NEUROGENETIC LEARNING

1
SISTEMAS INMUNOLOGICOS ARTIFICIALES EN DETECCION
DE ATAQUES A COMPUTADORES
Fernando Niño, PhD
Departamento de Ingeniería de Sistemas Universidad
Nacional de Colombia
2
INTRODUCCION

• Sistema Inmunológico Natural
• Sistema Inmunológico Artificial (SIA)
• Representación de Anticuerpos/Antígenos
• Detección de Antígenos
• Sistemas Inmunológicos en Reconocimiento de
  Patrones
• Detección de Ataques Usando SIAs

3
Sistema Inmunológico Natural
4
Papel del Sistema Inmunológico

• Definir células huésped (del cuerpo) a partir de
  entidades externas
• Cuando una entidad es reconocida como extraña (o
  peligrosa) activa varios mecanismos de defensa
  que conduzcan a su destrucción (o neutralización)
• La exposición continua a entidades similares
  resulta en una rápida respuesta inmunológica
• El comportamiento total del sistema inmunológico
  es una propiedad emergente de muchas
  interacciones locales

5
Componentes principales

• Linfocitos (subclase de células sanguíneas)
• Linfocitos B
• Linfocitos T
• tipo1 secreta moléculas que regulan la
  respuesta de las células B
• tipo 2 secreta moléculas que pueden matar
  células infectadas viralmente

6
Componentes principales ...

• Las células B mutan sus genes de inmunoglobulina
  (o anticuerpos) en respuesta a un antígeno
  (mutación hipersomática)
• Las proteínas formadas bajo la dirección de
  estos genes son los receptores (que se ligan) de
  las células B, cuando se expresan en la
  superficie de las células, y también son los
  anticuerpos que las células B activadas secretan

7
Componentes principales ...

• Evolución del sistema inmunológico
• Mutación hipersomática intento del sistema
  inmunológico por contrarrestar la actividad
  mutacional de muchos patógenos
• (tasas altas)
• Selección de las variantes mas aptas

8
(No Transcript)
9
Detección
10
selección de las células T en el Timo
11
Reconocimiento de péptidos antígenicos por los
receptores de las células T
12
Propiedades del Sistema Inmunológico

• Reconocimiento
• Extracción de Características
• Diversidad
• Aprendizaje
• Memoria
• Detección Distribuida
• Mecanismo de Umbral
• Protección Dinámica
• Detección Probabilística
• Adaptación

13
Por qué la Inmunología es importante en la
solución de problemas reales?

• Los Sistemas Inmunológicos aprenden a resolver
  patrones relevantes
• -Respuesta Primaria a nuevos patrones foráneos
• - Aprenden a distinguir lo propio (self)
  del resto
• Recuerda patrones vistos anteriormente
• - Respuesta Secundaria

14
Sistema Inmunológico Artificial (SIA)
conjunto U
No-propio
S
N
Propio
S
S
15
Patrones

• 1 1 0 0 1 1
• 0 0 1 0 0 1
• 1 0 0 1 0 0
• 0 1 0 0 0 0
• 0 0 0 1 1 1
• 1 1 1 0 0 0

PROPIO
NO- PROPIO
16
Principios de Diseño
1. Los antígenos permanecen fijos en el tiempo
durante la respuesta immune 2. Los antígenos
cambian durante la respuesta immune
17
Principios de Diseño

• Los detectores de antígenos (receptores) deben
  poder reconocer múltiples antígenos
• Receptores pueden ser generalistas o
  especialistas (creados por mutación para ser
  áltamente específicos a un antígeno encontrado)
• Retener por un largo periodo de tiempo la
  población de células B que pueden producir los
  anticuerpos mutados y áltamente específicos

18
El espacio de formas
Representación de anticuerpos y antígenos

• Representación real
• Forma generalizada de una molécula

(x1, x2 , , xn), xi? R
19
El espacio de formas ...

• Afinidad antígeno-anticuerpo
• Distancia Euclideana
• Distancia de Manhattan

d(x,y)?i ?xi - yi?
20
El espacio de formas ...
Representación de anticuerpos y antígenos

• Representación simbólica
• Forma generalizada de una molécula
• secuencia de símbolos sobre un alfabeto de
  tamaño k (cadena)

010101001001110010001111110
21
El espacio de formas ...

• Afinidad antígeno-anticuerpo
• Distancia de Hamming
• número de simbolos diferentes
• Reconocimiento de bits consecutivos
• hay una secuencia común de por lo menos ?
  símbolos de largo?
• e.g. cadenas de longitud l30, longitud de
  matching ?8
• 010101001001110010001111110100
• 111010101101110010100010011110

22
El espacio de las formas ...
Cubrimiento de un anticuerpo (distancia de
Hamming) ? umbral de afinidad si ? 0
entonces un anticuerpo reconoce solo un
antígeno sino C cubrimiento en una región de
estimulación ?
23
Sistemas Inmunológicos en Reconocimiento de
Patrones

• Representación de los Patrones
• Fase de Aprendizaje
• Extracción de Características
• Fase de Prueba
• Clasificacion de nuevos patrones

24
Detección de Anomalías
Detección de comportamiento anormal

• Aplicaciones
• Detección de Patrones extraños en series de
  tiempo
• Monitoreo de Procesos de Manufactura
• Seguridad en Redes de Computadores
• Monitoreo de ambientes para detectar
  comportamiento anormal

25
Etapa de Detección

• Se recibe el patrón a clasificar
• Se compara con cada detector
• Detector inmaduro que se active muere
• Detector maduro activado genera mensaje y se
  convierte en detector de memoria.
• Maduración y muerte de detectores

26
Ciclo de vida de un detector
Detector Recién Creado
Detector Inmaduro
Detector Maduro
Detector de Memoria
Muerte del Detector
27
Algoritmo de Selección Negativa (Forrest 94)

• Un algoritmo para la detección de cambios basado
  en los principios de discriminación
  propio-extraño (self-nonself), por receptores de
  células T, en el sistema inmunológico
• Los receptores pueden detectar antígenos

28
Detección Negativa
29
Pasos en el algoritmo de Selección Negativa

• Definir lo propio (self) como el conjunto de
  patrones de actividad normales o el
  comportamiento estable de un sistema o proceso
• Una colección de sub-segmentos (igual tamaño)
  obtenidos a partir la secuencia de patrones
• Representar la colección como un multiconjunto S
  de cadenas de longitud l sobre un alfabeto finito
• Generar un conjunto R de detectores, cada uno de
  los cuales no coincide (match) con ninguna cadena
  de S

30
Pasos en el algoritmo de Selección Negativa ...

• Monitorear nuevas observaciones (de S) para
  detectar cambios, a través de probar si los
  detectores reconocen los representantes de S
• Si algún detector alguna vez coincide (match), un
  cambio (o desviación) debe haber ocurrido en el
  comportamiento del sistema

31
Modelos de Selección
Selección Negativa espacio No-propio
Selección Positiva espacio propio
32
Reconocimiento de patrones

33
Detección
SISTEMA DE DETECCION
salida
10101011
match?
Nuevo patrón
match X y Y distancia(X,Y) lt r r umbral
34

• SIAs en Detección de Ataques a Computadores

35
SISTEMAS DE DETECCION DE INTRUSOS

• Herramientas de seguridad encargadas de
  monitorear los eventos que ocurren en un sistema
  informático en busca de intentos de intrusión

36
SISTEMAS DE DETECCION DE INTRUSOS

• CLASIFICACION
• Por Fuentes de Información
• Basados en Red
• Basados en Hosts
• Por Tipo de Análisis
• Detección de Abusos o Firmas
• Detección de Anomalías
• Por Tipo de Respuesta
• Respuestas Activas
• Respuestas Pasivas

37
TECNICA DE DETECCION DE INTRUSOS
38
TIPOS DE ATAQUES

• Barrido de Puertos
• Spoofing
• Intercepción
• Ataques de Negación de Servicio (DoS)

39
ATAQUES DE NEGACION DE SERVICIO

• Pueden inhabilitar un recurso computacional o
  servicio
• Tipos
• Consumo de recursos escasos, limitados o no
  renovables.
• Destrucción o alteración de la información de la
  configuración.
• Destrucción física o alteración de componentes de
  red.

40
ATAQUES DE NEGACION DE SERVICIO
41
Analizador de protocolos de red
CAPTURA DE DATOS

• Programa que coloca la interfaz de red de una
  estación en un estado que le permite monitorear y
  capturar todo el tráfico de red y los paquetes
  que pasen por ella, independientemente del
  destino que tengan

42
TCPDUMP

• Herramienta de red elaborada en la Universidad
  de California, utilizada para el monitoreo de
  redes. Permite capturar la información
  transmitida tanto a través de una interfaz
  Ethernet, como una comunicación punto a punto
  (e.j. puerto serie)

43
ANALIZADOR DE PROTOCOLOS DE RED

• Ejemplo de un ping
• tcpdump
• tcpdump listening on eth0
• 082715.484785 192.168.1.2 gt 192.168.1.1 icmp
  echo request
• 082715.485829 arp who-has 192.168.1.2 tell
  192.168.1.1
• 082715.485928 arp reply 192.168.1.2 is-at
  00b45c72a8
• 082715.486560 192.168.1.1 gt 192.168.1.2 icmp
  echo reply

tcpdump n c 1000 dst ltvictimagt and ip gt
ltArchivogt
44
Entradas del SIA

• Cabeceras de las tramas de red
• Puerto Origen y Destino
• Protocolo y tamaño

45
Forma de Codificación

• Protocolo
• TCP 1
• UDP 0.25
• IP Fragmentado 0.75
• OTRO 0
• Puertos
• 0 a 1024 50 Subintervalos comprendidos entre
  0, 0.5
• 1025 a 65536 50 Subintervalos comprendidos
  entre (0.5,1

• Tamaño
• 0 si tamaño 0
• 0.25 si tamaño lt40
• 0.75 si tamaño lt500
• 1 si tamaño gt500

46
Ejemplo de Codificación

• 081713.812872
• 168.176.54.147.2072 gt168.176.54.148.4321
• S 40924092(0) win 32120
• ltmss1460,sackOK,timestamp 603862
• 0,nop,wscale 0gt (DF)z

Puerto Origen 0.52
Puerto Destino 0.53
Protocolo 1.00
Tamaño 0.00
47
Entrenamiento del SIA
48
Generación de Detectores
49
Selección de Mejores Detectores
50
Clonación de Detectores
51
(No Transcript)
52
Postprocesamiento
U
Detectores Del Pos-procesamiento
Detectores Originales
53
Detección
54
Detección...
patrón de entrada
µ
p
?
c
d(c,p)
La distancia a un detector se obtiene calculando
la distancia al centro del detector y restando el
umbral del detector
55
Herramienta de Entrenamiento
56
Herramienta de Entrenamiento ...
57
Detección
58
Experimentación...

• Conjunto de datos del Lab MIT-Lincoln
• Información de Tráfico normal y anormal
  recolectado en una red de prueba
• Se usó el tráfico normal para el entrenamiento
• Se escogieron 3 de los parámetros monitoreados
• número de bytes por segundo
• número de paquetes por segundo
• número de paquetes ICMP por segundo

59
Experimentación
60
Experimentación...

• Luego se usó una ventana de tamaño 3 para cada
  parámetro para producir un conjunto de datos 9D
• Solamente tráfico externo se usó y se obtuvo el
  tráfico de un host particular (e.g., hostname
  marx)

61
Experimentación...

• Se usaron los datos de la primera semana para
  entrenamiento (libre de ataques)
• Se usaron los datos de la segunda semana para
  prueba

62
Experimentación...

• conjunto de Entrenamiento 4000 datos
• conjunto de Prueba 5192 muestras

63
Experimentación...

• Experimentos actuales
• ataques DoS tales como coke, gewse, beer, ping
  flood, smurf, latierra, etc
• Experimentación fuera de línea

64
Conclusiones

• El SIA mide la anormalidad del sistema como la
  distancia de los patrones nuevos a los
  detectores producidos a partir del tráfico Normal
• Este modelo es capaz de detectar ataques en un
  conjunto de datos de prueba reales

65
Conclusiones...

• La principal ventaja del sistema es que comienza
  con un pequeño conjunto de detectores y en el
  proceso iterativo mejora el cubrimiento del
  espacio complemento, lo que produce menos
  detectores específicos reduciendo los recursos
  utilizados
• El SIA es capaz de caracterizar el comportamiento
  normal del sistema y detectar un buen porcentaje
  de anomalías

66
Referencias

• D. Dasgupta (Editor), Artificial Immune Systems
  and Their Applications, Publisher
  Springer-Verlag, Inc. Berlin, January 1999.
• D. Dasgupta and S. Forrest. Artificial Immune
  Systems in Industrial Applications. In the
  proceedings of the Second International
  Conference on Intelligent Processing and
  Manufacturing of Materials (IPMM), Honolulu, July
  10-15, 1999.
• D. Dasgupta and F. Nino, A Comparison of Negative
  and Positive Selection Algorithms in Novel
  Pattern Detection, In the Proceedings of the IEEE
  International Conference on Systems, Man and
  Cybernetics (SMC), Nashville, October 8-11, 2000.
  
• L. N. De Castro and F. J. Von Zuben, Artificial
  Immune Systems Part I Basic Theory and
  Applications. Technical Report-RT DCA 01/99,
  FEEC/UNICAMP, Brazil, 95 p. 1999.
• P. Dhaeseleer, S. Forrest and P. Helman, An
  Immunological Approach to Change Detection
  Algorithms, Analysis and Implications. In
  Proceedings of the 1996 IEEE Symposium on
  Research in Security and Privacy, Los Alamitos,
  CA, EEE Computer Society Press, 1996.

67
Referencias

• S. Forrest, S. Hofmeyr and A. Somayaji, Computer
  Immunlogy. Comunications of the ACM, 40
  (10)88-96, 1997.
• S. Forrest, A. S. Perelson, L. Allen and R.
  Cherukuri, Self - Nonself discrimination in a
  Computer. In Proceedings of the 1994 IEEE
  Symposium on Research in Security and Privacy.
  Los Alamos, CA, IEEE Computer Society Press,
  1994.
• S. Hofmeyr and S. Forrest. Immunity by Design An
  Artificial Immune System. In Proceeding of 1999
  GECCO Conference, 1999.
• J. Kuby. Immunology. Second edition. W. H.
  Freeman and Co. 1994.
• A. S. Perelson and F. W. Wiegel, Some Design
  Principles for Immune System Recognition. In the
  Journal complexity, John Wiley Sons Inc 1999,
  Vol 4, No. 5 CCC 1076-2787/99/05029-09.
• S. Russell and P. Norving, Artificial
  Intelligence A Modern Approach. Prentice Hall.
  1996.
• A. Somayaji, S. Hofmeyr and S. Forrest.
  Principles of a Computer Immune System. New
  Security Paradigms Workshop, pp. 75-82, 1997.