Panda (processing and analysis of network data) para la detección de ataques syn-flood y satán sobre flujos continuos de paquetes de red mediante el algoritmo dbscan
Este trabajo presenta un modelo para la detección de anomalías de red enfocándose en los ataques de denegación de servicios SYN-FLOOD y SATAN de escaneo de vulnerabilidades por medio del análisis y procesamiento de flujos continuos de paquetes de red. La arquitectura del modelo contempla los compone...
- Autores:
-
Pinto Diaz, Luz Adriana
Santos Diaz, Ricardo
- Tipo de recurso:
- http://purl.org/coar/version/c_b1a7d7d4d402bcce
- Fecha de publicación:
- 2013
- Institución:
- Universidad Industrial de Santander
- Repositorio:
- Repositorio UIS
- Idioma:
- spa
- OAI Identifier:
- oai:noesis.uis.edu.co:20.500.14071/29206
- Palabra clave:
- Dos
Syn-Flood
Probing
Intrusiones De Red
Minería De Datos.
Dos
Syn-Flood
Probing
Network Intrusión Detection
Data Mining.
- Rights
- License
- Attribution-NonCommercial 4.0 International (CC BY-NC 4.0)
Summary: | Este trabajo presenta un modelo para la detección de anomalías de red enfocándose en los ataques de denegación de servicios SYN-FLOOD y SATAN de escaneo de vulnerabilidades por medio del análisis y procesamiento de flujos continuos de paquetes de red. La arquitectura del modelo contempla los componentes de: captura del tráfico de red, pre-procesamiento de las características más relevantes para la detección de los ataques SYN-FLOOD y SATAN de acuerdo a diversos trabajos para el dominio mencionado, caracterización de las conexiones anómalas por medio del algoritmo de agrupamiento o clustering de minería de datos DBSCAN basado en densidad y finalmente visualización de los resultados en una interfaz web, la cual genera una respuesta pasiva mediante una notificación en el escritorio para advertir al administrador de la red la ocurrencia de un ataque. Para la validación del modelo se simularon flujos continuos de paquetes de red con los datos de DARPA98 los cuáles presentan diversos tipos de ataques entre ellos los de interés de este trabajo. El modelo presentado es una base para un sistema de detección de anomalías capaz de detectar otro tipo de ataques de red mediante la extracción y análisis de otras características presentes en el tráfico de red. |
---|