Desarrollo De Software Para Detección De Ataques Distribuidos De Denegación De Servicios Usando Un Enfoque Basado En Anomalías Y Análisis De Tráfico De Red Basado En Flujo

Abstract

En este proyecto se pretende ofrecer una solución para detectar ataques distribuidos de denegación de servicios (DDoS) cuyo uso ha aumentado en los últimos años por parte de delincuentes informáticos. El uso de medidas estadísticas de dispersión y centralización, como la desviación estándar y promedio, permitirán determinar si existen cambios anormales en la actividad de red e identificar el origen de las solicitudes de conexión maliciosas. Gracias a técnicas de agregación de flujo se evitará la necesidad de procesar toda la información contenida en paquetes de datos capturados en la red. El software está programado en lenguaje C++ y lo componen un sniffer, el cual se encargará de analizar el tráfico de red, y el algoritmo de detección que utilizará cada recuento de flujo como información de entrada para aplicar los filtros respectivos y crear una lista de direcciones IP identificadas como atacantes. Las pruebas se realizaron usando una herramienta para simular ataques DDoS, sin embargo, también se utilizó información real de tráfico de red para verificar que el algoritmo no califique erróneamente las direcciones IP de usuarios legítimos. Uno de los objetivos principales de este trabajo es proporcionar una herramienta que las instituciones públicas y privadas del Ecuador puedan implementar, modificar o mejorar según sus necesidades.

This project aims to provide a solution to distributed denial-of-service attacks whose use has increased in recent years. The use of statistical dispersion and centralization measures, as the standard deviation and average, allows the detection of abnormal changes in network activity and also identify the source of malicious connection requests. Thanks to flow aggregation techniques the need to process all the information contained in captured data packets on the network will be avoided. The software is programmed in C ++ language and it's composed of a sniffer, which will analyze network traffic, and the detection algorithm that will use each flow count as input to apply the respective filters and create an IP address list identified as attackers. The tests were performed using a tool to simulate DDoS attacks, however, actual network traffic information was also used to verify that the algorithm does not erroneously qualify IP addresses of legitimate users. One of the main objectives of this work is to provide a tool that public and private institutions of Ecuador can implement, modify or improve based on their needs.