ProtecTor: Sistema de detección de anomalías y alerta para la red Tor

Abstract

El presente trabajo tiene por objeto la implementación de un sistema de detección de anomalías y alerta para la red Tor. Para su desarrollo y despliegue se ha empleado un diseño basado en componentes independientes y orientado a prototipos. El sistema se compone de varios módulos que permiten obtener datos de telemetría publicados por el proyecto Tor, procesarlos, almacenarlos, analizarlos a través de un componente modular de análisis de anomalías y emitir alertas a través de un canal bidireccional en forma de bot de la plataforma Telegram que, adicionalmente, permite interactuar con el sistema a través de múltiples comandos. Además, añade la visualización de datos a través de cuadros de mandos servidos por Grafana y un módulo de plotting desarrollado para visualizar gráficas a través del bot. El resultado es una plataforma funcional, modular y extensible que permite a cualquier persona interesada o grupo de interés realizar un despliegue sencillo gracias a la implementación basada en contendores Docker de todo el sistema. El trabajo, fruto de la asimilación de múltiples competencias, ha sido publicado bajo licencia GPL. Se ha realizado de forma satisfactoria en todas sus etapas, presenta un alto grado de madurez y permite su explotación en ambientes productivos. Si bien, se recomienda la extensión del componente de análisis en forma de módulos que implementen algoritmos de detección de anomalías adicionales para permitir un análisis comparativo de las diferentes alertas que puedan producirse.

Aquest treball té per objecte la implementació d'un sistema de detecció d'anomalies i alerta per a la xarxa Tor. Per al seu desenvolupament i desplegament s'ha fet servir un disseny basat en components independents i orientat a prototips. El sistema es compon de diversos mòduls que permeten obtenir dades de telemetria publicades pel projecte Tor, processar-les, emmagatzemar-les, analitzar-les mitjançant un component modular d'anàlisi d'anomalies i emetre alertes a través d'un canal bidireccional en forma de bot de la plataforma Telegram que, addicionalment, permet interactuar amb el sistema a través de múltiples ordres. A més, afegeix la visualització de dades a través de quadres de comandaments servits per Grafana i un mòdul de plotting desenvolupat per visualitzar gràfiques a través del bot. El resultat és una plataforma funcional, modular i extensible que permet a qualsevol persona interessada o grup d'interès fer un desplegament senzill gràcies a la implementació basada en contenidors Docker de tot el sistema. El treball, fruit de l'assimilació de múltiples competències, ha estat publicat amb llicència GPL. S'ha realitzat de forma satisfactòria en totes les etapes, presenta un alt grau de maduresa i permet la seva explotació en ambients productius. Tot i així, es recomana l'extensió del component d'anàlisi en forma de mòduls que implementin algorismes de detecció d'anomalies addicionals per permetre una anàlisi comparativa de les diferents alertes que es puguin produir.

The purpose of this work is to implement a system of anomaly detection and alerting for the Tor network. For its development and deployment, a design based on independent components and prototype-oriented has been used. The system is made up of several modules that allow to obtain telemetry data published by the Tor project, process it, store it, analyze it through a modular anomaly analysis component and issue alerts through a bidirectional channel in the form of a platform bot. Telegram that, additionally, allows you to interact with the system through multiple commands. In addition, it adds data visualization through dashboards served by Grafana and a plotting module developed to display graphs through the bot. The result is a functional, modular and extensible platform that allows any interested person or interest group to carry out an easy deployment thanks to the Docker container-based implementation of the entire system. The work, the result of the assimilation of multiple skills, has been published under the GPL license. It has been carried out satisfactorily in all its stages, it presents a high degree of maturity and allows its exploitation in productive environments. However, it is recommended to extend the analysis component in the form of modules that implement additional anomaly detection algorithms to allow a comparative analysis of the different alerts that may occur.