Sistema de deteccíón de anomalías de red basado en el procesamiento de la Carga Útil [Payload]

Abstract

Los sistemas actuales de detección de anomalías basados en la carga útil pasan por serias dificultades a la hora de defenderse frente a ataques de tipo mimicry, así como ataques día cero, pudiendo poner en serio peligro los sistemas protegidos. El sistema propuesto en este documento, como preprocesador del IDS Snort, se basa en la correlación entre instrucciones de un mismo ataque para defenderse frente a ataques polimorficos, así como en los patrones de ataques ya conocidos, pudiendo así protegerse de ataques de reciente creación, dado que basan parte de su código en algún ataque conocido. Como método para conseguir estos objetivos se han evaluado diferentes vías que se desarrollan a lo largo de este documento. OpenMP nos proporciona paralelismo en arquitecturas de memoria compartida para acelerar el procesamiento de los paquetes, mientras que se han optimizado ciertas secciones críticas del proceamiento, así como del almacenamiento de las estructuras necesarias para almacenar la información generada. Se ha evaluado el rendimiento de la nueva implementación con tráfico real proveniente de la red de la UCM, dichos resultados arrojan interesantes observaciones sobre el algoritmo. Como líneas de investigación en progreso quedaría transformar las secciones críticas del procesamiento a GPGPU, ya sea CUDA u OpenCL, así como el uso de sistemas de correlación de alertas para descargar de trabajo al IDS. [ABSTRACT] Nowadays payload anomaly based detection systems go through serious difficulties when facing mimicry type attacks, as well as zero day attacks, putting protected systems on jeopardy. The system proposed on this document, as a Snort preprocessor, is based on attack instructions correlation to defend against polymorphic attacks, aditionally the use of well known attack patterns allows us to protect the network against new attacks, since a part of their code relies on already known attacks. Different ways of developement have been evaluated when pursuing these goals, being all of them presented troughout this document. While OpenMP provides us with enhaced performance on the processing of packages by using shared memory parallelism, critical sections of the processing algorithm have been improved, as well as the storage of the necessary data structures to store all of the generated information. Performance of the new implementation has been tested with real traffic from the UCM net, these results show up interesting observations about the algorithm. As current progress research lines it is important to highlight the implementation on GPGPU, CUDA or OpenCL, of critical parts of the processing algorithm, as well as the use of alert correlation systems to relieve the IDS of a part of its workload.