Análisis ROC (Datos Para Test)

Parámetros a Calibrar con ROC

Los parámetros del clasificador considerados son:Ancho de Banda de Energía, Ancho de Banda de Población, Tamaño de Ventana de Energía, Tamaño de Ventana de Población, Umbral. Los cuales son independientes de los parámetros del modelo los cuales fueron elegidos previamente con el objetivo de maximizar la sensibilidad del modelo a cambios.

Orden de Evaluación de los factores:
El orden está determinado por la importancia del factor para la clasificación. Determinado por esto los sucesivos parámetros considerarán el mejor valor  encontrado en el análisis ROC de los parámetros ya evaluados

  • 1º Tamaño de Ventana de Energía
  • 2º Tamaño de Ventana de Población
  • 3º Ancho de Banda de Energía
  • 4º Ancho de Banda de Población
  • 5º Umbral

Valores iniciales:
Se realizó una precalibración de parámetros del clasificador a partír de datos normales de un servidor expuesto a sesiones de conexión SSH, el cual posteriormente es scaneado con nmap. Con esto se determinaron los valores iniciales.

  • Ancho de Banda de Energía: radio 9
  • Ancho de Banda de Población: radio 12
  • Tamaño de Ventana de Energía: 1674 muestras
  • Tamaño de Ventana de Población: 666 muestras
  • Umbral de alerta: 50 Alertas consecutivas

Set de Prueba para Análisis ROC:
En base a las herramientas nmap y Nessus se generaron obtuvieron los siguientes set de datos:

Archivos fuente de datos:

Datos de Ataque:

snort_trafico_Nessus2_Ruka_DoS_proprocesado: 18793 paquetes
snort_trafico_Nessus2_Ruka_fullScan_preprocesado: 85716 paquetes
snort_trafico_nmap_O_sV_ruka2alumnos_preprocesado: 14954 paquetes
snort_trafico_nmap_sS_ruka2alumnos_preprocesado: 2439 paquetes
snort_trafico_nmap_sT_ruka2alumnos_preprocesado: 2073 paquetes

Datos Normales:
snort_trafico_normal_alumnos_proprocesado: 37026 paquetes

Datos para análisis ROC:

Para el  análisis ROC se llevará a cabo la presentación de los datos de ataque y datos normales de forma  intercalada, de la siguientes forma:

  1. Normal
    • Contenido: 10000 paquetes de datos normales (6800 en ventana de entrenamiento)
  2. Ataque DoS
    • Contenido: 1000  paquetes de intento de DoS Miscelaneo.
  3. Normal
    • Contenido: 2000 paquetes  de datos normales.
  4. Scanning Connect (sT)

    • Contenido: 1000 paquetes.
  5. Normal
    • Contenido: 2000 paquetes  de datos normales.
  6. Scanning Syn (sS)
    • Contenido: 1000 paquetes.
  7. Normal
    • Contenido: 2000 paquetes  de datos normales.
  8. Scanning Service & OS Detection (sV)
    • Contenido: 1000 paquetes.