ES2958736T3 - Procedimiento de detección y filtrado de flujos ilegítimos en una red de comunicación por satélite - Google Patents
Procedimiento de detección y filtrado de flujos ilegítimos en una red de comunicación por satélite Download PDFInfo
- Publication number
- ES2958736T3 ES2958736T3 ES19197079T ES19197079T ES2958736T3 ES 2958736 T3 ES2958736 T3 ES 2958736T3 ES 19197079 T ES19197079 T ES 19197079T ES 19197079 T ES19197079 T ES 19197079T ES 2958736 T3 ES2958736 T3 ES 2958736T3
- Authority
- ES
- Spain
- Prior art keywords
- communication
- flow
- illegitimate
- satellite
- detecting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000001914 filtration Methods 0.000 title claims abstract description 27
- 238000007635 classification algorithm Methods 0.000 claims abstract description 23
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 description 8
- 238000004140 cleaning Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000007476 Maximum Likelihood Methods 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 229920006395 saturated elastomer Polymers 0.000 description 1
- 238000009738 saturating Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/1851—Systems using a satellite or space-based relay
- H04B7/18517—Transmission equipment in earth stations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Aviation & Aerospace Engineering (AREA)
- Astronomy & Astrophysics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Radio Relay Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Método para detectar y filtrar flujos de comunicación ilegítimos en una red de comunicación por satélite, siendo ejecutado el método por una estación de puerta de enlace por satélite capaz de establecer un enlace de comunicación entre un satélite y una red de acceso y que comprende los pasos de: - Recibir (401) un flujo de comunicación desde el satélite, - determinar (402) un conjunto de características del flujo de comunicación que forman una firma del flujo, - aplicar (403) al menos un algoritmo de clasificación para clasificar la firma en un conjunto de firmas legítimas o en un conjunto de firmas ilegítimas firmas, - Si la firma está clasificada en el conjunto de firmas ilegítimas, filtrar (405) el flujo de comunicación, en caso contrario transmitir (404) el flujo de comunicación a la red de acceso. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Procedimiento de detección y filtrado de flujos ilegítimos en una red de comunicación por satélite
La invención se refiere al campo de las redes de comunicación por satélite y, más precisamente, al de la protección de unas redes de este tipo contra ataques de usuarios malintencionados que generan y transmiten flujos de comunicaciones ilegítimos con la finalidad de alterar el funcionamiento de la red. La invención se refiere, en particular, a las redes de comunicación satelitales entre terminales y una red de acceso, por ejemplo, la red de acceso a Internet.
La invención tiene como objeto un procedimiento de detección y filtrado de flujos ilegítimos en una red de comunicación por satélite, así como una estación satelital que implementa este procedimiento.
El contexto de la invención es el de las redes de comunicación que permiten a terminales de usuario acceder a una red de acceso mediante un enlace de satélite. La red de acceso es, por ejemplo, la red Internet. Los terminales de usuario están, por ejemplo, embarcados en aeronaves o drones. En un contexto de este tipo, usuarios malintencionados pueden tomar el control de terminales, con el fin de generar flujos de comunicación ilegítimos que llegan a alterar el funcionamiento global de la red. Por flujo de comunicación ilegítimo, se entiende, en el presente documento, un flujo de comunicación generado por un usuario malintencionado con la sola finalidad de degradar el servicio prestado a los otros usuarios, por ejemplo, saturando el ancho de banda de la red. Un usuario que dispone de un acceso a varios terminales puede, por ejemplo, generar una gran cantidad de flujos de comunicación que van a consumir una gran parte del caudal disponible y a saturar las pasarelas de acceso a la red. Haciendo esto, los usuarios legítimos de la red son penalizados. En particular, ataques por denegación de servicio distribuido o "DDoS" para "Distributed Denial of Service" en inglés pueden provocar un fenómeno de embudo al nivel de ciertos puntos de concentración situados en la interfaz entre los enlaces de satélite y la red de acceso. Los equipos en cuestión se saturan y, entonces, son posibles pérdidas de datos para los usuarios legítimos.
Las soluciones existentes utilizan un equipo remoto de limpieza de los flujos de comunicación, también llamado "scrubbing center" en inglés. Cuando se detecta un fenómeno anormal, todos los flujos de comunicación recibidos al nivel de un punto de concentración del tráfico se transmiten a este equipo que se encarga de analizarlo y de filtrar los flujos ilegítimos. La detección de un ataque de denegación de servicio se basa, lo más a menudo, en una observación de las consecuencias visibles del ataque, por ejemplo, cuando el sistema está alterado o es inalcanzable, paquetes de datos se pierden o el caudal del tráfico es anormalmente elevado.
Estas soluciones presentan varios inconvenientes. En primer lugar, no permiten anticipar un ataque, puesto que la intervención del equipo de limpieza no llega más que después de haber detectado un mal funcionamiento del sistema. Por lo tanto, el sistema está inoperativo durante la duración de la detección del ataque, de la transmisión de los flujos al equipo de limpieza y del filtrado de los flujos ilegítimos.
Otro inconveniente de un sistema de este tipo es que el equipo de limpieza está gestionado, lo más a menudo, legalmente por una entidad tercera y está remoto del punto de acceso a la red terrestre. En efecto, este equipo está gestionado por un proveedor de servicio que proporciona este servicio a varios operadores distintos. Por lo tanto, el posicionamiento del equipo de limpieza no es dominable. La transmisión de los flujos corruptos a este equipo genera problemas de demora que alargan también la duración durante la que el sistema está fuera de servicio o degradado.
Por otro lado, cuando se genera un gran número de flujos ilegítimos, una congestión del tráfico siempre puede tener lugar en el enlace de comunicación hacia el equipo de limpieza. Por lo demás, este enlace de comunicación necesita una infraestructura que presenta un coste de fabricación y que no se utiliza más que para transmitir flujos ilegítimos que no son útiles para los usuarios del sistema.
Por otro lado, se conocen las soluciones descritas en las solicitudes de patente de los Estados Unidos US 2008/133518 y US 2008/146219.
En vista de todos estos inconvenientes, existe una necesidad de una solución más eficiente que permita detectar y filtrar los flujos de comunicación ilegítimos minimizando la duración durante la que el sistema está inoperativo y sin necesitar infraestructura de comunicación suplementaria.
La invención propone un método de detección y filtrado de flujo de comunicación ilegítimo que se implementa directamente en una estación satelital de pasarela y que permite detectar automáticamente si un flujo que llega al nivel de la pasarela es legítimo o no.
De este modo, la invención permite actuar lo antes posible en la cadena de transmisión para detectar y filtrar los flujos ilegítimos antes de que saturen un equipo situado en un punto de concentración del sistema. De esta forma, no es necesario esperar a que el sistema se haga inoperativo para detectar un ataque por denegación de servicio. De este modo, la invención permite asegurar una continuidad de servicio incluso durante un ataque de este tipo. Por otro lado, no necesita equipo de limpieza suplementario ni infraestructura de comunicación dedicada. Igualmente, la implementación de la invención en cada estación de pasarela permite intervenir en un nivel del sistema donde el volumen de los flujos es menos importante y la saturación del ancho de banda todavía no se ha alcanzado.
La invención tiene como objeto un procedimiento, una estación satelital y una red de comunicación como se define en las reivindicaciones 1, 10 y 11, respectivamente. Modos de realización más específicos se definen en las reivindicaciones dependientes.
Según un aspecto particular, el procedimiento según la invención comprende para cada nuevo paquete de datos recibido, la asociación del paquete a una firma de flujo.
Según un aspecto particular de la invención, el conjunto de firmas legítimas y el conjunto de firmas ilegítimas se predeterminan a partir de observacionesa priori.
Según un aspecto particular de la invención, una firma ilegítima corresponde a un flujo de comunicación que presenta un primer perfil de variación dado de al menos una de sus características durante un primer período dado, luego, un segundo perfil de variación diferente del primer perfil de variación, de la al menos una característica durante un segundo período dado.
Según un aspecto particular de la invención, las características determinadas son características primarias extraídas del flujo de comunicación de entre la dirección de origen del flujo de comunicación, la dirección de destino del flujo de comunicación, la versión de protocolo del flujo de comunicación, el número de puerto del flujo de comunicación.
Según un aspecto particular de la invención, las características primarias se extraen de al menos un campo de encabezado de los paquetes de datos recibidos.
Según un aspecto particular de la invención, las características determinadas son características secundarias medidas en los paquetes de datos de un flujo de comunicación, de entre el número de paquetes de datos transmitidos por el flujo de comunicación, la duración del flujo de comunicación, el tamaño máximo de un paquete del flujo de comunicación, el tamaño mínimo de un paquete del flujo de comunicación, la duración promedio entre dos paquetes sucesivos transmitidos por el flujo de comunicación.
Según un aspecto particular, el procedimiento según la invención comprende la etapa de aplicar varios algoritmos de clasificación distintos y de clasificar la firma en un conjunto de firmas legítimas si uno al menos de dichos algoritmos de clasificación clasifica la firma en un conjunto de firmas legítimas.
Según un aspecto particular de la invención, el algoritmo de clasificación se elige de entre un algoritmo de los kvecinos, un algoritmo de clasificación bayesiana ingenua, un algoritmo de los mínimos cuadrados.
La invención también tiene como objeto una estación satelital para establecer un enlace de comunicación entre un satélite y una red de acceso, que comprende un equipo de detección y filtrado de flujos de comunicación ilegítimos configurado para ejecutar las etapas del procedimiento de detección y filtrado de flujos de comunicación ilegítimos según uno cualquiera de los modos de realización de la invención.
Otras características y ventajas de la presente invención aparecerán mejor a la lectura de la descripción que sigue en relación con los dibujos adjuntos que representan:
- La figura 1, un esquema de un sistema de comunicación por satélite según la técnica anterior,
- La figura 2, un esquema de un sistema de comunicación por satélite según la invención,
- La figura 3, un esquema de una estación de pasarela según la invención,
- La figura 4, un diagrama de flujo que describe las etapas de un procedimiento de detección y filtrado de flujos ilegítimos según la invención.
La figura 1 ilustra, en un esquema, un sistema de comunicación por satélite según la técnica anterior en el que varios terminales TER, AER, que pueden estar en tierra o embarcados en una aeronave o en un dron, acceden a una red pública, por ejemplo, la red Internet, mediante un enlace de satélite SAT. Varias estaciones de pasarela GW aseguran la interfaz entre el enlace de satélite y la red Internet. Un equipo PoP se posiciona entre las estaciones de pasarela GW y la red Internet para centralizar los flujos de comunicaciones e interconectar varias redes pertenecientes a diferentes operadores de satélite. El sistema comprende uno o varios satélites geoestacionarios SAT o una constelación de satélites en órbita baja.
Un sistema de este tipo puede ser objeto de ataques que provienen de un usuario malintencionado AT que genera flujos de comunicación ilegítimos desde uno o varios terminales. Estos flujos de comunicación ilegítimos están agregados por las diferentes estaciones de pasarela GW y pueden conllevar rápidamente una saturación de la capacidad del equipo de interconexión PoP. Los flujos de comunicación legítimos se pueden perder, entonces, ya que el equipo PoP ya no está en condiciones de recibir y procesar todos los flujos.
Este tipo de ataque se conoce, en concreto, con el nombre de ataque por denegación de servicio. Consiste, por ejemplo, en generar de forma sincrónica, un gran número de flujos de comunicación que respetan los protocolos de la red, pero que tienen un caudal o una frecuencia anormalmente elevada para considerarse como solicitudes legítimas de usuarios del sistema.
Una solución existente para responder a unos ataques de este tipo consiste, cuando se detecta la saturación del equipo PoP, en transmitir los flujos de comunicación hacia un equipo de limpieza SC que se encarga de filtrar los flujos ilegítimos y retransmitir al equipo PoP los flujos legítimos.
Esta solución presenta los inconvenientes discutidos anteriormente.
La figura 2 representa, en un esquema, un sistema de comunicaciones por satélite que consta de una función de detección y filtrado de flujos ilegítimos, según la invención.
En un sistema de este tipo, se suprime el equipo remoto de limpieza SC y se implementa directamente una función de detección y filtrado de flujos ilegítimos en cada estación de pasarela GW.
La figura 3 esquematiza un ejemplo de realización de una estación de pasarela GW según la invención. La estación GW comprende todos los equipos necesarios para realizar la recepción y la emisión de señales en un enlace tierrasatélite, pero también todos los equipos necesarios para transmitir y recibir datos desde la red Internet y establecer la interfaz de esta red. Por ejemplo, la estación GW puede comprender un controlador de asignación de recursos CAR para el enlace tierra-satélite y un controlador de red de radio CRR para gestionar la interfaz con la red de acceso Internet. La estación GW comprende, por otro lado, un demodulador DEMOD para demodular las señales recibidas en el enlace de satélite, un detector DET de tráfico ilegítimo de entre las señales demoduladas, un filtro FIL para filtrar el tráfico ilegítimo detectado y un modulador MOD para modular las señales legítimas con vistas a transmitirlas hacia la red de acceso. El detector DET y el filtro FIL ponen en práctica el procedimiento descrito en la figura 4.
Por otro lado, diferentes estaciones GW pueden comunicarse entre sí para intercambiar información con vistas a mejorar el funcionamiento del módulo de detección de flujos ilegítimos.
La figura 4 representa las etapas principales de un procedimiento de detección y filtrado de flujos de comunicación ilegítimos puesto en práctica en una estación de pasarela GW, según la invención.
El procedimiento comienza por una etapa de recepción 401 de flujos de comunicación que provienen del enlace entre un satélite SAT y una estación de pasarela GW. Un flujo de comunicación se compone de un conjunto de paquetes de datos que comparten una o varias característica(s) idéntica(s) denominada(s) característica(s) primaria(s). Estas características primarias comprenden, en concreto, el tipo de protocolo de red utilizado o la versión del protocolo (IPv4 o IPv6, por ejemplo), las direcciones de origen y destino de los paquetes, el número de puerto del protocolo de transporte o, más generalmente, los valores de ciertos campos de encabezado de red de los paquetes. De forma general, el valor de las características primarias puede leerse en un paquete de datos o derivarse directamente a partir de información contenida en este paquete. Las características primarias permiten identificar a qué flujo pertenece un paquete recibido.
Otras características denominadas secundarias se definen y asocian, igualmente, a un flujo de comunicación recibido. Estas características secundarias se determinan a partir de mediciones realizadas en el flujo de comunicación. Se trata de parámetros medidos en un flujo de comunicación ya identificado. Estas características secundarias comprenden, en concreto, la duración total del flujo de comunicación, la duración promedio de transmisión de un paquete, el tamaño promedio de un paquete, los tamaños máximo y mínimo de un paquete, el caudal de transmisión del flujo o la duración del intervalo entre dos paquetes que es inversamente proporcional al caudal de transmisión del flujo con un factor de aproximación que depende del tamaño de los paquetes del flujo y, más generalmente, la variación de este caudal o el perfil de variación en frecuencia de este caudal.
La lista de las características primarias y secundarias dada no es exhaustiva y puede complementarse por cualquier característica que permita identificar un flujo de comunicación o cualquier característica derivada de mediciones en este flujo de comunicación.
Para cada flujo de comunicación recibido, se extrae o se mide 402 un conjunto de características primarias y/o secundarias del flujo para formar una firma. Una firma es un conjunto de valores que se pueden asociar a un flujo de comunicación o a varios flujos de comunicaciones. Una firma comprende un conjunto de características primarias y/o secundarias y se define por los valores de estas características para un flujo dado o bien por un rango de valores de estas características que permiten definir varios flujos. De este modo, a cada flujo de comunicación está asociada una firma y varios flujos diferentes pueden estar asociados a la misma firma.
Un ejemplo de firma se da por el conjunto de las siguientes características {versión o tipo de protocolo IP, número total de paquetes del flujo, duración total del flujo, dirección de origen, dirección de destino, tamaño máximo de un paquete, tamaño mínimo de un paquete, tiempo promedio entre la recepción de dos paquetes consecutivos}.
Más precisamente, en cada nuevo paquete de datos recibido, se determinan sus características primarias. Si estas corresponden a una firma de un flujo ya identificado, el nuevo paquete pertenece a este flujo y se le socia esta firma. Si se trata de una firma nueva, corresponde a un flujo nuevo.
A continuación, se miden o se actualizan las características secundarias de la firma a partir de mediciones en el paquete recibido. Por ejemplo, se mide el tamaño del paquete y el tiempo entre la recepción del paquete y del paquete anterior. Cabe señalar que ciertas características secundarias como, por ejemplo, el tamaño promedio de un paquete o el tiempo promedio entre la recepción de dos paquetes necesitan recibir un cierto número de paquetes del mismo flujo antes de poder calcular el valor de la característica.
El procedimiento continúa, a continuación, con una etapa de clasificación 403 ejecutada para cada flujo identificado y asociado a una firma. La clasificación 403 de un flujo consiste en clasificar el flujo ya sea en un conjunto de flujos legítimos, ya sea en un conjunto de flujos ilegítimos. Si el flujo se clasifica como que es un flujo legítimo, los paquetes de datos del flujo se transmiten 404 hacia la red de acceso. En el caso contrario, se filtran 405, es decir, que se suprimen y no se transmiten a la red de acceso.
El proceso de clasificación 403 se describe en este momento. Inicialmente, se dispone de dos conjuntos de firmas S_l y S_i que caracterizan respectivamente los flujos legítimos (S_l) e ilegítimos (S_i).
Estos dos conjuntos se determinana prioriy constituyen parámetros de entradas del procedimiento según la invención. Se pueden determinar, por ejemplo, analizando flujos de comunicación generados y dominados, luego, transmitidos en la red, constituyendo estos flujos de comunicación flujos legítimos y permitiendo definir el primer conjunto de firmas S_I. De la misma forma, se pueden generar flujos ilegítimos que simulan un ataque por denegación de servicio para permitir definir el segundo conjunto S_i.
Un flujo ilegítimo es, por ejemplo, un flujo cuya una característica secundaria difiere fuertemente del promedio observado para flujos legítimos. Por ejemplo, puede tratarse de un flujo que incluye paquetes que tienen un tamaño promedio muy elevado o un tiempo promedio entre paquetes muy escaso o también un flujo que presenta un perfil de variación de caudal particular, por ejemplo, una frecuencia de transmisión de paquetes muy elevada durante una duración fija o según una transmisión periódica.
Otro ejemplo de flujo ilegítimo es un flujo cuyas ciertas características primarias y/o secundarias son constantes durante un primer período dado, luego, fuertemente variables durante un segundo período.
En particular, un flujo cuya duración entre paquetes consecutivos está reducida significativamente después de haber sido constante durante una duración dada es susceptible de ser ilegítimo. Asimismo, un flujo cuyo tamaño promedio de los paquetes aumenta significativamente después de haber sido constante durante una duración dada es susceptible de ser ilegítimo.
Inversamente, otro ejemplo de flujo ilegítimo es un flujo cuyas ciertas características son fuertemente variables durante una primera duración dada, por ejemplo, aleatoriamente variables, luego, se vuelven constantes durante una segunda duración. Por ejemplo, un flujo de este tipo puede presentar una duración entre paquetes aleatoria y/o un tamaño de paquetes fuertemente variable durante una primera duración, luego, de manera repentina, una u otra de estas características (o las dos al mismo tiempo) se vuelve constante.
De manera general, un flujo ilegítimo puede caracterizarse como que es un flujo que presenta un primer perfil de variación dado de ciertas características durante un primer período dado, luego, un segundo perfil de variación diferente del primer perfil de variación, para las mismas características durante un segundo período dado.
Los dos conjuntos de firmas S_I y S_i se utilizan, a continuación, para parametrizar al menos un algoritmo de clasificación de entre los siguientes tres algoritmos.
Un primer algoritmo de clasificación posible es el algoritmo de los k-vecinos descrito, en concreto, en la referencia [1]. Utiliza los dos conjuntos S_l y S_i como datos de entrenamiento. El método de los k-vecinos consiste en clasificar cualquier flujo recibido e identificado en base a su similitud con los ejemplos de los dos conjuntos de aprendizaje S_l y S_i, según una métrica que es, por ejemplo, la distancia euclidiana o cualquier otra distancia apropiada.
Un segundo algoritmo de clasificación posible es el algoritmo de clasificación bayesiana ingenua que utiliza los dos conjuntos S_l y S_i para ejecutar una fase de aprendizaje. Este segundo algoritmo se describe en la referencia [2]. Consiste en calcular para cualquier flujo recibido e identificado por su firma, un máximo de verosimilitud, es decir, una probabilidad de pertenencia de este flujo a uno de los dos conjuntos S_I y S_i.
Un tercer algoritmo de clasificación posible es un algoritmo de clasificación lineal que utiliza un método de los mínimos cuadrados. Este tercer algoritmo se describe en la referencia [3] y consiste en determinar un hiperplano promedio que caracteriza una segmentación del espacio de las firmas en dos conjuntos disjuntos. No siendo trivial la determinación de un óptimo global sobre un hiperplano, el hiperplano determinado de este modo puede transformarse en uno convexo, en el que la determinación del óptimo está garantizada por un procedimiento que implica una función inyectiva. Por lo tanto, la eficiencia del proceso de clasificación se ve mejorada por la aplicación de la transformación anteriormente mencionada.
De forma general, el experto en la materia puede considerar otros algoritmos de clasificación. El concepto general común de estos algoritmos consiste, para cada firma asociada a un nuevo flujo identificado, en buscar a cuál de los dos conjuntos S_I o S_i, pertenece esta firma, basándose en criterios de similitud, de probabilidad de pertenencia o de proximidad.
En un modo de realización particular de la invención, todos los algoritmos de clasificación disponibles (por ejemplo, los tres algoritmos descritos más arriba) se ejecutan en paralelo o uno después del otro, para cada flujo identificado. Si al menos uno de los algoritmos de clasificación clasifica la firma del flujo identificado en el conjunto de las firmas legítimas S_I, entonces, el flujo identificado se considera como que es un flujo legítimo y se transmite 404 a la red de acceso. En efecto, hay más riesgo de clasificar como ilegítimo un flujo legítimo (riesgo de falso positivo), que de clasificar como legítimo un flujo ilegítimo (riesgo de falso negativo). Es preferible transmitir un flujo ilegítimo a la red, en lugar de bloquear erróneamente un flujo legítimo. De este modo, se prefiere una tasa de falso positivo escasa en detrimento de la tasa de falso negativo. Un flujo se clasifica como que es ilegítimo si y solamente si el conjunto de los algoritmos lo clasifica como tal. En este caso, el flujo se filtra 405, es decir, que la estación de pasarela GW no continúa los procesamientos sobre este flujo y bloquea todos los nuevos paquetes de datos recibidos que se identifican como pertenecientes a este flujo.
En otro modo de realización, como complemento de esta fase de clasificación 403 que se efectúa localmente dentro de cada una de las estaciones de pasarela GW, los datos recopilados por los diferentes algoritmos de clasificación se utilizan para una actualización de cada uno de los algoritmos de clasificación en cada estación de pasarela GW. Esta actualización se efectúa utilizando técnicas de aprendizaje por refuerzo. En este modo de realización, un equipo remoto recibe los datos recopilados por los algoritmos de clasificación y produce, a intervalo regular, información que se refiere a la fiabilidad de las decisiones de clasificación operadas en el pasado. La generación de esta información se puede efectuar de forma automática a partir de flujos generados específicamente con la finalidad de validar el funcionamiento global del procedimiento de clasificación. También puede efectuarse por un operador analizando las decisiones pasadas de los algoritmos de clasificación.
El procedimiento según la invención utiliza estos datos, con el fin de actualizar los conjuntos de firmas S_i y S_I y, eventualmente, de ejecutar una moderación de los logros del aprendizaje obtenido en el transcurso de las fases anteriores de aprendizaje para cada uno de los algoritmos de clasificación. La herramienta de clasificación 403 se actualiza, de este modo, dinámicamente en función de los éxitos o de los fracasos, es decir, si ha clasificado correctamente o no los flujos. Esta agregación de los datos es global para todas las estaciones de pasarela y, por lo tanto, los parámetros se actualizan en todas las pasarelas.
Referencias
[1] O Duda, Richard y E. Hart, Peter y G. Stork, David. "Pattern classification". Wiley interscience, (2001).
[2] Manning, C., Raghavan, P., y Schütze, H. (2008). "Text classification and Naive Bayes. In Introduction to Information Retrieval (pp. 234-265). Cambridge: Cambridge University Press".
[3] R. Rifkin, G. Yeo, T. Poggio, "Regularized least-squares classification", Nato Sci. Ser. Sub Ser. III.
Claims (11)
1. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos en una red de comunicación por satélite que comprende una pluralidad de terminales (TER, AER) adecuados para comunicarse con una red de acceso mediante un enlace de satélite, comprendiendo la red varias estaciones satelitales de pasarela (GW) que aseguran la interfaz entre el enlace de satélite y la red de acceso y un equipo de interconexión (PoP) posicionado entre las estaciones de pasarela (GW) y la red de acceso para centralizar los flujos de comunicaciones e interconectar varias redes pertenecientes a diferentes operadores de satélite, estando el procedimiento ejecutado por dichas estaciones satelitales de pasarela y comprendiendo las etapas de:
- Recibir (401) un flujo de comunicación que proviene del satélite,
- Determinar (402) un conjunto de características del flujo de comunicación que forman una firma del flujo, - Aplicar (403) al menos un algoritmo de clasificación para clasificar la firma en un conjunto de firmas legítimas o en un conjunto de firmas ilegítimas,
- Si la firma se clasifica en el conjunto de firmas ilegítimas, filtrar (405) el flujo de comunicación, si no, transmitir (404) el flujo de comunicación a la red de acceso mediante el equipo de interconexión (PoP).
2. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según la reivindicación 1, que comprende, para cada nuevo paquete de datos recibido, la asociación del paquete a una firma de flujo.
3. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una de las reivindicaciones anteriores, en el que el conjunto de firmas legítimas y el conjunto de firmas ilegítimas se predeterminan a partir de observacionesa priori.
4. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una de las reivindicaciones anteriores, en el que una firma ilegítima corresponde a un flujo de comunicación que presenta un primer perfil de variación dado de al menos una de sus características durante un primer período dado, luego, un segundo perfil de variación diferente del primer perfil de variación, de la al menos una característica durante un segundo período dado.
5. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una de las reivindicaciones anteriores, en el que las características determinadas son características primarias extraídas del flujo de comunicación de entre la dirección de origen del flujo de comunicación, la dirección de destino del flujo de comunicación, la versión de protocolo del flujo de comunicación, el número de puerto del flujo de comunicación.
6. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según la reivindicación 5, en el que las características primarias se extraen de al menos un campo de encabezado de los paquetes de datos recibidos.
7. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una de las reivindicaciones anteriores, en el que las características determinadas son características secundarias medidas en los paquetes de datos de un flujo de comunicación, de entre el número de paquetes de datos transmitidos por el flujo de comunicación, la duración del flujo de comunicación, el tamaño máximo de un paquete del flujo de comunicación, el tamaño mínimo de un paquete del flujo de comunicación, la duración promedio entre dos paquetes sucesivos transmitidos por el flujo de comunicación.
8. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una de las reivindicaciones anteriores, que comprende la etapa de aplicar varios algoritmos de clasificación distintos y de clasificar la firma en un conjunto de firmas legítimas si uno al menos de dichos algoritmos de clasificación clasifica la firma en un conjunto de firmas legítimas.
9. Procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una de las reivindicaciones anteriores, en el que el algoritmo de clasificación se elige de entre un algoritmo de los k-vecinos, un algoritmo de clasificación bayesiana ingenua, un algoritmo de los mínimos cuadrados.
10. Estación satelital (GW) para establecer un enlace de comunicación entre un satélite y una red de acceso, que comprende un equipo de detección (DET) y filtrado (FIL) de flujos de comunicación ilegítimos configurado para ejecutar las etapas del procedimiento de detección y filtrado de flujos de comunicación ilegítimos según una cualquiera de las reivindicaciones anteriores.
11. Red de comunicación por satélite que comprende una pluralidad de terminales (TER, AER) adecuados para comunicarse con una red de acceso mediante un enlace de satélite, comprendiendo la red varias estaciones satelitales de pasarela (GW) según la reivindicación 10 que aseguran la interfaz entre el enlace de satélite y la red de acceso y un equipo de interconexión (PoP) posicionado entre las estaciones de pasarela (GW) y la red de acceso para centralizar los flujos de comunicaciones e interconectar varias redes pertenecientes a diferentes operadores de satélite.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1800987A FR3086481B1 (fr) | 2018-09-20 | 2018-09-20 | Procede de detection et filtrage de flux illegitimes dans un reseau de communication par satellite |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2958736T3 true ES2958736T3 (es) | 2024-02-14 |
Family
ID=65685385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES19197079T Active ES2958736T3 (es) | 2018-09-20 | 2019-09-12 | Procedimiento de detección y filtrado de flujos ilegítimos en una red de comunicación por satélite |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200100113A1 (es) |
| EP (1) | EP3627795B1 (es) |
| CA (1) | CA3055707A1 (es) |
| ES (1) | ES2958736T3 (es) |
| FR (1) | FR3086481B1 (es) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095931B (zh) * | 2022-01-24 | 2022-04-12 | 之江实验室 | 星地通信中基于稀疏轨迹时空特征的接入检测方法和装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US8539064B1 (en) * | 2005-09-13 | 2013-09-17 | Aruba Networks, Inc. | Analysis of encrypted streaming media traffic |
| US7760723B1 (en) * | 2006-06-01 | 2010-07-20 | World Wide Packets, Inc. | Relaying a data stream from a data device to a network tunnel |
| US7925255B2 (en) * | 2006-12-14 | 2011-04-12 | General Motors Llc | Satellite radio file broadcast method |
| WO2013177311A1 (en) * | 2012-05-23 | 2013-11-28 | Observable Networks, Llc | System and method for continuous device profiling (cdp) |
| US9749150B2 (en) * | 2012-09-17 | 2017-08-29 | Select Technologies Corporation Limited | Method and system for monitoring network communications |
| US10026090B2 (en) * | 2013-12-09 | 2018-07-17 | CrowdCare Corporation | System and method of creating and using a reference device profile |
| US9042911B1 (en) * | 2014-06-20 | 2015-05-26 | MTN Satellite Communications Inc. | Dynamically reconfigured geo-fence boundaries |
| US9800482B2 (en) * | 2015-04-29 | 2017-10-24 | Ixia | Signature-based latency extraction systems and related methods for network packet communications |
| US10672204B2 (en) * | 2017-11-15 | 2020-06-02 | The Boeing Company | Real time streaming analytics for flight data processing |
| US10986001B2 (en) * | 2018-01-25 | 2021-04-20 | Nokia Solutions And Networks Oy | System and method for quality of service detection of encrypted packet flows |
| US10951581B2 (en) * | 2018-08-17 | 2021-03-16 | Hughes Network Systems, Llc | Mitigation of attacks on satellite networks |
-
2018
- 2018-09-20 FR FR1800987A patent/FR3086481B1/fr active Active
-
2019
- 2019-09-12 ES ES19197079T patent/ES2958736T3/es active Active
- 2019-09-12 EP EP19197079.7A patent/EP3627795B1/fr active Active
- 2019-09-17 CA CA3055707A patent/CA3055707A1/en active Pending
- 2019-09-18 US US16/575,199 patent/US20200100113A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| FR3086481B1 (fr) | 2021-12-10 |
| EP3627795B1 (fr) | 2023-07-26 |
| FR3086481A1 (fr) | 2020-03-27 |
| EP3627795A1 (fr) | 2020-03-25 |
| CA3055707A1 (en) | 2020-03-20 |
| EP3627795C0 (fr) | 2023-07-26 |
| US20200100113A1 (en) | 2020-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11909760B2 (en) | Malware classification and attribution through server fingerprinting using server certificate data | |
| US11140187B2 (en) | Learning internal ranges from network traffic data to augment anomaly detection systems | |
| US10805338B2 (en) | Analyzing encrypted traffic behavior using contextual traffic data | |
| US10187413B2 (en) | Network-based approach for training supervised learning classifiers | |
| US11546262B2 (en) | Selective tracking of acknowledgments to improve network device buffer utilization and traffic shaping | |
| US10616267B2 (en) | Using repetitive behavioral patterns to detect malware | |
| US8813236B1 (en) | Detecting malicious endpoints using network connectivity and flow information | |
| US11005728B2 (en) | Designating a voting classifier using distributed learning machines | |
| US11283831B2 (en) | Dynamic device isolation in a network | |
| US11038900B2 (en) | Structural command and control detection of polymorphic malware | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| US11050663B2 (en) | Fast and loss-free local recovery by a RPL parent device | |
| US20130055383A1 (en) | Coordinated detection of a grey-hole attack in a communication network | |
| US20200036701A1 (en) | Detection of botnet hosts using global encryption data | |
| Ahamad et al. | Detection and defense mechanism against DDoS in MANET | |
| ES2958736T3 (es) | Procedimiento de detección y filtrado de flujos ilegítimos en una red de comunicación por satélite | |
| Abhishek et al. | Detecting RSU misbehavior in vehicular edge computing | |
| Thomas et al. | Secure link establishment method to prevent jelly fish attack in MANET | |
| Sophakan et al. | Securing openflow controller of software-defined networks using bayesian network | |
| Ali et al. | Secure and Efficient Routing Mechanism in Mobile Ad-Hoc Networks | |
| Bonnet et al. | Killing Nodes as a Countermeasure to Virus Expansion | |
| Indoria et al. | An Approach of Detecting Black Hole Attack in MANET using Modified TAODV Protocol | |
| Schneider | An efficient distributed packet filtering heuristic for defense against distributed denial of service attacks | |
| Attacks | Bandwidth Distributed Denial of Service |