380 likes | 773 Views
Уфимский Государственный Авиационный Технический Университет Кафедра Вычислительной Техники и Защиты Информации. Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга. Вадим Д. Котов. Содержание. Ссылки Структура иммунной системы Приобретенный иммунитет
E N D
Уфимский Государственный Авиационный Технический Университет Кафедра Вычислительной Техники и Защиты Информации Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга Вадим Д. Котов
Информатика и компьютерные технология Содержание Ссылки Структура иммунной системы Приобретенный иммунитет Иммунный ответ по клеточному типу Отрицательный отбор Иммунный ответ по гуморальному типу Иммунная сеть Искусственные иммунные системы и иммунокомпьютинг Алгоритм отрицательного отбора. Аффинность Модель костного мозга Алгоритм клональнойселекции Классификация систем обнаружения вторжений Модель иммунной системы для обнаружения вторжений Formal Immune Network Классификация с помощью иммунной сети Иммунокомпьютинг в обнаружении вторжений Предлагаемый подход Представление данных Расположение датчиков в сети Эксперименты Результаты Сравнение с классической иммунной моделью Выводы
Информатика и компьютерные технология Ссылки • D. Dasgupta, L. F. Nino, Immunological Computation. Theory and Applications. CRC Press, 2009. • A. O. Tarakanov, “Immunocomputing for Intelligent Intrusion Detection” in IEEE Computational Intelligence Magazine, May 2008, pp. 23-30. • A. O. Tarakanov, “Mathematical Models for Intrusion Detection by Intelligent Immunochip” in CCIS (LNCS), vol. 3630, pp. 510-519, 2005 • A. O. Tarakanov, V. A. Skormin, S. P. Sokolova, Immunocomputiong: Principles And Applications. New-York: Springer, 2003 • J. Kim, P. Bentley, “An Artificial Immune Model for Network Intrusion Detection” in 7th European Congress on Intelligent Techniques and Soft Computing (EUFIT'99), 1999 • J. Kim, P. Bentley, “The Human Immune System and Network Intrusion Detection”. in 7th European Congress on Intelligent Techniques and Soft Computing (EUFIT'99), 1999 • E. Carter, J. Hogue, Intrusion Prevention Fundamentals. Cisco Press, 2008. • DARPA Intrusion Detection Evaluation, Available: http://www.ll.mit.edu • V. D. Kotov, V. I. Vasilyev “Artificial Immune Systems Based Intrusion Detection System” Proc. of the 2nd International Conference on Security of Information and Networks, 2009, pp. 207-212. • D. Dasgupta (ed) Artificial Immune Systems And Their Applications, Springer-Verlag, 1999. • De Castro L. N., Timmis J. Artificial Immune Systems: A New Computational Intelligence Approach, Springer-Verlag, 2002. • Warrender C., Forrest S., Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models. Proc. of 1999 IEEE Symposium on Security and Privacy, pp. 133-145, May 1999. • Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer, Proc. of 1994 IEEE Symposium on Research in Security and Privacy, pp. 202-212, May 1994.
Информатика и компьютерные технология Структура иммунной системы
Информатика и компьютерные технология Приобретенный иммунитет
Информатика и компьютерные технология Иммунный ответ по клеточному типу Фагоцит поглощает антиген; Фагоцит переваривает поглощенный антиген и выделяет из него пептид; Пептид презентуется на поверхности фагоцита; Т-хелпер распознает пептид Т-хелпер выделяет лимфокины, активирующие Т-киллеров; Т-киллеры уничтожают зараженные клетки; Т-супрессоры выделяют лимфокины, подавляющие иммунный ответ.
Информатика и компьютерные технология Отрицательный отбор
Информатика и компьютерные технология Иммунный ответ по гуморальному типу В-лимфоцит «узнает» антиген; В-лимфоцит размножается, антитела на поверхности клонов претерпевают мутации; Часть клеток выделяет антитела со свей поверхности (они становятся плазмацитами); После иммунного ответа часть лимфоцитов умирает; В-лимфоциты лучше «узнающие» антигены становятся клетками памяти и сохраняются примерно год (клональная селекция).
Информатика и компьютерные технология Иммунная сеть
Информатика и компьютерные технология Искусственные иммунные системы и иммунокомпьютинг
Информатика и компьютерные технология Алгоритм отрицательного отбора. Генерирование детекторов Паттерны нормальной активности Набор паттернов, сгенерированных случайным образом Нет Набор детекторов Совпадение? Да Удалить паттерн
Информатика и компьютерные технология Алгоритм отрицательного отбора.Обнаружениеаномалий Набор детекторов Вновь поступающие паттерны Нет Проверка следующего паттерна Совпадение? Да Обнаружена аномалия
Информатика и компьютерные технология Аффинность Аффинность – степень соответствия между антигеном и лимфоцитом. Используемые виды аффинности: 124233043 324214246 Аффинность = 3 124233043 324214246 Аффинность = 4 124233043 324214246 |3-6|=3 Аффинность = 3
Информатика и компьютерные технология Модель костного мозга … G12 G24 GM3 …
Информатика и компьютерные технология Алгоритм клональнойселекции Создание начальной популяции лимфоцитов P Внесение мутаций во все копии (чем больше аффинность, тем меньше мутаций) Для каждого антигена повторить: Нет Условие останова? Вычисление аффинности с каждым элементом P Да Выбор n1 элементов с лучшей аффинностью и копирование их (чем больше аффинность, тем больше копий) Помещение n2 лучших лимфоцитов в пул клеток памяти
Информатика и компьютерные технология Классификация систем обнаружения вторжений
Информатика и компьютерные технология Модель иммунной системы для обнаружения вторжений Клональная селекция
Информатика и компьютерные технология Formal Immune Network
Информатика и компьютерные технология Классификация с помощью иммунной сети Вновь поступившему антигену назначается класс ближайшей к нему клетки FIN Каждой клетке FIN соответствует класс
Информатика и компьютерные технология Иммунокомпьютинг в обнаружении вторжений Обучение Сетевой трафик Формирование клеток FIN Апоптоз Иммунизация FIN Сетевой трафик Формирование клеток без класса Классификация Мониторинг
Информатика и компьютерные технология Предлагаемый подход. Обучение Генная библиотека Нормальные гены Аномальные гены Fitness + 1 Отрицательный отбор Сетевой трафик без атак Зрелые детекторы Иммунная сеть
Информатика и компьютерные технология Предлагаемый подход. Обнаружение вторжений Иммунная сеть Профайлер Классификатор Класс = 0 Класс = 1 ОК Тревога Сетевой трафик Нет Ложное срабатывание? Генная библиотека Детектор Fitness + 1
Информатика и компьютерные технология Предлагаемый подход. Адаптация Мутации Генная библиотека N лучших детекторов Замена худших детекторов новыми f1 > f2 >…> fN >… > fL Отрицательный отбор Новые детекторы
Информатика и компьютерные технология Представлениеданных Дискретизация Создание клеток FIN Сетевой трафик
Информатика и компьютерные технология Представление данных. Клетки FIN Сингулярное разложение Правые сингулярные вектора
Информатика и компьютерные технология Расположение датчиков в сети FIN Sun OS 172.16.113.50 Первичная IDS IDS Сработавшие детекторы Маршрутизатор hub Концентратор IDS IDS Solaris 172.16.114.50 Linux 172.16.112.50 * Для экспериментов использованы данные имитационной сети DARPA
Информатика и компьютерные технология Эксперименты
Информатика и компьютерные технология Результаты Скользящее временное окно
Информатика и компьютерные технология Результаты Оптимальная величина порогового значения в данном случае выбирается исходя из числа ложных срабатываний График для временного окна = 8
Информатика и компьютерные технология Результаты Создание новой FIN Создание новой FIN 10 20 Число срабатываний
Информатика и компьютерные технология Сравнение с классической моделью иммунной системы Работа системы без средств иммунокомпьютинга
Информатика и компьютерные технология Выводы • Дискретизация параметров трафика делает возможным создание детекторов • Отображение паттернов сетевой активности в трехмерное пространство позволяет детекторам покрыть область аномальных паттернов • Эффективность системы увеличивается благодаря эволюции генной библиотеки
Информатика и компьютерные технология Спасибозавнимание!