Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LEM
ENT
ACI
N
DE
UN
ANTI
BOT
NET
BAS
ADO
EN
RED
ES
NEU
RON
ALE
S
PAR
A
PRO
TEG
ER
LAS
RED
ES
INF
ORM
TIC
AS
EMP
RES
ARI
ALE
S
IMPLEMENTACIN
DE UN
ANTIBOTNET
Ao de
la Unin Nacional
Frente
a la Crisis
BASADO EN REDES NEURONALES PARA
PROTEGER LAS REDES INFORMTICAS
EMPRESARIALES
UNS
P r R a o d dC o a o S R s r a od U r j o ma l v l s o i a e aA n S r F t ma ro l e d a S d an i d a d y na o c R L N a o u os n i es aE lEd d nu ra i r q d u o e J o s
I.
Introduccin
Se estima que uno de cada cuatro ordenadores con conexin a Internet se encuentra infectado,
sin saberlo su dueo, por un cdigo malicioso. Estos equipos son utilizados por los delincuentes
informticos para crear redes de aparatos "zombis" (a su servicio y manejados de forma remota)
con los que cometer todo tipo de estafas (genera Spam y comente otros tipos de delitos y
fraudes). A estas redes se las conoce como botnets (redes de robots) y cuentan con la ventaja
de que aprovechan todo el potencial de computacin de los ordenadores infectados y dificultan la
localizacin del delincuente.
ltimamente se oye hablar mucho acerca de las botnets y los peligros que suponen tanto a
usuarios como a empresas. Una botnet generalmente y para quien no lo sepa no deja de ser un
gusano que recibe rdenes para enviar peticiones de conexin a un servidor o web. El peligro
real que supone uno solo es nulo pero cuando el gusano se ha propagado a centenares o
incluso miles de ordenadores se convierte en un serio problema.
Su funcionamiento es simple, cada bot se propaga por todos los ordenadores que puede y el
conjunto de todos ellos forman una botnet que reciben rdenes para atacar conjuntamente un
servidor. Las rdenes pueden ser recibidas desde multitud de medios, incluso medios curiosos
como lo puede ser una cuenta de twenty. Una vez reciben la orden, actan como un gran ejercito
en conjunto enviando y saturando los servidores a atacar.
Para las empresas las botnets representan una gran amenaza en cuanto a prdidas econmicas,
por ejemplo empresas que la mayora de sus servicios se prestan o publicitan por internet. Por
otra parte tambin podra ser que el propietario de la botnet contactara con la empresa y pidiera
una cantidad econmica para dejar de atacar.
No slo las empresas reciben este tipo de ataques, posiblemente cualquier que tenga una web o
servidor podra recibir un ataque de estos, dependiendo de las intenciones del atacante ya sea
por ejemplo ideas polticas.
Por otro lado, montarse una botnet parece un negocio asegurado, hay muchsimas que estn
buscadas por la gran cantidad de ordenadores infectados que tienen, muchos de los creadores a
veces venden las botnets pudiendo ganar centenares o miles de dlares o euros.
Una de nuestras propuestas como grupo de encargado de brindar Seguridad Informtica es
desarrollar un Antibotnet el cual no es ms que un botnet inteligente el cual apoyado en la
Inteligencia Artificial, especficamente en la rama de Redes Neuronales, se tratara de controlar y
eliminar el ataque de estos gusanos que como hemos visto es muy perjudicial para la sociedad.
II.
Pese a que muchos de los virus actuales combinan caractersticas de varios tipos diferentes para
conseguir ser ms letales, en general podemos distinguir los siguientes tipos: Virus de Fichero,
Gusanos, Bulos o Falsos Virus (Hoaxes), Vulnerabilidades o agujeros de seguridad (exploits),
Troyanos (Trojans), Puertas traseras o Troyanos de Administracin remota (backdoors), Redes
de robots o botnets, Software espa (Spyware), Publicidad no deseada (Adware),
Secuestradores de navegador y de DNS, Marcadores telefnicos (dialers).
Un gran nmero de equipos infectados con un determinado troyano de control remoto,
constituyen una autntica red de ordenadores esclavizados, denominadas botnets en ingls.
Dado el enorme poder de fuego de estas redes, a menudo son utilizadas como plataforma para
el envo de correo basura o para ataques de denegacin de servicio contra servidores web o de
otros tipos.
Esto se ha convertido en un negocio lucrativo, ya que algunos hackers llegan incluso a alquilar
estas redes a los spammers, por supuesto sin el consentimiento de los propietarios de los
ordenadores.
UNS |Proyecto de Investigacin
III.1.
Botnet es un trmino que hace referencia a un conjunto de robots informticos o bots, que se
ejecutan de manera autnoma y automtica. El artfice de la botnet puede controlar todos los
ordenadores/servidores infectados de forma remota y normalmente lo hace a travs del IRC;
las nuevas versiones de estas botnets se estn enfocando hacia entornos de control
mediante HTTP con lo que el control de estas maquinas ser muchos ms simple. Sus fines
normalmente son poco ticos.
banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service). Normalmente los
creadores de estas Botnets venden sus servicios a los Spammers.
III.1.3. Cmo se crea una botnet?
El primer camino para la creacin de una botnet lo constituyen sin duda las vulnerabilidades
del software. Es cierto que la mayora de los sistemas empresariales estn administrados
por profesionales y al menos en teora deberan estar bien parcheados y protegidos sin
embargo estos no son los objetivos de las botnets.
El objetivo principal de una botnet en su gnesis son los millones de ordenadores
domsticos, los cuales estn conectados a la red sin reunir los requisitos mnimos de
seguridad, sistemas operativos sin los parches adecuados, antivirus y firewalls desfasados o
ausencia total de este tipo de protecciones.
El segundo mtodo, basado en el mismo principio, es la ingeniera social.
De nuevo los usuarios con menos conocimientos en seguridad informtica son los que
ponen el peligro el sistema; la cadena se vuelve a romper por el eslabn ms dbil, el
usuario domstico, el cual por desconocimiento descarga contenidos de pginas web de
origen dudoso y abre todo tipo de correos que llegan a su cuenta, facilitando as la entrada a
su ordenador de todo tipo de cdigo malicioso, que lo convertir en un nuevo miembro de la
botnet, pudiendo ser y siendo utilizado para la infeccin de otras mquinas.
Un aspecto importante sobre la creacin de botnets es su automatizacin. No debemos
pensar en ningn hacker aislado en su domicilio infectando una mquina tras otra hasta
conseguir el nmero mgico. Como hemos visto son las mquinas ms desprotegidas las
preferidas por los creadores de botnets, los script writers, centran su atencin en
vulnerabilidades que no por conocidas dejan de ser tiles para su propsito, ya que esta
caracterstica les permite la creacin de un cdigo que de forma automtica y autnoma
explore la red en busca de sus objetivos y los infecte una vez localizados.
III.1.4. Proceso de ataque de los Botnets
Con el paso de los aos, los modelos de neuronas iniciales se han ido complicando,
introduciendo nuevos conceptos llegando a ser un paradigma de computacin (equivalente a
las mquinas de Turing) basado en el comportamiento de las neuronas.
III.2.2. Red Neuronal Artificial
Las redes de neuronas artificiales (denominadas habitualmente como
RNA o en ingls como: "ANN") son un paradigma de aprendizaje y
procesamiento automtico inspirado en la forma en que funciona el
sistema nervioso de los animales. Se trata de un sistema de
interconexin de neuronas en una red que colabora para producir un
estmulo de salida. En inteligencia artificial es frecuente referirse a ellas
como redes de neuronas o redes neuronales.
III.2.3. Funcionamiento
Las redes neuronales consisten en una simulacin de las propiedades observadas en los
sistemas neuronales biolgicos a travs de modelos matemticos recreados mediante
mecanismos artificiales (como un circuito integrado, un ordenador o un conjunto de vlvulas).
El objetivo es conseguir que las mquinas den respuestas similares a las que es capaz de
dar el cerebro que se caracterizan por su generalizacin y su robustez.
UNS |Proyecto de Investigacin
Una red neuronal se compone de unidades llamadas neuronas. Cada neurona recibe una
serie de entradas a travs de interconexiones y emite una salida. Esta salida viene dada por
tres funciones:
1. Una funcin de propagacin (tambin conocida como funcin de excitacin), que por lo
general consiste en el sumatorio de cada entrada multiplicada por el peso de su
interconexin (valor neto). Si el peso es positivo, la conexin se denomina excitatoria; si
es negativo, se denomina inhibitoria.
2. Una funcin de activacin, que modifica a la anterior. Puede no existir, siendo en este
caso la salida la misma funcin de propagacin.
3. Una funcin de transferencia, que se aplica al valor devuelto por la funcin de activacin.
Se utiliza para acotar la salida de la neurona y generalmente viene dada por la
interpretacin que queramos darle a dichas salidas. Algunas de las ms utilizadas son la
funcin sigmoidea (para obtener valores en el intervalo [0,1]) y la tangente hiperblica
(para obtener valores en el intervalo [-1,1]).
III.2.3.1.Estructura
La mayora de los cientficos coinciden en que una RNA es muy diferente en trminos de
estructura de un cerebro animal. Al igual que el cerebro, una RNA se compone de un
conjunto masivamente paralelo de unidades de proceso muy simples y es en las conexiones
entre estas unidades donde reside la inteligencia de la red. Sin embargo, en trminos de
escala, un cerebro es muchsimo mayor que cualquier RNA creada hasta la actualidad, y las
neuronas artificiales tambin son ms simples que su contrapartida animal.
Biolgicamente, un cerebro aprende mediante la reorganizacin de las conexiones
sinpticas entre las neuronas que lo componen. De la misma manera, las RNA tienen un
gran nmero de procesadores virtuales interconectados que de forma simplificada simulan la
funcionalidad de las neuronas biolgicas. En esta simulacin, la reorganizacin de las
conexiones sinpticas biolgicas se modela mediante un mecanismo de pesos, que son
ajustados durante la fase de aprendizaje. En una RNA entrenada, el conjunto de los pesos
determina el conocimiento de esa RNA y tiene la propiedad de resolver el problema para el
que la RNA ha sido entrenada.
Por otra parte, en una RNA, adems de los pesos y las conexiones, cada neurona tiene
asociada una funcin matemtica denominada funcin de transferencia. Dicha funcin
genera la seal de salida de la neurona a partir de las seales de entrada. La entrada de la
funcin es la suma de todas las seales de entrada por el peso asociado a la conexin de
entrada de la seal. Algunos ejemplos de entradas son la funcin escaln de Heaviside, la
lineal o mixta, la sigmoide y la funcin gaussiana, recordando que la funcin de transferencia
es la relacin entre la seal de salida y la entrada.
III.2.4. Ventajas
Las redes neuronales artificiales (RNA) tienen muchas ventajas debido a que estn basadas
en la estructura del sistema nervioso, principalmente el cerebro.
Aprendizaje: Las RNA tienen la habilidad de aprender mediante una etapa que se llama
etapa de aprendizaje. Esta consiste en proporcionar a la RNA datos como entrada a su
vez que se le indica cul es la salida (respuesta) esperada.
Tiempo real: La estructura de una RNA es paralela, por lo cul si esto es implementado
con computadoras o en dispositivos electrnicos especiales, se pueden obtener
respuestas en tiempo real.
Perceptrn
Adaline
Perceptrn multicapa
Memorias asociativas
Mquina de Bolzman
Mquina de Cauchy
Redes de Elman
Redes de Hopfield
Red de contrapropagacin
III.2.5.2.Topologia
Una primera clasificacin de las redes de neuronas artificiales que se suele hacer es en
funcin del patrn de conexiones que presenta. As se definen tres tipos bsicos de redes:
Dos tipos de redes de propagacin hacia delante o acclicas en las que todas las
seales van desde la capa de entrada hacia la salida sin existir ciclos, ni conexiones
entre neuronas de la misma capa.
o Monocapa. Ejemplos: perceptrn, Adaline.
o Multicapa. Ejemplos: perceptrn multicapa.
Las redes recurrentes que presentan al menos un ciclo cerrado de activacin neuronal.
Ejemplos: Elman, Hopfield, mquina de Bolzman.
III.2.5.3.Aprendizaje
Una segunda clasificacin que se suele hacer es en funcin del tipo de aprendizaje de que
es capaz (si necesita o no un conjunto de entrenamiento supervisado). Para cada tipo de
aprendizaje encontramos varios modelos propuestos por diferentes autores:
Redes hbridas: son un enfoque mixto en el que se utiliza una funcin de mejora para
facilitar la convergencia. Un ejemplo de este ltimo tipo son las redes de base radial.
III.2.5.4.Tipo de Entrada
Finalmente tambin se pueden clasificar las RNAs segn sean capaces de procesar
informacin de distinto tipo en:
III.2.6. Aplicaciones
Las caractersticas de las RNA las hacen bastante apropiadas para aplicaciones en las que
no se dispone a priori de un modelo identificable que pueda ser programado, pero se
dispone de un conjunto bsico de ejemplos de entrada (previamente clasificados o no).
Asimismo, son altamente robustas tanto al ruido como a la disfuncin de elementos
concretos y son fcilmente paralelizables.
Esto incluye problemas de clasificacin y reconocimiento de patrones de voz, imgenes,
seales, etc. Asimismo se han utilizado para encontrar patrones de fraude econmico, hacer
predicciones en el mercado financiero, hacer predicciones de tiempo atmosfrico, etc.
Tambin se pueden utilizar cuando no existen modelos matemticos precisos o algoritmos
con complejidad razonable; por ejemplo la red de Kohonen ha sido aplicada con un xito
ms que razonable al clsico problema del viajante (un problema para el que no se conoce
solucin algortmica de complejidad polinmica).
Otro tipo especial de redes neuronales artificiales se ha aplicado en conjuncin con los
algoritmos genticos (AG) para crear controladores para robots. La disciplina que trata la
evolucin de redes neuronales mediante algoritmos genticos se denomina Robtica
Evolutiva. En este tipo de aplicacin el genoma del AG lo constituyen los parmetros de la
UNS |Proyecto de Investigacin
III.3.
Redes Informticas
El software de Red, programas que establecen protocolos para que los ordenadores se
comuniquen entre s. Dichos protocolos se aplican enviando y recibiendo grupos de
datos formateados denominados paquetes.
El Hardware de Red, formado por los componentes materiales que unen los
ordenadores. Dos componentes importantes son los medios de transmisin que
transportan las seales de los ordenadores (tpicamente cables o fibras pticas) y el
adaptador de red, que permite acceder al medio material que conecta a los ordenadores,
recibir paquetes desde el software de red y transmitir instrucciones y peticiones a otros
ordenadores.
En resumen, las redes estn formadas por conexiones entre grupos de ordenadores y
dispositivos asociados que permiten a los usuarios la transferencia electrnica de
UNS |Proyecto de Investigacin
Aunque no son las ms comunes tambin existen otras topologas generadas por las
combinaciones entre las ya mencionadas anteriormente como es el caso de:
NetBios/NetBEUI
Protocolos de red:
IP (Internet Protocol)
Protocolos de aplicacin:
IPX/SPX, protocolos desarrollados por Novell a principios de los aos 80 los cuales
sirven de interfaz entre el sistema operativo de red Netware y las distintas arquitecturas
de red. El protocolo IPX es similar a IP, SPX es similar a TCP por lo tanto juntos
proporcionan servicios de conexin similares a TCP/IP.
IV. Desarrollo
A continuacin se detallara la fase de desarrollo del antibotnet el cual estar basado en
redes neuronales pues tiene como necesidad aprender sobre los botnets para poder
contrarrestarlos.
A) Fase de Anlisis
Requerimientos Funcionales
UNS |Proyecto de Investigacin
1. El antibonet permitir realizar una inspeccin de las maquinas afectadas con el botnet
analizando, estudiando y aprendiendo (en este proceso viene a recalar las redes
neuronales) del botnet.
2. El antibotnet permitir construir los anticuerpos necesarios para eliminar los botnets.
3. El antibotnet permitir proteger las maquinas aun no infectadas del servidor cerrando el
paso de las posibles amenazas que provengan de la misma fuente estudiada (gracias al
estudio realizado por el software con el que cuentan los antibotnets basado en redes
neuronales).
Requerimientos No Funcionales
1. El antibotnet se mantendr residente las 24 horas del da.
2. El tiempo de anlisis de una maquina infectada no debe exceder ms de 1 min.
B) Fase de Diseo
1. Diseo de Software
-
En la parte de Options, nos vamos a la pestaa Directories y hacemos clic donde indica
la flechita.
Luego miramos en la parte de Show directories for: Incluye Files (Y para qu?. Pues ahi
no solo dice Include Files sino tambin Library Files, Source Files y debemos configurar
para esos 3 directorios el PDSK) y al abrirse la nueva ventana le damos clic en los
para buscar la carpeta INCLUDE que instalo PSDK-x86. En mi caso se encuentra en
C:\Archivos de programa\Microsoft Platform SDK\Include y pulsamos OK.
Hasta ah solo hemos configurado la parte de Include files, se necesita hacer lo mismo
para Library files y luego para Source files.
UNS |Proyecto de Investigacin
2. Diseo de Hardware
UNS |Proyecto de Investigacin
V.
Conclusiones
Se ha podido apreciar que las organizaciones criminales pueden controlar miles de mquinas en la
red y utilizarlas para la extorsin, obtencin de informacin o la estafa a travs de las botnets, pero
no olvidemos que las botnets slo son una de las formas que pueden ser utilizadas por los
delincuentes para aprovechar las nuevas tecnologas, las cuales proporcionan nuevas herramientas
para cometer delitos que no son tan nuevos, a la vez que permiten el surgimiento de nuevos tipos
delictivos.
Hoy en da el perfil del individuo que comete delitos en la red ha cambiado: el apasionado de la
informtica que de una forma un tanto oportunista aprovechaba sus conocimientos para obtener
algn beneficio se ha convertido en un miembro de pleno derecho del crimen organizado,
aprovechando sus estructuras y capacidad para blanquear los beneficios obtenidos. Internet es quiz
el proyecto tecnolgico ms apasionante en el que se ha involucrado el ser humano. La red ofrece
posibilidades antes impensables para todos nosotros, por ello su defensa no slo debe ser una tarea
encomendada a las Fuerzas y Cuerpo de Seguridad sino que todos deben involucrarse activamente,
desde las empresas a los simples usuarios, tomando conciencia del objetivo comn de poder
disfrutar de la red de una forma libre y segura.