Download Presentation (spanish)
Document related concepts
no text concepts found
Transcript
J. Benito Camiña, Carlos HernándezGracidas y Raúl Monroy Problemática Motivación Objetivos El Conjunto de Datos Metodología Experimentos Propuestos Conclusiones Trabajo Futuro 4o. Congreso Mexicano de Inteligencia Artificial 2 Actualmente la información es un bien extremadamente valioso Es vital detectar a tiempo cuando nuestra computadora está siendo ilegalmente utilizada por un intruso El desempeño de métodos que usan conjuntos de datos basados en los comandos que emplea el usuario no es concluyente Se ha optado por fuentes de actividad alternativas en un intento por caracterizar mejor el comportamiento del usuario 4o. Congreso Mexicano de Inteligencia Artificial 3 Para caracterizar mejor el comportamiento del usuario, es necesario considerar cómo y qué recorre el usuario Proponemos que usar la estructura de navegación de un usuario obedece a un doble propósito: ◦ Permite entender mejor el comportamiento de un usuario dado ◦ Permite construir un perfil de usuario adecuado para la detección de impostores 4o. Congreso Mexicano de Inteligencia Artificial 4 1. 2. 3. 4. Crear una estructura de navegación con la información de cómo un usuario estructura su sistema de archivos y cómo lo emplea y recorre Crear un conjunto de datos de la interacción de usuarios de Windows con su sistema de archivos Crear un conjunto de ataques computadoras de los usuarios simulados en las Crear un modelo de representación basado en grafos que refleja la interacción del usuario en el sistema y extraer distintos atributos a partir de ellos 4o. Congreso Mexicano de Inteligencia Artificial 5 4o. Congreso Mexicano de Inteligencia Artificial 6 4o. Congreso Mexicano de Inteligencia Artificial 7 Se propone crear los perfiles individualmente por cada usuario Es necesario considerar un porcentaje inicial de registros, primordialmente, como ruido De la información restante, se empleará un porcentaje para entrenamiento del clasificador y el resto para su validación Se pretende comparar algoritmos de clasificación (SVMs, KNN, ANN) bajo el enfoque de una clase 4o. Congreso Mexicano de Inteligencia Artificial 8 Preguntas a responder: ◦ ¿Qué porcentaje de datos considerándolo como ruido? es fiable descartar ◦ ¿Qué porcentaje de datos es necesario utilizar para el perfilado del usuario? ◦ ¿Qué porcentaje de datos correctamente el modelo? basta para validar ◦ ¿Estos porcentajes son fijos o varían, dependiendo de las características del usuario como qué tan organizado es, cuánta información se recabó, durante qué tiempo se recabó, etc.? 4o. Congreso Mexicano de Inteligencia Artificial 9 Contar con perfiles heterogéneos permitirá sacar mejores conclusiones de los experimentos Se pretendió realizar ataques de forma homogénea, buscando que esto permita evaluar diversas técnicas de detección de impostores Se espera que la obtención de ventanas y su representación mediante vectores de atributos, puedan ser empleados para entrenar métodos de clasificación de una clase 4o. Congreso Mexicano de Inteligencia Artificial 10 Se espera, a corto plazo, contar con resultados con los métodos de detección propuestos Se espera poder obtener mejores resultados que en trabajos previos, con el uso de los grafos de accesos y de directorios Se planea agregar más campos a la estructura de navegación y al vector de atributos Se tiene contemplado utilizar otro tipo de clasificadores Se espera contar con nuevos usuarios con perfiles distintos 4o. Congreso Mexicano de Inteligencia Artificial 11 ¡Gracias! 4o. Congreso Mexicano de Inteligencia Artificial 12 Ventana n Ventana n+1 42984|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp 42985|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp 42986|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3 42987|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3 42988|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3 42989|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3 42990|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3 42991|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3 42992|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk 42993|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk 42994|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk 42995|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk 42996|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 42997|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 42998|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 42999|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 43000|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 43001|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 43002|22/02/2012|19:43:55 p.m.|36099835|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 43003|22/02/2012|19:43:56 p.m.|36099836|5|C:\Documents and Settings\Sr.Paco\Escritorio\My 43004|22/02/2012|19:44:02 p.m.|36099842|5|C:\Documents and Settings\Sr.Paco\Escritorio\My roll.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\07-si pudiera.mp3 Shared Folder\06 preparados para el rock & 13 4o. Congreso Mexicano de Inteligencia Artificial Formato entrada: FECHA HORA | RUTA OBJETO 27/03/2012 02:57:12 p.m.|C:\Program Files (x86)\G DATA\AVKClient 27/03/2012 02:57:34 p.m.|C:\Program Files (x86) Formato salida: ID ACCESO | FECHA | HORA | TIEMPO TRANSCURRIDO | PROFUNDIDAD | RUTA ACCESO 1 | 27/03/2012 | 02:57:12 p.m. | 36029284 | 3 | C:\Program Files (x86)\G DATA\AVKClient1 2 | 27/03/2012 | 02:57:34 p.m. | 36029306 | 1 | C:\Program Files (x86) 4o. Congreso Mexicano de Inteligencia Artificial 14 Premisa: ◦ Usuarios distintos interactúan de manera distinta. Detectar intrusos en juegos en línea [15]. Re-autenticación de los usuarios basándose en los movimientos del ratón [2]. ◦ Supervisado. Identificación biométrica de los movimientos del ratón [3]. ◦ Guiado. Reconocimiento de usuarios al teclear la contraseña [4]. 4o. Congreso Mexicano de Inteligencia Artificial 15 Creación del perfil del usuario: ◦ Grafo: “Nodo”: [“Padre”, [“Hijos”], Número de Accesos, Fecha de último acceso, [Listas de accesos al nodo], “ID”, “Profundidad”] “C:\DS\”: [“C:”, [], 1, “2010/244”, [[“0 – 2”, 1]], 2, “0-1-1”] 4o. Congreso Mexicano de Inteligencia Artificial 16 Los mejores resultados se obtuvieron con el usuario 3: Los peores resultados se obtuvieron con el usuario 1: Resultados unidos: 4o. Congreso Mexicano de Inteligencia Artificial 17 Curva ROC de los resultados de los usuarios unidos: 4o. Congreso Mexicano de Inteligencia Artificial 18 3 atacantes y 3 usuarios con diferentes perfiles. Utilización de modelo estadístico: ◦ Naïve Bayes: ◦ Forma logarítmica: 4o. Congreso Mexicano de Inteligencia Artificial 19