Una arquitectura distribuida para la detección, comunicación y mitigación de la denegación de servicio

Abstract

Como bien se sabe, en la actualidad los ciberataques tienen lugar en cualquier lugar del mundo y afectan a todo tipo de infraestructuras. Todos los meses se reciben noticias de ciberataques que se llevan a cabo contra grandes empresas, gobiernos, universidades, comercios de Internet, entre otros, y ninguna de las soluciones comerciales disponibles parece capaz de ofrecer una solución al gran problema de la denegación de servicio. Es por ello que, con el objeto de ofrecer una adecuada protección frente a dichas intrusiones, resulta necesario aportar soluciones configurables, integrables que, al mismo tiempo, sean rápidas y eficaces. En este sentido, la tesis que se expone a continuación presenta y desarrolla una solución de arquitectura distribuida para la detección, comunicación y mitigación de la denegación del servicio, basada en aplicaciones software híbridas desarrolladas en un núcleo en lenguaje C, así como en la flexibilidad que aporta Python, empleando para ello interfaces externas en dicho lenguaje. En esta tesis se exploran soluciones a la denegación de servicio a nivel de aplicación. Para ello, se han estudiado e investigado técnicas basadas en redes neuronales, en análisis estadísticos a nivel IP, en correlación de flags TCP, en el estudio de comportamientos del usuario sobre los recursos del servidor, soluciones de control de flujo y en soluciones distribuidas, entre otras. El resultado de las técnicas estudiadas ha dado lugar a una solución distribuida, escalable y de bajo coste, dependiente del tipo de infraestructura que se quiere proteger. La propuesta considera una arquitectura distribuida basada en tres pilares fundamentales, detección, comunicación y mitigación de la denegación de servicio. Dichos elementos, cooperan entre sí de manera que, tanto en datos reales y simulados, conseguimos detectar, mitigar y comunicar este tipo de ciberataques. Para la detección proponemos el empleo de un algoritmo que aporta elevadas tasas de detección en el protocolo HTTP. Por otra parte, mediante el uso de canales encubiertos conseguimos comunicar los diferentes elementos de la arquitectura propuesta de forma prácticamente invisible. Finalmente, conseguimos mitigar dichas intrusiones de manera que los usuarios habituales del servicio no experimenten ninguna alteración en sus comunicaciones. Todo lo que aquí se expone contiene código fuente con licencia GPL publicado en Internet y puede ser descargado y utilizado por otros investigadores si así fuese necesario.