Contribución a la Automatización de Sistemas de Respuesta …posgrado/web2015-2016...

Contribución a la Automatización de Sistemas de Respuesta frente a Intrusiones mediante

Ontologías

Verónica Mateos Lanchas Ingeniero de Telecomunicación

Director: Víctor A. Villagrá González

Doctor Ingeniero de Telecomunicación

Departamento de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid

2

Contenido

Introducción y Objetivos

Estado del arte

Contribuciones

Validación

Conclusiones

I

II

III

IV

V

Contexto y Motivación

Seguridad informática:

§  Incremento de ataques informáticos, complejidad y sofisticación.

§  Aumento de velocidad de difusión de ataques.

§  Lentitud de reacción frente a ataques.

§  Dificultad para lanzar respuestas automatizadas.

Necesidad de mecanismos de detección y respuesta

frente a intrusiones automáticos

3

4

Contexto

Tipos:

§  Sistemas de notificación.

§  Sistemas de respuesta manual.

§  Sistemas de respuesta automática: AIRS.

IRS: Intrusion Response

System

§  Responder a ataques

detectados por IDSs.

§  Mitigar los ataques o

reducir su impacto.

Propuesta de arquitectura de un sistema de respuesta a intrusiones basado en ontologías.

Propuesta de ontología de respuesta a intrusiones.

Propuesta de métricas de seguridad y su especificación mediante SWRL.

Propuesta de una metodología para la evaluación del éxito de una acción de respuesta.

Objetivos de Investigación

5

Diseño, especificación y desarrollo de un Sistema de

Respuesta Automática frente a Intrusiones

6

Contenido


Estado del arte

Contribuciones

Validación

Conclusiones

I

II

III

IV

V

7

AIRS

Definición:

Dispositivos de seguridad responsables de inferir y ejecutar de

forma automática una acción de respuesta frente a intrusiones.

Objetivos:

§  Responder a ataques detectados por IDSs.

§  Mitigar los ataques o reducir su impacto.

§  Reducir tiempo entre detección y reacción.

Componentes de AIRSs existentes:

§  Arquitectura.

§  Mecanismo de inferencia.

§  Métricas de seguridad.


Propuesta de ontología de respuesta a intrusiones..

Propuesta de métricas de seguridad y su especificación mediante SWRL


8

Clasificación de AIRSs

1. Tiempo de respuesta: §  Proactivo §  Reactivo

3. Mecanismo de selección de respuesta:

§  Estático §  Dinámico §  Sensible al coste de las

respuestas

5. Rapidez de reacción §  Rápido §  Lenta

2. Capacidad de adaptación: §  Estático §  Adaptativo

4. Modelo de evaluación del coste de la respuesta:

§  Estático §  Evaluación estática §  Evaluación dinámica

Coherencia Semántica

Proactivo

Adaptativo

Sensible al coste de las respuestas

Evaluación dinámica

Rápido

9

Análisis de AIRSs

Nueva arquitectura de AIRS

10

Métricas de Seguridad Métrica: forma de medir y escala que da valor a diferentes

parámetros.

Objetivos del Estado del Arte:

§  Especificar el conjunto de parámetros que influyen en la elección de

la respuesta óptima.

§  Analizar métricas existentes.

Parámetros: 1.  Confianza en el IDS.

2.  Fiabilidad del informe de

intrusión.

3.  Continuidad de una intrusión.

4.  Importancia de activos.

5.  Impacto y severidad de una

intrusión.

6.  Coste de una acción de

respuesta.

7.  Impacto de una acción de

respuesta.

8.  Eficacia de una acción de

respuesta.

9.  Nivel de actividad de la red.





11

Métricas de Seguridad: Análisis

Nivel de actividad

Fiabilidad del informe

Efectividad de la respuesta

Confianza en el IDS

Continuidad de ataque

Impacto de intrusión / respuesta

AAIRS ADEPTS Stakhanova’s IRS /Strasburg

Jahnke’s IRS

Parámetro de éxito

factorExito EI (Effectiveness Index) Slevel SF

Métrica de cálculo del factor de éxito

No especificada

Basado en % de alcance de un nodo del I-GRAPH:

EInew= EIold − α

∗ CCI_nodo

∑CCI_hijos_nodo

No especificada

Basado en grafo de accesibilidad

del sistema antes y después de la

respuesta: 𝛿1(𝐺, 𝐺′ )= 𝐴(𝐺′ ) − 𝐴(𝐺)

12

Metodología de Evaluación de Éxito

Motivación: §  AIRS adaptativo y sensible al coste de las respuestas.

§  Mayor precisión en la elección de la respuesta óptima.

Métricas de evaluación del éxito en AIRSs:

Necesidad de mecanismos y métricas para evaluar el éxito





13

¿Qué es una ontología? Definición:

§  “Una ontología es una especificación explícita y formal de una

conceptualización compartida” (R. Studer)

Componentes de una ontología:

§  Clase, ejemplar, atributo, relación, axioma.

Lenguajes de definición de ontologías:

OWL/OWL2 §  KIF, Ontolingua, OKBC, OCML, F-Logic, RDF, RDFS,

DAML+OIL, OIL, OWL y OWL2.

Lenguajes de especificación de comportamiento:

§  KAoS, REI, RuleML, SWRL, Jess, OWL-Services,

SWSL y SWML.

SWRL





14

Razonadores Semánticos

Definición: Componente software capaz de inferir consecuencias lógicas a

partir de un conjunto de hechos.

Objetivo: Inferir la respuesta óptima en función de la información contenida

en la ontología y las políticas o reglas definidas.

Razonadores semánticos:

§  Lenguaje de reglas soportado.

§  Nivel de soporte de SWRL.

§  Algoritmo de razonamiento utilizado.

Algoritmos de razonamiento:

§  Algoritmo RETE

§  Fordward chaining

§  Backward chaining

15

Razonadores Semánticos Bossam Pellet KAON2 RacerPro 1.9.0 RacerPro 2.0 Hoolet FaCT++

Características de razonamiento

Algoritmo de razonamiento / Metodología

Forward chaining / Basado en

reglas, RETE

Forward y backward chaining / Tableau

Backward chaining / Datalog

Forward chaining / Tableau


Demostrador FOL

N/A / Tableau

Clasificación incremental / Consistencia Sí / N/A Sí / Sí N/A / Sí No / Sí Sí / Sí N/A / Sí No / Sí

Capacidad conocimiento externo Sí Sí No N/A N/A No N/A

Soporte de reglas SWRL y

Buchingae SWRL DL

Safe SWRL DL Safe (*)

SWRL (Parcial), nRQL (*) SWRL, nRQL SWRL No

Soporte SWRL Parcial Sí No No Parcial No No

Razonamiento ABox N/A Sí. SPARQL Sí. SPARQL Sí. SPARQL, nRQL Sí. SPARQL,

nRQL N/A Sí

Usabilidad OWL API / Plugin Protégé N/A / No Sí / Sí N/A / Sí Sí / No Sí / Sí Sí / No Sí / Sí Jena Sí Sí N/A No No N/A No

Lenguaje / Plataformas Java / Todas Java / Todas Java / Todas Lisp / Todas Lisp / Todas --- / Linux C++ / Todas

Licencia Free/closed-

source Free/open-

source Free/closed-

source Non-free/closed-


source Free/ open-

source

Free/ open-source

Rendimiento y eficiencia Tiempo de Carga (seg) 32,049 0,991 ------ ------ 4,032 ------ ------ Tiempo de Inferencia (seg) 1,780 0,240 ------ ------ 1,245 ------ ------ Tiempo Total (seg) 35, 294 1,231 ------ ------ 5,277 ------ ------ (*) Soporte de SWRL teórico. En la validación práctica se produce un fallo al cargar la ontología.

Bossam Pellet KAON2 RacerPro 1.9.0 RacerPro 2.0 Hoolet FaCT++

Características de razonamiento

Algoritmo de razonamiento / Metodología

Forward chaining / Basado en

reglas, RETE

Forward y backward chaining / Tableau

Backward chaining / Datalog



Demostrador FOL

N/A / Tableau

Clasificación incremental / Consistencia Sí / N/A Sí / Sí N/A / Sí No / Sí Sí / Sí N/A / Sí No / Sí

Capacidad conocimiento externo Sí Sí No N/A N/A No N/A

Soporte de reglas SWRL y

Buchingae SWRL DL

Safe SWRL DL Safe (*)

SWRL (Parcial), nRQL (*) SWRL, nRQL SWRL No

Soporte SWRL Parcial Sí No No Parcial No No

Razonamiento ABox N/A Sí. SPARQL Sí. SPARQL Sí. SPARQL, nRQL Sí. SPARQL,

nRQL N/A Sí

Usabilidad OWL API / Plugin Protégé N/A / No Sí / Sí N/A / Sí Sí / No Sí / Sí Sí / No Sí / Sí Jena Sí Sí N/A No No N/A No

Lenguaje / Plataformas Java / Todas Java / Todas Java / Todas Lisp / Todas Lisp / Todas --- / Linux

C++ / Todas

Licencia Free/closed-

source Free/open-

source Free/closed-



source Free/ open-

source

Free/ open-source

Rendimiento y eficiencia Tiempo de Carga (seg) 32,049 0,991 ------ ------ 4,032 ------ ------ Tiempo de Inferencia (seg) 1,780 0,240 ------ ------ 1,245 ------ ------ Tiempo Total (seg) 35, 294 1,231 ------ ------ 5,277 ------ ------ (*) Soporte de SWRL teórico. En la validación práctica se produce un fallo al cargar la ontología.

16

Contenido


Estado del arte

Contribuciones

Validación

Conclusiones

I

II

III

IV

V

17

Contribuciones

Propuesta 1: Arquitectura de un sistema de respuesta a intrusiones basado en ontologías

Propuesta 2: Ontología de respuesta a intrusiones

Propuesta 3: Métricas de seguridad y su especificación mediante SWRL

Propuesta 4: Metodología para la evaluación del éxito de una acción de respuesta





18

Propuesta de Arquitectura: Objetivos

Objetivo de la propuesta:

Diseño y definición de una arquitectura de un AIRS basada en ontologías,

lenguajes de especificación del comportamiento y razonadores semánticos

Características del AIRS propuesto:

§  Adaptativo.

§  Sensible al coste de las respuestas.

§  Modelo de evaluación dinámica.

§  Rápido.

§  Semánticamente coherente en la

representación de alertas.

§  Proactivo.

Uso de ontologías y tecnologías de la Web

Semántica

19

Arquitectura de AIRS basado en ontologías

MANAGER

20

IDSs, Receptor de Alertas y de Contexto

IDSs:

§  Componente externo a la arquitectura.

§  Monitorización de eventos y generación de informes de intrusión.

Receptor de Alertas:

§  Recibe las alertas de intrusión procedentes de los IDSs

§  Mapea estas alertas al formato de la ontología.

Receptor de Contexto:

§  Recibe la información procedente del módulo de contexto.

§  Mapea esta información al formato de la ontología.

21

Módulos de Contexto

Módulo de Contexto:

§  Genera perfiles de contexto en entorno controlado.

§  Captura y analiza información de contexto en tiempo de intrusión.

§  Calcula grado de anomalía en tiempo de intrusión.

Parámetros Componentes Fases de Funcionamiento

Contexto de Sistemas

1.  Estado del sistema 2.  Latencia del sistema 3.  Uso de la CPU

4.  Espacio en disco 5.  Nº de procesos activos 6.  Nº de usuarios 7.  Nº de procesos zombies 8.  Nº de intentos fallidos mediante SSH

Sist. de monitorización.

Módulo de procesado de la información.

Fase de aprendizaje.

Fase de detección de anomalías.

Contexto de Red

Nivel de actividad de la red {IP origen, IP destino, Puerto origen, Puerto destino, Tamaño del paquete y Franja horaria}

Capturador de tráfico.

Módulo de procesado de la información.

Fase de aprendizaje.

Fase de detección de anomalías.

22

Ontología de Respuesta y Políticas

Ontología:


Políticas: §  Reglas que determinan la amenaza indicada por la anomalía del contexto.

§  Reglas que determinan la fiabilidad del informe de intrusión.

§  Reglas de inferencia de las respuestas recomendadas.

§  Reglas de inferencia de la respuesta óptima.

Propuesta 3: Métricas de seguridad y su especificación mediante SWRL.

23

Razonador

Componente principal de la arquitectura.

Objetivo:

§  Inferir la respuesta óptima ante intrusiones.

Funciones:

§  Comprobar la similitud o continuación de alertas de intrusión.

§  Invocar módulos de contexto de red y sistemas.

§  Inferir respuestas recomendadas y óptimas, y extraer conocimiento à Pellet.

§  Invocar a los módulos de ejecución y evaluación del éxito de acciones de

respuesta.

§  Obtener información de la ontología y actualizar información inferida.

24

Catálogo y Ejecutor de Respuestas

Catálogo de Acciones de Respuesta:

§  Proporcionar conjunto de acciones de respuesta disponibles:

según tipo de acción, tipo de intrusión y tipo de dispositivo.

Ejecutor:

§  Desplegar de forma local o remota

acciones de respuesta.

25

Evaluador y Manager

§  Proporcionar al AIRS el requisito de adaptabilidad mediante

realimentación del éxito en inferencias previas.


Evaluador:

§  Evaluar automáticamente la eficacia de la acción de respuesta

inferida y ejecutada.

Manager:

§  Interfaz de administración Web.

26

Contribuciones





27

Propuesta de Ontología: Objetivos


Definición y especificación de una ontología de respuesta a intrusiones que modele el proceso de respuesta a un ataque llevado a cabo por el AIRS

Motivación: Ninguna de las ontologías analizadas modela completamente el

proceso de respuesta a una intrusión.

Requisitos de la ontología propuesta:

§  Claridad y objetividad.

§  Coherencia y consistencia.

§  Completitud y Extensibilidad.

§  Principio de distinción ontológica à Clases disjuntas.

§  Posibilidad de separarla en módulos independientes.

§  Uso de estándares como CVE o IDMEF.

28

METHONTOLOGY

1.  Especificación del objetivo: dominio a modelar y glosario de términos. Proceso de respuesta automática a intrusiones dentro de una red informática.

2.  Conceptualización: taxonomías de conceptos. Taxonomía de ataques y de respuestas.

3.  Integración: valorar la reutilización de ontologías existentes.

4.  Implementación: construcción de la ontología, especificación de

modelo conceptual.

5.  Evaluación.

6.  Documentación. 7.  Adquisición de conocimiento: expertos, análisis y revisión de

bibliografía, etc.

29

Implementación

30

Implementación

Clase Threat:

31

Contribuciones


Propuesta 2: Ontología de respuesta a intrusiones.


Propuesta 4: Metodología para la evaluación del éxito de una acción de respuesta.

32

Propuesta de Métricas: Objetivos

Objetivos de la propuesta:

§  Definir métricas de seguridad de parámetros involucrados en la elección de la respuesta.

§  Definir métricas para inferir la respuesta óptima. §  Especificar métricas mediante SWRL.

Tipos de métricas: §  Métricas de Parámetros:

§  Métricas externas al AIRS cuyo resultado se usa en ontología o reglas.

§  Métricas que determinan el comportamiento del AIRS.

§  Métricas de Inferencia de la Respuesta.

§  Métricas que determinan el comportamiento del AIRS.

33

Métricas de Parámetros: Motivación

Se propone métrica.

Parámetro pero no métrica.

Ni parámetro ni métrica.

34

Métrica de Importancia de Activo

§  Significado: valorar un activo de la organización en términos del

coste que su pérdida.

§  4 niveles: confidencialidad, disponibilidad, integridad y

autenticidad.

§  Propiedades assetLevelOfImportance_confidentiality,

assetLevelOfImportance_integrity, assetLevelOfImportance_availability,

assetLevelOfImportance_authenticity y assetLevelOfImportance de la clase Asset.

§  Expresión cualitativa:

Valor Criterio 8-10 Alto Daño grave o muy grave 4-7 Medio Daño importante 0-3 Bajo Daño menor o irrelevante

Métrica propuesta por MAGERIT

35

Métrica de Coste de Despliegue

§  Significado: coste que supone el despliegue de la acción de

respuesta, en términos de consumo de recursos. §  Propiedad responseDeploymentCost de la clase Response.

§  Expresión cuantitativa:

𝐶𝑜𝑠𝑡𝑒↓𝑑  𝑟𝑒𝑠𝑝𝑢𝑒𝑠𝑡𝑎=∑𝑖=0↑𝑛▒𝐶𝑢𝑟∗𝐹𝑢𝑟 

Métrica propuesta en POMDP

Cur: Coste de utilización del recurso.

Fur: Factor de utilización del recurso.

36

Métrica de Confianza en el IDS

§  Significado: tasa de alertas reales detectadas por el IDS.

§  Propiedad IDSconfidence de la clase IntrusionDetectionSystem.



𝐶𝑜𝑛𝑓𝑖𝑎𝑛𝑧𝑎↓𝐼𝐷𝑆 (%)= (𝑁𝑇𝐼𝑅−𝐹𝑃−𝐹𝑁/𝑁𝑇𝐼𝑅 )∗ 100

Basada en métricas propuestas en AAIRS y FAIR.

IDSconfidence ConfianzaIDS (%) < 35 % Bajo

35 % < ConfianzaIDS (%) < 75% Medio ConfianzaIDS (%) > 75 % Alto

37

Métrica de Continuidad de un Ataque

§  Significado: determinar si una alerta de intrusión pertenece a un

ataque ya existente o se trata de un nuevo ataque diferente.

§  Propiedad isContinuationOf de la clase FormattedIntrusion.


Basada en métrica propuesta en AAIRS

Tipo de ataque IP destino o IP origen Tt1 ≥ Tt2 – 10000 (mseg) Resultado

Igual Igual Sí Continuación de ataque antiguo

Igual Igual No Ataque Nuevo

Igual Distinto Sí Continuación de ataque antiguo

Igual Distinto No Ataque Nuevo Distinto Igual Sí Ataque Nuevo Distinto Igual No Ataque Nuevo Distinto Distinto Sí Ataque Nuevo Distinto Distinto No Ataque Nuevo

38

Métrica de Impacto de una Intrusión

§  Significado: daño potencial causado por la intrusión.

§  Propiedad intrusionImpact de la clase FormattedIntrusion.


𝐼𝑚𝑝𝑎𝑐𝑡𝑜=∑𝑗=0↑𝑛▒𝑠𝑒𝑣𝑒𝑟𝑖𝑡𝑦(𝑖↓𝑘 )∗𝐼(𝑖↓𝑘 , 𝑎↓𝑗 ) 

𝐼(𝑖↓𝑘 , 𝑎↓𝑗 )= 𝑖↓𝑘 (𝐶)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐶)+ 𝑖↓𝑘 (𝐴)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐴)+ 𝑖↓𝑘 (𝐼)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐼)+ 𝑖↓𝑘 (𝐴𝑢𝑡)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐴𝑢𝑡)

Basada en métricas propuestas en POMDP, MAGERIT y Strasburg

C: Confidencialidad I: Integridad

A: Disponibilidad Aut: Autenticidad

39

Métrica de Impacto de una Respuesta

§  Significado: daño causado por el despliegue de una acción de

respuesta.

§  Propiedad responseImpact de la clase Response.


𝐼(𝑟𝑒𝑠𝑝↓𝑘 , 𝑎↓𝑗 )= 𝑟𝑒𝑠𝑝↓𝑘 (𝐶)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐶)+ 𝑟𝑒𝑠𝑝↓𝑘 (𝐴)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐴)+ 𝑟𝑒𝑠𝑝↓𝑘 (𝐼)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐼)+ 𝑟𝑒𝑠𝑝↓𝑘 (𝐴𝑢𝑡)∗ 𝑎↓𝑗 ↓𝑣𝑎𝑙𝑢𝑒 (𝐴𝑢𝑡)

𝐼𝑚𝑝𝑎𝑐𝑡𝑜 𝑟𝑒𝑠𝑝𝑢𝑒𝑠𝑡𝑎=∑𝑗=0↑𝑛▒𝑠𝑒𝑣𝑒𝑟𝑖𝑡𝑦(𝑟𝑒𝑠𝑝↓𝑘 )∗𝐼(𝑟𝑒𝑠𝑝↓𝑘 , 𝑎↓𝑗 ) 

Basada en métrica de POMDP, MAGERIT y Strasburg

40

Métrica de Anomalía de Sistemas

§  Significado: variación de los indicadores de actividad habitual de

los sistemas causada por una intrusión.

§  Propiedades systemStatus, systemActiveProcesses, systemZombieProcesses,

systemNumberOfUsersLogged, systemFreeSpace, systemLatency, systemCPUUsage y

systemSSHFailed de las clase SystemContext.

§  Expresión:

Contribución de la tesis doctoral

𝑃𝑟𝑜𝑏= 1/2  ∗ [1+ erf ( (𝑦 − 𝑥  /𝜎) / √2  )]

𝑥 = 1/𝑛  ∑𝑖=1↑𝑛▒𝑥↓𝑖   𝜎=√1/𝑛−1  ∑𝑖=1↑𝑛▒( 𝑥↓𝑖  − 𝑥 )↑2    y = valor indicador en tiempo de intrusión

𝐴𝑛𝑜𝑚𝑎𝑙í𝑎={█■(0,5 −𝑃𝑟𝑜𝑏)∗20 𝑠𝑖 𝑦≤ 𝑥  (𝑃𝑟𝑜𝑏−0,5)∗20 𝑠𝑖 𝑦 > 𝑥   

41

Métrica de Anomalía de Red

§  Significado: variación del indicador de actividad habitual de la

red causada por una intrusión.

§  Propiedades networkAnomaly de la clase NetworkContext.

§  Expresión:


𝑁𝑒𝑡𝐴𝑛𝑜𝑚𝑎𝑙𝑦= 𝐴𝑐+𝐴𝑙𝑜𝑎𝑑+𝐴𝑝𝑘𝑡/3 

𝐴𝑐=30 −(𝑥  − 𝜎)∗0,3 àAnomalía en Conexiones

Aload: Anomalía en Carga de red

Apkt: Anomalía en Tamaño de paquetes

42

Métrica de Fiabilidad Informe de Intrusión

§  Significado: nivel de sospecha de que el tipo de intrusión de la

alerta es real.

§  Propiedad intrusionAlertReliability de la clase FormattedIntrusion

§  Determina comportamiento de razonador à uso de SWRL



ThreatFormattedIntrusion ThreatContexto IDSconfidence Fiabilidad del informe de intrusión

Threatx Threatx Alto Alto Threatx Threatx Medio Alto Threatx Threatx Bajo Alto Threatx Threaty Alto Medio Threatx Threaty Medio Medio Threatx Threaty Bajo Bajo Threatx No Threat Alto Medio Threatx No Threat Medio Bajo Threatx No Threat Bajo Bajo Threatx Threat No específica Alto Alto Threatx Threat No específica Medio Medio Threatx Threat No específica Bajo Bajo

43

Métricas de Éxito o Eficiencia

§  Significado: tasa de veces que una acción de respuesta a

conseguido mitigar la intrusión. §  Propiedad responseEfficiency de la clase Response.


responseEfficiency (%) = 1/𝑗  ∑𝑖=1↑𝑗▒𝑅𝑃𝐸↓𝑖  ∗100


RPE: Response Partial Efficiency

44

Métricas de Inferencia: Motivación

AIRS Enfoque utilizado en métrica de respuesta CSM Nivel de sospecha

EMERALD Mínimo impacto AAIRS Máxima eficiencia SARA ----

ADEPTS Máxima eficiencia al menor riesgo (Maximizar relación Beneficio/Impacto)

MAIRF ----

FAIR Dos enfoques: -‐ Mínimo impacto -‐ Máxima eficiencia

IDAM & IRS Maximizar relación Beneficio/Impacto

Stakhanova’s IRS Máxima eficiencia al menor riesgo (Maximizar relación Beneficio/Impacto)

Network IRS Mínimo impacto Tanachaiwiwat’s IRS ----

Jahnke’s IRS Mínimo impacto Aproximación POMDP Mínimo coste

Aproximación de Strasburg Mínimo coste

45

Métricas de Inferencia de Respuesta

§  Significado: inferencia de la respuesta óptima.

§  Enfoque flexible: selección de la métrica de respuesta en

función del nivel de importancia del activo.

§  Propiedad optimumResponse de la clase FormattedIntrusion.

𝑅𝑇𝐸∗ 𝑆𝑒𝑣𝑒𝑟𝑖𝑡𝑦𝐴𝑏𝑠↓𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑒  ≥ 𝑆𝑒𝑣𝑒𝑟𝑖𝑡𝑦↓𝑖𝑛𝑡𝑟𝑢𝑠𝑖𝑜𝑛  Max { 𝑅𝑇𝐸∗ 𝑆𝑒𝑣𝑒𝑟𝑖𝑡𝑦𝐴𝑏𝑠↓𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑒 }

𝑅𝑇𝐸 ={█■1, 𝑗=11/𝑗−1  ∑𝑖=1↑𝑗−1▒𝑅𝑃𝐸↓𝑖  , 𝑗≥2  


Métrica de máxima severidad o máxima eficiencia

Métrica de Mínimo Coste:

CosteT respuesta = Impactorespuesta + Costed respuesta

Métrica de Reducción de Daño

𝐼𝑚𝑝𝑎𝑐𝑡𝑜↓𝑖𝑛𝑡𝑟𝑢𝑠𝑖𝑜𝑛  ∗ 𝐶𝑜𝑛𝑓𝑖𝑎𝑛𝑧𝑎𝐼𝐷𝑆∗𝐹𝑖𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑↓𝑖𝑛𝑡𝑟𝑢𝑠𝑖𝑜𝑛  ≥ 𝐼𝑚𝑝𝑎𝑐𝑡𝑜↓𝑟𝑒𝑠𝑝𝑢𝑒𝑠𝑡𝑎 

46

Especificación de métricas con SWRL Especificación de métrica de reducción de impacto con SWRL:

ontAIRS:hasTarget(?intrusion, ?target),

ontAIRS:assetLevelOfImportance(?target, ?cloi),

equal(?cloi, “high”),

ontAIRS:intrusionSeverity(?intrusion, ?intseverity),

ontAIRS:responseSeverity(?respon1, ?respabsseverity1),

ontAIRS:responseSeverity(?respon2, ?respabsseverity2),

greaterThanOrEqual(?respabsseverity1, ?intseverity),

greaterThanOrEqual(?respabsseverity2, ?intseverity),

ontAIRS:responseRelSeverity(?respon1, ?rrsev1),

ontAIRS:responseRelSeverity(?respon2, ?rrsev2),

greaterThan(?rrsev1, ?rrsev2)

→ ontAIRS:optimumResponse(?intrusion, ?respon1)

Métrica de máxima severidad y máxima eficiencia

47

Propuesta de Métricas: Conclusiones

48

Inferencia de la Respuesta Óptima

49

Contribuciones


Propuesta 2: Ontología de respuesta a intrusiones.


Propuesta 4: Metodología para la evaluación del éxito de una acción de respuesta.

50

Propuesta de Metodología de Evaluación


Definición y especificación de una metodología de evaluación del éxito de una acción de respuesta.

Características principales de la metodología propuesta:

§  Uso de anomalía de indicadores de contexto

§  Uso de entropía cruzada de Renyi:

§  Generalización de la entropía de Shannon

𝐻↓𝛼 (𝑝)= 1/1− 𝛼 𝑙𝑜𝑔∑𝑟↑▒𝑝↓𝑟↑𝛼   

§  Si α = 0,5 à Entropía simétrica

𝐼↓0.5 (𝑝,𝑞)= 2𝑙𝑜𝑔∑𝑟↑▒√𝑝↓𝑟 𝑞↓𝑟    

51

Metodología de Evaluación del Éxito

52

Varianza de la entropía del contexto

Objetivo: comparar anomalía del contexto en T1 y T2,

mediante la entropía cruzada de Renyi.

𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦 = {𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦1, 𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦2,… . 𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦𝑛}

Parámetros de entrada: dos vectores de anomalía de contexto

(Latency, Status, Disk, CPU, Process, Zombie, User, SSHFailed,

Network).

Parámetro de salida: varianza de la entropía cruzada de Renyi del

contexto (Context Entropy Variance).

Pasos:

1.  Representar cada uno de los indicadores de anomalía como

variable aleatoria discreta

53

Varianza de la entropía del contexto 2. Representar cada anomalía como una serie temporal:

Alatency(T0), … , Alatency(T1), ….Alatency(T2),…Alatency(Tn)

3. Calcular entropía cruzada de Renyi de Alatency(T1) y Alatency(T0), y

Alatency(T2) y Alatency(T0):

4. Calcular la variación entre ambos valores:

5. Obtener la varianza de la entropía global, ∆Ioverall:

𝐼↓0.5 (𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦(𝑇↓0 ), 𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦( 𝑇↓2 ))= 2𝑙𝑜𝑔∑𝑖=1↑𝑛▒√ 𝑝↓𝑖 (𝑇↓0 )∗𝑝↓𝑖 (𝑇↓2 )   

𝐼↓0.5 (𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦(𝑇↓0 ), 𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦( 𝑇↓1 ))= 2𝑙𝑜𝑔∑𝑖=1↑𝑛▒√ 𝑝↓𝑖 (𝑇↓0 )∗𝑝↓𝑖 (𝑇↓1 )   

∆𝐼↓𝑙𝑎𝑡𝑒𝑛𝑐𝑦 = ¯ˉ𝐼↓0.5 (𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦(𝑇↓0 ), 𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦( 𝑇↓2 )) − ¯ˉ𝐼↓0.5 (𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦(𝑇↓0 ), 𝐴𝑙𝑎𝑡𝑒𝑛𝑐𝑦( 𝑇↓1 )) 

∆𝐼↓𝑜𝑣𝑒𝑟𝑎𝑙𝑙 = ∑↑▒𝑊𝑖∗ ∆ 𝐼↓𝑖  

i ∈{Status, Latency, CPU, Disk, Process, User, Zombie, SSH,Network}

54

Establecimiento de Umbrales

Objetivo: obtener umbral superior e inferior con los que se

compara la variación de entropía de contexto tras ejecutar

respuesta, para cada tipo de intrusión.

Parámetros de entrada: Dos vectores de anomalía de contexto.

Parámetro de salida: Dos umbrales de éxito (Threshold1 y Threshold2).

Pasos:

1.  Definir dos conjuntos de entrenamiento:

−  Conjunto entrenamiento exitoso à Umbral superior

−  Conjunto de entrenamiento fallido à Umbral Inferior

2.  Para cada acción de respuesta del conjunto exitoso {R1, R2 •••Rn},

se simula la intrusión.

55

Establecimiento de Umbrales

3.  Calcular m*n valores de ∆Ioverall :

∆𝐼↓𝑜𝑣𝑒𝑟𝑎𝑙𝑙−𝑠𝑢𝑐𝑐𝑒𝑠𝑠 ( 𝑇ℎ𝑟𝑒𝑎𝑡↓1 )={∆𝐼↓𝑜𝑠1 , ∆𝐼↓𝑜𝑠2 , … ∆𝐼↓𝑜𝑠𝑚∗𝑛 }

4.  Establecer umbrales superior e inferior:

𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑𝐻𝑖𝑔ℎ↓𝑇ℎ𝑟𝑒𝑎𝑡1 = ∆𝐼↓ℎ  𝑖𝑓 ∀ ∆ 𝐼↓𝑖  𝑃 {∆𝐼↓𝑖 ≥ ∆𝐼↓ℎ }> 𝛼

𝑖 , ℎ ∈[1, 𝑚∗𝑛] ; ∆ 𝐼↓𝑖  , ∆𝐼↓ℎ  ∈∆𝐼↓𝑜𝑣𝑒𝑟𝑎𝑙𝑙−𝑠𝑢𝑐𝑐𝑒𝑠𝑠 ( 𝑇ℎ𝑟𝑒𝑎𝑡↓1 ) ; 𝛼 ∈[0, 1]

𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑𝐿𝑜𝑤↓𝑇ℎ𝑟𝑒𝑎𝑡1 = ∆𝐼↓𝑙  𝑖𝑓 ∀ ∆ 𝐼↓𝑖  𝑃 {∆𝐼↓𝑖 < ∆𝐼↓𝑙 }> 𝛼

𝑖, 𝑙 ∈[1, 𝑚∗𝑛]; ∆𝐼↓𝑖  , ∆𝐼↓𝑙  ∈∆𝐼↓𝑜𝑣𝑒𝑟𝑎𝑙𝑙−𝑢𝑛𝑠𝑢𝑐𝑐𝑒𝑠𝑠 ( 𝑇ℎ𝑟𝑒𝑎𝑡↓1 ) ; 𝛼 ∈[0, 1]

5. Aplicar factores de corrección en función del escenario de red:

𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑↓1 = 𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑𝐿𝑜𝑤↓𝑇ℎ𝑟𝑒𝑎𝑡𝑥 ∗𝑀𝑜𝑑𝑖𝑓𝑦𝐿𝑜𝑤

𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑↓2  = 𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑𝐻𝑖𝑔ℎ↓𝑇ℎ𝑟𝑒𝑎𝑡𝑥 ∗𝑀𝑜𝑑𝑖𝑓𝑦𝐻𝑖𝑔ℎ

56

Nivel de Éxito

Objetivo: comparar entropía cruzada de Renyi de contexto en

tiempo de intrusión con umbrales superior e inferior. Obtener si

la respuesta ha mitigado el ataque o no.

𝑅𝑃𝐸= {█■1 & (∆𝐼𝑜𝑣𝑒𝑟𝑎𝑙𝑙 ≥𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑2 ) 𝐴 & (𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑1< ∆𝐼𝑜𝑣𝑒𝑟𝑎𝑙𝑙<𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑2) 0 & (∆𝐼𝑜𝑣𝑒𝑟𝑎𝑙𝑙≤𝑇ℎ𝑟𝑒𝑠ℎ𝑜𝑙𝑑1) 𝐴𝑁𝐷 (∆𝐼𝑜𝑣𝑒𝑟𝑎𝑙𝑙 ↓(𝑇2−𝑇0) > 𝛽), 𝛽 𝜖 [0,1]  

𝐴 = { █■1 & (∆𝐼𝑜𝑣𝑒𝑟𝑎𝑙𝑙 ↓(𝑇2−𝑇0) ≤ 𝛽) ½ & 𝑅𝐸𝑆𝑇𝑂  

Parámetros de entrada: ∆Ioverall y umbrales superior e inferior.

Parámetro de salida: RPE = {0, ½ , 1}

57

Tasa de Éxito o Efectividad

Objetivo: calcular y actualizar el nivel de efectividad de una

acción de respuesta.

Parámetros de entrada: responseEfficiencyj y RPE.

Parámetro de salida: responseEfficiencyj+1

responseEfficiency (%) = 1/𝑗  ∑𝑖=1↑𝑗▒𝑅𝑃𝐸↓𝑖  ∗100

𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑒𝐸𝑓𝑓𝑖𝑐𝑖𝑒𝑛𝑐𝑦↓𝑗+1 = (𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑒𝐸𝑓𝑓𝑖𝑐𝑖𝑒𝑛𝑦↓𝑗 ∗𝑗)+ 𝑅𝑃𝐸↓𝑗+1 /𝑗+1 

58

Contenido


Estado del arte

Contribuciones

Validación

Conclusiones

I

II

III

IV

V

59

Proyectos de Investigación

Proyecto Segur@: §  Programa CENIT

§  Objetivos: Generar un marco de confianza y seguridad para el uso de las

TIC en la e-Sociedad en España.

§  T3060 del AP3: “Estudio, desarrollo y simulación de modelos de respuesta automática”.

Proyecto RECLAMO: §  Plan Nacional de I+D

§  Red de sistemas de Engaño virtuales y CoLaborativos basados en sistemas Autónomos de respuesta a intrusiones y Modelos de cOnfianza.

§  Objetivos: Definir y diseñar un marco avanzado de referencia para

mejorar las propuestas actuales de sistemas de detección y reacción

frente a intrusiones.

60

Escenario

61

§  Host

§  Database server

§  DMZ web server

§  Port scanning

§  UDP Flood

§  Web application attack

(SQL injection y

escalado de privilegios)

Objetivos de pruebas de Tasa de Éxito:

§  Obtener tasa de éxito del AIRS en función del activo comprometido.

Objetivos de pruebas de Rendimiento:

§  Medir tiempo de ejecución de proceso de inferencia.

§  Comprobar coherencia semántica.

§  Medir tiempo de carga de la ontología.

Pruebas de Validación

62

Tasa de éxito del AIRS basado en ontologías

Función de: §  Tipo de intrusión. §  Importancia de

activo atacado.

63

Rendimiento del AIRS basado en ontologías

Ttotal = Tcarga + Tinferencia Tcarga medio ≅ 255 mseg

64

Contenido


Estado del arte

Contribuciones

Validación

Conclusiones

I

II

III

IV

V

65

Conclusiones (I)

§  Viabilidad del uso de ontologías y mecanismos de razonamiento en

el diseño e implementación del AIRS. §  Proactivo.

§  Adaptativo.

§  Sensible al coste de las respuestas.

§  Modelo de evaluación de coste dinámico.

§  Coherente semánticamente.

§  Tiempos de inferencia altos.

Verónica Mateos, Víctor A. Villagrá, Francisco Romero. Ontologies-based automated intrusion

response system. In: Proceedings of the 3rd international conference on Computational

Intelligence in Security for Information Systems (CISIS ’10); November 11–12, 2010.

66

Conclusiones (II)

§  Características de la ontología propuesta:

§  Claridad y objetividad.

§  Coherencia y consistencia.

§  Completitud y Extensibilidad.

§  Posibilidad de separarla en módulos independientes.

§  Uso de estándares como CVE o IDMEF.

Verónica Mateos, Víctor A. Villagrá, Julio Berrocal. Application of Ontologies and Formal

Behavior Definition for Automated Intrusion Response Systems. Journal of Research and

Practice in Information Technology (JRPIT).

67

Conclusiones (III)

§  Viabilidad del uso SWRL para la especificación de métricas de

seguridad. §  SWRL: Lenguaje sencillo y limitado para implementaciones futuras.

§  Propuesta y validación de nuevas métricas de seguridad.

Verónica Mateos, Víctor A. Villagrá, Francisco Romero, Julio Berrocal. Definition of

response metrics for an ontology-based Automated Intrusion Response Systems.

Computers & Electrical Engineering, Vol. 38 (5), pp. 1102-1114. 2012.

68

Conclusiones (IV)

§  Propuesta del uso de nuevos parámetros relativos a la anomalía de

contexto para la evaluación del éxito/eficacia de acciones de

respuesta.

§  Efectividad del proceso de inferencia alta como consecuencia del uso

de la entropía cruzada de Renyi.

Publicación en redacción

69

Trabajos Futuros

§  Ampliación de la arquitectura propuesta con el fin de conseguir el

requisito de proactividad.

§  Mejora de los módulos incluidos en la arquitectura propuesta.

§  Estudio y análisis de sistemas de detección, prevención y respuesta

inspirados en la biología y la naturaleza, para su posible aplicación en

la prevención y respuesta a intrusiones en redes informáticas. Este

tipo de técnica se conoce como biomimetics o simplemente mimetics.

§  Uso de información de contexto para respuestas proactivas.

§  Uso de modelos de reputación y confianza de los IDSs de una red

colaborativa como métrica de confianza en el IDS.

Contribución a la Automatización de Sistemas de Respuesta frente a Intrusiones mediante

Ontologías Propuesta de arquitectura de un sistema de respuesta a intrusiones basado en ontologías.

Propuesta de ontología de respuesta a intrusiones.

Propuesta de métricas de seguridad y su especificación mediante SWRL.


Contribución a la Automatización de Sistemas de Respuesta …posgrado/web2015-2016...

Documents

Transcript of Contribución a la Automatización de Sistemas de Respuesta …posgrado/web2015-2016...