PDF de programación - Minería de datos aplicada en detección de intrusos

Ing. USBMed, Vol. x, No. x, mes-mes 201X

APPLIED DATA MINING IN INTRUSION DETECTION



MINERÍA DE DATOS APLICADA EN DETECCIÓN DE INTRUSOS



Diego Vallejo

Germán

Pérez
Estudiante

Tenelanda Vega

Estudiante

Especialización en

Especialización en

Seguridad Informática

y Egresado de la

Seguridad Informática y
Egresado de la Facultad

Facultad de Ingeniería
de Sistemas de la USB
[email protected]

de Ingeniería de
Sistemas de la

Universidad EAFIT

[email protected]

(Tipo de Artículo: Artículo de reflexión. Recibido el 25/11/2011. Aprobado el 00/00/0000)







Abstract. Based on the fundamentals and techniques of
data mining can design and develop models to find illegal
behavior easy to detect with the naked eye as it is not obvious
information-priori unknown and potentially useful, in reference
to particular facts. In particular, the usefulness of data mining in
this area lies in a range of techniques, algorithms and methods
that mimic the human characteristic of learning: ability to
extract new knowledge from experience.


Data mining has features such as analysis of large volumes
of information, generation of behaviors that are not easily
discernible, treatment of data for decision making. These
features can be of vital importance to be applied in information
security through intrusion detection.


At present the information security is one of the great
challenges facing the world, and especially the detection of
anomalies in the access logs of different information systems.
With this basic method applied is very efficient and able to
prevent intrusions. It focuses in the field of intrusion detection
to nurture the process of monitoring the events occurring in the
network, followed by analysis of the same, with a view to
identifying the factors that threaten the confidentiality, integrity,
availability and non-repudiation of data.



In the present work aims to show the contribution to the
information security of data mining in the context of intrusion
detection.

Keywords. Attacks, cyberterrorism, data, data mining, denial
of service,
leakage, model,
modeling, prediction.


intrusions, vulnerabilities,

Resumen. En base a los fundamentos y técnicas de la
minería de datos se pueden diseñar y elaborar modelos que
permiten encontrar comportamientos clandestinos de fácil
detección a simple vista como lo es la información no evidente
-desconocida a priori y potencialmente útil- en referencia a
hechos determinados. En particular la utilidad de la minería de
datos en esta área radica en una serie de técnicas, algoritmos
y métodos que imitan la característica humana del aprendizaje:
ser capaz de extraer nuevos conocimientos a partir de las
experiencias.


La minería de datos posee características como: análisis de
información, generación de
grandes
fácilmente perceptibles,
comportamientos que no son
depuración de datos para
toma de decisiones. Estas
características pueden ser de vital importancia para ser

volúmenes de

aplicadas en la seguridad de la información a través de la
detección de intrusos.


En la actualidad la seguridad de la información es uno de
los grandes retos que tiene el mundo, y en especial, la
detección de anomalías en los registros de acceso de los
diferentes sistemas de información. Con esta aplicabilidad
resulta un método básico y muy eficiente de poder prevenir
intrusiones. Se centra el campo de en la detección de intrusos
al nutrir el proceso de seguimiento de los acontecimientos que
ocurren en la red informática, seguido del análisis de los
mismos; con el fin de detectar los factores que ponen en
peligro la confidencialidad, integridad, disponibilidad y no
repudio de los datos.



En el presente trabajo se pretende mostrar el aporte a la
seguridad de la información de la minería de datos en el
contexto de la detección de intrusos.

Palabras clave. Ataques, ciberterrorismo, datos, denegación
de servicios, fuga de datos, intrusiones, minería de datos,
modelo, modelado, predicción, vulnerabilidades.

1. INTRODUCCIÓN


Los datos hoy son el activo más importante para
cualquier persona o empresa y por lo tanto se deben
proteger porque están expuestos al ser vulnerables en
el ambiente de las redes locales y en internet. Es
posible que existan individuos o software malicioso
(malware) que intenten llegar a esos datos valiéndose
de distintos medios y producir consecuencias, tanto
indeseables como
Los vándalos
informáticos se aprovechan las vulnerabilidades y
atacan a los sistemas computarizados, el control de
flujo de navegación en la red, el intercambio de correo,
entre otros.

imprevisibles.


Muchas de estas batallas de bits pasan
desapercibidas y no nos damos cuenta que estamos
siendo atacados o inclusive que tenemos un software
malicioso latente en nuestro computador o que nuestra
máquina sea un zombi manipulado por alguien en
cualquier lugar del mundo. Todo esto puede pasar
desapercibido, por lo tanto, es necesario detectar las
anomalías que se presenten en los registros de



1



acceso, lo cual es posible realizar mediante técnicas
de detección de intrusos, analizando aquellos accesos
que pongan en peligro la confidencialidad, integridad,
disponibilidad y no repudio de los datos.


Al registrar los datos del acceso a los sistemas y
almacenarlos para un posterior análisis, se crea un
gran volumen de datos, los cuales a simple vista no
son fáciles de analizar y de correlacionar entre sí. Es
por ello, que utilizaremos la ayuda de la minería de
datos para buscar información no trivial que se
encuentre oculta o dispersa en los mismos; es decir,
con la minería de datos se exploran los datos para
descubrir la interconexión e interrelación entre ellos y
así poder sacar información oculta. [1] [2]


La herramienta que utilizaremos para la minería de
datos es IBM SPSS Modeler [1], que es una aplicación
que permite elaborar modelos predictivos de forma
rápida e intuitiva, sin necesidad de programación y
que descubre patrones y
tendencias en datos
estructurados o no estructurados.


Los datos con los cuales vamos a trabajar son
tomados de
los datos utilizados en “The Third
International Knowledge Discovery and Data Mining
Tools Competition” [2], estos datos fueron preparados
y dirigidos por los laboratorios de MIT Lincoln. Esta
base de datos contiene un conjunto estándar de datos
que
intrusiones
simulados en un entorno de red militar de la fuerza
aérea de Norteamérica. Estos datos son la recopilación
de siete semanas de tráfico TCP de red.

incluye una amplia variedad de


De este análisis esperamos descubrir la utilidad de
la minería de datos en la exploración de los datos a fin
de descubrir y predecir ataques que no podrían ser
detectados por antivirus, cortafuegos o sistemas de
detección de intrusos.

2. DESCRIPCIÓN DE LA PROBLEMÁTICA

2.1. Causas del Problema


Las redes de cómputo locales unidas a la Internet
han facilitado la comunicación de las personas y
empresas, pero a la vez ponen en riesgo el activo más
importante: los datos. Esta facilidad de intercambiar
información multiplica la capacidad de ataques y
promueve a usuarios maliciosos y crackers a buscar
objetivos vulnerables tales como: aplicaciones no
actualizadas (sistemas operativos, bases de datos, y
otros), sistemas infectados con virus a través de
correos electrónicos, navegación por páginas web,
redes de datos empresariales, descargas de datos de
páginas en la web, ejecución de servicios inseguros, o
puertos abiertos. Por lo tanto, es necesario crear
“alarmas” que ayuden a notificar a los administradores
y jefes de seguridad de la información a fin de
responder oportunamente a las amenazas o ataques.

Ing. USBMed, Vol. x, No. x, mes-mes 201X

Esas alarmas son llamadas sistemas de detección de
intrusos.



2.2. Síntomas y signos


la confidencialidad,

Los ataques son todas aquellas acciones que violan
el sistema de seguridad computacional, logrando
causar efecto en
integridad,
disponibilidad o no repudio y pueden presentar los
siguientes signos verificables: interrupción, es decir el
recurso se vuelve no disponible; intercepción, “alguien”
no autorizado consigue acceso a un
recurso;
modificación, además de la intercepción es capaz de
manipular los datos. Todos estos signos se podrían
manifestar con lentitud, desaparición de archivos y
datos o periféricos funcionando incorrectamente.

tomar


Pueden presentarse otros signos no identificables u
ocultos (sin la utilización de herramientas especiales),
tales como: escaneo de puertos, buscar puertos
abiertos y
los de utilidad; ataques de
autenticación, el atacante suplanta a una persona que
tiene autorización; explotación de errores,
los
desarrollos computacionales
(sistemas operativos,
protocolos, aplicativos) presentan fallas o agujeros de
seguridad; ataques de denegación de servicios,
consisten en saturar un servidor con múltiples
solicitudes hasta dejarlo fuera de servicio.



2.3. Consecuencias


Las consecuencias de los ataques informáticos se

podrían clasificar en:


• Datos dañados: l