Desarrollo de extractor de características de tráfico de redes orientado a la identificación y análisis en la detección de ataques

Abstract

RESUMEN : En la actualidad la necesidad de implementar nuevos mecanismos de protección a las redes de computadores ha ganado relevancia debido a la globalización y la complejidad de los nuevos dispositivos de cómputo. Con el objetivo de establecer mecanismos de seguridad se ha ido desarrollando la seguridad informática, un área de la ingeniería electrónica y de las telecomunicaciones cuyo objetivo es crear, diseñar y desarrollar técnicas y herramientas capaces de proteger las redes de computadores y sus elementos ante las vulnerabilidades del mundo informático. Para satisfacer estas necesidades se están desarrollando nuevas herramientas que haciendo uso de métodos de aprendizaje de máquina e inteligencia artificial permiten analizar el tráfico de red y así crear modelos y sistemas capaces de detectar cuando se presenta un ataque y proveer sistemas de prevención ante estos. En este trabajo se propuso la modificación de un extractor de tráfico de red orientado a la detección de ataques con el propósito de analizar qué propiedades del tráfico de red influyen en la discriminación del tráfico normal con respecto a los ataques informáticos y así lograr obtener valores de precisión diferentes en la clasificación del tráfico cuando se compara su funcionamiento con la versión no modificada. Para lograr estos objetivos se realizó un estudio de las bases de datos disponibles conformadas por tráfico de red, centrándose en los formatos de creación ya sea como paquetes o flujos de red, su disponibilidad y su relevancia dentro del área de la seguridad. Además, se hizo un estudio de los extractores disponibles centrándose en que estos fueran de código abierto y que pudiesen ser adaptados a los requerimientos de este trabajo y cuya orientación este en la clasificación de tráfico y asimismo se realizó un estudio de las características y propiedades del tráfico que permiten diferenciar los ataques del tráfico normal. A partir de los desarrollos previamente descritos se hizo la modificación del extractor CICFlowMeter, se realizaron pruebas sobre su correcto funcionamiento y se utilizaron diferentes bases de datos con tráfico en formato de paquetes. Con el extractor modificado se obtuvieron archivos CSV y haciendo uso de estos se realizó la clasificación del tráfico usando modelos de aprendizaje de máquina. Cuando se realizó el comparativo de las 2 versiones del extractor se encontró que las modificaciones hechas influyen sobre la precisión de la clasificación y que para determinados tipos de ataques la capacidad de identificar el tráfico anómalo incremento con las nuevas características.

ABSTRACT : In today’s world, the need to implement new security mechanisms for computer networks has gained relevance due to globalization and the complexity of new computing devices. To establish a protection mechanism, computer security has been in constant development. This is the area of electronic and telecommunications engineering whose objective is to create, design, and develop techniques and tools capable of protecting computer networks and associated devices from vulnerabilities. To meet these needs new tools are being developed, some of these tools involve machine learning and artificial intelligence to allow them the analysis of network traffic and thus create models and systems capable of detecting when an attack occurs and then be able to present prevention systems against these intrusions.

In this work, the modification of a traffic flow extractor is made, and its performance in a traffic classification experiment is evaluated. The purpose is to analyze which properties of network traffic influence the discrimination of normal traffic in comparison to computers attacks and thus obtain different values in the classification accuracy for the modified extractor. To achieve these objectives, a study of the available databases built with network traffic was carried out focusing on the data format, either packets or network flows, their availability, and their relevance within the security field. Also, a study of available extractors was made with an emphasis on their availability to be modified, the properties they capture, their traffic variety, and their building orientation aimed at network security and traffic classification. Therefore, the CICFlowMeter extractor was modified by adding new extraction characteristics, tests were carried out to verify the CICFlowMeter correct operation and different databases that include traffic on packet format were used to obtain CSV files and finally perform the traffic classification with the use of diverse machine learning models. By comparing the two versions of the extractor, it was found that the modifications do influence the classification’s accuracy, and for certain types of attacks, the ability to identify anomalous traffic increases with the addition of the new traffic characteristics.