Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP

Desarrollo de Mecanismos Avanzados deDesarrollo de Mecanismos Avanzados deSupervisión y Análisis de TráficoSupervisión y Análisis de Tráfico

sobre Redes IPsobre Redes IP

Fermín Galán MárquezFermín Galán Má[email protected]@dit.upm.es

PROYECTO FIN DE CARRERA

Julio, 2002 - 2

Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP

[email protected]

Contenidos de la presentaciónContenidos de la presentación

Plataforma MIRA Arquitectura funcional Arquitectura física Procesado de datos

Desarrollos principales Detección de tráfico lúdico Funciones de seguridad Estadísticas convencionales

Desarrollos adicionales Conclusiones

Líneas de trabajo futuro

Julio, 2002 - 3


[email protected]

Plataforma MIRA: arquitectura funcionalPlataforma MIRA: arquitectura funcional

Redmonitorizad

a

Preprocesado

tráfico tráfico capturadocapturado flujosflujos

Análisis

Internet

Captura detráfico

sondassondas

configuraciónconfiguración

Julio, 2002 - 4


[email protected]

Plataforma MIRA: arquitectura físicaPlataforma MIRA: arquitectura física

Redmonitorizad

a

capturacaptura preprocesadopreprocesadoanálisisanálisis consolidaciónconsolidación

Internet

Julio, 2002 - 5


[email protected]

Plataforma MIRA: procesado de datosPlataforma MIRA: procesado de datos

215/89 6 192.168.5.70 3128 192.168.17.2 42624 613/0 6/0 HTTP=1/0;PUBLICI=5/2215/89 6 192.168.5.73 6667 192.168.245.7 49140 740/9208 14/10215/89 6 192.168.5.23 2342 192.168.0.1 7872 678/990 12/10...

Preprocesado

736FE9091AB7690CEF7810AB89828DC761E8932490AAB8298971D8911290E9132098F9028313DDE1900A7876E2983821111

215/89 6 192.168.5.70 3128 192.168.17.2 42624 613/0 6/0 HTTP=1/0;PUBLICI=5/2 COM215/89 6 192.168.5.73 6667 192.168.245.7 49140 740/9208 14/10 LUD215/89 6 192.168.5.23 2342 192.168.0.1 7872 678/990 12/10 LUD...

Análisis

PUBLICIDAD: anuncio advertisement

HTTP: HTTP 1.0 <HTML>…

PUBLICIDAD es COMHTTP es ACA6667 es puerto LUD192.168.0.1 es LUD…

síntomasíntoma patronespatrones

Julio, 2002 - 6


[email protected]

Detección de tráfico lúdicoDetección de tráfico lúdico

formato audio MP3formato audio MP3protocolos P2P y protocolos P2P y streamingstreaming

direccionesdireccionespuertospuertos

verificación de utilidad de patronesverificación de utilidad de patrones

implementaciónimplementación

¿sincronización de flujo?¿sincronización de flujo?

patrones (binarios)patrones (binarios)

MP3: 0xFFFA90 0xFFFB90 …

estudio estadístico (17 Gb)estudio estadístico (17 Gb)

soporte de patrones binariossoporte de patrones binarios

Julio, 2002 - 7


[email protected]

Estudio estadísticoEstudio estadístico

Codificación Ratio teórico Ratio experimental192 Kbps 0.319 0.33160 Kbps 0.382 0.40128 Kbps 0.478 0.50112 Kbps 0.547 0.5796 Kbps 0.638 0.68

Ficheros MP3Ficheros MP3

Ficheros no MP3Ficheros no MP3ratio experimental: despreciableratio experimental: despreciable

Julio, 2002 - 8


[email protected]

Funciones de seguridad: arquitecturaFunciones de seguridad: arquitectura

Redmonitorizad

a

Captura detráfico Preprocesado Análisis


Internet

sondassondas

configuraciónconfiguración

NIDS

respuesta respuesta activaactiva

firmas de ataquefirmas de ataque

Julio, 2002 - 9


[email protected]

Funciones de seguridad: desarrolloFunciones de seguridad: desarrollo

motor de análisismotor de análisis base de datos de firmasbase de datos de firmas

Snort

know-howknow-how, herramientas, etc, herramientas, etc

tráfico tráfico seguridadseguridad

consolidaciónconsolidaciónregistroregistroinformeinformerespuesta activarespuesta activa

procesosprocesosde capturade captura

procesosprocesosde análisisde análisis

convencionalconvencional


SnortSnortadaptaciónadaptación adaptaciónadaptación

Julio, 2002 - 10


[email protected]

Estadísticas convencionalesEstadísticas convencionales

flujosflujos

POPPOP

IMAPIMAP

DNSDNS

MAILMAILDNSDNS

TCPTCP

UDPUDP

5353

5353

109109 110110 143143 220220

clasificadorclasificadorde tráficode tráfico

estadísticas de estadísticas de bajo nivelbajo nivel

estadísticas de estadísticas de alto nivelalto nivel

Julio, 2002 - 11


[email protected]

Desarrollos adicionalesDesarrollos adicionales

Mejora del preprocesado Patrones binarios (necesarios para MP3) Algoritmo de búsqueda (Boyer-Moore):~40% caso insensitivo

Medidas de uso

Flexibilización de la clasificación de tráfico Definición de gramática flexible para especificar el algoritmo

base de datos base de datos de patronesde patrones

informes de usoinformes de uso

realimentaciónrealimentación

depuración ~80%depuración ~80%patrones MP3patrones MP3

Julio, 2002 - 12


[email protected]

ConclusionesConclusiones

Beneficios de la plataforma desarrolladaBeneficios de la plataforma desarrollada

ConclusionesConclusiones Aumento significativo del tráfico lúdico clasificado ~20%Aumento significativo del tráfico lúdico clasificado ~20% Uso de SnortUso de Snort Resultados satisfactorios en estadísticas convencionalesResultados satisfactorios en estadísticas convencionales

Líneas de trabajo futuroLíneas de trabajo futuro Arquitectura distribuidaArquitectura distribuida Aplicación de técnicas de Inteligencia ArtificialAplicación de técnicas de Inteligencia Artificial Mejoras en las funciones de seguridadMejoras en las funciones de seguridad Implementación de la gramática del clasificador del tráficoImplementación de la gramática del clasificador del tráfico

Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP

Documents

Transcript of Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP