Embed Size (px)
Citation preview
Gadget: una propuesta de Sistema de Detección de Intrusos
Ing. Leandro Hernández Pereda1, Ing. Iren Lorenzo Fonseca, MSc2, Dr. Rogelio Lau Fernández3
1HavaSoft
Ministerio del Azúcar. Ciudad Habana, Cuba
2,3 Centro de Estudios de Ingeniería y Sistemas Instituto Superior Politécnico José Antonio Echevarría.
Ciudad Habana, Cuba {ilorenzo, lau}@ceis.cujae.edu.cu
Resumen. Los entornos de las redes de computadoras actuales deben estar dotados de medios que permitan fortalecer las políticas de seguridad de los datos y de los sistemas que residen en su interior. Uno de esos medios son los Sistemas de Detección de Intrusos (IDS), diseñados con la intención de monitorizar los eventos que ocurren en un sistema o red, para analizarlos en busca amenazas a la seguridad.
Por otra parte, existe bastante consenso en que las investigaciones en tecnologías de detección de intrusos se dirigen en la actualidad hacia la aplicación de técnicas inteligentes para la construcción del motor de análisis, entre las que destacan las Redes Neuronales Artificiales (RNA). El inconveniente fundamental de este enfoque es el aumento considerable de las dimensiones de la RNA y el costo computacional asociado.
En este artículo se presenta una propuesta de IDS llamada Gadget que implementa un método fundamentado en la aplicación del algoritmo de reducción de características Análisis de Componentes Principales (PCA), para disminuir las dimensiones del vector de entrada y mantener la eficiencia del clasificador. Palabras Claves. IDS, PCA, RNA, Seguridad.
I. INTRODUCCIÓN
En la sociedad actual es de gran importancia el papel que juegan las tecnologías de intercambio de información. La mayoría de las ramas sociales, económicas y científicas han ampliado su campo abriéndose cada vez más al mundo cibernético, siendo las redes de computadoras la base principal de estas tecnologías. Debido a su importancia, las redes de computadoras son víctima de constantes ataques informáticos,
dirigidos por personas con altos conocimientos en esta área con un interés lucrativo [1].
A la par que se desarrollan métodos sofisticados para explotar las vulnerabilidades de los sistemas o equipos que componen la red, se crean nuevas herramientas y avanzados mecanismos para preservar la confidencialidad, disponibilidad e integridad de la información contenida en estos. Una de las políticas a implementar para tal objetivo es la implantación de IDS (Intrusion Detection Systems - Sistemas de Detección de Intrusiones) [2].
Sistemas de este tipo están siendo ampliamente utilizados para la seguridad de redes, principalmente a través de la técnica de uso indebido. Para la confiabilidad de sistemas de este tipo, se precisa de una base de ataques bien actualizada, cosa que se vuelve prácticamente imposible en el mundo actual, dada la rapidez con que aparecen nuevas formas de intrusión.
También existe otro grupo de IDS que basan su detección de ataques en la definición de un comportamiento normal, considerando como intrusiones a todos aquellos comportamientos que difieran del considerado normal, basándose en métodos estadísticos y técnicas de Inteligencia Artificial.
Entre las técnicas de Inteligencia Artificial, las Redes Neuronales han comenzado a ser una alternativa a tener muy en cuenta para la detección de intrusos, las cuales han obtenido algunos resultados de importancia. Sin embargo, aún su empleo no es totalmente aceptado debido a que la selección de los datos de entrada se ha convertido en un problema de importancia. Es justamente en este aspecto donde los
CCIA’2008 2
algoritmos de reducción de características como el PCA pueden jugar un papel relevante.
Por tanto, debido a la falta de un IDS que utilice éstas técnicas, se realizó, en cooperación con la universidad de Alicante, un estudió y se desarrolló una propuesta de IDS denominada Gadget.
II. SISTEMAS DE DETECCIÓN DE INTRUSOS Las herramientas IDS forman parte de la política de
seguridad del entorno de software identificada como mecanismo de detección. Básicamente su objetivo consiste en monitorizar y detectar los eventos ocurridos en un determinado sistema o red informática en busca de intentos que comprometan la seguridad de dicho sistema, los cuales se denominan intrusiones.
Una intrusión se refiere a una actividad no autorizada sobre una computadora o red que va dirigida a poner en riesgo la integridad, confidencialidad o disponibilidad de un recurso [3]. Luego, un IDS es una herramienta que intenta detectar, identificar y alertar sobre las intrusiones ocurridas en un sistema o en una red.
Los IDS se clasifican de acuerdo a diferentes criterios, tales como: la fuente de información que utilizan para detectar la intrusión y el tipo de detección de intrusión que realizan una vez recopilada la información, tal y como se muestra en la figura 1.
Figura 1. Clasificación de los IDS. De acuerdo a la fuentes de información utilizada, los IDS se
clasifican en IDS basados en host (HIDS siglas en Inglés de Host Intruder Detection Systems) y IDS basados en red (NIDS siglas en Inglés de Network Intruder Detection Systems). Los HIDS funcionan de manera local en un determinado equipo. Estos utilizan como fuente de información los datos generados por la computadora en la que operan, especialmente a nivel de sistema operativo: archivos de auditoría del sistema, archivos logs o cualquier otro que el usuario desee proteger [4]. Por su parte, los NIDS basan su funcionamiento en revisar los paquetes TCP/IP que circulan por la red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella [5]. En este trabajo se describe la implementación de un NIDS.
Los IDS se diferencian además, teniendo en cuenta la estrategia empleada para el análisis de la información. Estas estrategias dividen a los IDS en dos grandes grupos: IDS de detección por uso indebido [6] e IDS de detección de anomalías [7]. Los primeros, cuentan con el conocimiento
básico de las secuencias y/o actividades, que hace que una determinada acción intrusiva, pueda detectarse como un ataque. Contrario a los de uso indebido, los IDS de anomalías basan su estrategia en definir un comportamiento normal y alertar toda acción detectada que se aleje de este.
Con el fin de aprovechar al máximo la ventajas que brindan, así como para reducir las problemáticas que las acompañan, se desarrolló una versión híbrida de estas estrategias, desarrollándose un clasificador que precisa para su entrenamiento tanto conductas normales como intrusivas.. Para este fin se emplean técnicas de inteligencia artificial, que apoyándose en su heurística, alcanzan satisfactorios resultados en este tipo de problemas.
III. TÉCNICAS UTILIZADAS Las Redes Neuronales Artificiales (RNA) es la técnica de
inteligencia artificial escogida debido a su alto poder de clasificación frente a muestras desconocidas. En apoyo a esta se emplea el Análisis de Componentes Principales (PCA) como algoritmo de reducción de características para las entradas de la RNA.
A. Redes Neuronales Artificiales
Las RNA son una técnica de inteligencia artificial, las cuales tratan de captar la esencia de procesos biológicos y aplicarlos a nuevos modelos de computación. Una RNA está formada por un gran número de elementos de cómputo lineales y no lineales (neuronas) complejamente interrelacionados y organizados en capas [8].
Una Neurona Artificial es un modelo simplificado de neurona biológica, donde su interconexión con otras decide el flujo de información en la red. Estas definen además, el comportamiento global de la RNA, apoyándose en los valores de peso y las funciones de salida de cada una.
En la figura 2, se muestra la estructura de una neurona típica de una red neuronal.
Figura 2. Estructura de una neurona típica de una red neuronal. Una de las principales ventajas de las RNA se debe
precisamente a su estructura distribuida masivamente paralela y la habilidad de aprender y generalizar, están capacitadas para resolver problemas complejos. A su vez, son capaces de procesar grandes cantidades de datos y según su diseño hacer predicciones con buen nivel de precisión. Su forma de aprendizaje se produce a través de patrones de entrenamiento que le permiten determinar el comportamiento del sistema.
Las RNA son una de las técnicas que han presentado amplias ventajas en su aplicación para la detección de intrusos
CCIA’2008 3
[9]. Estas han demostrado ser potentes clasificadores con grandes capacidades de generalización y aprendizaje que presentan características que hacen muy factible su aplicación en los IDS. En la tabla I se muestran las principales ventajas que aportan las RNA como clasificadores en los IDS.
En los trabajos realizados al respecto del tema de IDS que emplean RNA como motor de detección [10]-[11]-[12]-[13]-[14]-[15]-[16]-[17]-[18], se busca una alternativa a los sistemas expertos, con el fin de lograr mayor flexibilidad y adaptación a los frecuentes cambios ocurridos en el entorno. El aspecto más importante consiste en lograr la capacidad de detectar instancias de ataques de los cuales no se tiene información. En estos aspectos las RNA brindan grandes beneficios además de su capacidad de analizar datos incompletos o distorsionados [12].
El tiempo de entrenamiento y clasificación de las RNA es una de las deficiencias que impide el uso estandarizado de este tipo de IDS entre los administradores de redes de computadoras. Uno de los factores influyentes en este indicador es el número de características de entradas que son tomadas en cuenta para la clasificación: si se toma un número grande de estas, se obtiene un clasificador de amplia capacidad de detección pero lento en cuanto a entrenamiento y clasificación; por el contrario si el número de características disminuye, también disminuyen los tiempos de entrenamiento y clasificación, pero la capacidad de detección decae. Este problema puede ser resuelto con la aplicación de un algoritmo de reducción de características como el Análisis de Componentes Principales (PCA). De esta manera se podrán utilizar todas las características importantes de los paquetes TCP/IP para la clasificación y luego reducirlas eliminando colinealidad y ruido. Esto permitiría lograr un mayor poder de generalización en la clasificación (eficacia) sin impedir el funcionamiento rápido del clasificador (eficiencia) [19].
TABLA I
VENTAJAS DE LAS RNA PARA LOS IDS
B. Análisis de Componentes Principales El PCA es un método matemático que permite hacer un
análisis exploratorio de los datos y disminuir la cantidad de variables que se utilizan para expresar la información. Este puede ser utilizado en conjuntos de datos que contienen información para un número pequeño de variables pero es realmente útil cuando el número de variables es grande. El objetivo de PCA es descubrir nuevas variables llamadas Componentes Principales (PC, del inglés Principal Components), las cuales apuntan a la mayor variabilidad en los datos. Esto permite describir la información con una cantidad de variables considerablemente menor que la original.
PCA es un soporte principal para el análisis de datos modernos, una caja negra ampliamente usada en todo tipo de análisis, debido a que es un método simple, no paramétrico, para extraer información relevante de conjuntos de datos difusos.
Este método calcula la base más significativa para re-expresar un conjunto de datos, esperando que esta elimine la correlacionalidad y revele información útil oculta. Por tanto, PCA se basa en determinar qué dimensiones son importantes y cuáles son redundantes en los datos.
Cada muestra en los datos es un vector en un espacio m-dimensional, donde m es el número de variables utilizadas, es decir, cada muestra es un vector que se encuentra en un espacio vectorial de dimensión m, expandido por una base ortonormal. Todos los vectores de mediciones en este espacio son combinaciones lineales del conjunto de vectores unitarios de la base. Una elección simple e intuitiva de una base B, es la matriz de identidad I.
donde cada fila es un vector base bi, con m componentes. Se puede declarar ahora con más precisión que PCA busca
una combinación lineal de la base original, que re-exprese mejor el conjunto de datos. Para ello se basa en la linealidad logrando simplificar el problema. Con este presupuesto, PCA está ahora limitado a re-expresar los datos como combinación lineal de los vectores de la base.
Sean X y Y matrices relacionadas por una transformación lineal P, siendo X el conjunto de datos originalmente archivados y Y la re-representación de ese conjunto de datos, puede expresarse su relación a través de la ecuación siguiente:
Se define además lo siguiente: • pi son las filas de P. • xi son las columnas de X. • yi son las columnas de Y.
La ecuación anterior representa un cambio de base y puede tener muchas interpretaciones
• P es una matriz que transforma X en Y. • Geométricamente, P es una rotación que nuevamente
CCIA’2008 4
transforma X en Y. • Las filas de P, {p1,…, pm} forman un nuevo
conjunto de vectores base para expresar las columnas de X.
Esta última interpretación no es obvia, pero puede ser vista escribiendo explícitamente el producto interno PX.
Puede notarse la forma de cada columna de Y, las cuales
son el producto interno de xi con su correspondiente fila en P.
En otras palabras, yi es una proyección en la base formada
por {p1, …, pm}. Por tanto las filas de P constituyen un nuevo conjunto de vectores que forman una base para representar las columnas de X.
Con la aplicación de la linealidad, el problema se reduce a encontrar el cambio de base apropiado. Los vectores fila {p1,…, pm} en la transformación serán las PC de X. Una buena elección de la base P para re-expresar X sería aquella que arrojara como resultado un grupo de datos donde se disminuya la redundancia. Esta se presenta cuando hay repetición de la información, es decir, alguna de las variables recogen la misma información. Cuando hay redundancia, las variables se encuentran correlacionadas, esto significa que por lo general unas pueden escribirse como combinaciones lineales de otras. Esta correlación puede observarse realizando gráficos de una variable contra otra. Cuando en un gráfico de variable contra variable, los datos se agrupan formando una línea recta, podemos decir que esas variables están correlacionadas; cuando por el contrario forman una nube que tiende a un círculo, se puede decir que esas variables no están correlacionadas [20].
En el modelo PCA obtenido en [19] y sobre el que se apoya el desarrollo de GADGET, se obtuvo una matriz de transformación de dimensión 419X20. Con esta se logró reducir el vector de entrada de 419 variables originales a 20, logrando un poder de expresión de los datos originales por encima del 95 %.
IV. DESARROLLO DEL SISTEMA GADGET El sistema Gadget es la alternativa de IDS desarrollada. Este
IDS pone en práctica las técnicas antes mencionadas, empleando un modelo PCA para la reducción de los datos TCP/IP capturados y luego utilizando este patrón reducido de datos como entrada para el clasificador neuronal.
Para el desarrollo del sistema Gadget se identificaron los cuatro módulos principales para su funcionamiento. Estos se muestran de manera gráfica en la Figura 3.
Figura 3. Módulos del sistema Gadget. El sistema integró los módulos implementados en Borland
C++, a través de una interfaz amigable que permite especificar por parte del usuario los parámetros de importancia para la detección (Figura 4 y 5)
Figura 4. Interfaz principal de Gadget
CCIA’2008 5
Figura 5. Interfaz de Configuración de Gadget A continuación se describirá de manera general las
características principales de funcionamiento e implementación de cada uno de estos módulos.
A. Módulo de Detección Su responsabilidad radica en el cumplimiento de la principal
función del sistema, o sea, es el encargado de capturar, reducir y clasificar los paquetes de red para luego almacenar los resultados obtenidos en el proceso e informar sobre aquellos que fueron reconocidos como intrusiones.
Para la implementación de la captura del tráfico TCP/IP circulante por la red, se empleó el núcleo operativo del sniffer Ethereal [21], debido a sus cualidades de ser una herramienta potente y eficiente para este objetivo, además de ser software libre. Básicamente el sistema Gadget ejecuta instancias de este núcleo, ordenándole la captura de paquetes de TCP/IP desde una interfaz red disponible, obteniéndose de esta manera ficheros en formato tcpdump con los datos capturados.
A los datos obtenidos en la captura se le aplica PCA logrando un nuevo modelo reducido de las características de los paquetes. Para ello se realiza una operación algebraica de multiplicación entre matrices. La primera, es la matriz PCA (matriz P) con dimensiones de 20 componentes principales obtenidas a partir del entrenamiento del modelo PCA, por 419 datos tenidos en cuenta para el análisis de los paquetes. La segunda, es la matriz de captura (matriz X) con dimensiones de 419 datos tenidos en cuenta para el análisis de los paquetes, por la cantidad de paquetes capturados. De esta operación se obtiene una nueva matriz resultado (matriz Y), con dimensiones de 20 nuevos datos re-expresados por la cantidad de paquetes de red analizados, logrando un patrón de datos TCP/IP notablemente reducido. Como se observa en la ecuación:
A continuación, el proceso de clasificación de los paquetes
es realizado utilizando estos nuevos datos como entrada para la RNA entrenada. Debido a la complejidad del funcionamiento interno del clasificador neuronal, éste actúa como una caja negra obteniéndose como resultado de la operación un valor limitado en un rango entre 0 y 1. De acuerdo al entrenamiento realizado a la RNA se consideran los valores más cercanos a 1 como ataques y los más cercanos a 0 como tráfico normal. El entrenamiento de la RNA perceptrón multicapas que fue utilizada en el sistema, se realizó utilizando Matlab [22].
Por último, los datos originales de aquellos paquetes que fueron detectados como intrusiones por el sistema, quedarán registrados para un posterior análisis y además se le notifica al usuario la detección del mismo por diferentes vías.
De esta forma se puede observar en la figura 6 las funcionalidades principales del núcleo del IDS. Estas se
realizan de forma secuencial e iterativa, por lo que fue implementada como proceso del sistema operativo.
B. Módulo de Análisis A través del módulo de análisis se pueden obtener reportes
estadísticos del tráfico normal o intrusivo. Este está implementado sobre plataforma Web para brindar acceso desde cualquier estación al servidor de base de datos contenedor de los resultados de clasificación.
Figura 6. Principales funcionalidades del Módulo de detección.
C. Módulos de entrenamiento
Los módulos de entrenamiento RNA y PCA, tienen como objetivo el entrenamiento de los modelos de RNA y PCA respectivamente, utilizando el registro de intrusiones detectadas. Aunque el entrenamiento de estos modelos es imprescindible para el funcionamiento del módulo de detección, para esta primera versión del sistema solamente fueron modeladas hasta el nivel de captura de requisitos y en consecuencia se utilizó una RNA y un modelo PCA que fueron entrenados previamente en MatLab.
V. APLICACIÓN DEL SISTEMA Gadget constituye una herramienta de gran importancia en el tema de la seguridad en redes de computadoras. Esto tiene sus causas en diversos factores, como son:
• Aumenta la experiencia ya que logra reunir un amplio conocimiento acerca de los paquetes intrusivos y normales en los pesos de la RNA.
• Elimina algunas de las limitantes de los IDS anteriores ya que disminuye considerablemente el tiempo de entrenamiento y clasificación.
• No necesita actualización constante para un lograr un funcionamiento eficaz.
• Permite detectar tipos de ataques desconocidos.
CCIA’2008 6
Todo lo anterior demuestra los grandes beneficios aportados por esta herramienta en el campo de la seguridad. Gadget, además de constituir un apoyo considerable para el trabajo de los administradores de redes, contribuye en la protección de redes y aplicaciones que pueden ser de altos costos (redes bancarias, tiendas virtuales, aplicaciones médicas), donde su empleo podría ser de un valor incalculable en la prevención de fallos que significan grandes pérdidas financieras. El sistema se encuentra actualmente en fase de prueba, en la cual ha demostrado resultado favorables. Para la evaluación de la eficiencia y eficacia de la detección se ha utilizado Nessus [23] como batería de ataques, con el objetivo de obtener paquetes intrusivos en un entorno controlado. Además se han comenzado a realizar pruebas con paquetes de DARPA [24] por ser la base de datos de paquetes TCP/IP que es utilizada como estándar en el mundo para la evaluación de este tipo de sistemas
VI. CONCLUSIONES Y TRABAJO FUTURO Gadget ha sido implementado en su primera versión de
manera satisfactoria. En estos momentos se encuentra en fase de prueba y se trabaja la mejora y optimización del método de detección. Para ello se lleva a cabo un estudio en cooperación con la Universidad de Alicante en España cuyo objetivo es dotar al sistema de un comportamiento dinámico en el proceso de clasificación y entrenamiento.
Además se planifica también, la implementación de los módulos de entrenamiento RNA y PCA respectivamente, para su integración en el sistema.
REFERENCIAS [1] IBM Internet Securoty Systems, http://www.iss.net/, 2007 [2] BALUJA, W. “Acercamiento a los sistemas detectores de intrusos”.
Telem@tica Revista Digital de las Tecnologías de la Información y las Comunicaciones, ISSN: 1729-3804, 2001
[3] DUQUE, N. “Inteligencia Artificial y Seguridad en Cómputo”. Seguridad en Cómputo e Inteligencia Artificial, Universidad Nacional de Colombia, pp 22-42, Colombia 2005.
[4] KRUEGEL, C; TOTH, T; KIRDA, E. “Service Specific Anomaly Detection for Network Intrusion Detection”. Simposio de Computación Aplicada, España, Marzo 2002
[5] MUKKAMALA, S; et al. “Designing Intrusion Detection Systems: Architectures, Challenges and Perspectives”. Department of Computer Science, New Mexico Tech, USA, 2003.
[6] MCHUGH, J; et al. “The role of Intrusion Detection Systems”. IEEE Software 0740-7459/00, Septiembre/Octubre 2000.
[7] BALEPIN, I; et al. “Using Specification-Based Intrusion Detection for Automated Response”. Web proceedings of the Sixth International Workshop on Recent Advances in Intrusion Detection, Pittsburgh, 2003.
[8] FREEMAN, J; SKAPURA, D.”Neural Networks. Algorithms, applications, and Programming Techniques”. Publicación Addison-Wesley, ISBN: 0-201-51376-5, 1991.
[9] ZURUTUSA, U “Revisión del estado actual de la investigación en el uso de data mining para la detección de intrusiones”. Escuela Politécnica Superior de Mondragón, Departamento. Informática, 2005.
[10] RYAN, Jake; LIN, Meng-Jang; Risto, MIIKKULAINEN. “Intrusion Detection with Neural Networks”, Departamento de Ciencias de la Computación, Universidad de Texas, Estados Unidos, 1998.
[11] MAURO, A. “Adaptive Intrusion Detection System Using Neural Networks”. 2do Congreso Iberoamericano de Seguridad Informática, Universidad de Sao Pablo, Brasil, 2002.
[12] CHEBROLUA, S; ABRAHAMA, A; THOMASA J. “Feature deduction and ensemble design of intrusion detection systems”. Computers & Security, 2004.
[13] MEJÍA, J. “Sistema de detección de intrusos en redes de comunicaciones utilizando redes neuronales”. Tesis Profesional, Universidad de las América, Puebla, Escuela de Ingeniería, 2004.
[14] TJADEN, B; et al. “INBOUNDS: The Integrated Network-Based Ohio University Network Detective Service”. School Of Electrical Engineering and Computer Science, Ohio University Athens, Estados Unidos, 2000.
[15] PEREZ, C; BRITTO, J; ISAZA, G. “Aplicación de redes neuronales para la detección de intrusos en redes y sistemas de información”. Scientia et Técnica, No 27, .pp. 225-230. ISSN 0122-1701, Abril 2005.
[16] GREDIAGA, A, et al. “Utilización de redes neuronales para la detección de intrusos”. Departamento de Tecnología Informática y Computación. Universidad de Alicante. España, 2000.
[17] CORTADA, P; SANROMÀ, G; GARCÍA, P. “IDS basado en mapas autoorganizados”. Boletín de RedIRIS, 2002.
[18] ESCANDON, R. “Empleo de Redes Neuronales en la detección de intrusos”. Departamento de Telemática, Instituto Superior Politécnico José Antonio Echevarría, Cuba, Julio 2005
[19] LORENZO, I; LAU, R. “Detección de Intrusos utilizando Redes Neuronales”, Tesis presentada en opción al título de Master en Informática Aplicada, Facultad de Ingeniería Informática, ISPJAR, Abril 2007.
[20] ESBENSEN, K. “Multivariate Data Análisis – in practice”. Camo Process AS, 2002.
[21] Matlab7, Help, Mayo 2004. [22] ARCHIBALD, N. “Nessus, Snort, & Ethereal Power Tools:
Customizing Open Source Security Applications”. Syngress Publishing, 2005
[23] Nessus 3.0 Advanced User Guide, Tenable Network Security, Agosto 2006.
[24] LIPPMANN, R; et al, “ The 1999 DARPA Off-Line Intrusion Detection Evaluation”, MIT, 2002.
