Detección de ataques de red mediante clasificación de flujos empleando L-momentos

Ac as de las XV Jo nadas
de Ingenie ía Telemá ica
(JITEL 2021),
A Co uña (España),
27-29 de oc ub e de 2021.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
De ecci´
on de a aques de ed median e
clasi icaci´
on de lujos empleando L-momen os
Jes´
us Galeano-B ajones∗, Jose J. Rico-Palomo∗, Mihaela I. Chidean†, Ja ie Ca mona-Mu illo∗
∗Depa amen o de Ingenie ´
ıa de Sis emas In o m´
a icos y Telem´
a icos. Uni e sidad de Ex emadu a. 06006.
†Depa amen o de Teo ´
ıa de la Se˜
nal y Comunicaciones. Uni e sidad Rey Juan Ca los. 28942.
jgaleanob [email protected], jj [email protected], [email p o ec ed], [email p o ec ed]
El inc emen o con inuo de disposi i os conec ados
a In e ne en los ´
ul imos a˜
nos, jun o con el aumen o
de las aplicaciones y se icios, han p opiciado que la
a ea de clasi icaci´
on del ´
a ico de ed sea esencial en
cualquie en o no, an o pa a cues iones de ges i´
on de
ed como de segu idad. Con la llegada de las edes
5G han apa ecido nue os e os elacionados con la
segu idad debido a es e g an olumen de ´
a ico y la
di e sidad de se icios disponibles pa a los usua ios.
Adem´
as, ambi´
en han su gido nue as ecnolog´
ıas
basadas en so wa e y i ualizaci´
on que pe mi en un
con ol m´
as din´
amico de la ed. En es e con ex o,
es e a ´
ıculo p opone una me odolog´
ıa no edosa pa a
p ocesa los lujos de ed median e el c´
alculo de
los L-momen os es ´
anda y su pos e io clasi icaci´
on
pa a la de ecci´
on de anomal´
ıas y amenazas en la
ed. Adem´
as, se ha desa ollado un es bed con el
que pode expe imen a con cualquie conjun o de
da os y es os es ad´
ıs icos. Los esul ados ob enidos
as la expe imen aci´
on con es e es bed mues an
que los L-momen os es ´
anda esul an especialmen e
´
u iles pa a p ocesa los lujos de ed en iempo
eal, consiguiendo que los algo i mos de clasi icaci´
on
ob engan unos esul ados de calidad muy ele ados.
Palab as Cla e—de ecci´
on de a aques, L-momen os,
cibe segu idad, clasi icaci´
on, machine lea ning
I. INTRODUCCI ´
ON
En los ´
ul imos a˜
nos an o los disposi i os conec ados a
In e ne como el olumen de ´
a ico de ed han c ecido
de mane a signi ica i a. La clasi icaci´
on de lujos de ed
se ha con e ido en una a ea undamen al con el a ance
de ecnolog´
ıas como la 5G y el aumen o de disposi i os
IoT (In e ne o Things). Seg´
un Cisco Annual In e ne
Repo 2020 [1], el 66% de la poblaci´
on global end ´
a
acceso a In e ne en 2023, es deci , 5.3 mil millones de
usua ios, lo que implica un c ecimien o eno me de da os
mo i´
endose po la ed. Adem´
as, el n´
ume o de b echas
de segu idad y el o al de egis os expues os po b echa
con in´
ua c eciendo, pasando de 7.9 millones de a aques
de denegaci´
on de se icio dis ibuidos (DDoS, Dis ibu ed
Denial o Se ice) a los 15.4 millones p e is os pa a 2023.
5G es la quin a gene aci´
on de edes m´
o iles. Es un
nue o ipo de ed dise˜
nada pa a conec a p ´
ac icamen e
a odos y a odo, incluyendo m´
aquinas, obje os y
disposi i os. 5G es ´
a des inado a o ece elocidades de
da os de has a a ios gigabi s po segundo, la encias
ul abajas, una mayo iabilidad, una capacidad de ed
masi a, mayo disponibilidad y una expe iencia de usua io
m´
as uni o me pa a m´
as usua ios. Un mayo endimien o
y una mayo e iciencia po encian nue as expe iencias de
usua io y conec an nue as indus ias [2].
Con 5G se p e ´
en m´
as casos de uso que en las
gene aciones de edes m´
o iles an e io es, pudiendo
clasi ica se en es ipos de se icios: Enhanced Mobile
B oadband (eMBB), Ul a-Reliable and Low La ency
Communica ions (URLLC) y Massi e Machine-Type
Communica ions (mMTC). El p ime o busca o ece a
los usua ios enlaces con asas de da os m´
as uni o mes,
mayo capacidad y meno la encia, como po ejemplo
en Realidad Vi ual y Realidad Aumen ada. El segundo
es ´
a m´
as elacionado con la Indus ia 4.0, ya que o ece
enlaces ul a- iables y de baja la encia, como el con ol
emo o de in aes uc u as c ´
ı icas o eh´
ıculos, as´
ı como el
apoyo a p ocedimien os m´
edicos a dis ancia. En el ´
ul imo,
5G p e ende conec a un n´
ume o masi o de disposi i os,
como senso es embebidos y disposi i os IoT, g acias a la
capacidad de adap a la asa de da os de los disposi i os
pa a mejo a la e iciencia del ancho de banda, la e iciencia
ene g´
e ica y pa a m´
ul iples escena ios de mo ilidad,
p opo cionando soluciones de conec i idad de bajo cos e.
Sin emba go, la c ecien e popula idad de es os disposi i os
los con ie e en el obje i o de los a acan es. Po ello es
necesa io ga an iza la segu idad de es os disposi i os y
edes desa ollando mecanismos m´
as a anzados capaces
de de ec a amenazas de segu idad y mi iga las. Es e es un
196
Galeano-B ajones, Rico-Palomo, Chidean, Ca mona-Mu illo, 2021.
e o impo an e pa a los disposi i os IoT, ya que manejan
in o maci´
on sensible y muchos no suelen implemen a
medidas de segu idad adecuadas [3], lo que los hace
pe ec os pa a in eg a los en bo ne s que ealicen a aques
DDoS a se icios de mayo en e gadu a.
El desa ollo del 5G se basa en a ias ecnolog´
ıas
habili ado as cla e, como las edes de inidas po
so wa e (SDN, So wa e-De ined Ne wo king) y la
i ualizaci´
on de unciones de ed (NFV, Ne wo k
Func ion Vi ualiza ion). SDN es un pa adigma de
ed p opues o pa a acaba con las limi aciones de las
in aes uc u as de ed ac uales, ompiendo la in eg aci´
on
e ical median e la sepa aci´
on de la l´
ogica de con ol
de la ed (plano de con ol) de los ou e s yswi ches
subyacen es que een ´
ıan el ´
a ico (plano de da os)
e inc emen a la lexibilidad de la ed. NFV es una
ecnolog´
ıa que desacopla las unciones de ed del
ha dwa e subyacen e, pe mi iendo el eemplazo de
ha dwa e dedicado, p opie a io y ca o con disposi i os
de ed basados en so wa e. NFV ambi´
en pe mi e que
ins ancias de unciones i uales se compa an en e a ios
clien es [4]. Ambas ecnolog´
ıas pe mi en el desa ollo de
nue os mecanismos de segu idad y el despliegue de es as
soluciones en edes de es e ipo, como po ejemplo, el
despliegue de algo i mos de clasi icaci´
on de lujos de ed
en un con olado SDN.
Es e abajo p opone una me odolog´
ıa no edosa pa a
la clasi icaci´
on de lujos de ed, espec´
ı icamen e pa a la
de ecci´
on de anomal´
ıas en la ed en base al p ocesamien o
de lujos median e los L-momen os es ´
anda y pos e io
clasi icaci´
on median e algo i mos de Machine Lea ning
(ML). Has a donde conocemos, po el momen o no se
ha explo ado en la li e a u a es e m´
e odo pa a p ocesa
los lujos. Tambi´
en se ha implemen ado es a me odolog´
ıa
median e el desa ollo de un es bed con el que se puede
expe imen a con cualquie da ase . Es e es bed pe mi e
calcula los L-momen os y L-momen os es ´
anda pa a
cada una de las ca ac e ´
ıs icas de los lujos del da ase
y aplica di e en es algo i mos de clasi icaci´
on con el
in de ob ene esul ados que indiquen la calidad de
las clasi icaciones. Adem´
as, es e a ´
ıculo es la e oluci´
on
na u al de los siguien es abajos: en p ime luga , en
el a ´
ıculo [5] se ca ac e izan las amenazas del conjun o
de da os UNSW-NB15 [6] median e los diag amas de
L-momen os es ´
anda ; en segundo luga , en el a ´
ıculo [7]
se ealiza la de ecci´
on y mi igaci´
on de a aques DoS
(Denial o Se ice) y DDoS u ilizando la en op´
ıa de
ca ac e ´
ıs icas ex a´
ıdas de los lujos de ed. Adem´
as, se
ha u ilizado una s a e ul-SDN pa a ges iona la ed y el
conjun o de da os Bo -IoT [8].
El es o del a ´
ıculo se o ganiza como sigue. En la
Secci´
on II se p opo ciona una e isi´
on de la li e a u a
elacionada con es e abajo. Los an eceden es e´
o icos
y ecnol´
ogicos base pa a la me odolog´
ıa p opues a se
desc iben en la Secci´
on III. La Secci´
on IV de alla
la e aluaci´
on expe imen al ealizada. Finalmen e, la
Secci´
on V incluye las p incipales conclusiones alcanzadas,
as´
ı como las l´
ıneas de in es igaci´
on u u a que quedan
abie as.
II. TRABAJO RELACIONADO
En es a secci´
on se p opo ciona una e isi´
on de la
li e a u a elacionada con es e a ´
ıculo. Po es a az´
on,
se ha di idido en dos subsecciones. La p ime a desc ibe
las p incipales l´
ıneas de in es igaci´
on elacionadas con
la aplicaci´
on de la eo ´
ıa de los L-momen os en
di e en es campos de conocimien o. La segunda mues a
algunos de los abajos m´
as ele an es elacionados con
la clasi icaci´
on de lujos de ed, espec´
ı icamen e de
clasi icaci´
on de anomal´
ıas de ed.
A. Aplicaci´
on de los L-momen os
La eo ´
ıa de los L-momen os ha sido ampliamen e
u ilizada po la comunidad cien ´
ı ica desde su p opues a
en 1990 [9], aunque no ha sido explo ada en el campo del
´
a ico de ed y la elecomunicaci´
on. Recien emen e, los
L-momen os han enido di e en es campos de aplicaci´
on,
como clima olog´
ıa, aplicaciones de ada y bioingenie ´
ıa.
Los L-momen os han sido u ilizados p incipalmen e en
la egionalizaci´
on del clima y pa a el c´
alculo del SPI
(S anda ized P ecipi a ion Index) y SPEI (S anda ized
P ecipi a ion E apo anspi a ion Index) [10], dos ´
ındices
clim´
a icos muy u ilizados pa a el es udio de sequ´
ıas.
Tambi´
en han sido u ilizados pa a es ima pa ´
ame os de
dis ibuciones de p obabilidad que modelan la m´
axima
elocidad del ien o en escala empo al [11].
En el con ex o de la eo ´
ıa de edes complejas,
los L-momen os de una dis ibuci´
on espec´
ı ica se han
u ilizado pa a c ea un es mul i a ian e de hip´
o esis pa a
de ec a la su il deg adaci´
on de nodos o a is as [12].
En los campos de ingenie ´
ıa o bioingenie ´
ıa, los
L-momen os se han u ilizados pa a clasi ica obje i os
en aplicaciones de ada [13] y ambi´
en pa a clasi ica
gl´
obulos blancos [14].
Po ´
ul imo, solo encon amos dos abajos elacionados
con la clasi icaci´
on de ´
a ico. Po un lado, en [15],
los immed L-momen s [16] se u ilizan pa a es ima la
dis ibuci´
on gene alizada de Pa e o, la cual es u ilizada
pa a modela dis ibuciones de colas pesadas, como el
modelado de ´
a ico de ed [17]; po el o o, la eo ´
ıa
de los L-momen os se u iliza pa a ca ac e iza lujos de
ed en e leg´
ı imos y an´
omalos [5]. Es e ´
ul imo puede se
conside ado un abajo p elimina al abajo lle ado a cabo
en es e a ´
ıculo.
B. Clasi icaci´
on de lujos de ed
La clasi icaci´
on de lujos de ed se ha con e ido
en una a ea undamen al pa a la moni o izaci´
on de
lujos, especialmen e pa a la de ecci´
on de anomal´
ıas y
lujos pe enecien es a amenazas. Es a clasi icaci´
on ha
sido ampliamen e es udiada desde las siguien es cua o
pe spec i as: basada en pue os, inspecci´
on p o unda de
paque es (DPI, Deep Packe Inspec ion), basados en el
payload y en oques es ad´
ıs icos ( e Fig. 1).
La ´
ecnica basada en pue os es una ´
ecnica sencilla
y ´
apida que u iliza la asociaci´
on de los pue os de la
cabece a TCP/UDP con pue os bien conocidos asignados
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
197
De ecci´
on de a aques de ed median e clasi icaci´
on de lujos empleando L-momen os
Análisis de
lujos de ed
Basado en
pue os
En oques
es adís icos DPI Basados en
payload
ML / DL
Teo ía de los
L-momen os
Fig. 1. Taxonom´
ıa de la clasi icaci´
on de lujos de ed
po la IANA (In e ne Assigned Numbe s Au ho i y) [18].
Pe o la amplia p oli e aci´
on de nue os se icios y
aplicaciones que u ilizan pue os no asignados po la
IANA ha inc emen ado signi ica i amen e, como los
disposi i os IoT que u ilizan di ecciones IP p i adas o
din´
amicas y n´
ume os de pue os a iables [19], haciendo
que es a ´
ecnica deje de se ´
u il.
DPI eme gi´
o como una al e na i a a la ´
ecnica basada en
pue os e incluso hoy en d´
ıa es una de las m´
as acep adas y
u ilizadas. Es a ´
ecnica busca encon a pa ones o palab as
cla e en los paque es de da os. Su mayo limi aci´
on es
que solo es aplicable a paque es que no es ´
an enc ip ados,
adem´
as de los p oblemas pa a la p i acidad de los
usua ios [20]. Como al e na i a, muchos in es igado es
p oponen el uso de ´
ecnicas de ML pues o que e i a
muchos de es os incon enien es [21].
La ´
ecnica de clasi icaci´
on de lujos basada en el
payload solo u iliza la in o maci´
on de la capa de
aplicaci´
on. Es o sol en a la dependencia de IP y pue os
de la ´
ecnica basada en pue os. No malmen e se despliega
jun o a DPI [19], [22].
Jun o con los en oques es ad´
ıs icos y las ´
ecnicas
basadas en el payload, en los ´
ul imos a˜
nos ha habido
un aumen o de las aplicaciones de Deep Lea ning (DL),
incluso elacionadas con la clasi icaci´
on de ´
a ico o
lujos de ed. Pa a ello, se han es udiado p incipalmen e
S acked Au o-Encode s (SAE) [23], edes neu onales
ecu en es (RNN, Recu en Neu al Ne wo ks) [24] y
Redes Neu onales Con olucionales (CNN, Con olu ional
Neu al Ne owk s) [25].
Las ´
ecnicas que emplean un en oque es ad´
ıs ico u ilizan
pa ´
ame os independien es del payload como la du aci´
on
de los lujos, el iempo en e llegadas, la longi ud de la
cabece a de los paque es, e c. Es os pa ´
ame os pueden
u iliza se pa a alimen a di e en es modelos es ad´
ıs icos,
de ML o de DL. La me odolog´
ıa p opues a en es e
a ´
ıculo u iliza es e en oque, analizando es ad´
ıs icamen e
di e en es pa ´
ame os de los lujos median e la eo ´
ıa de
los L-momen os y clasi ic´
andolos u ilizando di e en es
algo i mos de ML.
III. METODOLOG´
IA
En es a secci´
on se p esen a la me odolog´
ıa p opues a
pa a la clasi icaci´
on de lujos, comenzando con la
de inici´
on de los L-momen os, incluidos los L-momen os
es ´
anda , y inalizando con la desc ipci´
on del es bed
desa ollado y el conjun o de da os u ilizado en la
expe imen aci´
on.
A. L-momen os
Al igual que o os momen os es ad´
ıs icos, los
L-momen os ca ac e izan la geome ´
ıa de dis ibuciones
y esumen mues as. Son di ec amen e an´
alogos, es
deci , ienen in e p e aci´
on simila , a los momen os
cen ales (llamados p oduc momen s oC-momen s en
la li e a u a [26]). Los L-momen os son combinaciones
lineales de di e encias de espe anzas de es ad´
ıs icos de
o den. Es a es la p incipal di e encia con los momen os
cen ales, los cuales es ´
an basados en po encias de
di e encias con la media. Algunos bene icios de los
L-momen os en e a los momen os cen ales son:
•Los L-momen os son m´
as obus os an e la p esencia
de da os a ´
ıpicos, es deci , su en menos po los
e ec os de la a iabilidad de las mues as.
•Necesi an menos da os pa a es ima con e o es bajos,
lo que los hace muy ´
u iles pa a es imaciones en
iempo eal y pa a abaja con L-momen os de o den
al o.
•En con as e a los momen os cen ales, los
L-momen os son insesgados, es deci , no dependen
del ama˜
no de la mues a.
•Es ´
an m´
as ce ca de su dis ibuci´
on no mal asin ´
o ica
en mues as ini as.
A con inuaci´
on, se de inen los L-momen os e´
o icos y
mues ales, inalizando con el diag ama de L-momen os
es ´
anda .
1) L-momen os e´
o icos: Los es ad´
ıs icos de o den de
una a iable alea o ia Xpa a una mues a de ama˜
no n
es ´
an o mados po el o den ascenden e X1:n≤X2:n≤
... ≤Xn:n. Los L-momen os e´
o icos quedan de inidos
po :
λ =1
−1
X
k=0
(−1)k −1
kE[X −k: ],∀ ≥1(1)
donde es el o den del L-momen o y E[X −k: ]es la
espe anza del es ad´
ıs ico de o den −kde una mues a
de ama˜
no . Los p ime os L-momen os e´
o icos pueden
de ini se en unci´
on de las espe anzas de los es ad´
ıs icos
de o den:
λ1=E[X1:1](2)
λ2=1
2E[X2:2]−E[X1:2]
λ3=1
3E[X3:3]−2E[X2:3] + E[X1:3]
λ4=1
4E[X4:4]−3E[X3:4]+3E[X2:4]−E[X1:4]
λ1se denomina L-loca ion yλ2es L-scale, una
medida de la a iabilidad de la dis ibuci´
on. Adem´
as, las
dis ibuciones ´
u iles ienen una a iabilidad dis in a de
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
198
Galeano-B ajones, Rico-Palomo, Chidean, Ca mona-Mu illo, 2021.
ce o, po lo que λ2>0. Con λ2se de inen los momen os
es ´
anda e´
o icos:
τ =λ /λ2,∀ ≥3(3)
Algunos momen os es ´
anda ienen un nomb e de inido:
τ2=λ2/λ1=coe icien e de L- a ia ion (4)
τ3=λ3/λ2=L-skewness
τ4=λ4/λ2=L-ku osis
τ2es ´
u il pa a a iables alea o ias posi i as (X≥0)
y es ´
a aco ado en 0< τ2<1. Pa a ≥3, odos los
momen os es ´
anda es ´
an aco ados en −1< τ <1. Y
espec´
ı icamen e, L-ku osis es ´
a aco ada en 1
45τ2
3−1≤
τ4<1. Es as limi aciones hacen que los momen os
es ´
anda sean muy ´
u iles pues o que pe mi en compa a
dis ibuciones cuyos angos son di e en es sin la necesidad
de no maliza o eescala .
2) L-momen os mues ales: Los L-momen os
mues ales se calculan pa a una mues a de es ad´
ıs icos
de o den x1:n≤x2:n≤... ≤xn:n. La mues a de
es ad´
ıs icos de o den se es iman simplemen e o denando
los da os en o den ascenden e. Los L-momen os
mues ales se de inen como:
ˆ
λ =1
n
−1
n
X
i=1


−1
X
j=0
(−1)j −1
j i−1
−1−jn−i
j
xi:n,∀ ≥1
(5)
Y los L-momen os es ´
anda mues ales son:
ˆτ =ˆ
λ /ˆ
λ2,∀ ≥3(6)
ˆτ2=ˆ
λ2/ˆ
λ1=coe icien e de L- a ia ion mues al
ˆτ3=ˆ
λ3/ˆ
λ2=L-skewness mues al (7)
ˆτ4=ˆ
λ4/ˆ
λ2=L-ku osis mues al
3) Diag ama de L-momen os es ´
anda : Como ya se ha
mencionado, g acias a que los L-momen os es ´
anda es ´
an
aco ados, se pueden compa a di ec amen e di e en es
dis ibuciones. Un diag ama de L-momen os es ´
anda
(L-momen s a io diag am, a pa i de aho a LmomRD
po sus siglas en ingl´
es) es un g ´
a ico que mues a
los L-momen os es ´
anda en cada dimensi´
on. Lo m´
as
com´
un es u iliza τ3 en e a τ4debido a que es os son
los L-momen os es ´
anda que ienen un mayo sopo e
e´
o ico, pe o los LmomRD no es ´
an limi ados a es os
pues o que exis en L-momen os es ´
anda de mayo o den
cuya de inici´
on es mucho m´
as compleja. La Fig. 2
mues a el LmomRD po de ec o con la ep esen aci´
on
de algunas dis ibuciones comunes. Las dis ibuciones con
es pa ´
ame os se ep esen an como una l´
ınea, mien as
que las dis ibuciones con dos pa ´
ame os se ep esen an
con un pun o. Es as ep esen aciones ayudan a in e p e a
los da os e iden i ica a qu´
e dis ibuci´
on puede ajus a se
una mues a eal. Es a he amien a isual es u ilizada en
es e abajo y, pa a acili a compa aciones en e di e en es
esul ados, las ep esen aciones de las dis ibuciones m´
as
comunes es a ´
an en odos los LmomRD.
−1.00 −0.75 −0.50 −0.25 0.00 0.25 0.50 0.75 1.00
L-skewness (τ3)
−1.00
−0.75
−0.50
−0.25
0.00
0.25
0.50
0.75
1.00
L-ku osis (τ4)
U
E
G
L
N
U - Uni o m E - Exponen ial G - Gumbel L - Logis ic N - No mal
GLO
GEV
GPA
GNO
PE3
WAK.LB
ALL.LB
WEI
Fig. 2. Diag ama de L-momen os es ´
anda de algunas dis ibuciones
comunes (GLO: Gene alized Logis ic; GEV: Gene alized Ex eme Value;
GPA: Gene alized Pa e o; GNO: Gene alized No mal; PE3: Pea son Type
3 o Gamma; WEI: Weibull; WAK.LB: l´
ımi e in e io de la dis ibuci´
on
Wakeby; ALL.LB: l´
ımi e in e io de cualquie dis ibuci´
on) [9]
B. Tes bed
Con el obje i o de pode expe imen a con los
L-momen os y cualquie conjun o de da os disponible en
la li e a u a, se ha desa ollado un esbed que pe mi e
ealiza es a expe imen aci´
on de mane a au om´
a ica. La
me odolog´
ıa seguida se mues a en la Fig. 3.
P ocesamien o de
da os y cómpu o de
L-momen os
Selección de
algo i mos de
clasi icación
4- old
c oss- alida ion y
cálculo de mé icas
Análisis de
esul ados
Fig. 3. Fases de la me odolog´
ıa
En p ime luga , se p ocesan los conjun os de da os y
se calculan los L-momen os y L-momen os es ´
anda . En
segundo luga , se seleccionan aquellos modelos de ML con
los que se quie e expe imen a . En e ce luga , se ealiza el
en enamien o con 4- old c oss- alida ion y se ob ienen las
m´
e icas de calidad de las clasi icaciones pa a, po ´
ul imo,
ealiza un an´
alisis de los esul ados. Desde un pun o de
is a m´
as p ´
ac ico, en la Fig. 4 se mues a el diag ama de
lujo que de ine el compo amien o del es bed, donde los
bloques de condici´
on se co esponden con lags que gu´
ıan
el lujo en unci´
on de las necesidades del usua io:
•compu e_lmom. C´
ompu o de los L-momen os
y L-momen os es ´
anda . Si se han calculado
p e iamen e, se ca gan de los iche os sin necesidad
de ol e a ealiza el c´
ompu o.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
199
De ecci´
on de a aques de ed median e clasi icaci´
on de lujos empleando L-momen os
Sí
Sí
Sí
Sí
No
No
No
No
Inicio
Fin
Validación de la
con igu ación
compu e_lmom
Cómpu o de los
L-momen os y
L-momen os
es ánda en pa alelo
pa allel
Cómpu o de los
L-momen os y
L-momen os es ánda
secuencialmen e
Almacenamien o de
los cálculos
Ca ga los
L-momen os
p ecalculados
plo _ ea u es
sa e_ ea u es
Visualización de los
diag amas de L-
momen os es ánda
Gua da los diag amas
de
L-momen os es ánda
en o ma o PDF
Almacenamien o de
los esul ados en
o ma o JSON
C oss- alida ion y
ob ención de
mé icas
C oss- alida ion y
ob ención de
mé icas
Fig. 4. Diag ama de lujo del es bed
•pa allel. C´
ompu o de mane a secuencial si alse
o en pa alelo ap o echando odos los n´
ucleos de la
CPU si ue.
•plo _ ea u es. Visualizaci´
on de los LmomRD
en iempo eal.
•sa e_ ea u es. Almacenamien o de los
LmomRD si ue.
C. CSE-CIC-IDS2018
Es e conjun o de da os es un p oyec o colabo a i o en e
el Communica ions Secu i y Es ablishmen (CSE) y el
Canadian Ins i u e o Cybe secu i y (CIC) [27]. Se a a
de un conjun o de da os gene ado de mane a expe imen al
que incluye sie e escena ios de a aque: ue za b u a,
Hea bleed,bo ne , DoS, DDoS, a aques web e in il aci´
on
en la ed. Adem´
as, los c eado es del conjun o de da os
o ecen dis in os ipos de iche os pa a su u ilizaci´
on:
iche os PCAP con odo el ´
a ico cap u ado, iche os CSV
e ique ados con 80 ca ac e ´
ıs icas de los lujos y logs del
sis ema de cada una de las m´
aquinas que in e ienen en
el escena io.
IV. RESULTADOS
En es a secci´
on se desc iben algunas p uebas ealizadas
con el es bed desc i o en la Secci´
on III.B. En p ime
luga , se mues a el e ec o del alo n, es deci , el
ama˜
no de la mues a, de mane a isual median e la
u ilizaci´
on de los LmomRD. En segundo luga , se expone
el compo amien o del algo i mo kNN pa a clasi ica los
L-momen os es ´
anda pa a dis in os alo es de n. Todas
las p uebas se han ealizado con el conjun o de da os
CSE-CIC-IDS2018, espec´
ı icamen e con la cap u a del
d´
ıa 20/02/2018, la cual con iene lujos leg´
ı imos y lujos
e ique ados como a aques DDoS LOIC HTTP. LOIC (Low
O bi Ion Cannon) es una aplicaci´
on desa ollada en C#
pa a ealiza a aques DoS y DDoS u ilizando TCP, UDP
y HTTP. Fue desa ollada du an e el P oyec o Chanology,
una se ie de p o es as en In e ne p omo idas po el g upo
Anonymous con a la Iglesia de la Cienciolog´
ıa [28]. En
es e conjun o de da os, los a aques DDoS LOIC se ealizan
u ilizando HTTP. Adem´
as, as ealiza un an´
alisis de
las ca ac e ´
ıs icas de los lujos que se encuen an en el
conjun o de da os, hemos concluido que el in e alo de
llegada en e paque es es una buena ca ac e ´
ıs ica pa a
mos a los esul ados.
A. E ec o de nen los LmomRD
El ama˜
no de la mues a nes un pa ´
ame o muy
impo an e a la ho a de es ima los L-momen os y
los L-momen os es ´
anda . Si nes un alo bajo se
necesi an menos alo es en la mues a pa a calcula cada
L-momen o es ´
anda , es deci , cada pun o del LmomRD.
Pe o, aunque se necesi an menos alo es pa a o ma
la mues a, los clus e s gene ados po los L-momen os
es ´
anda de los lujos quedan menos concen ados, es deci ,
las e ique as pueden queda mezcladas. Desde el pun o
de is a de la moni o izaci´
on o mues eo de los lujos de
la ed, un nbajo implica mayo p ecisi´
on empo al pa a
una misma ecuencia de mues eo y mayo apidez en la
de ecci´
on de amenazas si los clus e s no es ´
an demasiado
dispe sos, un pun o cla e pa a la segu idad de las edes.
Pe o a su ez implica una mayo imp ecisi´
on si nno iene
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
200

Galeano-B ajones, Rico-Palomo, Chidean, Ca mona-Mu illo, 2021.
un alo lo su icien emen e ele ado como pa a de ini los
clus e s, es deci , se ob iene un n´
ume o de alsos posi i os
y alsos nega i os ele ado. Es o se obse a cla amen e en
el LmomRD de la Fig. 5. En es e caso se ha u ilizado
n= 50 y, pa a es a ca ac e ´
ıs ica del lujo en conc e o,
es un alo excesi amen e bajo pues o que isualmen e es
di ´
ıcil di e encia con buena p ecisi´
on los lujos leg´
ı imos
de los lujos de a aque.
−1.00 −0.75 −0.50 −0.25 0.00 0.25 0.50 0.75 1.00
L-skewness (τ3)
−0.25
0.00
0.25
0.50
0.75
1.00
L-ku osis (τ4)
Benign
DDoS LOIC HTTP
Fig. 5. Diag ama de L-momen os es ´
anda pa a n= 50
Un aumen o del ama˜
no de la mues a, como n= 200,
implica una concen aci´
on m´
as de inida de los clus e s
( e Fig. 6), consiguiendo di e encia los isualmen e pa a
cada e ique a de los lujos aunque se obse an algunos
L-momen os es ´
anda que se ´
an alsos posi i os y alsos
nega i os.
−1.00 −0.75 −0.50 −0.25 0.00 0.25 0.50 0.75 1.00
L-skewness (τ3)
−0.25
0.00
0.25
0.50
0.75
1.00
L-ku osis (τ4)
Benign
DDoS LOIC HTTP
Fig. 6. Diag ama de L-momen os es ´
anda pa a n= 200
Po ´
ul imo, con un alo mucho mayo , n= 3200,
los clus e s quedan mucho m´
as de inidos y concen ados
( e Fig. 7). Es o no iene po qu´
e se as´
ı pa a cualquie
ca ac e ´
ıs ica de los lujos. Exis en ca ac e ´
ıs icas que
pe mi en di e encia los lujos cla amen e y o as pa a las
que los L-momen os es ´
anda no son ´
u iles. Es po ello que
cada ipo de amenaza y ca ac e ´
ıs ica de los lujos equie e
un es udio exhaus i o, en p ime luga pa a conoce si la
ca ac e ´
ıs ica puede clasi ica se y, en segundo luga , pa a
ob ene un alo de nque sa is aga las necesidades de
iempos de mues eo y p ecisi´
on de la de ecci´
on.
B. E ec o de nen la clasi icaci´
on
Como se ha comen ado, el alo de nin luye
di ec amen e en la p ecisi´
on de la es imaci´
on de los
L-momen os es ´
anda . Po lo an o, mien as que un
npeque˜
no implica mayo dispe si´
on, un nele ado
conlle a una mejo concen aci´
on en clus e s de inidos,
−1.00 −0.75 −0.50 −0.25 0.00 0.25 0.50 0.75 1.00
L-skewness (τ3)
−0.25
0.00
0.25
0.50
0.75
1.00
L-ku osis (τ4)
Benign
DDoS LOIC HTTP
Fig. 7. Diag ama de L-momen os es ´
anda pa a n= 3200
aumen ando as´
ı la calidad de cualquie an´
alisis pos e io .
T as es a explicaci´
on, a con inuaci´
on se mues a el e ec o
de es e pa ´
ame o en la pos e io clasi icaci´
on de los
L-momen os es ´
anda con el algo i mo kNN y dos ipos de
unciones de cos e: uni o me (la dis ancia en e odos los
pun os se ponde a igual) y dis ancia (pesos de inidos po
el in e so de la dis ancia en e pun os). Adem´
as, el alo
de kqueda de inido po √N/2, donde Nes el n´
ume o
o al de da os de en enamien o.
En la Fig. 8 se mues a el esul ado de la m´
e ica
balanced accu acy pa a di e en es alo es de n. La
elecci´
on de es a p og esi´
on geom´
e ica pe mi e ep esen a
esul ados pa a un ango amplio de na la ez que e i a el
compo amien o “ uidoso” de los mismos (p.e. se espe a
un esul ado simila pa a n= 800 yn= 850 e inclui
ambos en la igu a di icul a ´
ıa la isualizaci´
on) La m´
e ica
accu acy es ampliamen e u ilizada en los p oblemas de
clasi icaci´
on, pe o dado que el conjun o de da os es ´
a
cla amen e desbalanceado, se u iliza balanced accu acy
como m´
e ica de calidad. Ambas m´
e icas son equi alen es
ybalanced accu acy es m´
as adecuado pa a conjun os de
da os como el de es e abajo.
50 100 200 400 800 1600 3200
n
0.92
0.94
0.96
0.98
1.00
Balanced accu acy
Uni o me
Dis ancia
Fig. 8. Balanced accu acy pa a dis in os alo es de n
Pa a la ca ac e ´
ıs ica conside ada se puede obse a
que la clasi icaci´
on ob iene unos esul ados muy buenos
incluso desde n= 50. De hecho, el esul ado pa a es e
alo de npuede pa ece no conco da con los is o en
su LmomRD, sin emba go un an´
alisis m´
as de allado de
los da os y los esul ados ob enidos en la clasi icaci´
on
pe mi e comp oba que la mayo ´
ıa de los L-momen os
es ´
anda leg´
ı imos se encuen an en la zona de τ3>0y el
n´
ume o de alsos nega i os y alsos posi i os de la ma iz
de con usi´
on es m´
ınimo en compa aci´
on con la can idad
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
201
De ecci´
on de a aques de ed median e clasi icaci´
on de lujos empleando L-momen os
de L-momen os es ´
anda p esen es en el LmomRD.
V. CONCLUSIONES
Debido al aumen o del olumen de ´
a ico en la ed
y a la necesidad de clasi ica los lujos, en es e a ´
ıculo
se p opone una no edosa me odolog´
ıa pa a ealiza es a
clasi icaci´
on con el obje i o de de ec a anomal´
ıas en la
ed y amenazas de segu idad. Es a me odolog´
ıa es ´
a basada
en el uso de los L-momen os es ´
anda , una he amien a
que ha demos ado se muy ´
u il pa a es a a ea y que,
has a donde sabemos, a´
un no ha sido explo ada en la
li e a u a pa a p op´
osi os simila es a los nues os. T as
la expe imen aci´
on ealizada, se puede conclui que los
L-momen os son una he amien a muy ap opiada pa a
p ocesa los lujos de ed y pos e io men e en ena
algo i mos de clasi icaci´
on con el in de de ec a a aques
pues o que se ob iene una calidad de clasi icaci´
on muy
ele ada. Adem´
as, es a me odolog´
ıa no solo di e encia
en e lujos leg´
ı imos y maliciosos, sino que ambi´
en
di e encia en e ipos de a aques.
Finalmen e, es e abajo iene una amplia in es igaci´
on
u u a. En p ime luga , los esul ados de los LmomRD
mues an o mas de los clus e s que deben se
comp endidas y jus i icadas pues o que pueden ayuda
a la comunidad a comp ende mejo el compo amien o
es ad´
ıs ico de los a aques. En segundo luga , en es e
abajo nos hemos limi ado a in es iga con τ3yτ4, pe o
como ya hemos mencionado, exis en L-momen os es ´
anda
de mayo o den que ambi´
en pueden se de u ilidad en
es e ipo de p oblemas. En e ce luga , es necesa ia una
expe imen aci´
on u u a sob e en o nos p ´
ac icos, como el
despliegue de la me odolog´
ıa en un con olado SDN.
Po ´
ul imo, los algo i mos de clasi icaci´
on pueden se
es udiados con el obje i o de op imiza sus pa ´
ame os
y as´
ı ob ene la mayo calidad posible de los esul ados.
AGRADECIMIENTOS
Es e abajo ha sido inanciado pa cialmen e po el
Minis e io de Ciencia, Inno aci´
on y Uni e sidades con el
p oyec o RTI2018-102002-A-I00, y po la Conseje ´
ıa de
Econom´
ıa e In aes uc u as de la Jun a de Ex emadu a
con el p oyec o IB18003 y la ayuda GR18141.
REFERENCIAS
[1] U. Cisco, “Cisco annual in e ne epo (2018–2023) whi e pape ,”
2020.
[2] D. Lake, N. Wang, R. Ta azolli, and L. Samuel, “So wa iza ion
o 5G Ne wo ks – Implica ions o Open Pla o ms and
S anda diza ions,” IEEE Access, pp. 1–1, 2021.
[3] F. Meneghello, M. Calo e, D. Zucche o, M. Polese, and
A. Zanella, “IoT: In e ne o h ea s? A su ey o p ac ical secu i y
ulne abili ies in eal IoT de ices,” IEEE In e ne o Things
Jou nal, ol. 6, no. 5, pp. 8182–8201, 2019.
[4] Y. Li and M. Chen, “So wa e-De ined Ne wo k Func ion
Vi ualiza ion: A su ey,” IEEE Access, ol. 3, pp. 2542–2553,
2015.
[5] M. I. Chidean, J. Ca mona-Mu illo, R. H. Jacobsen, and
Q. Zhang, “Ne wo k T a ic Cha ac e iza ion Using L-momen
Ra io Diag ams,” in 2019 Six h In e na ional Con e ence on
In e ne o Things: Sys ems, Managemen and Secu i y (IOTSMS),
pp. 555–560, IEEE, 2019.
[6] N. Mous a a and J. Slay, “UNSW-NB15: a comp ehensi e da a
se o ne wo k in usion de ec ion sys ems (UNSW-NB15 ne wo k
da a se ),” in 2015 mili a y communica ions and in o ma ion
sys ems con e ence (MilCIS), pp. 1–6, IEEE, 2015.
[7] J. Galeano-B ajones, J. Ca mona-Mu illo, J. F. Valenzuela-Vald´
es,
and F. Luna-Vale o, “De ec ion and Mi iga ion o DoS and DDoS
A acks in IoT-Based S a e ul SDN: An Expe imen al App oach,”
Senso s, ol. 20, no. 3, p. 816, 2020.
[8] N. Ko onio is, N. Mous a a, E. Si niko a, and B. Tu nbull,
“Towa ds he de elopmen o ealis ic bo ne da ase in he In e ne
o Things o ne wo k o ensic analy ics: Bo -IoT da ase ,” Fu u e
Gene a ion Compu e Sys ems, ol. 100, pp. 779–796, 2019.
[9] J. R. Hosking, “L-momen s: Analysis and es ima ion o
dis ibu ions using linea combina ions o o de s a is ics,” Jou nal
o he Royal S a is ical Socie y: Se ies B (Me hodological), ol. 52,
no. 1, pp. 105–124, 1990.
[10] J. Hosking and J. Wallis, “Some s a is ics use ul in egional
equency analysis,” Wa e esou ces esea ch, ol. 29, no. 2,
pp. 271–281, 1993.
[11] M. Fawad, T. Yan, L. Chen, K. Huang, and V. P. Singh,
“Mul ipa ame e p obabili y dis ibu ions o a -si e equency
analysis o annual maximum wind speed wi h L-momen s o
pa ame e es ima ion,” Ene gy, ol. 181, pp. 724–737, 2019.
[12] F. Mohd-Zaid, C. M. Schube Kabban, and R. F. Deck o, “A es
on he L-momen s o he deg ee dis ibu ion o a Ba ab´
asi–Albe
ne wo k o de ec ing nodal and edge deg ada ion,” Jou nal o
Complex Ne wo ks, ol. 6, no. 1, pp. 24–53, 2018.
[13] R. Ginoulhac, F. Ba ba esco, J.-Y. Schneide , J.-M. Pannie , and
S. Sa a y, “Ta ge Classi ica ion Based On Kinema ic Da a F om
AIS/ADS-B, Using S a is ical Fea u es Ex ac ion and Boos ing,” in
2019 20 h In e na ional Rada Symposium (IRS), pp. 1–10, IEEE,
2019.
[14] K. Al-Dulaimi, K. Nguyen, J. Banks, V. Chand an, and
I. Tomeo-Reyes, “Classi ica ion o Whi e Blood Cells Using
L-Momen s In a ian Fea u es o Nuclei Shape,” in 2018
In e na ional Con e ence on Image and Vision Compu ing New
Zealand (IVCNZ), pp. 1–6, IEEE, 2018.
[15] J. Hosking, “Some heo y and p ac ical uses o immed
L-momen s,” Jou nal o S a is ical Planning and In e ence,
ol. 137, no. 9, pp. 3024–3039, 2007.
[16] E. A. Elami and A. H. Seheul , “T immed L-momen s,”
Compu a ional S a is ics & Da a Analysis, ol. 43, no. 3,
pp. 299–314, 2003.
[17] W. Willinge , V. Paxson, and M. S. Taqqu, “Sel -simila i y and
hea y ails: S uc u al modeling o ne wo k a ic,” A p ac ical
guide o hea y ails: s a is ical echniques and applica ions, ol. 23,
pp. 27–53, 1998.
[18] IANA, “Se ice Name and T anspo P o ocol Po
Numbe Regis y.” h ps://www.iana.o g/assignmen s/
se ice-names-po -numbe s/se ice-names-po -numbe s.xh ml.
[Online, accessed 3 June].
[19] H.-K. Lim, J.-B. Kim, K. Kim, Y.-G. Hong, and Y.-H. Han,
“Payload-based a ic classi ica ion using mul i-laye LSTM in
So wa e De ined Ne wo ks,” Applied Sciences, ol. 9, no. 12,
p. 2550, 2019.
[20] G. Li, M. Dong, K. O a, J. Wu, J. Li, and T. Ye, “Deep Packe
Inspec ion Based Applica ion-Awa e T a ic Con ol o So wa e
De ined Ne wo ks,” in 2016 IEEE Global Communica ions
Con e ence (GLOBECOM), pp. 1–6, IEEE, 2016.
[21] F. Pacheco, E. Exposi o, M. Gines e, C. Baudoin, and
J. Aguila , “Towa ds he Deploymen o Machine Lea ning
Solu ions in Ne wo k T a ic Classi ica ion: A Sys ema ic Su ey,”
IEEE Communica ions Su eys & Tu o ials, ol. 21, no. 2,
pp. 1988–2014, 2018.
[22] J. Zhang, Y. Xiang, Y. Wang, W. Zhou, Y. Xiang, and Y. Guan,
“Ne wo k a ic classi ica ion using co ela ion in o ma ion,” IEEE
T ansac ions on Pa allel and Dis ibu ed sys ems, ol. 24, no. 1,
pp. 104–117, 2012.
[23] M. Lo ollahi, M. J. Sia oshani, R. S. H. Zade, and M. Sabe ian,
“Deep packe : A no el app oach o enc yp ed a ic
classi ica ion using deep lea ning,” So Compu ing, ol. 24,
no. 3, pp. 1999–2012, 2020.
[24] T. Su, H. Sun, J. Zhu, S. Wang, and Y. Li, “BAT: Deep Lea ning
Me hods on Ne wo k In usion De ec ion Using NSL-KDD
Da ase ,” IEEE Access, ol. 8, pp. 29575–29585, 2020.
[25] G. Ace o, D. Ciuonzo, A. Mon ie i, and A. Pescap´
e, “DISTILLER:
Enc yp ed a ic classi ica ion ia mul imodal mul i ask deep
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
202
Galeano-B ajones, Rico-Palomo, Chidean, Ca mona-Mu illo, 2021.
lea ning,” Jou nal o Ne wo k and Compu e Applica ions, ol. 183,
p. 102985, 2021.
[26] W. H. Asqui h, Uni a ia e Dis ibu ional Analysis wi h L-momen
S a is ics using R. PhD hesis, Texas Tech Uni e si y, 2011.
[27] I. Sha a aldin, A. H. Lashka i, and A. A. Gho bani, “Towa d
Gene a ing a New In usion De ec ion Da ase and In usion T a ic
Cha ac e iza ion,” in ICISSp, pp. 108–116, 2018.
[28] M. Sau e , “”LOIC Will Tea Us Apa ” The Impac o Tool Design
and Media Po ayals in he Success o Ac i is DDOS A acks,”
Ame ican Beha io al Scien is , ol. 57, no. 7, pp. 983–1007, 2013.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
203