Deteccin de ataques DoS a travs

de wavelets

Anomalas e Intrusiones

Anomala: un estado de la red diferente al estado habitual

Intrusin: transicin entre estado seguro y no seguro

Detectable a travs de patrones (deteccin de mal usos) y

anomalas

Ataques DoS

Intrusiones con el fin de inhabilitar un servicio disponible en lnea

Pueden involucrar miles de computadores

Difiere ligeramente del trfico normal

Pueden esquivar sistemas de detecciones de intrusiones existentes

Blancos del DoS

Aplicaciones especficas en el host vctima

El host vctima en su totalidad

Puntos dbiles de una red especfica

Consumicin de ancho de banda

Ataques a infraestructura

Deteccin de DoS

Por firmas

Similar

a por patrones

Necesita

de ataques conocidos para poder detectar futuros ataques

Por mtricas

Punto-cambio

(thresholding)

Comparar valores de ciertos atributos con fronteras del espacio

normal de eventos

Perfiles

de actividad

Generar perfiles actualizados del comportamiento normal del

sistema

Ejemplo de medicin de
mtricas

Numero de paquetes por segundo

Pero esto, los mtodos anteriores presentan fallas

No se relacionan fuertemente los ataques y anomalas

Alto

nmero de falsas alarmas

Lo primero

Modelar los ataques como un ruido que

afecta una seal
La seal siendo el comportamiento normal de
la red
Creacin de un framework matemtico para
modelar la seal

El framework matemtico
Modelar las actividades normales de la red
Actividades a nivel de usuario

Actividades

a nivel de host

Actividades

a nivel de red

Modelar las anomalas

Si una transaccin tiene en cualquier punto mtricas anmalas, toda
la transaccin es una anomala

Modelar el ataque
Considerado como una singularidad

Considerado

como un cambio abrupto en seales medibles

Wavelets

Pueden descomponer seales

unidimensionales para analizar tanto sus
frecuencias especiales y localizaciones
temporales
Alternativa a las transformaciones de Fourier
por ventanas

Definicin de wavelet

Una funcin (.) que pertenece a ()

(espacio de Hlder para funciones con energa
finita) y centrado alrededor del cero se dice
que es un wavelet si, y solo si, su
transformacin de Fourier
satisface la siguiente condicin:

Por lo tanto

Donde conocida como la dilatacin de Wavelet

Pero en la computacin se ocupan Matemticas

Discretas

Transformada de Wavelet
Discreta

coeficientes del wavelet

el factor de escala discreta y

traduccin

Para .

Valores de los parmetros forman un base ortogonal

Base Wavelet

Lipschitz

la ecuacin anterior no es aplicable para las

propiedades de seal de direccin local, ya que slo
permite afirmar sobre la regularidad uniforme en un
dominio especifico.

si un wavelet y una funcin se puede afirmar lo

siguiente:

Lipschitz

es n-veces continuamente diferenciable.

tiene n momentos de fuga ()

tiene un soporte compacto

es Lipschitz- en los puntos ,

Lipschitz

Entonces,
existe una constante tal que para todos los
puntos de en un conjunto para una escala .

Donde

Se pueden Verificar las siguientes condiciones

Lipschitz

Existe un y una constante tal que para todos los puntos

en el conjunto de y en una escala .

Existe una constante B de tal manera que para todos los

puntos en el conjunto de y en una escala .

Deteccin de singularidades
basadas en wavelets

En matemticas, las regularidades locales de las

funciones son a menudo evaluadas a travs de
exponentes Lipschitz

Regularidad Local Lipschitz

Analizar la regularidad local de la funcin seal a travs
de wavelets

Computacionalmente

pesado

Estimacin de exponentes Lipschitz utilizando mximos

wavelet
Singularidades causan un mximo en el mdulo de la
transformacin wavelet

Wavelets y ataques de red

Los ataques pueden ser vistos como cambios

bruscos en algunas seales medibles.
Matemticamente, un ataque puede ser visto
como una singularidad que afecta a una mtrica
especifica.
sese el mtodo de deteccin de
singularidades de Lipschitz basada en ondas
Importancia de la eleccin de las mtricas

Deteccin de ataques de red

Dado un punto en una mtrica supervisada, existe
un ataque si:
El punto es un mximo local

Existe

un pequeo aumento en los mximos locales

Deteccin de ataques de red

Ejemplo

Grficos de paquetes por segundo (a) y del comportamiento de la posiciones del mximo (b)

Distribucin de los puntos de

monitoreo

Todo lo anterior fue aplicado a una sola mtrica en una

mquina especfica
En la realidad, ataques DoS pueden abarcar toda la
infraestructura
Necesidad de elegir puntos de monitoreo y con que mtricas

Extender la teora de wavelets a seales de mltiples variables

Puede demostrarse que incluso cuando se consideran seales
mltiples para realizar la transformacin wavelet, el
comportamiento de los coeficientes del tren de ondas a travs de
las escalas de acuerdo con regularidad de Lipschitz no difiere
del caso en el que se descompone una sola seal.

Ejemplo con dos puntos de

monitoreo

Grficos de paquetes por segundo (a) y del comportamiento de la posiciones del mximo (b)

Conclusiones
Ventajas de la transformacin wavelet para el
anlisis de la seal y deteccin de ataques
Bajo coste de clculo

Buena

localizacin espacial