Conclusiones - Sistema de respuesta a intrusiones proactivo basado en modelos de Markov y redes

Este capítulo comienza con conceptos básicos sobre ciberseguridad, incluyendo ataques y sistemas de seguridad.

Una de las partes se centra en el estado del arte de algunos sistemas de defensa perimetral, explicando los principales tipos y clasificación de los mismos. La automatización es impor- tante debido a que la mayoría de los ataques, incluidos los APTs, utilizan la automatización. De modo que un método de protección manual no escala contra la automatización de los ataques. Los AIRSs son una tecnología de seguridad que tiene por objetivo seleccionar respuestas contra las intrusiones detectadas por los IDSs de forma automática basado en una serie de métricas para la mitigación de ataques o reducir su impacto.

Los métodos que las organizaciones usan contra los ataques tradicionales se basa en una seguridad reactiva. Esperan un signo visible para tomar una acción de respuesta basado en que el tiempo en el que el atacante causa daño a la organización es mayor que el tiempo que toma la detección y reacción al ataque. Para tratar ataques más sofisticados o ataques basados en APT es necesario moverse desde el enfoque reactivo a la proactividad. Esto se debe a que una vez que se detecta un ataque de este tipo utilizando mecanismos tradicionales de seguridad, es posible que sea tarde y que el atacante haya conseguido su objetivo, por ello la detección temprana es crítica para evitar en la mayor medida los daños en la organización. El proceso de detección temprana está ligado al concepto de predicción de ataques. La identificación de los distintos pasos de un ataque es imprescindible para llevar a cabo la predicción temprana. De este modo se introduce el concepto de ataque multi-paso como las distintas fases que realiza un atacante para conseguir un objetivo. Además, se muestran varios ejemplos de escenarios de ataque propuestos en el entorno de investigación en este ámbito.

Otro parte clave para la evolución de los sistemas de protección es hacer frente al dina- mismo de los ataques con el concepto de auto-aprendizaje. En este sentido, si los sistemas de protección son capaces de adaptarse de manera autónoma, mejorará la eficacia contra la sofisticación de los ataques. A este respecto hay algunos estudios previos que basan el aprendizaje de los AIRSs a partir de la eficiencia en respuestas anteriores como es el caso de ADEPTS con una solución poco rigurosa y la propuesta incluida en [ML13] con mayor rigor pero con el inconveniente de tener que asignar un número de umbrales muy alto.

predictivo y un mecanismo para el aprendizaje autónomo de los sistemas de respuestas a intrusiones de tal manera que se obtenga unSistemas de Respuestas a Intrusiones Proactivo y Autónomo, aunque estos conceptos también puedan ser utilizado en otro tipo de sistemas, como por ejemplo para el análisis dinámico del riesgo.

3

MECANISMOS DE APRENDIZAJE AUTOMÁTICO

3.1 Introducción

Ambas contribuciones de la tesis doctoral se basan en la aplicación de un mecanismo de Aprendizaje Automático. De este modo es posible dotar al AIRS de auto-aprendizaje y de capacidad de predicción frente a los distintos ataques.

El Aprendizaje Automático oMachine Learningforma parte de una rama de la Inteligen- cia Artificial cuyo objetivo es desarrollar técnicas de aprendizaje. Dentro de este grupo, hay diversas técnicas de aprendizaje [HA03]. Se trata de algoritmos que son capaces de generali- zar comportamientos a partir de muestras basadas en observaciones pasadas. El Aprendizaje Automático es una disciplina científica que se focaliza en la problemática de hacer predic- ciones precisas de un conjunto de datos basado en observaciones pasadas.

Hay una gran variedad de métodos de Aprendizaje Automático, cada uno de los cuales tienen distintas propiedades. En la Tabla 3.1.1 muestra una comparativa de varios modelos de

Sistema Ro b us te z Solució n únic a T ra nsp ar en ci a Eficie n ci a T ole ra n ci a a ruidos So b re ajus te D at os in co mple tos En tr en amie n to T es t P ar ám etr os adicio n ale s

Máxima entropía + + - + + - + lento rápido + Boosting + + + + - + + lento rápido -

HMM + + + + - - + lento lento -

Red Neuronal + - - + + +/- - lento lento - Red Bayesiana +/- + + - + + + lento lento + Clasificador de Naive Bayes +/- + + - + - + lento lento -

SVM +/- + - + - - - lento lento -

Tabla 3.1.1: Comparativa de sistemas de Aprendizaje Automático

aprendizaje automático ampliamente utilizados dentro de distintos dominios. Para mayor información sobre cada uno de estos modelos consulte la referencia [Mac10]. En concreto se puede observar características básicas de cada uno de ellos, como la robustez del modelo, la transparencia, la eficiencia, la tolerancia a ruidos, como maneja los sobreajustes y los datos incompletos, el tiempo de entrenamiento y test.

Hay una gran variedad de sistemas de aprendizaje que se utilizan hoy en día para todo tipo de aplicaciones. La clasificación de estos algoritmos se divide en: supervisados, no supervisados, semi-supervisados, reforzado, por transducción, y el denominado learning to learn.

• Los algoritmos supervisados producen una función de correspondencia tras mostrarle las entradas y las salidas deseadas del sistema; con ello se consigue la supervisión del aprendizaje por un maestro, es decir, que el aprendizaje va guiado por el conocimiento previo aportado.

un conjunto de ejemplos formado tan sólo por entradas al sistema. No se tiene infor- mación sobre las categorías de esos ejemplos. Por lo tanto, en este caso, el sistema tiene que ser capaz de reconocer patrones para poder etiquetar las nuevas entradas.

• Los semi-supervisados combinan los dos algoritmos anteriores para poder clasificar de manera adecuada.

• El aprendizaje reforzado observa el mundo que le rodea, es decir, la información de entrada es la retroalimentación que obtiene como respuesta a sus acciones. Por lo tanto, el sistema aprende a base de ensayo-error.

• El aprendizaje por transducción es similar al aprendizaje supervisado, pero no cons- truye de forma explícita una función. Trata de predecir las categorías de los futuros ejemplos basándose en los ejemplos de entrada, sus respectivas categorías y los ejemplos nuevos del sistema.

• Learning to learn el algoritmo aprende de su propio bias basado en experiencias pre- vias.

Los sistemas de aprendizaje tienen en común una serie de desventajas como la necesidad de una gran cantidad de ejemplares para el entrenamiento, fases de entrenamiento lentas y necesidad de proponer métodos para evitar sobreajuste y convergencia en máxi- mos/mínimos locales.

A continuación se van a detallar dos métodos de Aprendizaje Automático, que van a ser utilizados para el desarrollo de las contribuciones de la tesis doctoral. El primero de ellos, las Redes Neuronales Artificiales, se clasifican dentro de los algoritmos bio-inspirados y el segundo, los Modelos de Markov Ocultos, se clasifican en la categoría de aprendizaje esta- dístico.

Figura 3.2.1: Neurona del sistema nervioso [MM17]

In document Sistema de respuesta a intrusiones proactivo basado en modelos de Markov y redes neuronales (página 69-75)