Problemática
Motivación
Objetivos
El Conjunto de Datos
Metodología
Experimentos Propuestos
Conclusiones
Trabajo Futuro
2 4o. Congreso Mexicano de Inteligencia Artificial
Actualmente la información es un bien extremadamente valioso
Es vital detectar a tiempo cuando nuestra computadora está siendo ilegalmente utilizada por un intruso
El desempeño de métodos que usan conjuntos de datos basados en los comandos que emplea el usuario no es concluyente
Se ha optado por fuentes de actividad alternativas en un intento por caracterizar mejor el comportamiento del usuario
3 4o. Congreso Mexicano de Inteligencia Artificial
Para caracterizar mejor el comportamiento del usuario, es necesario considerar cómo y qué recorre el usuario
Proponemos que usar la estructura de navegación de un usuario obedece a un doble propósito: ◦ Permite entender mejor el comportamiento de un
usuario dado
◦ Permite construir un perfil de usuario adecuado para la detección de impostores
4 4o. Congreso Mexicano de Inteligencia Artificial
1. Crear una estructura de navegación con la información de cómo un usuario estructura su sistema de archivos y cómo lo emplea y recorre
2. Crear un conjunto de datos de la interacción de usuarios de Windows con su sistema de archivos
3. Crear un conjunto de ataques simulados en las computadoras de los usuarios
4. Crear un modelo de representación basado en grafos que refleja la interacción del usuario en el sistema y extraer distintos atributos a partir de ellos
5 4o. Congreso Mexicano de Inteligencia Artificial
Se propone crear los perfiles individualmente por cada usuario
Es necesario considerar un porcentaje inicial de registros, primordialmente, como ruido
De la información restante, se empleará un porcentaje para entrenamiento del clasificador y el resto para su validación
Se pretende comparar algoritmos de clasificación (SVMs, KNN, ANN) bajo el enfoque de una clase
8 4o. Congreso Mexicano de Inteligencia Artificial
Preguntas a responder: ◦ ¿Qué porcentaje de datos es fiable descartar
considerándolo como ruido?
◦ ¿Qué porcentaje de datos es necesario utilizar para el perfilado del usuario?
◦ ¿Qué porcentaje de datos basta para validar correctamente el modelo?
◦ ¿Estos porcentajes son fijos o varían, dependiendo de las características del usuario como qué tan organizado es, cuánta información se recabó, durante qué tiempo se recabó, etc.?
9 4o. Congreso Mexicano de Inteligencia Artificial
Contar con perfiles heterogéneos permitirá sacar mejores conclusiones de los experimentos
Se pretendió realizar ataques de forma homogénea, buscando que esto permita evaluar diversas técnicas de detección de impostores
Se espera que la obtención de ventanas y su representación mediante vectores de atributos, puedan ser empleados para entrenar métodos de clasificación de una clase
10 4o. Congreso Mexicano de Inteligencia Artificial
Se espera, a corto plazo, contar con resultados con los métodos de detección propuestos
Se espera poder obtener mejores resultados que en trabajos previos, con el uso de los grafos de accesos y de directorios
Se planea agregar más campos a la estructura de navegación y al vector de atributos
Se tiene contemplado utilizar otro tipo de clasificadores
Se espera contar con nuevos usuarios con perfiles distintos
11 4o. Congreso Mexicano de Inteligencia Artificial
42984|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp
42985|22/02/2012|19:41:57 p.m.|36099717|6|C:\Documents and Settings\Sr.Paco\Mis documentos\Mi música\iTunes\Temp File.tmp
42986|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42987|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42988|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42989|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42990|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42991|22/02/2012|19:42:26 p.m.|36099746|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42992|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42993|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42994|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42995|22/02/2012|19:42:38 p.m.|36099758|4|C:\Documents and Settings\Sr.Paco\Escritorio\Internet Explorer.lnk
42996|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42997|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42998|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
42999|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
43000|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
43001|22/02/2012|19:43:51 p.m.|36099831|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
43002|22/02/2012|19:43:55 p.m.|36099835|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
43003|22/02/2012|19:43:56 p.m.|36099836|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\07-si pudiera.mp3
43004|22/02/2012|19:44:02 p.m.|36099842|5|C:\Documents and Settings\Sr.Paco\Escritorio\My Shared Folder\06 preparados para el rock & roll.mp3
Ventana n
Ventana n+1
13
4o. Congreso Mexicano de Inteligencia Artificial
Formato entrada:
FECHA HORA | RUTA OBJETO
27/03/2012 02:57:12 p.m.|C:\Program Files (x86)\G DATA\AVKClient
27/03/2012 02:57:34 p.m.|C:\Program Files (x86)
Formato salida:
ID ACCESO | FECHA | HORA | TIEMPO TRANSCURRIDO | PROFUNDIDAD | RUTA ACCESO
1 | 27/03/2012 | 02:57:12 p.m. | 36029284 | 3 | C:\Program Files (x86)\G DATA\AVKClient1
2 | 27/03/2012 | 02:57:34 p.m. | 36029306 | 1 | C:\Program Files (x86)
14 4o. Congreso Mexicano de Inteligencia Artificial
Premisa: ◦ Usuarios distintos interactúan de manera distinta.
Detectar intrusos en juegos en línea [15]. Re-autenticación de los usuarios basándose
en los movimientos del ratón [2]. ◦ Supervisado.
Identificación biométrica de los movimientos del ratón [3]. ◦ Guiado.
Reconocimiento de usuarios al teclear la contraseña [4].
15 4o. Congreso Mexicano de Inteligencia Artificial
Creación del perfil del usuario: ◦ Grafo:
“Nodo”: [“Padre”, [“Hijos”], Número de Accesos, Fecha de último acceso, [Listas de accesos al nodo], “ID”, “Profundidad”]
“C:\DS\”: [“C:”, [], 1, “2010/244”, [[“0 – 2”, 1]], 2, “0-1-1”]
16 4o. Congreso Mexicano de Inteligencia Artificial
Los mejores resultados se obtuvieron con el usuario 3:
Los peores resultados se obtuvieron con el usuario 1:
Resultados unidos:
17 4o. Congreso Mexicano de Inteligencia Artificial
Curva ROC de los resultados de los usuarios unidos:
18 4o. Congreso Mexicano de Inteligencia Artificial