Sistema de detección de ataques DDoS en Tor

Abstract

Para proteger la privacidad, Tor, un sistema anónimo muy popular, dirige el tráfico a través de múltiples relays. Esta red ha sido sujeto de numerosos ataques con la intención de desenmascarar las identidades de los usuarios, siendo los ataques de denegación de servicio unos de los más utilizados. No solo este tipo de ataques se han convertido en una amenaza en Tor, además han tenido gran importancia en Internet. En este trabajo, se propone un sistema basado en anomalías para detectar estos ataques. El tráfico se analiza sin comprometer la privacidad de los usuarios y de _el se extraen datos que a través de ciertas métricas permiten modelizarlo a partir de series temporales para detectar anomalías. Realizar pruebas de la herramienta desarrollada ha supuesto un gran reto debido a las dificultades que supone obtener tráfico de ataques de denegación de servicio tanto en Internet como en Tor, donde la inexistencia de datasets de dominio público en esta última ha supuesto la necesidad de generarlos.To protect our privacy, Tor, a popular anonymity system, forwards traffic through multiple relays. This network has been the subject of numerous attacks trying to disclose user identities, being denial of service attacks one of the most widespread. Not only this attacks have been very popular on Tor, but also on the Internet. In the present work, an anomaly-based detection system is proposed for detecting such attacks. Traffic is analized without concerning user's privacy and from it some metrics are extracted which enable to model traffic as time series in order to find out anomalies. A particular challange has been testing the tool due to the difficulties of obtaining traffic from denial of service attacks on the Internet as well as on Tor, where no available datasets from the latter implicated the need for generating them.