Análisis y modelos de datos de redes para seguridad informática

Abstract

Hoy en día son cientos los servicios que se ofrecen de manera virtual a través de Internet, muchas veces exigiendo la transferencia y almacenamiento de datos prioritarios o sensibles a través de las redes de comunicaciones. Esto obliga a que los factores de seguridad, estabilidad y confiabilidad de las plataformas sea un elemento clave a considerar en el desarrollo de las aplicaciones y, por lo tanto, la utilización de herramientas dedicadas a la prevención y detección de fallas de seguridad toma un rol crítico. Considerando lo anterior, este trabajo propone diseñar e implementar un ambiente de simulación de redes que permita explorar la aplicación de distintas técnicas de inteligencia computacional en tópicos de seguridad informática, enfocándose principalmente en la utilización de modelos autoregresivos integrales de media móvil (conocidos como ARIMA por su sigla en inglés) y la divergencia de Kullback-Leibler para la detección de ataques de denegación de servicio a un servidor web. Para esto se desarrolla una arquitectura representativa de un proveedor de servicios de Internet utilizando como plataforma el programa de simulación de redes conocido como GNS3 (Graphical Network Simulator 3), en donde se tienen tres routers, un simulador de clientes, una máquina atacante, un servidor web y una máquina dedicada a la recolección y análisis de datos, todos funcionando como máquinas virtuales dentro de un mismo computador principal. Utilizando este ambiente se ejecutan múltiples simulaciones de tráfico web para condiciones normales de operación y bajo ataque de denegación de servicio, obteniéndose series de tiempo de alrededor de doce horas de duración para capturar el comportamiento a nivel IP del tráfico durante períodos de volumen de usuarios con carga baja, media y alta. De esta manera se logra recolectar suficientes datos para poder realizar el análisis estadístico respectivo y la generación de modelos de predicción de tráfico y detección de ataques con la ayuda del lenguaje para análisis estadístico R. A partir de los resultados obtenidos se verifica la factibilidad de utilizar modelos ARIMA para la predicción del tráfico que fluye a través de los routers que conforman las vías troncales de la red y como herramienta complementaria de detección de cambios bruscos en el nivel de tráfico de subida a un servidor web. Además, se obtienen resultados exitosos para la utilización de la divergencia de Kullback-Leibler como mecanismo de detección de ataques de denegación de servicio, en base a los cambios bruscos de tráfico, permitiendo la detección dentro de los primeros cinco minutos de comenzada la falla. Este tipo de herramientas permitirían a los proveedores implementar sistemas inteligentes para la detección temprana de ataques de denegación de servicio dentro de su red, pudiendo aplicar maniobras de mitigación a tiempo y, por lo tanto, fortaleciendo la seguridad del sistema en su totalidad.