PDF de programación - Prototipo de un Sistema híbrido IDS/Cortafuego, utilizando Máquinas de Soporte Vectorial

PONTIFICIA UNIVERSIDAD CATÓLICA DE VALPARAÍSO

FACULTAD DE INGENIERÍA

ESCUELA DE INGENIERÍA INFORMÁTICA

Prototipo de un Sistema híbrido IDS/Cortafuego, utilizando

Máquinas de Soporte Vectorial

Daniel Alejandro Araya Astudillo

TESIS DE GRADO
MAGÍSTER EN INGENIERÍA INFORMÁTICA

Julio 2010

Pontificia Universidad Católica de Valparaíso

Facultad de Ingeniería

Escuela de Ingeniería Informática

Prototipo de un Sistema híbrido IDS/Cortafuego, utilizando

Máquinas de Soporte Vectorial

Daniel Alejandro Araya Astudillo

Profesor Guía: Broderick Crawford Labrin

Programa: Magíster en Ingeniería Informática

Julio 2010

2

ÍNDICE DE CONTENIDOS

I. INTRODUCCIÓN.................................................................................................................................................... 7

II. OBJETIVO GENERAL ......................................................................................................................................... 8

III. OBJETIVOS ESPECÍFICOS............................................................................................................................... 8

IV. HIPÓTESIS............................................................................................................................................................ 8

V. METODOLOGÍA DE TRABAJO......................................................................................................................... 9

VI. MOTIVACIÓN.................................................................................................................................................... 10

VII. TRABAJOS RELACIONADOS....................................................................................................................... 11

1.- SISTEMA OTAD.................................................................................................................................................. 11
2.- SISTEMA CT-SVM.............................................................................................................................................. 12
3.- SISTEMA IPS-SVM ............................................................................................................................................. 13
4.- ENFOQUE DE MÚLTIPLES PASOS PARA LA EVALUACIÓN DE INTRUSIONES EN LA RED DE TRÁFICO. ...................... 15
5.- MODELO HÍBRIDO DE ÁRBOLES DE DECISIÓN Y MÁQUINAS DE SOPORTE VECTORIAL........................................ 18

VIII. CONCEPTOS RELACIONADOS.................................................................................................................. 23

1.- MÁQUINAS DE SOPORTE VECTORIAL ................................................................................................................. 23
2.- FUNCIONES DE BASE RADIAL (RBF)................................................................................................................... 36
3.- CORTAFUEGO...................................................................................................................................................... 38
4.- SISTEMA DE DETECCIÓN DE INTRUSOS................................................................................................................ 40
5.- TIPOS DE ATAQUES ............................................................................................................................................. 46
6.- CONCEPTOS DE LOS PROTOCOLOS ANALIZADOS................................................................................................. 50

IX. PROPUESTA DE SOLUCIÓN .......................................................................................................................... 61

1.- DISEÑO ............................................................................................................................................................. 61
2.- CARACTERÍSTICAS DEL SISTEMA DE IMPLEMENTACIÓN .................................................................. 67

X. IMPLEMENTACIÓN .......................................................................................................................................... 68

1.- SENSOR............................................................................................................................................................... 68
2.- ADAPTACIÓN DE LA DATA .................................................................................................................................. 69
3.- MÓDULO DE ANÁLISIS ........................................................................................................................................ 71
4.- ACTUALIZACIÓN DE REGLAS.............................................................................................................................. 72
5.- MÓDULO DE RETROALIMENTACIÓN ................................................................................................................... 73
6.- ENTRENAMIENTO DE LAS MÁQUINAS DE SOPORTE VECTORIAL.......................................................................... 75
7.- PRUEBAS REALIZADAS SOBRE EL PROTOTIPO ..................................................................................................... 79

XI. ANÁLISIS DE LOS RESULTADOS................................................................................................................. 81

1.- NATURALEZA DE LA DATA ................................................................................................................................. 82
2.- INCIDENCIA DEL ATRIBUTO EN LA CLASIFICACIÓN ............................................................................................. 93
3.- CURVA ROC DEL MODELO................................................................................................................................. 99
4.- ANÁLISIS DE LAS PRUEBAS REALIZADAS........................................................................................................... 100

XII. CONCLUSIONES............................................................................................................................................ 102

XIV. BIBLIOGRAFÍA ............................................................................................................................................ 105

3

Pag

21

Índice de Figuras
Nombre de la Figura
Figura 1: Arquitectura del sistema OTAD...…..…..…..…..…..…..…..…..…..…..…..………… 9
Figura 2: Estructura de sistema de prevención de intrusos basado en Máquinas de Soporte
12
Vectorial . …..…..…..…..…..…..…..…..…..…..…..…..…..…..…..…..………………………..
Figura 3: Enfoque de múltiples pasos para la evaluación de intrusiones en la red.…..…..…..….
14
Figura 4: Modelo híbrido de Árboles de Decisión y Máquinas de Soporte Vectorial …..……… 17
Figura 5: Sistema de Detección de Intrusos basado en un sistema jerárquico inteligente……….
20
Figura 6: Hiperplano Óptimo Lineal…………………………..…..…..…..…..…..…..…..……..
Figura 7: Hiperplano Canónico……………………………………...………...…..…..…..……..
23
Figura 8: Data no separable linealmente………………………………………………………… 26
Figura 9: Mapeo de un vector de entrada en un espacio de características …..………………....
29
Figura 10: Capas de una RBF ……..…..…..…..…..…..…..…..…..…..…..…..…..…..…..…… 35
Figura 11: Función Gaussiana ………….... …..…..…..…..…..…..…..…..…..…..…..…..…… 35
Figura 12: Representación de la implantación de un cortafuego en una red ……….…..…..…..
37
Figura 13: Clasificación de los IDS ….…..…..…..…..…..…..…..…..…..…..…..…..…..…..… 38
Figura 14: Campos de Encabezamiento IP ……………..…..…..…..…..…..…..…..…..…..…..
49
Figura 15: Campos encabezamiento Mensaje Echo ICMP .…..…..…..…..…..…..…..…..….… 51
Figura 16: Campos encabezamiento Mensaje Destino Inalcanzable ICMP ..…..…..…..…..…..
52
Figura 17: Campos encabezamiento Mensaje Fecha y Hora ICMP …………………...…..…..
54
Figura 18: Campos encabezamiento Protocolo TCP .....…..…..…..…..…..…..…..…..…..…..… 56
Figura 19: Campos encabezamiento Protocolo UD…...…..…..…..…..…..…..…..…..…..…..… 57
Figura 20: Diagrama de flujos para una consulta básica en un servidor…..…..…..…..…..…..… 59
Figura 21: Diagrama de flujos para una consulta en un servidor con modificaciones ………..… 60
Figura 22: Arquitectura de Sistema Propuesto…………………………………………………...
61
Figura 23: Esquema de tareas del Módulo Sensor ....…..…..…..…..…..…..…..…..…..…..…… 62
Figura 24: Esquema de tareas del Módulo de Adaptación de Data ...…..…..…..…..…....…..… 63
Figura 25: Esquema de tareas del Módulo de Análisis …...…..…..…..…..…..…..…..…..…..… 64
Figura 26: Diagrama de Flujo Módulo Sensor ………………………..…..…..…..…..…..…… 66
Figura 27: Ejemplo de Data capturada…………………………………..…..…..…..…..…..….
67
Figura 28: Diagrama de Flujo Módulo Análisis de la Data……………..…..…..…..…..…..…..
68
Figura 29: Ejemplo de Dirección IP Origen capturada…...…..…..…..…..…..…..…..…..…..… 68
Figura 30: Ejemplo de Data separada en los campos respectivos de los protocolos UDP o TCP.
68
Figura 31: Ejemplo de data escalada………………………….. …..…..…..…..…..…..…..…….
Figura 32: Diagrama de Flujo del módulo de Análisis……………………………..…..………...
Figura 33: Ejemplo del resultado del análisis de un tráfico normal…...…..…..…..…..…..……..

69

69

70

4

73

74

83

83

85

85

72

71

72

84

84

70

70

Figura 34: Ejemplo del resultado del análisis de un tráfico anómalo………………………...….
Figura 35: Diagrama de Flujo Módulo de Actualización de Reglas……………………………..
Figura 36: Diagrama de Flujo de Módulo de Administración…………………………………...
Figura 37: Interfaz de Administración…………………………………………………………...
Figura 38: Interfaz de Respuesta a la eliminación de una Regla………………………………..
Figura 39: Prototipo de entrenamiento de las Máquinas De Soporte Vectorial………………….
Figura 40: Ejemplo de tráfico capturado y etiquetado…………………………………………...
Figura 41 Representación Campos 1, 2, 3, 4, 8 ……..…………………………………………...
Figura 42: Representación Campo 5 ………………..…………………………………………...
Figura 43: Representación Campo 6