Download Presentation (spanish)

J. Benito Camiña, Carlos HernándezGracidas y Raúl Monroy








Problemática
Motivación
Objetivos
El Conjunto de Datos
Metodología
Experimentos Propuestos
Conclusiones
Trabajo Futuro
4o. Congreso Mexicano de Inteligencia Artificial
2




Actualmente la información es un bien extremadamente
valioso
Es vital detectar a tiempo cuando nuestra computadora
está siendo ilegalmente utilizada por un intruso
El desempeño de métodos que usan conjuntos de datos
basados en los comandos que emplea el usuario no es
concluyente
Se ha optado por fuentes de actividad alternativas en un
intento por caracterizar mejor el comportamiento del
usuario
4o. Congreso Mexicano de Inteligencia Artificial
3


Para caracterizar mejor el comportamiento del
usuario, es necesario considerar cómo y qué
recorre el usuario
Proponemos que usar la estructura de
navegación de un usuario obedece a un doble
propósito:
◦ Permite entender mejor el comportamiento de un
usuario dado
◦ Permite construir un perfil de usuario adecuado para la
detección de impostores
4o. Congreso Mexicano de Inteligencia Artificial
4
1.
2.
3.
4.
Crear una estructura de navegación con la información de
cómo un usuario estructura su sistema de archivos y
cómo lo emplea y recorre
Crear un conjunto de datos de la interacción de usuarios
de Windows con su sistema de archivos
Crear un conjunto de ataques
computadoras de los usuarios
simulados
en
las
Crear un modelo de representación basado en grafos que
refleja la interacción del usuario en el sistema y extraer
distintos atributos a partir de ellos
4o. Congreso Mexicano de Inteligencia Artificial
5
4o. Congreso Mexicano de Inteligencia Artificial
6
4o. Congreso Mexicano de Inteligencia Artificial
7

Se propone crear los perfiles individualmente por cada
usuario

Es necesario considerar un porcentaje inicial de registros,
primordialmente, como ruido


De la información restante, se empleará un porcentaje
para entrenamiento del clasificador y el resto para su
validación
Se pretende comparar algoritmos de clasificación (SVMs,
KNN, ANN) bajo el enfoque de una clase
4o. Congreso Mexicano de Inteligencia Artificial
8

Preguntas a responder:
◦ ¿Qué porcentaje de datos
considerándolo como ruido?
es
fiable
descartar
◦ ¿Qué porcentaje de datos es necesario utilizar para el
perfilado del usuario?
◦ ¿Qué porcentaje de datos
correctamente el modelo?
basta
para
validar
◦ ¿Estos porcentajes son fijos o varían, dependiendo de las
características del usuario como qué tan organizado es,
cuánta información se recabó, durante qué tiempo se
recabó, etc.?
4o. Congreso Mexicano de Inteligencia Artificial
9



Contar con perfiles heterogéneos permitirá sacar mejores
conclusiones de los experimentos
Se pretendió realizar ataques de forma homogénea,
buscando que esto permita evaluar diversas técnicas de
detección de impostores
Se espera que la obtención de ventanas y su
representación mediante vectores de atributos, puedan ser
empleados para entrenar métodos de clasificación de una
clase
4o. Congreso Mexicano de Inteligencia Artificial
10


Se espera, a corto plazo, contar con resultados con los
métodos de detección propuestos
Se espera poder obtener mejores resultados que en
trabajos previos, con el uso de los grafos de accesos y de
directorios

Se planea agregar más campos a la estructura de
navegación y al vector de atributos

Se tiene contemplado utilizar otro tipo de clasificadores

Se espera contar con nuevos usuarios con perfiles
distintos
4o. Congreso Mexicano de Inteligencia Artificial
11
¡Gracias!
4o. Congreso Mexicano de Inteligencia Artificial
12
Ventana n
Ventana
n+1
42984|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp
42985|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp
42986|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42987|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42988|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42989|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42990|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42991|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42992|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42993|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42994|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42995|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42996|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
42997|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
42998|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
42999|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
43000|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
43001|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
43002|22/02/2012|19:43:55 p.m.|36099835|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
43003|22/02/2012|19:43:56 p.m.|36099836|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
43004|22/02/2012|19:44:02 p.m.|36099842|5|C:\Documents and Settings\Sr.Paco\Escritorio\My
roll.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\07-si pudiera.mp3
Shared Folder\06 preparados para el rock &
13
4o. Congreso Mexicano de Inteligencia Artificial
Formato entrada:
FECHA HORA | RUTA OBJETO
27/03/2012 02:57:12 p.m.|C:\Program Files (x86)\G DATA\AVKClient
27/03/2012 02:57:34 p.m.|C:\Program Files (x86)
Formato salida:
ID ACCESO | FECHA | HORA | TIEMPO TRANSCURRIDO | PROFUNDIDAD | RUTA ACCESO
1 | 27/03/2012 | 02:57:12 p.m. | 36029284 | 3 | C:\Program Files (x86)\G DATA\AVKClient1
2 | 27/03/2012 | 02:57:34 p.m. | 36029306 | 1 | C:\Program Files (x86)
4o. Congreso Mexicano de Inteligencia Artificial
14

Premisa:
◦ Usuarios distintos interactúan de manera distinta.


Detectar intrusos en juegos en línea [15].
Re-autenticación de los usuarios basándose
en los movimientos del ratón [2].
◦ Supervisado.

Identificación biométrica de los movimientos
del ratón [3].
◦ Guiado.

Reconocimiento de usuarios al teclear la
contraseña [4].
4o. Congreso Mexicano de Inteligencia Artificial
15

Creación del perfil del usuario:
◦ Grafo:


“Nodo”: [“Padre”, [“Hijos”], Número de Accesos, Fecha de último acceso, [Listas de
accesos al nodo], “ID”, “Profundidad”]
“C:\DS\”: [“C:”, [], 1, “2010/244”, [[“0 – 2”, 1]], 2, “0-1-1”]
4o. Congreso Mexicano de Inteligencia Artificial
16



Los mejores resultados se obtuvieron con el
usuario 3:
Los peores resultados se obtuvieron con el
usuario 1:
Resultados unidos:
4o. Congreso Mexicano de Inteligencia Artificial
17

Curva ROC de los resultados de los usuarios
unidos:
4o. Congreso Mexicano de Inteligencia Artificial
18


3 atacantes y 3 usuarios con diferentes
perfiles.
Utilización de modelo estadístico:
◦ Naïve Bayes:
◦ Forma logarítmica:
4o. Congreso Mexicano de Inteligencia Artificial
19