Deteccin de Ataques a travs Denegacin de Servicios Utilizando

la Transformada de Wavelet
Mohamed Hamdi, Noureddine Boudriga
Traduccin
Cesar Carrasco Carr, Felipe Gallegos

Abstract
Deteccin de intrusiones basada en anomalas es un tema de investigacin crucial ya que permite identificar
ataques para el no necesariamente se conoce una firma. Sin embargo, mtodos usando anomalas comnmente
consumen ms recursos que aquellas basadas detecciones de mal usos y tienen una ms alta razn de falsas
alarmas. Este paper presenta un mtodo eficiente de anlisis de anomalas que est probado es ms eficiente y
menos complejo que las tcnicas existentes. Este mtodo se basa en monitorear el estado de seguridad usando un
conjunto de mtricas precisas. La Transformacin Wavelet (WT) esta usada para descomponer estas mtricas en
un espacio de tiempo. Ataques son vistos como singularidades de Lipschitz que aparecen en puntos especficos
en el tiempo. Entonces, la deteccin de anomalas es ejecutada a travs de procesar las seales representando las
mtricas. Se ve tambin que el mtodo propuesto es extensible al caso donde puntos de monitoreo, usados para
obtener las caractersticas medibles, estn distribuidos de acuerdo a la topologa de la red.

1.

Introduccin

En los ltimos aos. La rpida evolucin de la

de la conectividad de redes y de las tecnologas de
accesibilidad de servicios ha favorecido el
incremento de intrusiones y ataques. Debido a la
cantidad de prdidas que han resultado de los ataques
experimentados en las redes, la seguridad de los
sistemas de comunicacin ha sido una inquietud
creciente. Especialmente, el problema de detectar
intrusiones, ataques, y otras formas de abuso de las
redes y mal usos es de creciente importancia. Esto es
debido a que uno puede asumir que la eficiencia de
la respuesta incidente al sistema principalmente se
basa en la precisin de las tcnicas de deteccin
asociadas. En pocas palabras, intrusiones pueden ser
consideradas como transiciones entre sistemas
seguros y no seguros. Sin embargo, en la prctica,
caracterizar estas intrusiones resulta ser una tarea
compleja. Los mtodos de los sistemas de
detecciones disponibles pueden ser separados en dos
categoras: basados en patrones y basados en
anomalas.. Mientras los primeros patrones, tambin
llamados como deteccin de mal usos, ubican

problemas de seguridad examinando patrones de

actividad de usuarios entre flujos, logs y archivos de
uso, los ltimos buscan por desviaciones en el
comportamiento de la red del uso normal de este.
Aunque se incremente el inters en estos mtodos, no
hay mtodo que pueda detectar todas las intrusiones.
Los ataques de denegacin de servicio (DoS)
representan un particular inters desde una
perspectiva de deteccin de intrusiones. Recientes
estudios estadsticos muestran que ataques DoS se
ubican en el cuarto lugar en la lista de ataques ms
virulentos a contra sistemas de informacin. En [4],
ms del 90% de los proveedores de Internet reportan
que ataques DoS de flooding dominan todos los
ataques observados. Esto significa que ataques DoS
constituyen los ms significantes amenazas contra la
infraestructura de red. Desde un punto de vista
tcnico, los ataques DoS exhiben cuatro importantes
caractersticas:
1. Ataques DoS pueden involucrar miles de
computadores. Un atacante puede
comprometer una serie de mquinas
intermedias (zombies) que lanzan el
1

proceso
de
ataque.
Obviamente,
incrementar la cantidad de zombies
exacerban la eficiencia del ataque DoS y
deteccin temprana es ms difcil.
2. Al contrario de otros ataques, el flujo de la
red usado para hacer un ataque DoS difiere
ligeramente del trfico normal. Analizando
las cabeceras de los paquetes y su
contenido, el sistema de deteccin de
intrusiones (IDS) difcilmente va a realizar
que una intrusin est en proceso. Por lo
tanto, estrategias segn deteccin basada
en anomalas son mejores para detectar
ataques DoS
3. El sistema de deteccin puede ser
esquivado por el atacante si el IDS no
puede procesar el flujo de ataque. Esto
significa que la estrategia para protegerse
de un ataque DOS debe ser posible a un
razonable costo numrico.
Este paper describe el diseo de un sistema
clasificador de anomalas para la deteccin de DoS y
enumera problemas matemticos relacionados. El
clasificador puede monitorear las actividades de la
red de computadores a mltiples niveles (desde
ingeniera de trfico a niveles de actividad de
usuarios) y determina la correlacin entre los
parmetros monitoreados (o mtricas). El principal
rol de este clasificador es identificar anomalas
relacionadas con ataques. Este bsicamente permite
diferenciar entre anomalas virulentas o
benignas. Nuestro mtodo es basado en el
concepto del periodo de observacin y ocupa teora
de wavelets. Este tiene tres ventajas principales con
respecto a los mtodos existentes: primero no
necesita almacenar perfiles de usuario, archivos con
informacin sobre ataques, o usaje estadstico.
Segundo, este ofrece una complejidad reducida de la
forma O(n), donde n es el tamao de los periodos de
observacin. Por ltimo, al contrario de tcnicas
Bayesianas, no se necesita informacin a priori sobre
las anomalas a monitorear.
El resto del paper est organizado de la
siguiente manera: Seccin 2 describe las tcnicas
comnmente usadas para representar y detectar
anomalas en una red de computadores. Seccin 3
describe formalmente estas anomalas. Seccin 4 y 5
explica como la deteccin de anomalas puede ser

ejecutada usando teora de wavelets y presenta un

caso de estudio donde clasificacin basada en
wavelets es demostrado. Seccin 6 concluye este
paper.

2.

Tcnicas de Deteccin de DoS

Existentes

Esta seccin describe las maneras para detectar

ataques DoS. Primero destacamos las funciones
bsicas de los ataques DoS y seleccionamos la
estrategia de deteccin ms apropiada con respecto
al proceso de ataque. Siguiente, presentamos una
resea de las tcnicas estadsticas existentes y
destacamos sus atajos.

2.1. Ataque de Denegacin de Servicios

Un ataque DoS bsicamente trata de inhabilitar
un servicio disponible en lnea. El resultado de un
ataque DoS puede variar desde degradar la
disponibilidad del servicio a denegar el servicio a sus
usuarios (por ejemplo, interrupcin de servicio). Un
ataque DoS puede ser ejecutado usando varias
estrategias. En [5], las principales clases de tcnicas
de DoS dependen del tipo de vctima:

Ataques a aplicaciones son dirigidas a una

aplicacin especfica que es ejecutada en el
host de la vctima. Esto significa que los
servicios restantes dependiendo del host
quedan inaccesibles.

Ataques al host interrumpen el acceso al

host vctima. Por ejemplo, esto puede ser
realizado crasheando o reiniciando la
mquina. El atacante puede tambin enviar
un flujo de paquetes enorme a la maquina
objetivo para floodear su stack TCP/IP.
Ataques a recursos son conducidos en
contra de puntos dbiles de una red
especfica. Nodos victima tpicos incluyen
servidores DNS y enrutadores de red. El
impacto de estos ataques es de importancia
con respecto al nmero de hosts que
pueden ser afectados por la falla de un
componente vctima focal.
Ataques a redes despliegan paquetes
generados al azar en la red vctima para que

una alta proporcin del ancho de banda sea

consumido. Esto resulta en una notable
degradacin de la calidad de servicio
(QoS).
Ataques a infraestructura apuntan a
simultneamente
daar
mltiples
componentes de una red distribuida. La
mayor caracterstica de estos ataques DoS
es la coordinacin de ataques elementales
que son dirigidos contra los componentes
individuales.

El objetivo de la deteccin de intrusiones es

monitorear el trfico en la red y generar alertas
cuando un ataque ocurre. Dos principales
mecanismos de deteccin son comnmente
considerados: deteccin basada en firmas y deteccin
basada en anomalas. Deteccin basada en firmas
esta cercanamente relacionada con reconocimiento
de patrones ya que el trfico analizado es comparado
con un set de ataques conocidos. La eficiencia de este
alcance depende esencialmente en el nmero de
firmas de ataques que el sistema conoce. De hecho,
no genera una alerta para un ataque al que no le tiene
una firma correspondiente. En el segundo
mecanismo, los resultados de la deteccin dependen
de los valores de varias variables medibles, llamadas
mtricas. Esto asume que el comportamiento normal
del sistema puede ser descrito. Por lo tanto, lo que se
desva del comportamiento normal es fuente de una
alerta. En lo siguiente, entregamos una resea de
varias tcnicas de deteccin basadas en anomalas
que han sido propuestas en la literatura para la
deteccin de ataques DoS. Dos categoras de tcnicas
son comnmente usadas en este contexto: deteccin
por punto-cambio (thresholding), y perfiles de
actividad.

componente de un IDS y es raramente usado como

un sistema independiente. De hecho, es generalmente
basado en una cantidad limitada de mtricas que no
expresan completamente el estado de la red siendo
monitoreada.
Una pregunta que necesita ser respondida
cuando se disea un IDS basado en umbral es como
determinar el valor umbral. De hecho, el proceso de
deteccin puede retornar una alta cantidad de falsos
negativos si es excesivamente alto. En la Figura 1 se
representa un caso la deteccin de intrusiones es
hecha basado en el nmero de paquetes recibidos por
intervalo de tiempo. El lector puede haber notado que
la seal resultante tiene dos picos. El primero
corresponde a un ataque cuando el segundo es
causado por una alta demanda del servidor.
Claramente, si el valor umbral hubiera sido fijado al
valor determinado por la lnea roja, los dos picos se
habran
errneamente
caracterizado
como
intrusiones.
En la mayora de los casos, teora Bayesiana
de decisiones es usada para encontrar el umbral
ptimo. De acuerdo con esta teora, un umbral es
declarado ptimo si minimiza la funcin riesgo de
Bayes la que es computada usando las probabilidades
de falso positivo y falso negativo. La mayor
desventaja de este alcance es que una de las hiptesis
fundamentales puede ser difcilmente verificada en
nuestro contexto. De hecho, para computar el riesgo
Bayesiano, es necesario conocimiento de antemano
sobre la distribucin de ataques a la red. Como la
ocurrencia de ataques a la red es principalmente
debido a factores humanos, no es fcil modelar
estadsticamente este incluso usando informacin
histrica.

2.2. Deteccin Punto de Cambio

La primera clase de tcnicas de deteccin
basadas en anomalas es la llamada thresholding y es
basada en la comparacin de ciertos atributos del
sistema con valores al que corresponden con
fronteras del espacio normal de eventos. Para este
fin, el motor de deteccin debe incorporar un sistema
sensor que obtiene la informacin relevante (con
respecto a alertas de seguridad). En la prctica,
deteccin de umbrales (thresholding) es un pequeo

Figura 2.1 Nmero de paquetes por segundo

recibidos

2.3. Perfil de Actividad

Tcnicas estadsticas para deteccin de
anomalas constituyen un tpico focal en la literatura
sobre deteccin de intrusiones. Estos bsicamente
consisten en generar un perfil peridicamente
actualizado del comportamiento normal del sistema
a travs del uso de informacin histrica (tablas de
frecuencia, promedios, entropas, etc.). Entonces,
durante cada periodo de observacin, el flujo de
paquetes monitoreado es clasificado como normal
o anormal.
Ye et al discuten tcnicas probabilsticas de
deteccin, incluyendo rboles de decisin, Test T de
Hotelling, tests multivariados chi-cuadrado y
cadenas de Markov. Estos tests son aplicados a la
informacin obtenida para investigar sus
propiedades frecuencia y orden.
Taylor et al presentaron un mtodo para
detectar intrusiones a la red que trata el problema de
monitorear trfico de alta velocidad y las
restricciones de tiempo de los administradores al
manejar seguridad de la red. Se ocupan tcnicas
estadsticas multivariadas, principalmente, Anlisis
de Clusters y Anlisis de Componente Principal para
encontrar grupos en la informacin observada.
DuMouchel et al discuten un mtodo para
detectar usuarios no autorizados enmascarados como
usuarios registrados comparando en tiempo real las
secuencias de comandos dados por cada usuario a un
perfil del comportamiento de usuarios anteriores.
Ellos usan un modelo de Regresin de Componentes
Principales para reducir la dimensionalidad de
pruebas estadsticas.
Staniford-Chen et al responde al problema de
identificar intrusos que ocultan su identidad
logeando a travs de una cadena de mltiples
mquinas. Ellos ocupan Anlisis de Componente
Principal para inferir la mejor seleccin parmetros
identificadores de la informacin. Ellos introducen
huellas digitales, las que son cortos resmenes de los
contenidos de una conexin.
Shah et al estudia como conceptos de minera
de datos fuzzy puede coopera en sinergia para
elaborar Deteccin de Intrusiones Distribuida. Ellos
describen
ataques
usando
un
lenguaje
semnticamente rico, razonan sobre este y

subsecuentemente clasifican estos en instancias de

un ataque de un tipo especfico. Ellos ocupan
Anlisis de Componente Principal para reducir la
dimensionalidad de la informacin obtenida.

2.4. Lmites de los Alcances Existentes

El mayor atajo de las tcnicas de deteccin de
anomalas clsicas es que no estn construidas por
sobre una fuerte relacin entre anomalas y ataques.
Esto puede llevar a una alta cantidad de falsas
alarmas ya que muchos valores anormales de una
seal
medida
pueden
corresponder
a
comportamiento normal de un sistema bajo anlisis.
Por ejemplo, considrese un servidor web que fue
vctima de un ataque SYN/flooding. Si el analista de
seguridad observa que el nmero de paquetes por
segundo que el servidor recibe, l va a observar un
pico (valor anormal) en el momento del ataque. Sin
embargo, como es ilustrado en la Figura 1, un pico
no siempre implica la ocurrencia de una accin
maliciosa. Incluso, mientras el primer pico
corresponde al ataque mencionado anteriormente, el
segundo resulta de casi simultneas conexiones de un
alto nmero de clientes. El segundo evento es normal
dado que ocurre a las 08:00 A.M. (comienzo de las
horas de oficina), un tiempo donde la mayora de los
empleados conecta al sitio desde sus oficinas. La
conclusin de este ejemplo es que la deteccin de
cambios abruptos o valores anormales no es
suficiente para caracterizar ataques a la red.
Por lo tanto, necesitamos otro mecanismo de
deteccin que debe ser ms adaptado a la seguridad
de redes de manera que toma en consideracin la
estrecha diferencia entre anomalas y ataques. Este
mecanismo debe tambin tener baja complejidad
computacional debido a la limitada cantidad de
recursos de los componentes de deteccin de
intrusiones.
Para corregir este problema, se propone
modelar ataques como ruido que afecta una seal, o
un set de seales, que representa el comportamiento
normal del sistema. Los beneficios de este
razonamiento es que varias tcnicas comnmente
usadas en procesamiento de seales para detectar o
reducir ruido pueden ser adaptadas a nuestro
contexto. En el mbito de este trabajo, se enfoc en
la teora de wavelets y regularidad Lipschitz como se
4

va a detallar en la seccin 4. Sin embargo, para

aplicar estos modelos, un conveniente modelo de
anomalas en la red es necesario

3.

Un Framework matemtico para

la representacin de anomalas

Tpicamente, en una infraestructura con red,

es difcil determinar si el sistema est en estado
seguro o no en un punto en el tiempo dado. La
mayora de los anteriormente mencionados
mecanismos de deteccin de DoS se basan en varias
mtricas (informacin medible) para elucidar este
punto. En esta seccin, se presenta un framework
matemtico para representar anomalas en base a un
grupo de mtricas.

3.1. Representacin de Mtricas

Tcnicas de cambio de punto para deteccin de
intrusiones pueden ser vistas como un problema de
decisin donde los valores de las mtricas son usadas
para caracterizar el estado del sistema. Supngase
que una funcin () modela el comportamiento de
una mtrica especfica, el proceso de decisin no
puede ser conducido sin convertir () a un dominio
donde la clasificacin de estados del sistema es
trivial. Para esto, se introduce el concepto de
transformacin detectora definida en lo siguiente:
Definicin 1: Sea = un intervalo de
tiempo y () una funcin observable (mtrica)
definida en I. A y N denotan los instantes
correspondientes a la ocurrencia de un evento
anormal y la no ocurrencia de eventos anormales,
respectivamente. Se dice que una transformacin
matemtica es una transformacin pseudodetectora si, y solo si:
() = () ()
An ms, si () = entonces es
una transformacin detectora.
De acuerdo a la definicin, una transformacin
detectora permite identificar los estados del sistema
no seguros basado en sus valores resultados. Sin
embargo,
transformaciones
detectoras
son
generalmente imposible de implementar debido a
que necesitan un mecanismo de deteccin cero

errores. Entonces, deteccin de intrusiones basado en

anomalas usualmente se basan en trasformaciones
pseudo-detectoras.
Como una extensin del
razonamiento, varias herramientas permiten
comparar transformaciones detectoras si estas fueran
hechas.
La primera tarea en la representacin de
anomalas es definir las mtricas que deben ser
monitoreadas. Considrese tres familias de funciones
denotadas por ( ()){1,...,}, ( ()){1,...,} y
( ()){1,...,} que modelan las siguientes
actividades respectivamente:

Actividades a nivel de usuario. Esto

incluye atributos como comandos ms
usados, frecuencia de tecleado, y periodos
login/logout, que ayuda a desarrollar, los
perfiles de comportamiento de los usuarios.
Actividades a nivel de host. Esto incluye
atributos (como estructura de archivos,
CPU consumida y memoria consumida)
que proveen indicaciones del uso de
recursos.
Actividades a nivel de red. Estos usan
atributos (como total de paquetes, paquetes
con puertos de fuente o destino especficos,
y paquetes con direcciones de fuente o
destino
especficos)
que
proveen
informacin que es recolectada sobre el uso
de la red e ingeniera.

Las funciones ms arriba son las mtricas que

representan eficientemente el estado del sistema de
informacin. Estos deben ser medidos y
monitoreados continuamente. Administradores de
sistemas de informacin tienen que determinar que
atributos medir para asegurar las eficientes
representaciones de sus sistemas. Adems, para cada
una de esas mtricas, un set de reglas de decisin
tiene que ser definido para poder decidir si un
determinado valor obtenido de una funcin
corresponde a mal uso o uso legtimo del sistema.
Para esto, se introducen los siguientes conjuntos:

( ){1,...,} (. ( ){1,...,} ):
los
conjuntos de valores normales (resp.
anormales) que pueden ser tomadas por las
funciones( ()){1,...,}

( ){1,...,} (. ( ){1,...,} ):

los
5

conjuntos de valores normales (resp.

anormales) que pueden ser tomadas por las
funciones( ()){1,...,}
( ){1,...,} (. ( ){1,...,} ):
los
conjuntos de valores normales (resp.
anormales) que pueden ser tomadas por las
funciones( ()){1,...,}

Una accin en un instante0 denotado (0 ),

puede forzar la modificacin de los valores de las
funciones anteriores en 0 .
Definicin 2 Una accin (t 0 )se dice que es
anmala si por lo menos una de las siguientes
condiciones se cumple:
1. {1, . . . , }tal que (0 )
2. {1, . . . , }tal que (0 )
3. {1, . . . , }tal que (0 )
Esto significa que si, durante una accin, una
mtrica toma un valor anormal, entonces toda la
transaccin es anormal. Entonces, la eficiencia de
esta regla de decisin depende principalmente de la
eficiencia de las reglas de decisin elementales
estableciendo si el valor de una mtrica en particular
es anormal o no. La caracterizacin de anomalas en
la red es entonces fcil ya que consiste simplemente
en chequear si los valores de las mtricas siendo
monitoreadas pertenecen, en un instante dado, a
varios conjuntos predefinidos. Un problema ms
sensible es establecer si una anomala est
relacionada a un ataque o no.

3.2. Analoga Ataque/Singularidad

En su definicin ms amplia, un ataque
computacional es cualquier accin maliciosa
elaborada en contra de un sistema computacional o
los servicios que este provee. En [23], B. Schneider
describe ataques computacionales como excepciones
o eventos que toman a la gente por sorpresa. De
hecho, el sistema de deteccin usualmente se
encuentra con el sensible problema de determinar si
un evento corresponde a una accin maliciosa o no
sin tener el suficiente conocimiento para hacerlo.
La anterior definicin de ataques
computacionales es particularmente conveniente en
nuestro contexto. De hecho, la mayora de estos
ataques pueden ser asimilados como cambios

abruptos en seales medibles. Entonces, la deteccin

de anomalas puede ser hecha a travs de la deteccin
de singularidades en un conjunto de mtricas
significantes. Obviamente, la eleccin de esas
mtricas es principal importancia ya que tiene gran
influencia en funcionamiento del sistema de
deteccin. Sin embargo, este problema est afuera
del contexto de este paper. En lo siguiente, se
entregan dos ejemplos ilustrando la seleccin de
mtricas eficientes dependiendo de la naturaleza del
ataque.
Ejemplo 1 Ataque SYN flood (Neptune)
Este es un ataque DoS al que la mayora de las
implementaciones de TCP/IP son vulnerables. Este
consiste en abrir suficientes conexiones TCP a medio
abrir como para exceder la capacidad de la mquina
vctima el que va a ser incapaz de aceptar ms
conexiones. Este ataque puede ser eficientemente
detectado monitoreando el nmero de conexiones
abiertas en la mquina protegida. Singularidades
pueden ser determinadas cuando el nmero de
conexiones excede un lmite predefinido.
Ejemplo 2 Mailbombing
Un mailbomb es un ataque en que muchos
mensajes son enviados a un usuario registrado en el
servidor de correo sobrepasando su cola y causando
la falla de su cuenta. Es ms daino a usuarios en
particular que al servidor entero. Este puede ser
detectado midiendo el nmero de mensajes (o la
cantidad de bytes) recibidos por el servidor por
unidad de tiempo.
En estos dos ejemplos, anomalas pueden ser
fcilmente identificadas detectando cuando las
mtricas siendo monitoreadas exceden un valor
especfico. Sin embargo, para determinar si una
anomala es un ataque o no, un anlisis matemtico
ms profundo de la anomala es necesario. Un
detallado estudio del primer ejemplo se encuentra en
la Seccin 4.

4.

Wavelets y la Regularidad de
Lipschitz

Wavelets pueden descomponer seales

unidimensionales para analizar tanto sus frecuencias
especiales y localizaciones temporales. Esta seccin
6

presenta una herramienta basada en wavelets para

detectar singularidades (en trminos de la
regularidad de Lipschitz) de unas funciones de
energa finita. Resumidamente veremos los
conceptos bsicos relacionados con la teora de
wavelets. Entonces, se darn varios resultados, los
que han sido probados por Mallat y Hwang en [22],
destacando el beneficio de usar wavelets en vez de
transformaciones
Fourier
para
detectar
singularidades.

4.1. Fundamentos de la Teora de Wavelet

Una funcin () que pertenece a
2
()(espacio de Hlder para funciones con energa
finita) y centrado alrededor del cero (por ejemplo
+
() = 0) se dice que es un wavelet si, y solo
() satisface la
si, su transformacin de Fourier
siguiente condicin:
+

()|2
|
(
) < +

() Es la llamada wavelet madre. La

transformacin wavelet de una funcin ()
2 ()esta definida por:

acuerdo a la ecuacin mostrada con anterioridad, este

requerimiento puede ser satisfecho si las funciones
(, ())++ , dados por:
(, ) *+ , () = ( ) =

Es una base de 2 ().

(3)

La Transformada Wavelet Discreta (DWT)

asume el clculo de los coeficientes de Wavelet
obteniendo el factor de escala discreta = 2 y
traduccin = 2 para , . En efecto, los
valores de los parmetros de la Transformada
Wavelet definen una base ortogonal ( j,k () =
1

22 ( 2 ))

llamada La Base Wavelet.

Para representar una funcin () en diferentes

escenarios se utiliza la Madre Wavelet, por lo cual
se debe introducir el verificador de una funcin
escalar:
+

() = 2 ()(2 )
=

Donde g se define de la siguiente manera.

1
(), (2 )
() =
2

(, ) = () = () ( )

*+ es

Donde
la funcin escala, * es el
1

operador convolucin y () = ()es la

En [12], Mallat propone una descripcin de la

Transformada de Wavelet basado en el concepto
anlisis de multiresolucin. El demostr que la
funcin () puede ser escrita de la siguiente manera:
=1

dilatacin del wavelet () Por s.

Esto ofrece una alternativa a la transformacin
de Fourier por ventanas (o transformacin de Fourier
a corto tiempo, STFT) para anlisis de seales no
estacionales. El atajo principal de STFT es que este
usa una ventana de longitud constante que no permite
anlisis espacial de la seal. Por el otro lado, en la
transformacin wavelet, ventanas anchas son
aplicadas para bajas frecuencias y ventanas cortas
para altas frecuencias. Esto provee una idea sobre las
propiedades locales y globales de la seal ().
Comnmente en prctica (, )son
computados para valores discretos de s y t. La
principal restriccin cuando se eligen estos valores es
asegurar que la transformacin no es redundante. De

() = +1, +1, () +

, j,k ()
=+1

Donde , y , representan los coeficientes de

proyeccin
lineal
de
en
subespacios
2 ().
complementarios ortogonales de
A travs de esto se obtiene la evidencia de la
principal caracterstica de la Transformada Wavelet:
La representacin de un resultado (o escala) de una
funcin, puede obtenerse a partir de una resolucin
ms robusta. Debido a esto se menciona que es
multiescala.
Un desarrollo similar se ha llevado a cabo para
realizar la descomposicin multiresolucin en 2 ().
7

Bsicamente, consiste en aplicar la misma pirmide

de descomposicin a la seal original (20).

4.2. Deteccin de Singularidades Basada

en Wavelet
En matemticas, las regularidades locales de
las funciones son a menudo evaluadas a travs de
exponentes Lipschitz.
Definicin 1: (Regularidad Local Lipschitz,
Regularidad Uniforme Lipschitz). Una funcin ()
se dice que es Lipschitz-, cuando 0 1, en un
punto 0 , si, y solo si, exista una constante que
satisfaga todos los puntos , en el conjunto de 0 .
|() (0 )| | 0 |
() Es uniforme Lipschitz- sobre el intervalo
], [ si existe tal constante tal que la ecuacin
anterior vale para todo ( , ) ], [2 .
Adems, se puede decir que () es singular en
0 si no es Lipschitz-1 en 0 .
Cabe destacar que dicha definicin puede
extenderse a > 1.
La regularidad de Lipschitz tambin puede ser
descrita mediante el uso de la Trasformada de
Fourier. En efecto, una funcin () Lipschitz- es
acotada y uniforme sobre si
+

|()|(1 + || ) < +

Infortunadamente, la ecuacin anterior no es

aplicable para las propiedades de seal de direccin
local, ya que slo permite afirmar sobre la
regularidad uniforme en un dominio especifico. En
[21], Jaffard propone un resultado dadas las
condiciones necesarias y suficientes para caracterizar
la regularidad local de Lipschitz usando la
Transformada de Wavelet. El demostr que si un
Wavelet () 2 () y una funcin () 2 () se
puede afirmar lo siguiente:

() es n-veces continuamente diferenciable.

() tiene n momentos de fuga (
+
() = 0 0 + 1)
() tiene un soporte compacto

() 2 () es Lipschitz- en los puntos 0 ,

0 0 1

Entonces, existe una constante tal que para

todos los puntos de en un conjunto 0 para una
escala .
| (, )| ( + | 0 | )
Por el contrario, () es Lipschitz- en 0 ,0
, si se verifican las siguientes dos condiciones:
1. Existe un > 0 y una constante tal que
para todos los puntos en el conjunto de 0 y
en una escala .
| (, )| <
2. Existe una constante B de tal manera que para
todos los puntos en el conjunto de 0 y en
una escala .
| (, )| ( +

| |
|| 0 ||

Con esto se demuestra que la Transformada

Wavelet es particularmente eficaz para evaluar la
regularidad local de las funciones a diferencia de la
Transformada de Fourier la cual est adaptada solo
para regularidades globales. De hecho, se ofrece la
posibilidad de analizar la regularidad puntual de una
funcin. Este se debe a la buena localizacin en el
dominio escala-espacio de la base Wavelet. Por esto,
a travs de la medicin de decadencia de | (, )|
en un espacio bidimensional de 0 en el espacio
escala (, ), se puede estimar el exponente de
Lipschitz, indicando de este modo la singularidad, en
el punto 0 .
En algunos casos, este mtodo puede tener una
carga computacional muy pesada, por lo cual rara vez
es aplicada en la prctica. A menudo en aplicaciones
del mundo real solo se mide la decadencia de
| (, )| (en vez de manejar un dominio
bidimensional se maneja como uno unidimensional).
Sin embargo, se ha demostrado en [22] a travs de un
contra-ejemplo, que este enfoque prctico no
siempre produce resultado confiables. Por lo tanto, se
propuso un mtodo que junta tratabilidad matemtica
y facilidad numrica.
Teorema 2: (Estimacin de exponentes
Lipschitz utilizando mximos Wavelet) Sea () una
8

Wavelet con soporte compacto, con n fuga de

momentos y n-veces continuamente diferenciable.
Sea () 2 (). Si existe una escala 0 > 0 tal que
para todas las escalas
< 0 y ], [ no
tendr mximos locales, entonces para cualquier >
0, () es Lipschitz-n en ] + , [ .
Este teorema indica la presencia de un
mximo en el mdulo de la transformada Wavelet
| (, )| en las escalas ms finas en que se produce
una singularidad. Las discontinuidades en la funcin
() pueden ser asimilados al hecho de que | (, )|
se mantiene constante en un amplio rango de escalas
en un dominio espacial de .

5. Wavelet y Ataques de Red

Las definiciones de los ataques de red
mencionados con anterioridad son particularmente
convenientes para el contexto que se aborda. De
hecho, todos estos ataques pueden ser vistos como
cambios bruscos en algunas seales medibles. Desde
un punto de vista matemtico, se representa un
ataque como una singularidad que afecta a una
mtrica especifica. En esta seccin, se utiliza el
mtodo de deteccin de singularidades de Lipschitz
basada en ondas presentado con anterioridad para
detectar ataques de red. En otros trminos, la
deteccin de anomalas se puede realizar a travs
deteccin de singularidades en un conjunto de
mtricas, siempre que estas mtricas sean elegidas
con precisin. Obviamente, la eleccin es de
primordial importancia, ya que tiene una fuerte
influencia en el rendimiento del sistema de
deteccin. Sin embargo este tema est fuera del
alcance de este documento.

5.1. Deteccin de Ataques a Redes

Informticas
Utilizando
la
Transformada de Wavelet
En situaciones prcticas, la seal de inters
() (nmero de conexiones abiertas, nmero de
trasmisin de paquetes, etc.) no es conocida del todo,
pero la abscisa se demuestra uniformemente.
Entonces, lo que realmente se maneja es un conjunto
de valores (()){1,.,} donde es el nmero de

ejemplos. Como () 2 () (tiene energa finita)

la Transformada Discreta Wavelet se puede calcular
usando (()){1,.,}. De acuerdo con los
resultados discutidos en la seccin anterior, la
regularidad Lipschitz de () se puede determinar
mediante el estudio de la descomposicin de
| (2 , 2 )| a travs de las
escalas j. La
siguiente proposicin es una implicacin directa del
teorema 2.
Proposicin 3: (Caracterizacin de los
ataques informticos utilizando Trasformada
Wavelet). Sea () una Wavelet con soporte
compacto, con n fuga de momentos y n-veces
continuamente diferenciable. Sea () 2 () ser
una funcin que representa una mtrica supervisada.
Si existen 2 y 0 tal que:
(1) Existe 0 {1, , }, de tal manera que
(2 , 0 21 ) corresponde a una local
mxima.
(2) Para
todo
{0 , ,
1
1
1}, | (2
, 0 2
)| es una local
mxima.
(3) Para
todo
{0 , ,
1
1
1}, | (2
, 0 2
)|

| (2 , 0 2 )|
Donde el punto 0 corresponde al ataque
informtico.
Dicho de una forma ms simple, si se detecta
un mximo local en un punto (20 , 0 20 ) y si 0
corresponde a mximos locales con un pequeo
aumento sobre los modulo a una escala 20 ,
entonces 0 corresponde a un ataque informtico.
Las principales ventajas de este mtodo son
buena localizacin espacial y el bajo costo numrico
que implica. La primera caracterstica es debido a las
propiedades espaciales de Wavelet, mientras que la
segunda deriva del hecho de que la Trasformada
Wavelet de una seal de tamao puede ser
calculada en () pasos segn el algoritmo
piramidal de Mallat [19].
Esta proposicin se puede utilizar para disear
un sistema clasificador que permita descartar falsos
picos en el nivel de deteccin de intrusos. El objetivo
de dicha proposicin ser establecer si un pico en la
9

mtrica monitoreada ha sido causado por un evento

de ataque o no.
El siguiente algoritmo, basado en la
Proposicin 3, se describen los pasos que se deben
implementar por el clasificador.
Algoritmo deteccin_de_ataque
# Indique los picos en el controlador
# La seal corresponde al ataque actual

La funcin ismaximun (.,.) prueba si (. , . )

tiene un mximo local en la resolucin dada en el
primer argumento en el punto dado por el segundo
argumento. La funcin generate_alert () determina
que para un determinado valor de la mtrica
corresponda a un evento de ataque real.

Tecnologa de Sistemas de Informacin del MIT

(Instituto de tecnologa de Massachusetts). El cual
distribuyo un ataque distribuido por servicio de
denegacin utilizando un software mstream
correspondiendo al primero escenario (Lincoln
Laboratorios de Escenarios DDoS 1.0) hacia el ao
2000. La cual se realiz a travs de mltiples etapas
que incluyen el sondeo, forzar la entrada, instalacin
de troyanos y lanzamientos de un ataque distribuidos
de denegacin de servicio (DDoS) contra el gobierno
de Estados Unidos en la IP 131.84.1.31.
En este caso la mtrica mide el recuento de
paquetes () recibidos por el equipo de la vctima
durante periodos de observacin que se fijan en torno
a 1 minutos. La figura 5.1 (a) representa la evolucin
de esta funcin en el tiempo (se puede observar
pequeas fluctuaciones correspondientes al trafico
normal en el tramo debido a la gran cantidad de
paquetes recibidos en el momento del ataque). El
lector se da cuenta de la presencia de un pico
importante el cual corresponde al ataque DDoS. Sin
embargo, en un caso real, el administrador no podra
determinar si este pico corresponde al trfico normal
o a un ataque. Par abordar este problema, se realiza
la descomposicin de Wavelet a () utilizando la
Wavelet Daubechies y se estudia la evolucin de los
coeficientes Wavelet mximos a travs de escalas. La
figura 5.1 (b) representa el comportamiento de la
posiciones del mximo a travs de escalas. El lector
puede darse cuenta de que, a escalas ms pequeas,
la posicin converge a la instancia donde ocurre el
ataque. La figura 5.1 permite deducir que los
coeficientes de onda mximos estn aumentando en
cierta escala, lo que implica que la singularidad de

5.2. Un caso de Estudio

En este apartado, se expone el resultado de la
Proposicin 3 en un caso concreto. Se presentara un
ejemplo representativo con el fin de demostrar los
beneficios de la utilizacin de la teora de ondas en
la deteccin de intrusos en la red de un ordenador. Se
han utilizado los datos correspondientes a un ataque
real, el cual fue proporcionado por el Grupo de
10

inters

es

un

ataque.

6. Distribucin de los Puntos de

Monitoreo
6.1. Extensin de la Teora de Ondas
para ( ())

Figura 5.1 Anlisis del laboratorio Lincoln de un

Ataque en un Escenario DDoS.

La figura 3 representa un caso en el cual se han

simulado cinco ataques. La duracin del ataque y
periodo entre ellos considerados como dos procesos
aleatorios que respetivamente son uniformes y con
distribuciones gaussianas. A pesar de que los valores
mximos disminuyen a travs de escalas (figura 5.2
(a)), figura 5.2 (b) muestra que los wavelet mximos
corresponden mximos en la escala, es decir, el
enfoque presentado es ms robusto al momento de
evaluar los mximos.

El enfoque de deteccin basada en ondas

descrito en los apartados anteriores se aplica cuando
se utiliza una o ms mtricas para controlar un nico
evento relacionado con el mismo ataque. En el caso
de un ataque con infraestructura DDoS, contiene
mltiples componentes clave de la red que se dirigen
simultneamente. Por lo tanto, pueden ser
considerados mltiples elementos para detectar la
aparicin del ataque. Por ejemplo, cuando la red de
la vctima consiste en una infraestructura ISP, al
momento de la intrusin la deteccin se debe realizar
a nivel del router. Para este fin, se utiliza distintas
mtricas, que corresponden a diferentes eventos, lo
cual implica la introduccin de una adecuada
Transformacin Wavelet. Suponiendo que p son los
puntos considerados puntos de monitoreo con el fin
de recabar informacin sobre los flujos de datos
transmitidos, la mtrica global que ser utilizada por
el IDS para indicar si se ha producido una intrusin
o no, se puede modelar mediante una seal

( 2 ()) .
A continuacin se detallara los resultados de
las secciones anteriores en el caso que () es una

funcin en ( 2 ()) .
Definicin 4: (Anlisis de Multiresolucin) Un

anlisis de multiresolucin de ( 2 ()) se define

como un conjunto de subespacios cerrados de

( 2 ()) , , que sigue las siguientes propiedades:

(i)
(ii)
(iii)
(iv)
(v)

+1
() (2) +1
() 0 ( + 1) 0
= 2 () =
() 0 ((
)) 0 ( . >
0, < + | ( +
2)|2 )

Figura 5.2 Paquetes por segundo del servido vctima.

11

Si se asume una aproximacin de la funcin

en una resolucin debera dar como resultado la
proyeccin sobre , entonces estas aproximaciones
tienen los siguientes significados:

La primera condicin indica que la

informacin contenida en la aproximacin de
una funcin a una resolucin j es
necesariamente la misma de la aproximacin
de j + 1.
La segunda condicin determina que la escala
y dilatacin es invariante. De una funcin
() (no contiene fluctuaciones de datos
a escalas mayores que 2 ), la funcin (2)
se puede obtener acotando () por un factor
de 2. De este modo esta funcin no contiene
detallas a escalas mayores que 21.
La tercera condicin corresponde a cambiar
la invariancia de los espacios . Cuando la
aproximacin de un funcin con resolucin j
() pertenece a , tambin se puede hacer
la traduccin de enteros por ( ( ))

La extensin de la teora wavelet a las seales

multivariantes ha sido ampliamente discutida en la
literatura. En su trabajo [24], Geronimo et al,
propone una descomposicin Wavelet fraccionaria
basada en seales multivariadas. En el trabajo, se ha
considerado una descomposicin de componente
para obtener componentes ms simples. A pesar que
no define con rigor una descomposicin
multiresolucin de 2 () , la transformacin
definida, permite detectar eficazmente los ataques a
redes distribuidas como se mostrara a continuacin,
Segn la transformacin definida, una funcin
() 2 () puede ser representada por la
resolucin de la expresin.
=1

() = , , () + , , ()

Donde
, () = 2 (2 )
y

, () = 2 (2 ),

{, , 1}. (, )
puede ser visto como los

coeficientes de la proyeccin de en y

(, ){,,1}, como los de la proyeccin de

en que se formula la siguiente ecuacin.
{, , 1}

+1 = ,
Esto

significa

que

(respectivamente (, ())

(, ())

es una base de

(respetivamente ) para todo {, , 1}.

Como extensin de este razonamiento, la funcin
() = , , () puede ser escrita como
la suma de sus proyecciones en 1 y 1 .
() = 1, 1, () + 1, 1, ()

El siguiente teorema demuestra que para una

funcin () que pertenece a ( 2 ()) , sus

coeficientes
wavelet
obtenidos
por
la
descomposicin componente a componente
disminuyen exponencialmente con respecto a la
escala (para una onda elegida apropiadamente).
Teorema 5: Sea el nmero de momentos de
fuga para un wavelet , , y . Entonces los
coeficientes de wavelet se obtienen de la siguiente
1

manera: , 2(+2) max , () ().

Demostracin: para la , escribimos la
serie de Taylor de en torno a = 2 .
1

() = (
=0

()

( 2 )
) + () ()
(2 )
!

( 2 )

!
Donde [2 , ].

Se restringe la integral de (, ) para mejorar

su rendimiento.
, = () , ()
,

= ( () (2 )
=0

( 2 ) , () )
!
,

1
( 2 )
+
() ()
, ()
!
!
,

12

Se consideraran
= 0,1, , 1
(+1)2

las

integrales

donde

( 2 ) 22 (2 )

= 22
0

1
1

( ) (y)2j = 2(+2) (y)
2
0

El modulo verifica los coeficientes wavelet

debido a la desaparicin de momentos .

1
( 2 )
22 , ()
|, | = () ()
! ,
!

( 2 )
1

22 , ()
!
!
,
1

= 2(+2)

1
1
() ()
!
0

tanto, se utiliza el coeficiente de correlacin con el

fin de sincronizar las dos seales.
Se han simulado dos sistemas distribuidos con
ataques por inundacin con diferentes intensidades.
La figura 6.2 muestra el nmero medio de paquetes
por segundo para el primer ataque es de 1000
mientras que es igual a 500 para el segundo ataque
(figura 6.2 (a) y (b)). El mecanismo de
sincronizacin de tiempo mencionado con
anterioridad permite determinar el tiempo de
desplazamiento entre las dos seales. La decadencia
de coeficientes wavelet permite diferenciar los
ataques de baja intensidad de los ataques de alta
intensidad (figura 6.2 (c) y (d)). El lector puede darse
cuenta de que el primer ataque se detecta alrededor
de la quinta escala de la trasformada de wavelet,
mientras que el segundo ataque necesita una
descomposicin ms profunda para ser detectado.

Se define = 0 () (), donde

= max , () () se obtiene la desigualdad
deseada.
El teorema demuestra que, incluso cuando se
consideran seales mltiples para realizar la
Transformada Wavelet, el comportamiento de los
coeficientes de tren de ondas a travs de las escalas
de acuerdo con regularidad de Lipschitz no difiere
del caso en el que se descompone una sola seal.

6.2. Caso de Estudio

Consideremos de nuevo el ataque DDoS
realizado contra la red experimental MIT DARPA.
Utilizamos tanto el saliente como el entrante DMZ
(zona desmilitarizada) por el trfico de paquetes con
el fin de detectar ataques. Estos indicadores son
particularmente eficientes en el caso de un ataque de
inundacin SYN porque el nmero de paquetes de
ataques recibidos (paquete SYN) debe ser igual al
nmero de paquetes salientes (paquetes SYN/ACK).
La figura 6.1 muestra la descomposicin de los
coeficientes de tren de ondas indicando que ataque
ocurri. Vale la pena mencionar que en estos casos
se presenta un problema con la sincronizacin de
tiempo de las frecuencias de mltiples seales.
Efectivamente, cuando se recopilan las mtricas en
lugares de un red especfica, cuando se produce una
ocurrencia no se detecta el evento al mismo. Por lo

Figura 6.1 Descomposicin de Wavelet de un Ataque

Distribuido DDoS

Figura 6.2 Descomposicin Wavelet Anomala Simulada.

13

En este ejemplo se ampla el estudio de la

seccin 5.2 y demuestra que el enfoque presentado
permite efectivamente diferenciar entre ataques
reales y falsos. De hecho, los ataques simulados, que
corresponden a los picos en las seales
monitorizadas, se han detectado por el enfoque
basado en la wavelet mientras que deberan haber
generado falsas alarmas si se utilizan enfoques
tradicionales. Por lo tanto mediante los estudios que
se realizaron a partir de datos de ataques reales,
permitiendo el seguimiento de los coeficientes de
Lipschitz a travs de escalas que permiten mejorar la
eficiencia reduciendo la tasa de falsas alertas.

7. Conclusin
En este trabajo, se propone un mtodo para la
deteccin de ataques a redes informticas a travs del
uso de la teora de ondas y exponentes Lipschitz. Se
establecen los fundamentos tericos del mtodo se
establecen y los experimentos se llevan a cabo en el
desarrollo de la investigacin incluyendo ataque
reales, para comprobar el razonamiento plateado. Se
muestra que la tcnica propuesta permite una
deteccin eficiente de los ataques informticos
modulando una buena seleccin de los indicadores
medidos. El enfoque que se presenta es intentar
aprovechar las propiedades intrnsecas de la
Trasformada Wavelet (especialmente el bajo coste de
su clculo y su buena localizacin espacial).
El enfoque presentado se puede ampliar para
detectar otros tipos de ataques que DoS y DDoS. Por
lo tanto, una cuestin interesante sera modificar la
herramienta de deteccin DDoS ataque basado en
wavelets para diferenciar entre mltiples ataques.
Puede ser construido un esquema de clasificacin
para este fin.

Referencias
[1] S. Northcutt, J. Novak, Network Intrusion
Detection, SAMS, third ed., ISBN: 0735712654,
2002.
[2] L.A. Gordon, M.P. Loeb, W. Lucyshyn, R.
Richardson, 10th annual CSI/FBI computer crime
and security survey, Computer Security Institute
(2005).

[3] Australian Crime and Security Survey,

ISBN: 1-864-99800-8.
[4] Worldwide ISP Security Report, Arbor
Networks, September 2005.
[5] G. Carl, G. Kesidis, R. Brooks, S. Rai,
Denial-of-Service attackdetection techniques, IEEE
Internet Computing 10 (1) (2006) 8289.
[6] P. Helman, G. Liepins, Statistical
foundations of audit trail analysis for the detection of
computer misuse, IEEE Transactions on Software
Engineering 19 (9) (1993).
[7] D. Dasgupta, F.A. Gonzalez, An intelligent
decision support system for intrusion detection, in:
Proceedings of the International Workshop on
Mathematical Methods, Models and Architectures
for Computer Network Security (MMM-ACNS),
LCNS, 2123, St. Petersbourg, Russia.
[9] N. Ye, X. Li, Q. Chen, S. Emran, M. Xu,
Probabilistic techniques for intrusion detection based
on computer audit data, IEEE Transactions on
Systems, Man and Cybernetics Part A: Systems
and Humans 31 (4) (2001).
[10] N. Ye, S. Emran, Q. Chen, S. Vilbert,
Multivariate statistical analysis of audit trails for
host-based intrusion detection, IEEE Transactions on
Computers 51 (7) (2002).
[11] C. Taylor, J. Alves-Foss, NATE: Network
Analysis of Anomalous Traffic Events, a low-cost
approach, NSPW01, September 1013th, 2002,
Cloudcroft, New Mexico, U.S.A.
[12] C. Taylor, J. Alves-Foss, An Empirical
Analysis of NATE Network Analysis of
Anomalous Traffic Events, New Security Paradigms
Workshop02, September 2326, 2002, Virginia
Beach, Virginia.
[13] W. DuMouchel, M. Schonlau, A
comparison of test statistics for computer intrusion
detection based on principal component regression of
transition probabilities, in: Proceedings of 2002
IEEE International Conference on Image Processing
(ICIP 2002), vol. 2, New York, USA, 2002, pp. 925
928.
[14] S. Staniford-Chen, L.T. Heberlein,
Holding intruders accountable on the internet, in:
14

Proceedings of the 1995 IEEE Symposium on

Security and Privacy, Oakland, Canada, 1995, pp.
3949.
[15] H. Shah, J. Undercoffer, A. Joshi, Fuzzy
clustering for intrusion detection, in: Proceedings of
the IEEE International Conference on Fuzzy
Systems. St. Louis, MO, May 2003.
[18]Y.Meyer,OndelettesetOperateurs,Herm
ann,ISBN:2705661250-186, Paris,1990.
[19] S.G. Mallat, A theory of multiresolution
signal decomposition: the wavelet representation,
IEEE Transactions PAMI 2 (7) (1989) 674693.
[20] O. Rioul, A discrete-time multiresolution
theory unifying octaveband filter banks, pyramid and
wavelet transforms, IEEE Transactions on ASSP
(1990).
[21] S. Jaffard, Exposants de Holder en des
Points Donnes et Coefficients dOndelettes, Notes
au Compte-Rendu de lAcad emie des Sciences,
France, vol. 308, S erie I, 1989, pp. 7981.
[22] S. Mallat, W.L. Hwang, Singularity
detection and processing with wavelets, IEEE
Transactions on Information Theory 38 (2) (1992)
617643.
[23] B. Schneier, Secrets and Lies: Digital
Security in a Networked World, John Wiley & Sons,
ISBN: 0471253111, 2001.
[24] J. Geronimo, D. Hardin, P.R. Massopust,
Fractal functions and wavelet expansions based on
several scaling functions, Journal of Approximation
Theory 78 (1994) 373401.

15