Una Arquitectura Multiagente Inteligente para la Detección de Intrusos

Una Arquitectura Multiagente Inteligente para

la Detección de Intrusos

Proyecto financiado por Xunta de Galicia

Programa TIC

Equipo investigador: A. Alonso Betanzos, J.A. Suárez Romero, B. Guijarro Berdiñas, O. Fontenla Romero, N.

Sánchez Maroño, V. Moret Bonillo, M. Cabrero Canosa, E. Hernández Pereira, E. Mosqueira Rey, A. Fernández Leal

Universidad de A Coruña. Grupo LIDIA

Una Arquitectura Multiagente Inteligente para la DI

El problema• La conexión de los sistemas de información de las empresas a

Internet permite el acceso a muchos potenciales clientes, pero también a posibles atacantes

• Las consecuencias de los ataques son múltiples: disminución de la productividad, espionaje industrial, sabotaje de información crítica, robo de información confidencial o dinero, descrédito de la imagen pública de la empresa y a su cotización bursátil

• Uno de los aspectos de seguridad informática más importantes es la Detección de Intrusos (DI). Consiste en detectar individuos que están usando un sistema informático sin autorización y a los que, aún teniéndola, realizan tareas para las que no están autorizados

• La DI es un campo complejo y muy activo, en el que todavía estamos lejos de obtener un sistema altamente fiable


¿Son comunes estos ataques?

• Más de lo que nos imaginamos…

– Con la explosión de Internet, la distribución de información de cualquier tipo, incluyendo la necesaria para llevar a cabo estos ataques, se hizo mucho más sencilla y rápida

– No sólo eso, sino que la experiencia necesaria para llevar a cabo un ataque disminuyó en varios órdenes de magnitud, de forma tal que hoy en día, una persona con conocimientos básicos de computadoras puede montar un ataque exitoso


Repercusiones de los ataques


Repercusiones de los ataques


Solución contra ataques

• Disponer de Sistemas automáticos que permitan Detectar Intrusos (SDIs) o intentos de ataques

• Estos sistemas deben:

– Responder a estos ataques de una manera eficaz e inteligente, afectando en la menor medida de lo posible al buen funcionamiento de la empresa

– Ser tolerantes a fallos, de forma que aunque fallen algunos componentes el sistema siga funcionando de manera más o menos correcta

– Ser resistentes a ataques, ya que un intruso probablemente atacará al propio SDI en primer lugar, y una vez neutralizado éste, seguiría con su ataque de forma impune, sin que saltase ninguna alerta

– Ser altamente adaptables y configurables. Las redes son cada vez más complejas y flexibles, por lo que un SDI debería ser capaz de adaptarse a las necesidades de los sistemas. Además, un sistema adaptable dinámicamente consigue alcanzar los dos requisitos anteriores


Sistemas de DI actuales. Problemas

• Los Sistemas de Detección de Intrusos existentes actualmente todavía se encuentran lejos de alcanzar las características mencionadas, por lo que es necesario continuar investigando en este aspecto de la seguridad para ir aplicando los resultados poco a poco en el mundo empresarial

• Los principales problemas que presentan son:

– Arquitecturas rígidas, lo que ocasiona problemas de eficiencia y escalabilidad al desplegar estos sistemas en redes extensas

– La eficacia de los SDIs podría mejorarse utilizando técnicas de Inteligencia Artificial (IA) cuyo uso actual es relativamente restringido. Se centran exclusivamente en el aspecto de la DI, sin intentar aplicarlas a otros aspectos como puedan ser la propia protección del sistema ante ataques o la mejora de su flexibilidad


Nuestra propuesta

• Las características deseables de un SDI se pueden conseguir empleando agentes inteligentes en su construcción

• De este modo:

– Cada agente funciona de forma independiente al resto de los agentes, por lo que el fallo de un agente no implica el fallo de los demás

– Los agentes se pueden vigilar unos a otros y establecer distintos niveles de confianza, por lo que un ataque a un agente podría alertar al resto para que tomen las medidas oportunas

– Al emplear agentes especializados en la ejecución de diversas tareas y al ser débiles las relaciones entre ellos, unos pueden asumir las responsabilidades de otros, de manera que se logra que el sistema se adapte a la nueva situación

En este proyecto de investigación se propone el desarrollo de un SDI basado en agentes inteligentes con una arquitectura lo suficientemente flexible como para escalar el sistema, y que permitirá incorporar los nuevos avances que se vayan produciendo tanto en el mundo de la Inteligencia Artificial como en el de los Sistemas Multiagente


Pero, ¿qué es un agente inteligente?

• Un agente inteligente es un sistema computerizado y autónomo que realiza acciones flexibles para alcanzar sus objetivos

• Entre sus principales características están:

– Son capaces de comunicarse con otras entidades (agentes, humanos, etc.)

– Reaccionan ante los estímulos del entorno

– Añaden pro actividad (iniciativa) al entorno en el que se mueven

– Son capaces de aprender y mejorar su comportamiento en el tiempo

– Son autónomos


¿Y un sistema multiagente (MAS)?

• Son un punto de encuentro entre las tecnologías de Sistemas Distribuidos y la Inteligencia Artificial

• Compuestos por varios tipos de agentes que interactúan entre sí para alcanzar conjuntamente la funcionalidad deseada, pudiendo aparecer nuevos tipos de agentes dinámicamente, y con un número también variable de agentes de cada tipo

• Adecuados para solucionar problemas para los que hay múltiples métodos de resolución y/o múltiples entidades capaces de trabajar conjuntamente para solucionarlos


Aspectos básicos de los MAS

• La interacción entre los diferentes agentes o características sociales: los agentes pueden conocer dinámicamente otros agentes, llegar a interaccionar con ellos, e incluso modificar con el tiempo las formas de comunicación

• La comunicación entre agentes

• Las características cognitivas: el comportamiento de los agentes puede ser bastante complejo


Arquitectura propuesta

• A continuación vamos a presentar nuestra arquitectura para la DI basada en un Sistema Multiagente

• Describiremos brevemente sus componentes

• E introduciremos un ejemplo simplificado de funcionamiento


Arquitectura propuestaLa arquitectura propuesta está formada por cinco tipos de agentes



Agentes de Información





Agentes Especiales

Agentes Especiales



Agentes de Prevención


Agentes Especiales






Agentes deEvidencias

Agentes Especiales

Agentes de Recolección de Evidencias





Agentes deRespuesta


Agentes Especiales

Agentes de Respuesta





Agentes deRespuesta


Agentes Especiales

Agentes deDetección

Agentes de Detección




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Y Agentes de Interfaz




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


A priori cualquier agente podría establecer una relación con dos o más agentes de otro tipo de manera totalmente dinámica




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Información proveen de la información que necesitan el resto de los agentes. Debido a las diferentes necesidades existen múltiples Agentes de Información




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Normalmente, esta información será obtenida a partir de los recursos a proteger

10.10.40.1210.10.40.12Recursos de Información10.10.40.1110.10.40.11




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Debido a que cierto tipo de información se obtiene a partir de informaciones más simples, los agentes pueden establecer grupos de forma dinámica





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Prevención se encargan de prevenir o dificultar los ataques a los sistemas





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


La prevención es el aspecto de seguridad más desarrollado y empleado. Los cortafuegos o los antivirus son claros ejemplos de ello


AntivirusAntivirus

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Nuestro sistema tratará de reutilizar estos elementos mediante agentes que “representen” a dichos elementos de prevención


AntivirusAntivirus

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Detección tratan de encontrar intrusiones o intentos de intrusión. Nuestro sistema podrá emplear múltiples técnicas a través de diferentes agentes


AntivirusAntivirus

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Detección podrán establecer grupos entre ellos, bien para establecer jerarquías para monitorizar diferentes niveles del sistema a proteger, bien para obtener técnicas de detección complejas a partir de técnicas más simples


AntivirusAntivirus

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Respuesta son los encargados de actuar cuando se detecta un ataque o intento de ataque. Según la naturaleza y tipo del ataque, se podrá tener diferentes políticas de respuesta, por lo que el sistema contará con distintos agentes


AntivirusAntivirus

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Recolección de Evidencias tratan de recoger pistas que informen de las causas que han permitido una intrusión, con el objeto de realizar un análisis forense del sistema


AntivirusAntivirus

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Los Agentes de Interfaz son los intermediarios entre el sistema y los usuarios del mismo. Así el sistema ve a los usuarios como si fuesen agentes


AntivirusAntivirus

AdministradorAdministrador GestorGestor

Recursos

Convencionales

Existentes




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Esto permite, por ejemplo, que los Agentes de Interfaz puedan aprender de los usuarios, y que éstos puedan interactuar con el sistema de múltiples maneras


AntivirusAntivirus


API HTML SNMP

Recursos

Convencionales

Existentes

Recursos de Interacción




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Por último, los Agentes Especiales se encargan de las tareas específicas y necesarias para el buen funcionamiento del sistema, como el mantenimiento o la provisión de servicios


AntivirusAntivirus


API HTML SNMP

Recursos

Convencionales

Existentes





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


En este orden, podemos integrar servicios ya existentes en la organización dentro de nuestra arquitectura


AntivirusAntivirus


API HTML SNMP

PKIPKI

Sistema Sistema MultiagenteMultiagente

Recursos

Convencionales

Existentes





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales


Veamos un ejemplo simple de funcionamiento


AntivirusAntivirus


API HTML SNMP

PKIPKI


Recursos

Convencionales

Existentes





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales



AntivirusAntivirus


API HTML SNMP

PKIPKI


Supongamos que tenemos una red local con dos máquinas a proteger

10.10.40.0

10.10.40.14

10.10.40.13

Recursos

Convencionales

Existentes





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales



AntivirusAntivirus


API HTML SNMP

PKIPKI


10.10.40.0

10.10.40.14

10.10.40.13

Podríamos tener un Agente de Detección en cada una de las máquinas

AD1 AD2

Un agente que detectase ataques a la red tendría que colaborar con estos dos agentesAD3

Recursos

Convencionales

Existentes





Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales



AntivirusAntivirus


API HTML SNMP

PKIPKI


10.10.40.0

10.10.40.14

10.10.40.13

Supongamos ahora que un usuario se conecta a una máquina como usr1 y luego salta a otra como usr2

Recursos

Convencionales

Existentes


usr1

usr2




Agentes de Interfaz


Agentes deRespuesta


Agentes Especiales



AntivirusAntivirus


API HTML SNMP

PKIPKI


10.10.40.0

10.10.40.14

10.10.40.13

Si un agente quisiese saber quién es en realidad el usuario usr2 tendría que contactar con un Agente de Información que proporcionase dicha información

Recursos

Convencionales

Existentes


usr1

usr2

AI2

Posiblemente este agente tendría que contactar con otros Agentes de Información para poder alcanzar su objetivo

AI1 AI3


Técnicas de Inteligencia Artificial

• Hemos visto la estrecha relación entre los agentes inteligentes y la Inteligencia Artificial (IA)

• La IA es un campo amplio de investigación científica que trata de crear sistemas y máquinas que se comporten de manera inteligente

• Algunas de las principales técnicas de IA son:

– Redes de Neuronas Artificiales

– Algoritmos Genéticos


Redes de Neuronas Artificiales

f1

f2

f J

+

+

+

x1

x2

x I

1 y1

y2

y J

...

...

SALIDASENTRADAS

Las redes de neuronas artificiales se inspiran en las redes de neuronas naturales


Redes de Neuronas Artificiales

• Procesador paralelo y distribuido con capacidad para almacenar conocimiento experimental y hacerlo disponible para su uso. Se asemeja al cerebro en dos aspectos, ya que su conocimiento:

– Se almacena en la fuerza de las conexiones interneuronales o pesos sinápticos,

– Se adquiere mediante un aprendizaje a partir de unos datos de entrenamiento o ejemplos, igual que un niño aprende a distinguir entre perros y gatos viendo ejemplos de ambos


Método de aprendizaje propuesto

• Basado en:

– Redes de neuronas de una capa con aprendizaje supervisado– Sistema de ecuaciones lineales– Modificación de la función de error o coste del sistema

• Ventajas:

– Solución única y óptima– Aprendizaje rápido– Buena capacidad de generalización– Aprendizaje en paralelo e incremental


Aprendizaje en paralelo

PROBLEMA

Un problema se subdivide en distintas tareas que realizan varios agentes paralelamente


Aprendizaje incrementalUn agente es capaz de aprender nuevos ejemplos sin necesidad de volver a enseñarle los ejemplos antes aprendidos

NUEVOS DATOS

Como resultado del aprendizaje incremental y paralelo, los agentes se pueden unir trasmitiendo su conocimiento


Validación del método

• Datos de la competición de detección de intrusos KDD’99

• Problema: clasificación de las conexiones como ataque o no ataque

• 41 características forman cada dato, entre ellas:– Tipo de protocolo– Duración de la conexión– Intentos fallidos de conexión

• 30000 datos para el aprendizaje

• 4996 datos para prueba


Resultados

7040

Tamaño del conjunto de aprendizaje

Método propuesto Método propuesto mejorado

% E

rror

Se ha mejorado el método propuesto modificando la función de coste. Gracias a esto, se obtiene un error más bajo y además con menor número de muestras


Agentes Inteligentes y Computación Evolutiva

• Características de la computación evolutiva:– Mantienen poblaciones de individuos– Los individuos evolucionan por selección natural y con operadores genéticos (recombinación y

mutación)– Necesidad de una función de evaluación: actúa como entorno y clasifica a los individuos según su

aptitud– Tratan de encontrar mejores soluciones a un problema a través de la evolución de la población

• El aprendizaje de un agente inteligente es un proceso lento

• Los algoritmos evolutivos mejoran la capacidad de aprendizaje del agente inteligente

• La integración de ambos permite optimizar el comportamiento del sistema global


Algoritmos Genéticos (AG)

• Los AG son métodos para la resolución de problemas de búsqueda y optimización que aplican a éstos los mismos métodos de la evolución biológica:

1. Se parametriza el problema en una serie de variables, (xi,...,xn) que se codifican en un cromosoma

2. Selección: Las posibles soluciones al problema codificadas (cromosomas) compiten para ver cuál de ellas es la mejor

3. Reproducción: Sólo las soluciones mejor adaptadas (aquellas que resuelvan mejor el problema) sobrevivirán legando su material genético a las siguientes generaciones, igual que en la evolución de las especies. Así, las soluciones seleccionadas en el paso anterior se cruzan intercambiando su información y generando nuevas soluciones

4. Mutación: Ocasionalmente se producen alteraciones en las soluciones de la población que favorecen la diversidad genética


Población de Módulos de

CompetenciaPoblación de AgentesBiología


•Equivalencias terminológicas

Una parte constituyente de cada

módulo de competencia

Un módulo de competencia particular

Gen

Un módulo de competencia particular

Conjunto de módulos de competencia

Cromosoma

Los módulos de competencia

Los agentesIndividuo



• Formas de integración. Primera Opción

– La población está formada por los módulos de competencia pertenecientes a un solo agente

– Los individuos de la población son los módulos de competencia

– El cromosoma está formado por el propio módulo de competencia Base de

conocimiento

Población

Regla 1

Regla n

…

Motor de inferencias

Sensores

Efectores

Entorno



• Formas de integración. Segunda Opción

– La población está formada por los propios agentes

– Cada cromosoma está formado por una representación consistente en una lista de elementos que se corresponden con cada uno de los módulos de competencia

– El cromosoma es el conjunto de módulos de competencia del agente inteligente

Base de conocimiento

Regla 1

Regla n

…

Motor de inferencias

Sensores

Efectores

Entorno

Población



• El empleo de la evolución simulada en los agentes inteligentes debería mejorar su comportamiento porque se acelera el aprendizaje de las acciones correctas, que deben realizarse ante cada situación del entorno

• Acelerar el proceso de aprendizaje en los agentes facilita la incorporación de conocimiento heurístico, lo que aumenta la autonomía, y mejora la capacidad de adaptación de los agentes


Conclusiones

• La Detección de Intrusos es uno de los aspectos de seguridad en los que más se está investigando ahora

• Hemos propuesto una arquitectura basada en agentes inteligentes

– Altamente autónomos y con capacidad para colaborar entre sí de manera dinámica según los requieran las necesidades

– Que integra otros aspectos de la seguridad, como la prevención, y elementos ya existentes de la organización

– Uso de diversas técnicas de Inteligencia Artificial para mejorar la eficiencia en la detección de intrusos


Technology

Una Arquitectura Multiagente Inteligente para la Detección de Intrusos