Detección forense de ataques usando trazas de red

Abstract

Dentro del desarrollo que ha experimentado la informática en los últimos treinta años ha sido probablemente el campo de la seguridad uno de los que más se ha diversificado debido a las constantes amenazas y la evolución de las mismas. Este campo abarca ahora temas tan dispares como la criptografía y la seguridad de protocolos, así como la defensa frente a ataques a través de Internet o con la reconstrucción de un ataque con técnicas forenses. El objetivo de este documento, presentado como trabajo de fin de grado, es realizar un análisis de seguridad a posteriori de una red basándonos en flujos o trazas de red. En concreto, este análisis consistirá en la detección de ataques que alteren el volumen de tráfico de la red, tales como DDoS, envío de spam, o escaneos de puerto. Estos flujos resumen transmisiones a través de TCP/IP y UDP que tienen lugar a lo largo de un intervalo de tiempo, siguiendo el estándar de facto implementado por Cisco, Net owv5. Para ello, se ha estudiado el estado del arte en el campo de detección de ataques tanto a posteriori como en tiempo real, así como herramientas existentes ya desarrolladas. Se presenta también una herramienta que permite analizar el tráfico en un nodo obtenido con ow-tools y presentar la serie temporal en función de los tamaños de los flujos. Por último se ha realizado un estudio y validaciónn de los resultados alcanzados por la herramienta sobre datos obtenidos de varios nodos de la red española RedIRIS a lo largo del año 2013.

In the context of the great developments achieved in Computer Science in the past thirty years, Computer Security is probably the area that has diversi ed more among its peers, mostly due to the constant evolution of the threats it faces. This area now encompasses elds as di erent as Cryptography, Protocol Security, defense against network attacks as well as their forensic analysis The purpose of this document, presented as nal degree project, is to make a network security analysis based in ows, also known as network traces. More precisely, this forensic analysis consists in the detection of attacks that produce anomalies in the tra c volume of the network, such as DDoS, spam attacks, or port scanning. This ows, or network traces, summarize TCP/IP and UDP transmissions that take place in a certain period of time, following the de facto standard implemented by Cisco, Net owv5. To that end we have studied the state of the art in attack detection, be it forensic or realtime, as well as tools previously developed. We also present a program that allows the network administrator analyze past ow records obtained with ow-tools, and presents a temporal series depending on the size of the ows. Lastly, we hace studied and validated the results obtained by the program by analizing a dataset obtained from several exporters of the Spanish network RedIRIS during the year 2013.