Aplicación De Modelos Estadísticos Y Técnicas De Caracterización De Tráfico

Aplicación de Modelos Estadísticos y Técnicas de Caracterización de Tráfico

de Red para la Detección de Intrusos

A. CONSIDERACIONES SOBRE LA ORIGINALIDAD DE LA PROPUESTA

En los últimos años, una tecnología de red en particular ha tenido un despliegue

importante de dispositivos. Dicha tecnología está definida en el estándar IEEE

802.11 y se conoce comúnmente como Redes Inalámbricas de Área Local

(WLANs por sus siglas en inglés). Entre los beneficios de las redes tenemos su

facilidad de configuración e implementación, bajos costos, conectividad y

movilidad. Su implementación va desde la red del hogar hasta redes

empresariales y militares.

Sin embargo, la popularidad de estas redes se encuentra bajo riesgo debido

a problemas de seguridad que se han encontrado en el estándar. Dichos riegos de

seguridad se dividen en dos tipos (a) ataques a la autenticidad y confidencialidad

de datos y (b) ataques de denegación de servicio. En los primeros se explotan las

vulnerabilidades existentes en los mecanismos criptográficos propuestos para el

estándar IEEE 802.11 mientras que en los segundos se explotan las

vulnerabilidades encontradas en los procesos definidos para la capa de Enlace de

Datos del IEEE 802.11.

Esta propuesta se enfoca en los ataques de denegación de servicio que

afectan al 802.11. Dichos ataques son de nuestro interés por diferentes factores:

(1) son fáciles de implementar o bien existen herramientas que permiten ejecutar

dichos ataques sin tener un conocimiento profundo del estándar; (2) no pueden

evitarse mediante mecanismos criptográficos ya que dichos mecanismos están

dirigidos únicamente a garantizar la integridad de la trama o bien para proteger los

datos contenidos en ella; y (3) dada la popularidad y despliegue del estándar

existe un impacto en la vida diaria de un gran número de usuarios de diferentes

ámbitos, i.e. académico, militar, negocios, etc.

Dada la efectividad de dichos ataques se han generado soluciones para

detectarlos o bien prevenirlos. Por ejemplo, las organizaciones preocupadas por la

estandarización del 802.11, IEEE y Wi-Fi Alliance, han trabajo en la definición de

arquitecturas de seguridad especiales definiendo así los estándares IEEE 802.11i

y Wi-Fi Protected Access (WPA). Sin embargo, dichas soluciones se orientan a

proteger la integridad, autenticidad y confidencialidad de los datos dejando a las

tramas de control y administración sin protección y por lo tanto dejando a las redes

indefensas contra los ataques de denegación de servicio.

La mayoría de los ataques de denegación de servicio están basados en el

robo de identidad (spoofing), entendiendo por identidad en el 802.11 a la dirección

MAC, originando así esquemas de detección de tramas con identidad falsa.

Actualmente, las técnicas más eficientes para la detección de este tipo de ataques

están basadas en la creación de perfiles de los nodos inalámbricos y en la

detección de anomalías en el protocolo basadas en comportamiento. Sin embargo,

debido a la naturaleza dinámica de las redes inalámbricas y a la inestabilidad del

medio éstas técnicas tienden a generar un gran número de falsos positivos. Otras

propuestas definen cambios al estándar, sin embargo, dado el número de

dispositivos que se encuentran ya funcionando, éste esquema resulta inviable.

En general las propuestas pueden ir desde esquemas de patrones basados

en análisis de radio frecuencia hasta administradores centrales para la

autenticación. Todas estas propuestas presentan diferentes desventajas que

serán resumidas más adelante y por lo tanto nuevos esquemas deben ser

presentados. De nuestro interés son los esquemas basados en métodos de

reconocimiento de patrones estadísticos e inteligencia artificial, nuestros bloques

de construcción para resolver el problema de detectar ataques en una red

inalámbrica. Estas técnicas se han aplicado para la detección de anomalías en

protocolos de caspas superiores a la capa en la que opera el 802.11, por ejemplo

capa red y transporte (el 802.11 opera en la capa de enlace de datos). Trasladar

su aplicación en este nuevo contexto no es inmediato, debido a la riqueza en la

variedad de tramas en esta capa, así como porque finalmente la sección de datos

empaqueta las conversaciones de protocolos de nivel superior.

Nuestra hipótesis consiste en que el uso de métodos de reconocimiento de

patrones estadísticos e inteligencia artificial para caracterizar tráfico de datos y

control del estándar IEEE 802.11 mejora significativamente la detección de

ataques de denegación. La selección de parámetros para la definición de

comportamiento normal estará más relacionada con los parámetros de la capa

MAC y considerará la movilidad de los nodos al momento de realizar dicha

caracterización. Anticipamos que el uso del método de Kolmogorov para la

estimación de complejidades puede caracterizar el tráfico normal y encontrar

desviaciones del tráfico anómalo. Nuestra hipótesis tiene su origen en que dicho

método permite reaccionar ante la innovación a los ataques por lo que puede

resultar efectivo al momento de considerar la movilidad del usuario y ante el

surgimiento de nuevos ataques. De igual forma proponemos el uso del método de

Factorización de Matrices no Negativas (NNMF por sus siglas en inglés) el cual ha

resultado exitoso para la detección de movimiento en base a la selección de

parámetros adecuados. Creemos que la combinación de ambos métodos permitirá

la definición de un modelo computacional que permita caracterizar un ambiente

inalámbrico de manera correcta.

Las contribuciones de este proyecto serían:

 Exploración de técnicas de reconocimiento de patrones estadísticos e

inteligencia artificial para caracterizar tráfico de datos y control.

 Diseño de una metodología que permitirá el diseño de modelos para

diferentes tipos de tráfico.

 Análisis detallado de los parámetros de las tramas del 802.11 que pueden

ayudar a la detección de ataques de denegación de servicio.

 Modelo de tráfico normal para el estándar IEEE 802.11.

 Formación de estudiantes de maestría y doctorado.

 Divulgación de resultados en el

...