Adicionar à colecção (s) Adicionar a salvo
  1. Matemática
  2. Matemática aplicada

sistema de detecção de intrusão baseado em rede neural e

Propaganda 
SISTEMA DE DETECÇÃO DE INTRUSÃO BASEADO EM REDE
NEURAL E IMUNOLOGIA ARTIFICIAL
Descrição Detalhada
João Bosco Mangueira Sobral
1. Documento de Descrição Detalhada
1.1 Introdução
A presente proposta de pesquisa é oriunda do Grupo de Pesquisa em Computação
Distribuída (GPCD-CNPq-UFSC), atuante, desde julho de 2002, no Programa de PósGraduação em Ciência da Computação (PPGCC), e no Departamento de Informática e
Estatística (INE) da UFSC.
Como parte da linha de pesquisa atual, SEGURANÇA DE SISTEMAS COMPUTACIONAIS do
PPGCC, o GPCD está sendo reestruturado com o nome de Research Group in Distributed
Mobile Computing and Network Security (DMC-NS), já que vem tendo o apoio do PARADISE
Research Laboratory, da School of Information Technology and Engeneering (SITE), da
University of Ottawa, no Canadá, através de um acordo de cooperação internacional entre o
GPCD e o PARADISE Reseach Laboratoty.
Atualmente, o DMC-NS desenvolve três dissertações de mestrado, na área de Mobile and
Ubiquitous Computing (Vivian Cremer, Eder Contri, John Jaraceski) e quatro dissertações na
área de Network Security (Clytia Higa Tamashiro, Joelson de Alencar Degaspari, Lucas
Guardalben, André Zimmermann).
O escopo da presente proposta de pesquisa é sobre segurança de rede, abordando a
construção de um IDS, um sistema de detecção de intrusão. Mas, aproveita a experiência e a
utilização dos conceitos de sistema imunológico humano e direciona, em segundo plano, para
uma primeira pesquisa sobre a auto-organização da topologia de redes Wireless Mesh Network
(WMN).
1.2 Breve histórico da pesquisa já realizada
(1) Em dezembro de 2001 foi terminado um primeiro trabalho de dissertação de mestrado na
área, tendo como ponto alto a definição e a implementação de um sistema imunológico
artificial para um IDS que analisa os registros de atividades numa rede convencional de
computadores, fazendo um paralelo entre as características do sistema imunológico humano e
as características básicas de segurança do sistema operacional UNIX (JUCÁ, 2001). Tal
abordagem faz uso uma ferramenta que usa palavras-chaves para análise dos registros de
atividades. Os dados resultantes originam dois conjuntos de registros: o conjunto das atividades
normais no ambiente computacional e o conjunto de atividades intrusivas. Esses conjuntos foram
referenciados como um conjunto self e um conjunto non-self, como estabelecidos na teoria do
sistema imunológico humano. ). Foi estabelecido um paralelo entre os conceitos imunológicos e
a solução computacional proposta. São aplicados aspectos concernentes à arquitetura,
processos de detecção e reação imunológica. Para isso são definidas as funções de órgãos,
células e moléculas, permitindo um comparativo com as ferramentas utilizadas e descritas no
modelo computacional. A partir dos conjuntos self e non-self, foram verificados quais os serviços
de maior utilização na UFSC e quais os serviços mais vulneráveis nos computadores
monitorados. Essa abordagem incorpora algumas características encontradas nos sistemas de
detecção estudados, tais como: análise dos registros de atividades de maneira sequencial,
universalidade do sistema operacional UNIX, e o reconhecimento de anomalias e emissão de
alarmes ao administrador. Esta primeira pesquisa foi realizada no parque computacional da
UFSC, através do Núcleo de Processamento de Dados (NPD) (domínio.ufsc.br) (JUCÁ, 2001).
Este trabalho foi publicado no IPDPS 2002 (JUCÁ, 2002).
(2) Dando seguimento a este primeiro trabalho, em (MACHADO, 2005a) foi realizada uma
extensão denominada “Um Sistema de Detecção de Intrusão de Host baseado em Sistema
Imunológico Artificial”, mas considerando-se a construção de um IDS baseado em host,
distribuído e implementando vários agentes estáticos e móveis sobre o sistema de
imunológico artificial definido anteriormente. O processo de geração de eventos é realizado
pela ferramenta Syslog-ng, a análise pela ferramenta Logcheck e a distribuição, a persistência
dos registros, a incorporação de ações reativas e pró-ativas, implementadas por uma arquitetura
baseada nos agentes móveis. Como diferencial, com relação ao primeiro trabalho, as células B
são implementadas por intermédio de agentes estáticos e móveis com responsabilidades
distintas. Os resultados gerados pelo processo de análise são classificados como ataques,
violações de segurança e eventos de segurança. Uma classe de experimentos em (MACHADO,
2005a) permitiu analisar o desempenho e a segurança de agentes móveis, considerando-se
métodos distintos de mobilidade, transações num banco de dados e tecnologias de rede. A
aplicação foi realizada em dois ambientes computacionais: uma empresa de computação e um
provedor de Internet. Os resultados indicaram uma redução significativa do número de registros
reportados e analisados (em relação ao primeiro trabalho), como também facilitou a observação
e análise eficaz das atividades dos hosts monitorados, possibilitando a implementação de
respostas pró-ativas. Este trabalho foi publicado no IPDPS 2005 (MACHADO, 2005b).
Todo o detalhamento desta pesquisa está em http://www.inf.ufsc.br/~bosco/grupo.html.
(MACHADO, 2005a), através da dissertação de mestrado na íntegra e de do artigo publicado.
Existem figuras importantes, mas pelo tamanho das imagens, não é permitido a submissão de
um arquivo acima de 500kb.
Como submissão (de janeiro de 2006), temos, para o Journal in Computer Communication
(Special Issue on Biological Inspired ...), o artigo "ON THE USE OF ARTIFICIAL IMMUNE
AND MOBILE AGENT TEOLOGIES FOR AN INNOVATIVE INTRUSION DETECTION
SYSTEM” sobre o trabalho (2) em (MACHADO, 2005a).
(3) Uma “Abordagem Simplificada de Detecção de Intrusão Baseada em Redes Neurais
Artificiais”, cuja idéia surgiu da experiência sobre a aplicação de redes neurais em (NOTARE,
2005), é apresentado em (LIMA, 2005a), o qual mostra a construção de um IDS baseado em
rede, considerando uma rede neural artificial como parte de seu mecanismo de detecção de
intrusão. O principal problema que existe com sistemas de detecção de intrusão, puramente
baseados em regras é a defasagem de atualização em relação as constantes formas inéditas de
intrusão e como conseqüência, o suporte de uma base de dados, portando assinaturas de
ataques conhecidos, cada vez maior. A solução proposta em (3) é a rede neural treinada,
aproveitando a característica de aprendizado sobre um conjunto de assinaturas de ataques
conhecidos utilizadas nos IDSs de rede mais conhecidos. Assim, além das formas de ataques
conhecidos, a rede neural permite detectar também, uma proporção significativa, as intrusões
inéditas testadas, variantes das assinaturas conhecidas. Uma característica importante desta
abordagem é o ajuste de falsos negativos e falsos positivos, proporcionado pela variação do
índice de aceitação na saída da rede neural, pois o administrador da rede pode configurar a
solução para atender as necessidades da rede de computadores, onde o modelo está sendo
aplicado.
Um protótipo, chamado I-IDS, foi implementado (LIMA, 2005a). Considerando-se as assinaturas
de ataques conhecidos para treinar a rede neural, o percentual de acertos chegou a 100% de
reconhecimento dos ataques conhecidos. Considerando-se o conjunto de ataques,
representando variantes dos ataques conhecidos (ou seja, ataques desconhecidos), o percentual
de ataques capturados foi em torno de 74% (LIMA, 2005a).
Devido ao fato do conhecimento ser adquirido durante a fase de aprendizado e todas as análises
passarem a ser realizadas a partir desse conhecimento, não é necessário utilizar recursos
computacionais para armazenamento e tratamento de assinaturas em bases de regras, como é o
caso de IDSs convencionais. Após, a obtenção da rede neural treinada adequadamente, seu
conhecimento pode ser replicado para outras estruturas de mesmo tipo.
O modelo possui alguns módulos, onde são aplicadas técnicas de captura de pacotes, análise
léxica, análise semântica, um sub-módulo de pós-processamento que interage com a rede neural
tratando a representação intermediária gerada pelo analisador semântico, de forma a compor um
vetor de estímulos para a rede neural e mais o sub-módulo de rede neural artificial que é o
componente que incorpora a rede neural e é responsável por analisar os vetores de estímulos
reportados pelas camadas inferiores procurando inferir sobre as entradas e informar o grau de
suspeita de cada sessão analisada. A partir de um padrão de aceitação definido pelo
administrador pode-se classificar o tráfego entre normal e intrusivo.e redes neurais de forma a
obter, classificar e analisar o grau de severidade de cada sessão de comunicação ocorrida na
rede de computadores.
De acordo com a classificação de sistemas detectores de intrusos este modelo compõe uma
arquitetura baseada em rede que incorpora métodos de detecção por abuso e anomalia,
freqüência de uso periódico e provendo reações passivas aos eventos detectados.
Todo o detalhamento desta pesquisa sobre detecção de intrusão através de rede neural
está em http://www.inf.ufsc.br/~bosco/grupo.html (LIMA, 2005a) através da dissertação de
mestrado e resumido em um artigo.
1.3 O trabalho a ser realizado:
Objetivos específicos a serem alcançados em (2), ou seja, (MACHADO, 2005a):
 Implementação de outros padrões de reatividade, tornando-o o mais próximo da
diversidade provida pelo sistema imunológico humano.
 Implementação de outros princípios e propriedades do sistema imunológico humano,
entre as quais detecção por abuso.
 Aplicação de outras técnicas inteligentes para a detecção e análise de eventos, tais
como redes neurais (uma experiência já realizada).
Objetivos específicos a serem alcançados em (3), ou seja, (LIMA, 2005a)
 O protótipo implementado em (3) apresenta algumas limitações que devem ser
resolvidas: (a) a inviabilidade de captura de pacotes criptografados, pois a biblioteca
Libpcap não permite decifrar criptografia; (b) modo prosmícuo (captura todos os pacotes)
da interface de rede, que é ativado pelo módulo de captura, necessita que o segmento
monitorado opere em broadcast; (c) a reatividade do I-IDS é apenas passiva, entretanto,
em situações críticas é conveniente que o I-IDS responda de forma ativa a ações
intrusivas.
Baseado nestas experiências anteriores (1) (JUCÄ, 2001), (2) (MACHADOa, 2005) e (3) (LIMAa,
2005), e considerando os objetivos específicos apontados em (2) e (3), propõem-se (4):

(4) A construção de um IDS nos moldes da pesquisa em (2) (MACHADO, 2005),
mas considerando-se, agora, as vantagens de se introduzir uma rede neural, como
em (3), nesta nova proposta de IDS. Então propõe-se aqui uma abordagem híbrida
de IDS (host e rede), com os agentes estáticos e móveis como implementados
anteriormente em (2), na qual pode-se integrar a implementação do modelo de
rede neural de (3), substituindo as ferramentas tradicionais Syslog-ng (geração
dos logs de eventos) e Logcheck (análise de logs), apropriadas para sistemas
operacionais UNIX-like, que caracterizam o IDS em (2). Assim, pretende-se ampliar
a eficiência do modelo de detecção de intrusão do trabalho em (2) para torná-lo
mais dinâmico quanto às tarefas de reconhecimento de intrusões e elaboração de
planos especializados de respostas, considerando os objetivos específicos em (2)
e (3).
A experiência do IDS em (4) pode ser transladada para redes sem fio, criando-se um novo
trabalho de pesquisa (5), como segue:

(5) Adaptação e aplicação deste modelo de segurança em outros ambientes
computacionais, como por exemplo, para redes sem fio, infra-estruturada,
seguindo a padronização Wi-Fi (IEEE 802.11).
A experiência com a natureza do sistema imunológico humano, base dos trabalhos (1) e (2),
proporcionará o embasamento para a definição de um modelo auto-organizacional para redes
sem fio não estruturada, criando-se um novo trabalho de pesquisa (6), como segue:

(6) A partir do modelo auto-organizacional natural do sistema imunológico
humano, é proposto a extensão do protocolo Mobile Mesh (MITRE, 2004)), ao qual
será acrescentado um módulo para prover o controle da topologia, baseado nesse
modelo de auto-organização.
1.4 Atividades do projeto (4):
Após a integração do modelo neural para construir o IDS baseado no sistema imunológico
artificial e nos agentes móveis (4), as seguintes atividades estão previstas para o projeto:
 Avaliação do desempenho de agentes móveis:
o Descrição do método experimental de avaliação de desempenho da mobilidade.
o O método estatístico aplicado.
o Desempenho dos agentes aplicando o método de mobilidade Socket.
o Desempenho dos agentes aplicando o método de mobilidade SocketSSL.
o Desempenho dos agentes em redes Ethernet 10/100/1000 Mbps
o Desempenho da conexão com o BD e da comunicação entre os agentes.
o Análise dos Resultados:
 Tempo de execução e tamanho do segmento de dados.
 Método de mobilidade.
 Método de armazenamento no BD.
 Aplicação do modelo em ambientes computacionais de redes convencionais: um
provedor de Internet e uma empresa de projetos
o Elementos Self e Non-Self.
o Classificação dos registros de atividades.
o Eventos de segurança e os serviços.
o Violações de segurança e os serviços.
o Ataques e os serviços.
o Considerações sobre a aplicação do modelo.
 Detecção de Intrusão por anomalia.
o Eventos normais e anômalos.
o Falsos Positivos.
o Verdadeiros Positivos.
o Verdadeiros Negativos.
 Conclusão
 Artigos para publicação.
1.5 Atividades do projeto (5)
São atividades similares às atividades do projeto (4), mas considerar-se-á o ambiente
computacional sem fio.
1.6 Atividades do projeto (6)
Depois da abstração computacional das propriedades de auto-organização dos sistemas
imunológicos, as seguintes atividades estão previstas para o projeto:
 Criar uma estratégia mais eficiente para descoberta dos nodos vizinhos (Controle da
Topologia) usando sistemas imunológicos
 Estender o nível de auto-organização nas redes em malha sem fio, e comprovar o
desempenho do módulo proposto, simulando-o em ambientes dinâmicos e definindo
como métrica de avaliação o throughput e round-trip-time;
 Criação de uma métrica para demonstrar se o sistema está auto-organizado em
períodos de tempos arbitrários;
 Conclusão
 Artigos para publicação
1.7 Algumas Referências Bibliográficas:
(JUCÁ, 2001) JUCÁ, Kathia Regina Lemos. Um Sistema de Detecção de Intrusão baseado no
Sistema Imunológico Humano com Análise dos Registros de Atividades. 2001. Dissertação
(Mestrado em Ciência da Computação) - Universidade Federal de Santa Catarina, . Orientador:
João Bosco Mangueira Sobral.
(JUCÁ, 2002) JUCÁ, Kathia Regina Lemos; BOUKERCHE, A. ; SOBRAL, J. B. M. . Intrusion
Detection Based on the Immune Human System. In: 16th International Parallel & Distributed
Processing Symposium, 2002, Ft.Lauderdale, Florida, USA. Proceedings of IPDPS (Abstracts
and CD-ROM). Ft. Lauderdale, Florida, USA. : The Printing House, 2002. v. 1. p. 199-199.
(JUCÁ, 2003) JUCÁ, Kathia Regina Lemos; BOUKERCHE, A. ; SOBRAL, J. B. M. ; NOTARE,
Mirela Sechi Moretti Annoni . Human Immune Anomaly and Misuse Based Detection for
Computer System Operations: Part II. In: 17th International Paralell & Distributed Processing
Symposium - Workshop on Nature Inspired Distributed Computing, 2003, Nice. Proceedings of
17th International Paralell & Distributed Processing Symposium, 2003. p. 146-153.
(JUCÁ, 2004) BOUKERCHE, A.; JUCÁ, Kathia Regina Lemos ; SOBRAL, J. B. M. ; NOTARE,
Mirela Sechi Moretti Annoni;. An Artificial Immune based Intrusion Detection Model for Computer
and Telecommunication Systems. Parallel Computing, Published by Elsevier B. V., v. 30, p.
629-646, 2004.
(MITRE, 2004) Mobile Mesh: Providing Solutions For Mobile Adhoc Networking, disponível:
http://www.mitre.org/work/tech_transfer/mobilemesh/, acesso em: Abril de 2006.
(MACHADO, 2005a) MACHADO, Renato Bobsin; Um Sistema de Detecção de Intrusão de Host
baseado em Sistema Imunológico Artificial. Fevereiro de 2005. Dissertação (Mestrado em
Ciência da Computação) - Universidade Federal de Santa Catarina, . Orientador: João Bosco
Mangueira Sobral.
(MACHADO, 2005b) MACHADO, Renato Bobsin; SOBRAL, J. B. M. ; JUCÁ, Kathia Regina
Lemos ; NOTARE, Mirela Sechi Moretti Annoni . A Hibrid Artificial Immune and Mobile Agent
Intrusion Detection Based Model for Computer Network Operations. In: 18th International Parallel
and Distributed Processing Symposium, Abril de 2005, Denver. Proceedings of IPDPS 2005,
2005.
(LIMA, 2005a) LIMA, Igor Vinicius Mussoi de; Uma Abordagem Simplificada de Detecção de
Intrusão Baseada em Redes Neurais Artificiais. Fevereiro de 2005. Dissertação (Mestrado em
Ciência da Computação) - Universidade Federal de Santa Catarina. Orientador: João Bosco
Mangueira Sobral.
(LIMA, 2005b) LIMA, Igor Vinicius Mussoi de; Dezembro de 2005. In Proceedings of 4th
International Information and Telecommunication Technologies Symposium (CD em anexo),
Dezembro de 2005, Florianópolis, Brazil.
(ZANCHETT, 2005) ZANCHETT, Carla Adriana Barvinski. Metamodelagem de Sistemas
Imunológicos Artificiais com Metamodel Object Facility. Maio de 2005. Dissertação (Mestrado em
Ciência da Computação) - Universidade Federal de Santa Catarina. Orientador: João Bosco
Mangueira Sobral.
(NOTARE, 2005) BOUKERCHE, A.; NOTARE, Mirela Sechi Moretti Annoni. JUCÁ, Kathia
Regina Lemos ; SOBRAL, J. B. M. ; Handbook of Bioinspired Algorithms and Applications,
Edited by Stephan Olariu and Albert Y. Zomaya, Section II, Chapter 23, p.359-372, Chapman &
Hall/CRC Computer and Information Science Series, ISBN 1584884754, 2005.
1.7 Projetos de Pesquisa Relacionados:
Nas dissertações de mestrado, (JUCÁ, 2001), (MACHADO, 2005a), (LIMA, 2005a), estão
descritos alguns projetos importantes sobre IDS que serviram de base para nossos trabalhos.
2.0 Anexos
2.1 Nesta seção deve-se incluir os documentos descritos em "Requisitos/Características
Necessárias" no Formulário de Propostas de acordo com a modalidade selecionada.
"Requisitos/Características Necessárias"
http://www.cnpq.br/bolsas_auxilios/modalidades/modalidades.htm
http://www.cnpq.br/bolsas_auxilios/normas/is0105.htm
2.2 Documentos indispensáveis para inscrição
a) Formulário eletrônico de proposta, preenchido pelo solicitante, incluindo projeto de
pesquisa evidenciando originalidade, relevância científica e/ou tecnológica e viabilidade técnica,
bem como relatório técnico do período anterior, quando pertinente. Ver 1.
b) Currículo na Plataforma Lattes.
em nome de JOÃO BOSCO MANGUEIRA SOBRAL
Obtido diretamente do CNPq em:
http://lattes.cnpq.br/2380856454536056
http://buscatextual.cnpq.br/buscatextual/visualizacv.jsp?id=K4721547P6
c) Outros Participantes:
Renato Bobsin Machado, MSc. PPGCC/UFSC, 2005, pesquisa em IDS com agentes e
sistema imunológico, como em (2).
CV Lattes em http://lattes.cnpq.br/8407723021436270
Igor Vinícius Mussoi de Lima, MSc. PPGCC/UFSC, 2005, pesquisa em IDS com rede
neural, como em (3).
CV Lattes em http://lattes.cnpq.br/4304716098173878
Joelson de Alencar Degaspari, mestrando PPGCC, 2006, integração de rede neural no
IDS com agentes e sistema imunológico, como em (4).
CV Lattes em http://lattes.cnpq.br/3747478741712271
http://buscatextual.cnpq.br/buscatextual/visualizacv.jsp?id=K4746257P5
Lucas Guardalben, mestrando PPGCC, 2006, auto-organização da topologia em redes
Wireless Mesh, a partir da auto-organização natural do sistema imunológico humano, como
em (6))
CV Lattes em http://lattes.cnpq.br/6918773816873237
Documentos relacionados
conforme o modelo
conforme o modelo
Colégio Alternativo 2º ano de Ensino Médio Biologia Professora
Colégio Alternativo 2º ano de Ensino Médio Biologia Professora
Embriologia
Embriologia
ANÁLISE DE RELAÇÕES SINÁPTICAS CEREBRAIS - unip
ANÁLISE DE RELAÇÕES SINÁPTICAS CEREBRAIS - unip
Mobilização Neural como um Recurso Fisioterapêutico
Mobilização Neural como um Recurso Fisioterapêutico
A criança com HIV e a Atuação da Enfermagem
A criança com HIV e a Atuação da Enfermagem
Conceitos de Segurança Física e Segurança Lógica
Conceitos de Segurança Física e Segurança Lógica
QUESTÕES PARA MARATONA CULTURAL (GEOGRAFIA) 8º ANO
QUESTÕES PARA MARATONA CULTURAL (GEOGRAFIA) 8º ANO
UNIVERSIDADE ESTADUAL DE SANTA CRUZ
UNIVERSIDADE ESTADUAL DE SANTA CRUZ
CELSO ROGÉRIO KLAMMER FILOSOFIA E ÉTICA CLAUDIOMIRO
CELSO ROGÉRIO KLAMMER FILOSOFIA E ÉTICA CLAUDIOMIRO
neurorradiologia cérebro vida
neurorradiologia cérebro vida
Os superalimentos são fonte de rejuvenescimento
Os superalimentos são fonte de rejuvenescimento
SISTEMA PARA DETECÇÃO DE EXPLOITS NO LINUX Fernando
SISTEMA PARA DETECÇÃO DE EXPLOITS NO LINUX Fernando
GABARITO
GABARITO
um sistema de detecção de intrusão
um sistema de detecção de intrusão
Mais info Enada
Mais info Enada
EMBRIOLOGIA HUMANA
EMBRIOLOGIA HUMANA
Download
Propaganda