SlideShare uma empresa Scribd logo

Ia seguridad informatica

D
dvivi10
1 de 15
Baixar para ler offline
Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa – La Pampa – 4 y 5 de Diciembre de 2009
AGENDA http://www.ifork.com.ar Primera Parte Definiciones y ejemplos - Definición de Data Mining - ¿Qué son las Redes Neuronales? - ¿Qué es la Estadística Bayesiana? - Sistemas de Detección de Intrusos (IDS) - Open Source software para Data Mining, Redes Neuronales y Bayesianas Segunda Parte Aplicaciones a la Seguridad Informática - Redes Neuronales y Bayesianas para sistemas de IDS - Algoritmos de Clasificación para sistemas de antispam y antivirus - Data Mining para peritajes informáticos y estudios criminalísticos on-line - Inteligencia Artificial para mejorar el rendimiento de redes y servidores
DATA MINING http://www.ifork.com.ar Definición Se llama Minería de Datos a un conjunto de herramientas y algoritmos provenientes de la Inteligencia Artificial cuya finalidad es la de encontrar patrones ocultos y no triviales en grandes bases de datos, los cuales resultan imposible de detectar mediantes otras técnicas estadísticas y matemáticas tradicionales. Entre los mencionados algoritmos se encuentran: -Redes Neuronales -Redes Bayesianas -Árboles de Decisión -Algoritmos Genéticos Mediante el procesamiento y análisis de las mencionadas bases de datos, se pretende generar CONOCIMENTO que resulte de fundamental importancia a la hora de toma de decisiones. Que puede ir, desde realizar una inversión, otorgar un crédito hasta crear una nueva regla de firewall o subir el umbral en un sistema anti-spam.
REDES NEURONALES http://www.ifork.com.ar Sistema Artificial que emula el funcionamiento del cerebro humano. -Son capaces de aprender mediante diferentes algoritmos de entrenamiento y poseen diferentes arquitecturas, dependiento del problema a resolver. - Son flexibles y resistentes a errores. - Pueden procesar en tiempo real. - Sus principales usos se dan en el reconocimiento de patrones y en los modelos de predicción. - Son aplicables por ejemplo en el Mercado Bursátil, en los sistemas OCR, en la Segmentación de Clientes, en predicciones de Demanda y especialmente en Detección de Fraudes y Riesgos.
REDES NEURONALES http://www.ifork.com.ar Modelos Supervisados Entrenados en base al conocimiento previo Modelos NO Supervisados Entrenados en base a aproximaciones estadísticas matemáticas. Se autoorganizan. En Seguridad Informática Se utilizan los modelos SUPERVISADOS. Se entrenan en base a que el “maestro” determine si una conexión o evento de red, fue una intrusión o no.
REDES BAYESIANAS http://www.ifork.com.ar Son redes basadas en probabilidades, específicamente condicionales. Obtienen su nombre del Teorema de Bayes. Constan de gráficos acíclicos y dirigidos, donde cada nodo representa una variable aleatoria del sistema. Ejemplos En medicina, un conjunto de variables representan diferentes síntomas, y en base a ello se calcula la probabilidad de padecer determinada enfermedad. En informática, los clasificadores bayesianos se utilizan en los sistemas de detección de intrusos, asignándole en base a una serie de variables la probabilidad de que un evento sea una intrusión. También en los sistemas anti-spam, asignándole a un mail la probabilidad de que sea un spam. El popular spamassassin es una potente red bayesiana basada en puntajes, que a su vez estos puntajes están basados en probabilidades. -Se crea un archivo de mails válidos en $HOME/Mail/ham - Se crea un archivo de spam que Spamassassin no detecto en $HOME/Mail/mspam - A medida que crecen las bases, se corre el comando “sa-learn “ que es el agoritmo de entrenamiento bayesiano que asigna a cada mail en dichos archivos un score.
CONCEPTOS IMPORTANTES DE DATA MINING http://www.ifork.com.ar Clasificador: Es aquel algoritmo encargado de segmentar y aglomerar instancias de variables que poseen características en común mediante el reconocimiento de patrones. Redes Neuronales y Bayesianas son ejemplos de ellos. Nubes de Comportamiento Normales y Outliers: Una técnica de reconocimiento de patrones e identificación de anomalías es la creación de nubes de comportamiento típico y estudiar los puntos que no encuadran en dichos aglomerados. Con estas técnicas se detectan FRAUDES y en seguridad informática se estudian posibles Intrusiones, ya que el atacante no forma parte de la nube de comportamiento típico en una red. Dataset: Colección de datos presentados en diferentes formatos, generalmente compatibles con bases de datos. Por ejemplo CSV. Cada columna representa una variable, y cada fila es un caso. Los diferentes algoritmos de Data Mining van a correr contra una tabla de base de datos o un Dataset. Aquí entra en juego las herramientas OLAP.
SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) http://www.ifork.com.ar Definición desde el punto de vista de un IDS Clásico, ejemplo SNORT . Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema. Basados en SIGNATURES Diferencia más significativa con los IDS Inteligentes Ejemplo SNORT Reconocen nuevas intrusiones o anomalías Proyecto que trabaja en conjunto con SNORT y Redes Neuronales: http://jeiks.net/index.php?p=1_5 (en portugués)
SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) http://www.ifork.com.ar Sistemas de Alarmas ante posibles intrusiones y comportamiento anómalo Propósito de los IDS En algunos casos REACTIVOS. Crean reglas de firewall. SNORT 2.3 Misuse Detection. Basados en SIGNATURES Clasificación de IDS Abnormality Detection. Basados en aproximaciones estadísticas. Se podría decir, que en los IDS basados en Misuse Detection el comportamiento anormal se define previamente, mientras que en los basados en aproximaciones estadísticas se define previamente el comportamiento normal. Ventajas de los IDS basados en SIGNATURES Detectan vulnerabilidades y ataques conocidos al instante Ventajas de los IDS basados en COMPORTAMIENTO ANORMAL Detectan vulnerabilidades y ataques que no eran conocidos previamente Se puede adaptar a entornos particulares y personalizados Desventajas de los IDS basados en COMPORTAMIENTO ANORMAL Pueden producir un alto volumen de “falsas alarmas” El proceso de entrenamiento de una Red Neuronal puede ser arduo.
IDS basados en Redes Neuronales http://www.ifork.com.ar Dinámica de Captura - Procesamiento - Análisis - Alertas Todos los análisis a correr, ya sean redes neuronales, árboles de decisión, etc, se ejecutan sobre un “dataset” El dataset está compuesto por cada conexión de red existente El INPUT del dataset puede ser el TCPDUMP o NETFLOW Se determinan las variables más relevantes: - IP origen - IP destino - Puerto - Protocolo - Cantidad de Paquetes - Tamaño en bytes - Cantidad de paquetes - Tiempo Se hace un proceso de limpieza de dicha información Se ordena la info en una base de datos, por ej MySQL o en texto plano CSV A cada instancia del dataset se le asigna un puntaje o score en base al entrenamiento de la Red Neuronal Se determina que tan anómalo es ese puntaje Se crea un sistema de alertas en base al punto anterior Es necesario tener un servidor dedicado que recolecte los datos y realice el procesamiento.
Text Mining – Web Mining – Log Mining & Security http://www.ifork.com.ar De la misma manera que la Minería de Datos explora grandes bases de datos, existen disciplinas que se especializan en áreas particulares. Text Mining: Técnicas específicas para explorar, analizar y descubrir patrones en diferentes formatos de texto. Web Mining: Extrae información en: contenido de páginas web estructura de links registros de navegación Log Mining: Extrae información de diferentes logs de servidores, no solo detectan anomalías, sino también ayudan ampliamente en los sistemas de reportes y optimización de rendimiento.
Text Mining – Web Mining – Log Mining & Security http://www.ifork.com.ar Desde el punto de vista de la “Seguridad” -Organismos gubernamentales y agencias de seguridad utilizan ampliamente estas técnicas para rastrear conductas delictivas realizando Text Mining y Web Mining sobre: Sitios Web Foros de discusión Redes Sociales Canales de chat Mails A menudo se entrecruza esta información con escuchas telefónicas y celulares. -Un software comercial que tiene como base el Text Mining es el OASIS (Overall Analysis System for Intelligence Support) Desde el punto de vista del Cracking -Se emplean este tipo de técnicas para recolectar información personal lo que deriva en el robo de identidades
Software y Proyectos http://www.ifork.com.ar Weka Open Source suite para Data Mining Contiene potentes algoritmos de Redes Neuronales, Redes Bayesianas, Árboles de Decisión, etc. OpenBayes.Org Librería que implementa Redes Bayesianas en Pyton GATE Open Source Toolkit para Text Mining Neuroph Framework en Java para desarrollar y entrenar redes neuronales
Desafíos http://www.ifork.com.ar Desarrollo de un sistema de detección de intrusos basado en redes bayesianas, posiblemente a integrarse como parte de SNORT. Áreas necesarias a cubrir: -Especialista en Estadística -Especialista en Seguridad Informática y Redes -Programador Lenguajes recomendados: -Python -Java -Perl La etapa de implementación también debe ser multidisciplinaria. Ya que en cada entorno el entrenamiento de la red puede variar drásticamente.
Jornadas de Software Libre y Seguridad – La Pampa http://www.ifork.com.ar Jornadas de Software Libre & Seguridad Informática 4 y 5 de Diciembre de 2009 – Santa Rosa – La Pampa Juan Pablo Braña juan.brana@ifork.com.ar

Recomendados

Afiche Espolciencia Honeynet
Afiche Espolciencia HoneynetAfiche Espolciencia Honeynet
Afiche Espolciencia Honeynet
Mayra Pazmino
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusos
Yasuara191288
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
Pedro Luis Pantoja González
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
Francisco Medina
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
Alberto Mayo Vega
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
Roger CARHUATOCTO
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
Universidad Kino A.C.
 

Recomendados

Afiche Espolciencia Honeynet
Afiche Espolciencia HoneynetAfiche Espolciencia Honeynet
Afiche Espolciencia Honeynet
Mayra Pazmino
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusos
Yasuara191288
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
Pedro Luis Pantoja González
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
Francisco Medina
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
Alberto Mayo Vega
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
Roger CARHUATOCTO
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
Universidad Kino A.C.
 
Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceii
lauramilagrosbuitronasmat
 
Informática forense
Informática forenseInformática forense
Informática forense
alexandrapanduroalva
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical Hacking
Jose Manuel Acosta
 
GLOSARIO
GLOSARIOGLOSARIO
GLOSARIO
YohnneiberDiaz
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
Hacking Bolivia
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
Jenny Ventura
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redes
radsen22
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
3calabera
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
gh02
 
Firewall's
Firewall'sFirewall's
Firewall's
Carlos Eduardo Sanchez Martinez
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
Hacking etico
 
VC4NM73-EQ#6-W7W8T6
VC4NM73-EQ#6-W7W8T6VC4NM73-EQ#6-W7W8T6
VC4NM73-EQ#6-W7W8T6
Jessica Onlyone
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
Eduardo S. Garzón
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
david475023
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
jlezcano1210
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad Informática
CarlosJesusKooLabrin
 
Ejercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaEjercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoria
oposicionestic
 
Virus
VirusVirus
Virus
Juan Moreno
 
Informática forense
Informática forenseInformática forense
Informática forense
Jean Franco Medina Chappa
 
Apresentação2
Apresentação2Apresentação2
Apresentação2
manaira2011
 
Animals
AnimalsAnimals
Animals
nmbsc
 
2011 04 nnc_präsentation
2011 04 nnc_präsentation2011 04 nnc_präsentation
2011 04 nnc_präsentation
NordicNetworkCenter
 

Mais conteúdo relacionado

Mais procurados

5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
Jenny Ventura
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redes
radsen22
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
gh02
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
Eduardo S. Garzón
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
jlezcano1210
 
Ejercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaEjercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoria
oposicionestic
 

Mais procurados (19)

Copiade informaticaforenceii
Copiade informaticaforenceiiCopiade informaticaforenceii
Copiade informaticaforenceii
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical Hacking
 
GLOSARIO
GLOSARIOGLOSARIO
GLOSARIO
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
 
Elementos De Proteccion Para Redes
Elementos De Proteccion Para RedesElementos De Proteccion Para Redes
Elementos De Proteccion Para Redes
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
 
Firewall's
Firewall'sFirewall's
Firewall's
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
 
VC4NM73-EQ#6-W7W8T6
VC4NM73-EQ#6-W7W8T6VC4NM73-EQ#6-W7W8T6
VC4NM73-EQ#6-W7W8T6
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad Informática
 
Ejercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaEjercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoria
 
Virus
VirusVirus
Virus
 
Informática forense
Informática forenseInformática forense
Informática forense
 

Destaque

Animals
AnimalsAnimals
Animals
nmbsc
 
Arte exipto
Arte exiptoArte exipto
Arte exipto
aialo1
 
Fotos 2 a cbtis
Fotos 2 a cbtisFotos 2 a cbtis
Fotos 2 a cbtis
Maru Reyes
 
Hatsune mix cap.04 online
Hatsune mix cap.04 onlineHatsune mix cap.04 online
Hatsune mix cap.04 online
cazios
 
Технологические циклы и Witology
Технологические циклы и WitologyТехнологические циклы и Witology
Технологические циклы и Witology
Witology
 

Destaque (20)

Apresentação2
Apresentação2Apresentação2
Apresentação2
 
Animals
AnimalsAnimals
Animals
 
2011 04 nnc_präsentation
2011 04 nnc_präsentation2011 04 nnc_präsentation
2011 04 nnc_präsentation
 
La amistad
La amistadLa amistad
La amistad
 
Arte exipto
Arte exiptoArte exipto
Arte exipto
 
Fafa
FafaFafa
Fafa
 
Lore
LoreLore
Lore
 
Fotos 2 a cbtis
Fotos 2 a cbtisFotos 2 a cbtis
Fotos 2 a cbtis
 
Hatsune mix cap.04 online
Hatsune mix cap.04 onlineHatsune mix cap.04 online
Hatsune mix cap.04 online
 
IT Management Framework Development
IT Management Framework DevelopmentIT Management Framework Development
IT Management Framework Development
 
Test1
Test1Test1
Test1
 
Realidade virtual
Realidade virtualRealidade virtual
Realidade virtual
 
Drywall
DrywallDrywall
Drywall
 
Economia
EconomiaEconomia
Economia
 
Cobit41 modulo7 produtos
Cobit41 modulo7 produtosCobit41 modulo7 produtos
Cobit41 modulo7 produtos
 
Diodo
DiodoDiodo
Diodo
 
Ana Lúcia: apresentação sobre Itabaiana
Ana Lúcia: apresentação sobre ItabaianaAna Lúcia: apresentação sobre Itabaiana
Ana Lúcia: apresentação sobre Itabaiana
 
3 passo
3 passo3 passo
3 passo
 
Технологические циклы и Witology
Технологические циклы и WitologyТехнологические циклы и Witology
Технологические циклы и Witology
 
para damas
para damaspara damas
para damas
 

Semelhante a Ia seguridad informatica

Liliana Pérez Barajas - Autoevaluación #2
Liliana Pérez Barajas - Autoevaluación #2Liliana Pérez Barajas - Autoevaluación #2
Liliana Pérez Barajas - Autoevaluación #2
Liliana Pérez
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
mia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Lorena Arroyo
 

Semelhante a Ia seguridad informatica (20)

dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Presentacion data mining (mineria de datos)- base de datos
Presentacion data mining (mineria de datos)- base de datosPresentacion data mining (mineria de datos)- base de datos
Presentacion data mining (mineria de datos)- base de datos
 
Liliana Pérez Barajas - Autoevaluación #2
Liliana Pérez Barajas - Autoevaluación #2Liliana Pérez Barajas - Autoevaluación #2
Liliana Pérez Barajas - Autoevaluación #2
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
DatosFasc2
DatosFasc2DatosFasc2
DatosFasc2
 
Clase 01
Clase 01Clase 01
Clase 01
 
Clase 01
Clase 01Clase 01
Clase 01
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Sistema de detección de intrusos
Sistema de detección de intrusosSistema de detección de intrusos
Sistema de detección de intrusos
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 

Ia seguridad informatica

  • 1. Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa – La Pampa – 4 y 5 de Diciembre de 2009
  • 2. AGENDA http://www.ifork.com.ar Primera Parte Definiciones y ejemplos - Definición de Data Mining - ¿Qué son las Redes Neuronales? - ¿Qué es la Estadística Bayesiana? - Sistemas de Detección de Intrusos (IDS) - Open Source software para Data Mining, Redes Neuronales y Bayesianas Segunda Parte Aplicaciones a la Seguridad Informática - Redes Neuronales y Bayesianas para sistemas de IDS - Algoritmos de Clasificación para sistemas de antispam y antivirus - Data Mining para peritajes informáticos y estudios criminalísticos on-line - Inteligencia Artificial para mejorar el rendimiento de redes y servidores
  • 3. DATA MINING http://www.ifork.com.ar Definición Se llama Minería de Datos a un conjunto de herramientas y algoritmos provenientes de la Inteligencia Artificial cuya finalidad es la de encontrar patrones ocultos y no triviales en grandes bases de datos, los cuales resultan imposible de detectar mediantes otras técnicas estadísticas y matemáticas tradicionales. Entre los mencionados algoritmos se encuentran: -Redes Neuronales -Redes Bayesianas -Árboles de Decisión -Algoritmos Genéticos Mediante el procesamiento y análisis de las mencionadas bases de datos, se pretende generar CONOCIMENTO que resulte de fundamental importancia a la hora de toma de decisiones. Que puede ir, desde realizar una inversión, otorgar un crédito hasta crear una nueva regla de firewall o subir el umbral en un sistema anti-spam.
  • 4. REDES NEURONALES http://www.ifork.com.ar Sistema Artificial que emula el funcionamiento del cerebro humano. -Son capaces de aprender mediante diferentes algoritmos de entrenamiento y poseen diferentes arquitecturas, dependiento del problema a resolver. - Son flexibles y resistentes a errores. - Pueden procesar en tiempo real. - Sus principales usos se dan en el reconocimiento de patrones y en los modelos de predicción. - Son aplicables por ejemplo en el Mercado Bursátil, en los sistemas OCR, en la Segmentación de Clientes, en predicciones de Demanda y especialmente en Detección de Fraudes y Riesgos.
  • 5. REDES NEURONALES http://www.ifork.com.ar Modelos Supervisados Entrenados en base al conocimiento previo Modelos NO Supervisados Entrenados en base a aproximaciones estadísticas matemáticas. Se autoorganizan. En Seguridad Informática Se utilizan los modelos SUPERVISADOS. Se entrenan en base a que el “maestro” determine si una conexión o evento de red, fue una intrusión o no.
  • 6. REDES BAYESIANAS http://www.ifork.com.ar Son redes basadas en probabilidades, específicamente condicionales. Obtienen su nombre del Teorema de Bayes. Constan de gráficos acíclicos y dirigidos, donde cada nodo representa una variable aleatoria del sistema. Ejemplos En medicina, un conjunto de variables representan diferentes síntomas, y en base a ello se calcula la probabilidad de padecer determinada enfermedad. En informática, los clasificadores bayesianos se utilizan en los sistemas de detección de intrusos, asignándole en base a una serie de variables la probabilidad de que un evento sea una intrusión. También en los sistemas anti-spam, asignándole a un mail la probabilidad de que sea un spam. El popular spamassassin es una potente red bayesiana basada en puntajes, que a su vez estos puntajes están basados en probabilidades. -Se crea un archivo de mails válidos en $HOME/Mail/ham - Se crea un archivo de spam que Spamassassin no detecto en $HOME/Mail/mspam - A medida que crecen las bases, se corre el comando “sa-learn “ que es el agoritmo de entrenamiento bayesiano que asigna a cada mail en dichos archivos un score.
  • 7. CONCEPTOS IMPORTANTES DE DATA MINING http://www.ifork.com.ar Clasificador: Es aquel algoritmo encargado de segmentar y aglomerar instancias de variables que poseen características en común mediante el reconocimiento de patrones. Redes Neuronales y Bayesianas son ejemplos de ellos. Nubes de Comportamiento Normales y Outliers: Una técnica de reconocimiento de patrones e identificación de anomalías es la creación de nubes de comportamiento típico y estudiar los puntos que no encuadran en dichos aglomerados. Con estas técnicas se detectan FRAUDES y en seguridad informática se estudian posibles Intrusiones, ya que el atacante no forma parte de la nube de comportamiento típico en una red. Dataset: Colección de datos presentados en diferentes formatos, generalmente compatibles con bases de datos. Por ejemplo CSV. Cada columna representa una variable, y cada fila es un caso. Los diferentes algoritmos de Data Mining van a correr contra una tabla de base de datos o un Dataset. Aquí entra en juego las herramientas OLAP.
  • 8. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) http://www.ifork.com.ar Definición desde el punto de vista de un IDS Clásico, ejemplo SNORT . Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema. Basados en SIGNATURES Diferencia más significativa con los IDS Inteligentes Ejemplo SNORT Reconocen nuevas intrusiones o anomalías Proyecto que trabaja en conjunto con SNORT y Redes Neuronales: http://jeiks.net/index.php?p=1_5 (en portugués)
  • 9. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) http://www.ifork.com.ar Sistemas de Alarmas ante posibles intrusiones y comportamiento anómalo Propósito de los IDS En algunos casos REACTIVOS. Crean reglas de firewall. SNORT 2.3 Misuse Detection. Basados en SIGNATURES Clasificación de IDS Abnormality Detection. Basados en aproximaciones estadísticas. Se podría decir, que en los IDS basados en Misuse Detection el comportamiento anormal se define previamente, mientras que en los basados en aproximaciones estadísticas se define previamente el comportamiento normal. Ventajas de los IDS basados en SIGNATURES Detectan vulnerabilidades y ataques conocidos al instante Ventajas de los IDS basados en COMPORTAMIENTO ANORMAL Detectan vulnerabilidades y ataques que no eran conocidos previamente Se puede adaptar a entornos particulares y personalizados Desventajas de los IDS basados en COMPORTAMIENTO ANORMAL Pueden producir un alto volumen de “falsas alarmas” El proceso de entrenamiento de una Red Neuronal puede ser arduo.
  • 10. IDS basados en Redes Neuronales http://www.ifork.com.ar Dinámica de Captura - Procesamiento - Análisis - Alertas Todos los análisis a correr, ya sean redes neuronales, árboles de decisión, etc, se ejecutan sobre un “dataset” El dataset está compuesto por cada conexión de red existente El INPUT del dataset puede ser el TCPDUMP o NETFLOW Se determinan las variables más relevantes: - IP origen - IP destino - Puerto - Protocolo - Cantidad de Paquetes - Tamaño en bytes - Cantidad de paquetes - Tiempo Se hace un proceso de limpieza de dicha información Se ordena la info en una base de datos, por ej MySQL o en texto plano CSV A cada instancia del dataset se le asigna un puntaje o score en base al entrenamiento de la Red Neuronal Se determina que tan anómalo es ese puntaje Se crea un sistema de alertas en base al punto anterior Es necesario tener un servidor dedicado que recolecte los datos y realice el procesamiento.
  • 11. Text Mining – Web Mining – Log Mining & Security http://www.ifork.com.ar De la misma manera que la Minería de Datos explora grandes bases de datos, existen disciplinas que se especializan en áreas particulares. Text Mining: Técnicas específicas para explorar, analizar y descubrir patrones en diferentes formatos de texto. Web Mining: Extrae información en: contenido de páginas web estructura de links registros de navegación Log Mining: Extrae información de diferentes logs de servidores, no solo detectan anomalías, sino también ayudan ampliamente en los sistemas de reportes y optimización de rendimiento.
  • 12. Text Mining – Web Mining – Log Mining & Security http://www.ifork.com.ar Desde el punto de vista de la “Seguridad” -Organismos gubernamentales y agencias de seguridad utilizan ampliamente estas técnicas para rastrear conductas delictivas realizando Text Mining y Web Mining sobre: Sitios Web Foros de discusión Redes Sociales Canales de chat Mails A menudo se entrecruza esta información con escuchas telefónicas y celulares. -Un software comercial que tiene como base el Text Mining es el OASIS (Overall Analysis System for Intelligence Support) Desde el punto de vista del Cracking -Se emplean este tipo de técnicas para recolectar información personal lo que deriva en el robo de identidades
  • 13. Software y Proyectos http://www.ifork.com.ar Weka Open Source suite para Data Mining Contiene potentes algoritmos de Redes Neuronales, Redes Bayesianas, Árboles de Decisión, etc. OpenBayes.Org Librería que implementa Redes Bayesianas en Pyton GATE Open Source Toolkit para Text Mining Neuroph Framework en Java para desarrollar y entrenar redes neuronales
  • 14. Desafíos http://www.ifork.com.ar Desarrollo de un sistema de detección de intrusos basado en redes bayesianas, posiblemente a integrarse como parte de SNORT. Áreas necesarias a cubrir: -Especialista en Estadística -Especialista en Seguridad Informática y Redes -Programador Lenguajes recomendados: -Python -Java -Perl La etapa de implementación también debe ser multidisciplinaria. Ya que en cada entorno el entrenamiento de la red puede variar drásticamente.
  • 15. Jornadas de Software Libre y Seguridad – La Pampa http://www.ifork.com.ar Jornadas de Software Libre & Seguridad Informática 4 y 5 de Diciembre de 2009 – Santa Rosa – La Pampa Juan Pablo Braña juan.brana@ifork.com.ar