Detección de anomalías de red mediante técnicas de machine learning

Abstract

[Resumen] El panorama actual, con un aumento del tráfico debido a la proliferación del internet de las cosas, al auge de la filosofía del siempre conectado, el aumento de los servicios multimedia, el cloud, la videoconferencia…, ha provocado la proliferación de ataques y de nuevas amenazas. Debido a ello, surge la necesidad de nuevos modelos de defensa rápidos y adaptables. Existen diferentes estrategias a la hora de afrontar el estudio del tráfico de red, pero el uso del enfoque de agregación, tanto en la captura como en el análisis, viene a solucionar en parte los problemas de las ingentes cantidades de tráfico que soportan a día de hoy las organizaciones. La agregación permite agrupar el tráfico, en un momento dado, en una secuencia de paquetes que comparten unos valores determinados, consiguiendo de esta forma reducir el volumen de datos a tratar sin perder la información relevante de los mismos. A pesar de la reducción en el volumen de información sigue haciéndose necesario el uso de técnicas de Big Data para analizarla. El auge actual de las técnicas de machine learning junto con el crecimiento, disponibilidad y sencillez de uso de la computación distribuida nos proporcionan las herramientas necesarias para acometer las tareas centradas en el análisis de tráfico agregado. El objetivo principal de este proyecto, a través de una prueba de concepto, es comparar y comprender diferentes técnicas de machine learning aplicadas a la detección en tiempo real de comportamientos anómalos en el tráfico de una red. De manera transversal incidiremos en aspectos como la captura de flujos o la implementación y despliegue de una solución distribuida como herramientas para dotar a nuestro modelo de las características esperadas de rendimiento y escalabilidad.

[Abstract] In the current scenario [1] with an increase of traffic (due to the proliferation of the internet of things, the rise of the philosophy of always connected and the increase in multimedia services, cloud, videoconferencing and its associated traffic) along with the proliferation of attacks and new threats, there is a need for fast and adaptable defense models. There are different approaches when dealing with the study of network traffic, but the use of the aggregation approach, both in the capture as in the analysis, comes to partially solve the problems of the huge amounts of traffic that support day-to-day traffic of the organizations. The aggregation allows grouping the traffic, at any given time, in a sequence of packets that share certain values, getting this way reduce the volume of data to be processed without losing the relevant information. Despite the reduction in the volume of information, achieved through the use of flows, the use of Big Data techniques to analyze it is still necessary. The current boom in machine learning techniques, hereinafter ML, together with the growth, availability and simplicity of use of distributed computing, provide us with the necessary tools to undertake the tasks focused on the analysis of aggregate traffic. The main objective of this project is to compare and understand different ML techniques applied to the real-time detection of anomalous behaviors in a network’s traffic. In a transversal way we will focus on aspects such as the capture of flows or the implementation and deployment of a distributed solution as tools to provide our model with the expected characteristics of performance and scalability.