Publicado el 15 de Mayo del 2017
768 visualizaciones desde el 15 de Mayo del 2017
165,4 KB
13 paginas
Creado hace 17a (07/06/2006)
Utilizando Inteligencia Artificial
para la Detección de Escaneos de
Puertos
Andrés Felipe Arboleda
Charles Edward Bedón
Director:
Siler Amador Donado
Universidad del Cauca
Anatomía de una Intrusión
– Exploración del Contexto.
– Exploración de Red (Escaneo de puertos).
– Análisis de vulnerabilidades y planeamiento de
estrategias.
– Explotación de vulnerabilidades.
– Implantación de puertas traseras.
Escaneo de puertos
Redes Neuronales
El Perceptrón Multicapa o MLP (Multi-
Layer Perceptron)
Redes Neuronales
Red Neuronal Elman
Tiene en cuenta el tiempo
Módulos de Snort
Modo de Salida
seleccionado
Plugins de Salida
Plugins de Detección
Archivos de
Reglas
Motor de detección
Preprocesadores
Decodificador
Módulo de captura
Tráfico de la Red
Snort Frente a portscans
Preprocesadores sfPortscan y portscan2
(basados en respuestas negativas y
peticiones
conexión
respectivamente).
de
Reglas en scan.rules
SPP Portscan AI
Se apoya en el preprocesador spp_flow, nativo en
Snort.
Uno de los conceptos principales es el de flow, que
consiste en una combinación singular de IP de
origen, puerto de origen, IP de destino y puerto de
destino.
Para el caso del portscanAI sirve para determinar
los intentos de conexión de un host a otro.
Flujo de Datos
Parámetros Analizados
hits_as_dst (hits as destination – hits como destino): número de paquetes
de inicio de conexión (flows) como destino.
hits_as_src (hits as source – hits como origen): número de paquetes de
inicio de conexión (flows) como origen
av_rcv_time (average receive time – tiempo promedio de recepción)
av_snd_time (average send time – tiempo promedio de envío):
negative_resp (negative responses – respuestas negativas)
rel_hits (relation hits – hits de relación): es el número de peticiones de
inicio de conexión que se realizan entre dos host dados.
Resultados 1/2
Condiciones iniciales
Con tráfico (luego de 1676
paquetes)
sfPortscan
PortscanAI
0.3 MB
0.2 MB
0.1 MB
< 0.1 MB
Escaneos detectados
Falsas alarmas
sfPortscan
2
0
PortscanAI
MLP
Elman
5
4
1
1
% de paquetes perdidos
0.057 %
0.045 %
Resultados 2/2
No. DE FALSOS POSITIVOS (FALSAS ALARMAS)
1. Uno a uno (TCP SYN)
2. Uno a muchos (TCP SYN)
3. Uno a uno (decoy)
4. Uno a uno (TCP Connect)
5. Uno a muchos (TCP Connect)
sfPortscan
PortscanAI
MLP
Elman
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
No. DE FALSOS NEGATIVOS (ATAQUES SIN DETECTAR)
1. Uno a uno (TCP SYN)
2. Uno a muchos (TCP SYN)
3. Uno a uno (decoy)
4. Uno a uno (TCP Connect)
5. Uno a muchos (TCP Connect)
sfPortscan
PortscanAI
MLP
Elman
0
1
7
0
1
0
0
0
0
0
0
0
0
0
0
Gracias
Pagina del proyecto:
http://afrodita.unicauca.edu.co/~aarboleda/
snort_ai.htm
Andrés Felipe Arboleda
Ingeniero en Electrónica y Telecomunicaciones
Universidad del Cauca
Comentarios de: Utilizando Inteligencia Artificial para la detección de Escaneos de Puertos (0)
No hay comentarios