Clasificación de ataques DoS con el empleo de una red neuronal

Abstract

Con la proliferación de atacantes cuyo objetivo son los sistemas IoT que han surgido con la digitalización de la sociedad, el campo de la Ciberseguridad se ha convertido en uno de los objetivos de investigación más demandados. Sin embargo, este campo aún es incapaz de hacer frente al número de brechas en la seguridad de estos sistemas, que sigue creciendo día a día. La mayoría de estos ataques se basan en la búsqueda del acceso ilícito a la información sensible, o el intento de dañar o inhabilitar el sistema temporalmente. Estos últimos ataques, también llamados ataques de denegación de servicio (DoS), son los que vamos a tratar en este proyecto. La gran mayoría de los ataques a los sistemas IoT son variantes de ataques ya conocidos y de los cuales disponemos una solución. Aunque esto parezca ser una ventaja, las soluciones tradicionales que aporta el campo de la Ciberseguridad a estos ataques son insuficientes, con grandes problemas a la hora de determinar estas varianzas, y con la necesidad de incorporar nuevos protocolos por cada ataque identificado. Por otra parte, se ha observado un gran efectividad del campo de la inteligencia artificial, en concreto del Machine y Deep Learning, en la minería de datos cuya dificultad reside en la detección de varianzas en los datos, su interpretación y su actuación acorde a estos. Este es el motivo principal por el que el campo de la Ciberseguridad está mostrando en los últimos años un gran interés por estas dos técnicas. Este Proyecto de Fin de Grado aborda el estudio y análisis de las redes neuronales, presentes en los campos de Machine y Deep Learning, para abordar el problema de la detección de las varianzas del tráfico en la red de los sistemas IoT. Estas varianzas facilitarán una correcta y automática detección de los ataques de denegación de servicio y sus variantes. En este contexto, este Proyecto lleva a cabo un análisis exhaustivo de las características que ayudarán a reconocer un ataque de denegación de servicio. Dicho análisis ofrece una perspectiva práctica sobre la detección por medio de redes neuronales de dichos ataques, siendo estos mezclados con tráfico normal y otros tipos de ataques en un paquete de datos. Para lograr este objetivo, este Proyecto se divide en dos partes. La primera, en la que se realiza la búsqueda de un conjunto de datos (dataset) que incluya diferentes ataques DoS junto a tráfico no anómalo, y donde se realiza un análisis distinguiendo el tráfico que pertenece a un ataque y al que no, junto con características habituales de cada uno. La segunda, donde se realiza una red neuronal cuya función sea clasificar el tráfico de red en ataques y no ataques, dadas las características obtenidas en la primera fase. En este contexto, se han podido extraer diversas conclusiones al respecto, derivadas de éstos resultados y de las métricas de calidad aplicadas sobre cada uno de los algoritmos estudiados. Finalmente, se exponen las reflexiones que se deducen de cada uno de los experimentos realizados tanto a nivel particular como general. Abstract: The goal of this Final Project is the study and analyse of a dataset containing licit network traffic mixed with DoS attacks, with the aim of extract a set of variables suitable for the training of a classifying neural network. The purpose is to develop a neural network model capable of predict if a window of time contains a network packet belonging to a DoS attack, with precision enough to be used in a real scenario. The develop of this project is structured as follows: The first work block is focus on the theorical background, where it is make an introduction of the study field. The second work block is the State of the Art, where the different techniques and algorithms are presented. The third work block states the develop environment for the different test and tools are used. The forth work block describes the tests developed and the results are showed. The last work block of this Final Project are the conclusions we get from the last section. After the carrying out the different tests and in view of the results, we can conclude that, although predictability depends in part on the configuration of the neural network model (obtaining the best results with a few hundred neurons in the hidden layers), optimal results can't be obtained without the appropriate selection of variables. These variables not only depend on the developer's analysis capacity, but also on the characteristics of the dataset and the similarity of the licit traffic it contains with DoS attacks.