Citation
Castro Turga, Julián
(2020).
Evaluación de la entropía como métrica para detección y clasificación de ataques en base al tráfico de red.
Proyecto Fin de Carrera / Trabajo Fin de Grado, E.T.S.I. Telecomunicación (UPM), Madrid.
Abstract
El papel de la ciberseguridad ha cobrado una gran importancia en los últimos años, encontrándose cada vez más un mayor número de anomalías en los flujos de tráfico relacionados con intentos de ataque. Asimismo, cada vez existen más herramientas para encontrar brechas y vulnerabilidades y al realizar ataques o búsqueda de objetivos para los mismos se pueden acabar produciendo dichas anomalías en el tráfico de red. El objetivo general de este Trabajo Fin de Grado es investigar la eficacia de la entropía como métrica para detectar ciertos ataques. Ya existen trabajos en la literatura que utilizan la entropía con este mismo propósito. Este trabajo fin de grado representa una revisión actualizada en tanto en cuanto se aplicará sobre nuevos conjuntos de datos. Concretamente, se considerará el dataset UGR’16, que incluye trazas de tráfico de fondo reales capturadas durante 4 meses en la red de un ISP español (conjunto de calibración), así como trazas de tráfico capturadas durante 2 meses que incluyen tráfico de fondo junto a tráfico generado sintéticamente correspondiente a ataques bien conocidos (conjunto de test). Al llevar a cabo este estudio con datos actualizados se pretende comprobar si la entropía sigue siendo una métrica apropiada para este tipo de aplicaciones, así como su efectividad frente a nuevas amenazas. Para conseguir este objetivo, se han llevado a cabo las siguientes tareas. En primer lugar, se ha analizado el dataset, identificándose los parámetros disponibles, el volumen de datos disponible y llevándose a cabo una validación y verificación preliminar (mediante representación gráfica). A continuación, se han seleccionado los ataques a considerar en el presente estudio, se ha adaptado el dataset para poder ser procesado y se ha definido el cálculo de las entropías consideradas. Posteriormente, se ha procedido a calcular la entropía en los períodos en los que no se producen ataques (conjunto de calibración), así como en los períodos en los que sí se producen ataques (conjunto de test). Por último, se han analizado y evaluado los resultados obtenidos, proponiéndose líneas de trabajo futuras.
