Predicción de patrones de ataque en redes definidas por software (SDN) utilizando un enfoque de aprendizaje automático

Una configuración experimental de 32 honeypots reportó 17 millones de intentos de inicio de sesión originados de 112 países diferentes y más de 6000 direcciones IP de origen distintas. Debido a la separación entre el plano de control y el plano de datos, las Redes Definidas por Software (SDN) pueden manejar el creciente número de ataques bloqueando esas conexiones de red a nivel de switch. Sin embargo, el desafío radica en definir el conjunto de reglas en el controlador SDN para bloquear conexiones de red maliciosas. Los datos históricos de ataques en la red pueden utilizarse para identificar y bloquear automáticamente las conexiones maliciosas. Existen algunas herramientas de software de código abierto para monitorear y limitar el número de intentos de inicio de sesión por dirección IP de origen de forma individual. Sin embargo, estas soluciones no pueden actuar de manera eficiente contra una cadena de ataques que comprende múltiples direcciones IP utilizadas por cada atacante. En este artículo, proponemos utilizar algoritmos de aprendizaje automático, entrenados con datos históricos de ataques en la red, para identificar las conexiones maliciosas potenciales y los destinos de ataque potenciales. Usamos cuatro algoritmos de aprendizaje automático bien conocidos: C4.5, Red Bayesiana (BayesNet), Tabla de Decisiones (DT) y Naive-Bayes para predecir el host que será atacado basado en los datos históricos. Los resultados experimentales muestran que se alcanza una precisión promedio de predicción del 91.68% utilizando Redes Bayesianas.