Procedimiento de caracterización de entidades al principio de variaciones en un tráfico de red.

Procedimiento de caracterización de entidades al principio de al menos una variación detectada en un tráfico de red,

comprendiendo el procedimiento:

- una etapa (E11) de determinación de un periodo de análisis adecuado que comprende al menos un tramo horario sospechoso, conteniendo el tramo horario sospechoso la variación detectada en el tráfico,

- una etapa (E14-1) de evaluación, para una entidad (ck) que contribuye al tráfico de red, de un valor representativo de una similitud de tráfico entre una parte del tráfico atribuible a dicha entidad y el tráfico de red durante el periodo de análisis adecuado, siendo realizada dicha etapa de evaluación para una pluralidad de entidades que contribuyen al tráfico de red, y

- una etapa (E14-2) de identificación, entre la pluralidad de entidades que contribuyen al tráfico de red, de un grupo de entidades responsables de la variación de tráfico, a partir de los valores de similitud de tráfico evaluados; estando caracterizado dicho procedimiento porque dicha etapa de identificación comprende:

- una operación de supresión del tráfico atribuible a la entidad cuya similitud de tráfico con el tráfico de red es más fuerte, repitiéndose la operación de supresión hasta que la similitud de tráfico entre el tráfico filtrado y el tráfico global sea inferior a un umbral predefinido, comprendiendo el grupo de entidades las entidades cuyo tráfico ha sido filtrado.

Procedimiento de caracterización de entidades al principio de variaciones en un tráfico de red

La presente invención se refiere a un procedimiento de caracterización de entidades al principio de al menos una variación en un tráfico de red.

La invención se sitúa en el campo de las redes de telecomunicaciones. Encuentra una aplicación particularmente interesante en la seguridad de una red informática, y particularmente en la identificación de un conjunto de máquinas comprometidas, controladas por un mismo usuario malintencionado (el término corrientemente utilizado para designar este conjunto de máquinas es "botnet"). Un botnet puede reagrupar varios miles de máquinas, llamadas máquinas zombis, que son infectadas por un programa nefasto instalado en la máquina a espaldas de un usuario legítimo. El programa nefasto permite al usuario malintencionado accionar las máquinas del botnet desde una máquina de control. Un botnet se utiliza por ejemplo para perpetrar acciones malintencionadas contra otras máquinas, para hacer comercio ilícito, o para ganar dinero deshonestamente.

Las redes de tipo botnet han evolucionado a lo largo del tiempo. Se conocen varios procedimientos de identificación de máquinas de un botnet. Por ejemplo, el artículo Identifying Botnets Using Anomaiy Detection Techniques Applied to DNS Traffic, R. Villamarin y JC. Brustoloni, publicado en los Proceedings IEEE CCNC 28, propone un procedimiento para identificar servidores de mando y de control de una red de tipo botnet. Este procedimiento se basa en un análisis de peticiones DNS (de Domaine Ñame Service). Un primer modo de realización del procedimiento consiste en buscar las tasas de peticiones con nombres de dominio particulares anormalmente elevadas. Un segundo modo de realización del procedimiento consiste en buscar peticiones recurrentes con nombres de dominios que no existen. Estos métodos se adaptan a casos en los que todos los clientes intentan acceder a un mismo servidor y hacen peticiones DNS relativas a un mismo nombre de dominio.

La solicitud de patente publicada con el n2 EP 19662 divulga un método para detectar clientes comprometidos que constituyen un botnet. En un primer tiempo, el procedimiento identifica clientes sospechosos, por ejemplo clientes que efectúan escáneres de vulnerabilidades, y después analiza precisamente el tráfico de estos clientes con el fin de identificar otras actividades sospechosas, como por ejemplo una conexión con un servidor específico tal como un servidor de mensajería instantánea. En este caso el cliente es marcado como que forma parte potencialmente de un grupo de máquinas. Un análisis y un cotejo de todos los datos cosechados en los clientes sospechosos permite identificar grupos de máquinas conectados a un mismo servidor, cada uno de los miembros del grupo siendo identificado como que forma parte de un botnet. No obstante el procedimiento se apoya en la hipótesis según la cual todos los clientes sospechosos de un grupo acceden a un mismo servidor y utilizan por lo tanto un mismo canal.

Ahora bien, las redes de tipo botnet evolucionan. Así, actualmente se ven aparecer redes de máquinas zombis, que constituyen un botnet, que se organizan en redes "P2P" (de peer-to-peei). Se vuelve difícil entonces identificar un canal utilizado para las máquinas zombis del botnet. Resulta que los métodos precitados son totalmente inadaptados para identificar las máquinas zombis del botnet.

Uno de los objetos de la invención es remediar insuficiencias del estado de la técnica. La invención responde a esta necesidad proponiendo un procedimiento de caracterización de entidades al principio de al menos una variación detectada en un tráfico de red, dicho procedimiento siendo definido según la reivindicación 1.

La invención ofrece una técnica que permite identificar el origen de comportamientos en la red que provocan fuertes variaciones en el tráfico de red con respecto a un tráfico, llamado normal, habitualmente observado.

El procedimiento según la invención permite analizar los comportamientos de red analizando las entidades IP de los paquetes que constituyen el tráfico. El procedimiento identifica a través de un comportamiento macroscópico visiblemente anormal, una lista de clientes que tienen el mismo comportamiento anormal. Así, los clientes de la lista parece que tienen todos un comportamiento similar, por ejemplo, una fase de despertar en el transcurso de la cual todo se pone aproximadamente al mismo tiempo de emitir el tráfico, y una fase de adormecimiento en el transcurso de la cual todo para aproximadamente simultáneamente de emitir tráfico.

Por tanto, cuando se dispone del tráfico global con destino a un servidor particular, es fácil observar un comportamiento macroscópico que se desvía del comportamiento normal, por tanto es difícil identificar el origen de tal comportamiento que se desvía provocado por una pluralidad de máquinas. El procedimiento según la invención remedia este problema caracterizando todas las máquinas correlacionadas a este comportamiento que se desvía, es decir, que tienen un comportamiento similar al comportamiento que se desvía.

En una realización de la invención, la etapa de identificación del grupo de entidades comprende:

- una etapa de clasificación de la pluralidad de entidades (ck) que contribuye al tráfico de red en un conjunto ordenado, según un orden predefinido de similitud de tráfico (Sk),

- una etapa de selección de x entidades consecutivas en el conjunto ordenado con el fin de formar dicho grupo, el valor de similitud de tráfico (cov(C x->p)) entre el tráfico acumulado atribuible a las entidades restantes (sx+i,..., sp) del conjunto ordenado y el tráfico de red siendo inferior a un umbral predefinido.

Observando el tráfico de manera macroscópica, una dificultad es identificar mejor las entidades responsables de las variaciones macroscópicas en el tráfico. Con el fin de identificar un grupo de x clientes sospechosos, se procede a un filtrado del tráfico global observado repitiendo para una pluralidad de clientes una operación de supresión de un tráfico atribuible a un cliente. Con cada iteración, es el tráfico del cliente cuya covarianza con el tráfico global es la más fuerte que se suprime. La operación de supresión de un tráfico de cliente se repite hasta obtener una covarianza entre el tráfico filtrado y el tráfico global inferior a un umbral predefinido. Así, para cada una de las entidades P que contribuyen al tráfico global, se calcula la covarianza del tráfico de la entidad con el tráfico global, las entidades Si,..., sp siendo entonces clasificadas por covarianzas decrecientes. Se define igualmente una covarianza acumulada, covíCu^v), con u<v, como siendo la covarianza entre el tráfico generado por los clientes s de índices comprendidos entre u y v, y el tráfico global. El procedimiento identifica después el número x de clientes más implicados en la variación macroscópica del tráfico global identificando el índice x de la entidad a partir de la cual la covarianza acumulada cov(Cx_>P)<. El tráfico de las entidades de índice x a P no presentando ya correlación con el tráfico global, mientras que las entidades x de índices 1 a x son las que presentan la correlación más fuerte con el tráfico global.

En una realización de la invención, la etapa de determinación de un periodo de análisis adecuado comprende:

- una etapa de selección de una zona de (m) tramos horarios pasados consecutivos,

- si el número de tramos sospechosos en dicha zona es inferior a una tasa (p) predefinida, mientras que una selección de una nueva zona comprende los tramos horarios pasados (m-1) más recientes, y

- si el número de tramos sospechosos en dicha zona es superior o igual a dicha tasa, mientras que el periodo de análisis adecuado es igual a dicha zona.

De forma ventajosa, el procedimiento permite determinar un periodo de análisis adecuado óptimo.

Con el procedimiento según la invención, la entidad (q<) que contribuye al tráfico global se identifica por medio de un criterio (c), dicho criterio siendo un campo de un paquete IP emitido por dicha entidad que pertenece al grupo que comprende: dirección IP fuente, puerto fuente, petición DNS.

Se utilizan varios criterios con el fin de caracterizar variaciones macroscópicas en un tráfico de red. Típicamente, cualquier campo de un paquete IP puede ser utilizado. El procedimiento según la invención retiene no obstante varios campos pertinentes. Así, la dirección IP fuente, utilizada como criterio por el procedimiento según la invención, permite identificar cualquiera de las máquinas al principio de variaciones macroscópicas en el tráfico. En... [Seguir leyendo]

1.- Procedimiento de caracterización de entidades al principio de al menos una variación detectada en un tráfico de red, comprendiendo el procedimiento:

- una etapa (E11) de determinación de un periodo de análisis adecuado que comprende al menos un tramo horario sospechoso, conteniendo el tramo horario sospechoso la variación detectada en el tráfico,

- una etapa (E14-1) de evaluación, para una entidad (Ck) que contribuye al tráfico de red, de un valor representativo de una similitud de tráfico entre una parte del tráfico atribuible a dicha entidad y el tráfico de red durante el periodo de análisis adecuado, siendo realizada dicha etapa de evaluación para una pluralidad de entidades que contribuyen al tráfico de red, y

- una etapa (E14-2) de identificación, entre la pluralidad de entidades que contribuyen al tráfico de red, de un grupo de entidades responsables de la variación de tráfico, a partir de los valores de similitud de tráfico evaluados;

estando caracterizado dicho procedimiento porque dicha etapa de identificación comprende:

- una operación de supresión del tráfico atribuible a la entidad cuya similitud de tráfico con el tráfico de red es más fuerte, repitiéndose la operación de supresión hasta que la similitud de tráfico entre el tráfico filtrado y el tráfico global sea inferior a un umbral predefinido, comprendiendo el grupo de entidades las entidades cuyo tráfico ha sido filtrado.

2.- Procedimiento según la reivindicación 1, en el que la etapa (E14-2) de identificación del grupo de entidades comprende:

- una etapa de clasificación de la pluralidad de entidades (ck) que contribuyen al tráfico de red en un conjunto ordenado, según un orden predefinido de similitud de tráfico (sk),

- una etapa de selección de x entidades consecutivas en el conjunto ordenado con el fin de formar dicho grupo, siendo inferior a un umbral predefinido el valor de similitud de tráfico (cov(C X->p)) entre el tráfico acumulado atribuible a las entidades restantes (sx+i,..., sp) del conjunto ordenado y el tráfico de red.

3.- Procedimiento según la reivindicación 1, en el que la etapa de determinación de un periodo de análisis adecuado comprende:

- una etapa de selección de una zona de (m) tramos horarios pasados consecutivos,

- si el número de tramos sospechosos en dicha zona es inferior a una tasa (p) predefinida, entonces una selección de una nueva zona que comprende los tramos horarios pasados (m-1) más recientes, y

- si el número de tramos sospechosos en dicha zona es superior o igual a dicha tasa, entonces el periodo de análisis adecuado es igual a dicha zona.

4.- Procedimiento según la reivindicación 1, en el que la entidad (Ck) que contribuye al tráfico global se identifica por medio de un criterio, siendo dicho criterio un campo de un paquete IP emitido por dicha entidad que pertenece al grupo que comprende: dirección IP fuente, puerto fuente, petición DNS.

5.- Dispositivo (59) de caracterización de tráfico adaptado para caracterizar entidades al principio de al menos una variación detectada en un tráfico de red, siendo detectada en dicho tráfico al menos una variación superior a un valor predeterminado, comprendiendo dicho dispositivo:

- un módulo (59-1) de determinación de un periodo de análisis, dispuesto para determinar un periodo de análisis adecuado que comprende al menos un tramo horario sospechoso, conteniendo el tramo horario sospechoso la variación detectada en el tráfico,

- un módulo (59-2) de evaluación, dispuesto para evaluar, para cada entidad (Ck) que contribuye al tráfico de red, un valor representativo de una similitud de tráfico entre una parte del tráfico atribuible a dicha entidad y el tráfico de red durante el periodo de análisis adecuado, estando dispuesto dicho módulo igualmente para realizar la evaluación para una pluralidad de entidades que contribuyen al tráfico de red, y

- un módulo (59-3) de identificación, dispuesto para identificar entre la pluralidad de entidades que contribuyen al tráfico de red un grupo de entidades responsables de la variación de tráfico, a partir de los valores de similitud de tráfico evaluados por el módulo de evaluación;

estando caracterizado dicho dispositivo porque dicho módulo de identificación comprende unos medios de supresión

de tráfico, dispuestos para suprimir el tráfico atribuible a la entidad cuya similitud de tráfico con el tráfico de red es más fuerte, repitiéndose la operación de supresión hasta que la similitud de tráfico entre el tráfico filtrado y el tráfico global sea inferior a un umbral predefinido, comprendiendo el grupo de entidades las entidades cuyo tráfico ha sido filtrado.

6.- Programa de ordenador en un soporte de datos y cargable en la memoria interna de un ordenador, comprendiendo el programa porciones de código para la ejecución de las etapas del procedimiento según una de las reivindicaciones 1 a 4, cuando el programa es ejecutado en dicho ordenador.

7.- Soporte de datos en el que está registrado el programa de ordenador según la reivindicación 6.