Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Machine Learning para proyectos de seguridad(Pycon)

jmortegac
October 06, 2019
Technology
1
630

Machine Learning para proyectos de seguridad(Pycon)

En los últimos años, muchas de las soluciones de seguridad están utilizando el aprendizaje automático para detectar y prevenir las principales amenazas como malware o detección de anomalías en las redes. El objetivo de los algoritmos de machine learning es construir modelos que permitan predecir con la mayor precisión posible si ante nuevas entradas de datos, nuestro algoritmo va a ser capaz de predecir si se trata
de malware o se ha detectado un comportamiento anómalo. Para ello disponemos varios tipos de modelos como regresión, clasificación, agrupación en clústeres, árboles de decisión, entre otros.
En esta charla explicaré los conceptos principales sobre el aprendizaje automático aplicado a la ciberseguridad a través de diferentes casos de uso y ejemplos. Comenzaremos explicando los algoritmos principales que podemos usar para hacer nuestras predicciones, aplicando estos conceptos en el campo de la seguridad. Se comentarán ejemplos que permitirán evaluar las mejores técnicas de aprendizaje
automático en función del problema de seguridad que se plantea.

jmortegac

October 06, 2019
Tweet

More Decks by jmortegac

See All by jmortegac
Evolution of security strategies in K8s environments
jmortega
0
5
Implementing Observability for Kubernetes
jmortega
0
9
Computación distribuida usando Python
jmortega
0
36
Seguridad_en_arquitecturas_serverless_y_entornos_cloud.pdf
jmortega
0
60
Construyendo arquitecturas zero trust sobre entornos cloud
jmortega
0
33
Tips and tricks for data science projects with Python
jmortega
0
36
Sharing secret keys in Docker containers and K8s
jmortega
0
84
Implementing cert-manager in K8s
jmortega
0
120
Python para equipos de ciberseguridad(pycones)
jmortega
0
88

Other Decks in Technology

See All in Technology
DDD e Team Topologies como estes conceitos podem te dar pistas de como montar seus times de engenharia!!!
claudioed
2
220
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
takumakume
0
290
[PHPカンファレンス沖縄2023]【実践編】良いプロダクト作りのための組織育成 健全なコードは健全な組織、健全なチームから
ikezoemakoto
0
170
Amazon SES のバウンス率が急上昇 〜Amazon SES を止めてしまった日〜
tomuro
1
500
How to Maximize Effectiveness and Efficiency of Daily Scrum
eiki
0
110
dojo230914
mitsuakitohei
1
190
YouTubeへのライブ配信機能をリリースするまで
yurihondo
0
750
Androidアプリの良いユニットテストを考える / Thinking about good unit tests for Android apps
tkmnzm
3
1.4k
【新卒研修資料】基礎統計学 / Basic of statistics
brainpadpr
65
41k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
11
28k
Material 3 やめました / Good-bye M3 design system
yanzm
3
2.2k
アジャイルリーダークイズ王 2023 #scrummikawa / agile leader quiz king 2023
kyonmm
PRO
1
270

Featured

See All Featured
From Idea to $5000 a Month in 5 Months
shpigford
376
45k
Visualization
eitanlees
131
13k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
14k
RailsConf 2023
tenderlove
0
230
Support Driven Design
roundedbygravity
91
9.2k
The Language of Interfaces
destraynor
149
22k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.1k
Designing for Performance
lara
601
66k
Web development in the modern age
philhawksworth
200
9.8k
Faster Mobile Websites
deanohume
296
29k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
41
11k
Adopting Sorbet at Scale
ufuk
66
8.1k

Transcript

  1. Machine learning para
    proyectos de seguridad
    José Manuel Ortega @jmortegac
    UA | October 4 - 6, 2019

    View Slide

  2. About me

    View Slide

  3. About me

    View Slide

  4. Agenda
    ● Introducción al Machine Learning
    ● Algoritmos y SKLearn con python
    ● Casos de uso(Spam,fraude)
    ● Detección de anomalías
    ● Conclusiones y recursos

    View Slide

  5. AI vs ML
    La inteligencia artificial es un término utilizado para describir
    un sistema que percibe su entorno y toma medidas para
    maximizar las posibilidades de lograr sus objetivos.
    El aprendizaje automático es un conjunto de técnicas que
    permiten a las computadoras realizar tareas sin ser
    programadas explícitamente. Los sistemas de ML generalizan a
    partir de datos pasados para hacer predicciones sobre datos
    futuros.

    View Slide

  6. Tipos de ML

    View Slide

  7. Tipos de ML
    El aprendizaje supervisado se centra en modelos que predicen las
    probabilidades de nuevos eventos en función de las probabilidades
    de eventos observados previamente. Por ejemplo: determinar si un
    archivo es malware o no.
    Los modelos de aprendizaje no supervisado intentan encontrar
    patrones en datos no etiquetados. Por ejemplo : determinar
    cuántas familias de malware existen en el conjunto de datos y qué
    archivos pertenecen a cada familia.

    View Slide

  8. Aprendizaje supervisado
    Clasificación: Los algoritmos de clasificación predicen a qué
    categoría pertenece una entrada en función de las
    probabilidades aprendidas de las entradas observadas
    previamente. Por ejemplo: determinar si un archivo es
    malware o no.
    Regresión: los modelos de regresión (lineal, logística) predicen
    un valor de salida continuo para una entrada determinada en
    función de los valores de salida asociados con las entradas
    anteriores. Por ejemplo: predecir cuántas muestras de
    malware se detectarán el próximo mes.

    View Slide

  9. Aprendizaje no supervisado
    Clustering:Consiste en agrupar un conjunto de
    objetos de tal manera que los objetos en el mismo
    grupo(cluster) sean más similares entre sí que con los
    de otros grupos
    Detección de anomalías

    View Slide

  10. ML en seguridad

    View Slide

  11. Proceso de ML

    View Slide

  12. Construir un modelo
    ● Recopilar muestras de datos de ambas clasificaciones para
    entrenar el modelo de aprendizaje automático.
    ● Extraer características de cada ejemplo de entrenamiento para
    representar el ejemplo numéricamente.
    ● Entrenar al sistema de aprendizaje automático para identificar
    elementos que sigan un patrón específico.
    ● Probar el sistema con datos que no se utilizaron durante el
    entrenamiento para evaluar su precisión o accuracy.

    View Slide

  13. Extracción características

    View Slide

  14. python Machine learning

    View Slide

  15. Sklearn

    View Slide

  16. Selección de características

    View Slide

  17. Clustering

    View Slide

  18. Clustering Sklearn

    View Slide

  19. Árboles de decisión

    View Slide

  20. Sklearn
    ● El proceso consiste en:
    ○ Elegir el modelo.
    ○ Seleccionar los hiperparámetros.
    ○ Extraer la matriz de características y vector de
    predicción.
    ○ Ajustar el modelo a los datos (entrenamiento).
    ○ Predecir etiquetas para datos desconocidos.

    View Slide

  21. Módulos python
    ● import numpy as np
    ● import pandas as pd
    ● from sklearn.model_selection import
    train_test_split
    ● from sklearn.metrics import
    accuracy_score , confusion_matrix

    View Slide

  22. Entrenar nuestro modelo
    ● In [19]: from sklearn.tree import
    DecisionTreeClassifier
    ● In [21]: model = DecisionTreeClassifier()
    ● In [22]: X_train , X_test , y_train , y_test =
    train_test_split (X , y , test_size =0.2,
    random_state =1)
    ● In [23]: model.fit (X_train ,y_train );

    View Slide

  23. Evaluar nuestro modelo
    ● In [23]: y_pred = model.predict ( X_test )
    ● In [24]: accuracy_score ( y_pred , y_test )
    ● Out [24]: 0.9745454545454545

    View Slide

  24. Evaluar nuestro modelo
    ● from sklearn.metrics import
    confusion_matrix
    ● print(confusion_matrix(Y_test,Y_pred))

    View Slide

  25. Matriz de confusión

    View Slide

  26. Métricas

    View Slide

  27. Sobreentrenamiento
    ● Para evitar el sobreajuste se divide
    el dataset en dos partes:
    ○ Datos de entrenamiento
    ○ Datos de evaluación
    ● K-fold cross validation

    View Slide

  28. Cross-validation

    View Slide

  29. https://www.kaggle.com/ishansoni/sms-spam-collection-dataset
    Detección de spam

    View Slide

  30. Detección de spam

    View Slide

  31. Detección de spam

    View Slide

  32. Detección de spam

    View Slide

  33. Detección de spam

    View Slide

  34. Detección de fraude

    View Slide

  35. import pandas as pd
    from sklearn.model_selection import train_test_split
    from sklearn.linear_model import LogisticRegression
    from sklearn.metrics import confusion_matrix,accuracy_score
    df = pd.read_csv('payment_fraud.csv')
    print(df.sample(3))
    df = pd.get_dummies(df,columns=['paymentMethod'])
    Y = df['label']
    X = df.drop('label',axis=1)
    X_train,X_test,Y_train,Y_test=train_test_split(X,Y,test_size=0.3)
    clf = LogisticRegression()
    clf.fit(X_train,Y_train)
    Y_pred = clf.predict(X_test)
    print(confusion_matrix(Y_test,Y_pred))
    print("Precision",accuracy_score(Y_test,Y_test))
    Detección de fraude

    View Slide

  36. Detección de fraude

    View Slide

  37. Detección de fraude

    View Slide

  38. Detección de intrusiones
    ● La detección de intrusiones se cataloga principalmente en dos
    categorías:
    ○ Basado en reglas y heurísticas: Genera un numero
    reducido de falsos positivos. Detecta ataques
    conocidos. No funciona correctamente para la
    detección de nuevos ataques.
    ○ Basado en anomalías: Perfila el comportamiento
    normal del sistema. Es capaz de detectar ataques
    nuevos. Puede generar un numero mayor de falsos
    positivos.

    View Slide

  39. Detección de anomalías
    ● ¿Cómo saber si hay una anomalía en su red?
    ○ Exfiltración de datos
    ○ Inicios de sesión atípicos
    ● Observar eventos anómalos es raro, por lo que los
    conjuntos de datos de anomalías son relativamente
    pequeños.
    ● Mejor ajuste: aprendizaje no supervisado

    View Slide

  40. Distribución Gaussiana

    View Slide

  41. Distribución Gaussiana
    ● 1. Seleccionar características que pueden determinar
    que un ejemplo sea anómalo.
    ● 2. Ajustamos los parámetros del modelo.
    ○ Se calculan los parámetros para cada una de
    las características
    ● 3. Dado un nuevo ejemplo, computamos la
    probabilidad p(x)
    ● 4. Si p(x) < epsilon*, lo consideramos una anomalía

    View Slide

  42. Distribución Gaussiana

    View Slide

  43. Distribución Gaussiana

    View Slide

  44. Distribución Gaussiana

    View Slide

  45. Distribución Gaussiana

    View Slide

  46. Distribución Gaussiana

    View Slide

  47. Isolation forest

    View Slide

  48. Isolation forest

    View Slide

  49. A-Detector: un IDS basado en anomalías

    View Slide

  50. A-Detector: un IDS basado en anomalías

    View Slide

  51. A-Detector: un IDS basado en anomalías

    View Slide

  52. https://github.com/bschieche/python-anomaly-detection
    https://nbviewer.jupyter.org/github/bschieche/python-anomaly
    -detection/blob/master/anomaly_detection.ipynb
    https://github.com/albertcthomas/anomaly_detection_lab
    https://github.com/slrbl/Intrusion-and-anomaly-detection-with-
    machine-learning
    Repositorios con ejemplos

    View Slide

  53. Conclusiones

    View Slide

  54. Resources

    View Slide

  55. Resources

    View Slide

  56. Resources

    View Slide

  57. Resources

    View Slide

  58. Resources
    ● https://towardsdatascience.com/machine-learning-for-
    cybersecurity-101-7822b802790b

    View Slide