Sistema de respuesta a intrusiones proactivo basado en modelos de markov y redes neuronales

Resumen

Los incidentes de seguridad han aumentado en gran medida debido al uso extendido de tecnologías de la información (TI) dentro de todos cualquier entorno organizativo. Además, estos incidentes cada vez son más sofisticados por lo que los sistemas de protección deben evolucionar para detectar y mitigar estos incidentes. Los Sistemas de Detección de Intrusiones han evolucionado rápidamente y a día de hoy existen diversidad de herramientas maduras basadas en distintos paradigmas. A su vez, los Sistemas de Prevención de Intrusiones se han incluido para la realización de respuestas reactivas básicas, como restablecer una conexión. Por otro lado, se han ido desarrollando Sistemas de Respuestas a Intrusiones (IRS) con el objetivo de proporcionar respuestas específicas de acuerdo con unas reglas predefinidas. Hoy en día los IRSs juegan un rol importante en la arquitectura de seguridad. Estos sistemas mitigan el impacto de posibles ataques con el objetivo de mantener la integridad, la disponibilidad y la confidencialidad de los recursos. Los Sistemas de Respuestas a Intrusiones Automáticos (AIRS) proporcionan la mejor defensa posible mediante la selección automática de respuestas, además de minimizar la ventana de oportunidad del atacante. Esta tesis doctoral se centra en mejorar las reacciones automatizadas contra intrusiones usando métodos de Aprendizaje Automático. La primera contribución de la tesis consiste en evaluar la eficiencia de las respuestas ejecutadas previamente frente a un ataque. De este modo, es posible proporcionar información relevante para la inferencia de siguientes respuestas. Para determinar la efectividad de cada una de las respuestas se ha optado por el uso de un algoritmo de aprendizaje basado en Redes Neuronales Artificiales, de tal forma que el AIRS tenga capacidad de auto-aprendizaje. Posteriormente, se define una serie de ecuaciones que determinan el nivel de éxito de la respuesta todas las veces que fue ejecutada. El valor del nivel de éxito de cada una de las respuestas es almacenado en la Ontología del AIRS para así poderlo tener en cuenta en los siguientes procesos de inferencia. Como consecuencia se consigue un AIRS con capacidades adaptativas. El concepto de predicción de ataques es clave para adelantarse a los pasos del atacante, y así poder realizar respuestas proactivas. Por tanto, la segunda propuesta se basa en predecir ataques multi-paso a partir de las alertas reportadas por los Sistemas de Detección de Intrusiones (IDS) diseñando un sistema basado en la definición de un modelo extendido de los Modelos Ocultos de Markov (HMM). Los estados ocultos de la cadena de Markov son las fases de ataque generalizadas para cada uno de los distintos tipos de ataques a modelar. De esta manera, el modelo se adapta al ataque multi-paso concreto y como resultado es posible adelantarse al siguiente paso del atacante. Específicamente, la validación del sistema predictivo propuesto se va a centrar en el análisis de las distintas fases de la Denegación de Servicio Distribuida (DDoS) ya que es un problema creciente en los servicios de Internet y es complicado prevenir ca\'idas de los sistemas. Para conseguir este objetivo es necesario que el HMM sea entrenado de manera off-line a partir de una serie de observaciones. Estas observaciones se obtienen tras el etiquetado de los distintos identificadores de CVE (Common Vulnerabilities and Exposures) que puede contener una alerta para así evitar problemas de sobreajuste. El etiquetado se basa en la clusterización del informe público de CVE, los cuales son posteriormente almacenados en una base de datos. Por otro lado se comparar\'an dos algoritmos distintos de entrenamiento, supervisado y no supervisado para la construcción de las matrices de probabilidad. Tras ello el modelo está preparado para recibir alertas de distintos IDSs y encontrar la mejor secuencia de estados usando el algoritmo de Viterbi. La probabilidad de estado para cada uno de los distintos pasos del ataque multi-paso en progreso esta basado en el algoritmo de Viterbi y en el algoritmo de forward-backward. Finalmente se calcula la probabilidad de intrusión usando el número medio de alertas obtenidas en el entrenamiento y el número de alertas en progreso. El sistema propuesto se ha validado con un escenario virtual construido teniendo en cuenta vulnerabilidades actuales y se ha evaluado su viabilidad de uso en tiempo real.