Presentacin de PowerPoint

Deteccin de ataques DoS a travs de wavelets1Anomalas e IntrusionesAnomala: un estado de la red diferente al estado habitualIntrusin: transicin entre estado seguro y no seguroDetectable a travs de patrones (deteccin de mal usos) y anomalas2Ataques DoSIntrusiones con el fin de inhabilitar un servicio disponible en lneaPueden involucrar miles de computadoresDifiere ligeramente del trfico normalPueden esquivar sistemas de detecciones de intrusiones existentes3Blancos del DoSAplicaciones especficas en el host vctimaEl host vctima en su totalidadPuntos dbiles de una red especficaConsumicin de ancho de bandaAtaques a infraestructura4Deteccin de DoSPor firmasSimilar a por patronesNecesita de ataques conocidos para poder detectar futuros ataquesPor mtricasPunto-cambio (thresholding)Comparar valores de ciertos atributos con fronteras del espacio normal de eventosPerfiles de actividadGenerar perfiles actualizados del comportamiento normal del sistema5Ejemplo de medicin de mtricasNumero de paquetes por segundo

6Pero esto, los mtodos anteriores presentan fallasNo se relacionan fuertemente los ataques y anomalasAlto nmero de falsas alarmas

7Lo primeroModelar los ataques como un ruido que afecta una sealLa seal siendo el comportamiento normal de la redCreacin de un framework matemtico para modelar la seal

8El framework matemticoModelar las actividades normales de la redActividades a nivel de usuarioActividades a nivel de hostActividades a nivel de redModelar las anomalasSi una transaccin tiene en cualquier punto mtricas anmalas, toda la transaccin es una anomalaModelar el ataqueConsiderado como una singularidadConsiderado como un cambio abrupto en seales medibles9WaveletsPueden descomponer seales unidimensionales para analizar tanto sus frecuencias especiales y localizaciones temporalesAlternativa a las transformaciones de Fourier por ventanas10Definicin de waveletUna funcin (.) que pertenece a () (espacio de Hlder para funciones con energa finita) y centrado alrededor del cero se dice que es un wavelet si, y solo si, su transformacin de Fourier satisface la siguiente condicin:

11Por lo tanto Transformada de Wavelet DiscretaLipschitzLipschitzLipschitzLipschitzDeteccin de singularidades basadas en waveletsEn matemticas, las regularidades locales de las funciones son a menudo evaluadas a travs de exponentes LipschitzRegularidad Local LipschitzAnalizar la regularidad local de la funcin seal a travs de waveletsComputacionalmente pesadoEstimacin de exponentes Lipschitz utilizando mximos waveletSingularidades causan un mximo en el mdulo de la transformacin wavelet18Wavelets y ataques de redLos ataques pueden ser vistos como cambios bruscos en algunas seales medibles.Matemticamente, un ataque puede ser visto como una singularidad que afecta a una mtrica especifica.sese el mtodo de deteccin de singularidades de Lipschitz basada en ondasImportancia de la eleccin de las mtricas19Deteccin de ataques de redDado un punto en una mtrica supervisada, existe un ataque si:El punto es un mximo localExiste un pequeo aumento en los mximos locales20Deteccin de ataques de red

21EjemploGrficos de paquetes por segundo (a) y del comportamiento de la posiciones del mximo (b)

22Distribucin de los puntos de monitoreoTodo lo anterior fue aplicado a una sola mtrica en una mquina especficaEn la realidad, ataques DoS pueden abarcar toda la infraestructuraNecesidad de elegir puntos de monitoreo y con que mtricasExtender la teora de wavelets a seales de mltiples variablesPuede demostrarse que incluso cuando se consideran seales mltiples para realizar la transformacin wavelet, el comportamiento de los coeficientes del tren de ondas a travs de las escalas de acuerdo con regularidad de Lipschitz no difiere del caso en el que se descompone una sola seal.23Ejemplo con dos puntos de monitoreo

Grficos de paquetes por segundo (a) y del comportamiento de la posiciones del mximo (b)24ConclusionesVentajas de la transformacin wavelet para el anlisis de la seal y deteccin de ataquesBajo coste de clculoBuena localizacin espacial25