1

Deteccin de Ataques a travs Denegacin de Servicios Utilizando

la Transformada de Wavelet

Mohamed Hamdi, Noureddine Boudriga

Traduccin

Cesar Carrasco Carr, Felipe Gallegos

Abstract

Deteccin de intrusiones basada en anomalas es un tema de investigacin crucial ya que permite identificar

ataques para el no necesariamente se conoce una firma. Sin embargo, mtodos usando anomalas comnmente

consumen ms recursos que aquellas basadas detecciones de mal usos y tienen una ms alta razn de falsas

alarmas. Este paper presenta un mtodo eficiente de anlisis de anomalas que est probado es ms eficiente y

menos complejo que las tcnicas existentes. Este mtodo se basa en monitorear el estado de seguridad usando un

conjunto de mtricas precisas. La Transformacin Wavelet (WT) esta usada para descomponer estas mtricas en

un espacio de tiempo. Ataques son vistos como singularidades de Lipschitz que aparecen en puntos especficos

en el tiempo. Entonces, la deteccin de anomalas es ejecutada a travs de procesar las seales representando las

mtricas. Se ve tambin que el mtodo propuesto es extensible al caso donde puntos de monitoreo, usados para

obtener las caractersticas medibles, estn distribuidos de acuerdo a la topologa de la red.

1. Introduccin

En los ltimos aos. La rpida evolucin de la

de la conectividad de redes y de las tecnologas de

accesibilidad de servicios ha favorecido el

incremento de intrusiones y ataques. Debido a la

cantidad de prdidas que han resultado de los ataques

experimentados en las redes, la seguridad de los

sistemas de comunicacin ha sido una inquietud

creciente. Especialmente, el problema de detectar

intrusiones, ataques, y otras formas de abuso de las

redes y mal usos es de creciente importancia. Esto es

debido a que uno puede asumir que la eficiencia de

la respuesta incidente al sistema principalmente se

basa en la precisin de las tcnicas de deteccin

asociadas. En pocas palabras, intrusiones pueden ser

consideradas como transiciones entre sistemas

seguros y no seguros. Sin embargo, en la prctica,

caracterizar estas intrusiones resulta ser una tarea

compleja. Los mtodos de los sistemas de

detecciones disponibles pueden ser separados en dos

categoras: basados en patrones y basados en

anomalas.. Mientras los primeros patrones, tambin

llamados como deteccin de mal usos, ubican

problemas de seguridad examinando patrones de

actividad de usuarios entre flujos, logs y archivos de

uso, los ltimos buscan por desviaciones en el

comportamiento de la red del uso normal de este.

Aunque se incremente el inters en estos mtodos, no

hay mtodo que pueda detectar todas las intrusiones.

Los ataques de denegacin de servicio (DoS)

representan un particular inters desde una

perspectiva de deteccin de intrusiones. Recientes

estudios estadsticos muestran que ataques DoS se

ubican en el cuarto lugar en la lista de ataques ms

virulentos a contra sistemas de informacin. En [4],

ms del 90% de los proveedores de Internet reportan

que ataques DoS de flooding dominan todos los ataques observados. Esto significa que ataques DoS constituyen los ms significantes amenazas contra la

infraestructura de red. Desde un punto de vista

tcnico, los ataques DoS exhiben cuatro importantes

caractersticas:

1. Ataques DoS pueden involucrar miles de computadores. Un atacante puede

comprometer una serie de mquinas

intermedias (zombies) que lanzan el

2

proceso de ataque. Obviamente,

incrementar la cantidad de zombies

exacerban la eficiencia del ataque DoS y

deteccin temprana es ms difcil.

2. Al contrario de otros ataques, el flujo de la red usado para hacer un ataque DoS difiere

ligeramente del trfico normal. Analizando

las cabeceras de los paquetes y su

contenido, el sistema de deteccin de

intrusiones (IDS) difcilmente va a realizar

que una intrusin est en proceso. Por lo

tanto, estrategias segn deteccin basada

en anomalas son mejores para detectar

ataques DoS

3. El sistema de deteccin puede ser esquivado por el atacante si el IDS no

puede procesar el flujo de ataque. Esto

significa que la estrategia para protegerse

de un ataque DOS debe ser posible a un

razonable costo numrico.

Este paper describe el diseo de un sistema

clasificador de anomalas para la deteccin de DoS y

enumera problemas matemticos relacionados. El

clasificador puede monitorear las actividades de la

red de computadores a mltiples niveles (desde

ingeniera de trfico a niveles de actividad de

usuarios) y determina la correlacin entre los

parmetros monitoreados (o mtricas). El principal

rol de este clasificador es identificar anomalas

relacionadas con ataques. Este bsicamente permite

diferenciar entre anomalas virulentas o benignas. Nuestro mtodo es basado en el concepto del periodo de observacin y ocupa teora

de wavelets. Este tiene tres ventajas principales con

respecto a los mtodos existentes: primero no

necesita almacenar perfiles de usuario, archivos con

informacin sobre ataques, o usaje estadstico.

Segundo, este ofrece una complejidad reducida de la

forma O(n), donde n es el tamao de los periodos de

observacin. Por ltimo, al contrario de tcnicas

Bayesianas, no se necesita informacin a priori sobre

las anomalas a monitorear.

El resto del paper est organizado de la

siguiente manera: Seccin 2 describe las tcnicas

comnmente usadas para representar y detectar

anomalas en una red de computadores. Seccin 3

describe formalmente estas anomalas. Seccin 4 y 5

explica como la deteccin de anomalas puede ser

ejecutada usando teora de wavelets y presenta un

caso de estudio donde clasificacin basada en

wavelets es demostrado. Seccin 6 concluye este

paper.

2. Tcnicas de Deteccin de DoS Existentes

Esta seccin describe las maneras para detectar

ataques DoS. Primero destacamos las funciones

bsicas de los ataques DoS y seleccionamos la

estrategia de deteccin ms apropiada con respecto

al proceso de ataque. Siguiente, presentamos una

resea de las tcnicas estadsticas existentes y

destacamos sus atajos.

2.1. Ataque de Denegacin de Servicios

Un ataque DoS bsicamente trata de inhabilitar

un servicio disponible en lnea. El resultado de un

ataque DoS puede variar desde degradar la

disponibilidad del servicio a denegar el servicio a sus

usuarios (por ejemplo, interrupcin de servicio). Un

ataque DoS puede ser ejecutado usando varias

estrategias. En [5], las principales clases de tcnicas

de DoS dependen del tipo de vctima:

Ataques a aplicaciones son dirigidas a una aplicacin especfica que es ejecutada en el

host de la vctima. Esto significa que los

servicios restantes dependiendo del host

quedan inaccesibles.

Ataques al host interrumpen el acceso al host vctima. Por ejemplo, esto puede ser

realizado crasheando o reiniciando la

mquina. El atacante puede tambin enviar

un flujo de paquetes enorme a la maquina

objetivo para floodear su stack TCP/IP.

Ataques a recursos son conducidos en contra de puntos dbiles de una red

especfica. Nodos victima tpicos incluyen

servidores DNS y enrutadores de red. El

impacto de estos ataques es de importancia

con respecto al nmero de hosts que

pueden ser afectados por la falla de un

componente vctima focal.

Ataques a redes despliegan paquetes generados al azar en la red vctima para que

3

una alta proporcin del ancho de banda sea

consumido. Esto resulta en una notable

degradacin de la calidad de servicio

(QoS).

Ataques a infraestructura apuntan a simultneamente daar mltiples

componentes de una red distribuida. La

mayor caracterstica de estos ataques DoS

es la coordinacin de ataques elementales

que son dirigidos contra los componentes

individuales.

El objetivo de la deteccin de intrusiones es

monitorear el trfico en la red y generar alertas

cuando un ataque ocurre. Dos principales

mecanismos de deteccin son comnmente

considerados: deteccin basada en firmas y deteccin

basada en anomalas. Deteccin basada en firmas

esta cercanamente relacionada con reconocimiento

de patrones ya que el trfico analizado es comparado

con un set de ataques conocidos. La eficiencia de este

alcance depende esencialmente en el nmero de

firmas de ataques que el sistema conoce. De hecho,

no genera una alerta para un ataque al que no le tiene

una firma correspondiente. En el segundo

mecanismo, los resultados de la deteccin dependen

de los valores de varias variables medibles, llamadas

mtricas. Esto asume que el comportamiento normal

del sistema puede ser descrito. Por lo tanto, lo que se

desva del comportamiento normal es fuente de una

alerta. En lo siguiente, entregamos una resea de

varias tcnicas de deteccin basadas en anomalas

que han sido propuestas en la literatura para la

deteccin de ataques DoS. Dos categoras de tcnicas

son comnmente usadas en este contexto: deteccin

por punto-cambio (thresholding), y perfiles de

actividad.

2.2. Deteccin Punto de Cambio

La primera clase de tcnicas de deteccin

basadas en anomalas es la llamada thresholding y es

basada en la comparacin de ciertos atributos del

sistema con valores al que corresponden con

fronteras del espacio normal de eventos. Para este

fin, el motor de deteccin debe incorporar un sistema

sensor que obtiene la informacin relevante (con

respecto a alertas de seguridad). En la prctica,

deteccin de umbrales (thresholding) es un pequeo

componente de un IDS y es raramente usado como

un sistema independiente. De hecho, es generalmente

basado en una cantidad limitada de mtricas que no

expresan completamente el estado de la red siendo

monitoreada.

Una pregunta que necesita ser respondida

cuando se disea un IDS basado en umbral es como

determinar el valor umbral. De hecho, el proceso de

deteccin puede retornar una alta cantidad de falsos

negativos si es excesivamente alto. En la Figura 1 se

representa un caso la deteccin de intrusiones es

hecha basado en el nmero de paquetes recibidos por

intervalo de tiempo. El lector puede haber notado que

la seal resultante tiene dos picos. El primero

corresponde a un ataque cuando el segundo es

causado por una alta demanda del servidor.

Claramente, si el valor umbral hubiera sido fijado al

valor determinado por la lnea roja, los dos picos se

habran errneamente caracterizado como

intrusiones.

En la mayora de los casos, teora Bayesiana

de decisiones es usada para encontrar el umbral

ptimo. De acuerdo con esta teora, un umbral es

declarado ptimo si minimiza la funcin riesgo de

Bayes la que es computada usando las probabilidades

de falso positivo y falso negativo. La mayor

desventaja de este alcance es que una de las hiptesis

fundamentales puede ser difcilmente verificada en

nuestro contexto. De hecho, para computar el riesgo

Bayesiano, es necesario conocimiento de antemano

sobre la distribucin de ataques a la red. Como la

ocurrencia de ataques a la red es principalmente

debido a factores humanos, no es fcil modelar

estadsticamente este incluso usando informacin

histrica.

Figura 2.1 Nmero de paquetes por segundo

recibidos

4

2.3. Perfil de Actividad

Tcnicas estadsticas para deteccin de

anomalas constituyen un tpico focal en la literatura

sobre deteccin de intrusiones. Estos bsicamente

consisten en generar un perfil peridicamente

actualizado del comportamiento normal del sistema

a travs del uso de informacin histrica (tablas de

frecuencia, promedios, entropas, etc.). Entonces,

durante cada periodo de observacin, el flujo de

paquetes monitoreado es clasificado como normal o anormal.

Ye et al discuten tcnicas probabilsticas de

deteccin, incluyendo rboles de decisin, Test T de

Hotelling, tests multivariados chi-cuadrado y

cadenas de Markov. Estos tests son aplicados a la

informacin obtenida para investigar sus

propiedades frecuencia y orden.

Taylor et al presentaron un mtodo para

detectar intrusiones a la red que trata el problema de

monitorear trfico de alta velocidad y las

restricciones de tiempo de los administradores al

manejar seguridad de la red. Se ocupan tcnicas

estadsticas multivariadas, principalmente, Anlisis

de Clusters y Anlisis de Componente Principal para

encontrar grupos en la informacin observada.

DuMouchel et al discuten un mtodo para

detectar usuarios no autorizados enmascarados como

usuarios registrados comparando en tiempo real las

secuencias de comandos dados por cada usuario a un

perfil del comportamiento de usuarios anteriores.

Ellos usan un modelo de Regresin de Componentes

Principales para reducir la dimensionalidad de

pruebas estadsticas.

Staniford-Chen et al responde al problema de

identificar intrusos que ocultan su identidad

logeando a travs de una cadena de mltiples

mquinas. Ellos ocupan Anlisis de Componente

Principal para inferir la mejor seleccin parmetros

identificadores de la informacin. Ellos introducen

huellas digitales, las que son cortos resmenes de los

contenidos de una conexin.

Shah et al estudia como conceptos de minera

de datos fuzzy puede coopera en sinergia para

elaborar Deteccin de Intrusiones Distribuida. Ellos

describen ataques usando un lenguaje

semnticamente rico, razonan sobre este y

subsecuentemente clasifican estos en instancias de

un ataque de un tipo especfico. Ellos ocupan

Anlisis de Componente Principal para reducir la

dimensionalidad de la informacin obtenida.

2.4. Lmites de los Alcances Existentes

El mayor atajo de las tcnicas de deteccin de

anomalas clsicas es que no estn construidas por

sobre una fuerte relacin entre anomalas y ataques.

Esto puede llevar a una alta cantidad de falsas

alarmas ya que muchos valores anormales de una

seal medida pueden corresponder a

comportamiento normal de un sistema bajo anlisis.

Por ejemplo, considrese un servidor web que fue

vctima de un ataque SYN/flooding. Si el analista de

seguridad observa que el nmero de paquetes por

segundo que el servidor recibe, l va a observar un

pico (valor anormal) en el momento del ataque. Sin

embargo, como es ilustrado en la Figura 1, un pico

no siempre implica la ocurrencia de una accin

maliciosa. Incluso, mientras el primer pico

corresponde al ataque mencionado anteriormente, el

segundo resulta de casi simultneas conexiones de un

alto nmero de clientes. El segundo evento es normal

dado que ocurre a las 08:00 A.M. (comienzo de las

horas de oficina), un tiempo donde la mayora de los

empleados conecta al sitio desde sus oficinas. La

conclusin de este ejemplo es que la deteccin de

cambios abruptos o valores anormales no es

suficiente para caracterizar ataques a la red.

Por lo tanto, necesitamos otro mecanismo de

deteccin que debe ser ms adaptado a la seguridad

de redes de manera que toma en consideracin la

estrecha diferencia entre anomalas y ataques. Este

mecanismo debe tambin tener baja complejidad

computacional debido a la limitada cantidad de

recursos de los componentes de deteccin de

intrusiones.

Para corregir este problema, se propone

modelar ataques como ruido que afecta una seal, o

un set de seales, que representa el comportamiento

normal del sistema. Los beneficios de este

razonamiento es que varias tcnicas comnmente

usadas en procesamiento de seales para detectar o

reducir ruido pueden ser adaptadas a nuestro

contexto. En el mbito de este trabajo, se enfoc en

la teora de wavelets y regularidad Lipschitz como se

5

va a detallar en la seccin 4. Sin embargo, para

aplicar estos modelos, un conveniente modelo de

anomalas en la red es necesario

3. Un Framework matemtico para la representacin de anomalas

Tpicamente, en una infraestructura con red,

es difcil determinar si el sistema est en estado

seguro o no en un punto en el tiempo dado. La

mayora de los anteriormente mencionados

mecanismos de deteccin de DoS se basan en varias

mtricas (informacin medible) para elucidar este

punto. En esta seccin, se presenta un framework

matemtico para representar anomalas en base a un

grupo de mtricas.

3.1. Representacin de Mtricas

Tcnicas de cambio de punto para deteccin de

intrusiones pueden ser vistas como un problema de

decisin donde los valores de las mtricas son usadas

para caracterizar el estado del sistema. Supngase

que una funcin () modela el comportamiento de una mtrica especfica, el proceso de decisin no

puede ser conducido sin convertir () a un dominio donde la clasificacin de estados del sistema es

trivial. Para esto, se introduce el concepto de

transformacin detectora definida en lo siguiente:

Definicin 1: Sea = un intervalo de tiempo y () una funcin observable (mtrica) definida en I. A y N denotan los instantes

correspondientes a la ocurrencia de un evento

anormal y la no ocurrencia de eventos anormales,

respectivamente. Se dice que una transformacin

matemtica es una transformacin pseudo-detectora si, y solo si:

() = () ()

An ms, si () = entonces es una transformacin detectora.

De acuerdo a la definicin, una transformacin

detectora permite identificar los estados del sistema

no seguros basado en sus valores resultados. Sin

embargo, transformaciones detectoras son

generalmente imposible de implementar debido a

que necesitan un mecanismo de deteccin cero

errores. Entonces, deteccin de intrusiones basado en

anomalas usualmente se basan en trasformaciones

pseudo-detectoras. Como una extensin del

razonamiento, varias herramientas permiten

comparar transformaciones detectoras si estas fueran

hechas.

La primera tarea en la representacin de

anomalas es definir las mtricas que deben ser

monitoreadas. Considrese tres familias de funciones

denotadas por (()){1,...,}, (()){1,...,} y

(()){1,...,} que modelan las siguientes actividades respectivamente:

Actividades a nivel de usuario. Esto incluye atributos como comandos ms

usados, frecuencia de tecleado, y periodos

login/logout, que ayuda a desarrollar, los

perfiles de comportamiento de los usuarios.

Actividades a nivel de host. Esto incluye atributos (como estructura de archivos,

CPU consumida y memoria consumida)

que proveen indicaciones del uso de

recursos.

Actividades a nivel de red. Estos usan atributos (como total de paquetes, paquetes

con puertos de fuente o destino especficos,

y paquetes con direcciones de fuente o

destino especficos) que proveen

informacin que es recolectada sobre el uso

de la red e ingeniera.

Las funciones ms arriba son las mtricas que

representan eficientemente el estado del sistema de

informacin. Estos deben ser medidos y

monitoreados continuamente. Administradores de

sistemas de informacin tienen que determinar que

atributos medir para asegurar las eficientes

representaciones de sus sistemas. Adems, para cada

una de esas mtricas, un set de reglas de decisin

tiene que ser definido para poder decidir si un

determinado valor obtenido de una funcin

corresponde a mal uso o uso legtimo del sistema.

Para esto, se introducen los siguientes conjuntos:

(){1,...,}(. (){1,...,}): los conjuntos de valores normales (resp.

anormales) que pueden ser tomadas por las

funciones(()){1,...,}

(){1,...,}(. (){1,...,}): los

6

conjuntos de valores normales (resp.

anormales) que pueden ser tomadas por las

funciones(()){1,...,}

(){1,...,}(. (){1,...,}): los conjuntos de valores normales (resp.

anormales) que pueden ser tomadas por las

funciones(()){1,...,}

Una accin en un instante0denotado (0), puede forzar la modificacin de los valores de las

funciones anteriores en 0.

Definicin 2 Una accin (t0)se dice que es anmala si por lo menos una de las siguientes

condiciones se cumple:

1. {1, . . . , }tal que (0)

2. {1, . . . , }tal que (0)

3. {1, . . . , }tal que (0)

Esto significa que si, durante una accin, una

mtrica toma un valor anormal, entonces toda la

transaccin es anormal. Entonces, la eficiencia de

esta regla de decisin depende principalmente de la

eficiencia de las reglas de decisin elementales

estableciendo si el valor de una mtrica en particular

es anormal o no. La caracterizacin de anomalas en

la red es entonces fcil ya que consiste simplemente

en chequear si los valores de las mtricas siendo

monitoreadas pertenecen, en un instante dado, a

varios conjuntos predefinidos. Un problema ms

sensible es establecer si una anomala est

relacionada a un ataque o no.

3.2. Analoga Ataque/Singularidad

En su definicin ms amplia, un ataque

computacional es cualquier accin maliciosa

elaborada en contra de un sistema computacional o

los servicios que este provee. En [23], B. Schneider

describe ataques computacionales como excepciones

o eventos que toman a la gente por sorpresa. De

hecho, el sistema de deteccin usualmente se

encuentra con el sensible problema de determinar si

un evento corresponde a una accin maliciosa o no

sin tener el suficiente conocimiento para hacerlo.

La anterior definicin de ataques

computacionales es particularmente conveniente en

nuestro contexto. De hecho, la mayora de estos

ataques pueden ser asimilados como cambios

abruptos en seales medibles. Entonces, la deteccin

de anomalas puede ser hecha a travs de la deteccin

de singularidades en un conjunto de mtricas

significantes. Obviamente, la eleccin de esas

mtricas es principal importancia ya que tiene gran

influencia en funcionamiento del sistema de

deteccin. Sin embargo, este problema est afuera

del contexto de este paper. En lo siguiente, se

entregan dos ejemplos ilustrando la seleccin de

mtricas eficientes dependiendo de la naturaleza del

ataque.

Ejemplo 1 Ataque SYN flood (Neptune)

Este es un ataque DoS al que la mayora de las

implementaciones de TCP/IP son vulnerables. Este

consiste en abrir suficientes conexiones TCP a medio

abrir como para exceder la capacidad de la mquina

vctima el que va a ser incapaz de aceptar ms

conexiones. Este ataque puede ser eficientemente

detectado monitoreando el nmero de conexiones

abiertas en la mquina protegida. Singularidades

pueden ser determinadas cuando el nmero de

conexiones excede un lmite predefinido.

Ejemplo 2 Mailbombing

Un mailbomb es un ataque en que muchos

mensajes son enviados a un usuario registrado en el

servidor de correo sobrepasando su cola y causando

la falla de su cuenta. Es ms daino a usuarios en

particular que al servidor entero. Este puede ser

detectado midiendo el nmero de mensajes (o la

cantidad de bytes) recibidos por el servidor por

unidad de tiempo.

En estos dos ejemplos, anomalas pueden ser

fcilmente identificadas detectando cuando las

mtricas siendo monitoreadas exceden un valor

especfico. Sin embargo, para determinar si una

anomala es un ataque o no, un anlisis matemtico

ms profundo de la anomala es necesario. Un

detallado estudio del primer ejemplo se encuentra en

la Seccin 4.

4. Wavelets y la Regularidad de Lipschitz

Wavelets pueden descomponer seales

unidimensionales para analizar tanto sus frecuencias

especiales y localizaciones temporales. Esta seccin

7

presenta una herramienta basada en wavelets para

detectar singularidades (en trminos de la

regularidad de Lipschitz) de unas funciones de

energa finita. Resumidamente veremos los

conceptos bsicos relacionados con la teora de

wavelets. Entonces, se darn varios resultados, los

que han sido probados por Mallat y Hwang en [22],

destacando el beneficio de usar wavelets en vez de

transformaciones Fourier para detectar

singularidades.

4.1. Fundamentos de la Teora de Wavelet

Una funcin () que pertenece a 2()(espacio de Hlder para funciones con energa finita) y centrado alrededor del cero (por ejemplo

() = 0+

) se dice que es un wavelet si, y solo

si, su transformacin de Fourier () satisface la siguiente condicin:

(|()|2

)

+

< +

() Es la llamada wavelet madre. La transformacin wavelet de una funcin () 2()esta definida por:

(, ) = () = ()( )

+

Donde +*es la funcin escala, * es el

operador convolucin y () =1

(

)es la

dilatacin del wavelet () Por s.

Esto ofrece una alternativa a la transformacin

de Fourier por ventanas (o transformacin de Fourier

a corto tiempo, STFT) para anlisis de seales no

estacionales. El atajo principal de STFT es que este

usa una ventana de longitud constante que no permite

anlisis espacial de la seal. Por el otro lado, en la

transformacin wavelet, ventanas anchas son

aplicadas para bajas frecuencias y ventanas cortas

para altas frecuencias. Esto provee una idea sobre las

propiedades locales y globales de la seal ().

Comnmente en prctica (, )son computados para valores discretos de s y t. La

principal restriccin cuando se eligen estos valores es

asegurar que la transformacin no es redundante. De

acuerdo a la ecuacin mostrada con anterioridad, este

requerimiento puede ser satisfecho si las funciones

(,())++, dados por:

(, ) +* , () = ( ) =

1

(3)

Es una base de 2().

La Transformada Wavelet Discreta (DWT)

asume el clculo de los coeficientes de Wavelet

obteniendo el factor de escala discreta = 2 y traduccin = 2 para , . En efecto, los valores de los parmetros de la Transformada

Wavelet definen una base ortogonal ( j,k () =

21

2 ( 2 )),

llamada La Base Wavelet.

Para representar una funcin () en diferentes escenarios se utiliza la Madre Wavelet, por lo cual se debe introducir el verificador de una funcin

escalar:

() = 2 ()(2 )

+

=

Donde g se define de la siguiente manera.

() =1

2 (), (2 )

En [12], Mallat propone una descripcin de la

Transformada de Wavelet basado en el concepto

anlisis de multiresolucin. El demostr que la

funcin () puede ser escrita de la siguiente manera:

() = +1,+1, ()

+ ,j,k()

=1

=+1

Donde , y , representan los coeficientes de proyeccin lineal de en subespacios complementarios ortogonales de 2().

A travs de esto se obtiene la evidencia de la

principal caracterstica de la Transformada Wavelet:

La representacin de un resultado (o escala) de una

funcin, puede obtenerse a partir de una resolucin

ms robusta. Debido a esto se menciona que es

multiescala.

Un desarrollo similar se ha llevado a cabo para

realizar la descomposicin multiresolucin en 2().

8

Bsicamente, consiste en aplicar la misma pirmide

de descomposicin a la seal original (20).

4.2. Deteccin de Singularidades Basada en Wavelet

En matemticas, las regularidades locales de

las funciones son a menudo evaluadas a travs de

exponentes Lipschitz.

Definicin 1: (Regularidad Local Lipschitz,

Regularidad Uniforme Lipschitz). Una funcin () se dice que es Lipschitz-, cuando 0 1, en un punto 0, si, y solo si, exista una constante que satisfaga todos los puntos , en el conjunto de 0.

|() (0)| | 0|

() Es uniforme Lipschitz- sobre el intervalo ], [ si existe tal constante tal que la ecuacin anterior vale para todo ( , ) ], [

2.

Adems, se puede decir que () es singular en 0 si no es Lipschitz-1 en 0.

Cabe destacar que dicha definicin puede

extenderse a > 1.

La regularidad de Lipschitz tambin puede ser

descrita mediante el uso de la Trasformada de

Fourier. En efecto, una funcin () Lipschitz- es acotada y uniforme sobre si

|()|(1 + ||) < +

+

Infortunadamente, la ecuacin anterior no es

aplicable para las propiedades de seal de direccin

local, ya que slo permite afirmar sobre la

regularidad uniforme en un dominio especifico. En

[21], Jaffard propone un resultado dadas las

condiciones necesarias y suficientes para caracterizar

la regularidad local de Lipschitz usando la

Transformada de Wavelet. El demostr que si un

Wavelet () 2() y una funcin () 2() se puede afirmar lo siguiente:

() es n-veces continuamente diferenciable. () tiene n momentos de fuga (

() = 0 0 + 1+

)

() tiene un soporte compacto

() 2() es Lipschitz- en los puntos 0, 0 0 1

Entonces, existe una constante tal que para todos los puntos de en un conjunto 0 para una escala .

|(, )| ( + | 0|

)

Por el contrario, () es Lipschitz- en 0,0 , si se verifican las siguientes dos condiciones:

1. Existe un > 0 y una constante tal que para todos los puntos en el conjunto de 0 y en una escala .

|(, )| <

2. Existe una constante B de tal manera que para

todos los puntos en el conjunto de 0 y en una escala .

|(, )| ( +

| |

|| 0||)

Con esto se demuestra que la Transformada

Wavelet es particularmente eficaz para evaluar la

regularidad local de las funciones a diferencia de la

Transformada de Fourier la cual est adaptada solo

para regularidades globales. De hecho, se ofrece la

posibilidad de analizar la regularidad puntual de una

funcin. Este se debe a la buena localizacin en el

dominio escala-espacio de la base Wavelet. Por esto,

a travs de la medicin de decadencia de |(, )| en un espacio bidimensional de 0 en el espacio escala (, ), se puede estimar el exponente de Lipschitz, indicando de este modo la singularidad, en

el punto 0.

En algunos casos, este mtodo puede tener una

carga computacional muy pesada, por lo cual rara vez

es aplicada en la prctica. A menudo en aplicaciones

del mundo real solo se mide la decadencia de

|(, )| (en vez de manejar un dominio bidimensional se maneja como uno unidimensional).

Sin embargo, se ha demostrado en [22] a travs de un

contra-ejemplo, que este enfoque prctico no

siempre produce resultado confiables. Por lo tanto, se

propuso un mtodo que junta tratabilidad matemtica

y facilidad numrica.

Teorema 2: (Estimacin de exponentes

Lipschitz utilizando mximos Wavelet) Sea () una

9

Wavelet con soporte compacto, con n fuga de

momentos y n-veces continuamente diferenciable.

Sea () 2(). Si existe una escala 0 > 0 tal que para todas las escalas < 0 y ], [ no tendr mximos locales, entonces para cualquier >0, () es Lipschitz-n en ] + , [ .

Este teorema indica la presencia de un

mximo en el mdulo de la transformada Wavelet

|(, )| en las escalas ms finas en que se produce una singularidad. Las discontinuidades en la funcin

() pueden ser asimilados al hecho de que |(, )| se mantiene constante en un amplio rango de escalas

en un dominio espacial de .

5. Wavelet y Ataques de Red

Las definiciones de los ataques de red

mencionados con anterioridad son particularmente

convenientes para el contexto que se aborda. De

hecho, todos estos ataques pueden ser vistos como

cambios bruscos en algunas seales medibles. Desde

un punto de vista matemtico, se representa un

ataque como una singularidad que afecta a una

mtrica especifica. En esta seccin, se utiliza el

mtodo de deteccin de singularidades de Lipschitz

basada en ondas presentado con anterioridad para

detectar ataques de red. En otros trminos, la

deteccin de anomalas se puede realizar a travs

deteccin de singularidades en un conjunto de

mtricas, siempre que estas mtricas sean elegidas

con precisin. Obviamente, la eleccin es de

primordial importancia, ya que tiene una fuerte

influencia en el rendimiento del sistema de

deteccin. Sin embargo este tema est fuera del

alcance de este documento.

5.1. Deteccin de Ataques a Redes Informticas Utilizando la

Transformada de Wavelet

En situaciones prcticas, la seal de inters

() (nmero de conexiones abiertas, nmero de trasmisin de paquetes, etc.) no es conocida del todo,

pero la abscisa se demuestra uniformemente. Entonces, lo que realmente se maneja es un conjunto

de valores (()){1,.,}

donde es el nmero de

ejemplos. Como () 2() (tiene energa finita) la Transformada Discreta Wavelet se puede calcular

usando (()){1,.,}

. De acuerdo con los

resultados discutidos en la seccin anterior, la

regularidad Lipschitz de () se puede determinar mediante el estudio de la descomposicin de

|(2, 2)| a travs de las escalas j. La

siguiente proposicin es una implicacin directa del

teorema 2.

Proposicin 3: (Caracterizacin de los

ataques informticos utilizando Trasformada

Wavelet). Sea () una Wavelet con soporte compacto, con n fuga de momentos y n-veces

continuamente diferenciable. Sea () 2() ser una funcin que representa una mtrica supervisada.

Si existen 2 y 0 tal que:

(1) Existe 0 {1, , }, de tal manera que (2 , 02

1) corresponde a una local mxima.

(2) Para todo {0, , 1}, |(2

1, 021)| es una local

mxima.

(3) Para todo {0, , 1}, |(2

1, 021)|

|(2, 02

)|

Donde el punto 0 corresponde al ataque informtico.

Dicho de una forma ms simple, si se detecta

un mximo local en un punto (20 , 020) y si 0

corresponde a mximos locales con un pequeo

aumento sobre los modulo a una escala 20, entonces 0 corresponde a un ataque informtico.

Las principales ventajas de este mtodo son

buena localizacin espacial y el bajo costo numrico

que implica. La primera caracterstica es debido a las

propiedades espaciales de Wavelet, mientras que la

segunda deriva del hecho de que la Trasformada

Wavelet de una seal de tamao puede ser calculada en () pasos segn el algoritmo piramidal de Mallat [19].

Esta proposicin se puede utilizar para disear

un sistema clasificador que permita descartar falsos

picos en el nivel de deteccin de intrusos. El objetivo

de dicha proposicin ser establecer si un pico en la

10

mtrica monitoreada ha sido causado por un evento

de ataque o no.

El siguiente algoritmo, basado en la

Proposicin 3, se describen los pasos que se deben

implementar por el clasificador.

Algoritmo deteccin_de_ataque

# Indique los picos en el controlador

# La seal corresponde al ataque actual

La funcin ismaximun (.,.) prueba si (. , . ) tiene un mximo local en la resolucin dada en el

primer argumento en el punto dado por el segundo

argumento. La funcin generate_alert () determina

que para un determinado valor de la mtrica corresponda a un evento de ataque real.

5.2. Un caso de Estudio

En este apartado, se expone el resultado de la

Proposicin 3 en un caso concreto. Se presentara un

ejemplo representativo con el fin de demostrar los

beneficios de la utilizacin de la teora de ondas en

la deteccin de intrusos en la red de un ordenador. Se

han utilizado los datos correspondientes a un ataque

real, el cual fue proporcionado por el Grupo de

Tecnologa de Sistemas de Informacin del MIT

(Instituto de tecnologa de Massachusetts). El cual

distribuyo un ataque distribuido por servicio de

denegacin utilizando un software mstream

correspondiendo al primero escenario (Lincoln

Laboratorios de Escenarios DDoS 1.0) hacia el ao

2000. La cual se realiz a travs de mltiples etapas

que incluyen el sondeo, forzar la entrada, instalacin

de troyanos y lanzamientos de un ataque distribuidos

de denegacin de servicio (DDoS) contra el gobierno

de Estados Unidos en la IP 131.84.1.31.

En este caso la mtrica mide el recuento de

paquetes () recibidos por el equipo de la vctima durante periodos de observacin que se fijan en torno

a 1 minutos. La figura 5.1 (a) representa la evolucin

de esta funcin en el tiempo (se puede observar

pequeas fluctuaciones correspondientes al trafico

normal en el tramo debido a la gran cantidad de

paquetes recibidos en el momento del ataque). El

lector se da cuenta de la presencia de un pico

importante el cual corresponde al ataque DDoS. Sin

embargo, en un caso real, el administrador no podra

determinar si este pico corresponde al trfico normal

o a un ataque. Par abordar este problema, se realiza

la descomposicin de Wavelet a () utilizando la Wavelet Daubechies y se estudia la evolucin de los

coeficientes Wavelet mximos a travs de escalas. La

figura 5.1 (b) representa el comportamiento de la

posiciones del mximo a travs de escalas. El lector

puede darse cuenta de que, a escalas ms pequeas,

la posicin converge a la instancia donde ocurre el

ataque. La figura 5.1 permite deducir que los

coeficientes de onda mximos estn aumentando en

cierta escala, lo que implica que la singularidad de

11

inters es un ataque.

Figura 5.1 Anlisis del laboratorio Lincoln de un

Ataque en un Escenario DDoS.

La figura 3 representa un caso en el cual se han

simulado cinco ataques. La duracin del ataque y

periodo entre ellos considerados como dos procesos

aleatorios que respetivamente son uniformes y con

distribuciones gaussianas. A pesar de que los valores

mximos disminuyen a travs de escalas (figura 5.2

(a)), figura 5.2 (b) muestra que los wavelet mximos

corresponden mximos en la escala, es decir, el

enfoque presentado es ms robusto al momento de

evaluar los mximos.

Figura 5.2 Paquetes por segundo del servido vctima.

6. Distribucin de los Puntos de Monitoreo

6.1. Extensin de la Teora de Ondas

para (())

El enfoque de deteccin basada en ondas

descrito en los apartados anteriores se aplica cuando

se utiliza una o ms mtricas para controlar un nico

evento relacionado con el mismo ataque. En el caso

de un ataque con infraestructura DDoS, contiene

mltiples componentes clave de la red que se dirigen

simultneamente. Por lo tanto, pueden ser

considerados mltiples elementos para detectar la

aparicin del ataque. Por ejemplo, cuando la red de

la vctima consiste en una infraestructura ISP, al

momento de la intrusin la deteccin se debe realizar

a nivel del router. Para este fin, se utiliza distintas

mtricas, que corresponden a diferentes eventos, lo

cual implica la introduccin de una adecuada

Transformacin Wavelet. Suponiendo que p son los

puntos considerados puntos de monitoreo con el fin

de recabar informacin sobre los flujos de datos

transmitidos, la mtrica global que ser utilizada por

el IDS para indicar si se ha producido una intrusin

o no, se puede modelar mediante una seal

(2()).

A continuacin se detallara los resultados de

las secciones anteriores en el caso que () es una

funcin en (2()).

Definicin 4: (Anlisis de Multiresolucin) Un

anlisis de multiresolucin de (2()) se define

como un conjunto de subespacios cerrados de

(2())

, , que sigue las siguientes propiedades:

(i) +1

(ii) () (2) +1

(iii) () 0 ( + 1) 0 (iv) =

2() =

(v) () 0 ((

))

0 ( . >

0, < + | ( +2)|2 )

12

Si se asume una aproximacin de la funcin en una resolucin debera dar como resultado la proyeccin sobre , entonces estas aproximaciones tienen los siguientes significados:

La primera condicin indica que la informacin contenida en la aproximacin de

una funcin a una resolucin j es

necesariamente la misma de la aproximacin

de j + 1.

La segunda condicin determina que la escala y dilatacin es invariante. De una funcin

() (no contiene fluctuaciones de datos

a escalas mayores que 2), la funcin (2) se puede obtener acotando () por un factor de 2. De este modo esta funcin no contiene

detallas a escalas mayores que 21. La tercera condicin corresponde a cambiar

la invariancia de los espacios . Cuando la aproximacin de un funcin con resolucin j

() pertenece a , tambin se puede hacer

la traduccin de enteros por (( ))

.

La extensin de la teora wavelet a las seales

multivariantes ha sido ampliamente discutida en la

literatura. En su trabajo [24], Geronimo et al,

propone una descomposicin Wavelet fraccionaria

basada en seales multivariadas. En el trabajo, se ha

considerado una descomposicin de componente

para obtener componentes ms simples. A pesar que

no define con rigor una descomposicin

multiresolucin de 2(), la transformacin definida, permite detectar eficazmente los ataques a

redes distribuidas como se mostrara a continuacin,

Segn la transformacin definida, una funcin

() 2() puede ser representada por la resolucin de la expresin.

() = ,,()

+ ,,()

=1

=

Donde ,() = 2 (2 ) y

,() = 2(2 ),

{, , 1}. (,) puede ser visto como los

coeficientes de la proyeccin de en y

(,){,,1}, como los de la proyeccin de

en que se formula la siguiente ecuacin.

+1 = , {, , 1}

Esto significa que (,())

(respectivamente (,())

es una base de

(respetivamente ) para todo {, , 1}. Como extensin de este razonamiento, la funcin

() = , ,() puede ser escrita como la suma de sus proyecciones en 1 y 1.

() = 1,1,()

+ 1,1,

()

El siguiente teorema demuestra que para una

funcin () que pertenece a (2()), sus

coeficientes wavelet obtenidos por la

descomposicin componente a componente

disminuyen exponencialmente con respecto a la

escala (para una onda elegida apropiadamente).

Teorema 5: Sea el nmero de momentos de fuga para un wavelet ,, y . Entonces los coeficientes de wavelet se obtienen de la siguiente

manera: , 2(+

1

2)

max , ()().

Demostracin: para la , escribimos la

serie de Taylor de en torno a = 2.

() = ( ()(2)( 2)

!

1

=0

) + ()()

( 2)

!

Donde [2, ].

Se restringe la integral de (,) para mejorar su rendimiento.

, = ()

,

,()

= ( ()(2)1

!( 2)

,()

,

1

=0

)

+1

! ()()

( 2)

! ,()

,

13

Se consideraran las integrales donde

= 0,1, , 1

( 2)

2

2(2 ) (+1)2

2

= 2

2 (

2)

(y)2j = 2(+1

2) (y)

1

0

1

0

El modulo verifica los coeficientes wavelet

debido a la desaparicin de momentos .

|,| =1

! ()()

( 2)

!2

2,(),

1

!

( 2)

!2

2,(),

= 2(+1

2) 1

! ()()

1

0

Se define = ()()

1

0, donde

= max ,()() se obtiene la desigualdad

deseada.

El teorema demuestra que, incluso cuando se

consideran seales mltiples para realizar la

Transformada Wavelet, el comportamiento de los

coeficientes de tren de ondas a travs de las escalas

de acuerdo con regularidad de Lipschitz no difiere

del caso en el que se descompone una sola seal.

6.2. Caso de Estudio

Consideremos de nuevo el ataque DDoS

realizado contra la red experimental MIT DARPA.

Utilizamos tanto el saliente como el entrante DMZ

(zona desmilitarizada) por el trfico de paquetes con

el fin de detectar ataques. Estos indicadores son

particularmente eficientes en el caso de un ataque de

inundacin SYN porque el nmero de paquetes de

ataques recibidos (paquete SYN) debe ser igual al

nmero de paquetes salientes (paquetes SYN/ACK).

La figura 6.1 muestra la descomposicin de los

coeficientes de tren de ondas indicando que ataque

ocurri. Vale la pena mencionar que en estos casos

se presenta un problema con la sincronizacin de

tiempo de las frecuencias de mltiples seales.

Efectivamente, cuando se recopilan las mtricas en

lugares de un red especfica, cuando se produce una

ocurrencia no se detecta el evento al mismo. Por lo

tanto, se utiliza el coeficiente de correlacin con el

fin de sincronizar las dos seales.

Se han simulado dos sistemas distribuidos con

ataques por inundacin con diferentes intensidades.

La figura 6.2 muestra el nmero medio de paquetes

por segundo para el primer ataque es de 1000

mientras que es igual a 500 para el segundo ataque

(figura 6.2 (a) y (b)). El mecanismo de

sincronizacin de tiempo mencionado con

anterioridad permite determinar el tiempo de

desplazamiento entre las dos seales. La decadencia

de coeficientes wavelet permite diferenciar los

ataques de baja intensidad de los ataques de alta

intensidad (figura 6.2 (c) y (d)). El lector puede darse

cuenta de que el primer ataque se detecta alrededor

de la quinta escala de la trasformada de wavelet,

mientras que el segundo ataque necesita una

descomposicin ms profunda para ser detectado.

Figura 6.1 Descomposicin de Wavelet de un Ataque

Distribuido DDoS

Figura 6.2 Descomposicin Wavelet Anomala Simulada.

14

En este ejemplo se ampla el estudio de la

seccin 5.2 y demuestra que el enfoque presentado

permite efectivamente diferenciar entre ataques

reales y falsos. De hecho, los ataques simulados, que

corresponden a los picos en las seales

monitorizadas, se han detectado por el enfoque

basado en la wavelet mientras que deberan haber

generado falsas alarmas si se utilizan enfoques

tradicionales. Por lo tanto mediante los estudios que

se realizaron a partir de datos de ataques reales,

permitiendo el seguimiento de los coeficientes de

Lipschitz a travs de escalas que permiten mejorar la

eficiencia reduciendo la tasa de falsas alertas.

7. Conclusin

En este trabajo, se propone un mtodo para la

deteccin de ataques a redes informticas a travs del

uso de la teora de ondas y exponentes Lipschitz. Se

establecen los fundamentos tericos del mtodo se

establecen y los experimentos se llevan a cabo en el

desarrollo de la investigacin incluyendo ataque

reales, para comprobar el razonamiento plateado. Se

muestra que la tcnica propuesta permite una

deteccin eficiente de los ataques informticos

modulando una buena seleccin de los indicadores

medidos. El enfoque que se presenta es intentar

aprovechar las propiedades intrnsecas de la

Trasformada Wavelet (especialmente el bajo coste de

su clculo y su buena localizacin espacial).

El enfoque presentado se puede ampliar para

detectar otros tipos de ataques que DoS y DDoS. Por

lo tanto, una cuestin interesante sera modificar la

herramienta de deteccin DDoS ataque basado en

wavelets para diferenciar entre mltiples ataques.

Puede ser construido un esquema de clasificacin

para este fin.

Referencias

[1] S. Northcutt, J. Novak, Network Intrusion

Detection, SAMS, third ed., ISBN: 0735712654,

2002.

[2] L.A. Gordon, M.P. Loeb, W. Lucyshyn, R.

Richardson, 10th annual CSI/FBI computer crime

and security survey, Computer Security Institute

(2005).

[3] Australian Crime and Security Survey,

ISBN: 1-864-99800-8.

[4] Worldwide ISP Security Report, Arbor

Networks, September 2005.

[5] G. Carl, G. Kesidis, R. Brooks, S. Rai,

Denial-of-Service attackdetection techniques, IEEE

Internet Computing 10 (1) (2006) 8289.

[6] P. Helman, G. Liepins, Statistical

foundations of audit trail analysis for the detection of

computer misuse, IEEE Transactions on Software

Engineering 19 (9) (1993).

[7] D. Dasgupta, F.A. Gonzalez, An intelligent

decision support system for intrusion detection, in:

Proceedings of the International Workshop on

Mathematical Methods, Models and Architectures

for Computer Network Security (MMM-ACNS),

LCNS, 2123, St. Petersbourg, Russia.

[9] N. Ye, X. Li, Q. Chen, S. Emran, M. Xu,

Probabilistic techniques for intrusion detection based

on computer audit data, IEEE Transactions on

Systems, Man and Cybernetics Part A: Systems and Humans 31 (4) (2001).

[10] N. Ye, S. Emran, Q. Chen, S. Vilbert,

Multivariate statistical analysis of audit trails for

host-based intrusion detection, IEEE Transactions on

Computers 51 (7) (2002).

[11] C. Taylor, J. Alves-Foss, NATE: Network

Analysis of Anomalous Traffic Events, a low-cost

approach, NSPW01, September 1013th, 2002, Cloudcroft, New Mexico, U.S.A.

[12] C. Taylor, J. Alves-Foss, An Empirical

Analysis of NATE Network Analysis of Anomalous Traffic Events, New Security Paradigms

Workshop02, September 2326, 2002, Virginia Beach, Virginia.

[13] W. DuMouchel, M. Schonlau, A

comparison of test statistics for computer intrusion

detection based on principal component regression of

transition probabilities, in: Proceedings of 2002

IEEE International Conference on Image Processing

(ICIP 2002), vol. 2, New York, USA, 2002, pp. 925928.

[14] S. Staniford-Chen, L.T. Heberlein,

Holding intruders accountable on the internet, in:

15

Proceedings of the 1995 IEEE Symposium on

Security and Privacy, Oakland, Canada, 1995, pp.

3949.

[15] H. Shah, J. Undercoffer, A. Joshi, Fuzzy

clustering for intrusion detection, in: Proceedings of

the IEEE International Conference on Fuzzy

Systems. St. Louis, MO, May 2003.

[18]Y.Meyer,OndelettesetOperateurs,Hermann,ISBN:2705661250-186, Paris,1990.

[19] S.G. Mallat, A theory of multiresolution

signal decomposition: the wavelet representation,

IEEE Transactions PAMI 2 (7) (1989) 674693.

[20] O. Rioul, A discrete-time multiresolution

theory unifying octaveband filter banks, pyramid and

wavelet transforms, IEEE Transactions on ASSP

(1990).

[21] S. Jaffard, Exposants de Holder en des

Points Donnes et Coefficients dOndelettes, Notes au Compte-Rendu de lAcad emie des Sciences, France, vol. 308, S erie I, 1989, pp. 7981.

[22] S. Mallat, W.L. Hwang, Singularity

detection and processing with wavelets, IEEE

Transactions on Information Theory 38 (2) (1992)

617643.

[23] B. Schneier, Secrets and Lies: Digital

Security in a Networked World, John Wiley & Sons,

ISBN: 0471253111, 2001.

[24] J. Geronimo, D. Hardin, P.R. Massopust,

Fractal functions and wavelet expansions based on

several scaling functions, Journal of Approximation

Theory 78 (1994) 373401.