Rene Seguranca Ai Agents

585 visualizações

Publicada em

EVENTO CIIWA:
Infra-estruturas de Simulação e Segurança Inteligente
(Mestre Bruno René - Holos S.A.)
http://www.ciiwa.pt

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
585
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Rene Seguranca Ai Agents

  1. 1. Segurança, Data Mining e Agentes
  2. 2. Apresentação - Tópicos • Segurança • Machine Learning e Data Mining • Agentes • Exemplos reais • Fontes – Machine Learning and Data Mining for Computer Security - Methods and Applications – Springer – Intelligent Agents and Multi Agent Systems – IEEE CEC 2009
  3. 3. O sistema mais seguro do mundo
  4. 4. Ciclo da Segurança • Falha principal de segurança: as pessoas Responder Proteger Detectar
  5. 5. Processo de segurança • Protecção – Implementar Políticas de Segurança – Falível • Detecção – Monitorização de sistemas – Detectar verdadeiros positivos – diminuir falsos positivos – Falível • Resposta – Minimização de danos – Analisar, Recuperar e Melhorar
  6. 6. Modelo para Garantia de Segurança
  7. 7. Propriedades de Segurança • Confidencialidade – Entidades tem acesso a recursos aos quais têm autorização – Controlo de acesso, Encriptação • Integridade – Modificação de dados apenas por entidades autorizadas – Comparação com versões anteriores, Hashing • Disponibilidade – Recursos disponíveis quando necessários – Limitar uso de recursos do sistema (prevenir Denial-of- Service)
  8. 8. Localização da Informação • Processamento – Memória – Protecção contra vazamento de radiação (monitor, CPU, bus de memória), Diferentes Espaços de Memória • Armazenamento – Discos rígidos – Hashing, Controlo de acesso • Transporte/Transmissão – Rede de dados, Tapes, pen drives – Encriptação
  9. 9. Processos de Sistema • Tecnologia – Mecanismos de autenticação, controlo de acesso, detecção de intrusão • Práticas e Políticas – Moldar comportamento humano • Educação – Conhecimento, Aceitação e Utilização
  10. 10. Machine Learning – Conceitos Básicos • Dados → Modelo • Objectivos – Previsão – Aumentar conhecimento sobre dados actuais • Exemplos – Reconhecer comportamentos – Detecção de intrusão – Criação de Políticas
  11. 11. O início: os Dados • Teclas carregadas • Logs HTTP • Logs de execução • Cabeçalhos de pacotes de rede • Sequências de comandos • Executáveis maliciosos • Informação geral sobre utilizadores
  12. 12. Tipos de dados • Processar dados em cru para: – Exemplos ou observações • Criação de classificações • Operações – Atributo calculado a partir de outros – Normalização – Discretização – Remoção de atributos irrelevantes
  13. 13. A ter em conta… • Um grande quantidade de dados nem sempre facilita a criação de modelos • Cada algoritmo tem os seus pressupostos e limitações (limitado a atributos numéricos ou categóricos, etc) • Custos dos atributos, exemplos e erros
  14. 14. Aprendizagem • Algoritmo de: – Aprendizagem – Performance • Tipo de problemas – Detecção: duas classes – Regressão: Predizer valores numéricos – Associações entre atributos – Análise do modelo criado
  15. 15. Algoritmos – Aspectos Gerais • Aprendizagem – Supervisionada – Não-supervisionada – clustering – Semi-supervisionada • Processamento – Batch – Stream • Concept Drift – comportamentos dependentes de tempo • Selecção de características • Ranking • Agregação
  16. 16. Os algoritmos • Nearest Neighbour • Probabilísticos – Naive Bayes – Kernel Density Estimation • Funções lineares – fronteira linear • Conjunto de decisão – Regras – Árvores • Regras de associação • Redes neuronais
  17. 17. Avaliação de Modelos • Hold-out – Conjuntos de Treino e Teste • Leave one out – classificar um exemplo de cada vez • Cross-validation • Medidas – Recall – Precision – F Measure
  18. 18. Avaliação II • Algoritmos tem pressupostos mas: • É impossível saber se à partida se o algoritmo vai se comportar bem ou não com os dados em tratamento • Logo, temos de avaliar o maior número de algoritmos
  19. 19. Últimas tendências • Métodos Ensemble – Vários algoritmos tomam uma decisão ao mesmo tempo – Unificar decisões • Aprendizagem de sequências – A, ok; B, ok; A->B, ANOMALIA – Intrusão -> sequência de comandos
  20. 20. Exemplos - Árvore
  21. 21. Clustering
  22. 22. Informações adicionais • www.kdnuggets.com • Software – Rapidminer – Free – Weka - Free – Clementine – Miner3d –R – SAS
  23. 23. Agentes • Sistemas computacionais autónomos que percepcionam o meio ambiente e agem sobre o mesmo • Agentes inteligentes – percepcionam, analisam, decidem e agem • Dialogam, negoceiam, coordenam
  24. 24. Propriedades • Reacção vs Deliberação • Proactividade, motivado por uma meta • Autista vs Social • Rígido vs Flexível, Adaptável • Colaborativo vs Competitivo vs Antagonista • Racional • Mobilidade • Evolutivo • Replicável
  25. 25. Agente deliberativo
  26. 26. Agente reactivo
  27. 27. Propriedades dos ambientes • Observável • Controlável • Previsível, Determinístico, Estocástico ou Caótico • Episódico • Estático vs Dinâmico • Discreto vs Contínuo • Aberto vs Fechado • Markovian vs não-Markovian
  28. 28. Modelos • Racional lógico – Acções baseadas em intenções e crenças. Ex: Sistemas de inferência • Racional económico – maximizar preferências • Social – cooperar, coordenar e fazer compromissos de modo a atingir objectivos comuns • Interativos – linguagem comum de interacção • Adaptáveis – Aprendizagem por interacção • Evolutivos – replicações que evoluem
  29. 29. Linguagens aplicadas • Implementação: Java, Lisp • Comunicação e Coordenação: KQML • Comportamentos e Leis do meio ambiente: xabsl • Representação de conhecimento: ontologias – Protegé • Especificação de agentes - JADE
  30. 30. Aplicações • Busca de informação proactiva e sensível ao contexto em ambientes heterogéneos • Suporte a decisão em ambientes heterogéneos • Manufactura distribuída • Comércio electrónico • Auto gestão de sistemas de comunicação, eléctricos ou de transporte
  31. 31. Aplicações • Computação móvel • Tratamento de mensagens • Ambientes de trabalho colaborativo • Monitorização de sistemas, detecção de intrusão e contra-medidas • Simulações de Comando e controle, militares • Interacções entre agentes com diferentes comportamentos (sociologia, psicologia, biologia, antropologia) • Simulações de ataques de rede ou cenários de ataque
  32. 32. Informações adicionais • http://www.fipa.org/ • http://jade.tilab.com/ • http://www.software-agent.eu/
  33. 33. Detecção de Intrusão • Aproximações usuais – Snort – Proventia – Enterasys • Assinaturas maliciosas no pacotes de rede • Paralelos aos antivirus • Internet Storm Center - http://isc.sans.org/
  34. 34. Porque usar data mining? • Alertas diários de intrusão: 850000 – Software de detecção: 99% falsos positivos http://www.internetworldstats.com/stats.htm
  35. 35. MITRE • www.mitre.org
  36. 36. Processamento • Objectivos – Diminuir alarmes falsos – Optimizar tempo do analista – Agregação por incidente, ordenação por gravidade
  37. 37. Soluções • Aprendizagem supervisionada de alarmes falsos – Interface web de classificação • Mapping attacks
  38. 38. Soluções • Base de dados de alertas – Criação de novas características além das dadas pelas fontes (facilita agregação) • Classificação de falsos alarmes com árvores de decisão – Overfitting – Iteracção
  39. 39. Soluções • Clustering – Usado a seguir à árvore – Grupos de alertas – Outliers: anomalias
  40. 40. Características Originais
  41. 41. Caracteríticas Calculadas
  42. 42. Características Calculadas
  43. 43. Características Calculadas Agregadas
  44. 44. Agentes e Detecção de Intrusão • Usar uma arquitectura de agentes • Tirar partido da escalabilidade e localidade • Monitorização distribuída da rede • Robustez • Capacidade de resposta
  45. 45. Exemplos • Agentes especializados • Agente central coordenador
  46. 46. Exemplos • Simulação ataque/defesa informático • Agentes móveis • Simular ataques distribuídos • Analisar vulnerabilidades de uma rede
  47. 47. Vantagens • Escalável – Podem-se replicar os agentes na máquinas que forem necessárias • Distribuição de processamento • Tomada de decisão central, utilizando feedback de todos os agentes • Bom para ataques de rede distribuídos
  48. 48. Conclusões • No fim o que queremos é: – Um sistema disponível mas seguro • Data mining e Machine Learning – Filtrar ruído: alertas falsos – Encontrar padrões: novas assinaturas para programas de detecção – Novas políticas: procedimentos e comportamentos – Adaptação – Tempo de resposta
  49. 49. Conclusões • Agentes – Ambientes heterogéneos – Agentes especialistas – Agentes coordenadores – Agentes móveis – Ambientes distribuídos – Trocas de conhecimentos – Robustez – Monitorização em grande escala – Simulação de cenários • Análise de vulnerabilidades • Teste de sistema
  50. 50. Conclusões • Agentes + Machine Learning – Agentes inteligentes – Autonomia de acção – Aprendizagem – Criação e replicação de conhecimento – Ambientes mais seguros mas também disponíveis – Pouca intervenção humana – Evolução – Assimilação de novas situações

×