%A Mar?a del Pilar Holgado Ortiz
%T Sistema de respuesta a intrusiones proactivo basado en modelos de Markov y redes neuronales
%X Los incidentes de seguridad han aumentado en gran medida debido al uso extendido de tecnolog?as de la informaci?n (TI) dentro de todos los ?mbitos de las organizaciones. Adem?s, estos incidentes cada vez son m?s sofisticados por lo que los sistemas de protecci?n deben evolucionar para detectar y mitigar estos incidentes. Los Sistemas de Detecci?n de Intrusiones han evolucionado r?pidamente y a d?a de hoy existen diversidad de herramientas maduras basadas en distintos paradigmas. A su vez, los Sistemas de Prevenci?n de Intrusiones se han incluido para la realizaci?n de respuestas reactivas b?sicas, como restablecer una conexi?n. Por otro lado, se han ido desarrollando Sistemas de Respuestas a Intrusiones (IRS) con el objetivo de proporcionar respuestas espec?ficas de acuerdo a unas reglas predefinidas. Hoy en d?a los IRSs juegan un rol importante en la arquitectura de seguridad. Estos sistemas mitigan el impacto de posibles ataques con el objetivo de mantener la integridad, la disponibilidad y la confidencialidad de los recursos. Los Sistemas de Respuestas a Intrusiones Autom?ticos (AIRS) proporcionan la mejor defensa posible mediante la selecci?n autom?tica de respuestas, adem?s de minimizar la ventana de oportunidad del atacante. Esta tesis doctoral se centra en mejorar las reacciones automatizadas contra intrusiones usando m?todos de Aprendizaje Autom?tico. La primera contribuci?n de la tesis consiste en evaluar la eficiencia de las respuestas ejecutadas previamente frente a un ataque. De este modo, es posible proporcionar informaci?n relevante para la inferencia de siguientes respuestas. Para determinar la efectividad de cada una de las respuestas se ha optado por el uso de un algoritmo de aprendizaje basado en Redes Neuronales Artificiales, de tal forma que el AIRS tenga capacidad de auto-aprendizaje. Posteriormente, se define una serie de ecuaciones que determinan el nivel de ?xito de la respuesta todas las veces que fue ejecutada. El valor del nivel de ?xito de cada una de las respuestas es almacenado en la Ontolog?a del AIRS para as? poderlo tener en cuenta en los siguientes procesos de inferencia. Como consecuencia se consigue un AIRS con capacidades adaptativas. El concepto de predicci?n de ataques es clave para adelantarse a los pasos del atacante, y as? poder realizar respuestas proactivas. Por tanto, la segunda propuesta de la tesis doctoral se basa en predecir ataques multi-paso a partir de las alertas reportadas por los Sistemas de Detecci?n de Intrusiones (IDS) dise?ando un sistema basado en la definici?n de un modelo extendido de los Modelos de Markov Ocultos (HMM). Los estados ocultos de la cadena de Markov son las fases de ataque generalizadas para cada uno de los distintos tipos de ataques a modelar. De esta manera, el modelo se adapta al ataque multi-paso concreto y como resultado es posible adelantarse al siguiente paso del atacante. Espec?ficamente, la validaci?n del sistema predictivo propuesto se va a centrar en el an?lisis de las distintas fases de la Denegaci?n de Servicio Distribuida (DDoS) ya que es un problema creciente en los servicios de Internet y es complicado prevenir ca?das de los sistemas. Para conseguir este objetivo es necesario que el HMM sea entrenado de manera off-line a partir de una serie de observaciones. Estas observaciones se obtienen tras el etiquetado de los distintos identificadores de CVE (Common Vulnerabilities and Exposures) que puede contener una alerta para as? evitar problemas de sobreajuste. El etiquetado se basa en la clusterizaci?n del informe p?blico de CVE, los cuales son posteriormente almacenados en una base de datos. Por otro lado se comparar?n dos algoritmos distintos de entrenamiento, supervisado y no supervisado para la construcci?n de las matrices de probabilidad. Tras ello el modelo est? preparado para recibir alertas de distintos IDSs y encontrar la mejor secuencia de estados usando el algoritmo de Viterbi. La probabilidad de que el ataque se encuentre en un estado concreto para cada uno de los distintos pasos del ataque multi-paso en progreso est? basado en el algoritmo de Viterbi y en el algoritmo de forward-backward. Finalmente se calcula la probabilidad de que se produzca el objetivo final del ataque usando el n?mero medio de alertas obtenidas en el entrenamiento y el n?mero de alertas en progreso. El sistema propuesto se ha validado con un escenario virtual construido teniendo en cuenta vulnerabilidades actuales y se ha llevado a cabo medidas del rendimiento del sistema predictivo, verificando la viabilidad de obtener valores de predicci?n en tiempo real. ----------ABSTRACT---------- Security incidents have increased greatly due to the widespread use of information technology (IT) within any organizational environment. As the number of security incidents increases, becoming more sophisticated and widespread, Intrusion Detection Systems (IDS) have evolved rapidly and there are now very mature tools based on different paradigms. Intrusion Prevention Systems have also been developed by combining IDS with a basic reactive response, such as resetting a connection. IRSs (Intrusion Response Systems) leverage the concept of IPSs and provide the means to achieve specific responses according to some predefined rules. Nowadays, Intrusion Response Systems are playing an important role in the security architecture. These systems mitigate the impact of attacks in order to keep integrity, confidentiality and availability of the resources. Automated Intrusion Response Systems (AIRS) provide the best possible defense, as well as shortening the delay before administrators come into play. This dissertation improvement the automated reactions against intrusions using machine learning methods. The first propose is evaluating the result of previous responses, in order to get feedback for following inferences. This thesis defines an algorithm to determine the level of success of the inferred response. The objective is the design of a system with adaptive and self-learning capabilities. Artificial Neural Networks are able to provide machine learning in order to get responses classification. Attack prediction is an important method of foreseeing the steps of an attacker and thus, AIRS can execute proactive responses. A novel method based on a extension of the Hidden Markov Model (HMM) definition is design as a second propose. This proposal predicts multi-step attacks using intrusion detection system (IDS) alerts. We consider the hidden states as common phases of a particular type of attack. As a result, it can be easily adapted to multi-step attacks and foresee the next steps of that particular attack. Specifically, we analyze the phases of DDoS (Distributed Denial of Service). DDoS is a great problem in all Internet services. Currently, there is no way to prevent a possible server crash. To achieve this goal, a preliminary off-line training phase based on observations will be required. These observations are obtained by matching the IDS alert information with a database previously built for this purpose using a clusterization method from the Common Vulnerabilities and Exposures (CVE) global database to avoid overfitting. The training model is performed using both unsupervised and supervised algorithms. Once the training is completed and probability matrices are computed, actual IDS alerts will trigger the prediction module by finding the best state sequence using the Viterbi algorithm. The state probability for each step of the multi-step attack in progress is based on the Viterbi and forward-backward algorithms. The training model includes the mean number of alerts and the number of alerts in progress to assist in obtaining the final intrusion probability. The proposed method is validated into a virtual DDoS scenario using current vulnerabilities and we probe the system?s ability to perform real-time prediction.
%D 2018
%K Red Neuronal Artificial, algoritmo de Retropropagaci?n, predicci?n de ataques multi-paso, Modelo de Markov Oculto, Denegaci?n de Servicio Distribuido, respuesta proactiva, aprendizaje autom?tico = Artificial Neural Network, Backpropagation algorithm, multi-step attack prediction, Hidden Markov Model, Distributed Denial of Service, proactive response, machine learning
%I Telecomunicacion
%R 10.20868/UPM.thesis.49463
%L upm49463