Detección de intrusos en redes de telecomunicaciones IP usando modelos ocultos de Markov

Abstract

Este documento presenta la investigación realizada por el autor para optar al título de Magíster en ingeniería de telecomunicaciones, otorgado por la Universidad Nacional de Colombia. En la primera parte se aborda la problemática de la creciente necesidad de mecanismos que proporcionen seguridad de la información, lo cual conlleva a la descripción de los Sistemas de Detección de Intrusos, sus características, los tipos existentes, las arquitecturas y los mecanismos de detección más comunes, adicionalmente se describen los tipos de ataques de red más comunes y una metodología de intrusión en sistemas de información que es ampliamente aceptada en el mercado actual. Seguido a esto se presentan principios de la teoría de los Modelos Ocultos de Markov, sus características, la descripción de los procesos de entrenamiento, decodificación y evaluación, así como su uso para el alineamiento múltiple de secuencias. La segunda parte recoge la teoría de los capítulos anteriores y define un esquema para detectar intrusiones de tráfico en redes de Telecomunicaciones IP usando Modelos Ocultos de Markov a partir de la definición de 5 clases: Una para protocolo HTTP, una para SMTP, una para Telnet y dos para FTP, describe el proceso de entrenamiento de los modelos correspondientes a las clases, las pruebas realizadas y los resultados obtenidos, los cuales muestran unos niveles de detección cercanos al 100% y unos niveles aceptables de clasificación de tráfico. Al final se presentan las conclusiones del proyecto de investigación y las recomendaciones para trabajo futuro a partir de este nuevo esquema. / Abstract. This paper presents a research conducted by the author for the degree of Master in telecommunications engineering, awarded by the National University of Colombia. The first part addresses the problem of the growing need for mechanisms that provide information security, which leads to the description of Intrusion Detection Systems, its features, types, architectures and common detection mechanisms, additionally describes the types of common network attacks and an information systems intrusion methodology widely accepted in the market. Following, presents the principles of the theory of Hidden Markov Models, its characteristics, the training, decoding and evaluation processes, and its use for multiple sequence alignment. The second part uses the theory of previous chapters and sets out a scheme to detect intrusions in IP networks telecommunications traffic using Hidden Markov Models. It begins with the definition of 5 classes: one for HTTP, one for SMTP, one for Telnet and two for FTP, describes the process of model training for each class, tests and results, which show levels of detection close to 100% and acceptable levels of traffic classification. Finally presents the findings of the research project and recommendations for future work from this new scheme.