Redes Neuronales para sistemas de detección de intrusos

A neural network component for an intrusion detection system

Este reporte aparece en:
Research in Security and Privacy, 1992. Proceedings., 1992 IEEE Computer Society Symposium on
Autor: Debar, H.
Páginas: 240 - 250


En este reporte nos presentan una posible aplicación de redes neuronales como un componente para un sistema de detección de intrusos (usando o analizando grabaciones de sonido). Los algoritmos de redes neuronales están emergiendo como una nuvea técnica de inteligencia artificial que puede ser aplicada en problemas de la vida real. 

El uso de inteligencia artificial para la detección de intrusos dentro de un sistema computacional es ahora ampliamente considerado como la ùnica manera de construir un sistema de detección de intrusos que sea eficiente y adapatativo. Más allá de sistemas expertos. las redes neuronales artificiales están evolucionando como una nueva técnica de inteligencvia artificial.

Ya entrando al tema, hay ciertas propiedades ùnicas de las redes neuronales que las hace óptimas para este tipo de aplicaciones. Si por ejemplo para el modelo del sistema de detección de intruses necesitamos una herramienta que aprenda series de tiempo. Cosa que es posible utilizando redes neuronales. Una vez implementando una red neuronal para este propósito la red verá cada uno de los ejemplos una sóla vez y empezará a entrenarse. Una regularidad en dicho entrenamiento es importante porque significa que la red observará diversas "grabaciones" con aproximadamente el mismo contenido.

El aprendizaje es la principal característica de las redes neuronales. Dicho aprendizaje permitirá a los desarrolladores a aprender las leyes del comportamiento de la red cuando empecemos a alimentar la red con datos reales y ésta tenga que decidir si la grabación detectada corresponde a un usuario autorizado o de lo contrario a un no autorizado. El algoritmo de aprendizaje permite a la red seguir de cerca el comportamiento de los caminos que se le presenten y adaptarse a si misma para los constantes cambios de los mismos.

El modelo elegido para el algoritmo de la red neuronal de dicho sistema de detección de intruso es un algoritmo recurrente. En este tipo de algoritmo, la salida de la red neuronal es retroalimentada como una entrada al entrar al siguiente paso. Esto crea una memoria interna dentro de la red neuronal, la cual tiene la misma función que la de "la ventana del tiempo" de un perceptrón ordinario, por ejemplo para darle a la red neuronal una "percepción del pasado". De cualquier manera, en el caso de las redes recurrentes, esta memoria es grande y auto-organizada para satisfacer la necesidad de la predicción. Se utilizó una versión adaptativa  de una red recurrente completa con una descomposición en capas que permite la propopagación del algoritmo de aprendizaje.

Una vez definido el modelo se dieron a la tarea de pensar en cómo implementar dicho modelo. Hacia este punto se dieron cuenta que el uso de una simple red neuronal no serviría para resolver el problema. Por lo que se consideró necesario implementar un sistema experto que pudiera ser capaz de manipular los datos que la red neuronal procese.

A continuación se describen los bloques que constituirían a un sistema de detección de intrusos:

• Adquisisión de datos: Este modelo reune las pistas de audio dentro del sistema y las transfiere a la estación de soporte de detección de intrusos.
• Formateo de datos: Este modelo reacomoda los datos en un formato comùn que puede ser interpretado tanto por el sistema experto como la red neuronal. Aunado a esto revisa que las pistas de audio sean claras y correctas.
• Red neuronal artificial: Es el motor del sistema de detección de intrusos. Aquí se encuentra la red neuronal misma junto con un un par de funcionalidades de codificado y decodificado para convertir las entradas (pistas de audio) en formato numérico.
• Systema experto - Análisis y control de la red neuronal: Este modulo analiza la salida de la red neuronal y la traduce en un formato adecuado para la detección de intrusos. Igualmente monitorea los parámetros de la red neuronal para obtener información adicional de los mismos datos. Finalmente también es responsable para afinar y verificar el proceso de entrenamiento para evadir una posible polarización del modelo con el comportamiento de detección de intrusos.
• Sistema experto - Análisis y decisión: Este modulo es la parte de detección de intrusos del sistema entero. Tiene contenida en su base de conocimiento el reconocimiento de escenarios y los posibles defectos del sistema operativo, así como también la política de seguridad definida por un oficial de seguridad. Se encarga también de crear advertencias y alarmas cuando observa significantes cambios en el comportamiento como los que provee el modelo de la red neuronal, o cuando se activa un ecenario de intrusión.

Aquí un diagrama demostrativo que explica gráficamente los pasados bloques del sistema de detección de intrusos:

Cabe mencionar que el pasado diagrama está parcialmente implementado aùn actualmente se encuentra en investigación la implementación de redes neuronales con sistemas expertos como un conjunto.

 Fuente de consulta:
http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=213257&tag=1