CHARACTERIZING FLOW LEVEL TRAFFIC BEHAVIOR WITH ENTROPY SPACES FOR ANOMALY DETECTION

VELARDE ALVARADO, PABLO

CHARACTERIZING FLOW LEVEL TRAFFIC BEHAVIOR WITH ENTROPY SPACES FOR ANOMALY DETECTION

VELARDE ALVARADO, PABLO

URI: http://dspace.uan.mx:8080/jspui/handle/123456789/1942

Fecha: 2012

Resumen:

Los ataques cibernéticos llevados a cabo directamente contra la infraestructura de redes son cada vez más frecuentes. Tanto el número como la complejidad de los ataques han aumentado dramáticamente en los últimos años. Al mismo tiempo, las oleadas de amenazas a la seguridad de la red tienen el potencial de impedir significativamente la productividad, interrumpir el negocio y las operaciones, y dar como resultado pérdidas de información y económicas. Las defensas típicas del perímetro, como los "muros", los sistemas convencionales de detección de intrusos en la red (NIDS, por sus siglas en inglés). ), los servidores proxy de aplicaciones y los servidores de red privada virtual se han convertido en componentes importantes de una infraestructura de seguridad. Sin embargo, no proporcionan un nivel suficiente de protección contra ataques sofisticados. Además, la red tiene un comportamiento dinámico para el cual deben derivarse procedimientos de seguridad más elaborados y complicados; esto se enfatiza cuando diferentes segmentos de red trabajan con diferentes protocolos y servicios. Además, cuando se introduce un nuevo servicio o se modifica la cantidad de usuarios, se modifica la dinámica de la red, y esto produce modificaciones a las que deben adaptarse las tareas de seguridad para proteger la red. Para superar estas limitaciones, una prometedora El enfoque hace uso de la entropía para obtener el conocimiento de la estructura y la composición del tráfico, que se resume en los perfiles de comportamiento del comportamiento. El enfoque de $ s se está proponiendo como un buen candidato en la caracterización del tráfico para el desarrollo de una nueva generación de NIDS. Algunos de los principales desafíos actuales en el diseño del NIDS son lograr sensibilidad en la detección de ataques sofisticados, obtener con éxito una detección temprana y minimizar las tasas de falsos positivos y falsos negativos, entre otros. En este capítulo, presentamos metodologías basadas en la teoría de la información y presentamos espacios de entropía y técnicas de reconocimiento de patrones (PR) para los procesos de toma de decisiones con el fin de detectar anomalías en las trazas. Introducimos la técnica del espacio de entropía junto con la metodología del punto de exceso, y ambas nos ayudan a caracterizar características especiales mediante el uso de estimaciones de la función de densidad de probabilidad (PDF). En algunos casos, se usa una distribución gaussiana para mostrar que está cerca en la descripción de las distancias a un punto de referencia central en los espacios de entropía que nos permite clasificar anomalías para diferentes intervalos de tiempo en una traza.

Descripción:

Cyber-attacks carried out directly against networking infrastructure are becoming more and more prevalent. Both the number and the complexity of attacks have increased dramatically in the last years. At the same time, the surges of network security threats have the potential to signi"cantly impede productivity, disrupt business and operations, and result in information and economic losses. Typical perimeter defenses, such as "rewalls, conventional network intrusion detection systems (NIDS), application proxies, and virtual private network servers, have become important components of a security infrastructure. However, they do not provide a su!cient level of protection against sophisticated attacks. Besides, the network has a dynamic behavior for which more elaborate and complicated security procedures need to be derived; this is emphasized when di#erent network segments work with di#erent protocols and services. In addition, when a new service is introduced, or the number of users changes, network dynamics is altered, and this produces modi"cations to which the security tasks need to adapt in order to protect the network. To overcome these limitations, one promising approach makes use of entropy to obtain knowledge of the structure and composition of tra!c, which is summarized by behavioral tra!c pro"les. $is approach is being proposed as a good candidate in tra!c characterization for the development of a new generation of NIDS. Some of today’s major challenges in NIDS design are to achieve sensitivity in the detection of sophisticated attacks, to successfully obtain an early detection, and to minimize false-positive and false-negative rates, among others. In this chapter, we present methodologies based on information theory and present entropy spaces and pattern recognition (PR) techniques for decision-making processes in order to detect anomalies in tra!c traces. We introduce the entropy space technique together with the excess point methodology, and both help us characterize special features by using probability density function (PDF) estimations. In some cases, a Gaussian distribution is used to show that it is close in the description of distances to a central reference point in the entropy spaces that allows us to classify anomalies for di#erent time slots in a tra!c trace.

Mostrar el registro completo del ítem