Detección forense de ataques mediante el uso de registros NetFlow

Abstract

Este proyecto está dedicado a la caracterización de escaneos de puertos en registros NetFlow muestreados. Una vez caracterizado este tipo de ataque, se pretende crear un sistema que posibilite su detección a posterior. Con ello, se pueda aplicar a un estudio longitudinal sobre una red académica. El estudio longitudinal otorga una explicación y caracterización del comportamiento de la red a medio y largo plazo, es decir, meses o incluso años. El estudio da una respuesta y ayuda al gestor de la red de una forma complementaria. Mediante este estudio realizado se puede caracterizar, a nivel de exportador de red, los orígenes y los principales destinos de los equipos asociados al exportador, ya sean destinos nacionales o internacionales, observados en los escaneos detectados Además, se ofrece una vista a nivel diario y a nivel mensual de la concentración de estos escaneos vistos por cada exportador analizado. La última característica que ofrece este estudio es una caracterización del tipo de puerto involucrado en los escaneos detectados. Por medio de estas características que ofrecemos en el estudio podremos identificar patrones de comportamiento anómalos, comportamientos irregulares e identificar individualmente a los agentes causantes de riesgo potencial. De forma más concreta, este trabajo en primer lugar ha consistido en la familiarización sobre el sistema de monitorización de la red académica española RedIRIS, que nos ha facilitado medidas de red reales durante un periodo de un año basadas en flujos. Posteriormente, se ha trabajado en la automatización del pre-tratado de estas medidas. Estos datos se han pasado por nuestro sistema, que planteamos en este proyecto, para la obtención del tráfico involucrado en escaneos de puertos. Por último lugar, todo este desarrollo ha sido aplicado en las trazas de RedIRIS y los resultados son mostrados como un caso de estudio significativo.

This Project is devoted to the characterization of Port Scans in Netflow sampled records. Once characterized this type of attack, we have created a system that will later enable their detection. Thus, it can be applied to a longitudinal study of an academic network. The longitudinal study provides an explanation and characterization of the network behavior in the medium and long term, i.e., months or even years. The study gives an answer and helps network managers in a complementary way. By this study it can be characterized, in terms of net exporter, the origins and the main destinations of the equipment associated with the exporter, whether national or international destinations, observed in the detected scans. Furthermore, it offers a daily and monthly view of these scans seen by each analyzed exporter. The last feature offered by this study is to characterize the type of port involved in the discovered scans. By means of the features we offer in this study, we can identify anomalous behavior patterns, irregular conduct and individually identify potential risk-causing agents. More specifically, this work has first consisted on getting familiarized with the monitoring system of the Spanish RedIRIS academic network, which has given us real network measurements over a period of one year based on flows. Subsequently, the work has consisted on the automation of these pretreated measurements. The data has passed through our system, which we propose in this thesis, to identify the traffic involved in portscans. Finally, all this development has been applied to the RedIRIS traces and the results are shown as a significant case of study