Detección de anomalías en el tráfico agregado de redes ip basada en inferencia estadística sobre un modelo alfa-estable de primer orden

Resumen

La detección de anomalías en el tráfico de red es un campo de notable interés para la gestión de redes de datos. Un sistema de detección al efecto puede complementar la información que recibe el administrador de la red, de forma que éste pueda saber si los datos intercambiados presentan patrones que no son habituales en un momento dado. Normalmente, un sistema de detección de anomalías parte de un conjunto de características representativas del tráfico, extraídas de los datos que circulan por la red. Posteriormente, estas características se emplean para decidir si el tráfico debe ser clasificado como normal o anómalo. Una de las posibles formas de extraer dichas características del tráfico consiste en aplicar un modelo estadístico a los datos obtenidos de la red. De esta forma, el tráfico muestreado queda definido por los parámetros del modelo y se incorpora, además, mayor robustez en caso de contar con pocas muestras. Si bien existen trabajos de detección de anomalías basados en modelos estadísticos, estas contribuciones no tienen en cuenta ciertas propiedades inherentes al tráfico de red a las que la bibliografía relativa al modelado de tráfico da una gran importancia. Estas propiedades, denominadas alta variabilidad y dependencia a largo plazo, pueden contener información valiosa para la posterior clasificación de los datos muestreados. Una vez que se cuenta con un conjunto de características distintivas del tráfico, es necesario proceder a su clasificación, con la intención de decidir si los datos son normales o no. Aquí, las propuestas existentes adolecen de una cierta tendencia a obviar el problema de establecer una base de comparación sobre la cual plantear la decisión. Existe, además, el problema añadido de que el tráfico de red suele exhibir un comportamiento cicloestacionario, con lo que unos determinados patrones de tráfico de referencia válidos en un momento dado pueden no ser adecuados en otros instantes de tiempo. Se observa también, en el diseño de clasificadores, cierta desunión entre los subsistemas de extracción de características y de clasificación empleados, lo que puede derivar en sistemas de detección que no aprovechan al máximo la información extraída del tráfico. Es también habitual que los diversos autores asuman que el tráfico inmediatamente anterior al actual es normal, o bien que dejen la elección de patrones de referencia adecuados a un experto cualificado. No obstante, sería deseable eludir cualquier asunción sobre el pasado inmediato y reducir la intervención humana en la medida de lo posible. En esta tesis doctoral se propone un método de detección de anomalías que hace uso de un modelo estadístico adaptado a las propiedades observadas en el tráfico de red, de forma que las características extraídas de dicho modelo sean capaces de representar más fielmente a los datos reales, y proporcionen, por tanto, más información al subsistema de clasificación. Este subsistema, a su vez, deberá ser capaz de aprovechar la información ofrecida por dichas propiedades del tráfico. El método propuesto aborda, además, el problema de la determinación de patrones de tráfico de referencia sin intervención humana. Estos patrones habrán de ser válidos en cualquier instante de tiempo, e independientes de cualquier suposición sobre el tráfico inmediatamente anterior al actual. Las mencionadas propuestas se validan mediante el uso de datos reales, procedentes de dos encaminadores de la Universidad de Valladolid. Estos encaminadores proporcionan dos niveles distintos de agregación, de forma que las conclusiones obtenidas en la evaluación del método propuesto se puedan extrapolar a otras redes en la medida de lo posible. Como parte de esta validación, se compara el rendimiento del método propuesto con el estado actual de la técnica en el campo.