Desarrollo de un sistema de monitoreo de tráfico de red para la detección de ataques de denegación de servicio mediante Inteligencia Artificial

En este trabajo se desarrolla un sistema de detección de distintos tipos de ataques de denegación de servicio distribuidos (DDoS). El sistema monitoriza continuamente la red y analiza el tráfico entrante y saliente. Si este detecta alguna amenaza, entonces lo notificará e imprimirá toda la información relevante en un cuadro de mandos.
La detección de los ataques DDoS y el análisis del tráfico funcionan mediante un modelo de Inteligencia Artificial, en específico, Deep Learning. Dicho modelo es un algoritmo que ha sido programado automáticamente, presentándole una gran cantidad de datos de ataques anteriores para que aprenda a clasificarlos. Esta técnica nos permite tener un programa que identifica patrones en el tráfico difíciles de distinguir por una persona. Así, dispondremos de un sistema totalmente automatizado que simplemente habría que monitorizar para estar alerta de cualquier posible amenaza.
El sistema cuenta también con un algoritmo que captura el tráfico de la red de nuestro dispositivo. Este registro se lleva a cabo en tiempo real y, es bastante eficiente. Además, existe otro algoritmo que monitoriza la carga de trabajo que hay que analizar. Cuantos más paquetes y más información fluyan por la red, más capturas de tráfico habrá que analizar. Por ello, este algoritmo está preparado para ser muy eficiente aun teniendo cargas de trabajo significativas, ya que aplica técnicas de paralelismo para ejecutar varios análisis al mismo tiempo.
Por otro lado, una vez que se obtiene cada una de las predicciones de cada captura del tráfico, se almacenan los datos relevantes en una base de datos relacional para disponer de ellos de forma más estructurada y accesible. Esta disposición de los datos nos permite ejecutar consultas de todo tipo y extraer estadísticas interesantes que nos ayudarán a comprender el funcionamiento de nuestro sistema. Además, se registran también ciertos datos extra relevantes, que nos facilitarán la comprensión sobre todo lo que sucede en nuestro sistema.
Por último, los datos almacenados en la base de datos relacional se representan en una interfaz web. Esta interfaz consta de un cuadro de mandos con varios paneles que muestran en tiempo real los resultados de las predicciones. Sin embargo, no solo se exhiben los valores de las predicciones, sino que, además, se presenta la información adicional que comentamos previamente y así, se complementa el pronóstico obtenido por el modelo de Inteligencia Artificial.
En pocas palabras, se ha desarrollado un sistema que captura el tráfico de nuestra red, lo analiza y obtiene ciertos resultados. Después, se almacena dicha información y se imprime en una interfaz web fácil de monitorizar, resultando en una aplicación de detección de ataques DDoS eficiente, rápida e intuitiva.
Abstract:
In this work, a system for detecting different types of distributed denial of service (DDoS) attacks is developed. The system continuously monitors the network and analyses incoming and outgoing traffic. If it detects a threat, then it will notify and print all relevant information on a dashboard.
The detection of DDoS attacks and the analysis of the traffic works through an Artificial Intelligence model, specifically Deep Learning. This model is an algorithm that has been programmed automatically, presenting it a large amount of data from previous attacks so that it learns to classify them. This technique allows us to have a programme that identifies patterns in traffic that are difficult for a person to distinguish. Thus, we have a fully automated system that simply needs to be monitored to be alert to any possible threat.
The system also has an algorithm that captures the network traffic of our device. This recording is carried out in real time and is quite efficient. In addition, there is another algorithm that monitors the workload to be analysed. The more packets and information flowing through the network, the more traffic captures need to be analysed. Therefore, this algorithm is prepared to be very efficient even under significant workloads, as it applies parallelism techniques to run several analyses at the same time.
On the other hand, once each of the predictions for each traffic capture is obtained, the relevant data is stored in a relational database to make it available in a more structured and accessible way. This arrangement of data allows us to run queries of all kinds and extract interesting statistics that will help us to understand how our system works. In addition, some extra relevant data is also recorded, which will facilitate our understanding of everything that happens in our system.
Finally, the data stored in the relational database is represented in a web interface. This interface consists of a dashboard with several panels that show in real time the results of the predictions. However, not only the prediction values are displayed, but also the additional information previously mentioned is presented, thus complementing the forecast obtained by the Artificial Intelligence model.
In a few words, a system has been developed that captures our network traffic, analyses it and obtains certain results. This information is then stored and printed out in an easy-to-monitor web interface, resulting in an efficient, fast and intuitive DDoS attack detection application.

​En este trabajo se desarrolla un sistema de detección de distintos tipos de ataques de denegación de servicio distribuidos (DDoS). El sistema monitoriza continuamente la red y analiza el tráfico entrante y saliente. Si este detecta alguna amenaza, entonces lo notificará e imprimirá toda la información relevante en un cuadro de mandos.
La detección de los ataques DDoS y el análisis del tráfico funcionan mediante un modelo de Inteligencia Artificial, en específico, Deep Learning. Dicho modelo es un algoritmo que ha sido programado automáticamente, presentándole una gran cantidad de datos de ataques anteriores para que aprenda a clasificarlos. Esta técnica nos permite tener un programa que identifica patrones en el tráfico difíciles de distinguir por una persona. Así, dispondremos de un sistema totalmente automatizado que simplemente habría que monitorizar para estar alerta de cualquier posible amenaza.
El sistema cuenta también con un algoritmo que captura el tráfico de la red de nuestro dispositivo. Este registro se lleva a cabo en tiempo real y, es bastante eficiente. Además, existe otro algoritmo que monitoriza la carga de trabajo que hay que analizar. Cuantos más paquetes y más información fluyan por la red, más capturas de tráfico habrá que analizar. Por ello, este algoritmo está preparado para ser muy eficiente aun teniendo cargas de trabajo significativas, ya que aplica técnicas de paralelismo para ejecutar varios análisis al mismo tiempo.
Por otro lado, una vez que se obtiene cada una de las predicciones de cada captura del tráfico, se almacenan los datos relevantes en una base de datos relacional para disponer de ellos de forma más estructurada y accesible. Esta disposición de los datos nos permite ejecutar consultas de todo tipo y extraer estadísticas interesantes que nos ayudarán a comprender el funcionamiento de nuestro sistema. Además, se registran también ciertos datos extra relevantes, que nos facilitarán la comprensión sobre todo lo que sucede en nuestro sistema.
Por último, los datos almacenados en la base de datos relacional se representan en una interfaz web. Esta interfaz consta de un cuadro de mandos con varios paneles que muestran en tiempo real los resultados de las predicciones. Sin embargo, no solo se exhiben los valores de las predicciones, sino que, además, se presenta la información adicional que comentamos previamente y así, se complementa el pronóstico obtenido por el modelo de Inteligencia Artificial.
En pocas palabras, se ha desarrollado un sistema que captura el tráfico de nuestra red, lo analiza y obtiene ciertos resultados. Después, se almacena dicha información y se imprime en una interfaz web fácil de monitorizar, resultando en una aplicación de detección de ataques DDoS eficiente, rápida e intuitiva.
Abstract:
In this work, a system for detecting different types of distributed denial of service (DDoS) attacks is developed. The system continuously monitors the network and analyses incoming and outgoing traffic. If it detects a threat, then it will notify and print all relevant information on a dashboard.
The detection of DDoS attacks and the analysis of the traffic works through an Artificial Intelligence model, specifically Deep Learning. This model is an algorithm that has been programmed automatically, presenting it a large amount of data from previous attacks so that it learns to classify them. This technique allows us to have a programme that identifies patterns in traffic that are difficult for a person to distinguish. Thus, we have a fully automated system that simply needs to be monitored to be alert to any possible threat.
The system also has an algorithm that captures the network traffic of our device. This recording is carried out in real time and is quite efficient. In addition, there is another algorithm that monitors the workload to be analysed. The more packets and information flowing through the network, the more traffic captures need to be analysed. Therefore, this algorithm is prepared to be very efficient even under significant workloads, as it applies parallelism techniques to run several analyses at the same time.
On the other hand, once each of the predictions for each traffic capture is obtained, the relevant data is stored in a relational database to make it available in a more structured and accessible way. This arrangement of data allows us to run queries of all kinds and extract interesting statistics that will help us to understand how our system works. In addition, some extra relevant data is also recorded, which will facilitate our understanding of everything that happens in our system.
Finally, the data stored in the relational database is represented in a web interface. This interface consists of a dashboard with several panels that show in real time the results of the predictions. However, not only the prediction values are displayed, but also the additional information previously mentioned is presented, thus complementing the forecast obtained by the Artificial Intelligence model.
In a few words, a system has been developed that captures our network traffic, analyses it and obtains certain results. This information is then stored and printed out in an easy-to-monitor web interface, resulting in an efficient, fast and intuitive DDoS attack detection application. Read More