Sistema Inteligente para La Prevencion de Intrusos

Sistema Inteligente para la Prevencin de Intrusos y Ataques
en Redes de Informacin Clnica Descentralizada
Ivn Pau de la Cruz - ipau@diatel.upm.es

Esther Gago Garca - egago@diatel.upm.es
Miguel ngel Valero Duboy - mavalero@diatel.upm.es
Departamento de Ingeniera y Arquitecturas Telemticas DIATEL

Escuela Universitaria de Ingeniera Tcnica de Telecomunicacin EUITT
Universidad Politcnica de Madrid UPM
Contexto
Desarrollado en el seno del grupo de investigacin de
seguridad en redes telemticas del Dpto. DIATEL EUIT
de Telecomunicacin (UPM).
Enmarcado en una lnea de investigacin basada en el
estudio y securizacin de entornos muy sensibles.
n
Centros Sanitarios, informacin sanitaria de pacientes, etc.
El presente trabajo: Paliar algunas deficiencias de

seguridad detectadas en las redes sanitarias espaolas
usando Sistemas Inteligentes aplicados a los Sistemas de
Deteccin de Intrusos
Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Clnica Descentralizada
CIBSI 2005
Objetivos del Trabajo

Se persigue mejorar los servicios de
seguridad de las redes hospitalarias.
Objetivo Principal: aplicar los Sistemas de
Deteccin de Intrusos a los entornos de red
clnicos.
n Objetivo de la ponencia: Mejorar la respuesta
de los Sistemas de Deteccin de Intrusos ante
ataques no conocidos previamente.
n

CIBSI 2005
ndice de la exposicin
Redes Hospitalarias
n
Problems y planteamiento de Soluciones.
Estudio de los Sistemas de Deteccin de Intrusos

n
Aplicacin de Redes Neuronales
Modelo de Arquitectura Propuesto

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
Redes Hospitalarias
n

n

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
Redes Hospitalarias
Las polticas actuales de interrelacin de centros sanitarios
exigen una interconexin de sus sistemas de informacin.
Toda la informacin sanitaria de los pacientes se encuentra
en su Historia Clnica Electrnica (HCE).
Los Sistemas de Informacin deben comunicarse para
permitir una gestin adecuada de las HCE de los pacientes.
n
n
Permitir la consulta, actualizacin, modificacin

La interconexin es llevada a cabo por aplicaciones telemticas
propietarias que se encargan de todo el proceso.

CIBSI 2005
Seguridad en las Redes Hospitalarias

La legislacin espaola exige una correcta
custodia y gestin de la HCE.
n
n
Informacin muy sensible.

No se permite el acceso a esta informacin por personal
que no est habilitado para ello.
Las aplicaciones encargadas de la gestin del HCE

se encargan de proveer los mecanismos necesarios
para satisfacer los requisitos de seguridad
existentes.
n
Confidencialidad, integridad, control de acceso, etc.

CIBSI 2005
El problema
Las aplicaciones de gestin deben
garantizar el acceso lcito a la informacin,
sin embargo...
Qu ocurre cuando existen ataques externos a
la aplicacin?.
n Qu ocurre cuando los ataques los realizan
usuarios lcitos de la aplicacin realizando
acciones que pueden parecer lcitas?
n

CIBSI 2005
Una posible solucin

Uso de sistemas externos de apoyo a la aplicacin.
n
n
Cortafuegos.
Sistemas de Deteccin de Intrusos (IDS).
Objetivo principal: Uso de los IDS para prevenir

ataques externos basados en vulnerabilidades y de
comportamientos sospechosos por parte del
personal sanitario.
n
n
Deteccin de Intrusos.
Deteccin de comportamientos anmalos (Identidades
Intrusas).

CIBSI 2005
Redes Hospitalarias
n

n

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
IDS.
Realiza monitorizacin e interpretacin de los
eventos ocurridos en determinadas entidades bajo
observacin.
n
Su principal objetivo es identificar procedimientos

malintencionados que pongan en peligro los servicios
de un sistema.
Bloques Funcionales de un IDS.

Tipos de Deteccin:
n
n
Usos Indebidos.
Anomalas.

CIBSI 2005
Taln de Aquiles de los IDS.

Cuando existen variaciones en los patrones de
deteccin el IDS no es capaz de reconocer usos
indebidos.
n
La capacidad de Deteccin de un IDS es muy

dependiente de la frecuencia de la rapidez de
actualizacin de sus reglas.
Esta situacin mejorara si el IDS fuese capaz de

reconocer anomalas.
n
n
Se usan varias tcnicas pero suelen ser poco amoldables

al problema planteado.
Podran usarse sistemas que aprenden???

CIBSI 2005
Redes Neuronales (NN).

Sistema de procesado de informacin inspirado en
la neurona.
Tiene capacidad de aprender patrones de
clasificacin a partir de un conjunto de muestras
dadas.
n
Generaliza los resultados, pudiendo manejar pequeas

variaciones en los patrones.
Diseo de la red.
n
n
Topologa, morfologa y parmetros de funcionamiento.

Mtodo de Aprendizaje.

CIBSI 2005
Objetivo de la Ponencia.
Aplicar la tecnologa de redes neuronales,
que permite realizar tareas de
clasificacin de patrones con la capacidad
de generalizacin y aprendizaje que no
tienen otras tecnologas, en la fase de
anlisis de los IDS.
n
Se podrn detectar anomalas que supongan una

variacin (obvia o no) de los patrones vistos
anteriormente.

CIBSI 2005
Redes Hospitalarias
n

n

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
Modelo de Arquitectura Propuesto.

Se definir en dos niveles:
n Arquitectura
fsica.
n Tipo
de IDS a utilizar.
n Tipo de NN a utilizar.
n Arquitectura
n Bloques
lgica.
del proceso de anlisis basado en
IDS.
CIBSI 2005
Modelo de Arquitectura Propuesto.

Arquitectura Fsica.
Topologa de IDS.
Definicin de la NN:
n
n
Tipo de NN: Asociador de Patrones.

Implementacin de la NN:
n
n
n
Multicapa feed-forward (Perceptrn multicapa).

Algoritmo de aprendizaje: Backpropagation.
Regla de aprendizaje: Delta Generalizada.

CIBSI 2005
Modelo de Arquitectura propuesto.

Arquitectura Lgica (I).
Diseo del motor de anlisis del IDS.

CIBSI 2005

Arquitectura Lgica (II).
Procesador Selectivo (I).

CIBSI 2005

Arquitectura Lgica (III).
Procesador Selectivo (II). Procesador de Protocolo.

CIBSI 2005

Arquitectura Lgica (IV).
Procesador Comportamiento (I).

CIBSI 2005

Arquitectura Lgica (V).
Procesador Comportamiento (II). Mdulo Analizador de
Comportamiento.

CIBSI 2005
Redes Hospitalarias
n

n

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
Implementacin (I).
Estado Actual.
n
Varios desarrollos en paralelo.

n Red
neuronal de procesado selectivo.

n Simulacin de red sanitaria.
n Red neuronal de procesado de comportamiento.
n Integracin de los motores de anlisis basados en
NN con el motor de anlisis de un IDS ya creado.
n Uso de Snort.

CIBSI 2005
Implementacin (II).
Software de Creacin y Simulacin de NN.
n
Se ha usado el JNNS y aplicaciones propias

para la creacin de FlashCode.
Ensayos de distintas topologas de red

neuronal.
n
Medicin de resultados para cada tipo de

topologa.
Entrenamiento iterativo de la red.

CIBSI 2005
Redes Hospitalarias
n

n

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
Resultados.
TOPOLOGIA
CODIFICACIN
EFICIENCIA
12-8-1
Normalizada
63%
12-9-5-1
Normalizada
80%
10-7-4-1
Normalizada
88%
96-20-1
Binaria
68%
96-30-15-4-1
Binaria
95%

CIBSI 2005
Redes Hospitalarias
n

n

n
n
Arquitectura Fsica
Arquitectura Lgica
Implementacin
Resultados
Conclusiones
CIBSI 2005
Conclusiones y Trabajos Futuros.

Conclusiones:
n
La interconexin de los Sistemas de Informacin

sanitaria requieren el apoyo de sistemas externos para
proveer servicios de seguridad que salvaguarden la
HCE.
n
Los IDS son una buena herramienta para ello.
Las Redes Neuronales pueden suponer un

complemento muy importante en la fase de anlisis de
los IDS.
Su eficiencia depende de encontrar una arquitectura de
NN adecuada.
n
Unin de topologa, comportamiento y gestin de patrones.

CIBSI 2005
Final de la Presentacin
ipau@diatel.upm.es
EUIT de Telecomunicacin DIATEL
http://www.diatel.upm.es
http://www.euitt.upm.es

CIBSI 2005
IDS. Bloques Funcionales

CIBSI 2005
Implementacin. NN y
Entrenamiento.

CIBSI 2005
Implementacin (II).
Gestin de Patrones.
n
Obtencin de los patrones de entrenamiento y

prueba.
nA
travs de portales de Internet.

n Se deben obtener un nmero adecuado de patrones.
n
Codificacin de los patrones para entrada a la

red diseada.
n Se
han ensayado varios tipos de codificacin.

CIBSI 2005

Sistema Inteligente para La Prevencion de Intrusos

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Sistema Inteligente para La Prevencion de Intrusos

Hochgeladen von

Copyright:

Verfügbare Formate

Sistema Inteligente para la Prevencin de Intrusos y Ataques

en Redes de Informacin Clnica Descentralizada

Ivn Pau de la Cruz - ipau@diatel.upm.es

Departamento de Ingeniera y Arquitecturas Telemticas DIATEL

Centros Sanitarios, informacin sanitaria de pacientes, etc.

El presente trabajo: Paliar algunas deficiencias de

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Objetivos del Trabajo

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Problems y planteamiento de Soluciones.

Estudio de los Sistemas de Deteccin de Intrusos

Aplicacin de Redes Neuronales

Modelo de Arquitectura Propuesto

Problems y planteamiento de Soluciones.

Estudio de los Sistemas de Deteccin de Intrusos

Aplicacin de Redes Neuronales

Modelo de Arquitectura Propuesto

Permitir la consulta, actualizacin, modificacin

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Seguridad en las Redes Hospitalarias

Informacin muy sensible.

Las aplicaciones encargadas de la gestin del HCE

Confidencialidad, integridad, control de acceso, etc.

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Una posible solucin

Objetivo principal: Uso de los IDS para prevenir

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Problems y planteamiento de Soluciones.

Estudio de los Sistemas de Deteccin de Intrusos

Aplicacin de Redes Neuronales

Modelo de Arquitectura Propuesto

Su principal objetivo es identificar procedimientos

Bloques Funcionales de un IDS.

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Taln de Aquiles de los IDS.

La capacidad de Deteccin de un IDS es muy

Esta situacin mejorara si el IDS fuese capaz de

Se usan varias tcnicas pero suelen ser poco amoldables

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Redes Neuronales (NN).

Generaliza los resultados, pudiendo manejar pequeas

Topologa, morfologa y parmetros de funcionamiento.

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Se podrn detectar anomalas que supongan una

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Problems y planteamiento de Soluciones.

Estudio de los Sistemas de Deteccin de Intrusos

Aplicacin de Redes Neuronales

Modelo de Arquitectura Propuesto

Modelo de Arquitectura Propuesto.

del proceso de anlisis basado en

Modelo de Arquitectura Propuesto.

Tipo de NN: Asociador de Patrones.

Multicapa feed-forward (Perceptrn multicapa).

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Modelo de Arquitectura propuesto.

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Modelo de Arquitectura propuesto.

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Modelo de Arquitectura propuesto.

Sistema Inteligente para la Prevencin de Intrusos y Ataques en Redes de Informacin

Modelo de Arquitectura propuesto.