Information Theoretic Measures for the Detection of Anomalies in IP darkspace traffic

Information Theoretic Measures for the Detection of Anomalies in IP darkspace traffic

The project consists in making an entropy based classification of the darkspace traffic that enables rapid detection of some types of major incidents including large multi-source scans, changes in backscatter trafIc, and large probes, which can facilitate early warning capabilities and operational i...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
1. Verfasser: Pardo González, Cristina
Format: Dissertation
Sprache:eng
Schlagworte:
Enginyeria de la telecomunicació
Internet
Local area networks (Computer networks)
Telemàtica i xarxes d'ordinadors
Trànsit de dades
Xarxes d'àrea local (Xarxes d'ordinadors)
Àrees temàtiques de la UPC
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:The project consists in making an entropy based classification of the darkspace traffic that enables rapid detection of some types of major incidents including large multi-source scans, changes in backscatter trafIc, and large probes, which can facilitate early warning capabilities and operational information exchange among network operators. [ANGLÈS] This project aims to design an entropy based model to detect anomalies in Internet traffic addressed to IP darkspace, formed by a group of IP addresses that are not assigned to any host but also receive unsolicited traffic which may be suspicious. We want to obtain an anomaly detection system that does not require deep packet inspection and therefore is fast, lightweight and without great computing cost. To do this we calculate for the received packets an entropy vector including the parameters source and destination IP addresses, source and destination ports, protocol, TCP flags, TTL, and IP length. We have compared our results with other methods to try to predict attacks and anomalies previously detected and we obtained around 80% accuracy. As a first approximation the results are positive. However, we leave as future work to make some adjustments to our model to get better predictions. [CASTELLÀ] En este proyecto se pretende diseñar un modelo basado en entropía que permita detectar anomalías en el tráfico de internet dirigido al IP darkspace, formado por un grupo de direcciones IP que no están asignadas a ninguna máquina pero que igualmente reciben tráfico no solicitado y por lo tanto podría ser, sospechoso. Queremos conseguir un sistema de detección de anomalías que no requiera inspeccionar profundamente los paquetes y que por tanto sea rápido, ligero y sin un gran coste de capacidad computacional. Para ello calculamos un vector de entropía de los paquetes del tráfico recibido que incluye los parámetros direcciones IP origen y destino, puertos de origen y destino, protocolo, TCP flags, TTL e IP length. Hemos comparado nuestros resultados con otro método para tratar de predecir tipos anomalías y ataques previamente detectados y hemos obtenido una precisión en torno al 80%. Como primera aproximación los resultados son positivos, no obstante se deja como trabajo futuro hacer reajustes en el modelo para obtener mejores predicciones. [CATALÀ] En aquest projecte es pretén dissenyar un model basat en entropia que permeti detectar anomalies en el tràfic d'internet dirigit a l'IP darkspace, format per un grup d'ad