Departamento de Computación

Las redes de área local han ganado gran aceptación gracias a que ofrecen grandes beneficios como son: disminución de costos, la compartición de recursos entre usuarios, alta velocidad de transmisión, entre otros. Las redes locales deben trabajar óptimamente para garantizar la disponibilidad, integridad y confidencialidad de la información que circula por las mismas. Con este propósito, se han creado herramientas de hardware y software que monitorean el tráfico de una red de área local. Sin embargo, estas herramientas no hacen un análisis de los datos recuperados, tarea que es dejada al administrador de la red. Esta es una labor ardua, ya que el administrador debe analizar los datos de la red en busca de fallas o comportamientos anormales como ataques o intrusiones de usuarios no autorizados.
Esta tesis presenta un sistema capaz de detectar automáticamente comportamientos anómalos en una red de área local, ocasionados ya sea por fallas o ataques a la misma. Nuestro sistema utiliza un conjunto de modelos estadísticos dinámicos que es actualizado automáticamente con el comportamiento diario de la red. Además, incorpora un editor de topologías de red, con el cual se puede medir el comportamiento normal o anormal de cada dispositivo de red, incluyendo concentradores, switches, puertas de enlace y computadoras personales. Nuestro sistema fue desarrollado en Perl y Tk. En base al comportamiento y la topología de la red (tomados de una base de datos), nuestro sistema es capaz de detectar automáticamente comportamientos anómalos, con la capacidad de localizar gráficamente la ruta afectada y rastrear el dispositivo fallido. Datos sobre el comportamiento de paquetes, puertos utilizados, ubicación física, etc. son puestos a disposición del administrador mediante una interfaz Web gráfica.