Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Esquema Jerárquico de Monitorización y Detección de Anomalías en Red: Aplicación Práctica

    Încărcat de

    NESG UGR
    18 vizualizări21 pagini
    Presentation at JNIC III

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Presentation at JNIC III

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    18 vizualizări21 pagini

    Esquema Jerárquico de Monitorización y Detección de Anomalías en Red: Aplicación Práctica

    Încărcat de

    NESG UGR
    Presentation at JNIC III

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 21

    Esquema Jerrquico de Monitorizacin y

    Deteccin de Anomalas en Red: Aplicacin


    Prctica

    Roberto Magn-Carrin Jos Camacho


    Gabriel Maci-Fernndez Marta Fuentes-Garca
    {rmagan,josecamacho,gmacia,nmfuentes}@ugr.es
    NESG (Network Engineering & Security Group)
    Madrid, 2 de junio de 2017

    @robertomagan @nesg_ugr
    Contenido

    1 Contexto

    2 Propuesta

    3 Ejemplo prctico de uso

    4 Trabajo en curso

    5 Conclusiones y trabajo futuro

    2 / 20
    N
    Contexto

    Monitorizacin y deteccin de anomalas

    SIEM (Security Information & Event Management)


    Recogida y correlacin de informacin desde fuentes hetergeneas
    Realizacin de informes de seguridad
    Deteccin, anlisis y mitigacin de incidentes de seguridad

    3 / 20
    N
    Contexto

    Monitorizacin y deteccin de anomalas

    SIEM (Security Information & Event Management)


    Recogida y correlacin de informacin desde fuentes hetergeneas
    Realizacin de informes de seguridad
    Deteccin, anlisis y mitigacin de incidentes de seguridad

    Problemtica
    Gestin eficiente de la informacin
    Cantidad, tiempo de cmputo y procesado, etc.
    Escalabilidad

    3 / 20
    N
    Propuesta

    Esquema jerrquico de monitorizacin y


    deteccin de anomalas en red

    Objetivo > herramienta prctica que ...


    Reduccin del trfico de monitorizacin manteniendo la capacidad de
    deteccin
    Diagnsito y de-parsing
    Visualizacin interactiva
    Escalable y distribuida

    4 / 20
    N
    Propuesta

    Esquema jerrquico de monitorizacin y


    deteccin de anomalas en red

    Monitorizacin y deteccin
    PCA, estadsticos Q y D
    Grficos de monitorizacin y
    lmites de control
    Estadsticos vs raw

    G. Maci-Fernndez, J. Camacho, P. Garca-Teodoro, and R. A. Rodrguez-Gmez.


    Hierarchical PCA-based multivariate statistical network monitoring for anomaly detection.
    In 2016 IEEE International Workshop on Information Forensics and Security (WIFS), pages 16, diciembre
    2016.

    5 / 20
    N
    Ejemplo prctico de uso

    Escenario

    6 / 20
    N
    Ejemplo prctico de uso

    Sensores

    7 / 20
    N
    Ejemplo prctico de uso

    Sensores
    [Qn,m ,Dn,m]

    Sn,m
    MANAGER

    PARSER
    IS
    MSNM
    L R

    COM

    [Q1,m+1 ,D1,m+1, ... ,Qn,m+1,Dn,m+1]

    Jos Camacho, Alejandro Prez-Villegas, Pedro Garca-Teodoro, and Gabriel


    Maci-Fernndez.
    PCA-based multivariate statistical network monitoring for anomaly detection.
    Computers & Security, 59:118137, junio 2016.

    8 / 20
    N
    Ejemplo prctico de uso

    Monitorizacin y deteccin

    9 / 20
    N
    Ejemplo prctico de uso

    Monitorizacin y deteccin

    10 / 20
    N
    Ejemplo prctico de uso

    Monitorizacin y deteccin

    11 / 20
    N
    Ejemplo prctico de uso

    En este punto

    Herrmienta operativa que ...


    Recoge y adecua informacin de diferentes fuentes de informacin
    Reduce el trfico de monitorizacin manteniendo la capacidad de
    deteccin
    Privacidad de la informacin
    Jerrquica, escalable y distribuida

    12 / 20
    N
    Trabajo en curso

    Diagnstico y de-parsing
    Diagnstico Anomala
    5

    Q1, 1
    2

    0
    0 10 20 30 40 50 60 70 80 90
    25 Observaciones

    20

    15

    D1, 1
    10

    0
    0 10 20 30 40 50 60 70 80 90
    Observaciones

    De-parsing
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52
    Fuente y localizacin TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52

    .log
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0

    1845
    Variable

    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52

    7
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0

    250 5201
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0

    bles_
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52

    ipta
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0
    May 24 16:48:31 roberto-PORTEGE-Z930 kernel: [25088.497618] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52
    TOS=0x00 PREC=0x00 TTL=64 ID=7080 DF PROTO=TCP SPT=8888 DPT=56694 WINDOW=990 RES=0x00 ACK URGP=0
    Diagnostic Routing Table

    13 / 20
    N
    Trabajo en curso

    Diagnstico y de-parsing

    14 / 20
    N
    Trabajo en curso

    Diagnstico y de-parsing

    15 / 20
    N
    Trabajo en curso

    Diagnstico y de-parsing
    [Cm] [Rm] [Qn,m ,Dn,m]

    Sn,m
    MANAGER

    IS

    PARSER
    DIAGNOSIS
    MSNM
    L R
    DRT

    COM

    [Cm+1] [Rm+1] [Q1,m+1 ,D1,m+1, ... ,Qn,m+1,Dn,m+1]

    16 / 20
    N
    Trabajo en curso

    GUI

    17 / 20
    N
    Conclusiones y trabajo futuro

    Conclusiones

    1 Reduccin de trfico de monitorizacin


    2 Capacidad de deteccin intacta
    3 Jerrquica, distribuida y escalable
    4 Diagnstico y de-parsing

    18 / 20
    N
    Conclusiones y trabajo futuro

    Trabajo futuro
    1 Mtodos de visualizacin interactivos
    2 Ajuste y modificacin dinmica del sistema
    3 Autoevaluacin de la calidad del sistema
    4 Notificacin asncronas
    5 Modo esttico: dataset
    6 Descubrimiento de red y despliegue de sensores automtico
    7 Disponibilidad para su uso y mejora colaborativa: open source

    NESG (Network Engineering & Security Group).


    iMEDA, the EDA tool for everybody, everywhere.
    http://nesg.ugr.es/imeda.

    NESG (Network Engineering & Security Group).


    UGR16: A New Dataset for Network IDS Evaluation.
    http://nesg.ugr.es/nesg-ugr16/.

    19 / 20
    N
    Esquema Jerrquico de Monitorizacin y
    Deteccin de Anomalas en Red: Aplicacin
    Prctica

    Roberto Magn-Carrin Jos Camacho


    Gabriel Maci-Fernndez Marta Fuentes-Garca
    {rmagan,josecamacho,gmacia,nmfuentes}@ugr.es
    NESG (Network Engineering & Security Group)
    Madrid, 2 de junio de 2017

    @robertomagan @nesg_ugr

    S-ar putea să vă placă și