Detección de intrusiones basada en análisis de eventos del DNS

En este proyecto se hace un análisis en profundidad de las técnicas de ataque a las redes de ordenadores conocidas como APTs (Advanced Persistent Threats), viendo cuál es el impacto que pueden llegar a tener en los equipos de una empresa y el posible robo de información y pérdida monetaria que puede llevar asociada. Para hacer esta introspección veremos qué técnicas utilizan los atacantes para introducir el malware en la red y también cómo dicho malware escala privilegios, obtiene información privilegiada y se mantiene oculto. Además, y cómo parte experimental de este proyecto se ha desarrollado una plataforma para la detección de malware de una red en base a las webs, URLs e IPs que visitan los nodos que la componen. Obtendremos esta visión gracias a la extracción de los logs y registros de DNS de consulta de la compañía, sobre los que realizaremos un análisis exhaustivo. Para poder inferir correctamente qué equipos están infectados o no se ha utilizado un algoritmo de desarrollo propio inspirado en la técnica Belief Propagation (“Propagación basada en creencia”) que ya ha sido usada antes por desarrolladores cómo los de los Álamos en Nuevo México (Estados Unidos) para fines similares a los que aquí se muestran. Además, para mejorar la velocidad de inferencia y el rendimiento del sistema se propone un algoritmo adaptado a la plataforma Hadoop de Apache, por lo que se modifica el paradigma de programación habitual y se busca un nuevo paradigma conocido como MapReduce que consiste en la división de la información en conceptos clave-valor. Por una parte, los algoritmos que existen basados en Belief Propagation para el descubrimiento de malware son propietarios y no han sido publicados completamente hasta la fecha, por otra parte, estos algoritmos aún no han sido adaptados a Hadoop ni a ningún modelo de programación distribuida aspecto que se abordará en este proyecto. No es propósito de este proyecto desarrollar una plataforma comercial o funcionalmente completa, sino estudiar el problema de las APTs y una implementación que demuestre que la plataforma mencionada es factible de implementar. Este proyecto abre, a su vez, un horizonte nuevo de investigación en el campo de la adaptación al modelo MapReduce de algoritmos del tipo Belief Propagation basados en la detección del malware mediante registros DNS. ABSTRACT. This project makes an in-depth investigation about problems related to APT in computer networks nowadays, seeing how much damage could they inflict on the hosts of a Company and how much monetary and information loss may they cause. In our investigation we will find what techniques are generally applied by attackers to inject malware into networks and how this malware escalates its privileges, extracts privileged information and stays hidden. As the main part of this Project, this paper shows how to develop and configure a platform that could detect malware from URLs and IPs visited by the hosts of the network. This information can be extracted from the logs and DNS query records of the Company, on which we will make an analysis in depth. A self-developed algorithm inspired on Belief Propagation technique has been used to infer which hosts are infected and which are not. This technique has been used before by developers of Los Alamos Lab (New Mexico, USA) for similar purposes. Moreover, this project proposes an algorithm adapted to Apache Hadoop Platform in order to improve the inference speed and system performance. This platform replaces the traditional coding paradigm by a new paradigm called MapReduce which splits and shares information among hosts and uses key-value tokens. On the one hand, existing algorithms based on Belief Propagation are part of owner software and they have not been published yet because they have been patented due to the huge economic benefits they could give. On the other hand these algorithms have neither been adapted to Hadoop nor to other distributed coding paradigms. This situation turn the challenge into a complicated problem and could lead to a dramatic increase of its installation difficulty on a client corporation. The purpose of this Project is to develop a complete and 100% functional brand platform. Herein, show a short summary of the APT problem will be presented and make an effort will be made to demonstrate the viability of an APT discovering platform. At the same time, this project opens up new horizons of investigation about adapting Belief Propagation algorithms to the MapReduce model and about malware detection with DNS records.

DNS of a hot-wire anemometer in a turbulent channel flow

A body with a shape similar to a hot wire with its sheath, but no prongs, has been placed close to the wall of a turbulent channel at Re_tau = 600. The results of the channel flow, without the wire, agree with previous published ones, despite the modest resolution and domain size. A simplified, two-dimensional version of the wire at the same Reynolds number has been studied to compare the dynamic response of cold and hot wires, where a slightly bigger perturbation is seen in the hot case, but an almost identical dynamic response. The cold wire seems to be able to measure instantaneous velocity with total drag after proper calibration. Being a DNS, the complete description of the flow field around the wire is obtained.

Análisis de vulnerabilidades del DNS

El DNS (Domain Name System) es un sistema que permite localizar equipos y servicios de Internet a través de nombres descriptivos organizados de forma jerárquica gracias a un mecanismo de consulta/respuesta. Cuando un usuario escriba un nombre de dominio en una aplicación, los servidores DNS podrán traducirlo a otra información asociada con él mismo, como una dirección IP o un alias, por lo que el DNS puede entenderse como una base de datos globalmente jerarquizada que nació a causa de la necesidad de poder recordar fácilmente los nombres de todos los servidores conectados a Internet. La necesidad del uso del DNS y su carencia en sistemas de seguridad, han conformado un entorno propicio para multitud de ataques, entre los que se encuentran el MITM (Man In The Middle), caché poisoning, negación de servicios o fugas de información entre otros, generando situaciones comprometidas para multitud de usuarios. Para poder contrarrestarlos se han ido implementando un conjunto de modelos de seguridad, entre los que destacan algunos como el DNSSEC, con su uso de firmas criptográficas , el WSEC DNS con identificadores aleatorios o el DNS Curve que cifraba todo el contenido transmitido. Este proyecto consta de una breve introducción al DNS, donde se podrá conocer su estructura y entender su funcionamiento. Posteriormente se pasará a analizar conceptos de seguridad web, particularizándose en un examen exhaustivo de las vulnerabilidades en el DNS. Finalmente se estudiarán distintos modelos de seguridad que se han ido implementando a lo largo del tiempo para intentar solventar estos problemas junto con sus ventajas y desventajas.