caracterización de los métodos de detección de ataques
Transcripción
caracterización de los métodos de detección de ataques
CARACTERIZACIÓN DE LOS MÉTODOS DE DETECCIÓN DE ATAQUES DISTRIBUIDOS DE DENEGACIÓN DE SERVICIO SOBRE LA CAPA DE APLICACIÓN CHARACTERIZATION OF THE METHODS OF DETECTION OF DISTRIBUTED DENIAL OF SERVICE ATTACKS ON THE APPLICATION LAYER Silvia Bravo Mullo1, Ángel Hernández Moreno 2 1 Universidad Técnica de Cotopaxi, Ecuador, [email protected], Latacunga, Cotopaxi 2 Universidad Técnica de Cotopaxi, Ecuador, [email protected], Latacunga, Cotopaxi RESUMEN: En la actualidad los ataques distribuidos de denegación de servicio, denominados por sus siglas en inglés como DDoS, a nivel de aplicación no solo están creciendo rápidamente sino que además están originando problemas cada vez más graves para la seguridad de la información. Su característica fundamental consiste en que se disfrazan de tráfico legítimo como solicitudes de usuario, especialmente, en eventos de alta carga transaccional, tal como flash crowd. En la literatura se reportan una gran cantidad de métodos y técnicas que se emplean para la detección de los ataques DDoS en la capa de aplicación, sin embargo, no se considera el funcionamiento del mecanismo de detección ni las características de las técnicas usadas para este fin. Además, estos métodos presentan varias características para realizar la detección, por lo tanto, es muy importante establecer una clasificación de este tipo de ataque que considere las mismas con el fin de seleccionar los métodos de detección más adecuados. El objetivo fundamental de este trabajo es realizar una revisión bibliográfica sobre los mecanismos de detección de ataques DDoS en la capa de aplicación, que permita efectuar una caracterización de dichos mecanismos y establecer las técnicas usadas en la detección, las características consideradas para la medición de solicitudes y los objetivos para los que fue desarrollado el mecanismo. La conclusión principal del trabajo es que el mecanismo de defensa ideal contra los ataques DDoS debe cumplir dos aspectos fundamentales: la detección se debe realizar en tiempo real y debe tener en cuenta las características del usuario que lo diferencien de un flujo ilegitimo. Palabras Clave: Ataques DDoS, Ataques Distribuidos de Denegación de Servicio, Ataques Capa Aplicación. “III Conferencia Internacional en Ciencias Computacionales e Informáticas” Bravo, S.; Moreno, A.H.| “CARACTERIZACIÓN DE LOS MÉTODOS DE DETECCIÓN DE ATAQUES DDoS” ABSTRACT: The distributed denial of service, known by its english acronym as ddos, is not only growing rapidly at the application level but is also causing increasingly serious damage to information security systems. Its key feature is that it masquerades as legitimate traffic under user applications, especially in high load transactional events, such as flash crowd. A lot of methods and techniques for Detecting ddos attacks on the application layer are reported in the literature, however, the way the detection mechanim works and the characteristics of the techniques employed for this purpose have no receive considerable attention. Furthermore, these methods have several detection features. it is therefore important to establish a classification of this type of attack in order to be able to select the most suitable detection method. The main objective of this work is to carry out a literature review on the mechanisms of detection of ddos attacks on the application layer to facilitate the characterization of the mechanisms and techniques in relation to specific applications and objetives for which the mechanism was developed. The main conclusion of the study is that the ideal defense mechanism against ddos attacks must satisfy two fundamental conditions: screening must be conducted in real time and must take into account the characteristics of the user to allow him to be distinguished from an illegitimate flow. KeyWords: DDoS Attacks, Denial Distributed 1. INTRODUCCIÓN Internet es el medio de comunicación más importante y usado a nivel mundial debido, fundamentalmente, a su bajo coste, rapidez y calidad del servicio; por ello ha revolucionado los ámbitos social, económico así como la innovación del conocimiento. Internet, al ser el medio de comunicación más grande del mundo, enfrenta nuevos retos para mantener la seguridad de la información que circula por este espacio. Las amenazas a la privacidad de la información y el incremento de códigos maliciosos que atacan las vulnerabilidades de los sistemas, por atacantes que hacen cada vez más difícil su detección y mitigación, generan preocupación en los usuarios y constituyen un verdadero reto para quienes se encargan de la seguridad de la información [1]. En la actualidad, los ataques de denegación de servicio (DoS) son una amenaza para la seguridad de Internet, siendo un problema que ha sido estudiado a lo largo de los años, desde su aparición alrededor del año 1980 [2], y constituyen acciones ilegítimas por medio de las cuales un atacante interrumpe los recursos o servicios de un proveedor, afectando a sus usuarios legítimos en su acceso a cuentas en línea, correo electrónico y recursos de red [3]. Los atacantes, en su afán de causar el mayor daño posible a los sistemas de una víctima, comprometen a otros ordenadores, que se encuentran geográficamente distribuidos y pueden ser coordinados por el atacante [4], para la generación de un ataque DoS aún más poderoso denominado ataques Distri- of Services Attacks, Application Layerl Attacks. buidos de Denegación de Servicio (DDoS). En este tipo de ataque los atacantes interrumpen los servicios de un sistema a través del consumo de recursos o la saturación del ancho de banda, evitando el acceso de usuarios legítimos [2]. Los primeros indicios de este tipo de ataque aparecen en el reporte emitido por la Computer Incident Advisory Capability (CIAC), quienes registraron el primer ataque DDoS en el año 1999 [3]. Los ataques DDoS son un método sencillo pero poderoso para consumir recursos de la red, por tanto, un gran número de este tipo de ataques prolifera en Internet para detener y/o bloquear el flujo legítimo de red y el cierre de los recursos del sistema. Un ejemplo de este tipo de ataques fue el sucedido a los sitios de Visa y MasterCard en diciembre de 2010, que fueron hackeados por una red de 15.000 activistas en línea. El ataque se llevó a cabo en venganza contra los grupos de tarjetas de crédito, debido a la declaración de PayPal que no haría donaciones a WikiLeaks [5]. El riesgo de los ataques DDoS está relacionado con su similitud de flujo legítimo, especialmente en eventos de alta carga transaccional, como flash crowd, y se ha convertido en un desafío para la seguridad de la información [6]. Las estadísticas de las organizaciones dedicadas a contrarrestar los ataques DDoS, como Verisign, Ardor Networks y Prolexic, coinciden en el incremento del número y tamaño de este tipo de ataques. Así, Verisign informó de un incremento del 53% en el número de ataques en el periodo comprendido entre julio y septiembre de 2015, en relación al segundo trimestre del mismo año; dicho incremento es el más alto observado en cualquiera de los trimestres de los últi- “III Conferencia Internacional en Ciencias Computacionales e Informáticas” Bravo, S.; Moreno, A.H.| “CARACTERIZACIÓN DE LOS MÉTODOS DE DETECCIÓN DE ATAQUES DDoS” mos dos años. Verisign observó, además, un incremento del tamaño de ataque promedio a 7,03 Gbps, un 27% más alto que el registrado en el segundo trimestre de 2015 [7]. De la misma forma, Arbor Networks muestra en sus datos que el 69% de los encuestados ha experimentado, por lo menos, un ataque entre octubre de 2009 y septiembre de 2010 [8]. En este mismo estudio se observó un incremento del 100% en el tamaño de los ataques, llegando a bordear los 100 Gbps [8]. Por otra parte, los datos recolectados por Prolexic, en su informe correspondiente al año 2014, muestran un incremento del 22% del total de ataques con respecto al año 2013 [9]. Asimismo, mostraron un incremento del 72% en la media de ataques de ancho de banda; y un 46% de incremento en los ataques de infraestructura (capa tres y cuatro) [9]. Los resultados estadísticos expuestos anteriormente ponen de manifiesto la necesidad de continuar investigando sobre este tipo de ataque. Por lo tanto, el presente estudio tiene como objetivo fundamental realizar una revisión bibliográfica sobre los mecanismos de detección de ataques DDoS en la capa de aplicación para efectuar una caracterización de los mismos y establecer las técnicas usadas en la detección, los aspectos considerados para la medición de solicitudes y los propósitos para los que fueron desarrollados los mecanismos. . 2. CONTENIDO factor de impacto superior a 0.5, según el Journal Citation Report (JCR), elaborado por el Institute for Scientific Information (ISI), correspondiente al año 2013. El motor de búsqueda que se utilizó fue SCOPUS, que es considerada una de las bases de datos científicas más grandes e importantes a nivel mundial. Las palabras clave que se utilizaron en el motor de búsqueda fueron: DDoS, DDoS Application Level y Distributed Denial of Service, y se consideraron las coincidencias que se produjeron en títulos, palabras clave y resúmenes. Los criterios utilizados ofrecieron resultados de búsquedas que tuvieron que ser depurados mediante la aplicación de criterios de inclusión y exclusión. Como criterios de inclusión se consideraron los artículos cuyo objeto de estudio y campo de acción fueran los métodos, algoritmos y modelos desarrollados para la detección de ataques DDoS en la capa de aplicación, identificando aquellos donde se habían desarrollado entornos de validación de sus propuestas. Se estableció, como uno de los parámetros de los criterios de exclusión, que no se considerarían los artículos publicados con una antigüedad mayor a cinco años, excepto aquellos que son considerados como muy relevantes o documentos históricos. El otro parámetro establecido, dentro de los criterios de exclusión, fue que no se considerarían aquellos artículos que no contemplaran validaciones de las propuestas de detección generadas. . 2.2 Resultados y Discusión 2.1 Metodología La metodología empleada para la realización del trabajo es de tipo analítico - descriptivo, y se centró en los métodos de detección de ataques DDoS orientados a la capa de aplicación. Mediante el análisis de los mecanismos se extrajeron las características que consideran los diversos métodos en sus enfoques de detección. Para este fin se consideraron dos pasos esenciales: el primero, que trata sobre el establecimiento de las características de búsqueda y el segundo, que aborda los métodos de búsqueda. En cuanto a las características de búsqueda se consideraron primero las áreas que define la taxonomía del Institute of Electrical and Electronics Engineers (conocido por sus siglas en inglés como IEEE) [10], lo que permitió centrar este trabajo en el ámbito de Computers and Information Processing, en la categoría de Pattern Recognition, o sea, como el reconocimiento de patrones y regularidades en los datos, elementos utilizados en la detección de ataques informáticos. En la investigación se consideraron únicamente aquellos artículos publicados en revistas con un A partir del análisis de los resultados de la revisión bibliográfica realizada en esta investigación se clasifican los métodos de detección de ataques DDoS, a nivel de capa de aplicación, considerando las características de los mecanismos estudiados. El enfoque de historial de usuario para la detección de DDoS contempla la caracterización del usuario, considerando sus accesos al servidor. Además, la validación de los usuarios se realiza a través de sus direcciones IP, mediante la aplicación de pruebas de suplantación IP, que validan al usuario legítimo; de esta forma se detecta a un robot [11]. Otra forma de detección bajo este enfoque es la que se realiza mediante la administración de tráfico, donde el sistema se entrena en el comportamiento del tráfico normal para identificar aquellas direcciones IP que sobrepasan los umbrales establecidos para bloquearlos [1]. El enfoque de comportamiento de usuario mide la dinámica del usuario en aplicaciones web, bajo esta perspectiva se consideran eventos, tales como los tiempos que un usuario emplea entre solicitudes [12]. Finalmente, se miden los accesos de usuarios a objetos invisibles repartidos por toda la aplicación “III Conferencia Internacional en Ciencias Computacionales e Informáticas” Bravo, S.; Moreno, A.H.| “CARACTERIZACIÓN DE LOS MÉTODOS DE DETECCIÓN DE ATAQUES DDoS” web, ya que se considera que un usuario real no ingresaría a enlaces ocultos, mientras un que un robot, por ser automático, accede a cualquier enlace, incluyendo los ocultos. Estos parámetros se centran en la diferenciación de patrones de comportamiento de usuarios reales y robots. Además, la navegabilidad del usuario en un sitio web se mide por el número de ingresos, ingresos a enlaces populares, la secuencia de navegación de un usuario, patrón de navegación organizado y otras variables [13, 14, 15]. En la Tabla I se muestra la caracterización propuesta en la investigación para los métodos de detección de ataques DDoS en la capa de aplicación, conside- rando las técnicas empleadas, objetivos y sus características. En ella se pueden apreciar las técnicas que utilizan los métodos de detección para la verificación del tipo de tráfico (legítimo o ilegitimo). Además, se puede observar que unos mecanismos tienen como objetivo dar prioridad a los usuarios que se encuentren en una lista generada, de acuerdo al grado de confianza que presenten en accesos anteriores (historial del usuario a través de su grado de confianza), mientras que otros miden las características de navegabilidad (tiempos, número de solicitudes) de un usuario en tiempo real [16; 17; 18]. Tabla I. Caracterización de los métodos de detección de ataques DDoS en la capa de aplicación considerando las técnicas, objetivos y sus características. Técnica de detección Pruebas de suplantación de IP mediante la comprobación de la dirección IP de origen para verificar si ésta es genuina o no. Administración de tráfico, donde el sistema de detección se entrena en el patrón de tráfico normal de un sistema, una vez finalizada esta fase se establecen umbrales de medición. Distribución de solicitud respecto al tiempo entre llegadas de diferentes peticiones a la web. Probabilidad de visita a una página web según el promedio de probabilidad de visita a la primera página. Probabilidad que tiene un robot para acceder a un objeto oculto, de acuerdo al total de solicitudes / umbral. Análisis del modelado del patrón de navegabilidad. Objetivos Dar prioridad de servicios a los usuarios con alto grado de confianza o cuya dirección se encuentre en el listado de direcciones IP habilitadas para acceder. Identificar a usuarios reales por medio de los tiempos de acceso, solicitudes a páginas de interés, patrones de navegabilidad, acceso a enlaces ocultos que difieren en gran medida de los comportamientos de robots. Características Dar prioridad de servicios a los usuarios con alto grado de confianza según sus accesos. Dar prioridad de servicios a los usuarios cuya dirección se encuentre en el listado de direcciones IP habilitadas. Modelos / estrategias donde se evalúa el comportamiento del usuario mediante tiempos entre solicitudes, navegabilidad y accesos. 3. CONCLUSIONES 4. AGRADECIMIENTOS Los ataques DDoS representan uno de los mayores riesgos en la actualidad para la seguridad de la información. En este trabajo se analizan las características propias de los mecanismos de detección de ataques DDoS desde la capa de aplicación y se presenta una propuesta de caracterización de dichos mecanismos. Del análisis del trabajo realizado se concluye que el mecanismo de defensa ideal contra los ataques DDoS debe cumplir dos aspectos fundamentales: la detección se debe realizar en tiempo real y debe tener en cuenta las características del usuario que lo diferencien de un flujo ilegitimo. La MSc Silvia Bravo Mullo agradece a la Universidad Técnica de Cotopaxi por la concesión de la Beca para realizar Estudios de Doctorado en la Universidad Nacional Mayor de San Marcos, Perú. 5. REFERENCIAS BIBLIOGRÁFICAS 1. Duan, Z., Yuan, X., & Chandrashekar, J. (2008). Controlling ip spoofing through interdomain packet filters. Dependable and Secure Computing, IEEE Transactions on, 5(1), 22-36. “III Conferencia Internacional en Ciencias Computacionales e Informáticas” Bravo, S.; Moreno, A.H.| “CARACTERIZACIÓN DE LOS MÉTODOS DE DETECCIÓN DE ATAQUES DDoS” 2. Zhanikeev, M., & Tanaka, Y. (2013). A graphical method for detection of Flash Crowds in traffic. Telecommunication Systems, 1-15. 3. Li, K., Zhou, W., Li, P., Hai, J., & Liu, J. (2009). Distinguishing DDoS attacks from flash crowds using probability metrics. In Network and System Security, 2009. NSS'09. Third International Conference on (pp. 9-17). IEEE. 4. Yu, S., Zhou, W., Jia, W., Guo, S., Xiang, Y., & Tang, F. (2012). Discriminating DDoS attacks from flash crowds using flow correlation coefficient. Parallel and Distributed Systems, IEEE Transactions on, 23(6), 1073-1080. 5. Sachdeva, M., Singh, G., & Kumar, K. (2011). An emulation based impact analysis of DDoS attacks on web services during flash events. InComputer and Communication Technology (ICCCT), 2011 2nd International Conference on (pp. 479-484). IEEE. 6. Thapngam, T., Yu, S., Zhou, W., & Beliakov, G. (2011). Discriminating DDoS attack traffic from flash crowd through packet arrival patterns. InComputer Communications Workshops (INFOCOM WKSHPS), 2011 IEEE Conference on (pp. 952-957). IEEE. 7. Verisign (2015). Verisign Distributed Denial of Service Trends Report Q3 2015. 10 pages. 8. Arbor Networks (2010). Worldwide Infraestructure Security Report. 2010 Report. WISR/EN/0111. 62 pages. 9. Prolexic (2014). Prolexic Quarterly Global DDoS Attak Report Q2 2014. 31 pages. 10. IEEE (2014). 2014 IEEE Taxonomy. Version 1.0. The Institute of Electrical and Electronics Engineers (IEEE). 67 pages. 11. Lee, S., Kim, G., & Kim, S. (2011). Sequence-order-independent network profiling for detecting application layer DDoS attacks. EURASIP Journal on Wireless Communications and Networking, 2011(1), 1-9. 12. Lu, W. Z., Gu, W. X., & Yu, S. Z. (2009). One-way queuing delay measurement and its application on detecting DDoS attack. Journal of Network and Computer Applications, 32(2), 367-376. 13. Yi, F., Yu, S., Zhou, W., Hai, J., & Bonti, A. (2008). Source-based filtering scheme against DDOS attacks. International journal of database theory and application, 1(1), 9-20. 14. Oikonomou, G., & Mirkovic, J. (2009). Modeling human behavior for defense against flash- crowd attacks. In Communications, 2009. ICC'09. IEEE International Conference on (pp. 1-6). IEEE. 15. Bhatia, S., Mohay, G., Schmidt, D., & Tickle, A. (2012). Modelling web-server flash events. In Network computing and applications (NCA), 2012 11th IEEE international symposium on (pp. 79-86). IEEE. 16. Ranjan, S., Swaminathan, R., Uysal, M., Nucci, A., & Knightly, E. (2009). DDoS-shield: DDoS-resilient scheduling to counter application layer attacks.IEEE/ACM Transactions on Networking (TON), 17(1), 26-39. 17. Bhatia, S., Mohay, G., Tickle, A., & Ahmed, E. (2011). Parametric differences between a realworld distributed denial-of-service attack and a flash event. In Availability, Reliability and Security (ARES), 2011 Sixth International Conference on (pp. 210217). IEEE. 18. Stevanovic, D., Vlajic, N., & An, A. (2013). Detection of malicious and non-malicious website visitors using unsupervised neural network learning. Applied Soft Computing, 13(1), 698-708. 6. SÍNTESIS CURRICULARES DE LOS AUTORES Silvia Bravo, Ingeniera en Informática y Sistemas Computacionales, Magister en Tecnologías para la gestión y práctica docente, Realizando Estudios del Doctorado en Ingeniería de Sistemas e Informática en la Universidad Nacional Mayor de San Marcos – Perú, en la línea de investigación de Inteligencia Artificial. Docente Titular Auxiliar de la Universidad Técnica de Cotopaxi. Experiencia en las áreas de Bases de Datos, Programación Orientada a Objetos y NTICS. Ángel H. Moreno, graduado de "Ingeniero Termoenergético" en el año 1989, por la Facultad de Ingeniería del Instituto Superior Técnico de Cienfuegos (ISTC), en Cienfuegos, Cuba. Obtuvo el título de "Doctor Ingeniero Industrial" por la Universidad de Oviedo, España, en el año 1999. Ha trabajado como profesor e investigador en diferentes centros de investigación científica e instituciones de educación superior, tales como el Instituto Nacional del Carbón (INCAR), perteneciente a la Agencia Estatal Consejo Superior de Investigaciones Científicas (CSIC), de España, la Universidad de Cienfuegos (UCf) y la Delegación de la Academia de Ciencias de Cuba, en Cienfuegos. Actualmente trabaja como docente e investigador en la Universidad Técnica de Cotopaxi (UTC), en Ecuador, donde es miembro de su Comité Científico. Es autor y coautor de diez artículos científicos, tres de ellos incluidos en el “Journal Citation Report” (JCR) y de otras cinco publicaciones en libros y volúmenes colectivos. Ha presentado diecinueve comunicaciones a diferentes congresos internacionales y nacionales. “III Conferencia Internacional en Ciencias Computacionales e Informáticas”