 24 tramas
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
89
Captura Tramas Tiempo (seg)
Captura Tramas Tiempo (seg)
Ataque Ettercap 1 24 0.0000 Barrido de Puertos 1 24 0.097400
Ataque Ettercap 2 24 0.0008 Barrido de Puertos 2 24 0.080900
Ataque Ettercap 3 24 10.0153 Barrido de Puertos 3 24 0.000073
Ataque Ettercap 4 24 0.0000 Barrido de Puertos 4 24 0.069400
Ataque Ettercap 5 24 10.0157 Barrido de Puertos 5 24 0.000101
Ataque Ettercap 6 24 0.0000 Barrido de Puertos 6 24 0.000125
Ataque Ettercap 7 24 10.0161 Barrido de Puertos 7 24 0.000032
Ataque Ettercap 8 24 0.0000 Barrido de Puertos 8 24 0.000100
Ataque Ettercap 9 24 10.0155 Barrido de Puertos 9 24 0.001090
Ataque Ettercap 10 24 0.0004 Barrido de Puertos 10 24 0.000111
Ataque Ettercap 11 24 10.0159 Barrido de Puertos 11 24 0.000098
Ataque Ettercap 12 24 0.0001 Barrido de Puertos 12 24 0.000047
Ataque Ettercap 13 24 10.0139 Barrido de Puertos 13 24 0.000103
Ataque Ettercap 14 24 0.0001 Barrido de Puertos 14 24 0.052000
Ataque Ettercap 15 24 10.0150 Barrido de Puertos 15 24 0.095600
Ataque Caín y Abel 1 24 29.9960 Tráfico Normal 1 24 102
Ataque Caín y Abel 2 24 0.0103 Tráfico Normal 2 24 144
Ataque Caín y Abel 13 24 4.1732 Tráfico Normal 3 24 420
Ataque Caín y Abel 14 24 0.0004 Tráfico Normal 4 24 366
Ataque Caín y Abel 15 24 0.8729 Tráfico Normal 5 24 358
Ataque Caín y Abel 16 24 0.0026 Tráfico Normal 6 24 120
Ataque Caín y Abel 17 24 9.0525 Tráfico Normal 7 24 362
Ataque Caín y Abel 18 24 0.0000 Tráfico Normal 8 24 258
Ataque Caín y Abel 19 24 0.0116 Tráfico Normal 9 24 96
Ataque Caín y Abel 10 24 0.0135 Tráfico Normal 10 24 144
Ataque Caín y Abel 11 24 1.8405 Tráfico Normal 11 24 102
Ataque Caín y Abel 12 24 0.0001 Tráfico Normal 12 24 144
Ataque Caín y Abel 13 24 19.5100 Tráfico Normal 13 24 420
Ataque Caín y Abel 14 24 0.0000 Tráfico Normal 14 24 366
Ataque Caín y Abel 15 24 29.9960 Tráfico Normal 15 24 358
Ataque Némesis 1 24 1.15
Ataque Némesis 2 24 0.744
Ataque Némesis 3 24 0.733
Ataque Némesis 4 24 0.739
Ataque Némesis 5 24 0.639
Ataque Némesis 6 24 0.762
Ataque Némesis 7 24 0.783
Ataque Némesis 8 24 0.865
Ataque Némesis 9 24 0.964
Ataque Némesis 10 24 0.697
Ataque Némesis 11 24 0.713
Ataque Némesis 12 24 0.733
Ataque Némesis 13 24 0.803
Ataque Némesis 14 24 0.674
Ataque Némesis 15 24 0.0 Tabla 4.10: Detalle de las capturas de Entrenamiento
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
90
En estas pruebas las redes lograron detectar de manera individual cada
uno de los ataques en las tramas, obteniendo un reconocimiento del 100%,
teniendo un reconocimiento del 55% en los eventos normales y reconociendo
como eventos de seguridad al 45% de estos de manera incorrecta; esto se
debe principalmente a que en las capturas de tráfico normal el tiempo de
actualización de las tablas ARP es mayor al del envenenamiento, por lo cual
las ventanas de estos eventos en varias de las capturas muestra era menor al
necesario teniendo datos no válidos que se reconocen como un evento de
seguridad. Para tratar de corregir esto se realizaron otras pruebas reduciendo
el tamaño de la ventana de análisis en 12 y 6 tramas respectivamente,
teniendo un mejor resultado con la ventana 24, esto fue ya que el tamaño
lograba tener un tamaño mayor de información para poder obtener
información del evento de seguridad. Los resultados de estas pruebas se
presentan en la tabla 4.11 para la ventana de 12 tramas y 4.12 para la
ventana de 6 tramas. El número de iteraciones necesarias para llegar al
umbral del error cuadrático medio propuesto para llegar a la convergencia del
entrenamiento se presentan al final de cada tabla.
Información en la Captura
Flujos a ser analizados
Ataques Reconocidos Falsos Positivos
Falsos Negativos
Hombre en el Medio con Ettercap
20 20 20 0 0
Hombre en el Medio con Caín & Abel
20 20 20 0 0
Hombre en el Medio con Némesis
20 20 20 0 0
Barridos de Host 15 15 15 0 0
Flujos Normales 40 0 13 27 0 Número de iteraciones para la convergencia: 1025
Tabla 4.11: Entrenamiento de las Redes Neuronales con ventana de 24 tramas
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
91
Información en la Captura
Flujos a ser analizados
Ataques Reconocidos Falsos Positivos
Falsos Negativos
Hombre en el Medio con Ettercap
20 20 20 0 0
Hombre en el Medio con Caín & Abel
20 20 20 0 0
Hombre en el Medio con Némesis
20 20 20 0 0
Barridos de Host 15 15 15 0 0 Flujos Normales 40 0 14 26 0
Número de iteraciones para la convergencia: 1000 Tabla 4.12: Entrenamiento de las Redes Neuronales con ventana de 24 tramas
Con estos resultados, el arreglo utilizado para el análisis de eventos de
seguridad fue el que utiliza la ventana de 24 tramas y se implementó en el
sistema.
4.2.5 Respuesta de la Red Neuronal Recurrente
La parte final de la evaluación del sistema propuesto para la detección
de eventos de seguridad fue la respuesta que tiene el sistema utilizando las
bases de eventos generadas con las con las bitácoras presentadas en la tabla
4.2, con ellas se obtuvieron los resultados del reconocimiento para las
capturas con un mayor número de paquetes ARP, es decir, con las bitácoras
10, 11, 12, 13, 14 y 15. De ellas se analizaron cada uno de los flujos y se
presentan los resultados en la tabla 4.13. De estos 6 eventos analizados en
las bitácoras 10, 11 y 12 se encuentran presentes envenenamientos de tablas
ARP para efectuar el ataque de hombre en el medio y barrido de host en la
red para encontrar posibles víctimas y actualizaciones de tablas ARP
normales, es decir, refrescamientos de ellas; mientras que en las bitácoras 13,
14 y 15 solo se encuentran actualizaciones de tablas arp.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
92
Número de Bitácora
Número de Eventos
Eventos Normales
Eventos de Seguridad
Falsos Positivos
Falsos Negativos
10 6 1 5 0 0 11 7 1 6 0 0 12 4 0 4 0 0 13 3 3 0 0 0 14 3 3 0 0 0 15 2 2 0 0 0
Tabla 4.13: Detección de Eventos con el sistema
El resultado del sistema es que logra identificar sin problemas los
eventos de seguridad y los eventos normales para el ataque planteado, la
salida del sistema no presenta algún falso positivo (evento normal que se
detecta como un evento de seguridad) o falso negativo (evento de seguridad
que se presenta como un evento normal), esto es gracias a que por el tiempo
de capturas de información de la red se tienen las ventanas completas para
los análisis y sin datos inválidos. En la figura 4.4 se presenta la salida del
sistema al analizar los eventos antes mencionados.
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
93
Figura 4.4: Salida del Sistema
4.3 Análisis de Resultados
En este punto se presenta el resumen de los resultados obtenidos durante el
desarrollo del proyecto de investigación.
Con el algoritmo propuesto se lograron hacer las reconstrucciones de flujos, y
al hacer la correlación de eventos se obtuvieron eventos que en un principio se
puede pensar que en ellos no se tuvo un incidente de seguridad, logrando la
reconstrucción de flujos completos para un análisis mediante redes neuronales para
identificar los eventos sospechosos, esto genera un ahorro en el tiempo de análisis
SISTEMA DE RECONSTRUCCIÓN Y DETECCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
94
de información para un experto, ya que hace entrega del evento que se detectó. El
preprocesamiento de la información que generan las bitácoras también es
importante, ya que reduce el espacio de disco necesario para almacenar la
información sin hacer cambios a la información, únicamente omite la información no
valida en los archivos. El mapeado de información permite trabajar con imágenes
reducidas de información para que el manejo de información en el análisis sea
menor, utilizando únicamente los datos necesarios para el mapeo.
4.4 Resumen del Capítulo
Durante el proceso de evaluación del sistema propuesto se realizaron y
analizaron varias capturas de tráfico de red con la finalidad de obtener los resultados
acorde con el objetivo del trabajo para el área de Seguridad Informática.
En el siguiente capítulo se mostrarán las conclusiones que se obtuvieron al
realizar este proyecto, así como los trabajos a futuro que plantea este proyecto.
95
CAPÍTULO V. CONCLUSIONES
Debido al manejo de información sensible en diferentes sistemas informáticos,
la seguridad informática ha incrementado su necesidad en las tecnologías
informáticas, convirtiéndose en un aspecto relevante en esta era tecnológica. En este
capítulo se encuentran presentes los comentarios finales y conclusiones que se
obtuvieron de este proyecto de investigación
En este proyecto se presentó un Sistema de Detección y Reconstrucción de
Eventos de Seguridad en Redes de Datos, con la hipótesis de que a través de la
generación de bitácoras se pueden obtener los eventos que no se consideran como
incidentes y a través de una Red Neuronal se obtienen los eventos de seguridad. Al
término del proyecto se cumplió el objetivo principal, al diseñar los algoritmos de
reconstrucción de flujos para 4 protocolos (3 de ellos deben de estar encapsulados
en el protocolo IPv4), y lograr la detección de incidentes de seguridad en eventos en
los que el IDS no reconoció ningún ataque.
Las principales contribuciones de este trabajo se encuentran en:
La generación de bitácoras y preprocesamiento, que permiten tener la
información con la que se hace el análisis forense del tráfico de una red
de datos y hace una reducción del espacio necesario de
almacenamiento, reduciéndolo en porcentajes superiores al 50%.
La reconstrucción de flujos y correlación de bitácoras para obtener los
eventos que no han sido analizados que pueden contener un evento de
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
96
seguridad, como se demuestra con los resultados obtenidos en el
capítulo 4.
Entrenamiento de un arreglo de Redes Neuronales, con los que se
identifica en un evento de seguridad que herramienta se utilizó para
realizar el ataque que genero el incidente.
La implementación de un sistema que realiza estas tareas de manera
automática de cada uno de los módulos de este para iniciar con el
análisis de eventos y la implementación de las Redes Neuronales
Recurrentes para el reconocimiento de los eventos de seguridad.
La metodología utilizada en la investigación logró resolver los problemas y dar
solución a las necesidades encontradas en las diversas etapas del proyecto, como
fue el caso del análisis de los protocolos para la reconstrucción de flujos, el
determinar que bitácoras eran necesarias la correlación y obtención de eventos que
no se consideraban de seguridad y la codificación de la información para poder
realizar el entrenamiento de las Redes Neuronales y reducir el espacio necesario de
almacenamiento, teniendo como conclusión que fue buena y ordenada.
En el desarrollo de este proyecto se realizaron una serie de pruebas para
cumplir con el reconocimiento de los incidentes, en primer lugar, para poder obtener
la posible evidencia que puede tener un ataque, al realizar el grabado de tráfico y las
bitácoras de elementos de la red, con el objetivo de hacer una correlación de eventos
y no hacer un segundo análisis sobre un incidente ya detectado y las pruebas para la
identificación de evidencias, desde el entrenamiento, utilizando capturas con flujos
correspondientes a un ataque o a un flujo normal de tráfico de red, con diferentes
tipos de redes, consiguiendo la eficiencia en el reconocimiento. Un punto importante
es que mientras la ventana que se seleccione para el análisis de flujos ARP se
encuentre con la información suficiente permite obtener un alto porcentaje de
aciertos en el reconocimiento del incidente, al no tener información invalida que
confunda al arreglo de Redes Neuronales Recurrentes.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
97
Los resultados obtenidos se compararon con los trabajos propuestos por
Kornexl, S., Paxson, V., Dreger, H., Feldmann, A., Sommer, R [32] y Seung-Hoon,
K., Juho, K [33]. El sistema de almacenamiento propuesto por Kornexl, S., Paxson,
V., Dreger, H., Feldmann, A., Sommer, R [32] presentan un almacenamiento total del
15% del tráfico en una red para hacer el análisis del tráfico, mientras que en el
sistema propuesto se almacenan los eventos que no se detectaron en un principio
como eventos de seguridad, teniendo el 40% de la información en promedio para el
análisis. El sistema propuesto por Seung-Hoon, K., Juho, K [33] presenta el
reconocimiento de ataques, que tiene una eficiencia del 93% de eficiencia para 3
tipos de ataques, mientras que el sistema propuesto tiene una detección del 100% de
los eventos normales o de seguridad, siempre que se tenga la ventana propuesta
completa con diferentes redes utilizando un arreglo de redes neuronales para la
detección.
Es importante tomar algunos aspectos pendientes a ser mejorados de este
sistema, considerados como trabajos a futuro, como el entrenar un arreglo de redes
para la identificación de otros ataques, incluir información de otros protocolos de
información como pueden ser TCP/IP para la identificación de herramientas
utilizadas en de Robos de Sesiones, el reconocimiento de ataques realizados sobre
protocolos ICMP/IP, el desarrollo de reconstrucciones de flujos para tecnologías
superiores como son protocolos encapsulados sobre IPv6 y el desarrollo de un
Sistema Neurodifuso para la identificación de los eventos de seguridad.
99
REFERENCIAS BIBLIOGRÁFICAS
[1] CERT (Computer Emergency Response Team). “Alertas Técnicas de Seguridad” [http://www.us-cert.gov/cas/techalerts/index.html] y “Actividades Actuales” [http://www.us-cert.gov/current/].
[2] Wong, A., Yeung, A. “Network Infrastructure Security”. Springer. Impreso en 2009.
[3] Wylder, J. “Strategic Information Security”. Auerbach. Impreso en 2004.
[4] “E‐Crime Watch Survey shows security incidents, electronic crimes and their impact steady versus last year”. Revista CSO, 2007.
[5] Digital Forensic Research Workshop. “A Road Map for Digital Forensic Research”, Impreso en 2001.
[6] Caelli, W., Longley, D., and Shain, M., “Information Security Handbook, Stockton Press”, New York, Impreso en 1991.
[7] Trček, D. “Using System Dynamics for Managing Risks in Information Systems Denis”, WSEAS Transactions on Information Science & Applications 2008 5(2):175-180.
[8] Tahar, R., Benferhat, S. "Towards Handling Dynamic Security Policies", WSEAS Transactions on Computers, 2006 1(2):162-167.
[9] Aguilar J., Abraham, B, Moreno G. "A security incidents management for a CERT based on Swarm Intelligence". WSEAS TRANSACTIONS on COMPUTERS. 8(8) 1398-1407, Agosto de 2009
[10] Lehtinen, R. “Computer Security Basics”, 2da Edición. O'Reilly. Impreso en Junio 2006.
[11] Pfaffenberger, B. “Webster's New World Dictionary of Computing Terms”, 6ta Edición. New York: Simon and Schuster. 1997.
[12] International Standards Organization, “Information Processing Systems - Open Systems Interconnection - Basic Reference Model, Security Architecture, part 2”, ISO Standard 7498-2, Geneva, 1989.
[13] Allen, J. “The CERT Guide to System and Network Security Practices”. Addison-Wesley. Impreso en 2001.
[14] Jerez Lugo, C. A. “Seguridad para lograr Confiabilidad y Calidad de los Servicios Digitales en Internet”. Tesis Licenciatura. Universidad de las Américas, Puebla. Mayo 2004.
[15] ISO-27001:2005.
SISTEMA DE DETECCIÓN Y GENERACIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
100
[16] Roback, E. “Glosary of Computer Security Terminology”, NISTIR 4659, Septiembre 1991.
[17] Angrisani, L., D’Antonio, S., Esposito, M., Vadursi M. “Techniques for available bandwidth measurement in IP networks: A performance comparison”. Universität Trier. Computer Networks. Febrero 2006. 50(3): 322-349
[18] Nolan, R., O’Sullivan, C., Branson, J., Waits, C. “First responder guide to computer forensics” CERT Training and Education. Marzo 2005.
[19] Kruse, W., Heiser, J. “Computer Forensics: Incident Response Essentials”. Addison-Wesley Professional. Impreso en 2001.
[20] Garfinkel, S., Spafford, E. “Web Security, Privacy and Commerce”. 2da Edición. O'Reilly. Impreso en 2002.
[21] Radatz, J. “The IEEE Standard Dictionary of Electrical and Electronics Terms”, Sexta Edición. Impreso en 1996 por IEEE.
[22] Howard, J., Longstaff, T. “A Common Language for Computer Security Incidents”. Sandia National Laboratories. Impreso en Octubre de 1999.
[23] Lucas, J., Moller, B. “The Effective Incident Response Team”. Addison-Wesley Professional. Impreso en Septiembre de 2003.
[24] Berenguela C., Cortes J. “Metodología de Medición de Vulnerabilidades en Redes de Datos de Organizaciones”. Instituto Profesional INACAP La serena. Diciembre 2006.
[25] Nikkel, B. “Generalizing Sources of Live Network Evidence”. September 2, 2005
[26] U.S. Department of Justice, Federal Bureau of Investigation. “Digital Evidence: Standars and Principles Scientific, Working Group on Digital Evidence (SWGDE), International Organization on Digital Evidence (IOCE)”. Octubre de 1999.
[27] Mena, J. “Investigative Data Mining for Security and Criminal Detection”. Butterworth Heinemann. Impreso en 2003.
[28] Alberts C., Dorofee A. "Managing Information Security Risks". Addison Wesley. Impreso en 2002.
[29] Killcrece, G., Kosakowsky, K., Ruefle, R., Zajicek, M. "Organizational models for computer security incidents response teams (CSIRT's)". Technical Report No. IA-230, Carnegie Mellon Software Engineering Institute. Impreso 2003.
[30] Barradas-Acosta, A., Aguirre-Anaya, E., Nakano-Miyatake, M., Perez-Meana, H., “Neural Network Based Attack Detection Algorithm”. WSEAS Transactions on Computers 2009, 8(6): 905-915.
[31] Oropeza-Clavel, C. Tesis “Modelado y Simulación de un Sistema de Detección de Intrusos Utilizando Redes Neuronales Recurrentes”. Universidad de las Américas Puebla, 2007.
[32] Kornexl, S., Paxson, V., Dreger, H., Feldmann, A., Sommer, R. “Building a Time Machine for Efficient Recording and Retrieval of High-Volume Network Traffic”. 5th ACM SIGCOMM conference on Internet Measurement 2005. 267-272.
SISTEMA DE DETECCIÓN Y GENERACIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
101
[33] Jung-Sun, K. Doug-Geun, K. Bong-Nam, N. “A Fuzzy Logic Based Expert System as a Network Forensics”. IEEE International Conference 2004(2). 25-29. Julio 2004.
[34] Mejía-Sánchez, J. Tesis “Diseño de un sistema de detección de Intrusos en Redes de Comunicaciones Utilizando Redes Neuronales”. Universidad de las Américas Puebla, 2004.
[35] Peisert, S., Bishop, M., Karin, S., Marzullo, K. “Principles-Driven Forensic Analysis”. NSPW 2005 Lake Arrowhead CA USA. © 2006 ACM
[36] Nikkel, B. “Generalizing sources of live network evidence”. September 2, 2005.
[37] Bruschi, D., Monga, M., Rosti, E. “Trusted Internet Forensics: design of a network forensics appliance”. 2003.
[38] Rong-Chang, C., Chin-Yi, L. “Back Propagation Networks for Predicting Credit Card Freaud with Stratifed Personalized Data”. WSEAS Transactions on Computers. 3(8). Marzo de 2007.
[39] Barradas-Acosta, A. Tesis “Detección y Prevención de Intrusiones usando Redes Neuronales Reccurentes”. Sección de Estudios de Posgrado e Investigación, ESIME Culhuacan, IPN. Diciembre de 2009.
103
ANEXO A
Artículo de revista publicado en “Telecommunications and Radio Engienering”
en 2010, volumen 6, tomo 7.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
104
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
105
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
106
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
107
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
108
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
109
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
110
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
111
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
112
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
113
115
ANEXO B
Artículo para participar en el congreso M2IS: Mexican Meeting on Informatic
Security en 2010.
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
116
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
117
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
118
SISTEMA DE DETECCIÓN Y RECONSTRUCCIÓN DE EVENTOS DE SEGURIDAD EN REDES DE DATOS
119