desarrollo de mecanismos avanzados de supervisión y análisis de tráfico sobre redes ip
DESCRIPTION
PROYECTO FIN DE CARRERA. Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP. Fermín Galán Márquez [email protected]. Contenidos de la presentación. Plataforma MIRA Arquitectura funcional Arquitectura física Procesado de datos Desarrollos principales - PowerPoint PPT PresentationTRANSCRIPT
Desarrollo de Mecanismos Avanzados deDesarrollo de Mecanismos Avanzados deSupervisión y Análisis de TráficoSupervisión y Análisis de Tráfico
sobre Redes IPsobre Redes IP
Fermín Galán MárquezFermín Galán Má[email protected]@dit.upm.es
PROYECTO FIN DE CARRERA
Julio, 2002 - 2
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Contenidos de la presentaciónContenidos de la presentación
Plataforma MIRA Arquitectura funcional Arquitectura física Procesado de datos
Desarrollos principales Detección de tráfico lúdico Funciones de seguridad Estadísticas convencionales
Desarrollos adicionales Conclusiones
Líneas de trabajo futuro
Julio, 2002 - 3
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Plataforma MIRA: arquitectura funcionalPlataforma MIRA: arquitectura funcional
Redmonitorizad
a
Preprocesado
tráfico tráfico capturadocapturado flujosflujos
Análisis
Internet
Captura detráfico
sondassondas
configuraciónconfiguración
Julio, 2002 - 4
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Plataforma MIRA: arquitectura físicaPlataforma MIRA: arquitectura física
Redmonitorizad
a
capturacaptura preprocesadopreprocesadoanálisisanálisis consolidaciónconsolidación
Internet
Julio, 2002 - 5
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Plataforma MIRA: procesado de datosPlataforma MIRA: procesado de datos
215/89 6 192.168.5.70 3128 192.168.17.2 42624 613/0 6/0 HTTP=1/0;PUBLICI=5/2215/89 6 192.168.5.73 6667 192.168.245.7 49140 740/9208 14/10215/89 6 192.168.5.23 2342 192.168.0.1 7872 678/990 12/10...
Preprocesado
736FE9091AB7690CEF7810AB89828DC761E8932490AAB8298971D8911290E9132098F9028313DDE1900A7876E2983821111
215/89 6 192.168.5.70 3128 192.168.17.2 42624 613/0 6/0 HTTP=1/0;PUBLICI=5/2 COM215/89 6 192.168.5.73 6667 192.168.245.7 49140 740/9208 14/10 LUD215/89 6 192.168.5.23 2342 192.168.0.1 7872 678/990 12/10 LUD...
Análisis
PUBLICIDAD: anuncio advertisement
HTTP: HTTP 1.0 <HTML>…
PUBLICIDAD es COMHTTP es ACA6667 es puerto LUD192.168.0.1 es LUD…
síntomasíntoma patronespatrones
Julio, 2002 - 6
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Detección de tráfico lúdicoDetección de tráfico lúdico
formato audio MP3formato audio MP3protocolos P2P y protocolos P2P y streamingstreaming
direccionesdireccionespuertospuertos
verificación de utilidad de patronesverificación de utilidad de patrones
implementaciónimplementación
¿sincronización de flujo?¿sincronización de flujo?
patrones (binarios)patrones (binarios)
MP3: 0xFFFA90 0xFFFB90 …
estudio estadístico (17 Gb)estudio estadístico (17 Gb)
soporte de patrones binariossoporte de patrones binarios
Julio, 2002 - 7
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Estudio estadísticoEstudio estadístico
Codificación Ratio teórico Ratio experimental192 Kbps 0.319 0.33160 Kbps 0.382 0.40128 Kbps 0.478 0.50112 Kbps 0.547 0.5796 Kbps 0.638 0.68
Ficheros MP3Ficheros MP3
Ficheros no MP3Ficheros no MP3ratio experimental: despreciableratio experimental: despreciable
Julio, 2002 - 8
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Funciones de seguridad: arquitecturaFunciones de seguridad: arquitectura
Redmonitorizad
a
Captura detráfico Preprocesado Análisis
tráfico tráfico capturadocapturado flujosflujos
Internet
sondassondas
configuraciónconfiguración
NIDS
respuesta respuesta activaactiva
firmas de ataquefirmas de ataque
Julio, 2002 - 9
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Funciones de seguridad: desarrolloFunciones de seguridad: desarrollo
motor de análisismotor de análisis base de datos de firmasbase de datos de firmas
Snort
know-howknow-how, herramientas, etc, herramientas, etc
tráfico tráfico seguridadseguridad
consolidaciónconsolidaciónregistroregistroinformeinformerespuesta activarespuesta activa
procesosprocesosde capturade captura
procesosprocesosde análisisde análisis
convencionalconvencional
tráfico tráfico capturadocapturado flujosflujos
SnortSnortadaptaciónadaptación adaptaciónadaptación
Julio, 2002 - 10
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Estadísticas convencionalesEstadísticas convencionales
flujosflujos
POPPOP
IMAPIMAP
DNSDNS
MAILMAILDNSDNS
TCPTCP
UDPUDP
5353
5353
109109 110110 143143 220220
clasificadorclasificadorde tráficode tráfico
estadísticas de estadísticas de bajo nivelbajo nivel
estadísticas de estadísticas de alto nivelalto nivel
Julio, 2002 - 11
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
Desarrollos adicionalesDesarrollos adicionales
Mejora del preprocesado Patrones binarios (necesarios para MP3) Algoritmo de búsqueda (Boyer-Moore):~40% caso insensitivo
Medidas de uso
Flexibilización de la clasificación de tráfico Definición de gramática flexible para especificar el algoritmo
base de datos base de datos de patronesde patrones
informes de usoinformes de uso
realimentaciónrealimentación
depuración ~80%depuración ~80%patrones MP3patrones MP3
Julio, 2002 - 12
Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP
ConclusionesConclusiones
Beneficios de la plataforma desarrolladaBeneficios de la plataforma desarrollada
ConclusionesConclusiones Aumento significativo del tráfico lúdico clasificado ~20%Aumento significativo del tráfico lúdico clasificado ~20% Uso de SnortUso de Snort Resultados satisfactorios en estadísticas convencionalesResultados satisfactorios en estadísticas convencionales
Líneas de trabajo futuroLíneas de trabajo futuro Arquitectura distribuidaArquitectura distribuida Aplicación de técnicas de Inteligencia ArtificialAplicación de técnicas de Inteligencia Artificial Mejoras en las funciones de seguridadMejoras en las funciones de seguridad Implementación de la gramática del clasificador del tráficoImplementación de la gramática del clasificador del tráfico