Detección de ataques de seguridad en redes usando técnicas de ensembling

En la actualidad el malware continúa representando una de las principales ame- nazas de seguridad informática. Aún resulta difı́cil contar con sistemas de detección eficientes para separar con precisión el comportamiento normal del malicioso, a partir del análisis del tráfico de red. Ello se debe a las caracterı́sticas del tráfico malicio- so y el normal ya que el tráfico normal es muy complejo, diverso y cambiante; y el malware también es cambiante, migra y se oculta simulando ser tráfico normal. Además hay gran cantidad de datos a analizar y se requiere que la detección sea en tiempo real para ser útil. Es necesario entonces contar con un mecanismo efectivo para detectar malware y ataques en la red. A fin de beneficiarse de múltiples clasificadores diferentes, y explotar sus fortale- zas, surge el uso de los algoritmos de ensembling, los cuales combinan los resultados de los clasificadores individuales en un resultado final para lograr una mayor precisión y ası́ un mejor resultado. Ello también puede aplicarse a problemas de ciberseguri- dad, en particular a la detección de malware y ataques mediante el análisis de tráfico de red, desafı́o que hemos planteado en esta tesis. Los trabajos de investigación realizados, en relación a ensemble learning de de- tección de ataques, apuntan principalmente a incrementar el rendimiento de los al- goritmos de aprendizaje automático combinando sus resultados. La mayorı́a de los trabajos proponen el uso de alguna técnica, de ensemble learning existente o creada por los autores, para detectar algún tipo de ataque en particular y no ataques en general. Hasta el momento ninguno aborda el uso de datos de TI (Threat Intelligence por su sigla en inglés) en algoritmos de Ensemble Learning para mejorar el proceso de detección, como ası́ tampoco se trabaja en función del tiempo, es decir teniendo en cuenta lo que ocurre en la red en un intervalo de tiempo acotado. El objetivo de esta tesis es proponer una metodologı́a para aplicar ensembling en la detección de hosts infectados considerando estos dos aspectos. En función del objetivo planteado se han investigado y evaluado algoritmos de ensembling aplicables a seguridad en redes y se ha desarrollado una metodologı́a de detección de hosts infectados aplicando ensembling, basado en experimentos di- señados y probados con datasets reales. Dicha metodologı́a plantea realizar el proceso de detección de hosts infectados en tres fases. Dichas fases se llevan a cabo cada una determinada cantidad de tiempo (conocida como ventana de tiempo o TimeWin- dows). Cada una de ellas aplica ensembling con distintos objetivos. La primera fase lo hace para clasificar cada flujo de red perteneciente a la ventana de tiempo, como malware o normal. La segunda fase lo aplica para clasificar el tráfico entre un origen y un destino, como malicioso o normal, indicando si el mismo forma parte de una infección. Y por último, la tercer fase, con el objetivo de clasificar cada host como infectado o no infectado, considerando los hosts que originan las comunicaciones. La implementación en fases permite resolver, en cada una de ellas, un aspecto del problema, y a su vez tomar las predicciones de la fase anterior, que se combinan con el análisis propio de la fase para lograr mejores resultados. Además, implica llevar a cabo el proceso de entrenamiento y testeo en cada fase. Dado que el mejor modelo se obtiene a partir del entrenamiento, cada vez que se realiza el mismo para una fase determinada, el modelo se ajusta para detectar nuevos ataques. Esto representa una ventaja frente a las herramientas basadas en firmas o reglas estáticas, donde hay que conocer el comportamiento para agregar nuevas reglas. Las ventajas del uso de ensembling puede observarse en cada fase en particular. En la Fase 1, aplicando ensembling no hay falsos positivos al clasificar cada flujo de red, como malicioso o normal. Mientras que en dicha fase, sin aplicar ensembling y uusando un único algoritmo para la clasificación se tienen: 10366 falsos positivos en caso de usar Logistic Regression, 266 falsos positivos usando Naive Bayes, y 4 falsos positivos para el caso de Random Forest. En la Fase 2, el aplicar ensembling para combinar criterios en relación a los distintos tipos de conexiones que se dan entre una IP origen y una IP destino, permite clasificar los flujos de red que van de un origen a un destino, y tener una única decisión para todo ese conjunto de flujos de red. En dicha fase se reducen los posibles falsos positivos y falsos negativos de la Fase 1, lo cual se demuestra en los experimentos insertando errores aleatorios en el dataset resultante de la Fase 1. En la Fase 3, el incluir la información de threat intelligence provista por el módulo VirusTotal de Slips (por su sigla en inglés Stratosphere Linux IPS) en el proceso de ensembling de esta fase, permite reducir los falsos negativos provenientes de la fase anterior. Ello también refuerza la decisión para el caso de las direcciones IPs destinos clasificadas como maliciosas. Sin embargo, el peso que se asigna a la información de TI debe ser poco significativo, para evitar falsos positivos en la clasificación de esta fase, donde se clasifica cada dirección IP origen como maliciosa o normal, indicando si está infectada o no. A partir de los resultados obtenidos se propone diseñar e implementar un nuevo módulo en Slips para detectar hosts infectados a través del ensembling, que incluye los datos de Threat Intelligence y trabaja en función del tiempo. Tanto la metodologı́a desarrollada como la propuesta de diseño e implementación del módulo implementado constituyen los principales aportes de esta tesis de maestrı́a.Facultad de Informátic

Puntos clave para el desarrollo de una aplicación segura usando firma digital

El auge de la firma digital para asegurar transacciones en Internet es un hecho que no se puede pasar por alto hoy en día. Si bien la firma digital de mensajes de correo electrónico y de transacciones WEB es muy importante, existen un sinnúmero de aplicaciones que se pueden beneficiar al introducir un esquema de seguridad que tenga como eje la firma digital (para garantizar, por ejemplo, autenticidad y no repudio). El presente artículo describe los puntos más importantes para construir una aplicación de este tipo. La propuesta se ilustra con un prototipo desarrollado y operativo en el LINTI, laboratorio de la Facultad de Informática de la Universidad Nacional de La Plata, llevado a cabo por Verónica Fredes y Paula Venosa.Eje: Sistemas operativosRed de Universidades con Carreras en Informática (RedUNCI

Detección de botnets utilizando herramientas <i>open source</i>

Las botnets representan una de las principales amenazas que afectan a las organizaciones y a los usuarios hoy en día. A través de las mismas los cibercriminales consiguen comprometer hosts sin el consentimiento de sus dueños, con el fin de usarlos como “trampolín” para el lanzamiento de distintos tipos de ataques hacia terceros, como ser denegación de servicio, fraude y robo de identidad entre otros. En este artículo se presenta una línea de investigación que tiene como objetivo el estudio de las botnets y sus características, así como las técnicas de detección existentes, con sus ventajas y desventajas. El estudio incluye la búsqueda de herramientas que apliquen las técnicas investigadas con el fin de detectar botnets, y la creación de un ambiente de prueba en el cual se pueda testear y comparar el funcionamiento de dichas herramientas con el fin de proponer un framework o prototipo, implementado a partir de la combinación de las distintas herramientas que se consideren adecuadas para detección confiable y eficiente de botnets en una red.Eje: Seguridad InformáticaRed de Universidades con Carreras en Informática (RedUNCI

Puntos clave para el desarrollo de una aplicación segura usando firma digital

El auge de la firma digital para asegurar transacciones en Internet es un hecho que no se puede pasar por alto hoy en día. Si bien la firma digital de mensajes de correo electrónico y de transacciones WEB es muy importante, existen un sinnúmero de aplicaciones que se pueden beneficiar al introducir un esquema de seguridad que tenga como eje la firma digital (para garantizar, por ejemplo, autenticidad y no repudio). El presente artículo describe los puntos más importantes para construir una aplicación de este tipo. La propuesta se ilustra con un prototipo desarrollado y operativo en el LINTI, laboratorio de la Facultad de Informática de la Universidad Nacional de La Plata, llevado a cabo por Verónica Fredes y Paula Venosa.Eje: Sistemas operativosRed de Universidades con Carreras en Informática (RedUNCI

Wardriving: an experience in the city of La Plata

In the last few years, the use of wireless networks has been growing exponentially in many situations of our daily life. They are implemented in very different environments and are used for a wide range of applications. This reality is reflected in the information published in the CISCO barometer. The incorporation of wireless technology allows, by taking advantage of broadband connections through xDLS or cablemodem, with the speed these have acquired, the incorporation of wireless devices which extend coverage with lower costs, while providing users with mobility. With the goal of proving the said growth, and analyzing the characteristics of these networks, we performed a study, using the wardriving technique in the city of La Plata. Similar studies have been performed around the world, some with the main goal of evaluating the security status of these networks. This article describes our wardriving experience in the city of La Plata, capital city of the province of Buenos Aires, describing the tasks performed, the tools used and the results obtained.Workshop de Arquitecturas, Redes y Sistemas Operativos (WARSO)Red de Universidades con Carreras en Informática (RedUNCI

Analysis of anonymity applied to cryptocurrencies

Este trabajo muestra un estudio en profundidad de la tecnología Bitcoin, en el cual se aborda un análisis cualitativo de sus funcionalidades y arquitectura. También describe diferentes técnicas y fines de usos que potencialmente un usuario podría llegar a realizar con esta tecnología. Por último presenta un análisis de la posibilidad de aplicación de diferentes prácticas de descubrimiento ante la presencia de una investigación del uso cibercriminal de criptomonedas.This work shows an in-depth study of Bitcoin technology, in which a qualitative analysis of its functionalities and architecture is addressed. It also describes different techniques and uses purposes that a user could potentially achieve with this technology. Finally, it presents an analysis of the possibility of applying different discovery practices in the presence of an investigation of the cybercriminal use of cryptocurrencies.VIII Workshop seguridad informática.Red de Universidades con Carreras en Informátic

Auditoría de seguridad de organizaciones, fortalezas y debilidades de la norma ISO 17799

La información puede existir en diversas formas y constituye un elemento valioso para toda organización. Las amenazas a las cuales está expuesta dicha información son cada vez más sofisticadas y aumentan día a día. A fin de lograr una mayor protección de la información surge la necesidad de definir pautas para resguardarla. La norma ISO1 17799 nace en respuesta a dicha necesidad. Esta norma es un estándar para manejo de la seguridad de la información reconocido internacionalmente. Es un modelo que actualmente es aplicado en todo tipo de organizaciones y aplicaciones. En el año 2002 se homologó en Argentina como IRAM2 17799. Este artículo presenta sus fortalezas y debilidades partiendo de un análisis detallado de la misma.Eje: ArquitecturaRed de Universidades con Carreras en Informática (RedUNCI

Architecture of Certificates: form a hierarchical architecture and centralized to a distributed and decentralized

Los principales esfuerzos de los últimos años se han concentrado en el problema de asignar de forma segura nombres a claves públicas, de hecho, la comunidad científica adoptó progresivamente el uso de sistemas basados en Public Key Infrastructure (PKI) con el fin de proporcionar servicios de seguridad a los sistemas, los cuales dependen de la existencia de una arquitectura centralizada y jerárquica. Esta misma problemática se traspola a la gestión del comercio electrónico, donde en el modelo inicial se requería de una entidad central que debía emitir divisa electrónica a los diferentes usuarios, no obstante, en 2009, Satoshi Nakamoto crea Bitcoin: una criptomoneda con tecnología peer-to-peer para operar sin una autoridad central o bancos. En esta investigación se aplica en PKI lo mismo que logró Nakamoto en el comercio electrónico, una reingeniería, migrando una arquitectura centralizada y jerárquica a una completamente descentralizada por medio de su innovación tecnológica llamada Blockchain.The main efforts of recent years have focused on the problem of set a name securely to public keys, in fact, the scientific community has been gradually adopting the use of systems based in Public Key Infrastructure (PKI) in order to provide security services. However, that systems depend on the existence of a centralized and hierarchical method. This same problem is translated into the management of electronic commerce, which presents a central entity that must issue electronic currency to different users. In 2009, Satoshi Nakamoto creates Bitcoin: a peer-to-peer technology to operate without a central authority or banks. This investigation applies in PKI the same concepts that Nakamoto applied in the electronic commerce, a reengineering and a paradigm shift, a migration from a centralized and hierarchical architecture to a decentralized and not hierarchical through the innovative technology called Blockchain.Laboratorio de Investigación en Nuevas Tecnologías Informática

Auditoría de seguridad de organizaciones, fortalezas y debilidades de la norma ISO 17799

La información puede existir en diversas formas y constituye un elemento valioso para toda organización. Las amenazas a las cuales está expuesta dicha información son cada vez más sofisticadas y aumentan día a día. A fin de lograr una mayor protección de la información surge la necesidad de definir pautas para resguardarla. La norma ISO1 17799 nace en respuesta a dicha necesidad. Esta norma es un estándar para manejo de la seguridad de la información reconocido internacionalmente. Es un modelo que actualmente es aplicado en todo tipo de organizaciones y aplicaciones. En el año 2002 se homologó en Argentina como IRAM2 17799. Este artículo presenta sus fortalezas y debilidades partiendo de un análisis detallado de la misma.Eje: ArquitecturaRed de Universidades con Carreras en Informática (RedUNCI

Redes sociales open source : Una comunidad para Caperucita

La Facultad de Informática de la Universidad Nacional de la Plata (UNLP) ha encarado, desde hace un tiempo, un proyecto que trata sobre la implementación de talleres de concientización en seguridad informática dirigida a jóvenes, padres, docentes y personas de la tercera edad. Este proyecto se orienta principalmente a niños, jóvenes y adultos de edad avanzada, ya que éstos son los más vulnerables a acciones maliciosas llevadas por terceros en la Red. Este proyecto fue denominado inicialmente “Caperucita y el Lobo en el Ciberespacio” y, en una segunda presentación: “Caperucita fue víctima de la Ingeniería Social: Concientización en seguridad informática para todos” haciendo alusión, en ambos casos al cuento clásico Caperucita Roja donde la niña es engañada por el Lobo,. El objetivo de este trabajo es describir herramientas de software libre que se analizaron para desarrollar una comunidad para el proyecto de extensión mencionado. La misma permitirá compartir experiencias, inquietudes, conocimientos, opiniones, etc. a través de una red social especialmente diseñada.Red de Universidades con Carreras en Informática (RedUNCI