1 / 33

Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга

Уфимский Государственный Авиационный Технический Университет Кафедра Вычислительной Техники и Защиты Информации. Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга. Вадим Д. Котов. Содержание. Ссылки Структура иммунной системы Приобретенный иммунитет

armelle
Download Presentation

Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Уфимский Государственный Авиационный Технический Университет Кафедра Вычислительной Техники и Защиты Информации Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга Вадим Д. Котов

  2. Информатика и компьютерные технология Содержание Ссылки Структура иммунной системы Приобретенный иммунитет Иммунный ответ по клеточному типу Отрицательный отбор Иммунный ответ по гуморальному типу Иммунная сеть Искусственные иммунные системы и иммунокомпьютинг Алгоритм отрицательного отбора. Аффинность Модель костного мозга Алгоритм клональнойселекции Классификация систем обнаружения вторжений Модель иммунной системы для обнаружения вторжений Formal Immune Network Классификация с помощью иммунной сети Иммунокомпьютинг в обнаружении вторжений Предлагаемый подход Представление данных Расположение датчиков в сети Эксперименты Результаты Сравнение с классической иммунной моделью Выводы

  3. Информатика и компьютерные технология Ссылки • D. Dasgupta, L. F. Nino, Immunological Computation. Theory and Applications. CRC Press, 2009. • A. O. Tarakanov, “Immunocomputing for Intelligent Intrusion Detection” in IEEE Computational Intelligence Magazine, May 2008, pp. 23-30. • A. O. Tarakanov, “Mathematical Models for Intrusion Detection by Intelligent Immunochip” in CCIS (LNCS), vol. 3630, pp. 510-519, 2005 • A. O. Tarakanov, V. A. Skormin, S. P. Sokolova, Immunocomputiong: Principles And Applications. New-York: Springer, 2003 • J. Kim, P. Bentley, “An Artificial Immune Model for Network Intrusion Detection” in 7th European Congress on Intelligent Techniques and Soft Computing (EUFIT'99), 1999 • J. Kim, P. Bentley, “The Human Immune System and Network Intrusion Detection”. in 7th European Congress on Intelligent Techniques and Soft Computing (EUFIT'99), 1999 • E. Carter, J. Hogue, Intrusion Prevention Fundamentals. Cisco Press, 2008. • DARPA Intrusion Detection Evaluation, Available: http://www.ll.mit.edu • V. D. Kotov, V. I. Vasilyev “Artificial Immune Systems Based Intrusion Detection System” Proc. of the 2nd International Conference on Security of Information and Networks, 2009, pp. 207-212. • D. Dasgupta (ed) Artificial Immune Systems And Their Applications, Springer-Verlag, 1999. • De Castro L. N., Timmis J. Artificial Immune Systems: A New Computational Intelligence Approach, Springer-Verlag, 2002. • Warrender C., Forrest S., Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models. Proc. of 1999 IEEE Symposium on Security and Privacy, pp. 133-145, May 1999. • Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer, Proc. of 1994 IEEE Symposium on Research in Security and Privacy, pp. 202-212, May 1994.

  4. Информатика и компьютерные технология Структура иммунной системы

  5. Информатика и компьютерные технология Приобретенный иммунитет

  6. Информатика и компьютерные технология Иммунный ответ по клеточному типу Фагоцит поглощает антиген; Фагоцит переваривает поглощенный антиген и выделяет из него пептид; Пептид презентуется на поверхности фагоцита; Т-хелпер распознает пептид Т-хелпер выделяет лимфокины, активирующие Т-киллеров; Т-киллеры уничтожают зараженные клетки; Т-супрессоры выделяют лимфокины, подавляющие иммунный ответ.

  7. Информатика и компьютерные технология Отрицательный отбор

  8. Информатика и компьютерные технология Иммунный ответ по гуморальному типу В-лимфоцит «узнает» антиген; В-лимфоцит размножается, антитела на поверхности клонов претерпевают мутации; Часть клеток выделяет антитела со свей поверхности (они становятся плазмацитами); После иммунного ответа часть лимфоцитов умирает; В-лимфоциты лучше «узнающие» антигены становятся клетками памяти и сохраняются примерно год (клональная селекция).

  9. Информатика и компьютерные технология Иммунная сеть

  10. Информатика и компьютерные технология Искусственные иммунные системы и иммунокомпьютинг

  11. Информатика и компьютерные технология Алгоритм отрицательного отбора. Генерирование детекторов Паттерны нормальной активности Набор паттернов, сгенерированных случайным образом Нет Набор детекторов Совпадение? Да Удалить паттерн

  12. Информатика и компьютерные технология Алгоритм отрицательного отбора.Обнаружениеаномалий Набор детекторов Вновь поступающие паттерны Нет Проверка следующего паттерна Совпадение? Да Обнаружена аномалия

  13. Информатика и компьютерные технология Аффинность Аффинность – степень соответствия между антигеном и лимфоцитом. Используемые виды аффинности: 124233043 324214246 Аффинность = 3 124233043 324214246 Аффинность = 4 124233043 324214246 |3-6|=3 Аффинность = 3

  14. Информатика и компьютерные технология Модель костного мозга … G12 G24 GM3 …

  15. Информатика и компьютерные технология Алгоритм клональнойселекции Создание начальной популяции лимфоцитов P Внесение мутаций во все копии (чем больше аффинность, тем меньше мутаций) Для каждого антигена повторить: Нет Условие останова? Вычисление аффинности с каждым элементом P Да Выбор n1 элементов с лучшей аффинностью и копирование их (чем больше аффинность, тем больше копий) Помещение n2 лучших лимфоцитов в пул клеток памяти

  16. Информатика и компьютерные технология Классификация систем обнаружения вторжений

  17. Информатика и компьютерные технология Модель иммунной системы для обнаружения вторжений Клональная селекция

  18. Информатика и компьютерные технология Formal Immune Network

  19. Информатика и компьютерные технология Классификация с помощью иммунной сети Вновь поступившему антигену назначается класс ближайшей к нему клетки FIN Каждой клетке FIN соответствует класс

  20. Информатика и компьютерные технология Иммунокомпьютинг в обнаружении вторжений Обучение Сетевой трафик Формирование клеток FIN Апоптоз Иммунизация FIN Сетевой трафик Формирование клеток без класса Классификация Мониторинг

  21. Информатика и компьютерные технология Предлагаемый подход. Обучение Генная библиотека Нормальные гены Аномальные гены Fitness + 1 Отрицательный отбор Сетевой трафик без атак Зрелые детекторы Иммунная сеть

  22. Информатика и компьютерные технология Предлагаемый подход. Обнаружение вторжений Иммунная сеть Профайлер Классификатор Класс = 0 Класс = 1 ОК Тревога Сетевой трафик Нет Ложное срабатывание? Генная библиотека Детектор Fitness + 1

  23. Информатика и компьютерные технология Предлагаемый подход. Адаптация Мутации Генная библиотека N лучших детекторов Замена худших детекторов новыми f1 > f2 >…> fN >… > fL Отрицательный отбор Новые детекторы

  24. Информатика и компьютерные технология Представлениеданных Дискретизация Создание клеток FIN Сетевой трафик

  25. Информатика и компьютерные технология Представление данных. Клетки FIN Сингулярное разложение Правые сингулярные вектора

  26. Информатика и компьютерные технология Расположение датчиков в сети FIN Sun OS 172.16.113.50 Первичная IDS IDS Сработавшие детекторы Маршрутизатор hub Концентратор IDS IDS Solaris 172.16.114.50 Linux 172.16.112.50 * Для экспериментов использованы данные имитационной сети DARPA

  27. Информатика и компьютерные технология Эксперименты

  28. Информатика и компьютерные технология Результаты Скользящее временное окно

  29. Информатика и компьютерные технология Результаты Оптимальная величина порогового значения в данном случае выбирается исходя из числа ложных срабатываний График для временного окна = 8

  30. Информатика и компьютерные технология Результаты Создание новой FIN Создание новой FIN 10 20 Число срабатываний

  31. Информатика и компьютерные технология Сравнение с классической моделью иммунной системы Работа системы без средств иммунокомпьютинга

  32. Информатика и компьютерные технология Выводы • Дискретизация параметров трафика делает возможным создание детекторов • Отображение паттернов сетевой активности в трехмерное пространство позволяет детекторам покрыть область аномальных паттернов • Эффективность системы увеличивается благодаря эволюции генной библиотеки

  33. Информатика и компьютерные технология Спасибозавнимание!

More Related