PDF de programación - Aplicación de técnicas de Inteligencia Artificial en la Seguridad Informática: un estudio

Inteligencia Artificial 51 (2013), 1-8



INTELIGENCIA ARTIFICIAL



http://journal.iberamia.org/



Aplicación de técnicas de Inteligencia Artificial en la Seguridad
Informática: un estudio

Adrian Hernández Yeja y Jenny de la Rosa Pasteur y Odaysa Rodríguez Huice

Universidad de las Ciencias Informáticas
Carretera a San Antonio, KM 2 1/2, Boyeros, La Habana, Cuba
{ayeja,jdelarosa,ohuice}@uci.cu

Abstract Information Security is evolving and dynamic. Application of Artificial Intelligence techniques becomes
an essential practice in the treatment and detection of threats to which organizations are exposed. This article
focuses on a literature review concerning the application of AI techniques in computer security, with emphasis on
Intrusion Detection Systems, detection of unwanted mail or spam, antivirus and other applications where the use
of Artificial Intelligence is considered important.

Resumen La Seguridad Informática se encuentra en constante evolución y dinamismo. La aplicación de técnicas
de Inteligencia Artificial se convierte en una práctica indispensable en el tratamiento y detección de amenazas a
que se encuentran expuestas las organizaciones. Este artículo se enfoca en un estudio bibliográfico relacionado
con la aplicación de técnicas de Inteligencia Artificial en la Seguridad Informática, enfatizando en los Sistemas
Detectores de Intrusos, detección de correo no deseado o spam, antivirus, así como otras aplicaciones en las que la
utilización de la Inteligencia Artificial se considera importante.

Keywords: Information Security, Artificial Intelligence, Intrusion Detection Systems, spam, antivirus.
Palabras clave: Seguridad Informática, Inteligencia Artificial, sistemas de detección intrusos, spam, antivirus.

1 Introducción


La Seguridad Informática se ha convertido en una cuestión indispensable en la sostenibilidad y desarrollo de
cualquier organización, pues la información en la mayoría de los casos tiene un valor inestimable. El término
Seguridad Informática tiene en cuenta 3 principios fundamentales que lo sustentan y que deben ser la base de
cualquier sistema informático [1]: confidencialidad, integridad y disponibilidad.


En la actualidad, son variadas las formas en que se encuentran expuestos los datos a los ataques producto de
vulnerabilidades presentes en los sistemas, por lo que las alternativas para enfrentar tal situación se han
perfeccionado a lo largo de los años y de muy diversas formas. En este sentido, la Inteligencia Artificial ha
demostrado una probada aplicación en diferentes áreas de la Seguridad Informática como su utilización en redes
mediante la detección de intrusos y bloqueo de correos no deseados o spam, análisis forense, antivirus, etc., lo que
sin duda ha permitido un elevado nivel de desempeño de las organizaciones en vista a la protección de la
información. Las técnicas de Inteligencia Artificial dan apoyo a sistemas generales que operan automática,
adaptativa y proactivamente [2].


En este artículo se pretende realizar un estudio de técnicas fundamentales de Inteligencia Artificial aplicadas a
áreas sensibles de la Seguridad Informática. La estructura del documento se describe a continuación: en la sección
2 se presentan aplicaciones de técnicas de Inteligencia Artificial en los Sistemas Detectores de Intrusos o IDS; en

ISSN: 1988-3064(on-line)
©IBERAMIA and the authors





2


la sección 3 se trata igualmente el correo no deseado o spam; en la sección 4 se analizan otras aplicaciones
interesantes. Por último se brindan las conclusiones de la investigación.

Inteligencia Artificial 51 (2013)



2 Sistemas Detectores de Intrusos (IDS)



La detección de intrusos se ha convertido en parte integral de los procesos de seguridad de la información desde
que ellos pueden implementar y administrar controles identificados de la seguridad de la información [3]. Son
variadas las técnicas de Inteligencia Artificial las que se han aplicado en estos sistemas informáticos, en todos los
casos se busca la optimización y detección más eficaz de intrusiones. La Inteligencia Artificial puede reducir el
esfuerzo humano requerido para construir Sistemas Detectores de Intrusos y puede mejorar su rendimiento [4].


J. Frank realiza un análisis en [4] con respecto a los IDS en áreas fundamentales como la clasificación
(proceso de identificar atacantes e intrusos) y la reducción de datos (análisis de una colección de datos para
identificar sus componentes más importantes). Se discuten métodos de Inteligencia Artificial que son aplicados a
estas áreas fundamentales de los IDS.


En [5] se plantea el progreso en la creación de la implementación de un Sistema Basado en Casos (CBS)
utilizando el conocido IDS Snort, el cual consta por defecto de un sistema basado en reglas. Se plantean las
limitaciones del sistema que presenta el mismo como son las molestas alertas que constantemente brinda y cómo
el SBC puede ser utilizado como una técnica sofisticada que mejora las dificultades de la herramienta de
seguridad.


El estudio que se realiza en [6] se enfoca en otras técnicas de Inteligencia Artificial aplicada a los IDS como
son las Máquinas de Vectores de Soporte (SVMs), Redes Neuronales Artificiales (ANNs), Regresión Multivariada
Adaptativa utilizando Splines (MARS) y Programas Genéticos Lineales (LGPs). Se establecen comparaciones
críticas basadas en experimentos realizados de parámetros esenciales en los IDS en cuanto a la precisión, tiempo
de formación y tiempo de prueba de los mismos, utilizando las técnicas de Inteligencia Artificial anteriormente
descritas. Los resultados finales de la investigación fueron interesantes, pues permiten realizar un análisis en torno
a la efectividad en la aplicación de las técnicas que se estudiaron:


 LGPs superó a MARS, SVMs y ANNs en términos de detección precisa a expensas del tiempo.
 MARS fue superior a SVMs con respecto a la clasificación de las clases más importantes (acceso no
autorizado a privilegios de súper usuario y acceso no autorizado a máquinas remotas) en términos de
severidad del ataque.

 SVMs superó a ANNs en importantes aspectos de escalabilidad (SVMs puede trabajar con un gran número
de patrones, mientras que ANNs toma un gran tiempo en lograr o fallar en cuanto a convergencia si el
número de patrones tiende a crecer); SVMs funciona en orden de magnitud más rápido.


Otro estudio comparativo de diferentes técnicas de Inteligencia Artificial aplicadas a los IDS desde el punto de
vista de rendimiento en Redes Neuronales se presenta en [7], basándose en nueve clasificaciones de las mismas:
Multicapa Perceptrón (MLP), Redes Neuronales Modulares (MNN), Redes Recurrentes (RN), Feed Forward
Generalizado (GFF), Redes Jordan/Elman (JEN), Redes de Análisis de Componentes Principales (PCA), Función
Base Radial (RBF), Mapas Auto Organizados (SOM), Redes Recurrentes de Tiempo Rezagado (TLRNs). Se
presentan los resultados de los experimentos realizados, resaltando cómo MNN, MLP y MNN obtuvieron los
mejores resultados.


En [8] se realiza otro estudio relacionado con las Redes Neuronales, en este caso del tipo supervisada para la
detección de ataques remotos a locales (R2L). Los experimentos realizados indican que la técnica utilizada tiene
comparativamente una baja tasa de falsos positivos (detección de amenazas que no representan un problema de
seguridad) y falsos negativos (no detección de amenazas), de vital importancia estos aspectos en la calidad de
cualquier sistema computacional. Además la solución se considera óptima en relación a la literatura consultada
por los autores.


Una metodología para aplicar Algoritmos Genéticos en IDS se discute en [9], en especial para la detección de
complejos comportamientos anómalos. Se describen algunos factores que afectan a los Algoritmos Genéticos en
su aplicación con los IDS, así como las limitaciones de los Sistemas Basados en Reglas que presentan



Inteligencia Artificial 51 (2013)

comúnmente estas aplicaciones informáticas. La propuesta incluye una combinación de Algoritmos Genéticos con
Sistemas Basados en Reglas, en donde los primeros pueden ser utilizados para generar reglas que se correspondan
solo con conexiones anómalas.



3


Una novedosa técnica para la detección de intrusiones mediante el uso de la teoría Rough Set1 se presenta en
[11], vinculado con Algoritmos Genéticos (aprovechando que la vinculación de ambos métodos es una alternativa
probada y conocida de Minería de Datos para el análisis de la información), todo en combinación con Redes
Neuronales Artificiales finalmente. Rough Set y los Algoritmos Genéticos se aplican para buscar el conjunto de
datos reducidos, luego, los resultados se utilizan por una Red Neuronal Supervisada en el IDS.


Por otro lado, en [12] se propone un modelo de detección proactiva y modelo dinámico basado en el Análisis
de Tendencias, Lógica Difusa y Redes Neuronales, los que pueden ser utilizados en los IDS por parte de las
organizaciones. El estudio se focaliza en que el comportamiento de los intrusos puede ser agrupado en fases
comunes genéricas de la intrusión y que todas las acciones de los usuarios pueden ser monitorizadas en términos
de estas fases. De igual forma, este estudio se centra en la detección híbrida de intrusiones: anómalas
(construcción de perfile