Recomendaciones de comportamiento malicioso aplicado al etiquetado de tráfico de red

Guerra Torres Jorge Luís
2021 RIDAA Tesis Unicen  
Las redes de computadoras se han vuelto indispensables para el intercambio de información entre personas y organizaciones. Por ello, su seguridad representa en la actualidad un gran desafío para la comunidad informática. Hoy en día, son varias las técnicas que se emplean para proteger la información de intrusos en la red. Dentro de las técnicas más utilizadas se encuentran, los conocidos sistemas de detección de intrusos (NIDS por sus siglas en inglés). Quienes, más allá de la autenticación de
more » ... suarios, el cifrado de datos y los cortafuegos, se utilizan ampliamente como defensa activa del entorno de la red. A grandes rasgos, un NIDS representa un proceso activo que supervisa el tráfico de la red para identificar las violaciones de la seguridad e iniciar las medidas pertinentes. Producto del crecimiento de la Internet y la interacción de esta con los usuarios, los NIDS requieren constantemente de formas de adaptarse al entorno cambiante de la red o corren el riesgo de convertirse en sistemas obsoletos. Entre las estrategias más utilizadas para hacer frente a los constantes entornos cambiantes se encuentra la generación de NIDS basados en modelos estadísticos de detección y aprendizaje de máquina. Estos sistemas han tenido éxitos sobre otros, debido a su capacidad para identificar patrones de comportamiento y poder predecir patrones similares a futuro, pudiendo seguir el proceso evolutivo de la red. Sin embargo, justo antes de desplegar este tipo de NIDS en cualquier entorno del mundo real, un NIDS basado en modelos estadísticos debe ser entrenado y evaluado usando trazas de tráfico de red etiquetadas que representen la diversidad real del tráfico. Es por ello que, una de las principales limitaciones de este tipo de NIDS es la carencia de conjuntos de datos etiquetados con las características apropiadas. Carencia que se encuentra asociada, entre otros factores, a la falta de recursos y la dificultad del proceso de creación de estos conjuntos de datos etiquetados. La generación y etiquetado de conjuntos de datos útiles para la seguridad de las redes, es un área de estudio relativamente joven que abarca no más allá de los últimos 20 años. En el ámbito de la seguridad, el proceso de etiquetado de un conjunto de datos de tráfico de red es especialmente difícil y se requieren conocimientos especializados para realizar la clasificación de las trazas de tráfico en eventos de índole malicioso o eventos normales. Por ello, la mayoría de las estrategias de etiquetado de tráfico están basadas en la generación automática de trazas de tráfico artificiales con conocimientos de comportamientos conocidos de antemano. Esto se debe, en gran medida, para evitar lidiar con las dificultades del etiquetado y las limitantes de seguridad de la información que conlleva el uso de tráfico real. Esto trae como consecuencia, que en la mayoría de las ocasiones los conjuntos de datos resultantes no expresan el verdadero flujo de la información en la red. Como alternativas, se han propuesto otras técnicas que incluyen el aprendizaje automático, la visualización y una combinación de ambos (método interactivo) para acelerar el proceso de generación de datos sobre el tráfico real. Estas estrategias tienen como objetivo trabajar con tráfico en redes auténticas y acelerar el proceso de etiquetado. Lo cierto es que gran parte del etiquetado que se realiza sobre trazas de red se lleva a cabo de manera manual por usuarios expertos en el análisis de tráfico. Justamente, el uso de expertos se considera un recurso escaso que requieren años de práctica y preparación pero su uso se justifica fundamental para lograr una mayor precisión de las etiquetas. Sin embargo, en muchas ocasiones no se les brinda soporte alguno que asista a los expertos en la tarea de diferenciar dentro del tráfico el comportamiento malicioso del normal. Lo cierto es que a pesar del empleo de varias técnicas, los conjuntos de datos etiquetados sobre el tráfico de red siguen siendo un recurso altamente demandado. Es por ello que, se requieren técnicas novedosas de etiquetado, puntualmente enfocadas a la clasificación de trazas sobre tráfico real. Por todo lo antes expuesto, el presente documento presenta una Tesis de Doctorado que aporta soluciones sobre las principales limitaciones presentes en el proceso de etiquetado de trazas red. Puntualmente, se realizan aportes a través de una estrategia de etiquetado de tráfico real basado en el uso de usuarios no necesariamente expertos. La estrategia propuesta, representa un etiquetado manual asistido a través de una herramienta con componentes visuales y de aprendizaje de máquina. El usuario, durante gran parte del proceso de etiquetado queda acoplado dentro de un ciclo hombre-máquina conocido como Aprendizaje Activo. Luego, para validar la eficacia de las herramientas desarrolladas, se desarrolló un estudio con usuarios y se planteó una metodología de evaluación sobre la solución de Aprendizaje Activo en entornos reales de etiquetado.
doi:10.52278/2963 fatcat:2ed6tow6xvcbljsuc2zacpxw5i