Mapas auto-organizativos probabilísticos y análisis de componentes de conexiones para la detección de anomalías en redes de computadores

Abstract

El crecimiento de Internet y, en consecuencia, el número de ordenadores interconectados, ha dejado al descubierto grandes cantidades de información a los intrusos y atacantes. Los cortafuegos tienen como objetivo detectar violaciones de acuerdo con un conjunto de reglas predefinidas y generalmente bloquean el tráfico de entrada potencialmente peligroso. Sin embargo, con la evolución de las técnicas de ataque, es más difícil distinguir las anomalías del tráfico normal. Se han propuesto diferentes enfoques de detección, incluyendo el uso de técnicas de aprendizaje automático basadas en modelos neuronales, tales como los Mapas Auto- Organizados (SOM).

En este trabajo, presentamos un enfoque de clasificación que se hibrida con técnicas estadísticas y SOM para la detección de anomalías de red. Así, mientras el Análisis de Componentes Principales (PCA) y la Tasa Discriminante de Fisher (FDR) se han considerado para la selección de características y la eliminación de ruido, los Mapas Auto-Organizativos Probabilísticos (PSOM) tienen como objetivo modelar el espacio de características y permitir distinguir entre las conexiones normales y anómalas. Las capacidades de detección del sistema propuesto pueden ser modificados sin el re-entrenamiento del mapa, con sólo modificar las probabilidades de activación de unidades. Esto conlleva a implementaciones rápidas de los Sistemas de Detección de Intrusión (IDS) lo cual es necesario para hacer frente a los actuales anchos de banda de los enlaces en las redes informáticas.