Berrueta Irigoyen, Eduardo

Profile Picture

Email Address

person.page.identifierURI

https://academica-e.unavarra.es/handle/2454/48721

Birth Date

Job Title

Last Name

Berrueta Irigoyen

First Name

Eduardo

person.page.departamento

Ingeniería Eléctrica, Electrónica y de Comunicación

person.page.instituteName

ORCID

0000-0002-0076-4479

person.page.observainves

88888

person.page.upna

811478

Name

Filters

20221
Reset filters

Settings

Start date: 2020 × Subject: Compartición de ficheros ×

Search Results

Now showing 1 - 1 of 1
  • Thumbnail Image
    PublicationOpen Access
    Desarrollo y análisis de modelos de detección de crypto-ransomware en base a tráfico de compartición de ficheros
    (2022) Berrueta Irigoyen, Eduardo; Morató Osés, Daniel; Ingeniería Eléctrica, Electrónica y de Comunicación; Ingeniaritza Elektrikoa, Elektronikoaren eta Telekomunikazio Ingeniaritzaren
    Hoy en día la información se ha convertido en un bien muy preciado tanto para los usuarios como para las empresas. Desde el año 2015 han cobrado importancia los ataques dirigidos a secuestrar esta información y pedir un rescate económico para su recuperación. Son los llamados 'crypto-ransomware'. Durante la realización de este trabajo se han analizado más de 90 variantes distintas de ransomware, tratando de establecer patrones de comportamiento comunes para poder detectar la infección de un usuario. Aunque afectan por igual a usuarios particulares y a empresas, son estas últimas las más perjudicadas por la infección, ya que habitualmente tiene un coste económico muy elevado debido a la paralización de su actividad. Además, sus archivos de datos están alojados en servidores centrales a los que tienen acceso todos los trabajadores. Un único usuario infectado puede provocar enormes pérdidas de información muy valiosa para la empresa. En esta tesis nos centramos en este tipo de escenarios en que la información se aloja en servidores centrales a los que acceden los usuarios desde sus máquinas. La estrategia que se ha seguido para la detección ha sido capturar en un punto intermedio el tráfico intercambiado por usuarios y servidores y analizarlo en busca de patrones conocidos de tráfico de ransomware. En un primer trabajo se desarrolló una herramienta basada en el tipo de operación que realiza cada usuario sobre los archivos del servidor, siendo necesario el análisis de cada mensaje del protocolo de compartición de ficheros. Se lograron unos resultados de detección del 100% de los binarios estudiados con una tasa de falsos positivos muy baja (1 cada 15 días en redes con 300 usuarios). Sin embargo, la principal limitación es que no es eficaz en los casos en que el protocolo de compartición de ficheros vaya cifrado en la red, lo cual es habitual en versiones modernas. Para superar esta limitación se desarrolla otro modelo, basado ya en patrones de tráfico en lugar de en el tipo de operaciones que ejecutan los usuarios. Para establecer patrones entre las características se comparan varios modelos de machine learning y deep learning analizando sus resultados y escogiendo el que mejor se adapta a nuestro escenario. Una vez seleccionado el modelo, se analiza cronológicamente la evolución del mismo como si hubiera sido empleado en un entorno real y entrenado con las variantes de ransomware aparecidas desde 2015 hasta 2021. Se presentan los resultados y extraen conclusiones sobre la necesidad de mantener un entrenamiento constante del modelo para mejorar la eficiencia de la detección. Como consecuencia del estudio del comportamiento de los más de 90 binarios, se han publicado en un repositorio de acceso abierto las trazas de tráfico objeto del estudio, así como la secuencia de operaciones llevadas a cabo por los ransomware sobre los ficheros alojados en el servidor.