Tesis:

Sistema de Respuesta a Intrusiones Proactivo basado en modelos de Markov y Redes Neuronales


  • Autor: HOLGADO ORTIZ, Maria del Pilar

  • Título: Sistema de Respuesta a Intrusiones Proactivo basado en modelos de Markov y Redes Neuronales

  • Fecha: 2018

  • Materia: Sin materia definida

  • Escuela: E.T.S. DE INGENIEROS DE TELECOMUNICACION

  • Departamentos: INGENIERIA DE SISTEMAS TELEMATICOS

  • Acceso electrónico: http://oa.upm.es/49463/

  • Director/a 1º: VILLAGRÁ GONZALEZ, Víctor A.

  • Resumen: Los incidentes de seguridad han aumentado en gran medida debido al uso extendido de tecnologías de la información (TI) dentro de todos los ámbitos de las organizaciones. Además, estos incidentes cada vez son más sofisticados por lo que los sistemas de protección deben evolucionar para detectar y mitigar estos incidentes. Los Sistemas de Detección de Intrusiones han evolucionado rápidamente y a día de hoy existen diversidad de herramientas maduras basadas en distintos paradigmas. A su vez, los Sistemas de Prevención de Intrusiones se han incluido para la realización de respuestas reactivas básicas, como restablecer una conexión. Por otro lado, se han ido desarrollando Sistemas de Respuestas a Intrusiones (IRS) con el objetivo de proporcionar respuestas específicas de acuerdo a unas reglas predefinidas. Hoy en día los IRSs juegan un rol importante en la arquitectura de seguridad. Estos sistemas mitigan el impacto de posibles ataques con el objetivo de mantener la integridad, la disponibilidad y la confidencialidad de los recursos. Los Sistemas de Respuestas a Intrusiones Automáticos (AIRS) proporcionan la mejor defensa posible mediante la selección automática de respuestas, además de minimizar la ventana de oportunidad del atacante. Esta tesis doctoral se centra en mejorar las reacciones automatizadas contra intrusiones usando métodos de Aprendizaje Automático. La primera contribución de la tesis consiste en evaluar la eficiencia de las respuestas ejecutadas previamente frente a un ataque. De este modo, es posible proporcionar información relevante para la inferencia de siguientes respuestas. Para determinar la efectividad de cada una de las respuestas se ha optado por el uso de un algoritmo de aprendizaje basado en Redes Neuronales Artificiales, de tal forma que el AIRS tenga capacidad de auto-aprendizaje. Posteriormente, se define una serie de ecuaciones que determinan el nivel de éxito de la respuesta todas las veces que fue ejecutada. El valor del nivel de éxito de cada una de las respuestas es almacenado en la Ontología del AIRS para así poderlo tener en cuenta en los siguientes procesos de inferencia. Como consecuencia se consigue un AIRS con capacidades adaptativas. El concepto de predicción de ataques es clave para adelantarse a los pasos del atacante, y así poder realizar respuestas proactivas. Por tanto, la segunda propuesta de la tesis doctoral se basa en predecir ataques multi-paso a partir de las alertas reportadas por los Sistemas de Detección de Intrusiones (IDS) diseñando un sistema basado en la definición de un modelo extendido de los Modelos de Markov Ocultos (HMM). Los estados ocultos de la cadena de Markov son las fases de ataque generalizadas para cada uno de los distintos tipos de ataques a modelar. De esta manera, el modelo se adapta al ataque multi-paso concreto y como resultado es posible adelantarse al siguiente paso del atacante. Específicamente, la validación del sistema predictivo propuesto se va a centrar en el análisis de las distintas fases de la Denegación de Servicio Distribuida (DDoS) ya que es un problema creciente en los servicios de Internet y es complicado prevenir caídas de los sistemas. Para conseguir este objetivo es necesario que el HMM sea entrenado de manera off-line a partir de una serie de observaciones. Estas observaciones se obtienen tras el etiquetado de los distintos identificadores de CVE (Common Vulnerabilities and Exposures) que puede contener una alerta para así evitar problemas de sobreajuste. El etiquetado se basa en la clusterización del informe público de CVE, los cuales son posteriormente almacenados en una base de datos. Por otro lado se compararán dos algoritmos distintos de entrenamiento, supervisado y no supervisado para la construcción de las matrices de probabilidad. Tras ello el modelo está preparado para recibir alertas de distintos IDSs y encontrar la mejor secuencia de estados usando el algoritmo de Viterbi. La probabilidad de que el ataque se encuentre en un estado concreto para cada uno de los distintos pasos del ataque multi-paso en progreso está basado en el algoritmo de Viterbi y en el algoritmo de forward-backward. Finalmente se calcula la probabilidad de que se produzca el objetivo final del ataque usando el número medio de alertas obtenidas en el entrenamiento y el número de alertas en progreso. El sistema propuesto se ha validado con un escenario virtual construido teniendo en cuenta vulnerabilidades actuales y se ha llevado a cabo medidas del rendimiento del sistema predictivo, verificando la viabilidad de obtener valores de predicción en tiempo real. ----------ABSTRACT---------- Security incidents have increased greatly due to the widespread use of information technology (IT) within any organizational environment. As the number of security incidents increases, becoming more sophisticated and widespread, Intrusion Detection Systems (IDS) have evolved rapidly and there are now very mature tools based on different paradigms. Intrusion Prevention Systems have also been developed by combining IDS with a basic reactive response, such as resetting a connection. IRSs (Intrusion Response Systems) leverage the concept of IPSs and provide the means to achieve specific responses according to some predefined rules. Nowadays, Intrusion Response Systems are playing an important role in the security architecture. These systems mitigate the impact of attacks in order to keep integrity, confidentiality and availability of the resources. Automated Intrusion Response Systems (AIRS) provide the best possible defense, as well as shortening the delay before administrators come into play. This dissertation improvement the automated reactions against intrusions using machine learning methods. The first propose is evaluating the result of previous responses, in order to get feedback for following inferences. This thesis defines an algorithm to determine the level of success of the inferred response. The objective is the design of a system with adaptive and self-learning capabilities. Artificial Neural Networks are able to provide machine learning in order to get responses classification. Attack prediction is an important method of foreseeing the steps of an attacker and thus, AIRS can execute proactive responses. A novel method based on a extension of the Hidden Markov Model (HMM) definition is design as a second propose. This proposal predicts multi-step attacks using intrusion detection system (IDS) alerts. We consider the hidden states as common phases of a particular type of attack. As a result, it can be easily adapted to multi-step attacks and foresee the next steps of that particular attack. Specifically, we analyze the phases of DDoS (Distributed Denial of Service). DDoS is a great problem in all Internet services. Currently, there is no way to prevent a possible server crash. To achieve this goal, a preliminary off-line training phase based on observations will be required. These observations are obtained by matching the IDS alert information with a database previously built for this purpose using a clusterization method from the Common Vulnerabilities and Exposures (CVE) global database to avoid overfitting. The training model is performed using both unsupervised and supervised algorithms. Once the training is completed and probability matrices are computed, actual IDS alerts will trigger the prediction module by finding the best state sequence using the Viterbi algorithm. The state probability for each step of the multi-step attack in progress is based on the Viterbi and forward-backward algorithms. The training model includes the mean number of alerts and the number of alerts in progress to assist in obtaining the final intrusion probability. The proposed method is validated into a virtual DDoS scenario using current vulnerabilities and we probe the system’s ability to perform real-time prediction.