Registro Proyectos 2012 PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) 1. DESCRIPCIÓN DEL PROYECTO

Transcripción

1 PROTOCOLO DE INVESTIGACIÓN (CR-02/2012) Institución INSTITUTO TECNOLOGICO DE MORELIA Título del proyecto Sistema de Detección de Anomalías en Tráfico de Red de Computadoras, basado en un Modelo probabilístico Evolutivo 1. DESCRIPCIÓN DEL PROYECTO 1.1 Resumen Las amenazas de seguridad para los sistemas de cómputo se han incrementado de manera alarmante, y debido a esto, varios mecanismos y sistemas de seguridad han sido tratados para neutralizar estos ataques, pero ninguno de ellos ha podido contrarrestar o prevenir de manera completa todos los ataques. Una técnica utilizada en la prevención y detección de amenazas a la seguridad informática, es la detección de anomalías. La detección de anomalías se basa en el uso de modelos o patrones de comportamiento de los sistemas, donde una desviación significativa al comportamiento normal o esperado, se considera una anomalía o un mal uso del sistema. En base a lo anterior, se plantea desarrollar un sistema que sea capaz de detectar anomalías en un sistema de computadoras, basado en el monitoreo de su funcionamiento cotidiano y normal. Nuestro sistema tomará las mediciones del monitoreo del comportamiento de la red y, mediante programación evolutiva, encontrará el mejor modelo o patrón de comportamiento de la red. Donde una vez encontrado el mejor modelo, éste se utilizará en la detección de anomalías que podrían presentarse en el sistema de red. El proceso de la programación evolutiva consiste en generar una población aleatoria de individuos, los cuales representan modelos que tratan de apegarse o representar el comportamiento de la red, y después de aplicar operadores evolutivos, los individuos son calificados. Al término de una generación, se seleccionan los modelos que califican o presenten un valor de aptitud alto. En la siguiente generación, a la población de individuos se les vuelven a aplicar los operadores evolutivos y de esta manera hasta terminar con el número de generaciones dada. Al finalizar las generaciones, se seleccionará el mejor modelo evolutivo y se le utilizará en la detección de las anomalías, que puedan presentarse en el sistema de red monitoreado. 1.2 Introducción Las amenazas de seguridad para los sistemas de cómputo se han incrementado de manera alarmante. Estas amenazas incluyen: virus, denegación de servicios, explotación de vulnerabilidades, malware, etc. Varios mecanismos y sistemas de seguridad han sido tratados para neutralizar estos ataques, pero ninguno de ellos puede contrarrestar o prevenir de manera completa todos los ataques. Las amenazas de seguridad a los sistemas informáticos han propiciado el uso de sistema de detección de anomalías. La detección de anomalías es el proceso de monitorear los eventos que ocurren en un sistema o red de cómputo y analizarlos en busca de signos de anomalías. Una anomalía se define como un intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema; o bien, de traspasar los mecanismos de seguridad de una computadora o de una red. La detección de anomalías se efectúa detectando cambios en los patrones de utilización de los recursos o cambios en el comportamiento del sistema. La detección de anomalías se puede llevar a cabo construyendo un modelo estadístico con CR-02/2012 1

2 métricas derivadas de la operación normal del sistema, y marcar como intrusivo cualquier evento cuya métrica observada presente una desviación estadística significativa del modelo estadístico. En otras palabras, una detección de anomalías usa un modelo normal del comportamiento de un sistema para compararlo con el comportamiento actual observado. Cualquier comportamiento que muestre un cambio significativo con respecto al modelo, se considera como una anomalía y cualquier comportamiento cercano al modelo se considerará como normal. En general, el comportamiento normal de un sistema de cómputo se puede caracterizar observando sus propiedades en el tiempo. La investigación de detección de anomalías se realiza en varias áreas, tales como el monitoreo de noticias de negocios, detección de epidemias o bioterrorismo, detección de falla de hardware, monitoreo de alarmas de redes, detección de fraudes, etc. El problema que presenta la detección de anomalías es que involucra grandes volúmenes de series de datos, generados por un número significativo de entidades y actividades. El principal objetivo de la detección de anomalías es el de identificar la mayor cantidad de eventos raros e interesantes como sea posible, con un mínimo retardo y el menor número de falsas alarmas. La Programación Evolutiva (PE), así como los Algoritmos Genéticos (AG), es una técnica de optimización global que puede ser usada para encontrar un modelo estadístico de una secuencia de valores o series de tiempo. Estas dos técnicas simulan el fenómeno evolutivo de la naturaleza, donde la posible solución a un problema se encuentra codificada en un cromosoma o individuo, y cada elemento que forma al cromosoma se le llama gen. A través de la aplicación de operadores evolutivos, la población evoluciona, y al término de las generaciones el mejor individuo se selecciona y la solución a la generación de un modelo del comportamiento de un sistema se obtiene. La EP es una técnica de optimización de propósito general robusta, la cual hace evolucionar una población de soluciones. Es decir, nuestro sistema estará constituido de dos fases: Fase 1) Construcción y modelado de un sistema con programación evolutiva, y la Fase 2) Consiste en la detección de anomalías en series de tiempo, utilizando un modelo creado por proceso evolutivo. De esta forma utilizando PE y detección de anomalías proponemos que el modelo estadístico generado con la programación evolutiva, puede examinar nuevas secuencias de observación, y determinar si una serie de tiempo dada pertenece al modelo. El valor de probabilidad determinado por el modelo para una secuencia de observación dada, indicará el grado de certeza de que la secuencia haya sido generada por el modelo. Si la secuencia de observación, verificada a través del modelo, obtiene un valor de probabilidad baja, entonces será posible que la secuencia presente anomalías. 1.3 Antecedentes La proliferación de redes de computadoras heterogéneas tiene serias implicaciones en el problema de la detección de anomalías. La más importante en esta serie de implicaciones es el incremento en la oportunidad en el acceso no autorizado, a través de la conectividad de las redes. Entre algunas amenazas informáticas existentes en las redes de comunicación, se pueden mencionar los intentos e intrusiones logradas por atacantes, virus y gusanos informáticos, denegación de servicio, etc. Existen otras técnicas utilizadas por atacantes para recabar información de una red para un uso ilícito; entre estas técnicas se pueden mencionar: barridos de las direcciones IPs de la red, barrido de protocolos de red, barrido de puertos y/o servicios de red, etc. Estas amenazas señaladas en su ejecución o en su actividad de intentar acceder recursos de la red, incrementan el uso o consumo de ancho de banda de la red, lo cual representa un comportamiento anormal. Con la existencia de una herramienta que analice el comportamiento atípico, por ejemplo el consumo de ancho de banda, se podrían detectar de manera exitosa los comportamientos anómalos de un sistema. Existen trabajos relacionados en los que se generan modelos de comportamiento, basados en los datos generados por las secuencias de las llamadas al sistema operativo. En estos sistemas se comparan la habilidad de diversos métodos como: Secuencias Enumeradas, Frecuencias, Minería de Datos y Máquinas de Estado Finito, tanto en el modelado de los datos y representación del comportamiento normal del sistema, así como para reconocer intrusiones. Los trabajos muestran que el comportamiento normal de un programa puede ser caracterizado por patrones, y desviaciones de estos patrones pueden ser identificados como violaciones de seguridad de un proceso. Otros trabajos se enfocan a modelar el comportamiento de uso de CPU, por ejemplo, y utilizar el modelo en la detección de una anomalía o uso CR-02/2012 2

3 indebido del CPU. En todos estos trabajos relacionados, los modelos creados son diseñados por los mismos expertos y después utilizados en la detección. Nuestra propuesta del desarrollo del sistema detector de anomalías, es que el diseño y entrenamiento del modelado, lo generará de manera automática la programación evolutiva, sin intervención de un experto. 1.4 Marco teórico La seguridad de la información es una necesidad importante y creciente. Los ataques a los sistemas informáticos son constantes y cada vez en mayor número, a la vez que se vuelven más complejos y difíciles de detectar. Los sistemas que tratan de detectarlos y prevenirlos están avanzando, pero a paso muy lento. Los esquemas utilizados más comunes y sobre los cuales se basan los sistemas de detección son: los basados en firmas y los basados en anomalías. Cada esquema tiene sus ventajas y desventajas, por ejemplo los basados en firmas son rápidos y cuentan con conocimiento a priori de las amenazas informáticas, pero son incapaces de detectar nuevos ataques o variaciones de ataques conocidos. Los esquemas basados en anomalías utilizan un conjunto de métricas, las cuales perfilan el comportamiento normal del sistema, y cualquier desviación que supere un valor de umbral, respecto al perfil establecido, será tratado como anomalía. Este esquema tiene la desventaja que puede presentar falsos positivos; pero la ventaja que resaltan es que detectan nuevos y variaciones de ataques conocidos. El porcentaje de éxito en la intrusión de un atacante tiene una relación directa con el intervalo de tiempo que se detecta el ataque y el tiempo en que se toma en realizar una medida de respuesta a la intrusión. Si una contramedida se realiza tan pronto como la intrusión o anomalía se detecta, el porcentaje de éxito del ataque descenderá drásticamente. El trabajo propuesta se orienta al desarrollo de un sistema detector de comportamiento anómalo basado en detección de anomalías. 1.5 Objetivos Objetivo General. Diseñar y desarrollar un sistema de detección de anomalías que dada una serie de tiempo, sea capaz de generar un modelo de comportamiento del sistema mediante programación evolutiva, el cual será capaz de detectar anomalías futuras que se presenten en el sistema. Objetivos Específicos: - Diseñar y Desarrollar un sistema de software para la detección de anomalías. - Obtener series de observación de los parámetros del comportamiento de un sistema de red de computadoras. - Modelar un patrón de comportamiento normal probabilístico del sistema a estudiar. - Analizar y generar el patrón de comportamiento de un sistema, utilizando programación evolutiva. - Analizar subsecuentes series de tiempo del sistema de red, para establecer o detectar anomalías. - Utilizar el modelo o patrón de comportamiento del sistema en la detección de anomalías en series de tiempo. - Generar documentos que muestren las pruebas y resultados de los experimentos realizados con el sistema de detección de anomalías. 1.6 Metas Participación de 2 alumnos de nivel licenciatura en el proyecto, como su residencia profesional. Realizar las siguientes actividades: o Análisis y estado del arte de la programación evolutiva en la detección de anomalías en sistemas de cómputo o Diseño y desarrollo de modelos con programación evolutiva, utilizando series de datos Un artículo tentativo de divulgación: La programación evolutiva aplicada a la detección de anomalías en sistemas de cómputo. 1.7 Impacto o beneficio en la solución a un problema relacionado con el sector productivo o la generación del conocimiento científico o tecnológico. CR-02/2012 3

4 El presenta proyecto tiene como finalidad el proporcionar una opción a la detección de intentos de acceso no autorizados a los sistemas de cómputo. Esta herramienta podría ser utilizada por cualquier persona que tenga responsabilidad en un centro de información, ya que le prestaría ayuda en la detección de algún comportamiento anómalo en el sistema monitoreado. Se tiene contemplado proponerla como una herramienta de monitoreo al centro de cómputo del Instituto Tecnológico de Morelia una vez finalizada, así como ser una herramienta de apoyo a las clases y prácticas de las carreras que se imparten en el mismo tecnológico. También se pretende que los alumnos, así como los compañeros profesores involucrados en el proyecto, nos actualicemos en el quehacer de investigación y estar al tanto del avance en cuestiones de esquemas y técnicas de seguridad aplicadas a los sistemas de cómputo. 1.8 Metodología El método utilizado para abordar la investigación es el de exploratoria-descriptivo, que consiste en obtener una mayor penetración y comprensión del problema en el análisis y detección de valores fuera del comportamiento normal. Así como implementar programación evolutiva en el diseño y construcción de modelos probabilísticos, basados en las series de datos observadas en el comportamiento normal de un sistema de cómputo. La parte descriptiva tiene como finalidad la de concluir o describir el comportamiento y desempeño del esquema propuesto, en la aplicación de modelos evolucionados a la detección de anomalías en secuencias de observación generadas por un sistema. Recolección de datos. Los datos primarios con los que se pretende trabajar en el modelado y programación evolutiva, se capturaran de los servidores del Centro de Cómputo. Para ello se programarán pequeños módulos que monitorean valores de los parámetros de los servidores en actividades normales y de sobrecarga de trabajo. De tal forma que podamos modelar el comportamiento normal del sistema, y detectar un cambio en la carga de funcionamiento de los mismo servidores, con ayuda del sistema detector. La captura se tiene que realizar por períodos prolongados de actividad, para diseñar un modelo probabilístico de comportamiento normal. Análisis de datos. Los datos recopilados por los módulos de captura, serán analizados para generar los modelos de comportamiento del sistema. Y los datos recopilados subsecuentemente del sistema, serán pasados al modelo para determinar si existen o no anomalías Esto con el fin de observar si los datos presentan o no comportamientos anómalos. Con este análisis se pretende verificar si el sistema es capaz de diferenciar datos anómalos de los datos normales. CR-02/2012 4

5 1.9 Programa de actividades, calendarización No Actividad Responsable de la Periodo de realización Justificación actividad (fecha inicio y término) 1. Revisión bibliográfica del ANASTACIO 24 de septiembre al 10 de Identificar los trabajos estado del arte ANTOLINO octubre del 2012 relacionados y avances en los proyectos de investigación 2. Análisis de las metodologías IGNACIO AGUILA 11 al 30 de octubre del 2012 Comparativa actual de los y esquemas de seguridad esquemas implementados en la utilizados en los sistemas de detección de anomalías en detección de anomalías informática 3. Análisis de la información KENIA A. AYALA 31 de octubre al 17 de noviembre del 2012 Con la documentación del estado del arte y comparativa de los esquemas de detección, se procede al desarrollo propio 4. Diseño y elaboración de los módulos lógicos del sistema ANASTACIO ANTOLINO 18 de noviembre al 12 de diciembre del 2012 Se consideran los módulos a intervenir en el sistema detector 5. Análisis y elaboración de la KENIA A. AYALA 13 de diciembre del 2012 al Es la arquitectura o diseño que arquitectura de los módulos 14 enero del tendrán los individuos a de programación evolutiva evolucionar 6. Diseño y programación de IGNACIO AGUILAR 15 de enero al 5 de febrero Son los programas que se los módulos de captura de los datos del sistema de red a monitorear del encargarán de la captura del comportamiento del sistema a modelar 7. Desarrollo de la interfaz de captura de los datos IGNACIO AGUILAR 6 de febrero al 1 de marzo del Es la pantalla que se presentará al usuario, para seleccionar los datos a registrar 8. Programación del módulo de ANASTACIO 2 al 21 de marzo del Se define el lenguaje y detección ANTOLINO programación de los módulos lógicos 9. Implementación del módulo evolutivo del sistema KENIA A. AYALA 22 de marzo al 12 de abril del Es la definición de los individuos y operadores evolutivos a programar 10. Integración del sistema de ANASTACIO 13 de abril al 22 de mayo del Se integran los módulos detección con la ANTOLINO programados de manera programación evolutiva independiente 11. Desarrollo de pruebas al sistema IGNACIO AGUILAR 23 de mayo al 1 de julio del Es la fase de verificación del comportamiento y comprobación de la hipótesis. 12. Documentación y corrección KENIA A. AYALA 2 de julio al 30 de agosto del Se corrigen las fallas, y se de errores documentan los resultados obtenidos del sistema Productos entregables El software del sistema de detección de anomalías. Documentación del diseño e implementación del sistema de detección de anomalías. Elaboración y creación de un curso de prueba y resultados de la ejecución del sistema detector. Captura y presentación del análisis de los datos utilizados en el entrenamiento y prueba del sistema de detección. CR-02/2012 5

6 En lo referente a la formación de recursos humanos se pretende incentivar y desarrollar la investigación, a través de la participación de dos alumnos de licenciatura a través de la realización de su residencia profesional. En la parte de producción científica, se pretende publicar un artículo en un congreso de divulgación en el área de ciencias computacionales, inteligencia artificial o seguridad informática Vinculación con el Sector Productivo. Aun cuando el alcance de este proyecto es sólo de índole académico y de investigación, se podría aprovechar la relación y contacto, con al menos una empresa, que pretenda implementar nuestra esquema de detección en sus instalaciones. O bien, completar el futuro desarrollo de la herramienta y llevarla a un grado de producto comercial. Incluso, si se considerará la incubación de una empresa dedicada a la seguridad informática, esta podría ser una herramienta de punta de lanza para la empresa en incubación Referencias Ghosh, A., Wanken, J., y Charron, F. Detecting anomalous and unknown intrusions against programs. Computer Security Applications Conference, pags , dic ISSN M. H. Islam and M. Jamil, Taxonomy of statistical based anomaly detection techniques for intrusion detection, pp , Chunyue, Z., Yun, L., y Hongke, Z. A pattern matching based network intrusion detection system. IEEE Control, Automotion, Robotics & Vision, ICARCV 2006 (9th International Conference):1-4, dic ISSN Wei Gao; Fast immunized evolutionary programming, Machine Learning and Cybernetics, Proceedings of 2004 International Conference. Page(s): vol. 1. Ji Dou, Wang Xiang-jun; An Efficient Evolutionary Programming. Information Science and Engineering, ISISE '08. International Symposium. Page(s): vol. 2. D. Dasgupta and H. Brian, Mobile security agents for network traffic analysis, IEEE Transactions on Power Systems, vol. 2, no , Esquivel, R. y Flores, J. J. Seguridad en Redes UNIX: Un Esquema Multinivel Basado en Software Libre, tomo 1 de UMSNH. UMSNH, Morelia, Mich., 1a Ed., nov ISBN X. M. Korayem, A. Badr, and I. Farag, Optimizing hidden markov models using genetic algorithms and artificial immune systems, Computing and Information Systems, vol. 11, no. 2, L. R. Rabiner, A tutorial on hidden markov models and selected applications in speech recognition, Proceedings of the IEEE, vol. 77, no. 2, February L. R. Rabiner and B. H. Juang, An introduction to hidden markov models, IEEE ASSP Magazine, Y. Bengio, Markovian models for sequential markovian models for sequencial data, Statistical Science, P. Nicholl, A. Amira, D. Bouchaffra, and R. H. Perrot, A statistical multiresolution approach for face recognition using structural hidden markov models, EURASIP Journal on Advances in Signal Processing, ACM, vol. 2008, p. 13, P. Bhuriyakorn, P. Punyabukkana, and A. Suchato, A genetic algorithm-aided hidden markov model topology estimation for phoneme recognition of thai continuous speech, in Ninth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing. IEEE, 2008, pp X. Zhang, Y. Wang, and Z. Zhao, A hybrid speech recognition training method for hmm based on genetic algorithm and baum welch algorithm, IEEE, pp , CR-02/2012 6

7 2. LUGAR(ES) EN DONDE SE VA A DESARROLLAR EL PROYECTO Instituto Tecnológico de Morelia, Departamento de Sistemas y Computación. Edificio I, en el área de cubículos. 3. INFRAESTRUCTURA El plantel cuenta con toda la infraestructura necesaria para llevar a cabo el proyecto: equipo de cómputo, conexión a Internet, etc. 4. RESUMEN PRESUPUESTO UTILIZADO PARA LA OPERACIÓN DEL PROYECTO 4.1 Concentrado del presupuesto utilizado Partida Monto otorgado por el Tecnológico Monto otorgado por otras instituciones TOTAL TOTAL Profesor-Investigador Responsable DR. ANASTACIO ANTOLINO HERNÁNDEZ Nombre y Firma CR-02/2012 7