Подход к обнаружению вторжений на основе модели иммунной системы и иммунокомпьютинга Вадим Д. Котов Уфимский Государственный Авиационный Технический Университет Кафедра Вычислительной Техники и Защиты Информации

Содержание Информатика и компьютерные технология 1.Ссылки 2.Структура иммунной системы 3.Приобретенный иммунитет 4.Иммунный ответ по клеточному типу 5.Отрицательный отбор 6.Иммунный ответ по гуморальному типу 7.Иммунная сеть 8.Искусственные иммунные системы и иммунокомпьютинг 9.Алгоритм отрицательного отбора. 10.Аффинность 11.Модель костного мозга 12.Алгоритм клональной селекции 13.Классификация систем обнаружения вторжений 14.Модель иммунной системы для обнаружения вторжений 15.Formal Immune Network 16.Классификация с помощью иммунной сети 17.Иммунокомпьютинг в обнаружении вторжений 18.Предлагаемый подход 19.Представление данных 20.Расположение датчиков в сети 21.Эксперименты 22.Результаты 23.Сравнение с классической иммунной моделью 24.Выводы

Ссылки D. Dasgupta, L. F. Nino, Immunological Computation. Theory and Applications. CRC Press, A. O. Tarakanov, Immunocomputing for Intelligent Intrusion Detection in IEEE Computational Intelligence Magazine, May 2008, pp A. O. Tarakanov, Mathematical Models for Intrusion Detection by Intelligent Immunochip in CCIS (LNCS), vol. 3630, pp , 2005 A. O. Tarakanov, V. A. Skormin, S. P. Sokolova, Immunocomputiong: Principles And Applications. New-York: Springer, 2003 J. Kim, P. Bentley, An Artificial Immune Model for Network Intrusion Detection in 7th European Congress on Intelligent Techniques and Soft Computing (EUFIT'99), 1999 J. Kim, P. Bentley, The Human Immune System and Network Intrusion Detection. in 7th European Congress on Intelligent Techniques and Soft Computing (EUFIT'99), 1999 E. Carter, J. Hogue, Intrusion Prevention Fundamentals. Cisco Press, DARPA Intrusion Detection Evaluation, Available: V. D. Kotov, V. I. Vasilyev Artificial Immune Systems Based Intrusion Detection System Proc. of the 2nd International Conference on Security of Information and Networks, 2009, pp D. Dasgupta (ed) Artificial Immune Systems And Their Applications, Springer-Verlag, De Castro L. N., Timmis J. Artificial Immune Systems: A New Computational Intelligence Approach, Springer-Verlag, Warrender C., Forrest S., Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models. Proc. of 1999 IEEE Symposium on Security and Privacy, pp , May Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer, Proc. of 1994 IEEE Symposium on Research in Security and Privacy, pp , May Информатика и компьютерные технология

Структура иммунной системы Кожа Пот Слюна Слезы Биохимический барьер Сдерживание инфекции Воспаление Врожденный иммунитет Уничтожение вредоносных организмов Иммунная память для быстрого ответа на подобные инфекции Приобретенный иммунитет Информатика и компьютерные технология

Приобретенный иммунитет Свойства приобретенного иммунитета Основные участникиТипы иммунного ответа Специфичность иммунного ответа – способность лимфоцитов распознавать определенные антигены Т-лимфоциты (киллеры, хелперы, супрессоры) По клеточному (основные участники – Т- лимфоциты) Иммунная память – способность осуществлять быстрый иммунный ответ при повторной встрече с известным антигеном В-лимфоциты (В-лимфоциты, плазмациты, клетки памяти) По гуморальному типу (основные участники – B- лимфоциты) Саморегуляция –способность к активации и подавлению иммунного ответа Свободные антитела (рецепоторы В-лимфицита, покинувшие его поверхность) Лимфокины - вещества активирующие или подавляющие иммунный ответ Информатика и компьютерные технология

Иммунный ответ по клеточному типу 1.Фагоцит поглощает антиген; 2.Фагоцит переваривает поглощенный антиген и выделяет из него пептид; 3.Пептид презентуется на поверхности фагоцита; 4.Т-хелпер распознает пептид 5.Т-хелпер выделяет лимфокины, активирующие Т- киллеров; 6.Т-киллеры уничтожают зараженные клетки; 7.Т-супрессоры выделяют лимфокины, подавляющие иммунный ответ Информатика и компьютерные технология

Отрицательный отбор Информатика и компьютерные технология

Иммунный ответ по гуморальному типу 1.В-лимфоцит «узнает» антиген; 2.В-лимфоцит размножается, антитела на поверхности клонов претерпевают мутации; 3.Часть клеток выделяет антитела со свей поверхности (они становятся плазмацитами); 4.После иммунного ответа часть лимфоцитов умирает; 5.В-лимфоциты лучше «узнающие» антигены становятся клетками памяти и сохраняются примерно год (клональная селекция) Информатика и компьютерные технология

Иммунная сеть Информатика и компьютерные технология

Искусственные иммунные системы и иммунокомпьютинг Иммунная системаКомпьютерная имплементация Отрицательный отбор Т- лимфоцитов Алгоритм отрицательного отбора Клональная селекция В- лимфоцитов Алгоритм клональной селекции Иммунная сетьФормальная иммунная сеть (FIN, Formal Immune Network) Информатика и компьютерные технология

Алгоритм отрицательного отбора. Генерирование детекторов Паттерны нормальной активности Набор паттернов, сгенерированных случайным образом Удалить паттерн Набор детекторов Совпадение? Да Нет Информатика и компьютерные технология

Алгоритм отрицательного отбора.Обнаружение аномалий Набор детекторов Вновь поступающие паттерны Обнаружена аномалия Проверка следующего паттерна Совпадение? Да Нет Информатика и компьютерные технология

Аффинность Аффинность – степень соответствия между антигеном и лимфоцитом. Используемые виды аффинности: Правило r-смежных совпадений Аффинность равна максимальному числу совпадений в смежных позициях двух паттернов Расстояние по Хэммингу Аффинность равна числу совпадающих элементов в одинаковых позициях Расстояние по Чебышеву Аффинность равна наибольшему модулю разности элементов паттернов Аффинность = |3-6|=3 Аффинность = Аффинность = Информатика и компьютерные технология

Модель костного мозга … G12 G24 GM3 … Информатика и компьютерные технология

Алгоритм клональной селекции Создание начальной популяции лимфоцитов P Для каждого антигена повторить: Вычисление аффинности с каждым элементом P Выбор n1 элементов с лучшей аффинностью и копирование их (чем больше аффинность, тем больше копий) Внесение мутаций во все копии (чем больше аффинность, тем меньше мутаций) Условие останова? Нет Да Помещение n2 лучших лимфоцитов в пул клеток памяти Информатика и компьютерные технология

Классификация систем обнаружения вторжений Системы обнаружения вторжений По способу обнаружения Поведенческие Статистические средства, методы искусственного интеллекта Сигнатурные Поиск совпадений по шаблонам известных вторжений По типу мониторинга Узловые Мониторинг одного компьютера Сетевые Мониторинг сетевого трафика Информатика и компьютерные технология

Модель иммунной системы для обнаружения вторжений Клональная селекция Информатика и компьютерные технология

Formal Immune Network Формальная иммунная сеть (FIN)Набор клеток FIN=(V 1 …V m ) Клетка, VV=(c(V),P(V)), c(V) – класс клетки, P(V) – точка в Евклидовом пространстве Расстояние между клетками, dРасстояние по Чебышеву Распознавание клетки V1 клеткой V2Если c(V1)=c(V2) и d(V1, V2) < dmin, то клетка V1 «узнает» V2 АпоптозЕсли V 1 узнает V 2, то V 1 удаляется из FIN ИммунизацияЕсли V 1 ближайшая к V 2 среди остальных клеток, но классы этих клеток различны, то V 1 добавляется в FIN Информатика и компьютерные технология

Классификация с помощью иммунной сети Каждой клетке FIN соответствует класс Каждой клетке FIN соответствует класс Вновь поступившему антигену назначается класс ближайшей к нему клетки FIN Информатика и компьютерные технология

Иммунокомпьютинг в обнаружении вторжений Сетевой трафик Формирование клеток FIN КлеткаКлассОписание 1V10Нормальный трафик 2V21Buffer Overflow 3V33nmap ………… Апоптоз Иммунизация Обучение Мониторинг Сетевой трафик Формирование клеток без класса FIN Классификация Информатика и компьютерные технология

Предлагаемый подход. Обучение Генная библиотека Нормальные гены Нормальные гены Аномальные гены Ген 1Ген2…Fitness ………… Fitness + 1 Отрицательный отбор Сетевой трафик без атак Зрелые детекторы Иммунная сеть Иммунная сеть Информатика и компьютерные технология

Предлагаемый подход. Обнаружение вторжений Сетевой трафик Иммунная сеть Иммунная сеть Профайлер Классификатор Класс = 0 ОК Класс = 1 Тревога Ложное срабатывание? Нет Детектор Генная библиотека Fitness Информатика и компьютерные технология

Предлагаемый подход. Адаптация ДетекторFitness Детектор 1f1 Детектор 2f2 …… Детектор NfN …… Детектор LfL Генная библиотека f1 > f2 >…> fN >… > fL Замена худших детекторов новыми Детектор 1 Детектор 2 Детектор N Отрицательный отбор Новые детекторы N лучших детекторов Мутации Информатика и компьютерные технология

Представление данных Сетевой трафик Паттерн сетевой активности idсервисБайты от клиента серверу Байты от сервера клиенту Пакеты от клиента серверу Пакеты от сервера клиенту Среднекв. отклонение времени между пакетами Дискретизация Создание клеток FIN Информатика и компьютерные технология

Представление данных. Клетки FIN Паттерны сетевой активности P11P12P13P14P15P16 P21P22P23P24P25P26 ……………… P31P32P33P34P35P36 P11P21 P12P22 P13P23 P14P24 P15P25 P16P26 Сингулярное разложение Правые сингулярные вектора Информатика и компьютерные технология

Расположение датчиков в сети Solaris Первичная IDS Linux hub IDS * Для экспериментов использованы данные имитационной сети DARPA Sun OS FIN Сработавшие детекторы Концентратор Маршрутизатор Информатика и компьютерные технология

Эксперименты Проверка уровня обнаружения вторжений в зависимости от временного окна Уровень обнаружения - отношение числа распознанных вторжений к общему числу аномальных паттернов Проверка уровня ложных срабатываний в зависимости от временного окна Уровень ложных срабатываний - отношение числа ложных срабатываний к общему числу нормальных паттернов Зависимость уровней обнаружения вторжений от порогового значения расстояния между клетками FIN От порогового значения зависит количество клеток FIN, а также эффективность обнаружения вторжений Проверка уровней обнаружения вторжений и ложных срабатываний после адаптации Сравнение с классической моделью иммунной системы Определение того, насколько предлагаемый подход лучше классической модели Информатика и компьютерные технология

Результаты Паттерны сетевой активности P1P2P3P4…Pn Скользящее временное окно Информатика и компьютерные технология

Результаты График для временного окна = 8 Оптимальная величина порогового значения в данном случае выбирается исходя из числа ложных срабатываний Информатика и компьютерные технология

Результаты Число срабатываний 1020 Создание новой FIN Информатика и компьютерные технология

Сравнение с классической моделью иммунной системы Работа системы без средств иммунокомпьютинга Информатика и компьютерные технология

Выводы Дискретизация параметров трафика делает возможным создание детекторов Отображение паттернов сетевой активности в трехмерное пространство позволяет детекторам покрыть область аномальных паттернов Эффективность системы увеличивается благодаря эволюции генной библиотеки Информатика и компьютерные технология

Спасибо за внимание!Спасибо за внимание! Информатика и компьютерные технология