Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Detección de Ataques DDoS A Través de La Trasformada de Wavelet
Detección de Ataques DDoS A Través de La Trasformada de Wavelet
la Transformada de Wavelet
Mohamed Hamdi, Noureddine Boudriga
Traduccin
Cesar Carrasco Carr, Felipe Gallegos
Abstract
Deteccin de intrusiones basada en anomalas es un tema de investigacin crucial ya que permite identificar
ataques para el no necesariamente se conoce una firma. Sin embargo, mtodos usando anomalas comnmente
consumen ms recursos que aquellas basadas detecciones de mal usos y tienen una ms alta razn de falsas
alarmas. Este paper presenta un mtodo eficiente de anlisis de anomalas que est probado es ms eficiente y
menos complejo que las tcnicas existentes. Este mtodo se basa en monitorear el estado de seguridad usando un
conjunto de mtricas precisas. La Transformacin Wavelet (WT) esta usada para descomponer estas mtricas en
un espacio de tiempo. Ataques son vistos como singularidades de Lipschitz que aparecen en puntos especficos
en el tiempo. Entonces, la deteccin de anomalas es ejecutada a travs de procesar las seales representando las
mtricas. Se ve tambin que el mtodo propuesto es extensible al caso donde puntos de monitoreo, usados para
obtener las caractersticas medibles, estn distribuidos de acuerdo a la topologa de la red.
1.
Introduccin
proceso
de
ataque.
Obviamente,
incrementar la cantidad de zombies
exacerban la eficiencia del ataque DoS y
deteccin temprana es ms difcil.
2. Al contrario de otros ataques, el flujo de la
red usado para hacer un ataque DoS difiere
ligeramente del trfico normal. Analizando
las cabeceras de los paquetes y su
contenido, el sistema de deteccin de
intrusiones (IDS) difcilmente va a realizar
que una intrusin est en proceso. Por lo
tanto, estrategias segn deteccin basada
en anomalas son mejores para detectar
ataques DoS
3. El sistema de deteccin puede ser
esquivado por el atacante si el IDS no
puede procesar el flujo de ataque. Esto
significa que la estrategia para protegerse
de un ataque DOS debe ser posible a un
razonable costo numrico.
Este paper describe el diseo de un sistema
clasificador de anomalas para la deteccin de DoS y
enumera problemas matemticos relacionados. El
clasificador puede monitorear las actividades de la
red de computadores a mltiples niveles (desde
ingeniera de trfico a niveles de actividad de
usuarios) y determina la correlacin entre los
parmetros monitoreados (o mtricas). El principal
rol de este clasificador es identificar anomalas
relacionadas con ataques. Este bsicamente permite
diferenciar entre anomalas virulentas o
benignas. Nuestro mtodo es basado en el
concepto del periodo de observacin y ocupa teora
de wavelets. Este tiene tres ventajas principales con
respecto a los mtodos existentes: primero no
necesita almacenar perfiles de usuario, archivos con
informacin sobre ataques, o usaje estadstico.
Segundo, este ofrece una complejidad reducida de la
forma O(n), donde n es el tamao de los periodos de
observacin. Por ltimo, al contrario de tcnicas
Bayesianas, no se necesita informacin a priori sobre
las anomalas a monitorear.
El resto del paper est organizado de la
siguiente manera: Seccin 2 describe las tcnicas
comnmente usadas para representar y detectar
anomalas en una red de computadores. Seccin 3
describe formalmente estas anomalas. Seccin 4 y 5
explica como la deteccin de anomalas puede ser
2.
3.
( ){1,...,} (. ( ){1,...,} ):
los
conjuntos de valores normales (resp.
anormales) que pueden ser tomadas por las
funciones( ()){1,...,}
( ){1,...,} (. ( ){1,...,} ):
los
5
4.
Wavelets y la Regularidad de
Lipschitz
()|2
|
(
) < +
(3)
22 ( 2 ))
() = 2 ()(2 )
=
(, ) = () = () ( )
*+ es
Donde
la funcin escala, * es el
1
() = +1, +1, () +
, j,k ()
=+1
|()|(1 + || ) < +
| |
|| 0 ||
| (2 , 0 2 )|
Donde el punto 0 corresponde al ataque
informtico.
Dicho de una forma ms simple, si se detecta
un mximo local en un punto (20 , 0 20 ) y si 0
corresponde a mximos locales con un pequeo
aumento sobre los modulo a una escala 20 ,
entonces 0 corresponde a un ataque informtico.
Las principales ventajas de este mtodo son
buena localizacin espacial y el bajo costo numrico
que implica. La primera caracterstica es debido a las
propiedades espaciales de Wavelet, mientras que la
segunda deriva del hecho de que la Trasformada
Wavelet de una seal de tamao puede ser
calculada en () pasos segn el algoritmo
piramidal de Mallat [19].
Esta proposicin se puede utilizar para disear
un sistema clasificador que permita descartar falsos
picos en el nivel de deteccin de intrusos. El objetivo
de dicha proposicin ser establecer si un pico en la
9
inters
es
un
ataque.
( 2 ()) .
A continuacin se detallara los resultados de
las secciones anteriores en el caso que () es una
funcin en ( 2 ()) .
Definicin 4: (Anlisis de Multiresolucin) Un
+1
() (2) +1
() 0 ( + 1) 0
= 2 () =
() 0 ((
)) 0 ( . >
0, < + | ( +
2)|2 )
11
() = , , () + , , ()
Donde
, () = 2 (2 )
y
, () = 2 (2 ),
{, , 1}. (, )
puede ser visto como los
coeficientes de la proyeccin de en y
+1 = ,
Esto
significa
que
(respectivamente (, ())
(, ())
es una base de
() = (
=0
()
( 2 )
) + () ()
(2 )
!
( 2 )
!
Donde [2 , ].
= ( () (2 )
=0
( 2 ) , () )
!
,
1
( 2 )
+
() ()
, ()
!
!
,
12
Se consideraran
= 0,1, , 1
(+1)2
las
integrales
donde
( 2 ) 22 (2 )
= 22
0
1
1
( ) (y)2j = 2(+2) (y)
2
0
1
( 2 )
22 , ()
|, | = () ()
! ,
!
( 2 )
1
22 , ()
!
!
,
1
= 2(+2)
1
1
() ()
!
0
13
7. Conclusin
En este trabajo, se propone un mtodo para la
deteccin de ataques a redes informticas a travs del
uso de la teora de ondas y exponentes Lipschitz. Se
establecen los fundamentos tericos del mtodo se
establecen y los experimentos se llevan a cabo en el
desarrollo de la investigacin incluyendo ataque
reales, para comprobar el razonamiento plateado. Se
muestra que la tcnica propuesta permite una
deteccin eficiente de los ataques informticos
modulando una buena seleccin de los indicadores
medidos. El enfoque que se presenta es intentar
aprovechar las propiedades intrnsecas de la
Trasformada Wavelet (especialmente el bajo coste de
su clculo y su buena localizacin espacial).
El enfoque presentado se puede ampliar para
detectar otros tipos de ataques que DoS y DDoS. Por
lo tanto, una cuestin interesante sera modificar la
herramienta de deteccin DDoS ataque basado en
wavelets para diferenciar entre mltiples ataques.
Puede ser construido un esquema de clasificacin
para este fin.
Referencias
[1] S. Northcutt, J. Novak, Network Intrusion
Detection, SAMS, third ed., ISBN: 0735712654,
2002.
[2] L.A. Gordon, M.P. Loeb, W. Lucyshyn, R.
Richardson, 10th annual CSI/FBI computer crime
and security survey, Computer Security Institute
(2005).
15