Segurança, Data Mining e
        Agentes
Apresentação - Tópicos
•   Segurança
•   Machine Learning e Data Mining
•   Agentes
•   Exemplos reais
•   Fontes
    – Ma...
O sistema mais seguro do mundo
Ciclo da Segurança
                                  • Falha principal de
                                    segurança: a...
Processo de segurança
• Protecção
  – Implementar Políticas de Segurança
  – Falível
• Detecção
  – Monitorização de siste...
Modelo para Garantia de Segurança
Propriedades de Segurança
• Confidencialidade
   – Entidades tem acesso a recursos aos quais têm autorização
   – Controlo...
Localização da Informação
• Processamento
  – Memória
  – Protecção contra vazamento de radiação (monitor,
    CPU, bus de...
Processos de Sistema
• Tecnologia
  – Mecanismos de autenticação, controlo de acesso,
    detecção de intrusão
• Práticas ...
Machine Learning – Conceitos Básicos
• Dados → Modelo
• Objectivos
  – Previsão
  – Aumentar conhecimento sobre dados actu...
O início: os Dados
•   Teclas carregadas
•   Logs HTTP
•   Logs de execução
•   Cabeçalhos de pacotes de rede
•   Sequênci...
Tipos de dados
• Processar dados em cru para:
  – Exemplos ou observações
• Criação de classificações
• Operações
  – Atri...
A ter em conta…
• Um grande quantidade de dados nem sempre
  facilita a criação de modelos
• Cada algoritmo tem os seus pr...
Aprendizagem
• Algoritmo de:
  – Aprendizagem
  – Performance
• Tipo de problemas
  – Detecção: duas classes
  – Regressão...
Algoritmos – Aspectos Gerais
• Aprendizagem
    – Supervisionada
    – Não-supervisionada – clustering
    – Semi-supervis...
Os algoritmos
• Nearest Neighbour
• Probabilísticos
   – Naive Bayes
   – Kernel Density Estimation
• Funções lineares – f...
Avaliação de Modelos
• Hold-out – Conjuntos de Treino e Teste
• Leave one out – classificar um exemplo de
  cada vez
• Cro...
Avaliação II
• Algoritmos tem pressupostos mas:
• É impossível saber se à partida se o algoritmo
  vai se comportar bem ou...
Últimas tendências
• Métodos Ensemble
  – Vários algoritmos tomam uma decisão ao mesmo
    tempo
  – Unificar decisões
• A...
Exemplos - Árvore
Clustering
Informações adicionais
• www.kdnuggets.com
• Software
  – Rapidminer – Free
  – Weka - Free
  – Clementine
  – Miner3d
  –...
Agentes
• Sistemas computacionais autónomos que
  percepcionam o meio ambiente e agem sobre
  o mesmo
• Agentes inteligent...
Propriedades
•   Reacção vs Deliberação
•   Proactividade, motivado por uma meta
•   Autista vs Social
•   Rígido vs Flexí...
Agente deliberativo
Agente reactivo
Propriedades dos ambientes
•   Observável
•   Controlável
•   Previsível, Determinístico, Estocástico ou Caótico
•   Episó...
Modelos
• Racional lógico – Acções baseadas em intenções e
  crenças. Ex: Sistemas de inferência
• Racional económico – ma...
Linguagens aplicadas
• Implementação: Java, Lisp
• Comunicação e Coordenação: KQML
• Comportamentos e Leis do meio ambient...
Aplicações
• Busca de informação proactiva e sensível ao
  contexto em ambientes heterogéneos
• Suporte a decisão em ambie...
Aplicações
• Computação móvel
• Tratamento de mensagens
• Ambientes de trabalho colaborativo
• Monitorização de sistemas, ...
Informações adicionais
• http://www.fipa.org/
• http://jade.tilab.com/
• http://www.software-agent.eu/
Detecção de Intrusão
• Aproximações usuais
  – Snort
  – Proventia
  – Enterasys
• Assinaturas maliciosas no pacotes de re...
Porque usar data mining?
• Alertas diários de intrusão: 850000
  – Software de detecção: 99% falsos positivos




        ...
MITRE
• www.mitre.org
Processamento
• Objectivos
  – Diminuir alarmes falsos
  – Optimizar tempo do analista
  – Agregação por incidente, ordena...
Soluções
• Aprendizagem supervisionada de alarmes
  falsos
  – Interface web de classificação
• Mapping attacks
Soluções
• Base de dados de alertas
  – Criação de novas características além das dadas
    pelas fontes (facilita agregaç...
Soluções
• Clustering
  – Usado a seguir à árvore
  – Grupos de alertas
  – Outliers: anomalias
Características Originais
Caracteríticas Calculadas
Características Calculadas
Características Calculadas Agregadas
Agentes e Detecção de Intrusão
•   Usar uma arquitectura de agentes
•   Tirar partido da escalabilidade e localidade
•   M...
Exemplos
• Agentes especializados
• Agente central coordenador
Exemplos
•   Simulação ataque/defesa informático
•   Agentes móveis
•   Simular ataques distribuídos
•   Analisar vulnerab...
Vantagens
• Escalável
  – Podem-se replicar os agentes na máquinas que
    forem necessárias
• Distribuição de processamen...
Conclusões
• No fim o que queremos é:
  – Um sistema disponível mas seguro
• Data mining e Machine Learning
  – Filtrar ru...
Conclusões
• Agentes
  –   Ambientes heterogéneos
  –   Agentes especialistas
  –   Agentes coordenadores
  –   Agentes mó...
Conclusões
• Agentes + Machine Learning
  – Agentes inteligentes
  – Autonomia de acção
  – Aprendizagem
  – Criação e rep...
Próximos SlideShares
Carregando em…5
×

Rene Seguranca Ai Agents

588 visualizações

Publicada em

EVENTO CIIWA:
Infra-estruturas de Simulação e Segurança Inteligente
(Mestre Bruno René - Holos S.A.)
http://www.ciiwa.pt

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
588
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Rene Seguranca Ai Agents

  1. 1. Segurança, Data Mining e Agentes
  2. 2. Apresentação - Tópicos • Segurança • Machine Learning e Data Mining • Agentes • Exemplos reais • Fontes – Machine Learning and Data Mining for Computer Security - Methods and Applications – Springer – Intelligent Agents and Multi Agent Systems – IEEE CEC 2009
  3. 3. O sistema mais seguro do mundo
  4. 4. Ciclo da Segurança • Falha principal de segurança: as pessoas Responder Proteger Detectar
  5. 5. Processo de segurança • Protecção – Implementar Políticas de Segurança – Falível • Detecção – Monitorização de sistemas – Detectar verdadeiros positivos – diminuir falsos positivos – Falível • Resposta – Minimização de danos – Analisar, Recuperar e Melhorar
  6. 6. Modelo para Garantia de Segurança
  7. 7. Propriedades de Segurança • Confidencialidade – Entidades tem acesso a recursos aos quais têm autorização – Controlo de acesso, Encriptação • Integridade – Modificação de dados apenas por entidades autorizadas – Comparação com versões anteriores, Hashing • Disponibilidade – Recursos disponíveis quando necessários – Limitar uso de recursos do sistema (prevenir Denial-of- Service)
  8. 8. Localização da Informação • Processamento – Memória – Protecção contra vazamento de radiação (monitor, CPU, bus de memória), Diferentes Espaços de Memória • Armazenamento – Discos rígidos – Hashing, Controlo de acesso • Transporte/Transmissão – Rede de dados, Tapes, pen drives – Encriptação
  9. 9. Processos de Sistema • Tecnologia – Mecanismos de autenticação, controlo de acesso, detecção de intrusão • Práticas e Políticas – Moldar comportamento humano • Educação – Conhecimento, Aceitação e Utilização
  10. 10. Machine Learning – Conceitos Básicos • Dados → Modelo • Objectivos – Previsão – Aumentar conhecimento sobre dados actuais • Exemplos – Reconhecer comportamentos – Detecção de intrusão – Criação de Políticas
  11. 11. O início: os Dados • Teclas carregadas • Logs HTTP • Logs de execução • Cabeçalhos de pacotes de rede • Sequências de comandos • Executáveis maliciosos • Informação geral sobre utilizadores
  12. 12. Tipos de dados • Processar dados em cru para: – Exemplos ou observações • Criação de classificações • Operações – Atributo calculado a partir de outros – Normalização – Discretização – Remoção de atributos irrelevantes
  13. 13. A ter em conta… • Um grande quantidade de dados nem sempre facilita a criação de modelos • Cada algoritmo tem os seus pressupostos e limitações (limitado a atributos numéricos ou categóricos, etc) • Custos dos atributos, exemplos e erros
  14. 14. Aprendizagem • Algoritmo de: – Aprendizagem – Performance • Tipo de problemas – Detecção: duas classes – Regressão: Predizer valores numéricos – Associações entre atributos – Análise do modelo criado
  15. 15. Algoritmos – Aspectos Gerais • Aprendizagem – Supervisionada – Não-supervisionada – clustering – Semi-supervisionada • Processamento – Batch – Stream • Concept Drift – comportamentos dependentes de tempo • Selecção de características • Ranking • Agregação
  16. 16. Os algoritmos • Nearest Neighbour • Probabilísticos – Naive Bayes – Kernel Density Estimation • Funções lineares – fronteira linear • Conjunto de decisão – Regras – Árvores • Regras de associação • Redes neuronais
  17. 17. Avaliação de Modelos • Hold-out – Conjuntos de Treino e Teste • Leave one out – classificar um exemplo de cada vez • Cross-validation • Medidas – Recall – Precision – F Measure
  18. 18. Avaliação II • Algoritmos tem pressupostos mas: • É impossível saber se à partida se o algoritmo vai se comportar bem ou não com os dados em tratamento • Logo, temos de avaliar o maior número de algoritmos
  19. 19. Últimas tendências • Métodos Ensemble – Vários algoritmos tomam uma decisão ao mesmo tempo – Unificar decisões • Aprendizagem de sequências – A, ok; B, ok; A->B, ANOMALIA – Intrusão -> sequência de comandos
  20. 20. Exemplos - Árvore
  21. 21. Clustering
  22. 22. Informações adicionais • www.kdnuggets.com • Software – Rapidminer – Free – Weka - Free – Clementine – Miner3d –R – SAS
  23. 23. Agentes • Sistemas computacionais autónomos que percepcionam o meio ambiente e agem sobre o mesmo • Agentes inteligentes – percepcionam, analisam, decidem e agem • Dialogam, negoceiam, coordenam
  24. 24. Propriedades • Reacção vs Deliberação • Proactividade, motivado por uma meta • Autista vs Social • Rígido vs Flexível, Adaptável • Colaborativo vs Competitivo vs Antagonista • Racional • Mobilidade • Evolutivo • Replicável
  25. 25. Agente deliberativo
  26. 26. Agente reactivo
  27. 27. Propriedades dos ambientes • Observável • Controlável • Previsível, Determinístico, Estocástico ou Caótico • Episódico • Estático vs Dinâmico • Discreto vs Contínuo • Aberto vs Fechado • Markovian vs não-Markovian
  28. 28. Modelos • Racional lógico – Acções baseadas em intenções e crenças. Ex: Sistemas de inferência • Racional económico – maximizar preferências • Social – cooperar, coordenar e fazer compromissos de modo a atingir objectivos comuns • Interativos – linguagem comum de interacção • Adaptáveis – Aprendizagem por interacção • Evolutivos – replicações que evoluem
  29. 29. Linguagens aplicadas • Implementação: Java, Lisp • Comunicação e Coordenação: KQML • Comportamentos e Leis do meio ambiente: xabsl • Representação de conhecimento: ontologias – Protegé • Especificação de agentes - JADE
  30. 30. Aplicações • Busca de informação proactiva e sensível ao contexto em ambientes heterogéneos • Suporte a decisão em ambientes heterogéneos • Manufactura distribuída • Comércio electrónico • Auto gestão de sistemas de comunicação, eléctricos ou de transporte
  31. 31. Aplicações • Computação móvel • Tratamento de mensagens • Ambientes de trabalho colaborativo • Monitorização de sistemas, detecção de intrusão e contra-medidas • Simulações de Comando e controle, militares • Interacções entre agentes com diferentes comportamentos (sociologia, psicologia, biologia, antropologia) • Simulações de ataques de rede ou cenários de ataque
  32. 32. Informações adicionais • http://www.fipa.org/ • http://jade.tilab.com/ • http://www.software-agent.eu/
  33. 33. Detecção de Intrusão • Aproximações usuais – Snort – Proventia – Enterasys • Assinaturas maliciosas no pacotes de rede • Paralelos aos antivirus • Internet Storm Center - http://isc.sans.org/
  34. 34. Porque usar data mining? • Alertas diários de intrusão: 850000 – Software de detecção: 99% falsos positivos http://www.internetworldstats.com/stats.htm
  35. 35. MITRE • www.mitre.org
  36. 36. Processamento • Objectivos – Diminuir alarmes falsos – Optimizar tempo do analista – Agregação por incidente, ordenação por gravidade
  37. 37. Soluções • Aprendizagem supervisionada de alarmes falsos – Interface web de classificação • Mapping attacks
  38. 38. Soluções • Base de dados de alertas – Criação de novas características além das dadas pelas fontes (facilita agregação) • Classificação de falsos alarmes com árvores de decisão – Overfitting – Iteracção
  39. 39. Soluções • Clustering – Usado a seguir à árvore – Grupos de alertas – Outliers: anomalias
  40. 40. Características Originais
  41. 41. Caracteríticas Calculadas
  42. 42. Características Calculadas
  43. 43. Características Calculadas Agregadas
  44. 44. Agentes e Detecção de Intrusão • Usar uma arquitectura de agentes • Tirar partido da escalabilidade e localidade • Monitorização distribuída da rede • Robustez • Capacidade de resposta
  45. 45. Exemplos • Agentes especializados • Agente central coordenador
  46. 46. Exemplos • Simulação ataque/defesa informático • Agentes móveis • Simular ataques distribuídos • Analisar vulnerabilidades de uma rede
  47. 47. Vantagens • Escalável – Podem-se replicar os agentes na máquinas que forem necessárias • Distribuição de processamento • Tomada de decisão central, utilizando feedback de todos os agentes • Bom para ataques de rede distribuídos
  48. 48. Conclusões • No fim o que queremos é: – Um sistema disponível mas seguro • Data mining e Machine Learning – Filtrar ruído: alertas falsos – Encontrar padrões: novas assinaturas para programas de detecção – Novas políticas: procedimentos e comportamentos – Adaptação – Tempo de resposta
  49. 49. Conclusões • Agentes – Ambientes heterogéneos – Agentes especialistas – Agentes coordenadores – Agentes móveis – Ambientes distribuídos – Trocas de conhecimentos – Robustez – Monitorização em grande escala – Simulação de cenários • Análise de vulnerabilidades • Teste de sistema
  50. 50. Conclusões • Agentes + Machine Learning – Agentes inteligentes – Autonomia de acção – Aprendizagem – Criação e replicação de conhecimento – Ambientes mais seguros mas também disponíveis – Pouca intervenção humana – Evolução – Assimilação de novas situações

×