Publicado el 7 de Diciembre del 2018
1.160 visualizaciones desde el 7 de Diciembre del 2018
1,8 MB
151 paginas
Creado hace 12a (01/08/2012)
INSTITUTO TECNOLOGICO DE COSTA RICA
DEPARTAMENTO DE COMPUTACION
PROGRAMA DE MAESTRIA
Sistema de detección de intrusos sobre la red
basado en redes neuronales
Tesis para optar al grado de
Magister Scientiae en Computación
Herson Esquivel Vargas
Cartago, Costa Rica
Junio, 2012
�Aprobación de Tesis
ii
Sistema de detección de intrusos
sobre la red basado en
redes neuronales
Tribunal Examinador
_____________________
_____________________
Arnoldo Rodríguez, Ph.D.
Alexander Valerín, M.Sc.
Lector externo
Lector interno
_____________________
Luis Carlos Loaiza, M.Sc.
Profesor asesor
_____________________
Edwin Aguilar, Ph.D.
Director Maestría
�Resumen
iii
La presente investigación se enfoca en el tema de la
seguridad informática, específicamente en la detección de
intrusos sobre la red.
Este documento incluye una revisión general de la
bibliografía referente a los sistemas de detección de
intrusos, en sus diferentes formas de aplicación e
implementación.
El objetivo primordial de un sistema de detección de intrusos
basado en anomalías, es lograr identificar si se está
realizando un ataque, independientemente de si se trata de un
ataque nuevo o previamente conocido. Para poder llegar a esta
conclusión, los sistemas utilizan distintas herramientas
matemáticas, de inteligencia artificial o de minería de
datos.
En el prototipo desarrollado como parte de esta investigación
se utilizaron redes neuronales de perceptrones multicapa, de
propagación hacia atrás.
Los principales aportes de esta investigación son: (1) la
aplicación de las redes neuronales como mecanismo de
detección de intrusos en tiempo real; (2) la utilización de
módulos débilmente acoplados que usan mensajes para
comunicarse y que facilitan la futura experimentación con
otros mecanismos de detección sin necesidad de reimplementar
la totalidad del sistema; (3) la ejecución distribuida de sus
componentes le brinda al sistema una escalabilidad superior a
los sistemas de detección de intrusos tradicionales; (4) la
demostración de la inefectividad de los datos de prueba
existentes para evaluar sistemas de detección de intrusos.
El entrenamiento de las redes neuronales se realizó
utilizando el conjunto de datos “DARPA Intrusion Detection
Evaluation 1999”, del cual se eligieron tres días completos
de tráfico anómalo mezclado con tráfico normal.
Los resultados experimentales mostraron un 0,7% de falsos
positivos con el tráfico normal, un 8,33% de verdaderos
positivos con ataques conocidos y un 100% de falsos negativos
con ataques desconocidos. Estos resultados se justifican por
la cantidad de atributos disponibles a la hora de hacer un
análisis en tiempo real y a la mala calidad de los datos de
entrenamiento disponibles para tal fin.
�Abstract
iv
This research is focused on computer security, specifically
on network intrusion detection.
This document includes a bibliographic review about the
Intrusion Detection Systems in their different approaches of
application and implementation.
The main objective of any Anomaly Based Intrusion Detection
System, is to identify if there is any attack being
developed, indifferently whether it is a new kind of attack
or a previously known attack. To obtain this conclusion,
Intrusion Detection Systems use mathematical, artificial
intelligence and data mining tools.
In the prototype developed as part of this research, we used
Multilayer Perceptron (MLP) Backpropagation neural networks.
The main contributions of this research are: (1) the
application of neural networks as a detection mechanism in a
real-time Network Intrusion Detection System; (2) the use of
loosely coupled modules with a message based communication
which facilitates future experimentation with other detection
mechanisms without the need of reimplement the whole system;
(3) the distributed execution of its components gives to the
system a better scalability compared to traditional Intrusion
Detection Systems; (4) it was demonstrated the
ineffectiveness of the currently available data on Intrusion
Detection Evaluation.
Neural networks training was done using the “DARPA Intrusion
Detection Evaluation 1999” dataset, from which were selected
three days of network traffic containing attacks and regular
traffic.
Experimental results showed 0.7% of false positives with
regular traffic, 8.33% of true positives with known attacks
and 100.00% of false negatives with unknown attacks. This
results are justified by the small amount of attributes
available on network traffic to perform a real-time analisys
and to the bad quality of the data available to train and
test Intrusion Detection Systems.
��v
ÍNDICE
1.INTRODUCCIÓN..............................................9
1.1 Sobre este documento.................................9
1.2 Problema.............................................9
1.3 Objetivos de la investigación.......................11
1.4 Organización de este documento......................12
2.MARCO TEÓRICO............................................14
2.1 Antecedentes........................................14
2.2 Redes neuronales....................................15
2.2.1 Conceptos generales.............................16
2.2.2 Tipos...........................................19
2.2.2.1 Perceptrón..................................19
2.2.2.2 Mapa auto-organizado........................20
2.2.2.3 Teoría de la resonancia adaptativa..........21
2.3 Detección de intrusos...............................23
2.3.1 Evolución.......................................26
2.3.2 Estrategias utilizadas..........................27
2.3.2.1 Estadística.................................30
2.3.2.2 Sistemas expertos...........................33
2.3.2.3 Minería de datos............................35
2.3.2.4 Híbridos....................................38
2.4 Evaluación de sistemas de detección de intrusos.....39
3.ESPECIFICACIÓN DE REQUERIMIENTOS.........................47
3.1 Descripción general.................................47
3.1.1 Perspectiva del producto........................47
3.1.1.1 Interfaces de usuario.......................48
3.1.1.2 Interfaces de hardware......................49
3.1.1.3 Interfaces de software......................50
3.1.1.4 Restricciones de hardware...................50
3.1.1.5 Operaciones.................................52
3.1.1.6 Requisitos de adaptación....................52
3.1.2 Funcionalidad del producto......................52
3.1.2.1 Análisis....................................53
3.1.2.2 Accesibilidad...............................53
3.1.2.3 Seguridad...................................53
3.1.2.4 Inserción de datos..........................54
3.1.2.5 Mantenimiento...............................54
3.1.2.6 Diagrama de contexto........................56
3.1.3 Características de los usuario..................56
3.1.4 Restricciones...................................57
3.1.5 Suposiciones y dependencias.....................57
3.1.6 Evolución previsible del sistema................58
3.2 Requerimientos específicos..........................59
3.2.1 Interfaces externas.............................59
�vi
3.2.2 Casos de uso....................................59
3.2.3 Requerimientos de rendimiento...................65
3.2.4 Requerimientos lógicos de la base de datos......65
3.2.4.1 Restricciones de integridad.................65
3.2.4.2 Requerimientos de retención de datos........65
3.2.5 Restricciones de diseño.........................65
3.2.6 Atributos del sistema de software...............66
3.2.6.1 Confiabilidad...............................66
3.2.6.2 Disponibilidad..............................66
3.2.6.3 Seguridad...................................69
3.2.6.4 Mantenimiento...............................70
3.2.6.5 Portabilidad................................70
4.DISEÑO DEL SISTEMA.......................................71
4.1 Descripción de los módulos..........................72
4.1.1 Módulo de recolección de datos de auditoría
(sniffer)..............................................72
4.1.2 Módulo de almacenamiento de datos de auditoría. .74
4.1.3 Módulo de análisis y detección..................79
4.2 Diseño de las redes neuronales......................82
4.2.1 IP + ICMP.......................................87
4.2.2 IP + UDP........................................89
4.2.3 IP + TCP........................................90
5.PROTOTIPO................................................93
5.1 Lenguaje de programación............................93
5.2 Sistema operativo...................................95
5.3 Almacenamiento......................................95
5.4 Análisis de datos...................................97
5.5 Reportes de salida..................................97
6.METODOLOGÍA..............................................99
6.1 Datos de entrenamiento..............................99
6.2 Entrenamiento de las redes neuronales..............102
6.3 Ambiente de prueba.................................104
7.RESULTADOS EXPERIMENTALES...............................111
7.1 Tráfico normal.....................................112
7.2 Ataques conocidos..................................114
7.3 Ataques desconocidos...............................118
8.ANÁLISIS DE RESULTADOS..................................122
8.1 Comparación con otras investigaciones..............125
9.CONCLUSIONES............................................135
9.1 Trabajo futuro.....................................136
10.Anexos............
Crear cuenta
Comentarios de: Sistema de detección de intrusos sobre la red basado en redes neuronales (0)
No hay comentarios