Descripción

Un ataque computacional, también conocido como intrusión, consiste en cualquier actividad que ponga en riesgo la integridad, disponibilidad y confidencialidad de un sistema de tecnología de información (TI). El descubrimiento oportuno de un ataque en progreso es una tarea fundamental en seguridad informática. El sistema de nombres de dominio (DNS por sus siglas en inglés) proporciona un servicio esencial a los usuarios del Internet. Su principal tarea consiste en la traducción de nombres de dominio como “www.isoc.org” en direcciones numéricas, la cual se realiza en forma transparente; es decir, las aplicaciones que acceden al Internet emplean el DNS sin que el usuario se percate de este proceso. Un ataque al DNS puede traer consecuencias severas, impidiendo el funcionamiento correcto del Internet y afectando a un gran número de usuarios. A la fecha, ya se han registrado dos ataques de gran escala al DNS, uno el 21 de octubre de 2002 y el otro el 6 de febrero de 2007, por lo que el riesgo ante este tipo de amenaza no es despreciable. Es, por lo tanto, imperativo contar con los medios para detectar oportunamente un ataque contra dispositivos DNS, justificando la asignación de recursos en el desarrollo y fortalecimiento de seguridad informática en el área, volviéndola prioritaria. Como evidencia de esta aseveración considere por ejemplo que el departamento de seguridad de EEUU (US Department of Homeland Security) considera prioritaria la investigación y desarrollo en aseguramiento informático del DNS. En este proyecto se investigará y desarrollará un método novedoso de detección de ataques al DNS, el cual estará basado en detección de comportamiento anómalo. Las consultas a un servidor DNS se modelarán en forma estadística para distinguir situaciones de ataque de una situación normal. El fondo de nuestro enfoque consiste en analizar la popularidad de los objetos consultados en el DNS, la cual se sabe sigue una distribución Zipf, también conocida como ley de potencias. Analizaremos la distribución de las consultas, considerando variaciones temporales, para validar si es distribución Zipf. Usaremos los resultados de este análisis proveyendo así dos resultados: (a) una caracterización más precisa de la distribución de popularidad de los objetos consultados y, (b) un método que pueda usarse para identificar cuando un dispositivo se encuentra bajo ataque. Los resultados de este proyecto además de apoyar el desarrollo de tecnologías TICs en la región, ayudarían a mejorar la seguridad del Internet con un beneficio directo a la comunidad global de usuarios del Internet y un aumento en la confianza en tecnologías TIC.