1 / 12

Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP

PROYECTO FIN DE CARRERA. Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP. Fermín Galán Márquez galan@dit.upm.es. Contenidos de la presentación. Plataforma MIRA Arquitectura funcional Arquitectura física Procesado de datos Desarrollos principales

kadeem-byers
Download Presentation

Desarrollo de Mecanismos Avanzados de Supervisión y Análisis de Tráfico sobre Redes IP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PROYECTO FIN DE CARRERA Desarrollo de Mecanismos Avanzados deSupervisión y Análisis de Tráficosobre Redes IP Fermín Galán Márquez galan@dit.upm.es

  2. Contenidos de la presentación • Plataforma MIRA • Arquitectura funcional • Arquitectura física • Procesado de datos • Desarrollos principales • Detección de tráfico lúdico • Funciones de seguridad • Estadísticas convencionales • Desarrollos adicionales • Conclusiones • Líneas de trabajo futuro

  3. configuración tráfico capturado flujos Captura de tráfico Preprocesado Análisis sondas Internet Plataforma MIRA: arquitectura funcional Red monitorizada

  4. preprocesado análisis captura consolidación Internet Plataforma MIRA: arquitectura física Red monitorizada

  5. síntoma patrones PUBLICIDAD: anuncio advertisement HTTP: HTTP 1.0 <HTML> … Preprocesado 215/89 6 192.168.5.70 3128 192.168.17.2 42624 613/0 6/0 HTTP=1/0;PUBLICI=5/2 215/89 6 192.168.5.73 6667 192.168.245.7 49140 740/9208 14/10 215/89 6 192.168.5.23 2342 192.168.0.1 7872 678/990 12/10 ... PUBLICIDAD es COM HTTP es ACA 6667 es puerto LUD 192.168.0.1 es LUD … Análisis 215/89 6 192.168.5.70 3128 192.168.17.2 42624 613/0 6/0 HTTP=1/0;PUBLICI=5/2 COM 215/89 6 192.168.5.73 6667 192.168.245.7 49140 740/9208 14/10 LUD 215/89 6 192.168.5.23 2342 192.168.0.1 7872 678/990 12/10 LUD ... Plataforma MIRA: procesado de datos 736FE9091AB7690CEF7810AB89828DC761E8932490AAB8298971D8911290E9132098F9028313DDE1900A7876E2983821111

  6. protocolos P2P y streaming formato audio MP3 patrones (binarios) direcciones puertos MP3: 0xFFFA90 0xFFFB90 … ¿sincronización de flujo? estudio estadístico (17 Gb) soporte de patrones binarios Detección de tráfico lúdico verificación de utilidad de patrones implementación

  7. Estudio estadístico • Ficheros MP3 • Ficheros no MP3 ratio experimental: despreciable

  8. firmas de ataque respuesta activa Funciones de seguridad: arquitectura configuración tráfico capturado flujos Captura de tráfico Preprocesado Análisis NIDS sondas Red monitorizada Internet

  9. motor de análisis base de datos de firmas know-how, herramientas, etc Snort tráfico seguridad tráfico capturado flujos procesos de captura Snort procesos de análisis convencional adaptación adaptación Funciones de seguridad: desarrollo consolidación registro informe respuesta activa

  10. 53 109 110 143 220 IMAP 53 POP DNS TCP DNS MAIL UDP estadísticas de bajo nivel estadísticas de alto nivel Estadísticas convencionales flujos clasificador de tráfico

  11. Desarrollos adicionales • Mejora del preprocesado • Patrones binarios (necesarios para MP3) • Algoritmo de búsqueda (Boyer-Moore):~40% caso insensitivo • Medidas de uso • Flexibilización de la clasificación de tráfico • Definición de gramática flexible para especificar el algoritmo base de datos de patrones informes de uso depuración ~80% patrones MP3 realimentación

  12. Conclusiones • Beneficios de la plataforma desarrollada • Conclusiones • Aumento significativo del tráfico lúdico clasificado ~20% • Uso de Snort • Resultados satisfactorios en estadísticas convencionales • Líneas de trabajo futuro • Arquitectura distribuida • Aplicación de técnicas de Inteligencia Artificial • Mejoras en las funciones de seguridad • Implementación de la gramática del clasificador del tráfico

More Related