Ontolog as en la gestion de redes basada en pol ticas Leandro Tabares Mart n ltmartin@uci.cu 0 Universidad de las Ciencias Informaticas , La Habana , Cuba 135 142

The main goal of the current work was to create a mechanism for detecting and classifying events coming from the statistical information gathered when operating a computer's network. To achieve this goal we have developed a Web ontology and used HermiT reasoner on the instance of the ontology. The created mechanism allowed to make explicit the classi cation of events raised on the network for applying policies. Resumen El presente trabajo tuvo como objetivo desarrollar un mecanismo que permitiese la deteccion y clasi cacion de eventos a partir de la informacion estad stica que se obtiene al operar una red informatica. Para cumplimentar el objetivo se desarrollo una ontolog a que describe los eventos a detectar en el Lenguaje de Ontolog as Web y se aplico el razonador HermiT sobre la instanciacion de la ontolog a desarrollada. El mecanismo creado permitio explicitar la ocurrencia de los eventos monitoreados en la red y clasi carlos con el n de aplicar pol ticas ante su ocurrencia.

 Reasoning Ontologies Policy-based Network Management -

En su formulacion, un enfoque basado en pol ticas presenta tres elementos basicos: eventos de pol ticas, acciones de pol ticas y reglas de pol ticas. Los eventos de pol ticas representan los estados del sistema que son relevantes en el contexto de los objetivos de negocio y su realizacion operacional. Las acciones de pol ticas son las respuestas deseadas por la organizacion en caso de que ocurra uno o mas eventos de pol ticas. Las reglas de pol ticas son los mecanismos que enlazan los eventos de pol ticas con las acciones de pol ticas [ 2 ].

Un enfoque basado en pol ticas para la gestion tambien puede permitir la separacion de las reglas que gobiernan el funcionamiento de un sistema de la funcionalidad provista por el sistema. Por lo tanto, una gestion basada en pol ticas permite adaptar el comportamiento de un sistema sin refactorizar sus funcionalidades [ 1 ].

Una arquitectura de sistemas basados en pol ticas sencilla pero poderosa fue formulada por [ 10 ] y se ilustra en la gura 1. El Punto de Decision de Pol ticas (PDP) es el modulo donde reside la experticia sobre pol ticas. El PDP utiliza un repositorio que contiene los parametros y estructuras de datos necesarios para que el PDP evalue las pol ticas y pueda realizar decisiones basadas en ellas. El repositorio de pol ticas comunmente se implementa como un directorio que se comunica usando un protocolo de acceso a directorios ligero (LDAP) [ 2 ].

Figura 1. Arquitectura de referencia de pol ticas.

Cada objeto gestionado soporta un agente de pol ticas conocido como punto de aplicacion de pol ticas (PAP). Se disen~a e implementa un PAP por cada objeto gestionado en el sistema basado en pol ticas. El PAP se comunica con el PDP por medio de un protocolo denominado servicio de pol ticas comun abierto (SPCA) [ 4 ]. Sin embargo, segun plantea [ 2 ], la logica dentro de las reglas que soportan las pol ticas deben ir mas alla del simple si-entonces de la logica que permiten las pol ticas basadas en tablas. Una forma de expresar reglas basadas en logica descriptiva es la utilizacion de ontolog as.

Una ontolog a es una especi cacion expl cita y formal de una conceptualizacion compartida [ 7 ]. { Es expl cita porque de ne los conceptos, propiedades, relaciones, funciones, axiomas y restricciones que la componen. { Es formal porque es legible e interpretable por computadoras. { Es una conceptualizacion porque es un modelo abstracto y una vista simplicada de los elementos reales que representa. { Es compartida porque se ha arribado previamente a un consenso sobre la informacion y es aceptada por un grupo de expertos.

Uno de los escenarios mas exitosos de uso de las ontolog as es la Web Semantica [ 9 ]. Las ontolog as en la Web Semantica se expresan en un lenguaje denominado Lenguaje de Ontolog as Web (OWL) basado en logica descriptiva. Debido a que OWL es un lenguaje de ontolog as lo su cientemente completo puede ser usado directamente para especi car informacion sobre la gestion de redes porque presenta la mayor a de los elementos incluidos en los lenguajes de gestion de informacion y, los que no estan incluidos, pueden serlo al extender OWL [ 8 ].

Durante varios an~os la gestion de redes basada en pol ticas ha atra do tanto a la academia como a la industria [ 9 ]. El termino pol tica en el contexto de la gestion de redes signi ca una regla que gobierna la eleccion en el comportamiento de los elementos gestionados [ 9 ]. Existen varios lenguajes para la gestion de pol ticas, entre ellos se encuentra PONDER [ 3 ], que fue especialmente concebido para la gestion de redes basada en pol ticas. Sin embargo, la utilizacion de varios lenguajes de pol ticas puede causar di cultades en la implementacion de sistemas de gestion. Al utilizar ontolog as OWL las pol ticas de gestion de red pueden combinarse en el mismo modelo con la informacion de gestion de red, lo que apunta en una direccion promisoria para la automatizacion de la gestion de redes [ 9 ]. 2

Materiales y metodos

Para la de nicion de reglas se creo una ontolog a que permite aplicar pol ticas en funcion de eventos que se puedan producir en la red y que se describe a continuacion.

DoSAttacksN etwork DisallowedN etworku 2000connectionsP erSecond HotAttacksN umberN etwork DisallowedN etwork u 9phoneN umber:Literal DisallowedN etwork N etwork M ultipleF ailedLoginU ser DisallowedU seru 4f ailedLoginAttempts BlockedU ser DisallowedU ser u 9identif ier:Literal DisallowedU ser U ser DisallowP olicy DisallowedN etwork t DisallowedU ser

Una vista en Protege de las clases correspondientes a ontolog a creada se ilustra en la gura 2.

Para realizar las tareas de razonamiento e inferencia se utilizo el razonador sobre OWL 2 HermiT. HermiT soporta todas las caracter sticas del lenguaje OWL 2 segun el estandar del consorcio de la World Wide Web (W3C), se basa

 Figura 2. Clases de la ontolog a creada.

en calculo hypertableau y soporta un amplio rango de optimizaciones estandares y otras novedosas para mejorar el rendimiento al razonar sobre ontolog as en un ambiente no experimental [ 5 ].

Se decidio emplear un razonador con el objetivo de detectar y clasi car eventos de interes que ocurren en la red a partir de parametros de nidos en la ontolog a. Resulta valido anotar que los parametros de nidos en este trabajo tienen un proposito experimental, estos pueden ser variados en funcion de las necesidades de deteccion y clasi cacion de eventos en una instancia de red espec ca.

Para el desarrollo de la ontolog a propuesta se hizo un analisis de las diferentes metodolog as existentes basado en los criterios propuestos por [ 6 ]. Los resultados de este analisis se ilustran en la tabla 1. Posterior al analisis de diferentes metodolog as para el desarrollo de ontolog as se decidio utilizar METHONTOLOGY ya que recomienda un ciclo de vida, es reutilizable y provee su cientes detalles sobre las tecnicas y actividades empleadas en ella. 3

Resultados y discusion

Luego del disen~o de la parte terminologica (T-BOX) de la ontolog a propuesta se procedio a instanciarla con el n de veri car su consistencia y correcto funcionamiento para el proposito que fue creada. Con este n se crearon en Protege los individuos que se ilustran en las guras 3, 4 y 5. Debe notarse que en esta instaciacion solo se hacen expl citos parametros estad sticos que pueden ser obtenidos a partir de las estad sticas de una red.

A partir de la aplicacion de un razonador sobre la informacion estad stica expl cita descrita en la instanciacion de la ontolog a (A-BOX), se hace expl cita la informacion impl cita que se ilustra en las guras 6, 7 y 8. Al contrastar estas guras con sus correspondientes en las guras 3, 4 y 5 se evidencia que el razonador fue capaz de analizar la informacion expl cita de los individuos, aplicar las

 Figura 3. Individuo que representa a una subred. Figura 4. Individuo que representa a un usuario con multiples intentos de autenticacion fallidos. Figura 5. Individuo que representa a un numero caliente sobre el que se deben realizar acciones. Cuadro 1. Comparacion de las metodolog as analizadas.

Metodolog as TOVE Basada en No

etapas Enterprise model ap- Basada en No proach etapas METHONTOLOGY Prototipo No

evolutivo KBSI IDEF5 Prototipo No

evolutivo Ontolingua Desarrollo S

modular KACTUS Desarrollo No

modular PLINIUS Basada en No

gu as ONIONS Desarrollo No modular basado en gu as Mikrokosmos Basada en No

gu as MENELAS Basada en No

gu as SENSUS No menciona S

preferencias Cyc Prototipo No

evolutivo UPON Prototipo No

evolutivo Metodo 101 Prototipo No

evolutivo On-To-Knowledge Prototipo No

evolutivo reglas de nidas en la ontolog a y clasi car cada tipo de individuo en dependencia del evento que esta siendo objeto de monitorizacion en la red. Al detectar las instancias de los eventos que se observan en la red, el punto de aplicacion de pol ticas (PAP) de nido en la arquitectura es capaz de desencadenar las acciones respectivas a cada tipo de evento.

 Figura 6. Individuo que representa a una subred luego de aplicar un razonador. 141 Figura 7. Individuo que representa a un usuario con multiples intentos de autenticacion fallidos luego de aplicar un razonador. Figura 8. Individuo que representa a un numero caliente sobre el que se deben realizar acciones luego de aplicar un razonador. 142

A partir del analisis realizado se puede concluir que la metodolog a para el desarrollo de ontolog as METHONTOLOGY satisface las necesidades para la creacion de una ontolog a para la deteccion y clasi cacion de eventos en la red. La aplicacion de un razonador compatible con el lenguaje OWL 2 permite hacer expl cita informacion impl cita en simples datos estad sticos recopilados en la red. A partir de la instanciacion de la ontolog a propuesta fue posible detectar eventos producidos en la red y clasi carlos.

En el futuro resulta promisoria la investigacion en el area de la actualizacion incremental de grafos RDF como instanciacion de la ontolog a propuesta. Esto permitira aumentar la e ciencia y e cacia en la deteccion y clasi cacion de los eventos que se producen en la red.

 1. Bandara , A.K. , Lupu , E.C. , Russo , A. : Using event calculus to formalise policy speci cation and analysis . In: Proceedings POLICY 2003. IEEE 4th International Workshop on Policies for Distributed Systems and Networks . pp. 26 { 39 ( June 2003 ) 2. Choudhary , A.R. : Policy-based network management . Bell Labs Technical Journal 9 ( 1 ), 19 { 29 ( 2004 ) 3. Damianou , N. , Dulay , N. , Lupu , E. , Sloman , M.: The Ponder Policy Speci cation Language . In: Sloman, M. , Lupu , E.C. , Lobo , J . (eds.) Policies for Distributed Systems and Networks . pp. 18 { 38 . Springer Berlin Heidelberg, Berlin, Heidelberg ( 2001 ) 4. Durham , D. , Boyle , J. , Cohen, R. , Herzog , S. , Rajan , R. , Sastry , A. : The cops (common open policy service) protocol . Tech. rep. ( 1999 ) 5. Glimm , B. , Horrocks , I. , Motik , B. , Stoilos , G. , Wang , Z. : HermiT: An OWL 2 Reasoner . Journal of Automated Reasoning 53 ( 3 ), 245 {269 (oct 2014 ), https: //doi.org/10.1007/s10817-014-9305-1 6. Iqbal , R. , Murad , M.A.A. , Mustapha , A. , Sharef , N.M.: An analysis of ontology engineering methodologies: A literature review . Research journal of applied sciences, engineering and technology 6 ( 16 ), 2993 { 3000 ( 2013 ) 7. Studer , R. , Richards Benjamins , V. , Fensel , D. : Knowledge engineering: Principles and methods . Data & Knowledge Engineering 25 ( 1-2 ), 161 { 197 ( 1998 ) 8. de Vergara, J.E.L. , Villagra , V.A. , Berrocal , J.: Applying the web ontology language to management information de nitions . IEEE Communications Magazine 42 ( 7 ), 68 { 74 ( July 2004 ) 9. Xiao , D. , Xu , H. : An integration of ontology-based and policy-based network management for automation . In: 2006 International Conference on Computational Inteligence for Modelling Control and Automation and International Conference on Intelligent Agents Web Technologies and International Commerce (CIMCA'06) . pp. 27 { 27 (Nov 2006 ) 10. Yavatkar , R. , Pendarakis , D. , Guerin , R.: A framework for policy-based admission control . Tech. rep. ( 1999 )