SlideShare une entreprise Scribd logo

Segurança, ML, Agentes e Exemplos Reais

Marco Manso
Marco Manso

O documento discute como a segurança de sistemas, data mining e agentes inteligentes podem ser combinados para melhorar a detecção de intrusões. Especificamente, data mining pode ser usado para reduzir falsos positivos em alertas de intrusão, enquanto agentes inteligentes permitem monitoramento distribuído e tomada de decisão coordenada para lidar com ataques complexos.

1  sur  50
Segurança, Data Mining e Agentes
Apresentação - Tópicos • Segurança • Machine Learning e Data Mining • Agentes • Exemplos reais • Fontes – Machine Learning and Data Mining for Computer Security - Methods and Applications – Springer – Intelligent Agents and Multi Agent Systems – IEEE CEC 2009
O sistema mais seguro do mundo
Ciclo da Segurança • Falha principal de segurança: as pessoas Responder Proteger Detectar
Processo de segurança • Protecção – Implementar Políticas de Segurança – Falível • Detecção – Monitorização de sistemas – Detectar verdadeiros positivos – diminuir falsos positivos – Falível • Resposta – Minimização de danos – Analisar, Recuperar e Melhorar
Modelo para Garantia de Segurança
Propriedades de Segurança • Confidencialidade – Entidades tem acesso a recursos aos quais têm autorização – Controlo de acesso, Encriptação • Integridade – Modificação de dados apenas por entidades autorizadas – Comparação com versões anteriores, Hashing • Disponibilidade – Recursos disponíveis quando necessários – Limitar uso de recursos do sistema (prevenir Denial-of- Service)
Localização da Informação • Processamento – Memória – Protecção contra vazamento de radiação (monitor, CPU, bus de memória), Diferentes Espaços de Memória • Armazenamento – Discos rígidos – Hashing, Controlo de acesso • Transporte/Transmissão – Rede de dados, Tapes, pen drives – Encriptação
Processos de Sistema • Tecnologia – Mecanismos de autenticação, controlo de acesso, detecção de intrusão • Práticas e Políticas – Moldar comportamento humano • Educação – Conhecimento, Aceitação e Utilização
Machine Learning – Conceitos Básicos • Dados → Modelo • Objectivos – Previsão – Aumentar conhecimento sobre dados actuais • Exemplos – Reconhecer comportamentos – Detecção de intrusão – Criação de Políticas
O início: os Dados • Teclas carregadas • Logs HTTP • Logs de execução • Cabeçalhos de pacotes de rede • Sequências de comandos • Executáveis maliciosos • Informação geral sobre utilizadores
Tipos de dados • Processar dados em cru para: – Exemplos ou observações • Criação de classificações • Operações – Atributo calculado a partir de outros – Normalização – Discretização – Remoção de atributos irrelevantes
A ter em conta… • Um grande quantidade de dados nem sempre facilita a criação de modelos • Cada algoritmo tem os seus pressupostos e limitações (limitado a atributos numéricos ou categóricos, etc) • Custos dos atributos, exemplos e erros
Aprendizagem • Algoritmo de: – Aprendizagem – Performance • Tipo de problemas – Detecção: duas classes – Regressão: Predizer valores numéricos – Associações entre atributos – Análise do modelo criado
Algoritmos – Aspectos Gerais • Aprendizagem – Supervisionada – Não-supervisionada – clustering – Semi-supervisionada • Processamento – Batch – Stream • Concept Drift – comportamentos dependentes de tempo • Selecção de características • Ranking • Agregação
Os algoritmos • Nearest Neighbour • Probabilísticos – Naive Bayes – Kernel Density Estimation • Funções lineares – fronteira linear • Conjunto de decisão – Regras – Árvores • Regras de associação • Redes neuronais
Avaliação de Modelos • Hold-out – Conjuntos de Treino e Teste • Leave one out – classificar um exemplo de cada vez • Cross-validation • Medidas – Recall – Precision – F Measure
Avaliação II • Algoritmos tem pressupostos mas: • É impossível saber se à partida se o algoritmo vai se comportar bem ou não com os dados em tratamento • Logo, temos de avaliar o maior número de algoritmos
Últimas tendências • Métodos Ensemble – Vários algoritmos tomam uma decisão ao mesmo tempo – Unificar decisões • Aprendizagem de sequências – A, ok; B, ok; A->B, ANOMALIA – Intrusão -> sequência de comandos
Exemplos - Árvore
Clustering
Informações adicionais • www.kdnuggets.com • Software – Rapidminer – Free – Weka - Free – Clementine – Miner3d –R – SAS
Agentes • Sistemas computacionais autónomos que percepcionam o meio ambiente e agem sobre o mesmo • Agentes inteligentes – percepcionam, analisam, decidem e agem • Dialogam, negoceiam, coordenam
Propriedades • Reacção vs Deliberação • Proactividade, motivado por uma meta • Autista vs Social • Rígido vs Flexível, Adaptável • Colaborativo vs Competitivo vs Antagonista • Racional • Mobilidade • Evolutivo • Replicável
Agente deliberativo
Agente reactivo
Propriedades dos ambientes • Observável • Controlável • Previsível, Determinístico, Estocástico ou Caótico • Episódico • Estático vs Dinâmico • Discreto vs Contínuo • Aberto vs Fechado • Markovian vs não-Markovian
Modelos • Racional lógico – Acções baseadas em intenções e crenças. Ex: Sistemas de inferência • Racional económico – maximizar preferências • Social – cooperar, coordenar e fazer compromissos de modo a atingir objectivos comuns • Interativos – linguagem comum de interacção • Adaptáveis – Aprendizagem por interacção • Evolutivos – replicações que evoluem
Linguagens aplicadas • Implementação: Java, Lisp • Comunicação e Coordenação: KQML • Comportamentos e Leis do meio ambiente: xabsl • Representação de conhecimento: ontologias – Protegé • Especificação de agentes - JADE
Aplicações • Busca de informação proactiva e sensível ao contexto em ambientes heterogéneos • Suporte a decisão em ambientes heterogéneos • Manufactura distribuída • Comércio electrónico • Auto gestão de sistemas de comunicação, eléctricos ou de transporte
Aplicações • Computação móvel • Tratamento de mensagens • Ambientes de trabalho colaborativo • Monitorização de sistemas, detecção de intrusão e contra-medidas • Simulações de Comando e controle, militares • Interacções entre agentes com diferentes comportamentos (sociologia, psicologia, biologia, antropologia) • Simulações de ataques de rede ou cenários de ataque
Informações adicionais • http://www.fipa.org/ • http://jade.tilab.com/ • http://www.software-agent.eu/
Detecção de Intrusão • Aproximações usuais – Snort – Proventia – Enterasys • Assinaturas maliciosas no pacotes de rede • Paralelos aos antivirus • Internet Storm Center - http://isc.sans.org/
Porque usar data mining? • Alertas diários de intrusão: 850000 – Software de detecção: 99% falsos positivos http://www.internetworldstats.com/stats.htm
MITRE • www.mitre.org
Processamento • Objectivos – Diminuir alarmes falsos – Optimizar tempo do analista – Agregação por incidente, ordenação por gravidade
Soluções • Aprendizagem supervisionada de alarmes falsos – Interface web de classificação • Mapping attacks
Soluções • Base de dados de alertas – Criação de novas características além das dadas pelas fontes (facilita agregação) • Classificação de falsos alarmes com árvores de decisão – Overfitting – Iteracção
Soluções • Clustering – Usado a seguir à árvore – Grupos de alertas – Outliers: anomalias
Características Originais
Caracteríticas Calculadas
Características Calculadas
Características Calculadas Agregadas
Agentes e Detecção de Intrusão • Usar uma arquitectura de agentes • Tirar partido da escalabilidade e localidade • Monitorização distribuída da rede • Robustez • Capacidade de resposta
Exemplos • Agentes especializados • Agente central coordenador
Exemplos • Simulação ataque/defesa informático • Agentes móveis • Simular ataques distribuídos • Analisar vulnerabilidades de uma rede
Vantagens • Escalável – Podem-se replicar os agentes na máquinas que forem necessárias • Distribuição de processamento • Tomada de decisão central, utilizando feedback de todos os agentes • Bom para ataques de rede distribuídos
Conclusões • No fim o que queremos é: – Um sistema disponível mas seguro • Data mining e Machine Learning – Filtrar ruído: alertas falsos – Encontrar padrões: novas assinaturas para programas de detecção – Novas políticas: procedimentos e comportamentos – Adaptação – Tempo de resposta
Conclusões • Agentes – Ambientes heterogéneos – Agentes especialistas – Agentes coordenadores – Agentes móveis – Ambientes distribuídos – Trocas de conhecimentos – Robustez – Monitorização em grande escala – Simulação de cenários • Análise de vulnerabilidades • Teste de sistema
Conclusões • Agentes + Machine Learning – Agentes inteligentes – Autonomia de acção – Aprendizagem – Criação e replicação de conhecimento – Ambientes mais seguros mas também disponíveis – Pouca intervenção humana – Evolução – Assimilação de novas situações

Recommandé

Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Guia 1 microcontroladores grado 11
Guia 1 microcontroladores grado 11Guia 1 microcontroladores grado 11
Guia 1 microcontroladores grado 11Mauricio Diaz Garcia
 
El cuaderno rojo
El cuaderno rojoEl cuaderno rojo
El cuaderno rojomividaentrelineas
 
Presentacion
PresentacionPresentacion
PresentacionDaniela
 
Apps builder Detalles
Apps builder DetallesApps builder Detalles
Apps builder Detallessixto zapata
 
Obstaculos Ao Desenvolvimento
Obstaculos Ao DesenvolvimentoObstaculos Ao Desenvolvimento
Obstaculos Ao Desenvolvimentodulcemarr
 
Creatividad Y Proactividad
Creatividad Y ProactividadCreatividad Y Proactividad
Creatividad Y Proactividadmarian irribarren
 

Recommandé

Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de AcessoCassio Ramos
 
Guia 1 microcontroladores grado 11
Guia 1 microcontroladores grado 11Guia 1 microcontroladores grado 11
Guia 1 microcontroladores grado 11Mauricio Diaz Garcia
 
El cuaderno rojo
El cuaderno rojoEl cuaderno rojo
El cuaderno rojomividaentrelineas
 
Presentacion
PresentacionPresentacion
PresentacionDaniela
 
Apps builder Detalles
Apps builder DetallesApps builder Detalles
Apps builder Detallessixto zapata
 
Obstaculos Ao Desenvolvimento
Obstaculos Ao DesenvolvimentoObstaculos Ao Desenvolvimento
Obstaculos Ao Desenvolvimentodulcemarr
 
Creatividad Y Proactividad
Creatividad Y ProactividadCreatividad Y Proactividad
Creatividad Y Proactividadmarian irribarren
 
Apresentação data mining
Apresentação data miningApresentação data mining
Apresentação data miningNilton Rodrigues Pereira
 
Análise de Redes Sociais - Agroplus
Análise de Redes Sociais - AgroplusAnálise de Redes Sociais - Agroplus
Análise de Redes Sociais - Agroplusequipeagroplus
 
Aula introducao-redes-neurais
Aula introducao-redes-neuraisAula introducao-redes-neurais
Aula introducao-redes-neuraisLeo Laurett
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharepccdias
 
Introducao redes
Introducao redesIntroducao redes
Introducao redesSyagrio André
 
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao ContextoSistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao ContextoHelio Henrique L. C. Monte-Alto
 
Serviços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisServiços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisMiguel Pardal
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...Henrique Gabriel Gularte Pereira
 
Capítulo1 - Introdução a Sistemas Distribuídos - Coulouris
Capítulo1 - Introdução a Sistemas Distribuídos - CoulourisCapítulo1 - Introdução a Sistemas Distribuídos - Coulouris
Capítulo1 - Introdução a Sistemas Distribuídos - CoulourisWindson Viana
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Trabalho data center
Trabalho data centerTrabalho data center
Trabalho data centerRicardo Peres
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Sd capitulo01
Sd capitulo01Sd capitulo01
Sd capitulo01Portal_do_Estudante_SD
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Seminario sma,abms e netlogo
Seminario sma,abms e netlogoSeminario sma,abms e netlogo
Seminario sma,abms e netlogoDiogo Winck
 
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxMoysesOliveira3
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Amazon Web Services LATAM
 
Data mining
Data miningData mining
Data miningSamira Carneiro
 
Real-time on-site forensic trace qualification
Real-time on-site forensic trace qualificationReal-time on-site forensic trace qualification
Real-time on-site forensic trace qualificationMarco Manso
 
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...Marco Manso
 

Contenu connexe

Similaire à Segurança, ML, Agentes e Exemplos Reais

Análise de Redes Sociais - Agroplus
Análise de Redes Sociais - AgroplusAnálise de Redes Sociais - Agroplus
Análise de Redes Sociais - Agroplusequipeagroplus
 
Aula introducao-redes-neurais
Aula introducao-redes-neuraisAula introducao-redes-neurais
Aula introducao-redes-neuraisLeo Laurett
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharepccdias
 
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao ContextoSistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao ContextoHelio Henrique L. C. Monte-Alto
 
Serviços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisServiços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisMiguel Pardal
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...Henrique Gabriel Gularte Pereira
 
Capítulo1 - Introdução a Sistemas Distribuídos - Coulouris
Capítulo1 - Introdução a Sistemas Distribuídos - CoulourisCapítulo1 - Introdução a Sistemas Distribuídos - Coulouris
Capítulo1 - Introdução a Sistemas Distribuídos - CoulourisWindson Viana
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Trabalho data center
Trabalho data centerTrabalho data center
Trabalho data centerRicardo Peres
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Seminario sma,abms e netlogo
Seminario sma,abms e netlogoSeminario sma,abms e netlogo
Seminario sma,abms e netlogoDiogo Winck
 
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxMoysesOliveira3
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Amazon Web Services LATAM
 

Similaire à Segurança, ML, Agentes e Exemplos Reais (20)

Apresentação data mining
Apresentação data miningApresentação data mining
Apresentação data mining
 
Análise de Redes Sociais - Agroplus
Análise de Redes Sociais - AgroplusAnálise de Redes Sociais - Agroplus
Análise de Redes Sociais - Agroplus
 
Aula introducao-redes-neurais
Aula introducao-redes-neuraisAula introducao-redes-neurais
Aula introducao-redes-neurais
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
 
Introducao redes
Introducao redesIntroducao redes
Introducao redes
 
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao ContextoSistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
Sistemas Multiagentes e Sistemas Distribuídos Sensíveis ao Contexto
 
Serviços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveisServiços baseados em dispositivos pessoais móveis
Serviços baseados em dispositivos pessoais móveis
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de Rede
 
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
Uma Arquitetura para a Utilização de Computação nas Nuvens nos Ambientes de C...
 
Capítulo1 - Introdução a Sistemas Distribuídos - Coulouris
Capítulo1 - Introdução a Sistemas Distribuídos - CoulourisCapítulo1 - Introdução a Sistemas Distribuídos - Coulouris
Capítulo1 - Introdução a Sistemas Distribuídos - Coulouris
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Trabalho data center
Trabalho data centerTrabalho data center
Trabalho data center
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Sd capitulo01
Sd capitulo01Sd capitulo01
Sd capitulo01
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Seminario sma,abms e netlogo
Seminario sma,abms e netlogoSeminario sma,abms e netlogo
Seminario sma,abms e netlogo
 
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?
 
Data mining
Data miningData mining
Data mining
 

Plus de Marco Manso

Real-time on-site forensic trace qualification
Real-time on-site forensic trace qualificationReal-time on-site forensic trace qualification
Real-time on-site forensic trace qualificationMarco Manso
 
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...Marco Manso
 
NEXES Applications for Citizens
NEXES Applications for CitizensNEXES Applications for Citizens
NEXES Applications for CitizensMarco Manso
 
NEXES Pilot in Romania Scenario Overview
NEXES Pilot in Romania Scenario OverviewNEXES Pilot in Romania Scenario Overview
NEXES Pilot in Romania Scenario OverviewMarco Manso
 
NEXES Campaigns of Demonstration
NEXES Campaigns of DemonstrationNEXES Campaigns of Demonstration
NEXES Campaigns of DemonstrationMarco Manso
 
EMYNOS nExt generation eMergencY commuNicatiOnS
EMYNOS nExt generation eMergencY commuNicatiOnSEMYNOS nExt generation eMergencY commuNicatiOnS
EMYNOS nExt generation eMergencY commuNicatiOnSMarco Manso
 
Emergency Apps for First Responders
Emergency Apps for First RespondersEmergency Apps for First Responders
Emergency Apps for First RespondersMarco Manso
 
Public Alert in NEXES
Public Alert in NEXESPublic Alert in NEXES
Public Alert in NEXESMarco Manso
 
The Value of IMS for NGES
The Value of IMS for NGESThe Value of IMS for NGES
The Value of IMS for NGESMarco Manso
 
Improved Capabilities at the Hands of PSAP Operators.
Improved Capabilities at the Hands of PSAP Operators.Improved Capabilities at the Hands of PSAP Operators.
Improved Capabilities at the Hands of PSAP Operators.Marco Manso
 
Accessibility Aspects in NGES
Accessibility Aspects in NGESAccessibility Aspects in NGES
Accessibility Aspects in NGESMarco Manso
 
NEXES: On the Path Towards NGES
NEXES: On the Path Towards NGESNEXES: On the Path Towards NGES
NEXES: On the Path Towards NGESMarco Manso
 
Social Media in Crisis Presentation
Social Media in Crisis PresentationSocial Media in Crisis Presentation
Social Media in Crisis PresentationMarco Manso
 
Rinicom presentation
Rinicom presentationRinicom presentation
Rinicom presentationMarco Manso
 
Img s position-paper_for_h2020
Img s position-paper_for_h2020Img s position-paper_for_h2020
Img s position-paper_for_h2020Marco Manso
 
Img s sumary-paper_for_march19_meeting
Img s sumary-paper_for_march19_meetingImg s sumary-paper_for_march19_meeting
Img s sumary-paper_for_march19_meetingMarco Manso
 
Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2Marco Manso
 

Plus de Marco Manso (20)

Real-time on-site forensic trace qualification
Real-time on-site forensic trace qualificationReal-time on-site forensic trace qualification
Real-time on-site forensic trace qualification
 
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
The RISEN Project – A Novel Concept for Real-time on-site Forensic Trace Qual...
 
NEXES Applications for Citizens
NEXES Applications for CitizensNEXES Applications for Citizens
NEXES Applications for Citizens
 
NEXES Pilot in Romania Scenario Overview
NEXES Pilot in Romania Scenario OverviewNEXES Pilot in Romania Scenario Overview
NEXES Pilot in Romania Scenario Overview
 
AAHD Exercises
AAHD ExercisesAAHD Exercises
AAHD Exercises
 
NEXES Campaigns of Demonstration
NEXES Campaigns of DemonstrationNEXES Campaigns of Demonstration
NEXES Campaigns of Demonstration
 
EMYNOS nExt generation eMergencY commuNicatiOnS
EMYNOS nExt generation eMergencY commuNicatiOnSEMYNOS nExt generation eMergencY commuNicatiOnS
EMYNOS nExt generation eMergencY commuNicatiOnS
 
Emergency Apps for First Responders
Emergency Apps for First RespondersEmergency Apps for First Responders
Emergency Apps for First Responders
 
Public Alert in NEXES
Public Alert in NEXESPublic Alert in NEXES
Public Alert in NEXES
 
The Value of IMS for NGES
The Value of IMS for NGESThe Value of IMS for NGES
The Value of IMS for NGES
 
Improved Capabilities at the Hands of PSAP Operators.
Improved Capabilities at the Hands of PSAP Operators.Improved Capabilities at the Hands of PSAP Operators.
Improved Capabilities at the Hands of PSAP Operators.
 
Accessibility Aspects in NGES
Accessibility Aspects in NGESAccessibility Aspects in NGES
Accessibility Aspects in NGES
 
NEXES: On the Path Towards NGES
NEXES: On the Path Towards NGESNEXES: On the Path Towards NGES
NEXES: On the Path Towards NGES
 
EU-RESPOND
EU-RESPONDEU-RESPOND
EU-RESPOND
 
SensorSky
SensorSkySensorSky
SensorSky
 
Social Media in Crisis Presentation
Social Media in Crisis PresentationSocial Media in Crisis Presentation
Social Media in Crisis Presentation
 
Rinicom presentation
Rinicom presentationRinicom presentation
Rinicom presentation
 
Img s position-paper_for_h2020
Img s position-paper_for_h2020Img s position-paper_for_h2020
Img s position-paper_for_h2020
 
Img s sumary-paper_for_march19_meeting
Img s sumary-paper_for_march19_meetingImg s sumary-paper_for_march19_meeting
Img s sumary-paper_for_march19_meeting
 
Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2Curso OCR - 07 - novos modelos e abordagens de C2
Curso OCR - 07 - novos modelos e abordagens de C2
 

Segurança, ML, Agentes e Exemplos Reais

  • 2. Apresentação - Tópicos • Segurança • Machine Learning e Data Mining • Agentes • Exemplos reais • Fontes – Machine Learning and Data Mining for Computer Security - Methods and Applications – Springer – Intelligent Agents and Multi Agent Systems – IEEE CEC 2009
  • 3. O sistema mais seguro do mundo
  • 4. Ciclo da Segurança • Falha principal de segurança: as pessoas Responder Proteger Detectar
  • 5. Processo de segurança • Protecção – Implementar Políticas de Segurança – Falível • Detecção – Monitorização de sistemas – Detectar verdadeiros positivos – diminuir falsos positivos – Falível • Resposta – Minimização de danos – Analisar, Recuperar e Melhorar
  • 6. Modelo para Garantia de Segurança
  • 7. Propriedades de Segurança • Confidencialidade – Entidades tem acesso a recursos aos quais têm autorização – Controlo de acesso, Encriptação • Integridade – Modificação de dados apenas por entidades autorizadas – Comparação com versões anteriores, Hashing • Disponibilidade – Recursos disponíveis quando necessários – Limitar uso de recursos do sistema (prevenir Denial-of- Service)
  • 8. Localização da Informação • Processamento – Memória – Protecção contra vazamento de radiação (monitor, CPU, bus de memória), Diferentes Espaços de Memória • Armazenamento – Discos rígidos – Hashing, Controlo de acesso • Transporte/Transmissão – Rede de dados, Tapes, pen drives – Encriptação
  • 9. Processos de Sistema • Tecnologia – Mecanismos de autenticação, controlo de acesso, detecção de intrusão • Práticas e Políticas – Moldar comportamento humano • Educação – Conhecimento, Aceitação e Utilização
  • 10. Machine Learning – Conceitos Básicos • Dados → Modelo • Objectivos – Previsão – Aumentar conhecimento sobre dados actuais • Exemplos – Reconhecer comportamentos – Detecção de intrusão – Criação de Políticas
  • 11. O início: os Dados • Teclas carregadas • Logs HTTP • Logs de execução • Cabeçalhos de pacotes de rede • Sequências de comandos • Executáveis maliciosos • Informação geral sobre utilizadores
  • 12. Tipos de dados • Processar dados em cru para: – Exemplos ou observações • Criação de classificações • Operações – Atributo calculado a partir de outros – Normalização – Discretização – Remoção de atributos irrelevantes
  • 13. A ter em conta… • Um grande quantidade de dados nem sempre facilita a criação de modelos • Cada algoritmo tem os seus pressupostos e limitações (limitado a atributos numéricos ou categóricos, etc) • Custos dos atributos, exemplos e erros
  • 14. Aprendizagem • Algoritmo de: – Aprendizagem – Performance • Tipo de problemas – Detecção: duas classes – Regressão: Predizer valores numéricos – Associações entre atributos – Análise do modelo criado
  • 15. Algoritmos – Aspectos Gerais • Aprendizagem – Supervisionada – Não-supervisionada – clustering – Semi-supervisionada • Processamento – Batch – Stream • Concept Drift – comportamentos dependentes de tempo • Selecção de características • Ranking • Agregação
  • 16. Os algoritmos • Nearest Neighbour • Probabilísticos – Naive Bayes – Kernel Density Estimation • Funções lineares – fronteira linear • Conjunto de decisão – Regras – Árvores • Regras de associação • Redes neuronais
  • 17. Avaliação de Modelos • Hold-out – Conjuntos de Treino e Teste • Leave one out – classificar um exemplo de cada vez • Cross-validation • Medidas – Recall – Precision – F Measure
  • 18. Avaliação II • Algoritmos tem pressupostos mas: • É impossível saber se à partida se o algoritmo vai se comportar bem ou não com os dados em tratamento • Logo, temos de avaliar o maior número de algoritmos
  • 19. Últimas tendências • Métodos Ensemble – Vários algoritmos tomam uma decisão ao mesmo tempo – Unificar decisões • Aprendizagem de sequências – A, ok; B, ok; A->B, ANOMALIA – Intrusão -> sequência de comandos
  • 22. Informações adicionais • www.kdnuggets.com • Software – Rapidminer – Free – Weka - Free – Clementine – Miner3d –R – SAS
  • 23. Agentes • Sistemas computacionais autónomos que percepcionam o meio ambiente e agem sobre o mesmo • Agentes inteligentes – percepcionam, analisam, decidem e agem • Dialogam, negoceiam, coordenam
  • 24. Propriedades • Reacção vs Deliberação • Proactividade, motivado por uma meta • Autista vs Social • Rígido vs Flexível, Adaptável • Colaborativo vs Competitivo vs Antagonista • Racional • Mobilidade • Evolutivo • Replicável
  • 27. Propriedades dos ambientes • Observável • Controlável • Previsível, Determinístico, Estocástico ou Caótico • Episódico • Estático vs Dinâmico • Discreto vs Contínuo • Aberto vs Fechado • Markovian vs não-Markovian
  • 28. Modelos • Racional lógico – Acções baseadas em intenções e crenças. Ex: Sistemas de inferência • Racional económico – maximizar preferências • Social – cooperar, coordenar e fazer compromissos de modo a atingir objectivos comuns • Interativos – linguagem comum de interacção • Adaptáveis – Aprendizagem por interacção • Evolutivos – replicações que evoluem
  • 29. Linguagens aplicadas • Implementação: Java, Lisp • Comunicação e Coordenação: KQML • Comportamentos e Leis do meio ambiente: xabsl • Representação de conhecimento: ontologias – Protegé • Especificação de agentes - JADE
  • 30. Aplicações • Busca de informação proactiva e sensível ao contexto em ambientes heterogéneos • Suporte a decisão em ambientes heterogéneos • Manufactura distribuída • Comércio electrónico • Auto gestão de sistemas de comunicação, eléctricos ou de transporte
  • 31. Aplicações • Computação móvel • Tratamento de mensagens • Ambientes de trabalho colaborativo • Monitorização de sistemas, detecção de intrusão e contra-medidas • Simulações de Comando e controle, militares • Interacções entre agentes com diferentes comportamentos (sociologia, psicologia, biologia, antropologia) • Simulações de ataques de rede ou cenários de ataque
  • 32. Informações adicionais • http://www.fipa.org/ • http://jade.tilab.com/ • http://www.software-agent.eu/
  • 33. Detecção de Intrusão • Aproximações usuais – Snort – Proventia – Enterasys • Assinaturas maliciosas no pacotes de rede • Paralelos aos antivirus • Internet Storm Center - http://isc.sans.org/
  • 34. Porque usar data mining? • Alertas diários de intrusão: 850000 – Software de detecção: 99% falsos positivos http://www.internetworldstats.com/stats.htm
  • 36. Processamento • Objectivos – Diminuir alarmes falsos – Optimizar tempo do analista – Agregação por incidente, ordenação por gravidade
  • 37. Soluções • Aprendizagem supervisionada de alarmes falsos – Interface web de classificação • Mapping attacks
  • 38. Soluções • Base de dados de alertas – Criação de novas características além das dadas pelas fontes (facilita agregação) • Classificação de falsos alarmes com árvores de decisão – Overfitting – Iteracção
  • 39. Soluções • Clustering – Usado a seguir à árvore – Grupos de alertas – Outliers: anomalias
  • 44. Agentes e Detecção de Intrusão • Usar uma arquitectura de agentes • Tirar partido da escalabilidade e localidade • Monitorização distribuída da rede • Robustez • Capacidade de resposta
  • 45. Exemplos • Agentes especializados • Agente central coordenador
  • 46. Exemplos • Simulação ataque/defesa informático • Agentes móveis • Simular ataques distribuídos • Analisar vulnerabilidades de uma rede
  • 47. Vantagens • Escalável – Podem-se replicar os agentes na máquinas que forem necessárias • Distribuição de processamento • Tomada de decisão central, utilizando feedback de todos os agentes • Bom para ataques de rede distribuídos
  • 48. Conclusões • No fim o que queremos é: – Um sistema disponível mas seguro • Data mining e Machine Learning – Filtrar ruído: alertas falsos – Encontrar padrões: novas assinaturas para programas de detecção – Novas políticas: procedimentos e comportamentos – Adaptação – Tempo de resposta
  • 49. Conclusões • Agentes – Ambientes heterogéneos – Agentes especialistas – Agentes coordenadores – Agentes móveis – Ambientes distribuídos – Trocas de conhecimentos – Robustez – Monitorização em grande escala – Simulação de cenários • Análise de vulnerabilidades • Teste de sistema
  • 50. Conclusões • Agentes + Machine Learning – Agentes inteligentes – Autonomia de acção – Aprendizagem – Criação e replicação de conhecimento – Ambientes mais seguros mas também disponíveis – Pouca intervenção humana – Evolução – Assimilação de novas situações