Sistema de detección de intrusos basado en machine learning

Vargas Machuca Del Salto, Adrián Gabriel

Por favor, use este identificador para citar o enlazar este ítem: https://repositorio.uta.edu.ec/jspui/handle/123456789/34028

Título :	Sistema de detección de intrusos basado en machine learning
Autor :	Manzano Villafuerte, Víctor Santiago Vargas Machuca Del Salto, Adrián Gabriel
Palabras clave :	ATAQUES DE RED MACHINE LEARNING BOSQUES ALEATORIOS ATAQUE DE FUERZA BRUTA WEKA COWRIE
Fecha de publicación :	2021
Editorial :	Universidad Técnica de Ambato. Facultad de Ingeniería en Sistemas, Electrónica e Industrial. Maestría en Telecomunicaciones
Resumen :	Based on the massification of cloud services and data networks, currently all the valuable information of a company is interconnected to the network to speed up the work and manage the different processes, however this puts it at risk in the face of an attack at the network level, leaving not only your confidential data exposed, but also stopping the pace of work depending on your cloud services, such as email service, website, database, among others. These network services are susceptible to attacks such as denial of service (DoS) and all its variants, mass spamming, port scanning or brute force attacks. All these attacks can be detected at the network level using intrusion detection systems (IDS), the problem is the need to constantly update its database that detects attacks based on a black list, in a similar way to how an antivirus works. conventional. With machine learning, it is proposed to build an intrusion detection system based on behavior patterns, to detect brute force attacks and report it on a web page. Previous research has already laid the foundations to apply Machine Learning in this field, using algorithms such as decision trees, which is a very effective supervised algorithm for Boolean classification. The research similarly raised the application of random forests, which is the iterative combination of decision trees, which improves classification error in most cases. The proposed system goes through two main phases, the first is the training phase where all malicious traffic is captured using the Cowrie honeypot to generate a trained classification model, which is done only once. Then in the testing phase, the algorithm detects in real time the attacks received on the public IP of the company Icono Sistemas and classifies them as malicious or not. In the end and experimentally, it was identified by the confusion matrix generated by the WEKA algorithm that the system based on random forests is capable of successfully detecting a brute force attack, regardless of whether the threat is targeting a specific port or IP. This low-cost system will be able to adapt to basic attacks and their variations, to trigger an alert in case of detection and facilitate subsequent action by the administrator, such as blocking specific input or output ports, limiting traffic of an interface, etc. in case of suspicious traffic.
Descripción :	En base a la masificación de los servicios en la nube y las redes de datos, actualmente toda la información valiosa de una empresa está interconectada a la red para agilitar el trabajo y gestionar los diferentes procesos, sin embargo esto la pone en riesgo ante un ataque a nivel de red, dejando no solo expuesto sus datos confidenciales, sino también parando el ritmo de trabajo dependiendo de sus servicios en la nube, como pueden ser servicio de correo electrónico, página web, base de datos, entre otros. Estos servicios en red son susceptibles a ataques como pueden ser denegación de servicio (DoS) y todas sus variantes, envío masivo de correo spam, escaneo de puertos o ataques de fuerza bruta. Todos estos ataques se pueden detectar a nivel de red usando sistemas de detección de intrusos (IDS), el problema es la necesidad de actualizar constantemente su base de datos que detecta ataques en base a una lista negra, de manera similar a como trabaja un antivirus convencional. Con machine learning se propone levantar un sistema de detección de intrusos basado en patrones de comportamiento, para detectar ataques de fuerza bruta y reportarlo en una página web. Anteriores investigaciones ya han sentado las bases para aplicar Machine Learning en este campo, usando algoritmos como arboles de decisión, el cual es un algoritmo supervisado muy efectivo para la clasificación booleana. La investigación planteó de manera similar la aplicación de bosques aleatorios que es la combinación iterativa de árboles de decisión, lo que mejora en la mayoría de los casos el error en clasificación. El sistema propuesto cursa por dos fases principales, la primera es la fase de entrenamiento donde se captura todo el tráfico malicioso usando el honeypot Cowrie para generar un modelo entrenado de clasificación, lo que se realiza una única vez. Luego en la fase de prueba, el algoritmo detecta en tiempo real los ataques recibidos a la IP pública de la empresa Icono Sistemas y los clasifica como malicioso o no. Al final y de manera experimental se identificó mediante la matriz de confusión generada por el algoritmo en WEKA que el sistema basado en bosques aleatorios es capaz de detectar satisfactoriamente un ataque de fuerza bruta, sin importar si la amenaza apunta a un puerto o ip específicos. Este Sistema de bajo coste será capaz de adaptarse a los ataques básicos y sus variaciones, para disparar una alerta en caso de detectarlos y facilitar una posterior toma de medidas por parte del administrador, como bloqueo de puertos de entrada o salida específicos, limitar el tráfico de una interfaz, etc. en caso de tráfico sospechoso.
URI :	https://repositorio.uta.edu.ec/jspui/handle/123456789/34028
Aparece en las colecciones:	Maestría en Telecomunicaciones

Ficheros en este ítem:

Fichero	Descripción	Tamaño	Formato
t1911mtel.pdf	Texto completo	3,03 MB	Adobe PDF	Visualizar/Abrir

Mostrar el registro Dublin Core completo del ítem