Modelado y clasificación de tráfico
La identificación de las aplicaciones que cursan sobre la red es fundamental para muchas tareas de administración y seguridad de la red. Existe una gran cantidad de enfoques en la literatura, la mayoría de los cuales se basan en comparación de patrones, técnicas estadísticas y aprendizaje automático. La aproximación más habitual y exitosa se basa en la identificación de patrones específicos de la aplicación en las cargas útiles transportadas. Esta aproximación, denominada de inspección profunda de paquetes (DPI) presenta problemas de eficiencia y privacidad y resulta inútil para el tráfico cifrado. Para proteger la privacidad del usuario, la mayoría de los métodos existentes se basan en atributos de tráfico en las capas de red y transporte, como esquemas de interacción, tamaños de paquetes y tiempos entre llegadas.
Nuestro interés reside en la clasificación de los flujos para la incorporación de esta información en los procesos de monitorización de la red y, especialmente, para su inclusión en los modelos de correlación para la detección de ataques multietapa. Nos centramos tanto en las técnicas DPI (los sistemas SIDS también aplican DPI) como en alternativas basadas en el análisis de los flujos sin inspección de sus contenidos, lo que es especialmente relevante en el caso de tráfico cifrado. También abordamos la clasificación en el caso de observaciones incompletas, esto es, en los casos en los que no es posible procesar todos los paquetes de un flujo.
Esta línea de investigación sirve de soporte actualmente a las dos líneas principales: seguridad en web y seguridad en IoT.
Destacan en esta línea el desarrollo de técnicas novedosas de identificación en base a los mensajes inciales de los flujos y técnicas que determinan los tipos de los flujos en base a interacciones entre nodos y/o relaciones temporales entre los flujos.
Líneas de trabajo
-
Identificación eficiente mediante análisis de cargas útiles en paquetes (DPI)
-
Identificación/clasificación de tráfico en base a parámetros de flujos y mensajes iniciales (clasificación temprana)
-
Análisis de secuencias de flujos para su clasificación
- Categorización de nodos por tipología de tráfico generado (interacciones entre nodos)
Técnicas / métodos
Aprendizaje automático
Análisis de series temporales
Comparación de patrones
Correlación de eventos
Resultados relevantes
Captura de tráfico en router acceso universidad (dataset privado)
ndpi_flowtools: Herramientas para identificación de flujos usando DPI y técnicas propias basadas en flujos
Publicaciones destacadas
A sampling methodology for DPI classifiers Artículo de revista
En: Journal of Internet Technology, vol. 18, no 4, pp. 787–800, 2017, ISSN: 20794029.
Network traffic application identification based on message size analysis Artículo de revista
En: Journal of Network and Computer Applications, vol. 58, no 2010, pp. 130–143, 2015, ISSN: 1084-8045.
A multilevel taxonomy and requirements for an optimal traffic- classification model Artículo de revista
En: International Journal of Network Management, vol. 24, no 2, pp. 101–120, 2014, ISSN: 10991190.
A generalizable dynamic flow pairing method for traffic classification Artículo de revista
En: Computer Networks, vol. 57, no 14, 2013, ISSN: 13891286.
Proyectos destacados
A-TIC-224-UGR20 – Modelado de Ataques y Detección de Incidentes de Ciberseguridad (MADINCI)
Entidad financiadora: Universidad de Granada – Junta de Andalucía – Proyectos I+D+i del Programa Operativo FEDER 2020
Entidad/es participantes: Univ. Granada y Univ. Sevilla – N. invest.: 6
Periodo: 01/01/2022 a 30/06/2023
– Data exploration on a network security data
Entidad financiadora: Protectwise Inc.
Entidad/es participantes: Univ. Granada – N. invest.: 3
Periodo: 01/08/2014 a 31/10/2014
– Mejora de la gestión de red mediante análisis y caracterización del tráfico en redes corporativas
Entidad financiadora: SADESI (Junta de Andalucía)
Entidad/es participantes: Univ. Granada – N. invest.: 5
Periodo: 01/07/2010 a 30/06/2011