Sistema visual de alerta temprana en red simulada mediante patrones simples de tráfico

Abstract

El presente Trabajo Fin de Grado propone el diseño e implementación de un sistema de alerta temprana para la detección de comportamientos maliciosos en redes de comunicaciones mediante el análisis de patrones simples de tráfico. La solución desarrollada integra un entorno de red simulado utilizando Mininet, un sistema de detección de intrusos basado en firmas mediante Snort, un módulo de monitorización en Python y una interfaz gráfica que permite visualizar alertas en tiempo real. La arquitectura del sistema reproduce un entorno real mediante el uso de Open vSwitch con técnicas de port mirroring, permitiendo capturar tráfico de red sin interferir en la comunicación entre nodos. Sobre este entorno, el sistema IDS analiza los paquetes utilizando reglas estándar y personalizadas, siendo capaz de detectar distintos tipos de ataques como SYN flood, escaneos de puertos, tráfico ICMP y tráfico UDP anómalo. Adicionalmente, se ha incorporado un módulo basado en aprendizaje automático entrenado con el dataset CIC-IDS-2017, con el objetivo de evaluar la capacidad de un modelo de clasificación para distinguir entre tráfico benigno y malicioso. Tras un proceso de preprocesamiento y selección de características, se ha implementado un modelo Random Forest que alcanza una precisión aproximada del 68%, con una tasa de detección de ataques cercana al 67%. Los resultados obtenidos validan el correcto funcionamiento de la plataforma desarrollada para la simulación, detección y visualización de eventos de seguridad en redes de comunicaciones. Asimismo, permiten evaluar la viabilidad de complementar los sistemas IDS tradicionales basados en firmas con técnicas de aprendizaje automático orientadas al análisis de tráfico de red.

This Final Degree Project presents the design and implementation of an early warning system for intrusion detection in network environments using simple traffic pattern analysis. The proposed solution integrates a simulated network environment using Mininet, a signature-based Intrusion Detection System (IDS) using Snort, a real-time monitoring module developed in Python, and a graphical interface for visualization of alerts. The system architecture reproduces real-world scenarios by leveraging Open vSwitch with port mirroring techniques, allowing traffic to be captured without interfering with network communications. The IDS analyzes packets using both standard and custom rules, detecting various types of attacks such as SYN flood, port scanning, ICMP traffic, and abnormal UDP traffic. Additionally, a machine learning module has been developed using the CIC-IDS-2017 dataset. After preprocessing and feature selection, a Random Forest classifier was trained to distinguish between benign and malicious traffic, achieving approximately 68% accuracy and a detection rate close to 67%. The results obtained validate the correct operation of the platform developed for the simulation, detection, and visualization of security events in communication networks. Furthermore, they allow the feasibility of complementing traditional signature-based IDS systems with machine learning techniques aimed at network traffic analysis to be evaluated.