PDF de programación - Utilizando Inteligencia Artificial para la detección de Escaneos de Puertos

Universidad del Cauca. Amador, Arboleda, Bedón. IA para detección de Escaneos de Puertos.



1

Utilizando Inteligencia Artificial para la detección

de Escaneos de Puertos

Amador, Siler., Arboleda, Andrés y Bedón, Charles.

{samador,aarboleda,cbedon}@unicauca.edu.co



Universidad del Cauca



Resumen— La amplia gama de ataques a redes de
computadores y sus variantes han hecho de la detección de
intrusos una ardua tarea, sobre todo, teniendo en cuenta que
además de la implantación de herramientas diseñadas para tal
cometido, es necesario actualizar constantemente la base de
conocimientos o reajustar los parámetros de configuración de
dichas herramientas si la red o el contexto de operaciones
cambia en determinado momento. Es por esto que la
incorporación de técnicas de inteligencia artificial para
adicionar cierto grado de adaptabilidad a los detectores de
intrusos está tomando cada vez más fuerza. En el siguiente
artículo se describirá el análisis realizado y los resultados
obtenidos dentro del proyecto “Sistema de Detección de
Intrusos Utilizando Inteligencia Artificial” para introducir un
elemento inteligente, basado en redes neuronales, orientado a
la detección del problema específico del escaneo de puertos,
usando como base el IDS (Intrusion Detection System –
Sistema de Detección de Intrusiones) de código abierto
Snort™.


Índice de Términos— Detección de Intrusos, Escaneo
de Puertos, IDS, Inteligencia Artificial, Redes Neuronales,
Snort.



I. INTRODUCCIÓN

D

latina, a pesar de

ebido a la masificación del uso de Internet,
la publicación de información que permite el
acceso ilegal a datos compartidos en redes privadas,
es muy simple, lo cual ha incrementado el número
de incidentes de seguridad en los últimos años en
América
leve
disminución a nivel mundial [1]. Por supuesto, el
interés en tratar de detener o protegerse de estas
intrusiones ha aumentado igualmente, y es por esto
que nuevas iniciativas están siendo generadas. En la
propuesta “Sistema de Detección de Intrusos
Utilizando Inteligencia Artificial” [2], se pretende
detectar un ataque desde su propia gestación: El

la aparente



VI Jornada Nacional de Seguridad Informática ACIS 2006

reconocimiento de vulnerabilidades. La idea es
trabajar sobre una infraestructura de recolección de
información y detección, probada y optimizada,
para reutilizar ciertos elementos y mejorar los ya
existentes en el campo de la detección de escaneos
de puertos; El NIDS (Network IDS) Snort™ es la
herramienta ideal, teniendo en cuenta que es el
detector de intrusos de código abierto de uso más
difundido, con una comunidad activa y reconocida
efectividad. Sin embargo usa un tipo de detección
basado en uso indebido, es decir, detecta intrusiones
analizando firmas de ataque, que son fijas, de tal
suerte que una variante de ataque no registrada
podría confundirlo evitando que sea reportada o
provocar la generación de falsas alarmas.


Este proyecto no muestra una

solución
radicalmente innovadora, dentro del estado del arte
de los Sistemas Detectores de Intrusos (IDS) que
utilizan tecnologías de Inteligencia Artificial (IA).
Pero es el primer paso a nivel local en una línea de
investigación que tiene futuro, de la mano de la
filosofía del Software Libre.



II. ESCANEO DE PUERTOS

Un escaneo de puertos (portscan) es una técnica
de exploración que pretende hallar qué servicios
están siendo ofrecidos por una red o servidor,
consiste en realizar conexiones o intentos de
conexión a diferentes puertos (TCP o UDP) en la
víctima esperando obtener respuesta de alguno o
algunos de ellos e inferir qué aplicación o servicio
está escuchando en dicho puerto. Así por ejemplo,
si recibe una respuesta del puerto 22 supondrá que
se trata del servicio de SSH, aunque probablemente
sea un servidor Web el que esté escuchando
peticiones en aquel puerto si el administrador del
host así lo ha configurado.

Universidad del Cauca. Amador, Arboleda, Bedón. IA para detección de Escaneos de Puertos.



A pesar de que es sabido que esta actividad es
comúnmente el preludio para un ataque de mayores
proporciones, no es penalizada por la ley de
Colombia ni de Estados Unidos ya que se asocia
con el caso análogo en el que un ladrón golpea la
puerta de una casa para ver si está abierta o no, pero
permanece afuera de ella; sin embargo, en el
ambiente de la seguridad informática es considerada
como un ataque.

2



Existe una gran cantidad de tipos de escaneo [3]
que pueden basarse en los protocolos TCP o UDP,
diferenciándose básicamente por las banderas de
protocolo utilizadas (como SYN, ACK o RST
aplicables sólo a TCP), pero los dos tipos de
escaneo mas comunes son el TCP Connect y el TCP
SYN los cuales se muestran en la Fig. 1. El TCP
Connect
conexión
convencional del protocolo TCP conocido como
triple handshaking o saludo triple, llamado así por
los tres mensajes que se intercambian al inicio de
una nueva conexión (SYN, SYN_ACK y ACK). El
escaneo TCP SYN o semiabierto no establece una
conexión por cada puerto, es mas rápido y difícil de
detectar.

proceso

utiliza

el

de


Todos

los

tipos de escaneo

tienen como
denominador común dos elementos: la cantidad y la
temporalidad. El primero se refiere al número de
intentos de conexión que se hagan a un host (tantos
intentos como puertos se desee escanear, puede
estar entre 1 y 65535) y el segundo a cuanto tiempo
promedio separa un intento de otro (muy corto,
milisegundos, si se desea cubrir un buen rango de
puertos). Estos elementos permanecen aún si el
escaneo es distribuido, en tiempo o en espacio. En
tiempo significa que se escanea cierto rango de
puertos en un momento y después de un lapso
prudencial, se escanea el resto. En espacio quiere
decir que no se hace desde un mismo host, sino que
se eligen varios para lanzar el ataque. De hecho, en
el escaneo de tipo Decoy [3] o escaneo con señuelos
se simula una exploración desde diferentes
máquinas para confundir al IDS, pero realmente se
hace desde uno solo.


VI Jornada Nacional de Seguridad Informática ACIS 2006

ESCANEO TCP CONNECT (IZQUIERDA) Y TCP SYN (DERECHA)

Fig. 1



Estas características son la base del análisis que
se efectuó, partiendo además de la premisa que al
administrador no le interesa saber si el escaneo es
de tipo XMAS tree, TCP SYN, TCP Connect o
cualquier otro, sino que está siendo escaneado y que
la fuente ha sido
identificada con un grado
aceptable de precisión.


III. REDES NEURONALES

El funcionamiento exacto del cerebro humano
sigue siendo un misterio. En detalle, el elemento
más básico del cerebro humano es un
tipo
específico de célula, llamado neurona, que a
diferencia del las células del resto del cuerpo no se
regenera. Se asume que estas células son las que nos
proveen las capacidades de recordar, pensar, y
aplicar experiencias anteriores a cada una de
nuestras acciones.


Estas Redes Neuronales Artificiales (RNA) sólo
intentan replicar los elementos más básicos de este
complicado, versátil, y poderoso organismo. Lo
hacen de una manera primitiva. Pero para el
programador que está intentando solucionar un
problema determinado, la computación neuronal
nunca fue sobre replicar cerebros humanos. Es
sobre máquinas y sobre una nueva manera de
solucionar problemas [16].


Entre las diferentes tecnologías de Inteligencia
Artificial (lógica difusa, técnicas de búsqueda como
algoritmos genéticos, etc) se escogió las Redes
Neuronales Artificiales porque era la más madura
en el campo de la detección de intrusos, y porque

Universidad del Cauca. Amador, Arboleda, Bedón. IA para detección de Escaneos de Puertos.


las herramientas de código abierto para el
entrenamiento y generación de código estaban a
disposición. Un estudio más minucioso hubiera
requerido
tecnologías
existentes y por medio de pruebas comparativas
concluir cuál era la mejor, sin embargo, el alcance
del proyecto no fue definido para tal efecto.

implementar

todas

las



C. Topología de una Red Neuronal

3

en

Basándose

el patrón de

conexiones
(arquitectura), las RNA pueden ser agrupadas en
dos categorías: redes no recurrentes y redes
recurrentes.


En las redes no recurrentes (feed-forward), las
señales de entrada son simplemente transformadas
en señales de salida, no hay conexiones cerradas
(loops) y se sigue siempre un flujo continuo hacia el
frente. En cambio en
recurrentes
(recurrent o feedback), las señales son alteradas en
diversas transiciones de estado, siendo la salida
alimentada también de la entrada, igualmente se
tienen
las
realimentaciones.

conexiones

cerradas

debido

redes

las

a



D. Aprendizaje

sets

llamados

(conjuntos)

El aprendizaje se puede clasificar en supervisado
y no supervisado. Las redes con aprendizaje
supervisado requieren de una serie de datos de
ejemplo,
de
entrenamiento, que le muestran a la red qué valores
de salida se deben obtener para ciertos valores de
entrada, así la red puede general