Análisis proactivo del tráfico de red para la detección y respuestas de intrusiones utilizando machine learning

Abstract

Debido al reciente auge de la inteligencia artificial y el mayor número de personas conectadas, las tecnologías web y métodos que emplean datos en la red, están teniendo cada vez un tráfico creciente, sin señal de que vaya a disminuir en ningún momento. De la misma forma, ha aumentado el número de ciberdelincuentes y es más común emplear métodos maliciosos para sacar provecho de todos los datos vulnerables que circulan en la red, por lo tanto, el papel de la ciberseguridad está en un plano de mayor importancia, siendo necesario ahora más que nunca. En este trabajo se ha empleado el uso de inteligencia artificial para el análisis de datos en el tráfico de red, buscando patrones de comportamiento en los datos que puedan generar tráfico malicioso, empleando algoritmos que predicen la naturaleza de una conexión basándose en los datos que forman dichas conexiones. Para ello ha sido necesario el estudio del conjunto de datos (dataset) UNSW-NB15 y CIC-IDS2017, los cuales están constituido por un conjunto de conexiones como fuente principal de aprendizaje utilizada por los modelos de inteligencia artificial, seguido de la monitorización de los datos analizados a nivel de conexión para poder determinar si los valores que presentan constituyen un ataque o no. Consiguientemente, se ha desarrollado un programa que a modo de detección de intrusiones tiene la función de monitorización, predicción de ataques e interpretación del tráfico de red, garantizando al usuario una serie de información de gran utilidad del tráfico que esté cursando en tiempo real, determinando, con ello, si ha habido una anomalía en las conexiones que haya procesado la interfaz de red que se esté empleando, pudiendo enviar esta información al usuario, permitiendo compartir los resultados de estas conexiones para su análisis o para una mayor transparencia en los datos que transcurren en la red. Finalmente, se ha determinado cuáles son los parámetros más determinantes a la hora de detectar anomalías en el tráfico de red y cuál es la varianza que presentan los datos que forman dichos ataques conforme a conexiones normales, pudiendo clasificar el tráfico normal con el malicioso. También ha sido estudiado cuáles son los ataques más comunes para poder establecer una serie de reglas en dichos parámetros de datos monitorizados y así evitar realizar conexiones no deseadas.