Una Arquitectura Multiagente Inteligente para la Detección de Intrusos
1. Una Arquitectura Multiagente Inteligente para la Detección de Intrusos Proyecto financiado por Xunta de Galicia Programa TIC Equipo investigador: A. Alonso Betanzos, J.A. Suárez Romero, B. Guijarro Berdiñas, O. Fontenla Romero, N. Sánchez Maroño, V. Moret Bonillo, M. Cabrero Canosa, E. Hernández Pereira, E. Mosqueira Rey, A. Fernández Leal Universidad de A Coruña. Grupo LIDIA
17. Arquitectura propuesta Agentes de Prevención Agentes de Información Agentes de Evidencias Agentes Especiales Agentes de Recolección de Evidencias
18. Arquitectura propuesta Agentes de Prevención Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Respuesta
19. Arquitectura propuesta Agentes de Prevención Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Agentes de Detección
20. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Y Agentes de Interfaz
21. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección A priori cualquier agente podría establecer una relación con dos o más agentes de otro tipo de manera totalmente dinámica
22. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Información proveen de la información que necesitan el resto de los agentes. Debido a las diferentes necesidades existen múltiples Agentes de Información
23. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Normalmente, esta información será obtenida a partir de los recursos a proteger Recursos de Información 10.10.40.12 10.10.40.11
24. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Debido a que cierto tipo de información se obtiene a partir de informaciones más simples, los agentes pueden establecer grupos de forma dinámica Recursos de Información 10.10.40.12 10.10.40.11
25. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Prevención se encargan de prevenir o dificultar los ataques a los sistemas Recursos de Información 10.10.40.12 10.10.40.11
26. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección La prevención es el aspecto de seguridad más desarrollado y empleado. Los cortafuegos o los antivirus son claros ejemplos de ello Recursos de Información Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
27. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Nuestro sistema tratará de reutilizar estos elementos mediante agentes que “representen” a dichos elementos de prevención Recursos de Información Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
28. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Detección tratan de encontrar intrusiones o intentos de intrusión. Nuestro sistema podrá emplear múltiples técnicas a través de diferentes agentes Recursos de Información Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
29. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Detección podrán establecer grupos entre ellos, bien para establecer jerarquías para monitorizar diferentes niveles del sistema a proteger, bien para obtener técnicas de detección complejas a partir de técnicas más simples Recursos de Información Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
30. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Respuesta son los encargados de actuar cuando se detecta un ataque o intento de ataque. Según la naturaleza y tipo del ataque, se podrá tener diferentes políticas de respuesta, por lo que el sistema contará con distintos agentes Recursos de Información Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
31. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Recolección de Evidencias tratan de recoger pistas que informen de las causas que han permitido una intrusión, con el objeto de realizar un análisis forense del sistema Recursos de Información Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
32. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Los Agentes de Interfaz son los intermediarios entre el sistema y los usuarios del mismo. Así el sistema ve a los usuarios como si fuesen agentes Recursos de Información Administrador Gestor Recursos Convencionales Existentes 10.10.40.12 10.10.40.11 Antivirus
33. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Esto permite, por ejemplo, que los Agentes de Interfaz puedan aprender de los usuarios, y que éstos puedan interactuar con el sistema de múltiples maneras Recursos de Información Administrador Gestor API HTML SNMP Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus
34. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Por último, los Agentes Especiales se encargan de las tareas específicas y necesarias para el buen funcionamiento del sistema, como el mantenimiento o la provisión de servicios Recursos de Información Administrador Gestor API HTML SNMP Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus
35. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección En este orden, podemos integrar servicios ya existentes en la organización dentro de nuestra arquitectura Recursos de Información Administrador Gestor API HTML SNMP Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus PKI Sistema Multiagente
36. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Veamos un ejemplo simple de funcionamiento Recursos de Información Administrador Gestor API HTML SNMP Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus PKI Sistema Multiagente
37. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Recursos de Información Administrador Gestor API HTML SNMP Supongamos que tenemos una red local con dos máquinas a proteger 10.10.40.0 Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus PKI Sistema Multiagente 10.10.40.14 10.10.40.13
38. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Recursos de Información Administrador Gestor API HTML SNMP 10.10.40.0 Podríamos tener un Agente de Detección en cada una de las máquinas Un agente que detectase ataques a la red tendría que colaborar con estos dos agentes Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus PKI Sistema Multiagente 10.10.40.14 10.10.40.13 AD 1 AD 2 AD 3
39. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Recursos de Información Administrador Gestor API HTML SNMP 10.10.40.0 Supongamos ahora que un usuario se conecta a una máquina como usr1 y luego salta a otra como usr2 Recursos Convencionales Existentes Recursos de Interacción 10.10.40.12 10.10.40.11 Antivirus PKI Sistema Multiagente 10.10.40.14 10.10.40.13 usr1 usr2
40. Arquitectura propuesta Agentes de Prevención Agentes de Interfaz Agentes de Información Agentes de Respuesta Agentes de Evidencias Agentes Especiales Agentes de Detección Recursos de Información Administrador Gestor API HTML SNMP 10.10.40.0 Si un agente quisiese saber quién es en realidad el usuario usr2 tendría que contactar con un Agente de Información que proporcionase dicha información Recursos Convencionales Existentes Recursos de Interacción Posiblemente este agente tendría que contactar con otros Agentes de Información para poder alcanzar su objetivo 10.10.40.12 10.10.40.11 Antivirus PKI Sistema Multiagente 10.10.40.14 10.10.40.13 usr1 usr2 AI 2 AI 1 AI 3
41.
42. Redes de Neuronas Artificiales Las redes de neuronas artificiales se inspiran en las redes de neuronas naturales SALIDAS ENTRADAS
43.
44.
45. Aprendizaje en paralelo PROBLEMA Un problema se subdivide en distintas tareas que realizan varios agentes paralelamente
46. Aprendizaje incremental Un agente es capaz de aprender nuevos ejemplos sin necesidad de volver a enseñarle los ejemplos antes aprendidos Como resultado del aprendizaje incremental y paralelo, los agentes se pueden unir trasmitiendo su conocimiento NUEVOS DATOS
47.
48. Resultados Tamaño del conjunto de aprendizaje % Error Se ha mejorado el método propuesto modificando la función de coste. Gracias a esto, se obtiene un error más bajo y además con menor número de muestras 70 40 Método propuesto Método propuesto mejorado