Sistema de Detección de Ataques de DDoS Basado en Modelos de Aprendizaje de Máquina para la Arquitectura SDN.

Abstract

RESUMEN: Los ataques de denegación de servicio distribuidos (DDoS) son uno de los ataques mas utilizados por los ciberdelincuentes a nivel mundial por el alto grado de letalidad al que pueden llegar. Estos ataques pueden causar la caída de hasta los mas grandes sitios web en Internet, generando consigo consecuencias financieras y/o políticas. Por otro lado, las redes definidas por software (SDN) son el nuevo paradigma de gestión de las redes de datos pues promueven que tanto el control como la visualización de la red sea llevado a cabo desde un controlador centralizado por medio de software. Gracias a las ventajas de SDN y las estadísticas de tráfico que proporciona, se han podido implementar diversos mecanismos de detección de DDoS en infraestructuras de red soportadas por SDN. Sin embargo, se han identificado dos limitantes a la hora de implementar este tipo de soluciones: i) los procesos desplegados por el sistema de detección pueden sobrecargar el controlador en presencia de gran cantidad de tráfico a analizar, y ii) la información del tráfico que se puede extraer desde el plano de datos es muy limitada, lo que restringe el uso de ciertas características en el sistema. Para disminuir el impacto de estas limitantes en el momento de diseñar e implementar el sistema de detección, esta monografía propone un entorno colaborativo entre un plano de datos programable y un plano de control. En este entorno, se utiliza P4, un reciente lenguaje de programación para el plano de datos, para programar los dispositivos de este plano con el objetivo de extraer y procesar información de los flujos a un mayor nivel de granularidad. Para llevar a cabo esta propuesta, se propone un mecanismo de almacenamiento de información por flujo usando estructuras hash. Adicionalmente, se propone un mecanismo de reporte de dicha información al plano de control, plano que se encarga posteriormente del cálculo y la clasificación del conjunto de características. Con este entorno y usando dichos mecanismos, fue posible la implementación de caracterís- ticas de tipo Intra-Flujo en la detección de DDoS, características que no son extraíbles en un entorno tradicional SDN-OpenFlow. Con este conjunto de características se entrenaron modelos de K-vecinos más cercanos (KNN) y bosque aleatorio (RF), los cuales arrojaron buenos resultados en desempeño de detección, siendo el mejor de ellos KNN con 96 % de exactitud. Adicionalmente, al reportar información ya procesada al plano de control, se optimizaron los procesos de cálculo y clasificación del conjunto de características, obteniendo consumos promedio de CPU inferiores al 50 % incluso en presencia de ataque de DDoS.