sistema inteligente para la prevencion de intrusos
DESCRIPTION
Sistema Inteligente Para La Prevencion de IntrusosTRANSCRIPT
-
Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin Clnica Descentralizada
Ivn Pau de la Cruz - [email protected] Gago Garca - [email protected] ngel Valero Duboy - [email protected]
Departamento de Ingeniera y Arquitecturas Telemticas DIATELEscuela Universitaria de Ingeniera Tcnica de Telecomunicacin EUITTUniversidad Politcnica de Madrid UPM
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Contexto
Desarrollado en el seno del grupo de investigacin de seguridad en redes telemticas del Dpto. DIATEL EUIT de Telecomunicacin (UPM).Enmarcado en una lnea de investigacin basada en el estudio y securizacin de entornos muy sensibles.n Centros Sanitarios, informacin sanitaria de pacientes, etc.
El presente trabajo: Paliar algunas deficiencias de seguridad detectadas en las redes sanitarias espaolas usando Sistemas Inteligentes aplicados a los Sistemas de Deteccin de Intrusos
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Objetivos del Trabajo
Se persigue mejorar los servicios de seguridad de las redes hospitalarias.n Objetivo Principal: aplicar los Sistemas de
Deteccin de Intrusos a los entornos de red clnicos.
n Objetivo de la ponencia: Mejorar la respuesta de los Sistemas de Deteccin de Intrusos ante ataques no conocidos previamente.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Redes Hospitalarias
Las polticas actuales de interrelacin de centros sanitarios exigen una interconexin de sus sistemas de informacin.
Toda la informacin sanitaria de los pacientes se encuentra en su Historia Clnica Electrnica (HCE).
Los Sistemas de Informacin deben comunicarse para permitir una gestin adecuada de las HCE de los pacientes.n Permitir la consulta, actualizacin, modificacinn La interconexin es llevada a cabo por aplicaciones telemticas
propietarias que se encargan de todo el proceso.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Seguridad en las Redes Hospitalarias
La legislacin espaola exige una correcta custodia y gestin de la HCE.n Informacin muy sensible.n No se permite el acceso a esta informacin por personal
que no est habilitado para ello.Las aplicaciones encargadas de la gestin del HCE se encargan de proveer los mecanismos necesarios para satisfacer los requisitos de seguridad existentes.n Confidencialidad, integridad, control de acceso, etc.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
El problema
Las aplicaciones de gestin deben garantizar el acceso lcito a la informacin, sin embargo...n Qu ocurre cuando existen ataques externos a
la aplicacin?.n Qu ocurre cuando los ataques los realizan
usuarios lcitos de la aplicacin realizando acciones que pueden parecer lcitas?
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Una posible solucin
Uso de sistemas externos de apoyo a la aplicacin.n Cortafuegos.n Sistemas de Deteccin de Intrusos (IDS).
Objetivo principal: Uso de los IDS para prevenir ataques externos basados en vulnerabilidades y de comportamientos sospechosos por parte del personal sanitario.n Deteccin de Intrusos.n Deteccin de comportamientos anmalos (Identidades
Intrusas).
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
IDS.
Realiza monitorizacin e interpretacin de los eventos ocurridos en determinadas entidades bajo observacin.n Su principal objetivo es identificar procedimientos
malintencionados que pongan en peligro los servicios de un sistema.
Bloques Funcionales de un IDS.Tipos de Deteccin:n Usos Indebidos.n Anomalas.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Taln de Aquiles de los IDS.
Cuando existen variaciones en los patrones de deteccin el IDS no es capaz de reconocer usos indebidos.n La capacidad de Deteccin de un IDS es muy
dependiente de la frecuencia de la rapidez de actualizacin de sus reglas.
Esta situacin mejorara si el IDS fuese capaz de reconocer anomalas.n Se usan varias tcnicas pero suelen ser poco amoldables
al problema planteado.n Podran usarse sistemas que aprenden???
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Redes Neuronales (NN).
Sistema de procesado de informacin inspirado en la neurona. Tiene capacidad de aprender patrones de clasificacin a partir de un conjunto de muestras dadas.n Generaliza los resultados, pudiendo manejar pequeas
variaciones en los patrones.Diseo de la red.n Topologa, morfologa y parmetros de funcionamiento.n Mtodo de Aprendizaje.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Objetivo de la Ponencia.
Aplicar la tecnologa de redes neuronales, que permite realizar tareas de clasificacin de patrones con la capacidad de generalizacin y aprendizaje que no tienen otras tecnologas, en la fase de anlisis de los IDS.n Se podrn detectar anomalas que supongan una
variacin (obvia o no) de los patrones vistos anteriormente.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura Propuesto.
Se definir en dos niveles:nArquitectura fsica.nTipo de IDS a utilizar.nTipo de NN a utilizar.
nArquitectura lgica.nBloques del proceso de anlisis basado en
IDS.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura Propuesto. Arquitectura Fsica.
Topologa de IDS.
Definicin de la NN:n Tipo de NN: Asociador de Patrones.n Implementacin de la NN:
n Multicapa feed-forward (Perceptrn multicapa).n Algoritmo de aprendizaje: Backpropagation.n Regla de aprendizaje: Delta Generalizada.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura propuesto. Arquitectura Lgica (I).
Diseo del motor de anlisis del IDS.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura propuesto. Arquitectura Lgica (II).
Procesador Selectivo (I).
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura propuesto. Arquitectura Lgica (III).
Procesador Selectivo (II). Procesador de Protocolo.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura propuesto. Arquitectura Lgica (IV).
Procesador Comportamiento (I).
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Modelo de Arquitectura propuesto. Arquitectura Lgica (V).
Procesador Comportamiento (II). Mdulo Analizador de Comportamiento.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Implementacin (I).
Estado Actual.n Varios desarrollos en paralelo.
nRed neuronal de procesado selectivo.n Simulacin de red sanitaria.n Red neuronal de procesado de comportamiento.n Integracin de los motores de anlisis basados en
NN con el motor de anlisis de un IDS ya creado.nUso de Snort.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Implementacin (II).
Software de Creacin y Simulacin de NN.n Se ha usado el JNNS y aplicaciones propias
para la creacin de FlashCode.
Ensayos de distintas topologas de red neuronal.n Medicin de resultados para cada tipo de
topologa.
Entrenamiento iterativo de la red.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Resultados.
95%Binaria96-30-15-4-1
68%Binaria96-20-1
88%Normalizada10-7-4-1
80%Normalizada12-9-5-1
63%Normalizada12-8-1
EFICIENCIACODIFICACINTOPOLOGIA
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
ndice de la exposicin
Redes Hospitalariasn Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales
Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica
ImplementacinResultadosConclusiones
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Conclusiones y Trabajos Futuros.
Conclusiones:n La interconexin de los Sistemas de Informacin
sanitaria requieren el apoyo de sistemas externos para proveer servicios de seguridad que salvaguarden la HCE.n Los IDS son una buena herramienta para ello.
n Las Redes Neuronales pueden suponer un complemento muy importante en la fase de anlisis de los IDS.
n Su eficiencia depende de encontrar una arquitectura de NN adecuada.n Unin de topologa, comportamiento y gestin de patrones.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Final de la Presentacin
[email protected] de Telecomunicacin DIATELhttp://www.diatel.upm.eshttp://www.euitt.upm.es
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
IDS. Bloques Funcionales
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Implementacin. NN y Entrenamiento.
-
CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin
Clnica Descentralizada
Implementacin (II).
Gestin de Patrones.n Obtencin de los patrones de entrenamiento y
prueba.nA travs de portales de Internet.n Se deben obtener un nmero adecuado de patrones.
n Codificacin de los patrones para entrada a la red diseada.n Se han ensayado varios tipos de codificacin.