Panda (processing and analysis of network data) para la detección de ataques syn-flood y satán sobre flujos continuos de paquetes de red mediante el algoritmo dbscan

Este trabajo presenta un modelo para la detección de anomalías de red enfocándose en los ataques de denegación de servicios SYN-FLOOD y SATAN de escaneo de vulnerabilidades por medio del análisis y procesamiento de flujos continuos de paquetes de red. La arquitectura del modelo contempla los compone...

Full description

Autores:
Pinto Diaz, Luz Adriana
Santos Diaz, Ricardo
Tipo de recurso:
http://purl.org/coar/version/c_b1a7d7d4d402bcce
Fecha de publicación:
2013
Institución:
Universidad Industrial de Santander
Repositorio:
Repositorio UIS
Idioma:
spa
OAI Identifier:
oai:noesis.uis.edu.co:20.500.14071/29206
Acceso en línea:
https://noesis.uis.edu.co/handle/20.500.14071/29206
https://noesis.uis.edu.co
Palabra clave:
Dos
Syn-Flood
Probing
Intrusiones De Red
Minería De Datos.
Dos
Syn-Flood
Probing
Network Intrusión Detection
Data Mining.
Rights
License
Attribution-NonCommercial 4.0 International (CC BY-NC 4.0)
Description
Summary:Este trabajo presenta un modelo para la detección de anomalías de red enfocándose en los ataques de denegación de servicios SYN-FLOOD y SATAN de escaneo de vulnerabilidades por medio del análisis y procesamiento de flujos continuos de paquetes de red. La arquitectura del modelo contempla los componentes de: captura del tráfico de red, pre-procesamiento de las características más relevantes para la detección de los ataques SYN-FLOOD y SATAN de acuerdo a diversos trabajos para el dominio mencionado, caracterización de las conexiones anómalas por medio del algoritmo de agrupamiento o clustering de minería de datos DBSCAN basado en densidad y finalmente visualización de los resultados en una interfaz web, la cual genera una respuesta pasiva mediante una notificación en el escritorio para advertir al administrador de la red la ocurrencia de un ataque. Para la validación del modelo se simularon flujos continuos de paquetes de red con los datos de DARPA98 los cuáles presentan diversos tipos de ataques entre ellos los de interés de este trabajo. El modelo presentado es una base para un sistema de detección de anomalías capaz de detectar otro tipo de ataques de red mediante la extracción y análisis de otras características presentes en el tráfico de red.