• Save
Rene Seguranca Ai Agents
Upcoming SlideShare
Loading in...5
×
 

Rene Seguranca Ai Agents

on

  • 609 views

EVENTO CIIWA:

EVENTO CIIWA:
Infra-estruturas de Simulação e Segurança Inteligente
(Mestre Bruno René - Holos S.A.)
http://www.ciiwa.pt

Statistics

Views

Total Views
609
Views on SlideShare
608
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Rene Seguranca Ai Agents Rene Seguranca Ai Agents Presentation Transcript

  • Segurança, Data Mining e Agentes
  • Apresentação - Tópicos • Segurança • Machine Learning e Data Mining • Agentes • Exemplos reais • Fontes – Machine Learning and Data Mining for Computer Security - Methods and Applications – Springer – Intelligent Agents and Multi Agent Systems – IEEE CEC 2009
  • O sistema mais seguro do mundo
  • Ciclo da Segurança • Falha principal de segurança: as pessoas Responder Proteger Detectar
  • Processo de segurança • Protecção – Implementar Políticas de Segurança – Falível • Detecção – Monitorização de sistemas – Detectar verdadeiros positivos – diminuir falsos positivos – Falível • Resposta – Minimização de danos – Analisar, Recuperar e Melhorar
  • Modelo para Garantia de Segurança
  • Propriedades de Segurança • Confidencialidade – Entidades tem acesso a recursos aos quais têm autorização – Controlo de acesso, Encriptação • Integridade – Modificação de dados apenas por entidades autorizadas – Comparação com versões anteriores, Hashing • Disponibilidade – Recursos disponíveis quando necessários – Limitar uso de recursos do sistema (prevenir Denial-of- Service)
  • Localização da Informação • Processamento – Memória – Protecção contra vazamento de radiação (monitor, CPU, bus de memória), Diferentes Espaços de Memória • Armazenamento – Discos rígidos – Hashing, Controlo de acesso • Transporte/Transmissão – Rede de dados, Tapes, pen drives – Encriptação
  • Processos de Sistema • Tecnologia – Mecanismos de autenticação, controlo de acesso, detecção de intrusão • Práticas e Políticas – Moldar comportamento humano • Educação – Conhecimento, Aceitação e Utilização
  • Machine Learning – Conceitos Básicos • Dados → Modelo • Objectivos – Previsão – Aumentar conhecimento sobre dados actuais • Exemplos – Reconhecer comportamentos – Detecção de intrusão – Criação de Políticas
  • O início: os Dados • Teclas carregadas • Logs HTTP • Logs de execução • Cabeçalhos de pacotes de rede • Sequências de comandos • Executáveis maliciosos • Informação geral sobre utilizadores
  • Tipos de dados • Processar dados em cru para: – Exemplos ou observações • Criação de classificações • Operações – Atributo calculado a partir de outros – Normalização – Discretização – Remoção de atributos irrelevantes
  • A ter em conta… • Um grande quantidade de dados nem sempre facilita a criação de modelos • Cada algoritmo tem os seus pressupostos e limitações (limitado a atributos numéricos ou categóricos, etc) • Custos dos atributos, exemplos e erros
  • Aprendizagem • Algoritmo de: – Aprendizagem – Performance • Tipo de problemas – Detecção: duas classes – Regressão: Predizer valores numéricos – Associações entre atributos – Análise do modelo criado
  • Algoritmos – Aspectos Gerais • Aprendizagem – Supervisionada – Não-supervisionada – clustering – Semi-supervisionada • Processamento – Batch – Stream • Concept Drift – comportamentos dependentes de tempo • Selecção de características • Ranking • Agregação
  • Os algoritmos • Nearest Neighbour • Probabilísticos – Naive Bayes – Kernel Density Estimation • Funções lineares – fronteira linear • Conjunto de decisão – Regras – Árvores • Regras de associação • Redes neuronais
  • Avaliação de Modelos • Hold-out – Conjuntos de Treino e Teste • Leave one out – classificar um exemplo de cada vez • Cross-validation • Medidas – Recall – Precision – F Measure
  • Avaliação II • Algoritmos tem pressupostos mas: • É impossível saber se à partida se o algoritmo vai se comportar bem ou não com os dados em tratamento • Logo, temos de avaliar o maior número de algoritmos
  • Últimas tendências • Métodos Ensemble – Vários algoritmos tomam uma decisão ao mesmo tempo – Unificar decisões • Aprendizagem de sequências – A, ok; B, ok; A->B, ANOMALIA – Intrusão -> sequência de comandos
  • Exemplos - Árvore
  • Clustering
  • Informações adicionais • www.kdnuggets.com • Software – Rapidminer – Free – Weka - Free – Clementine – Miner3d –R – SAS
  • Agentes • Sistemas computacionais autónomos que percepcionam o meio ambiente e agem sobre o mesmo • Agentes inteligentes – percepcionam, analisam, decidem e agem • Dialogam, negoceiam, coordenam
  • Propriedades • Reacção vs Deliberação • Proactividade, motivado por uma meta • Autista vs Social • Rígido vs Flexível, Adaptável • Colaborativo vs Competitivo vs Antagonista • Racional • Mobilidade • Evolutivo • Replicável
  • Agente deliberativo
  • Agente reactivo
  • Propriedades dos ambientes • Observável • Controlável • Previsível, Determinístico, Estocástico ou Caótico • Episódico • Estático vs Dinâmico • Discreto vs Contínuo • Aberto vs Fechado • Markovian vs não-Markovian
  • Modelos • Racional lógico – Acções baseadas em intenções e crenças. Ex: Sistemas de inferência • Racional económico – maximizar preferências • Social – cooperar, coordenar e fazer compromissos de modo a atingir objectivos comuns • Interativos – linguagem comum de interacção • Adaptáveis – Aprendizagem por interacção • Evolutivos – replicações que evoluem
  • Linguagens aplicadas • Implementação: Java, Lisp • Comunicação e Coordenação: KQML • Comportamentos e Leis do meio ambiente: xabsl • Representação de conhecimento: ontologias – Protegé • Especificação de agentes - JADE
  • Aplicações • Busca de informação proactiva e sensível ao contexto em ambientes heterogéneos • Suporte a decisão em ambientes heterogéneos • Manufactura distribuída • Comércio electrónico • Auto gestão de sistemas de comunicação, eléctricos ou de transporte
  • Aplicações • Computação móvel • Tratamento de mensagens • Ambientes de trabalho colaborativo • Monitorização de sistemas, detecção de intrusão e contra-medidas • Simulações de Comando e controle, militares • Interacções entre agentes com diferentes comportamentos (sociologia, psicologia, biologia, antropologia) • Simulações de ataques de rede ou cenários de ataque
  • Informações adicionais • http://www.fipa.org/ • http://jade.tilab.com/ • http://www.software-agent.eu/
  • Detecção de Intrusão • Aproximações usuais – Snort – Proventia – Enterasys • Assinaturas maliciosas no pacotes de rede • Paralelos aos antivirus • Internet Storm Center - http://isc.sans.org/
  • Porque usar data mining? • Alertas diários de intrusão: 850000 – Software de detecção: 99% falsos positivos http://www.internetworldstats.com/stats.htm
  • MITRE • www.mitre.org
  • Processamento • Objectivos – Diminuir alarmes falsos – Optimizar tempo do analista – Agregação por incidente, ordenação por gravidade
  • Soluções • Aprendizagem supervisionada de alarmes falsos – Interface web de classificação • Mapping attacks
  • Soluções • Base de dados de alertas – Criação de novas características além das dadas pelas fontes (facilita agregação) • Classificação de falsos alarmes com árvores de decisão – Overfitting – Iteracção
  • Soluções • Clustering – Usado a seguir à árvore – Grupos de alertas – Outliers: anomalias
  • Características Originais
  • Caracteríticas Calculadas
  • Características Calculadas
  • Características Calculadas Agregadas
  • Agentes e Detecção de Intrusão • Usar uma arquitectura de agentes • Tirar partido da escalabilidade e localidade • Monitorização distribuída da rede • Robustez • Capacidade de resposta
  • Exemplos • Agentes especializados • Agente central coordenador
  • Exemplos • Simulação ataque/defesa informático • Agentes móveis • Simular ataques distribuídos • Analisar vulnerabilidades de uma rede
  • Vantagens • Escalável – Podem-se replicar os agentes na máquinas que forem necessárias • Distribuição de processamento • Tomada de decisão central, utilizando feedback de todos os agentes • Bom para ataques de rede distribuídos
  • Conclusões • No fim o que queremos é: – Um sistema disponível mas seguro • Data mining e Machine Learning – Filtrar ruído: alertas falsos – Encontrar padrões: novas assinaturas para programas de detecção – Novas políticas: procedimentos e comportamentos – Adaptação – Tempo de resposta
  • Conclusões • Agentes – Ambientes heterogéneos – Agentes especialistas – Agentes coordenadores – Agentes móveis – Ambientes distribuídos – Trocas de conhecimentos – Robustez – Monitorização em grande escala – Simulação de cenários • Análise de vulnerabilidades • Teste de sistema
  • Conclusões • Agentes + Machine Learning – Agentes inteligentes – Autonomia de acção – Aprendizagem – Criação e replicação de conhecimento – Ambientes mais seguros mas também disponíveis – Pouca intervenção humana – Evolução – Assimilação de novas situações