J. Benito Camiña, Carlos Hernández-Gracidas y Raúl Monroy

Problemática

Motivación

Objetivos

El Conjunto de Datos

Metodología

Experimentos Propuestos

Conclusiones

Trabajo Futuro

2 4o. Congreso Mexicano de Inteligencia Artificial

Actualmente la información es un bien extremadamente valioso

Es vital detectar a tiempo cuando nuestra computadora está siendo ilegalmente utilizada por un intruso

El desempeño de métodos que usan conjuntos de datos basados en los comandos que emplea el usuario no es concluyente

Se ha optado por fuentes de actividad alternativas en un intento por caracterizar mejor el comportamiento del usuario

3 4o. Congreso Mexicano de Inteligencia Artificial

Para caracterizar mejor el comportamiento del usuario, es necesario considerar cómo y qué recorre el usuario

Proponemos que usar la estructura de navegación de un usuario obedece a un doble propósito: ◦ Permite entender mejor el comportamiento de un

usuario dado

◦ Permite construir un perfil de usuario adecuado para la detección de impostores

4 4o. Congreso Mexicano de Inteligencia Artificial

1. Crear una estructura de navegación con la información de cómo un usuario estructura su sistema de archivos y cómo lo emplea y recorre

2. Crear un conjunto de datos de la interacción de usuarios de Windows con su sistema de archivos

3. Crear un conjunto de ataques simulados en las computadoras de los usuarios

4. Crear un modelo de representación basado en grafos que refleja la interacción del usuario en el sistema y extraer distintos atributos a partir de ellos

5 4o. Congreso Mexicano de Inteligencia Artificial

6 4o. Congreso Mexicano de Inteligencia Artificial

7 4o. Congreso Mexicano de Inteligencia Artificial

Se propone crear los perfiles individualmente por cada usuario

Es necesario considerar un porcentaje inicial de registros, primordialmente, como ruido

De la información restante, se empleará un porcentaje para entrenamiento del clasificador y el resto para su validación

Se pretende comparar algoritmos de clasificación (SVMs, KNN, ANN) bajo el enfoque de una clase

8 4o. Congreso Mexicano de Inteligencia Artificial

Preguntas a responder: ◦ ¿Qué porcentaje de datos es fiable descartar

considerándolo como ruido?

◦ ¿Qué porcentaje de datos es necesario utilizar para el perfilado del usuario?

◦ ¿Qué porcentaje de datos basta para validar correctamente el modelo?

◦ ¿Estos porcentajes son fijos o varían, dependiendo de las características del usuario como qué tan organizado es, cuánta información se recabó, durante qué tiempo se recabó, etc.?

9 4o. Congreso Mexicano de Inteligencia Artificial

Contar con perfiles heterogéneos permitirá sacar mejores conclusiones de los experimentos

Se pretendió realizar ataques de forma homogénea, buscando que esto permita evaluar diversas técnicas de detección de impostores

Se espera que la obtención de ventanas y su representación mediante vectores de atributos, puedan ser empleados para entrenar métodos de clasificación de una clase

10 4o. Congreso Mexicano de Inteligencia Artificial

Se espera, a corto plazo, contar con resultados con los métodos de detección propuestos

Se espera poder obtener mejores resultados que en trabajos previos, con el uso de los grafos de accesos y de directorios

Se planea agregar más campos a la estructura de navegación y al vector de atributos

Se tiene contemplado utilizar otro tipo de clasificadores

Se espera contar con nuevos usuarios con perfiles distintos

11 4o. Congreso Mexicano de Inteligencia Artificial

¡Gracias!

12 4o. Congreso Mexicano de Inteligencia Artificial

42984|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp

42985|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp

42986|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42987|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42988|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42989|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42990|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42991|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42992|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk

42993|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk

42994|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk

42995|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk

42996|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42997|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42998|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

42999|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

43000|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

43001|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

43002|22/02/2012|19:43:55 p.m.|36099835|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

43003|22/02/2012|19:43:56 p.m.|36099836|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3

43004|22/02/2012|19:44:02 p.m.|36099842|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\06 preparados para el rock & roll.mp3

Ventana n

Ventana n+1

13

4o. Congreso Mexicano de Inteligencia Artificial

Formato entrada:

FECHA HORA | RUTA OBJETO

27/03/2012 02:57:12 p.m.|C:\Program Files (x86)\G DATA\AVKClient

27/03/2012 02:57:34 p.m.|C:\Program Files (x86)

Formato salida:

ID ACCESO | FECHA | HORA | TIEMPO TRANSCURRIDO | PROFUNDIDAD | RUTA ACCESO

1 | 27/03/2012 | 02:57:12 p.m. | 36029284 | 3 | C:\Program Files (x86)\G DATA\AVKClient1

2 | 27/03/2012 | 02:57:34 p.m. | 36029306 | 1 | C:\Program Files (x86)

14 4o. Congreso Mexicano de Inteligencia Artificial

Premisa: ◦ Usuarios distintos interactúan de manera distinta.

Detectar intrusos en juegos en línea [15]. Re-autenticación de los usuarios basándose

en los movimientos del ratón [2]. ◦ Supervisado.

Identificación biométrica de los movimientos del ratón [3]. ◦ Guiado.

Reconocimiento de usuarios al teclear la contraseña [4].

15 4o. Congreso Mexicano de Inteligencia Artificial

Creación del perfil del usuario: ◦ Grafo:

“Nodo”: [“Padre”, [“Hijos”], Número de Accesos, Fecha de último acceso, [Listas de accesos al nodo], “ID”, “Profundidad”]

“C:\DS\”: [“C:”, [], 1, “2010/244”, [[“0 – 2”, 1]], 2, “0-1-1”]

16 4o. Congreso Mexicano de Inteligencia Artificial

Los mejores resultados se obtuvieron con el usuario 3:

Los peores resultados se obtuvieron con el usuario 1:

Resultados unidos:

17 4o. Congreso Mexicano de Inteligencia Artificial

Curva ROC de los resultados de los usuarios unidos:

18 4o. Congreso Mexicano de Inteligencia Artificial

3 atacantes y 3 usuarios con diferentes perfiles.

Utilización de modelo estadístico: ◦ Naïve Bayes:

◦ Forma logarítmica:

19 4o. Congreso Mexicano de Inteligencia Artificial