Diseño, integración y evaluación de herramientas de visualización de tráfico para el reconocimiento de ataques computacionales vía una Darknet

Abstract

Una red tipo darknet es una porción de direcciones IPs asignado y ruteado en el cual no existen servicios activos ni servidores. Actualmente no existe un sistema, públicamente disponible, que permita la visualizar de forma gráfica los datos entregados por una red de estas características. El objetivo principal de esta tesis es la creación de un sistema dedicado a la visualización y análisis de datos de una darknet. El desarrollo de éste involucra la integración y evaluación de herramientas existentes además de la creación de un software enfocado en la creación de variados gráficos ad-hoc. Éstos permiten estudiar el comportamiento de la red con el fin de monitorearla para detectar posibles ataques. La metodología se basó principalmente en la investigación de herramientas, análisis sobre sus resultados y el diseño e implementación de un software dedicado a la creación de gráficos. Para conseguir lo descrito, se realizó un estudio de representaciones gráficas útiles para un analista. Se estudiaron distintos formatos con que la darknet puede entregar la información sobre el tráfico que recibe. Se evaluaron herramientas ya existentes con el fin de determinar si éstas entregan información relevante en términos de seguridad, y se estudió si satisfacen las necesidades planteadas para así utilizarlas o, en caso contrario, modificarlas. Se diseñaron e implementaron nuevas soluciones para contar con información valiosa referente a la toma de decisiones a partir de gráficos. Para esto se estudió cómo manipular los datos fuente para extraerles la información relevante. Para el caso de que éstos crezcan mucho en el tiempo, se realizó un estudio consistente en cómo extender el sistema de gráficos para manejar grandes volúmenes de datos. Se utilizaron 4 software de monitoreo de tráfico ya desarrollados: Moncube, TCPstat, EtherApe y Moncube, para generar imágenes sobre la actividad en la red. Estos gráficos son producidos diariamente a través de scripts que corren automáticamente cada día. El software diseñado y desarrollado para la creación de nuevas imágenes permite tener una visión completa de la red a través de 10 gráficos diarios diferentes. A través de un sitio web el analista podrá solicitar nuevos gráficos con los datos que él necesite, obteniendo una respuesta en tiempo razonable. En caso de que los datos arrojados por la darknet aumenten considerablemente se estudió el caso de bigdata, realizando un ejemplo gráfico cuyos datos fueron procesados en un ambiente cloud obteniendo respuestas valiosas y en corto tiempo. Finalmente se obtuvo un sistema completo que, en opinión de los autores, otorga información variada e interesante para un analista en seguridad. El software fue diseñado para ser extensible sin grandes dificultades, paralelizable y aplicable a otras variantes de redes de tipo darknet lo que permitirá monitorearlas y reaccionar ante eventos de seguridad. En un futuro, y a la luz de la experiencia del gráfico procesado en la nube, todos los gráficos creados para este trabajo podrían ser procesados en la nube para conseguir respuestas aún más rápidas que las ya obtenidas y permitir el procesamiento de grandes volúmenes de información.