| Summary: | Coordenação de Aperfeiçoamento de Pessoal de Nível Superior === Attacks on computer networks compromises the security of the system and degrade
the performance of the network causing problems to users and organizations. Networkbased
Intrusion Detection Systems are used to detect attacks or malicious activity by
analyzing the network traffic. The anomaly-based detection approach is used for intrusion
detection. It is assumed that the presence of traffic anomalies, deviations from
standard behavior, is indicative of an attack or malfunction. A major difficulty of an
anomaly-based Intrusion Detection System is the construction of the profile due to the
complexity of network traffic. Methods derived from Signal Analysis, among which, the
Wavelet Transform, have recently demonstrated applicability in detecting anomalies in
network. This work proposes a new wavelet-based mechanism to detect network intrusions,
through the analysis of descriptors of traffic. The mechanism proposed is based on
Discrete Wavelet Transform of signal formed from the traffic descriptors, the calculation
of thresholds and direct analysis of wavelet coefficients for detection of anomalies. We
assume that an attack generates an anomaly (change) in the traffic pattern, visible in the
wavelet coefficients. The detection mechanism is generic, to work with different descriptors,
and has low computational complexity, which enhances the real-time analysis. In the
experiments, the mechanism demonstrated good detection rate of attacks with few false
positives and low processing time. === Ataques em redes de computadores comprometem a segurança do sistema e degradam
o desempenho da rede causando prejuízos aos usuários e às organizações. Sistemas Detectores
de Intrusões de Rede são usados para a detecção de ataques ou outras atividades
maliciosas por meio da análise do tráfego. A detecção de anomalias é uma abordagem
de análise usada na detecção de intrusão onde se assume que a presença de anomalias no
tráfego, desvios em relação a um comportamento padrão, é indicativo de um ataque ou
defeito. Uma das principais dificuldades dos Sistemas de Detecção de Intrusão de Rede
baseados em anomalias está na construção do perfil devido à complexidade do tráfego de
rede. Métodos derivados da Análise de Sinais, dentre os quais, a Transformada Wavelet,
têm recentemente demonstrado aplicabilidade na detecção de anomalias de rede. Neste
trabalho propõe-se um novo mecanismo baseado em wavelets para a detecção de intrusões
de rede, por meio da análise dos descritores do tráfego. O mecanismo de análise proposto
é baseado na Transformada Wavelet Discreta de Daubechies do sinal formado a partir dos
descritores do tráfego, o cálculo de thresholds e análise direta dos coeficientes wavelet
para a indicação de anomalias. Assume-se que um ataque gera uma anomalia (alteração)
no padrão de tráfego, perceptível nos coeficientes wavelet. O mecanismo de detecção é
genérico, para trabalhar com diferentes descritores, e apresenta baixa complexidade computacional,
o que potencializa a análise em tempo real. Nos experimentos, o mecanismo
demonstrou boa taxa de detecção de ataques, com poucos falsos positivos e baixo custo
de processamento.
|
|---|
