Está en la página 1de 5

A New Model of Intrusion Detection En esta seccin se desarrolla un nuevo tipo de mtodos de deteccin de intrusos.

Comenzamos con un modelo generativo que apoya el componente de aprendizaje semi-supervisado de nuestros modelos. Luego examinamos seleccin de acciones (es decir, alarma), incluyendo la influencia de los costos, e identificar expresamente dos supuestos comnmente empleados sobre la seleccin de la accin. El trabajo experimental se basa en el aprendizaje semi-supervisado bajo estos supuestos, pero primero debemos demostrar que relaja estos supuestos se obtiene una clase de IDS basado en el POMDP marco. Qu es POMDP? Es el proceso de decisin parcialmente observable de Markov. Un enfoque para la formulacin de problemas en la toma de decisiones. Con la obtencin de preferencias nos referimos al problema de desarrollar un sistema de soporte de decisin capaz de generar recomendaciones a un usuario y que por lo tanto le ayude en la toma de decisiones. Es importante para un sistema de este tipo modelar las preferencias del usuario con precisin, encontrar las preferencias ocultas y evitar la redundancia. (POMDP).

Con la explosin de informacin on-line se han generado nuevas oportunidades para encontrar y utilizar datos electrnicos, estos cambios han trado tambin la tarea de obtener informacin til y actualizada. Han surgido investigaciones de algunas importantes compaas de catlogo on-line con algoritmos y prototipos de sistemas que pueden ayudar a un usuario a navegar a travs de un espacio de informacin complejo utilizando alguna informacin del usuario en forma de respuestas a ciertas preguntas o calificaciones a determinadas opciones. Vamos a modelar tanto el usuario como intruso (atacante) vlida como no observables homogneos variables aleatorias, Markov denotados XXX, respectivamente. Esto representa una clara ruptura de los modelos anteriores de deteccin de anomalas que slo el modelo de usuario vlido. El estado observable del sistema de ordenador se puede representar con las variables del vector X, teniendo en valores definidos por los dominios de los componentes cuantificables del sistema (por ejemplo, la latencia de red, huella de la memoria, interfaz grfica de usuario de eventos, etc) . En el tiempo t, el estado medido del sistema, Xt, se genera ya sea por el usuario vlido o el intruso, que se rige por un observado intermitente variable de decisin Dt. {USUARIO, ATTACKER}. El sistema est experimentando una intrusin slo cuando los datos observados se genera por el intruso, es decir, cuando Dt = atacante. Inicialmente, modelamos las variables Dt como una serie de independientes, variables aleatorias distribuidas binomial. Esto es un poco de una suposicin fuerte, ya que deja de lado la posibilidad de que los ataques se producen en carreras o que el atacante tiene un temporal distribution1 preferida, pero es el supuesto ms simple acerca de la variable de mezcla y puede ser francamente relajado. Ut {u 1. . . um} and At {a 1 . . . an}

Al tratar Dt como variable intermitente, en lugar de meramente observado (como en la deteccin de mal uso) o puramente oculto (como en la deteccin de anomalas), podemos entrenar este modelo parcialmente en los datos etiquetados. Como se discuti en la Seccin 2, en parte marcada de datos es un escenario plausible para la deteccin de intrusos. El modelo generativo se muestra como un modelo grfico en la Figura 1. este modelo es una red de Bayes temporal o dinmica, o DBN [23-25], una grfica representacin de las propiedades de la independencia de Markov de una distribucin estadstica en el tiempo de la serie data2. Cada nodo en esta red representa uno de los variables aleatorias del sistema, mientras que los arcos representan la dependencia estadstica. la modelo se cuantifica mediante distribuciones de probabilidad condicional (CPD) que especifican la distribucin de probabilidad de un nodo, acondicionado en los valores de su matriz nodos (no se muestra aqu). Tal modelo se puede compilar automticamente en ecuaciones de inferencia estadstica para la estimacin de la probabilidad de las variables ocultas dadas (intermitente o totalmente) las variables observadas a travs de, por ejemplo, el rbol de conexiones algoritmo [26]. Los parmetros de este modelo (los CPDs) se pueden aprender de datos a travs del algoritmo EM (esperanza de maximizacin) [27], que emplea el algoritmo de inferencia para el E-paso (estimacin de las distribuciones de probabilidad ms variables ocultas) y mxima verosimilitud o la estimacin de parmetros MAP el paso M (la estimacin de los parmetros de DPC). Si bien los procesos de aprendizaje tales son suelen formularse como entrenamiento por lotes, las actualizaciones de probabilidad son recursivos y un algoritmo de aprendizaje en lnea puede ser construido para este modelo.

Estructura grfica del modelo de inferencia para la de deteccin de intrusos y la toma de decisiones. Nodos circulares se ocultan o intermitente observaron variables, el nodo rectangular X es un nodo especial para el vector valorada observables, que pueden contener estructura adicional, actualmente no especificado rica red bayesiana.

Seleccin de Accin Las acciones de IDS se modelan mediante una variable de control exgeno adicional, Ct {ALARMA, NOALARM}. La seleccin adecuada de Ct depende en el conocimiento del efecto de Ct en la dinmica del sistema de la Figura 1, como se as como una funcin de coste instantnea, v (), que relaciona la historia del sistema los estados y las acciones de control a una utilidad. Bajo el principio de la mxima utilidad, el objetivo de la seleccin de la accin es elegir Ct en cada momento con el fin de maximizar algn tiempo total de costo, V. V se refiere el costo instantnea, v, a la largo plazo efectos de las acciones, la optimizacin de V permite que el agente de equilibrar los dos. Para fijar, finito de tiempo horizontes un costo promedio simple (o, equivalentemente, el coste total) es posible. En el dominio de IDS, sin embargo, el tiempo se toma para ser acotada (nuestro equipo puede estar en la red de forma indefinida) para que el infinito comnmente empleado

Para nuestro trabajo inicial, tratamos slo la versin ms simple de nuestro marco, la adopcin de la componente semi-supervisado del marco y dejar de lado la formulacin POMDP extendida. Adoptamos el modelo generativo de la figura 1 y supuestos 1 y 2 directamente. Esto es casi el modelo ms simple posible en nuestra framework5, pero todava representa una ampliacin de los sistemas existentes, modelando explcitamente el atacante (A) y permite una variable de decisin observado intermitente (Dt). conjunto de datos Para nuestras pruebas, hemos aplicado nuestros IDS semi-supervisados para el "usuario disfrazada" conjunto de datos generados por Schonlau et al. [18] para su estudio comparativo de tcnicas de deteccin de anomalas. Estos datos comprende series temporales individuo de 50 usuarios diferentes de UNIX. Series de tiempo de cada usuario se compone de 15.000 comandos UNIX tal como es o emacs. Argumentos de comandos se omiten. En cada serie de tiempo, los primeros 5.000 comandos se sabe que los datos de usuario vlido, mientras que el resto de los

datos no est marcado. Los datos no marcado es "corrupto", con la introduccin de intrusiones comandos de simulacin procedentes de las actividades de un usuario diferente ("Mascaradas", en la jerga de Schonlau). Para cada bloque de 100 comandos de la seccin sin etiqueta, una intrusin se inicia con una probabilidad de 0.01 o continuado (si el bloque anterior era una intrusin) con una probabilidad de 0,8. Aproximadamente el 5% de los datos no marcado es de datos de intrusos. Los verdaderos etiquetas para las secciones sin etiqueta de los datos estn disponibles por separado. Para ms detalles sobre este conjunto de datos, consulte Schonlau et al 's informe original. Los sistemas examinados en el Schonlau et al. informe son todos los sistemas puros de deteccin de anomalas y se emplearon en un entrenamiento / prueba terminante modo de entrenamiento en la seccin denominada de los datos (primero 5.000 fichas) y las pruebas de los restantes 10.000, sin marcar fichas. Este caso es un caso lmite de nuestro modelo, en el que nos encontramos en un modo de deteccin de anomalas pura sin verdadero aprendizaje semi-supervisado tienen lugar (aunque nuestro modelo todava puede adaptar los parmetros a partir de datos completamente sin etiqueta). Para efectos de comparacin, demostramos nuestro modelo en este modo, pero la verdadera fuerza de nuestro enfoque es su capacidad de aprender continuamente de una manera semisupervised, y para emplear lo que sea fragmentos de datos con la etiqueta estn disponibles. (Se discuten algunas formas en que estos datos podran estar disponibles en "condiciones de campo" en la Seccin 2.), Lo que representa un salto cualitativo de los sistemas de deteccin de anomalas anteriores, puros, y nos demuestran que, cuando tales datos son disponible, nuestro sistema puede explotarlo a la ventaja cuando los sistemas anteriores no tendran. Para examinar el desempeo de nuestro sistema en condiciones semi-controladas, se construyeron conjuntos de datos parcialmente etiquetado s desde el original Schonlau et al. los datos de etiquetado una pequea fraccin de los datos no etiquetados. Concretamente, empezando por el principio de la seccin no marcado (t = 5.001), se seleccionaron ventanas posteriores de datos con una longitud elegidos de una variable aleatoria distribuido geomtricamente con el parmetro 1/20. En cada ventana de los datos, lo etiquetamos completamente la ventana con probabilidad pu si comenz con un dato de usuario normal y con pa probabilidad si comenz con un dato atacante. Una ventana con la etiqueta de esta manera puede contener tanto usuario y los datos atacante. Tenga en cuenta que, si bien los datos originales contenidos intrusiones en unidades de 100 bloques de punto de tiempo, no proporcionar esta informacin a nuestro algoritmo de aprendizaje. se examinaron los efectos de los cambios en la cantidad de datos etiquetados disponibles para el IDS semi-supervisadas mediante la variacin de la PU a travs de 0,1%, 1%, y 10%, mientras que variaba pa travs de 1%, 10%, y 50%. Por lo general, los datos de usuario tiene una frecuencia mucho ms alta que los datos atacante, por lo que es posible que una fraccin ms pequea de la misma sera etiquetado. Tambin se examin el caso puro de deteccin de anomalas, correspondiente a la PU = pa = 0. Se aplic el alumno IDS semi-supervisado para la serie de tiempo parcial marcado 50, el aprendizaje de un modelo para cada serie de tiempo con | U | = 10 y | A | = 4, lo que refleja la relativa escasez de datos atacante etiquetados. Se eligi el nmero de estados en el modelo de usuario basado en investigaciones anteriores que encontraron 10 HMMs estado se encuentran los modelos razonables de deteccin de anomalas para muchos usuarios [3]. Despus de aprender los parmetros del modelo a travs de EM, que asignan las etiquetas de mxima verosimilitud de los datos no etiquetados restantes (que corresponde a la funcin de coste VFN = VFP en Supuesto 1). La seleccin de los costos en este modelo desplaza la seleccin de la "tasa de falsa alarma aceptable" que se utiliza en un nmero de deteccin de anomalas pura sistemas, y examinamos un espectro de coeficientes de costes, VFN / VFP, para los fines de anlisis ROC.

Resultados

(a) La precisin y (b) falsa alarma / falsas tasas aceptar los IDS semi-supervisados por cantidades variables de USUARIO etiquetados y datos atacante (el modo de "pura deteccin de anomalas" corresponde a pu = pa = 0). Todas las cifras son porcentajes. promedio de precisin y la falsa alarma / falso aceptar cifras para clasificar los puntos de tiempo no marcados se presentan en la Tabla 1. El caso "puro deteccin de anomalas" (en el que el sistema est capacitado slo en los 5.000 puntos de datos marcados iniciales que fueron utilizados por los et al. Schonlau sistemas de formacin) se da en la parte superior izquierda celda de cada tabla. Vemos que se disponga de ms datos marcados como (que se mueve desde la parte superior izquierda a la inferior derecha de cada tabla), el IDS hace cada vez mejor en general, lo que demuestra que el mtodo semisupervisado se comporta como cabra esperar. En particular, las tasas de falsas alarmas caen con el aumento de los niveles de los datos del usuario etiquetadas, mientras que las tasas de falsos acepta la gota con niveles crecientes de datos atacante etiquetados. Existe una tensin entre los dos, que se refleja en la diferencia entre la celda inferior derecha (pu = 10%, pa = 50%) y las primeras clulas en la fila (pa = 1%) y la columna (pu = 0,1%) de la tabla 1 (b). Este efecto no es inesperado-el aumento de la proporcin relativa de los usuarios a los datos atacante, o viceversa (la cabeza de una fila o columna, respectivamente) deber, naturalmente, el sesgo del modelo en favor de una u otra clase de sesgar los priores de clase. El rendimiento del modo de deteccin de anomalas pura de este aprendizaje IDS es casi indistinguible de la del aprendizaje semi-supervisado cuando se ejecuta en los datos ms escasamente etiquetados (PU = 0,1%; pa = 1%), lo que indica que el modo de deteccin de anomalas pura es el caso lmite de el aprendiz semi-supervisado, como se esperaba. Tenga en cuenta que la celda inferior derecha todava domina la parte superior izquierda, lo que indica que el aumento uniforme de los datos disponibles no etiquetados, de hecho, ayudar al aprendizaje.