ES2393501A1 - Método y sistema para clasificación de tráfico. - Google Patents

Método y sistema para clasificación de tráfico. Download PDF

Info

Publication number
ES2393501A1
ES2393501A1 ES201031320A ES201031320A ES2393501A1 ES 2393501 A1 ES2393501 A1 ES 2393501A1 ES 201031320 A ES201031320 A ES 201031320A ES 201031320 A ES201031320 A ES 201031320A ES 2393501 A1 ES2393501 A1 ES 2393501A1
Authority
ES
Spain
Prior art keywords
packet
vector
captured
classification
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
ES201031320A
Other languages
English (en)
Other versions
ES2393501B1 (es
Inventor
Antonio Manuel Amaya Calvo
Santiago PÉREZ IGLESIAS
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonica SA
Original Assignee
Telefonica SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to ES201031320A priority Critical patent/ES2393501B1/es
Application filed by Telefonica SA filed Critical Telefonica SA
Priority to PCT/EP2011/062193 priority patent/WO2012028375A2/en
Priority to BR112013005228A priority patent/BR112013005228A2/pt
Priority to US13/820,534 priority patent/US20130269033A1/en
Priority to ES11748600.1T priority patent/ES2560109T3/es
Priority to EP11748600.1A priority patent/EP2612481B1/en
Publication of ES2393501A1 publication Critical patent/ES2393501A1/es
Priority to CL2013000602A priority patent/CL2013000602A1/es
Application granted granted Critical
Publication of ES2393501B1 publication Critical patent/ES2393501B1/es
Withdrawn - After Issue legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método y un sistema para clasificar tráfico de una red de comunicaciones. El método comprende los siguientes pasos: capturar paquetes IP (35) de dicha red de comunicaciones; caracterizar dichos paquetes capturados (36) asignando un vector a cada paquete capturado (36) de acuerdo con un conjunto de determinadas características; calcular un conjunto de valores de clasificación para cada uno de dichos paquetes caracterizados (37) de acuerdo a la información contenida en su cabecera de IP y la información contenida en la cabecera de su protocolo específico; reescribir las cabeceras de dichos paquetes capturados (35), incluyendo dichos valores de clasificación en una cabecera IP.

Description

MÉTODO Y SISTEMA PARA CLASIFICACIÓN DE TRÁFICO
DESCRIPCIÓN CAMPO DE LA INVENCIÓN
La presente invención se engloba dentro del campo de la seguridad en las Tecnologías de la Información y, más
concretamente,
se refiere a un método y sistema para la
detección
automática y la clasificación de los patrones de
tráfico
generados por Software malicioso sobre una red de
comunicación.
ANTECEDENTES DE LA INVENCIÓN
El panorama actual de la seguridad en las tecnologías de la información es sombrío. Hoy en día, las amenazas contra la seguridad se incrementan rápidamente. Nuevas variantes de Software malicioso (también llamado malware de los términos ingleses malícíous software) se desarrollan y distribuyen continuamente. Se estima que sólo en los últimos seis meses se ha desarrollado más software malicioso que en el resto de la historia de la informática.
En la actualidad todos las partes y aspectos de una red de comunicaciones son afectadas por amenazas contra la seguridad, desde la calidad del servicio o de la experiencia, hasta la propia infraestructura de la red. De acuerdo con el último estudio sobre esta materia 1Study on Informa tíon securí ty and e-trust on Spanísh Households', 8th wave, first quarter 2009. INTECO, October 2009 (Spanish version), aproximadamente el 44% de los usuarios considera
la seguridad una limitación principal a la hora de utilizar nuevos servicios.
A pesar de las fuertes inversiones efectuadas en antivirus, el malware es aún el número uno en lo que se refiere a problemas de seguridad:
Mientras que más del 99% de las organizaciones utilizan antivirus y el 98% usan cortafuegos o firewall s (del inglés) , el daño causado por el SW malicioso sobrepasa los 55 millones de dólares al año [Computer Securi ty Insti tute (CSI) /Federal Bureau of Investiga tion (FBI) 2004 Computer Crime and Securi ty Survey http://www.gocsi.com/forms/csi_survey.jhtml].
Los incidentes relacionados con seguridad informática que ocupan el segundo lugar entre los más caros son aquellos relacionados con "botsu (programas o aplicaciones utilizadas para hacerse pasar por una persona en la red), donde la pérdida total media anual fue poco menos de 300, 000 dólares [Computer Securi ty Insti tute (CSI) /Federal Bureau of Investiga tion (FBI) 2008 Computer Crime and Securi ty Survey http://www.gocsi.com/forms/csi_survey.jhtml].
Intentar controlar el problema directamente desde los sistemas afectados es una causa perdida:
Más del 10% de incremento en Malware en el primer trimestre de 2009 (Fuente: PandaLabs)
Mientras más del 91, 2% de los usuarios, encuestados en el estudio mencionado anteriormente ,Study on Information security and e~trust on Spanish Households',
utilizan antivirus, el 63.8% de ellos tienen al menos un
programa malicioso en sus ordenadores. Esto significa
que al menos el 84,32% de los mismos tienen un antivirus completamente actualizado ejecutándose en su ordenador.
Casi todas las amenazas actuales tienen un punto en común: utilizan la red para coordinarse, distribuirse, infiltrarse, controlar y en última instancia beneficiarse.
La
figura 1 muestra un esquema de alto nivel de la
protección
y los factores de mitigación que pueden ser
utilizados
para proteger a los usuarios, donde 15
representa
el Origen o Controlador. Dicho esquema
comprende:
Protección en el Extremo (en inglés End Point protection) 11, que define todas las protecciones que se pueden desplegar y ejecutar directamente en el ordenador del usuar1o.
La Información de Seguridad y Gestión de Eventos (Securi ty Information and Event Management) -SIEM-12, Detección de Intrusos (In trusion Detection) -I 0-13 y Servicios de Cortafuegos/Filtrado (Firewalls/Filter Services) 14 son protecciones que deben ser desplegadas a nivel de red.
Algunas de las soluciones y factores de mitigación utilizados generalmente se describen a continuación:
• Protección en el extremo (End point based protection)
"Tras unos pocos meses de la aparición de los primeros virus informáticos en el mundo en 1987r las empresas tuvieron que empezar a vender software an tivirus. Esto condujo a una carrera de armas en la que cada cual intentaba superar al adversario. El primer software
apareció básicamente en dos modalidades: escáneres scanners-y comprobadores de errores checksummers-"
[Security Engineering, 2nd edition. Ross Anderson, Wiley Publishinc Inc. ISBN: 978-0-470-06852-6].
'La protección en el extremo -End point based protection-'
se
refiere al conjunto de soluciones que deben ser
desplegadas
y ejecutadas directamente en el ordenador del
usuario.
Estas soluciones funcionan controlando lo que
otros
procesos están ejecutando en la máquina y qué
acciones
realizan.
La figura 2 muestra la interacción típica entre un proceso que se está ejecutando 2 4 (en el ordenador del usuario) y la Suite de Protección en el extremo 21.
Generalmente, las protecciones originales en el extremo 21 se dividen en dos grandes grupos:
o Los escáneres 22 son programas que buscan 'firmas' en los ficheros del sistema en el cual se encuentran instalados. Una 'firma' en este contexto es una pequeña parte de dígitos binarios (una cadena) que se encuentra dentro del código malicioso que el escáner quiere detectar.
o Los comprobadores de errores -(del inglés Checksummers-debido a que realizan una suma de Verificación) 22 por otro lado funcionan elaborando
'listas blancas' . El proceso consiste en generar una lista de programas cuya ejecución debería estar permitida (lista blanca). Así, para cada uno de los programas de dicha lista se genera un 'comprobante' que consiste en una suma de Verificación o checksum. Cuando cualquier programa va a ejecutarse
en el sistema su checksum es calculado y comparado con los checksums de la lista para así comprobar si está autorizado o no.
Tras la aparición del primer virus la carrera de armas empezó. Para cada nueva técnica que se incluye en el antivirus, el software malicioso incluye una contra-medida, y así sucesivamente. Algunas de las técnicas que los virus utilizan para eludir los antivirus son:
o Polimorfismo: El Vlrus se modifica a sí mlsmo (muta) cada vez que es replicado, para evitar ser detectado por los escáneres.
o Encriptación: El código del virus se encuentra encriptado, para dificultar su análisis y detección. Normalmente la encriptación forma parte del polimorfismo (simplemente cambiando la clave de encriptación se genera una nueva 'firma').
o Sigilo: Para evitar ser detectado por los comprobadores de errores o checksummers, los Vlrus tratan de evitar las llamadas de monitorización que realiza el sistema y ellos mismos son capaces de monitorizar dichas llamadas para ocultarse de los checksummers cuando se producen.
Desde esos principios, sin embargo, la protección en el extremo ha adquirido muchísima complejidad adicional.
En la actualidad, cualquier suite de seguridad incluye al menos dos de los siguientes elementos, como puede verse en la figura 2:
o Cortafuegos Personal 23: se encarga de bloquear las conexiones de red indeseables, en ambos sentidos: entrante y saliente. Puede bloquear conexiones
conforme a dos criterios: por proceso, o, simplemente basándose en las características de la red (origen/destino)
o Antivirus/antimalware: examina los ficheros locales y los procesos en ejecución, utilizando una variedad de técnicas de las descritas anteriormente, con gran cantidad de variaciones
(soporte para ficheros encriptados y polimórficos, por ejemplo) . Este software no sólo busca vlrus sino otro tipo de infecciones (como troyanos, gusanos y etcétera).
o Anti-Spam 25: Filtro que trata de bloquear correos no deseados (spam).
o Sistema de Detección de Intrusos ( I OS) 26: Algunas soluciones también incluyen un tipo rudimentario de IOS 26. Los IOSs 26 se describirán más adelante.
• Protección en la Red Las defensas desplegadas sobre la red se encuentran en herramientas que se pueden clasificar, en general, en tres grupos:
l. Filtracto
2.
Detección de Intrusos
3.
Información de Seguridad y Gestión de Eventos
Las herramientas de filtrado comprenden elementos como cortafuegos, filtros de spam y software de control de contenidos, (también conocido como censorware) . Los cortafuegos son cuellos de botella que examinan los flujos de paquetes que los atraviesan y deciden permitir su paso o rechazarlos de acuerdo a un conjunto de reglas determinado. Los filtros de spam son herramientas que examinan tanto el correo entrante como el saliente e intentan determinar si
se trata de correo legal o indeseable (spam), antes de que el usuario final se vea involucrado. Un filtro de spam puede ejecutarse en cualquier parte del circuito del correo
(desde su punto de origen, pasando por cualquiera de los remailers -servidores que reenvían el correo recibido a su destino-hasta la aplicación de gestión de correo instalada en el dispositivo del usuario final) . El SW de control de contenidos o censorware lo constituyen una serie de herramientas que controlan que contenidos son los que los usuarios están autorizados a ver. Funciona de modo similar a un cortafuegos (permite el paso de flujos de tráfico o los bloquea), pero lo hace a nivel de aplicación. Básicamente cualquier herramienta que decida si una parte de los flujos de tráfico pueden atravesarlo o deben ser bloqueados puede encuadrarse en este grupo. El filtracto se puede realizar a cualquier nivel, IP, TCP, nivel de aplicación, etc.
Los Sistemas de Detección de Intrusos IDS 2 6 son sistemas utilizados para analizar flujos de tráfico e intentan detectar determinados patrones que son categorizados como dañinos. A continuación se citan algunos ejemplos de tráfico que un IDS puede detectar:
o Spam procedente de una máquina integrada en una red controlada.
o Paquetes con direcciones de origen falsas.
o Máquinas que intentan contactar con serv1c1os maliciosos conocidos como canales IRC utilizados para controlar programas espías.
o 'Firmas de red' conocidas de virus u otros programas maliciosos. Una 'firma de red' es un paquete o conjunto de paquetes que genera cualquier tipo de malware.
Normalmente los IDS 2 6 no detienen el flujo de tráfico, sino que sólo lo reportan de modo que se pueda llevar a cabo una acción correctora. El método más simple de detección de intrusos es generar una alarma cuando cierto umbral es superado. Por ejemplo, tres o más intentos fallidos de logon, o una llamada de teléfono móvil que dure más de seis horas podrían dar lugar a un aviso de atención en la cuenta en cuestión. Otros sistemas más sofisticados se pueden clasificar en dos grandes categorías:
o
Los sistemas de detección de mal uso, que operan
utilizando
un modelo del comportamiento probable de
un
intruso.
o
Los sistemas de detección de anomalías que se
encargan
de una tarea bastante más compleja como la
búsqueda
de patrones anómalos de comportamiento, en
ausencia
de un modelo claro del modus operandi del
atacante,
con la esperanza de detectar ataques que
no
hayan sido reconocidos ni catalogados
previamente.
Los elementos de Información de Seguridad y Gestión de Eventos (SIEM) 12 son herramientas que recogen información tanto de los sistemas de defensa de la red (como los cortafuegos 14 23 y los IDS 26) como de los sistemas monitorizados (logs de servidores, logs de LDAP, etcétera) en un punto central. La información recogida puede ser automáticamente correlacionada mediante un conjunto de reglas determinadas para detectar problemas que no podrían ser detectados en un punto individual. La información también puede ser utilizada para realizar auditorias
'forenses' una vez que el problema ha tenido lugar.
"Recientemente, los antivirus parecen ser cada vez menos efectivos. La comercialización de "botnets" ha dado lugar a que los autores de "malware" dispongan de herramientas decentes e incluso formación. Casi todos los troyanos y otros virus son indetectables en su lanzamiento -ya que sus autores los han testado convenientemente-y muchos de ellos consiguen ejecutarse (reclutando su número de máquinas objetivo) sin llamar la atención de la industria del antivirus. El efecto neto de esto que mientras que el software de antivirus podría haber detectado casi todas las amenazas en circulación a principios de los 2000, en 2007 un producto típico puede detectar sólo una tercera parte de ellos" [Securi ty Engineering, 2nd edi tion. Ross Anderson, Wiley Publisinc Inc. ISBN: 978-0-470-06852-6].
A continuación, se mencionan varios de los problemas actuales existentes en relación con la protección en el extremo 21:
La protección en el extreme 21 depende del análisis previo del malware para poder luchar contra él. Así, la industria de antivirus/antimalware va siempre a la zaga de las amenazas, debido, entre otras cosas, a la propia naturaleza de ambas actividades (defensa y ataque). Los atacantes (la industria de malware) pueden elegir la dirección del ataque mientras que los defensores sólo pueden adaptarse y reaccionar frente a los nuevos ataques una vez que éstos aparecen.
A pesar de que el nuevo malware es catalogado rápidamente e inmediatamente después se crea una solución para corregirlo, existe siempre una ventana de tiempo durante la cual el nuevo malware puede instalarse sin ser detectado en
una máquina. Y una vez que se ha instalado, es bastante probable que no sea detectado ni eliminado sin un arranque de la máquina formateada. Después de todo, el programa antimalware depende del sistema operativo para ejecutarse, y el sistema operativo puede ser afectado por un malware que se esté ejecutando con privilegios suficientes (por ejemplo reescribir o interceptor llamadas del sistema).
Otro problema es que la comprobación remota (verificación del estado de salud de un ordenador desde una localización remota) basada en software ejecutable en el ordenador que debe ser diagnosticado no es fiable. Cualquier cosa que un programa de diagnóstico pueda enviar para comprobar su propia integridad puede ser duplicada por un virus que se ejecuta en el mismo ordenador. Existen algunos trabajos
(TPM Trusted Platform Module) que son capaces de comprobar remotamente el estado de seguridad de un dispositivo, pero por el momento los dispositivos finales, simplemente, no son fiables ni controlables con efectividad.
Por todas esas razones, la protección en el extremo por sí sola no es suficiente, y debe ser complementada con algún tipo de análisis de red.
Algunos
de Jos problemas de la protección en la red
existente
en la actualidad para detectar o controlar
ataques
en la red son:
* Internet es un entorno muy ruidoso, ineluso a nivel de paquetes. Existe una gran cantidad de paquetes aleatoriamente mal construidos que puede generar una tasa
bastante significativa de falsas alarmas. Una falsa alarma repercute en un incremento en los costes de operación.
* Existen pocos ataques. Si hubiera diez ataques reales por cada millón de sesiones, entonces, incluso si el sistema tuviera una tasa de falsas alarmas del orden del O.1%, la relación de falsas alarmas frente a alarmas reales sería de
100. Además del incremento en costes de operación que esto supondría, probablemente las alarmas reales se perderían en todo el ruido existente.
*
Muchos ataques a redes son específicos a versiones particulares de software, por lo que una herramienta general de detección de mal uso debería tener una librería enorme y constantemente actualizada de 'firmas' de amenazas.
*
Las amenazas contra la seguridad se distribuyen por naturaleza; tienen diferentes orígenes, diversos objetivos, y diversas taxonomías. Por otro lado las herramientas actuales de análisis se encuentran centralizadas en algunos cuellos de botella y la mayoría de las veces aisladas.
*
El tiempo de respuesta es crítico; los ataques deben ser detenidos mientras que están sucediendo. Pero las herramientas de seguridad, la mayoría de las veces, funcionan de acuerdo a un conjunto de reglas predeterminadas, no muy efectivas cuando se trata de nuevas amenazas.
' * Las herramientas de seguridad son más adecuadas para una red de tamaño pequeño a mediano que para una red ISP, ya
que los sistemas centralizados simplemente no soportan estas grandes cargas.
* Los sistemas actuales tienen necesidad de supervisión constante, pero tanto por razones económicas como operativas (respuesta en tiempo real) , la intervención
humana debe ser mínima.
RESUMEN DE LA INVENCIÓN
La presente invención trata de resolver los inconvenientes mencionados anteriormente por medio de un método y un sistema configurado para clasificar el tráfico basándose en una red neuronal en la que se implementa un algoritmo de agrupamiento. La base de la invención es la detección automática y la clasificación de los patrones generados por software malicioso en la red.
Para ello a todos los paquetes de la red se les asigna una
'clase'. Dicha clase, también llamada conjunto de valores de clasificación, representa el tipo de paquete, y se utiliza para filtrar o marcar paquetes o flujos para un análisis posterior.
En particular, en un aspecto de la presente invención se proporciona un método para clasificar tráfico de una red de comunicaciones, donde dicho método comprende los siguientes pasos:
capturar paquetes IP de dicha red de comunicaciones;
caracterizar dichos paquetes capturados asignando un
vector
a cada paquete capturado de acuerdo con un
conjunto de determinadas características;
calcular un conjunto de valores de clasificación para
cada
uno de dichos paquetes caracterizados de acuerdo a
la
información contenida en su cabecera de IP y
la
información
contenida en la cabecera de su protocolo
específico;
reescribir las cabeceras de dichos paquetes capturados,
incluyendo
dichos valores de clasificación en una
cabecera
IP.
Dicho vector asignado a cada paquete capturado es un vector tri-dimensional (Cl, C2, C3) donde: es el protocolo específico de dicho paquete capturado, tal y como se lee de la cabecera IP;
C2 es un vector que comprende información sobre las características IP de dicho paquete capturado;
C3 es un vector que comprende información de las características específicas del protocolo de dicho paquete capturado, cuya dimensión depende del contenido de la coordenada C1•
El conjunto de valores de clasificación calculados comprende dos bytes V1 y V2, donde:
V1 es el resultacto de proyectar C2 en un espacio unídimensional utilizando una transformación dentro de una red neuronal que preserva el orden topológico, donde dicha transformación está basada en la distancia relativa entre nodos y
V2 es el resultado de proyectar C3 en un espacio unidimensional utilizando una transformación dentro de una red neuronal que preserva el orden topológico, donde dicha transformación está basada en la distancia relativa entre nodos.
Opcionalmente, la distancia relativa entre nodos se calcula como:
donde:
C (X) pij se utiliza para indicar un elemento concreto de la caracterización del paquete X,
p es el protocolo,
i es la coordenada de dicho vector tri-dimensional (C1 , C2, C3 ) asignado para caracterizar un paquete para la cual se aplica la función distancia,
j indica las coordenadas del vector Ci,
A y B son los paquetes entre los cuales se mide la distancia,
Wpij es un vector, adaptado para cada protocolo p, y coordenadas j, i, utilizado para dar más peso a algunas componentes del paquete que a otras.
Preferentemente, el vector C2 comprende al menos una de las siguientes coordenadas, tal y como se leen de la cabecera IP de dicho paquete capturado:
i. Tamaño de Cabecera de Internet -Internet Header Length,
ii. Tipo de Servicio -Type of Service-,
iii. Longitud Total -Total Length,
iv.
Indicadores IP -IP Flags-,
v.
Tiempo de Vida -TTL Time to Live-,
vi. Posición del Fragmento -Fragment Offset-,
vii. Clasificación Previa, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
El vector C3 , en el caso de un paquete del protocolo Transmission Control Protocol (TCP) comprende, preferentemente, al menos, una de las siguientes coordenadas, tal y como se leen de los segmentos de TCP del paquete capturado:
i.
Puerto Origen -Source Port-,
ii.
Puerto Destino -Destination Port-,
iii.
Indicadores -Flags-,
iv.
Ventana -Window-,
v.
Puntero Urgente -Urgent-,
vi.
Opciones -Options-,
vii.
Suma de Verificación -Checksum,
viii.
Clasificación Previa, correspondiente al valor
de
clasificación calculado en el último nodo
de
red que el paquete ha atravesado.
Y en el caso de un paquete del protocolo User Datagram Protocol (UDP) C3 comprende, preferentemente, al menos, una de las siguientes coordenadas, tal y como se leen de los segmentos de UDP del paquete capturado:
i. Puerto Origen -Source Port-,
11. Puerto Destino -Destination Port-,
iii. Longitud -Length-,
iv.
Suma de Verificación -Checksum-,
v.
Clasificación Previa, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
Finalmente, el vector C3, en el caso del protocolo Internet Control Message Protocol (ICMP) comprende, al menos, una de las siguientes coordenadas, tal y como se leen de los segmentos de ICMP del paquete capturado:
~. Tipo -Type-r
ii. Código -Code-, lll. Suma de Verificación -Checksum-,
iv. Clasificación Previa, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
Opcionalmente, el método comprende además, la utilización del campo de opciones de la cabecera de IP del paquete capturado para almacenar dicho conjunto de valores de clasificación.
En otro aspecto, la invención proporciona un sistema para clasificar tráfico de una red de comunicaciones, donde dicho sistema comprende medios adaptados para llevar a cabo el método descrito anteriormente.
Preferentemente, este sistema comprende:
un primer módulo, configurado para capturar paquetes IP de dicha red de comunicaciones;
un segundo módulo, configurado para caracterizar dichos paquetes capturados asignando un vector a cada paquete capturado de acuerdo a un conjunto de determinadas características;
un tercer módulo, configurado para calcular un conjunto de valores de clasificación para cada uno de dichos paquetes caracterizados de acuerdo a la información
contenida en su cabecera de IP y la información contenida en la cabecera de su protocolo específico;
• un cuarto módulo, configurado para reescribir las cabeceras de dichos paquetes capturados, incluyendo dichos valores de clasificación en una cabecera IP.
El sistema se incorpora o conecta a, al menos, un nodo de dicha red de comunicaciones.
Opcionalmente, el sistema tiene dos modos de operación:
l. un modo de entrenamiento, en el que dichos nodos pertenecientes a dicha red neuronal se generan automáticamente, utilizando las coordenadas (C1, C2, C3) de los paquetes capturados a partir de tráfico real conocido;
ii. un modo de clasificación, en el que los paquetes capturados se clasifican utilizando nodos ya generados de una red neuronal.
Finalmente se proporciona un programa informático que comprende medios de código de programa informático adaptados para realizar el método descrito anteriormente, cuando dicho programa se ejecuta en un ordenador, un procesador de señal digital, una disposición de puertas de campo programable, un circuito integrado de aplicación específica, un microprocesador, un microcontrolador, y cualquier otra forma de hardware programable.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
Con
objeto de ayudar a una mejor comprensión de las
características
del invento de acuerdo con un ejemplo
preferente
de realización práctica del mismo y para
complementar esta descripción, se acompaña como parte integrante de la misma un juego de dibujos, cuyo carácter es ilustrativo y no limitativo. En estos dibujos: La figura 1 es un esquema de alto nivel de los factores de protección y mitigación que se pueden desplegar para proteger a los usuarios. La figura 2 muestra la interacción típica entre un proceso que se ejecuta (en el ordenador del usuario) y la Suite de Protección en el extremo. La figura 3 muestra un esquema de un Elemento del Sistema
(SE) La figura 4 muestra un Mapa de Auto-Organización -SOM-(del inglés Self Organizing Map) r basado en una red neuronal para clasificación del protocolo UDP. La figura 5 es un esquema simplificado de la integración del sistema de la invención en una red de Provisión del Servicio de Internet -ISP-(del inglés Internet Service
Provider).
La figura 6 muestra el modo en que un paquete es reclasificado en cada elemento de la red.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN
La presente invención proporciona un método y un sistema, que comprende hardware y software específicos residentes en
o cerca de (conectados) los nodos de una red de comunicaciones, donde dicho método/sistema clasifica el tráfico basándose en un algoritmo de agrupamiento en una red neuronal que será descrito más adelante. La base de la invención es la detección y clasificación automáticas de los patrones de tráfico generados por SW malicioso en la red.
A todos los paquetes de la red se les asigna automáticamente una 'clase', que representa el tipo de paquete, y que es utilizada para filtrar o marcar paquetes
o flujos de paquetes en un análisis posterior.
Los paquetes de datos de la red son clasificados mediante el uso de dos Mapas de Auto-Organización (SOM -del inglés Self Organi zing Map) que hacen corresponder dos conjuntos de valores n-dimensionales obtenidos de cada paquete, tras una caracterización realizada por el propio sistema, en dos valores uni-dimensionales. Los dos valores unidimensionales, junto con un byte que representa el tipo de protocolo, son agrupados en un valor tri-dimensional que representa la 'clase' de dicho paquete. Un Mapa de AutoOrganización es un tipo de red neuronal artificial que es entrenada, mediante un aprendizaje no supervisado, para producir un valor representativo de una dimensión inferior
(en
este caso uni-dimensional) a partir de un valor de
entrada
de una dimensión superior (el conjunto de valores
que
caracterizan a cada paquete).
El sistema tiene dos modos de operación:
Un modo de entrenamiento, en el que los grupos se generan automáticamente, y la red es "entrenada", basándose en tráfico de red real.
Un modo de clasificación, en el que los paquetes se clasifican utilizando una red ya "entrenada".
Debido a que cada nodo de red tiene una visibilidad parcial del tráfico de la red, la información de grupos se comparte entre todos los nodos utilizando los propios paquetes de la red como vectores de transmisión. La información de grupos, es, de este modo, una parte de la función distancia
(descrita más adelante) utilizada por el algoritmo SOM.
El método y sistema se integra en o cerca (conectado) de al menos uno de los nodos de la red. Como dicho sistema contiene algunas características de Inspección Detallada de Paquetes -DPI-(del inglés Deep Pa cket Inspectíon) , puede también integrarse en cualquier parte de la red que exista un sistema DPI.
Preferentemente, se incorpora un Elemento del Sistema (SE) en cada nodo de la red. En la figura 3 se muestra un esquema de un Elemento del Sistema SE 30. Sus componentes son:
A. Módulo de Captura de Paquetes 31: E~Le módulo captura
paquetes
IP 35 de la red. Si existiera un DPI, éste
podría,
opcionalmente, realizar esta función.
B. Módulo de Caracterización de Paquetes 32: Este
componente
caracteriza un paquete capturado 36 de
acuerdo
a un conjunto de coordenadas predeterminadas
(por ejemplo, longitud del paquete, origen y destino,
protocolo, ... ) . Los paquetes caracterizados 37 constituyen la capa de entrada de la red neuronal 40, como se puede ver en la figura 4. También este módulo podría implementarse en un DPI, en caso de estar presente. Más adelante se describen en profundidad los detalles de éste módulo.
• C. Módulo de Red Neuronal de Agrupamiento 33: Este componente toma como entrada un paquete caracterizado 37, tal y como se proporcionan a la salida del módulo de caracterización de paquetes 32, y, utilizando una red neuronal, calcula un 'valor de grupo' 38. Un 'valor de grupo' 38 es una representación numérica tri-dimensional del conjunto o 'grupo' al que la Red Neuronal cree que el paquete pertenece. La primera de estas dimensiones representa el protocolo (y puede opcionalmente omitirse en el siguiente paso -en el módulo D-ya que de hecho el protocolo se encuentra ya de forma explícita en el paquete). La segunda dimensión representa el grupo de paquetes al que cada paquete procesado pertenece, clasificándolo únicamente de acuerdo a su cabecera IP. La tercera dimensión representa la clasificación atendiendo a la cabecera específica de su protocolo. El algoritmo de agrupamiento en una red neuronal que utiliza el sistema es un Mapa de Auto-Organización (SOM
Self Organizing Map) . Más adelante se incluyen detullcs concretos relativos a la implementación de este componente.
• D. Modulo de Reescritura de Paquetes 34: Este módulo reescribe la cabecera de cada paquete, incluyendo el 'valor de grupo', en la cabecera IP. La salida del módulo de reescritura de paquetes 34 es un paquete clasificado 39. También más adelante se incluyen
detalles concretos de la implementación de el módulo de reescritura de paquetes 34.
Nótese que la Red Neuronal 40 mostrada en la figura 4 representa el Mapa de Auto-Organización (SOM) utilizado para el agrupamiento en el caso del protocolo UDP. La capa de salida 41 en dicha figura está simplificada para mayor claridad. La capa real de salida 41 tiene 256 nodos (desde el Grupo O 42 hasta el Grupo 255 43). La Red Neuronal 40, por lo tanto, tal y corno se encuentra definida en el SOM, tiene dos capas, una capa de entrada 44 con un nodo 45 46 47 48 49 por cada una de las coordenadas que caracterizan al paquete, y una capa de salida 41 que contiene tantos nodos 42 43 como grupos contenga la información clasificada
(utilizando un único byte para su representación se obtienen hasta 256 grupos) .
Así pues, a cualquier paquete que atraviese un nodo de red que tenga un Elemento del Sistema SE 30 asociado, se le aplica el siguiente procedimiento:
El paquete es caracterizado de acuerdo a un conjunto dado de coordenadas.
Las coordenadas del paquete (su caracterización) son la entrada de una red neuronal, que calcula un 'valor de grupo' 38, el cual indica la categorización de dicho paquete de acuerdo a un conocimiento previo de la red.
El paquete es, entonces, modificado de modo que se incluye dicha categorización en una cabecera, y, transferido al siguiente nodo de la red del modo habitual.
Debido a que el paquete atraviesa más de uno nodo de red, este procedimiento puede repetirse más de una vez para cada paquete (tantas veces como nodos de red atraviese). Además, como una de las coordenadas de caracterización del paquete es el valor de clasificación asignado en el nodo anterior
(45
en la figura 4), esto significa que aunque cada SE 30
sólo
vea parte de la información, la Red Neuronal 40
incluye
información de toda la red.
En este sentido, la red de Provisión del Servicio de Internet ISP crea una red meta-neuronal, en la que cada SE 30 actúa como una neurona (la cual constituye también por sí m1sma una red neuronal). En la figura 5 se presenta un esquema simplificado de la integración en la red ISP, donde se muestran una red de comunicaciones que comprende varios usuarios residenciales 54 y sus enlaces hacia otras redes 53. En cada Elemento de la Red 53 se dispone de un SE 30 51, y las propias conexiones de red existentes 55 se utilizan para comunicar los SEs 30 51 entre sí.
La figura 6 muestra el modo en que un paquete es reclasificado en cada elemento de red 52 62 64 66 que atraviesa, por medio de los SEs 30 51 68. Cuando el paquete 'aparece' por primera vez, no tiene aún ninguna información de clasificación 61. El primer elemento de la red 62 lo clasifica, generando así un paquete clasificado 63, que es posteriormente transferido hacia su destino. El segundo elemento de la red 64 clasifica el paquete de nuevo. Y, debido a que el Mapa de Auto-Organización SOM utilizado para clasificar incluye en su capa de entrada la clasificación del paquete, dicha clasificación es refinada. De este modo se genera un paquete reclasificado 65. El
paquete, así generado 65, puede pertenecer al mismo grupo
que el paquete sin reclasificar 63, o puede ser movido a un
'grupo' diferente (ya que la red neuronal en 64 puede tener
un entrenamiento diferente) .
Antes de que el paquete pase a una red externa 67, la información de clasificación debe ser eliminada. El último elemento de la red 66 implementa esta función.
Hasta el momento no se han descrito acciones adicionales a llevar a cabo sobre los paquetes, pero, una vez que el paquete ha sido clasificado, es fácil utilizar el 'valor de grupo' del mismo para filtrar los paquetes, bien en el perímetro de la red (justo antes de transferirlos a un usuario residencial o otras redes 67) , o incluso dentro de las propias redes residenciales. Esta nueva información de seguridad es fácilmente integrable con otras medidas de seguridad existentes, como IDSs, cortafuegos, etc.
A continuación se describen en detalles los módulos del sistema B, C y D, y sus respectivas funciones:
• Módulo B. Caracterización de Paquetes 32
Este módulo lee el contenido de los paquetes tal y como son entregados por el módulo A, y extrae información de los mismos.
Un paquete es caracterizado inicialmente por un vector tridimensional (Cl, C2, C3) donde:
o Cl es el protocolo específico del paquete, tal y como se lee del paquete IP.
o C2 es un vector que representa las características IP del paquete. El contenido de dicho vector es (en el orden descrito) :
l. Tamaño de Cabecera de Internet (Internet Header Length)
2.
Tipo de Servicio (Type of Service)
3.
Longitud Total (Total Length)
4.
Indicadores (IP Flags)
5.
Tiempo de Vida ~TTL-(Time to Live)
6.
Posición del Fragmento (Fragment Offset)
7.
Clasificación Previa
o C3 es un vector que representa las características específicas del protocolo del paquete. La dimensión
de
este vector y su contenido dependen del
protocolo
concreto del paquete. Como ejemplo se
muestra
el contenido de dicho vector para los
protocolos más
habituales:
Protocolo:
TCP
1. Puerto
Origen . (Source Port)
2. Puerto
Destino {Destination Port)
3. Indicadores
(Flags)
4. Ventana
(Window)
5. Puntero
Urgente (Urgent)
6.0pciones
(Options)
7. Suma
de Verificación (Checksum)
8.Clasificación Previa
Protocolo:
UDP
l. Puerto
Origen (Source Port)
2. Puerto
Destino (Destina tion Port)
3. Longitud del Mensaje
(Length)
4. Suma
de Verificación (Checksum)
5. Clasificación
Previa
Protocolo:
ICMP
l. Tipo (Type)
2.
Código (eode)
3.
Suma de Verificación (ehecksum) 4.Clasificación Previa
Se utiliza la nomenclatura e (X) pij para referirse a un elemento concreto de la caracterización del paquete X, donde l indica el vector objeto, e2 o e3 y p indica el protocolo, como se muestra a continuación:
o t indica protocolo TCP
o u indica protocolo UDP
o ~ indica protocolo ICMP
Así, por ejemplo: e (X) t 33 indica el campo de indicadores (flags) de un paquete TCP, e (X) u33 indica la longitud de un paquete UDP, e (X} t 27 indica la clasificación previa (de cualquier paquete IP independientemente de su protocolo) , así e (X) t27r e(X) u27 y e(X) i 27 son sinónimos.
• Módulo C. Algoritmo de Agrupamiento 33
El módulo C realiza la clasificación de los paquetes ya caracterizados, proporcionados por el módulo B. El módulo C genera dos bytes de información, que representan en grupo
(o conjunto) al que el paquete pertenece de acuerdo a su cabecera IP, y el grupo (o conjunto) al que el paquete pertenece de acuerdo a la cabecera de su protocolo específico (TCP, UDP, ICMP o cualquier otro).
El módulo C implementa un Mapa de Auto-Organización (SOM) multi-capa que constituye la pieza clave de su sistema de
clasificación. Un mapa de Auto-Organización (SOM) es un tipo de red neuronal artificial entrenada mediante aprendizaje no supervisado para producir una representación discretizada de baja dimensión (típicamente bidimensional) del espacio de entrada de las muestras de entrenamiento. Esta representación es lo que se denomina mapa. Los Mapas de Auto-Organización son diferentes de otras redes
neuronales
artificiales porque utilizan una función de
proximidad
para preservar las propiedades topológicas del
espacio de
entrada.
Como la mayoría de las redes neuronales artificiales, los SOMs operan en dos modos distintos: entrenamiento y clasificación. En el modo de entrenamiento se construye el mapa utilizando ejemplos de entrada. Se trata de un procedimiento competitivo también llamado vector de cuantificación. En el modo de clasificación se clasifica automáticamente un nuevo vector de entrada.
Un mapa de Auto-Organización (SOM) comprende un número determinado de componentes llamados nodos o neuronas. En cada nodo existe un vector asociado, llamado 'vector de ponderación' (weight vector) de la misma dimensión que los vectores que contienen los datos de entrada. Estos nodos ocupan una posición en el espacio del mapa. La disposición normal de los nodos es una distribución hexagonal o rectangular con un espaciado regular entre ellos. El Mapa de Auto-Organización representa una clasificación de un espacio de entrada de dimensión superior a un espacio de dimensión inferior. El procedimiento para situar un vector de entrada en el mapa es encontrar el nodo con el 'vector de ponderación' más próximo al vector de entrada y asignar
las coordenadas de este nodo, en el mapa, a dicho vector de entrada.
El módulo C realiza una clasificación de dos capas utilizando dos Mapas de Auto-Organización ( SOMs) . La primera capa clasifica el paquete de acuerdo a sus características de IP. La segunda capa clasifica el paquete de acuerdo a las características específicas de su protocolo (C3) •
Cada SOM es mapa uni-dimensional, como se muestra en la figura 4. La capa de entrada tiene uno nodo por cada coordenada definida (seis nodos para IP, nueve nodos para TCP y así con el resto de protocolos) y 25 6 en la capa de salida.
El
procedimiento para clasificar cualquier paquete es el
siguiente:
1.
Clasificar el paquete de acuerdo al Mapa de
Auto-Organización de
IP. Generar V1.
2.
Clasificar el paquete de acuerdo al Mapa de
Auto-Organización de protocolo.
Generar V2 •
3.-Devolver V1 ,
V2 como valor de clasificación,
donde, V1 es el resultado de proyectar C2 en un espacio unidimensional utilizando una transformación en una red neuronal que preserva el orden topológico (la distancia relativa entre nodos) y V2 es el resultado de proyectar C3 en un espacio uni-dimensional utilizando un transformación en una red neuronal que preserva el orden topológico (la distancia relativa entre nodos) . De este modo, si C y C'
son dos vectores n-dimensionales, V son sus respectivas proyecciones y, Dn(A,B) y son las
distancias entre 2 puntos A y B en un espacio n-dimensional y m-dimensional, respectivamente, entonces Dn(On,C)<Dn(On,C') implica que Dm (Omr V) <Dm (Omr V'), donde On y Om son los vectores cero n-dimensional y cero m-dimensional, respectivamente.
Así pues, la red neuronal clasifica (agrupa) datos ndimensionales en un espacio m-dimensional manteniendo la posición relativa entre nodos, de acuerdo a una función distancia. Por eso para el procedimiento de clasificación es necesario definir una función distancia entre vectores.
V1 y V2 son valores independientes, ya que proceden de proyectar vectores diferentes (C2 y C3) en un espacio unidimensional.
Por lo tanto, corno se ha podido comprobar una parte importante del algoritmo SOM es la función distancia (función que proporciona la distancia entre dos puntos) . Para ello se utiliza la función distancia euclídea ponderada.
La distancia D entre dos puntos (paquetes) A y B, para el protocolo p, y la capa ~, se define como:
DCA. B, p. i) =z.: WPU ( C(A)p¡i -C(B)p[Jt
j
Donde:
o p es el protocolo,
o ~ es la capa de entrada del SOM para la que se aplica la función distancia,
o A y B son los paquetes cuya distancia se mide,
o Wpij es un vector de ponderación, adaptado a cada protocolo y capa de entrada.
EL propósito del vector de ponderación W es permitir la adaptación del algoritmo de agrupamiento a diferentes escenarios de la red, dando más peso a unas componentes del paquete que a otras. Es posible, incluso, ignorar alguna componente, tan sólo ajustando la coordenada apropiada de W a O.
• Module D. Reescritura de Paquetes 34
Este módulo incluye la información de clasificación del paquete (V1, V2) dentro del propio paquete, de manera tal que no afecta a su curso a través de otros elementos de red.
Para ello, el sistema utiliza el campo Opciones (Options) de la cabecera I P para almacenar los valores Vl, V2. El formato de dicho campo contiene:
o Tipo -Type-(26 bits)
o Indicador de Copia -Copy bit-( 1 bit)
o Clase de Opción -Class-( 2 bits)
El valor hexadecimal D6 se utiliza como cabecera opcional. Este campo tiene una longitud de 4 bytes. El contenido de estos bytes es:
o Cabecera de Opciones (Option header): OxD6
o Tamaño Opciones (Option length) : Ox04
o Contenido byte 1: Vl
o Contenido byte 2: V2
El método y sistema de la invención reducen significativamente el coste computacional y operacional de la clasificación del tráfico de red para incrementar la seguridad, ya que incluye protocolos de auto aprendizaje
5 (en la red neuronal).
No afecta a otras medidas ya existentes, y puede ser
integrado fácilmente con éstas proporcionando un nuevo
parámetro (la categorización del tráfico) con el que
10 trabajar.
Este nuevo parámetro define una clasificación de seguridad del tráfico, a nivel de paquete. Permite además un fácil filtrado del tráfico malicioso y puede ser utilizado para 15 desviar tráfico a un 'área de limpieza de la red' donde los flujos seleccionados pueden ser analizados en profundidad. Frente a otros sistemas menos prácticos que analizarían todo el tráfico que atraviesa una ISP, este sistema permite una fácil pre-clasificación, que permite
20 la posibilidad de analizar solamente el tráfico 'sospechoso' .

Claims (14)

  1. REIVINDICACIONES
    l. Un método para clasificar tráfico de una red de comunicaciones, donde dicho método comprende los siguientes pasos:
    capturar paquetes IP (35) de dicha red de comunicaciones;
    caracterizar dichos paquetes capturados ( 36) asignando un vector a cada paquete capturado (36) de acuerdo con un conjunto de determinadas características;
    calcular un conjunto de valores de clasificación para cada uno de dichos paquetes caracterizados (37) de acuerdo a la información contenida en su cabecera de IP y la información contenida en la cabecera de su protocolo específico;
    reescribir las cabeceras de dichos paquetes capturados
    (35), incluyendo dichos valores de clasificación en una cabecera IP.
  2. 2. El método según la reivindicación 1, donde dicho vector asignado a cada paquete capturado es un vector tridimensional (e1, e2r e3) donde:
    e1 es el protocolo específico de dicho paquete capturado (35), tal y como se lee de la cabecera IP;
    e2 es un vector que comprende información sobre las características IP de dicho paquete capturado (35);
    e3 es un vector que comprende información de las características específicas del protocolo de dicho paquete capturado (35), cuya dimensión depende del contenido de la coordenada C1.
  3. 3. El método según la reívindicación 2, donde dicho conjunto de valores de clasificación calculados comprende dos bytes V1 y V2 , donde:
    V1 es el resultado de proyectar e2 en un espacio unidimensional utilizando una transformación dentro de una red neuronal que preserva el orden topológico, donde dicha transformación está basada en la distancia relativa entre nodos y
    V2 es el resultado de proyectar e3 en un espacio unldimensional utilizando una transformación dentro de una red neuronal que preserva el orden topológico, donde dicha transformación está basada en la distancia relativa entre nodos.
  4. 4. El método según la reívindicación 3, donde dicha distancia relativa entre nodos se calcula como:
    D(A.B,p,i);;;; ¿wpiJ(C(A)¡¡ij-C(B)piit
    ji
    donde:
    e (X) pij se utiliza para indicar un elemento concreto de la caracterización del paquete X,
    p es el protocolo,
    ~ es la coordenada de dicho vector tri-dimensional (e1 r C2r C3 } asignado para caracterizar un paquete para la cual se aplica la función distancia,
    j indica las coordenadas del vector Ci,
    A y B son los paquetes entre los cuales se mide la distancia,
    Wpij es un vector, adaptado para cada protocolo p, y coordenadas J, i, utilizado para dar más peso a algunas componentes del paquete que a otras.
  5. 5. El método según cualquiera de las reivindicaciones de la 2 a la 4, donde dicho vector C2 comprende al menos una
    de
    las siguientes coordenadas, tal y como se leen de la
    cabecera
    IP de dicho paquete capturado:
    1. Tamaño
    de Cabecera de Internet -Inter net
    Header
    Length,
  6. 11. Tipo
    de Servicio -Type of Service-,
    iii.
    Longitud Total -Total Length,
    iv.
    Indicadores IP -IP Flags-,
    v.
    Tiempo de Vida -TTL Time to Live-,
    vi. Posición del Fragmento -Fragment Offset-,
    vii. Clasificación Previa, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
  7. 6. El método según cualquiera de las reivindicaciones, de la 2 a la 5, donde dicho vector C3 , en el caso de un paquete del protocolo Transmission Control Protocol
    (TCP) comprende, al menos, una de las siguientes coordenadas, tal y como se leen de los segmentos de TCP del paquete capturado:
    i. Puerto Origen -Source Port-,
    ii. Puerto Destino -Destina tion Port-,
    iii. Indicadores -Flags-, 1v. Ventana -Window-,
    v. Puntero Urgente -Urgent-,
    vi. Opciones -Options-,
    vii. Suma de Verificación -Checksum,
    viii. Clasificación Previa, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
  8. 7. El método según cualquiera de las reivindicaciones de la 2 a la 6, donde dicho vector e3, en el caso de un paquete del protocolo User Datagram Protocol (UDP) comprende, al menos, una de las siguientes coordenadas, tal y como se leen de los segmentos de UDP del paquete capturado:
    i. Puerto Origen -Source Port-,
    i í. Puerto Destino -Destina tion Port-, lll. Longitud -Length-,
    iv.
    Suma de Verificación -ehecksum-,
    v.
    Clasificación Prevía, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
  9. 8. El método según cualquiera de las reivindicaciones de la 2 a la 7, donde el vector e3 , en el caso del protocolo Internet Control Message Protocol (ICMP) comprende, al menos, una de las siguientes coordenadas, tal y como se leen de los segmentos de icmp del paquete capturado:
    i. Tipo -Type-~ ll. Código -Code-,
    iii. Suma de Verificación -Checksum-,
    lV. Clasificación Previa, correspondiente al valor de clasificación calculado en el último nodo de red que el paquete ha atravesado.
  10. 9.
    El método según cualquiera de las reivindicaciones anteriores, que comprende además, la utilización del campo de opciones de la cabecera de IP del paquete capturado para almacenar dicho conjunto de valores de clasificación.
  11. 10.
    Un sistema (30 51 68) para clasificar tráfico de una red de comunicaciones, donde dicho sistema (30 51 68) comprende medios adaptados para llevar a cabo el método de las reivindicaciones anteriores.
  12. 11.
    El sistema (30 51 68) según la reivindicación 10, donde dicho sistema comprende:
    un primer módulo (31), configurado para capturar paquetes IP (35) de dicha red de comunicaciones;
    un segundo módulo (32), configurado para caracterizar dichos paquetes capturados ( 3 6) asignando un vector a cada paquete capturado (36) de acuerdo a un conjunto de determinadas características;
    un tercer módulo (33), configurado para calcular un conjunto de valores de clasificación para cada uno de dichos paquetes caracterizados (37) de acuerdo a la información contenida en su cabecera de IP y la información contenida en la cabecera de su protocolo específico;
    un cuarto módulo (34), configurado para reescribir las cabeceras de dichos paquetes capturados (35), incluyendo dichos valores de clasificación en una cabecera IP.
  13. 12.
    El sistema ( 3 O 51 68) según la reivindicación 11, donde dicho sistema (30 51 68) se incorpora o conecta a, al menos, un nodo (52 62 64 66) de dicha red de comunicaciones.
  14. 13.
    El sistema (30 51 68) según cualquiera de las reivindicaciones de la 10 a la 12, donde dicho sistema (30 51 68) tiene dos modos de operación:
    a. un modo de entrenamiento, en el que dichos nodos pertenecientes a dicha red neuronal (40) se generan automáticamente, utilizando las coordenadas (C1 r C2r C3) de los paquetes capturados (35) a partir de
    5 tráfico real conocido;
    b. un modo de clasificación, en el que los paquetes capturados ( 35) se clasifican utilizando nodos ya generados de una red neuronal (40).
    10 14. Un programa informático que comprende medios de código de programa informático adaptados para realizar el método según cualquiera de las reivindicaciones de la 1 a la 9, cuando dicho programa se ejecuta en un ordenador, un procesador de señal digital, una
    15 disposición de puertas de campo programable, un circuito integrado de aplicación específica, un microprocesador, un microcontrolador, y cualquier otra forma de hardware programable.
ES201031320A 2010-09-03 2010-09-03 Método y sistema para clasificación de tráfico. Withdrawn - After Issue ES2393501B1 (es)

Priority Applications (7)

Application Number Priority Date Filing Date Title
ES201031320A ES2393501B1 (es) 2010-09-03 2010-09-03 Método y sistema para clasificación de tráfico.
BR112013005228A BR112013005228A2 (pt) 2010-09-03 2011-07-18 "método e sistema para classificação de tráfego."
US13/820,534 US20130269033A1 (en) 2010-09-03 2011-07-18 Method and system for classifying traffic
ES11748600.1T ES2560109T3 (es) 2010-09-03 2011-07-18 Procedimiento y sistema de clasificación de tráfico
PCT/EP2011/062193 WO2012028375A2 (en) 2010-09-03 2011-07-18 Method and system for classifying traffic
EP11748600.1A EP2612481B1 (en) 2010-09-03 2011-07-18 Method and system for classifying traffic
CL2013000602A CL2013000602A1 (es) 2010-09-03 2013-03-01 Metodo y sistema para clasificar trafico de una red de comunicaciones que comprende capturar paquetes ip y caracterizar dichos paquetes capturados asignando un vector a cada uno de ellos.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES201031320A ES2393501B1 (es) 2010-09-03 2010-09-03 Método y sistema para clasificación de tráfico.

Publications (2)

Publication Number Publication Date
ES2393501A1 true ES2393501A1 (es) 2012-12-21
ES2393501B1 ES2393501B1 (es) 2013-11-11

Family

ID=44510918

Family Applications (2)

Application Number Title Priority Date Filing Date
ES201031320A Withdrawn - After Issue ES2393501B1 (es) 2010-09-03 2010-09-03 Método y sistema para clasificación de tráfico.
ES11748600.1T Active ES2560109T3 (es) 2010-09-03 2011-07-18 Procedimiento y sistema de clasificación de tráfico

Family Applications After (1)

Application Number Title Priority Date Filing Date
ES11748600.1T Active ES2560109T3 (es) 2010-09-03 2011-07-18 Procedimiento y sistema de clasificación de tráfico

Country Status (6)

Country Link
US (1) US20130269033A1 (es)
EP (1) EP2612481B1 (es)
BR (1) BR112013005228A2 (es)
CL (1) CL2013000602A1 (es)
ES (2) ES2393501B1 (es)
WO (1) WO2012028375A2 (es)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600258A (zh) * 2018-05-09 2018-09-28 华东师范大学 一种面向综合电子系统自生成白名单的安全审计方法

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2833594A1 (en) * 2013-07-31 2015-02-04 Siemens Aktiengesellschaft Feature based three stage neural networks intrusion detection method and system
TW201505411A (zh) 2013-07-31 2015-02-01 Ibm 用於規則式安全防護設備之規則解譯方法及設備
US9491189B2 (en) * 2013-08-26 2016-11-08 Guardicore Ltd. Revival and redirection of blocked connections for intention inspection in computer networks
US9491190B2 (en) 2013-12-26 2016-11-08 Guardicore Ltd. Dynamic selection of network traffic for file extraction shellcode detection
US9769189B2 (en) * 2014-02-21 2017-09-19 Verisign, Inc. Systems and methods for behavior-based automated malware analysis and classification
US9680797B2 (en) 2014-05-28 2017-06-13 Oracle International Corporation Deep packet inspection (DPI) of network packets for keywords of a vocabulary
US9667637B2 (en) 2014-06-09 2017-05-30 Guardicore Ltd. Network-based detection of authentication failures
US10089467B1 (en) * 2017-05-23 2018-10-02 Malwarebytes Inc. Static anomaly-based detection of malware files
US10785236B2 (en) * 2017-10-04 2020-09-22 Palo Alto Networks, Inc. Generation of malware traffic signatures using natural language processing by a neural network
CN109522454B (zh) * 2018-11-20 2022-06-03 四川长虹电器股份有限公司 自动生成web样本数据的方法
CN109743286A (zh) * 2018-11-29 2019-05-10 武汉极意网络科技有限公司 一种基于图卷积神经网络的ip类型标记方法及设备
TWI783229B (zh) * 2020-05-22 2022-11-11 國立臺灣大學 網路異常流量偵測裝置及網路異常流量偵測方法
CN112839024B (zh) * 2020-11-05 2023-03-24 北京工业大学 一种基于多尺度特征注意力的网络流量分类方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004012063A2 (en) * 2002-07-30 2004-02-05 Asgard Holding, Llc Intrusion detection system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
FI106417B (fi) * 1998-12-08 2001-01-31 Nokia Mobile Phones Ltd Menetelmä tiedonsiirron optimoimiseksi
US6691168B1 (en) * 1998-12-31 2004-02-10 Pmc-Sierra Method and apparatus for high-speed network rule processing
US6567408B1 (en) * 1999-02-01 2003-05-20 Redback Networks Inc. Methods and apparatus for packet classification with multi-level data structure
US20020103925A1 (en) * 2000-12-06 2002-08-01 Sheth Siddharth C. Generic programmable internet protocol classification technique for a broadband engine
US7447209B2 (en) * 2004-03-09 2008-11-04 The University Of North Carolina Methods, systems, and computer program products for modeling and simulating application-level traffic characteristics in a network based on transport and network layer header information
US8027330B2 (en) * 2004-06-23 2011-09-27 Qualcomm Incorporated Efficient classification of network packets
SE532426C2 (sv) * 2008-05-26 2010-01-19 Oricane Ab Metod för datapaketklassificering i ett datakommunikationsnät

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004012063A2 (en) * 2002-07-30 2004-02-05 Asgard Holding, Llc Intrusion detection system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600258A (zh) * 2018-05-09 2018-09-28 华东师范大学 一种面向综合电子系统自生成白名单的安全审计方法

Also Published As

Publication number Publication date
EP2612481B1 (en) 2015-10-21
ES2560109T3 (es) 2016-02-17
WO2012028375A2 (en) 2012-03-08
ES2393501B1 (es) 2013-11-11
BR112013005228A2 (pt) 2016-05-03
EP2612481A2 (en) 2013-07-10
WO2012028375A3 (en) 2012-07-05
CL2013000602A1 (es) 2013-12-06
US20130269033A1 (en) 2013-10-10

Similar Documents

Publication Publication Date Title
ES2393501B1 (es) Método y sistema para clasificación de tráfico.
JP7219380B2 (ja) マルウェアホストネットフロー分析システム及び方法
ES2577143T3 (es) Método y sistema para detectar software malintencionado
Portokalidis et al. Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots
CN105141604A (zh) 一种基于可信业务流的网络安全威胁检测方法及系统
WO2013184206A2 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
Akbar et al. Intrusion detection system methodologies based on data analysis
Beg et al. Feasibility of intrusion detection system with high performance computing: A survey
JP6780838B2 (ja) 通信制御装置及び課金方法
Lockwood et al. Application of hardware accelerated extensible network nodes for internet worm and virus protection
Yong et al. Understanding botnet: From mathematical modelling to integrated detection and mitigation framework
Alrubaiei et al. Internet of Things in Cyber Security Scope
Sharma et al. Cyber attacks on intrusion detection system
Silva et al. A cooperative approach with improved performance for a global intrusion detection systems for internet service providers
Divya et al. Malicious Traffic detection and containment based on connection attempt failures using kernelized ELM with automated worm containment algorithm
Portokalidis et al. SweetBait: Zero-hour worm detection and containment using honeypots
Mihret Intrusion Detection System-IDS
Vardhan et al. Intelligent Fortification of Agricultural Data Integrity
Movva et al. Intelligent IDS: Venus Fly-Trap Optimization with Honeypot Approach for Intrusion Detection and Prevention
CA3083759A1 (en) Methods and systems for protecting computer networks by modulating defenses
Grant Distributed detection and response for the mitigation of distributed denial of service attacks
Tolle et al. Impact of sanitized message flows in a cooperative intrusion warning system
Dahiya et al. FIDSM: Fuzzy based Intrusion Detection Systems in Mobile Ad Hoc Networks
Agrawal et al. Proposed multi-layers intrusion detection system (MLIDS) model
Logeswari et al. Designing a SDN-Based Intrusion Detection and Mitigation System Using Machine Learning Techniques

Legal Events

Date Code Title Description
FG2A Definitive protection

Ref document number: 2393501

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20131111

FA2A Application withdrawn

Effective date: 20140320