MODELO ONTOLÓGICO DE DETECCIÓN Y PREVENCIÓN DE...

Vector, Volumen 4, Enero - Diciembre 2009, págs. 38 - 49Recibido 17 Julio 2009, Aprobado 30 Octubre 2009

MODELO ONTOLÓGICO DE DETECCIÓN Y PREVENCIÓN DE IntrusIones Basado en sIstemas multI-agente e

INTELIGENCIA COMPUTACIONAL

isaza Gustavo a.*

Castillo andrés G.**

lópez Manuel f.***

resumen

La evolución de los sistemas de detección de intrusiones se ha venido enfocando hacia la optimización de mecanismos que permitan integrar diferentes estrategias de supervisión que apunten hacia modelos de prevención, así como de análisis distribuido autónomo e inteligente. Múltiples técnicas se han aplicado en la gestión de ataques que pueden ser útiles para detectar nuevos patrones a partir de la incorporación de sistemas basados en agentes y taxonomías de representación formal que faciliten la comunicación homogénea. En este artículo se presentan los avances en una investigación que integra una ontología de detección y de prevención de intrusiones a partir de interacciones basadas en sistemas multi-agente y razonamiento aplicando técnicas híbridas de inteligencia computacional, para nuestro caso, un modelo de clasificación de ataques y de reconocimiento de patrones.

Palabras clave: ontologías, semánticas, inteligencia en seguridad, sistemas de detección de intrusos, sistemas multi-agente.

ONTOLOGY MODEL FOR INTRUSION DETECTION AND PreVentIon Based on multI-agent sYstems and

COMPUTING INTELLIGENCEabstract

The evolution of intrusion detection systems has emphasized the optimization of mechanisms in order to integrate several supervision techniques leading towards prevention models, as well as distributed autonomous and intelligent analysis. Multiple techniques have been applied to intrusion detection management that may be useful for detecting new patterns from the incorporation of systems based on formal representation agents and taxonomies that facilitate homogeneous communication. This paper presents the advances in a research project that integrates an ontology for intrusion detection and prevention, from interaction based on multi-agent systems and reasoning applying hybrid techniques from computing intelligence; for said case, an attack classification model and pattern recognition.

Key words: ontologies, semantics, intelligence security, intrusion detection systems, multi-agent systems.

* Doctorado (candidato) Ingeniería de Software UPSA (España). Docente Departamento de Sistemas e Informática, Universidad de Caldas, Colombia. E-mail: [email protected]** Doctor Ingeniería Informática. Docente Universidad Pontificia de Salamanca. E-mail: [email protected]*** Ingeniero de Sistemas y Computación. Universidad de Caldas. E-mail: [email protected]

Modelo ontológico de detección y prevención de intrusiones basado en sistemas multi-agente e inteligencia computacional

[ 39 ]Vector, Volumen 4, Enero - Diciembre 2009, págs. 38 - 49

1. introducción

Los sistemas de detección de intrusiones (IDS) se definen como el conjunto de elementos computacionales que permiten identificar posibles eventos anómalos generados por entes que no están autorizados para tal efecto o que están elevando sus privilegios concedidos sobre las base de unas políticas asignadas.

El crecimiento de la computación distribuida ha despertado nuevos retos en las comunidades académicas alrededor de la seguridad informática. Los principales problemas de utilizar las arquitecturas tradicionales y centralizadas para ejecutar tareas de monitorización y supervisión de ataques son (Spafford and Zamboni, 2000):

La consola central es un solo punto de fallo, la red entera queda desprotegida si ésta falla. La escalabilidad es limitada. Procesar toda la información en un nodo implica un límite en el tamaño de la red que puede monitorizar. Dificultad en reconfigurar o añadir capacidades y firmas a los IDS. El análisis de los datos de la red puede ser defectuoso. Incapacidad de tener razonamiento autónomo o capacidades de reacción inteligente.

Adicionalmente, las taxonomías existentes y los estándares de representación para los IDS son insuficientes para soportar una óptima identificación de ataques, definición y razonamiento predictivo de comportamientos anómalos. Las ontologías permiten describir objetos, conceptos y relaciones en un dominio conceptual, para nuestro caso, recursos como las firmas de ataques, reglas de detección, reglas de reacción y prevención necesitan ser semánticamente descritas para facilitar la homogeneidad en las bases de conocimiento de los sistemas subyacentes, así como la posibilidad de proveer un marco de razonamiento, inteligencia e inferencia a partir de estos modelos onto-semánticos.

En este artículo se describirán brevemente los elementos que se han integrado hasta el momento y los resultados relevantes logrados; en el Capítulo 2 se hará referencia a algunos trabajos previos sobre el uso de la inteligencia artificial, agentes y ontologías en los sistemas de detección de intrusiones; en el Capítulo 3 se detallarán los elementos de la ontología diseñada e integrada con nuestro sistema basado en agentes así como los logros recientes, y por último se enuncian algunas conclusiones de los resultados parciales alcanzados.

2. inteligencia computacional, agentes y ontologías en detección de intrusiones

La aplicación de la inteligencia artificial en la seguridad informática, y en concreto en la detección de ataques, ha sido evidenciada en diferentes investigaciones, así como la integración de los sistemas basados en agentes móviles y autónomos en el problema de detección de intrusiones. Algunos de los desarrollos más relevantes proponen modelos estadísticos donde aplicando matemática probabilística se puede determinar la sensibilidad de un sistema ante posibles ataques combinando sus probabilidades (Ning, 2003). Los modelos basados en aprendizaje automático han sido en efecto los más estudiados e investigados para definir una arquitectura de comportamiento normal (Isaza, Castillo et al., 2008). Las Redes Neuronales Artificiales ayudan al proceso predictivo basado en patrones conocidos o desconocidos, éstas pueden ser usadas para lograr una técnica eficiente de aprendizaje que permita clasificar los diferentes tipos de datos (a través de soluciones heurísticas) y optimizar la búsqueda de patrones a partir de valores y firmas ya existentes. En nuestra investigación hemos hecho algunas simulaciones con resultados eficientes de predicción aplicando aprendizaje supervisado y No supervisado (Pérez, Isaza et al., 2005; Bonilla, Isaza et al., 2008; Isaza, Castillo et al., 2009a).

Isaza Gustavo A.; Castillo Andrés G.; López Manuel F.

[ 40 ]

La Programación Genética es un método basado en máquinas de aprendizaje derivado de los algoritmos genéticos donde se toma una población de programas y puntos de muestra para resolver un problema. Iniciativas más recientes como las de Abadeh, Habibi et al. (2007a) y Abadeh, Habibi et al. (2007b), donde se implementó una solución híbrida de un modelo de aprendizaje utilizando lógica difusa y algoritmos genéticos. La Detección de Intrusos ha generado problemas como el tratamiento y análisis de un gran número de alarma; la Minería de Datos puede ser usada para soportar parcialmente (y automáticamente) la gestión de este proceso; con estas técnicas se pueden usar combinaciones informativas para transformar conocimiento de tácito-explícito-tácito, modelos predictivos que permiten a un analista generar nuevas interpretaciones de los datos existentes (Mahoney and Chan, 2003).

En el campo de los agentes inteligentes en IDS, uno de los referentes que ha dado las pautas para consecuentes investigaciones ha sido la desarrollada por el Centro de Investigación en Seguridad de la Información de la Universidad de Purdue –CERIAS– (Balasubramaniyan, García-Fernández et al., 1998), donde se desarrolló un sistema basado en agentes para sistemas de detección de intrusos distribuidos conocido como AAFID (Autonomous Agents for Intrusion Detection) aplicando un modelo de colaboración con agentes móviles e integrando técnicas de minería de datos para identificar ataques coordinados de diferentes subsistemas. La investigación hecha por Krmicek, Celeda et al. (2007), presenta una plataforma de seguridad basada en agentes como estrategia eficiente y robusta para una detección de intrusos de alto desempeño diseñada para redes de alta velocidad. Otras investigaciones relevantes han combinado diferentes arquitecturas basadas en agentes; en los estudios presentados por Sandhya, Ajith et al. (2007), Herrero, Corchado et al. (2008), Lips and El-Kadhi (2008), Orfila, Carbo et al. (2008), se evidencian los resultados logrados.

En el campo de los estándares de representación y ontologías en Detección de Intrusos se evidencia un precario esfuerzo; sin embargo, propuestas como la de IDMEF (Intrusion Detection Message Exchange Format) y el CIDF (The Common Intrusion Detection Framework) (CIDF, 1998) definen protocolos y APIs para proyectos de investigación en detección de intrusiones que puedan compartir información y recursos, así como componentes que puedan ser rehusados construyendo un modelo de representación sintáctica basado en XML. Otras iniciativas, como las de Lin, TSeng et al. (2001), desarrollaron un lenguaje de marcado de sistemas de detección de intrusos IDML (Intrusion Detection Markup Language) que incluye un modelo de representación de patrones de ataques, estados, comparaciones, desempeños y gestión de problemas basados en XML. El uso de ontologías en detección de intrusos ha sido un campo hasta la fecha poco explorado; si bien hay unos esfuerzos importantes, aún hay una gran oportunidad de generar nuevos aportes en esta línea. Tal vez uno de los proyectos de más relevancia en este campo, es el esfuerzo del grupo de investigación de la Universidad de Maryland (Undercoffer, Finin et al., 2005) en la investigación para el desarrollo de una ontología centrada en el objetivo “target-centric” para detección de intrusos, donde se demostró experimentalmente la migración de un sistema de clasificación taxonómico y sus representaciones sintácticas a un modelo ontológico y semántico, a partir de un modelo de representación de datos, algunas relaciones e instancias de ataques e intrusiones (alrededor de 4.000 instancias de intrusiones) con DAML-OIL (DARPA Agent Markup Language + Ontology Interface). El concepto “target-centric” se define como el punto de vista de la víctima que requiere la detección de intrusos, y que la información pueda ser medible y observable (Undercoffer, Joshi et al., 2003).

El principal aporte de la investigación en curso es la integración de técnicas de sistemas multi-agente (autónomos, móviles, inteligentes, adaptativos, reactivos y cooperantes) en los IDS distribuidos, incorporando estrategias híbridas de inteligencia computacional y construyendo un modelo ontológico sobre la estructura de firmas y reglas de prevención que provea un comportamiento semántico y de razonamiento en tiempo de ejecución.



3. Modelo ontológico y sistema multi-agente inteligente

El problema que se presenta en esta arquitectura exige definir un entendimiento común de conceptos, relaciones y aún más de la integración de los significados con otro tipo de tecnologías como cortafuegos y scanners de vulnerabilidades. Dada la cantidad de datos que necesitan ser analizados, es indispensable filtrar y optimizar los contenidos de la comunicación con el fin de agilizar estas tareas; una ontología ayuda a reducir los tamaños de los mensajes intercambiados, limitar la redundancia y permite incorporar más inteligencia en el análisis de la información. La evolución de los modelos de representación de información hacia métodos ontológicos y semánticos, ha seguido, en muchos casos, un proceso empírico y carente de un proceso formal donde se evidencie su ciclo de vida, sin embargo, desde hace algunos años han venido madurando algunas iniciativas que propenden por definir metodologías y especificaciones en el marco de los procesos de la ingeniería del software e ingeniería del conocimiento para afrontar el componente metodológico del análisis y diseño de ontologías. El Grupo de Ingeniería Ontológica de la Universidad Politécnica de Madrid ha desarrollado una metodología (Corcho, López et al., 2005) que permite construir ontologías en el nivel de conocimiento; tiene sus raíces en las actividades identificadas por el proceso de desarrollo de software propuesto por la organización IEEE y en otras metodologías de ingeniería de conocimientos. Sus principales actividades son la especificación, conceptualización, formalización, implementación y mantenimiento.

Se ha decidido seleccionar a METHONTOLOGY como la metodología para el desarrollo de la ontología, pues en diferentes estudios es considerada como una de las metodologías más maduras que trata de seguir el ciclo de vida del software propuesto en el estándar IEEE 1074, aunque requiere mejorar las especificaciones para algunas actividades, particularmente un lenguaje estandarizado de representación de conceptos, axiomas y reglas; también se puede ver como un punto a favor de METHONTOLOGY, el que sea recomendada por la “Fundación para los Agentes Físicos Inteligentes” (FIPA), la cual promueve la interoperabilidad entre las aplicaciones basadas en agentes (Castillo, 2007).

En la fase de especificación se plantean un conjunto de preguntas de competencia (PC) identificadas para el dominio en cuestión, un ejemplo de las más relevantes para nuestro caso son:

¿Cuál es la secuencia de eventos que describen un tipo de ataque? ¿Qué tipo de reacción debe tomarse ante un posible evento de ataques? ¿Qué impacto tiene un ataque sobre el ambiente distribuido subyacente? ¿Qué tipo de ataques requieren reacciones de prioridad (alta, media, baja)?

Con base en estos planteamientos se propone una taxonomía de conceptos que define una visión preliminar de lo que podría ser un modelo general de las clases ontológicas.

En la Tabla No. 1 se presenta la definición de 2 de los axiomas formales que describen tipos de ataque de un total de 25 clasificaciones obtenidas a través del algoritmo de clustering aplicado (K-Means)1 que agrupan cerca de 2.500 instancias para nuestra ontología.

1 En Isaza, G., A. Castillo, et al. (2009). Towards Ontology-based intelligent model for Intrusion Detection and Prevention. 2nd International Workshop on Computational Intelligence in Security for Information Systems CISIS'09. Lectures Notes in Computer Science - Springer Verlag (Pendiente de Publicación), se detallan las características de la técnica de clustering aplicada y los resultados obtenidos.


[ 42 ]

Tabla No. 1 FRAGMENTO DEFINICIóN DE AXIOMAS

axiomas Methontology axiomas lógica descriptiva

Exist(DoS_SF, Nodo, TE, PI, SF)(Nodo_Red(Nodo) and TraficoEntrada(TE) and EstadoIntrusion(IS)) (Gen-erado_por) SynFlood(SF)→ dos_Synflood(doS_Sf)

)_(_)(_

SynFloodDoSporGeneradoNodoradaTraficoEntIStackSynFloodAtDoS

∃∩∩∩∃≡

Exist(PrS, Nodo, TE, PI, PS)(Nodo_Red(Nodo) and TraficoEntrada(TE) and EstadoIntrusion(IS)) (Gen-erado_por) PingScan(PS) or SynScan(SS) or TCPProbe(TCPP) or RSTProbe(RSTP) (→ ScanProbe(PrS)

)PrPr(_

)(Pr

obeRSTobeTCPSynScanPingScanporGenerado

NodoradaTraficoEntusionEstadoIntrobeScan

∪∪∪∃

∩∩∩∃≡

En la etapa de definición de reglas, para el caso de nuestra ontología se definirá una regla genérica que describe el evento de reacción como consecuencia ante cualquier intrusión; de acuerdo al atributo de tipo de anomalía, la propiedad de acción será invocada con base en la prioridad y relevancia del ataque.

Tabla No. 2 FRAGMENTO DESCRIPCIóN DE REGLAS

Nombre regla Expresión Conceptos relaciones Variables

Reacción por Ataque

tipo Web

if Exist((Nodo_Red(Nodo) and TráficoEntrada(TE) and

EstadoIntrusión(IS)) (Generado_por) InyecciónCódigoWeb(ICW)) then

ReglaAlertaReconfiguración(R_AR)

Nodo_RedTráfico Entrada

Estado de IntrusiónInyección

Código Web

Generado_por

NodoTEPIIS

ICWR_AR

Para diseñar e implementar la ontología se ha decidido utilizar OWL como lenguaje, el cual permite establecer formalismos y representaciones de conocimiento; algunas de las influencias más relevantes en el diseño de OWL provienen de su predecesor DAML+OIL de la Lógica Descriptiva, del paradigma de marcos y de los modelos RDF/XML. La Lógica de Descripción y la interpretación de la misma tiene una fuerte influencia en el diseño de OWL, particularmente en la formalización de las semánticas, la selección de lenguajes constructores y la integración de tipos de datos y valores, por lo tanto OWL DL y OWL Lite pueden ser vistos como expresiones de la Lógica de Descripción.

La Lógica de Descripción o Lógica Descriptiva (DL) es un conjunto de lenguajes que permiten representar conocimiento a partir de terminologías de un dominio de una manera estructurada y con un formalismo entendido, describe conceptos y semánticas que denotan las fórmulas, relaciones y expresiones lógicas de predicados de primer orden. Algunas características relevantes de la lógica descriptiva son la inclusión de formalismos descriptivos de roles, conceptos, individuos; formalismos terminológicos, formalismos



asertivos y capacidades de inferir nuevos conocimientos a partir de técnicas de razonamiento (Baader and Nutt, 2003). En la Figura No. 1 se presenta un fragmento del modelo de nuestra ontología (Isaza, Castillo et al., 2009b).

Un ejemplo de firma ontológica que describe una instancia de un ataque tipo exploit usando el lenguaje OWL para la ontología propuesta se presenta en el siguiente fragmento de código:

<rdf:RDF xmlns:. . . . . . . <owl:Ontology rdf:about=“Ontology OntoIDPSSMA”> </owl:Ontology> <owl:class rdf:ID=”Exploit Rule1.1.2”> <rdfs:Subclass of> <owl class rdf:ID=“Reglas”><TipoAlerta>Prevent</TipoAlerta><pto_local> * </pto_local><pto_remoto> 80 </pto_remoto><nombre> Exploit HTTP </nombre>…..<type> str TS ES </type><content> “\B4|B4|!|8B 83E9 04 8B|’”</content></rdf>

Figura No. 1. Modelo Ontológico de Detección y Prevención de Intrusiones (OntoIDPSMA.owl). Tomado de Isaza, Castillo et al. (2009b).


[ 44 ]

Por el momento se ha implementado el sistema basado en agentes cumpliendo tareas de cooperación, autonomía y reactividad, además la integración de modelo de firmas ontológico y semántico que facilite la comunicación e interacción entre los Agentes de Detección de Intrusos. En la Figura No. 2 se presenta la arquitectura general del sistema propuesto. Los roles principales de la arquitectura en mención son:

Agente Sensor: Tareas: capturar datos, procesar paquetes y generar base de datos de paquetes, enviar datos a agente analizador.Agente Analizador: Tareas: filtrar Paquetes, aplicar técnica de clasificación, comparar con base de datos de firmas y generar base de conocimiento de Ataques en formato XML, enviar datos a Agente Correlación, enviar datos a Agente de Reacción.Agente de Correlación: Tareas: recibir paquetes anómalos en formato OWL, recibir “posibles” paquetes anómalos y reglas, aplicar técnicas inteligentes de correlación y detección de nuevos comportamientos, enviar datos a Agente.Agente Ontológico: Tareas: actualizar Firmas Ontológicas, actualizar Reglas Ontológicas, relacionar Ontologías, enviar actualizaciones a Agente Analizador.Agente de Reacción: Tareas: recibir alarmas generadas por el agente de Correlación, generar respuestas pasivas, disparar reacciones activas, enviar Datos a Agente Gestor.Agente Gestor: Tareas: recibir alarmas generadas por Agente de Reacción, presentar informes al usuario administrador, comunicarse con otros Agentes Gestores.

Figura No. 2. Arquitectura del Sistema Multi-agente.



Con base en los resultados publicados en Pérez, Isaza et al. (2005) se desarrolló un nuevo modelo de IDS Neuronal añadiendo en las etapas previas una técnica de clasificación y clustering de ataques a partir de K_Means aplicando técnicas de normalización de paquetes capturados con jpcap, integrando capturas de datos en tiempo real y una base de conocimiento capturada del KDD Intrusion Detection Dataset tomado de la segunda semana (DARPA, 1999), clasificando los campos más relevantes (Tipo de Servicio, Longitud, Tiempo de vida, Secuencia, ACK, Flags TCP, entre otros), posteriormente siendo parametrizados como entradas para la red neuronal e integrando en el modelo de agentes el componente inteligente utilizando el API JavaNNS. Se procedió al entrenamiento utilizando diferentes algoritmos y se demostró la optimización que se logra en la detección de nuevos patrones sobre un modelo supervisado. La arquitectura del sistema inteligente híbrido se presenta en la Figura No. 3. Después de probar múltiples configuraciones, los valores más eficientes se alcanzaron con el algoritmo Resilent Propagation tal como se muestra en la Tabla No. 3.

Tabla No. 3 DESEMPEñO DEL PROCESO DE ENTRENAMIENTO CON DIFERENTES ALGORITMOS

algoritmo Error SSE Validación tiempo transcurrido

Back Propagation 28,61 0,97 312 secResilient Propagation 0,891 0,132 185 secQuick Propagation 19,42 1,58 128 sec

Figura No. 3. Componente de Inteligencia Computacional Híbrida Probado.


[ 46 ]

La curva de aprendizaje teniendo como referencia el SSE (Sum Squared Error) y el número de épocas en el caso óptimo se presenta en la Figura No. 4. El comportamiento del sistema integrado ha tenido un desempeño satisfactorio comparado contra un modelo de IDS estándar de código abierto. En la Tabla No. 4 se evidencian los logros parciales.

Tabla No. 4RESULTADOS DE EJECUCIóN DEL SISTEMA MULTI-AGENTE Y ONTOLóGICO (ONTOIDPSMA) VS. STANDARD IDS

datos analizados Standard idS ontoidPSMa

Tráfico ProcesadoPaquetes Procesados

92,1 %10.375

91,64 %9.847

Paquetes anómalos detectados 89,3 % 90,4%Promedio de Tiempo de Detección 44,54 sec 33,21 sec

Figura No. 4. Proceso de Entrenamiento, Curva de Aprendizaje SSE vs. Epochs.

El Sistema Multi-agente en ejecución integrado con la actualización ontológica, su intercambio de mensajes incorporando OWL en el contenido de los mensajes ACL de los agentes, así como con el proceso de entrenamiento en tiempo de ejecución se visualiza en la Figura No. 5.



Figura No. 5. Pantalla de Ejecución del Prototipo del Sistema Multi-agente y proceso de aprendizaje.

4. Conclusiones y reflexiones

El uso de representaciones ontológicas en la detección de intrusiones facilita la interoperabilidad y comunicación en los IDS distribuidos; el desempeño de estos modelos puede mejorar significativamente integrando los componentes de formalización de su conocimiento, de autonomía y reacción a partir del uso de técnicas de inteligencia computacional en el proceso de análisis y de gestión de firmas, así como la comunicación e interacción distribuida basada en agentes. Los resultados parciales logrados evidencian la optimización que puede lograrse en los modelos de detección y prevención a partir de técnicas de clasificación y reconocimiento de patrones embebidos en agentes inteligentes y la maximización de la representación homogénea de conocimiento de los IDS a partir de ontologías, ofreciendo a la arquitectura capacidades de razonamiento e inferencia en tiempo de ejecución. Es importante aclarar que este proyecto se encuentra aún en fase desarrollo, por el momento se están integrando algoritmos de clustering para mejorar la clasificación previa a los procesos de entrenamiento neuronal y del análisis por parte de los agentes, así como el modelo de razonamiento e inferencia de la ontología en tiempo real; en complemento se está desarrollando un híbrido basado en lógica difusa que permita generar un modelo de alertas borroso y entendible.

referencias

Abadeh, M., J. Habibi et al. (2007a). “A parallel genetic local search algorithm for intrusion detection in computer networks”. Pergamon Press, Inc. Vol 20. pp. 1058-1069.

Abadeh, M. S., J. Habibi et al. (2007b). “Intrusion detection using a fuzzy genetics-based learning algorithm”. Academic Press Ltd. Vol 30 No 1. pp. 414-428.

Baader, F. and W. Nutt (2003). “Basic description logics. The description logic handbook: theory, implementation, and applications”. Cambridge University Press. Vol. 2003. pp. 43-95.


[ 48 ]

Balasubramaniyan, J., J. García-Fernández et al. (1998). An Architecture for Intrusion Detection using Autonomous Agents. Department of Computer Sciences, Purdue University, West Lafayette, Department of Computer Sciences, Purdue University.

Bonilla, C., G. Isaza et al. (2008). “Sistema de Detección de Intrusos Neuronal. Tendencias en Ingeniería de Software e Inteligencia Artificial”. U. N. d. Colombia. Vol. 2008. ISBN: 978-958-44-1344-4.Castillo, L. (2007). Modelo de Socioconfiguración para Sistemas Multi-agente en dispositivos inalámbricos. Salamanca, Universidad de Salamanca.

CIDF. (1998). “Communication in the Common Intrusion Detection Framework”. Retrieved Febrero 2008, from http://gost.isi.edu/cidf/drafts/communication.txt

Corcho, O., M. López et al. (2005). Building Legal Ontologies with METHONTOLOGY and WebODE. Lecture Notes in Computer Science - Law and the Semantic Web. E. S. B. H. I.-P.-. (Online).Vol. 2005. pp. 142-157.

DARPA. (1999). “DARPA Intrusion Detection Evaluation, ‘The 1999 DARPA off-line intrusion detection evaluation’, LINCOLN LABORATORY Massachusetts Institute of Technology”. Retrieved 2008, from http://www.ll.mit.edu/IST/ideval/data/1999/1999_data_index.html

Herrero, A., E. Corchado et al. (2008). Hybrid Multi Agent-Neural Network Intrusion Detection with Mobile Visualization. Innovations in Hybrid Intelligent Systems. Springer-Verlag Berlin Heidelberg. pp. 320-328.

Isaza, G., A. Castillo et al. (2008). Modelo de Detección de Intrusos basado en Sistemas Multi-agente, inteligencia Computacional y representaciones Ontológicas. X RECSI - X Reunión Española sobre Criptología y Seguridad de la Información. Salamanca (España), Salamanca. PP 271-281.

Isaza, G., A. Castillo et al. (2009a). An Intrusion Detection and Prevention Model Based on Intelligent Multi-Agent Systems, Signatures and Reaction Rules Ontologies. Advances in Intelligence and Soft Computing - 7th International Conference on Practical Applications of Agents and Multi-Agent Systems (PAAMS 2009), Springer. pp. 237-245.

Isaza, G., A. Castillo et al. (2009b). Towards Ontology-based intelligent model for Intrusion Detection and Prevention. 2nd International Workshop on Computational Intelligence in Security for Information Systems CISIS’09. Lectures Notes in Computer Science - Springer Verlag (Pendiente de Publicación). Krmicek, V., P. Celeda et al. (2007). Agent-Based Network Intrusion Detection System. Proceedings of the 2007 IEEE/WIC/ACM International Conference on Intelligent Agent Technology, IEEE Computer Society.

Lin, Y., S. TSeng et al. (2001). “An Intrusion Detection Model Based Upon Intrusion Detection Markup Language (IDML)”. Journal of Information Science and Engineering- Department of Computer and Information Science National Chiao Tung University. pp. 1-21.

Lips, R. and N. El-Kadhi. (2008). Intelligent Mobile Agent for Intrusion Detection System (IMAIDS). European Institute of Technology. rue Pasteur - 94270 Le Kremlin-France.

Mahoney, M. and P. Chan. (2003). Learning Nonstationary Models of Normal Network Traffic for Detecting Novel Attacks. In Proceedings of the 8th International Conference on Knowledge Discovery and Data Mining. Ning, P. (2003). Probalistic states in Network Security. North Carolina State University.

Orfila, A., J. Carbo et al. (2008). “Autonomous decision on intrusion detection with trained BDI agents”. Butterworth-Heinemann. Vol 31. pp. 1803-1813.

Pérez, C., G. Isaza et al. (2005). “Aplicación de Redes Neuronales para la detección de intrusos en redes y sistemas de información”. Scientia et Technica, Vol XI No 27. pp. 225-230.



Sandhya, P., A. Ajith et al. (2007). “Modeling intrusion detection system using hybrid intelligent systems”. Academic Press Ltd.Vol 30. pp. 114-132.

Spafford, E. and D. Zamboni. (2000). “Intrusion detection using autonomous agents”. Computer Networks, Vol 34 No 4. pp. 547-570.

Undercoffer, J., T. Finin et al. (2005). “A target centric ontology for intrusion detection: using DAML+OIL to classify intrusive behaviors”. Knowledge Engineering Review - Special Issue on Ontologies for Distributed Systems, Cambridge University Press. Vol #. pp. 2-22.

Undercoffer, J., A. Joshi et al. (2003). Modeling Computer Attacks: An Ontology for Intrusion Detection. The Sixth International Symposium on Recent Advances in Intrusion Detection, Springer.

MODELO ONTOLÓGICO DE DETECCIÓN Y PREVENCIÓN DE...

Documents

Transcript of MODELO ONTOLÓGICO DE DETECCIÓN Y PREVENCIÓN DE...