Detección de Intrusos en el Tráfico de Red mediante Máquinas de Vectores Soporte.

CATANIA, CARLOS A.; BROMBERG, FACUNDO; GARCIA GARINO, CARLOS

Los Reyunos, San Rafael, Mendoza, ARGETINA

Congreso; Encuentro de Investigadores y Docentes de Ingeniería (EnIDI); 2009

UTN-FRM y UNCuyo

Tradicionalmente los enfoques para tratar con el problema de la seguridaden las redes de datos se han basado en sistemas de reglas que describencaracterísticas del tráfico de red que contiene ataques. Sin embargo,esta estrategia presenta serios inconvenientes ya que debido a lavelocidad con la que surgen nuevas variantes de ataques, no resultaposible contar con el número de reglas necesario para describir losataques posibles. Para hacer frente estos inconvenientes, se han propuesto diferentestécnicas basadas en inteligencia artificial en general y aprendizajede máquina en particular. Por su parte las máquinas de vectores soporte (SVM) han despertadogran interés dentro de la comunidad de aprendizaje de máquina desdesu aparición a mediados de la década de los noventa. Entre sus característicasprincipales se destaca una fuerte fundamentación teórica que garantizala minimización del error de generalización y la capacidad para manejarde manera eficiente el ruido. Estas características son las que motivanla aplicación de SVM al campo de la detección de intrusos. Últimamentese han propuesto distintas variantes que han permitido extender suuso a casos más allá de problemas de clasificación y regresión. Enese sentido se destacan las variantes para detección de anomalías,en donde el objetivo es construir un modelo que describa una clasey luego toda nueva instancia que no se adecue al modelo es consideradauna anomalía. En este trabajo se presentan resultados de la primera estapa de un estudiode mayor alcance que evalúa la aplicación de distintas variantes de SVM al campo dedetección de intrusos en el tráfico de red. Se pone énfasis en elcomportamiento de las variantes de SVM para detección de anomalíasfrente a variantes tradicionales. Los resultados de los experimentosconducidos indican que para ciertos casos, aplicar SVM para detecciónde anomalías es posible reconocer correctamente cerca del 98% delos ataques presentes en las instancias de tráfico evaluadas. Presentandouna mejoría respecto al comportamiento de la variante de SVM tradicional.