sistema inteligente para la prevencion de intrusos

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin Clnica Descentralizada

Ivn Pau de la Cruz - [email protected] Gago Garca - [email protected] ngel Valero Duboy - [email protected]

Departamento de Ingeniera y Arquitecturas Telemticas DIATELEscuela Universitaria de Ingeniera Tcnica de Telecomunicacin EUITTUniversidad Politcnica de Madrid UPM

CIBSI 2005Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Clnica Descentralizada

Contexto

Desarrollado en el seno del grupo de investigacin de seguridad en redes telemticas del Dpto. DIATEL EUIT de Telecomunicacin (UPM).Enmarcado en una lnea de investigacin basada en el estudio y securizacin de entornos muy sensibles.n Centros Sanitarios, informacin sanitaria de pacientes, etc.

El presente trabajo: Paliar algunas deficiencias de seguridad detectadas en las redes sanitarias espaolas usando Sistemas Inteligentes aplicados a los Sistemas de Deteccin de Intrusos



Objetivos del Trabajo

Se persigue mejorar los servicios de seguridad de las redes hospitalarias.n Objetivo Principal: aplicar los Sistemas de

Deteccin de Intrusos a los entornos de red clnicos.

n Objetivo de la ponencia: Mejorar la respuesta de los Sistemas de Deteccin de Intrusos ante ataques no conocidos previamente.



ndice de la exposicin

Redes Hospitalariasn Problems y planteamiento de Soluciones.

Estudio de los Sistemas de Deteccin de Intrusosn Aplicacin de Redes Neuronales

Modelo de Arquitectura Propueston Arquitectura Fsican Arquitectura Lgica

ImplementacinResultadosConclusiones



Redes Hospitalarias

Las polticas actuales de interrelacin de centros sanitarios exigen una interconexin de sus sistemas de informacin.

Toda la informacin sanitaria de los pacientes se encuentra en su Historia Clnica Electrnica (HCE).

Los Sistemas de Informacin deben comunicarse para permitir una gestin adecuada de las HCE de los pacientes.n Permitir la consulta, actualizacin, modificacinn La interconexin es llevada a cabo por aplicaciones telemticas

propietarias que se encargan de todo el proceso.



Seguridad en las Redes Hospitalarias

La legislacin espaola exige una correcta custodia y gestin de la HCE.n Informacin muy sensible.n No se permite el acceso a esta informacin por personal

que no est habilitado para ello.Las aplicaciones encargadas de la gestin del HCE se encargan de proveer los mecanismos necesarios para satisfacer los requisitos de seguridad existentes.n Confidencialidad, integridad, control de acceso, etc.



El problema

Las aplicaciones de gestin deben garantizar el acceso lcito a la informacin, sin embargo...n Qu ocurre cuando existen ataques externos a

la aplicacin?.n Qu ocurre cuando los ataques los realizan

usuarios lcitos de la aplicacin realizando acciones que pueden parecer lcitas?



Una posible solucin

Uso de sistemas externos de apoyo a la aplicacin.n Cortafuegos.n Sistemas de Deteccin de Intrusos (IDS).

Objetivo principal: Uso de los IDS para prevenir ataques externos basados en vulnerabilidades y de comportamientos sospechosos por parte del personal sanitario.n Deteccin de Intrusos.n Deteccin de comportamientos anmalos (Identidades

Intrusas).



IDS.

Realiza monitorizacin e interpretacin de los eventos ocurridos en determinadas entidades bajo observacin.n Su principal objetivo es identificar procedimientos

malintencionados que pongan en peligro los servicios de un sistema.

Bloques Funcionales de un IDS.Tipos de Deteccin:n Usos Indebidos.n Anomalas.



Taln de Aquiles de los IDS.

Cuando existen variaciones en los patrones de deteccin el IDS no es capaz de reconocer usos indebidos.n La capacidad de Deteccin de un IDS es muy

dependiente de la frecuencia de la rapidez de actualizacin de sus reglas.

Esta situacin mejorara si el IDS fuese capaz de reconocer anomalas.n Se usan varias tcnicas pero suelen ser poco amoldables

al problema planteado.n Podran usarse sistemas que aprenden???



Redes Neuronales (NN).

Sistema de procesado de informacin inspirado en la neurona. Tiene capacidad de aprender patrones de clasificacin a partir de un conjunto de muestras dadas.n Generaliza los resultados, pudiendo manejar pequeas

variaciones en los patrones.Diseo de la red.n Topologa, morfologa y parmetros de funcionamiento.n Mtodo de Aprendizaje.



Objetivo de la Ponencia.

Aplicar la tecnologa de redes neuronales, que permite realizar tareas de clasificacin de patrones con la capacidad de generalizacin y aprendizaje que no tienen otras tecnologas, en la fase de anlisis de los IDS.n Se podrn detectar anomalas que supongan una

variacin (obvia o no) de los patrones vistos anteriormente.



Modelo de Arquitectura Propuesto.

Se definir en dos niveles:nArquitectura fsica.nTipo de IDS a utilizar.nTipo de NN a utilizar.

nArquitectura lgica.nBloques del proceso de anlisis basado en

IDS.



Modelo de Arquitectura Propuesto. Arquitectura Fsica.

Topologa de IDS.

Definicin de la NN:n Tipo de NN: Asociador de Patrones.n Implementacin de la NN:

n Multicapa feed-forward (Perceptrn multicapa).n Algoritmo de aprendizaje: Backpropagation.n Regla de aprendizaje: Delta Generalizada.



Modelo de Arquitectura propuesto. Arquitectura Lgica (I).

Diseo del motor de anlisis del IDS.



Modelo de Arquitectura propuesto. Arquitectura Lgica (II).

Procesador Selectivo (I).



Modelo de Arquitectura propuesto. Arquitectura Lgica (III).

Procesador Selectivo (II). Procesador de Protocolo.



Modelo de Arquitectura propuesto. Arquitectura Lgica (IV).

Procesador Comportamiento (I).



Modelo de Arquitectura propuesto. Arquitectura Lgica (V).

Procesador Comportamiento (II). Mdulo Analizador de Comportamiento.



Implementacin (I).

Estado Actual.n Varios desarrollos en paralelo.

nRed neuronal de procesado selectivo.n Simulacin de red sanitaria.n Red neuronal de procesado de comportamiento.n Integracin de los motores de anlisis basados en

NN con el motor de anlisis de un IDS ya creado.nUso de Snort.



Implementacin (II).

Software de Creacin y Simulacin de NN.n Se ha usado el JNNS y aplicaciones propias

para la creacin de FlashCode.

Ensayos de distintas topologas de red neuronal.n Medicin de resultados para cada tipo de

topologa.

Entrenamiento iterativo de la red.



Resultados.

95%Binaria96-30-15-4-1

68%Binaria96-20-1

88%Normalizada10-7-4-1

80%Normalizada12-9-5-1

63%Normalizada12-8-1

EFICIENCIACODIFICACINTOPOLOGIA



Conclusiones y Trabajos Futuros.

Conclusiones:n La interconexin de los Sistemas de Informacin

sanitaria requieren el apoyo de sistemas externos para proveer servicios de seguridad que salvaguarden la HCE.n Los IDS son una buena herramienta para ello.

n Las Redes Neuronales pueden suponer un complemento muy importante en la fase de anlisis de los IDS.

n Su eficiencia depende de encontrar una arquitectura de NN adecuada.n Unin de topologa, comportamiento y gestin de patrones.



Final de la Presentacin

[email protected] de Telecomunicacin DIATELhttp://www.diatel.upm.eshttp://www.euitt.upm.es



IDS. Bloques Funcionales



Implementacin. NN y Entrenamiento.



Implementacin (II).

Gestin de Patrones.n Obtencin de los patrones de entrenamiento y

prueba.nA travs de portales de Internet.n Se deben obtener un nmero adecuado de patrones.

n Codificacin de los patrones para entrada a la red diseada.n Se han ensayado varios tipos de codificacin.

sistema inteligente para la prevencion de intrusos

Documents