Detecção de anomalias utilizando assinatura digital de segmento de rede

• Main Author: Moisés Fernando Lima
• Other Authors: Mário Lemes Proença Junior .
• Language: Portuguese
• Published: Universidade Estadual de Londrina. Centro de Ciências Exatas. Programa de Pós-Graduação em Ciência da Computação. 2011
• Online Access: http://www.bibliotecadigital.uel.br/document/?code=vtls000162825

A detecção de anomalias em redes caracteriza-se pela busca de comportamentos incomuns no tráfego, que possam vir a comprometer a segurança, o desempenho e a integridade das informações. Consiste de um problema importante e difícil que tem sido tratado dentro de diversos domínios e áreas de pesquisa, destacando-se principalmente a estatística, aprendizagem de máquina e mineração de dados, dentre outras tais como teoria da informação e teoria espectral. Neste trabalho é realizada uma revisão da literatura sobre as técnicas recentemente utilizadas na detecção de anomalias, a fim de criar um embasamento para o desenvolvimento de um Sistema de Detecção de Anomalias (SDA). Deste modo, foi desenvolvido um sistema baseado em uma técnica heurística que analisa dados de tráfego coletados da MIB através do protocolo SNMP. O sistema é baseado na utilização de três modelos, o primeiro é o algoritmo de clusterização K-means que consiste de um método de análise de clusters e classificação de dados. O segundo método denominado Particle Swarm Optimization (PSO), classificado como um algoritmo evolucionário, consiste de uma ferramenta heurística de otimização numérica altamente eficiente, com baixa complexidade computacional e capacidade de escapar de ótimos locais. O terceiro modelo denominado Assinatura Digital de Segmento de Rede (DSNS), caracteriza-se pela criação de perfis de comportamento normal de tráfego de rede, gerado pela ferramenta de Gerenciamento de Backbone Automatizado (GBA), com base em dados históricos da rede. Da combinação das técnicas PSO e K-means deu-se origem o algoritmo denominado PSO-Cls, o qual é a base do SDA desenvolvido. A fim de avaliar a qualidade do sistema desenvolvido, foram realizados diferentes experimentos sob a perspectiva de diferentes cenários. Também foram realizados estudos a respeito da complexidade e otimização dos parâmetros do PSO-Cls. Foram utilizados nos experimentos dados reais coletados na rede da Universidade Estadual de Londrina. A fim de comparar os resultados obtidos pelo sistema desenvolvido foram implementados dois SDA’s,um baseado em algoritmo determinístico e outro baseado na Análise de Componentes Principais(do inglês Principal Component Analysis, PCA). Finalmente, os resultados obtidos através dos experimentos são apresentados e discutidos. === The anomaly detection in networks is characterized by the unsual behaviors presented in the network traffic and may compromise the security, the network performance and the information integrity. It consists of an important problem that has been treated in various domains and research areas, emphasizing mainly statistical, machine learning and data mining, among others, such as information theory and spectral theory. In this work a review of current literature and recent techniques used in anomaly detection in order to create a foundation for developing an anomaly detection system (SDA). Thus, a system was developed based on a heuristic technique that analyzes traffic collected from the MIB using the SNMP protocol. The system is based on the use of three models, the first is the clustering algorithm K-means which consists of a method of cluster analysis and data classification. The second method called Particle Swarm Optimization (PSO), classified as an evolutionary algorithm, consist in a heuristic tool of a highly efficient numerical optimization with low computational complexity and ability to escape local optima. The third model called the Digital Signature of Network Segment (DSNS), characterized by building profiles of normal behavior of network traffic generated by the tool Automatic Backbone Management (GBA), based on historical data from the network. The combination of techniques PSO and K-means, the algorithm called PSO-Cls was constructed, which is the basis of the SDA developed. To assess the quality of the developed system, several experiments were conducted from the perspective of different scenarios. Were also conducted studies regarding the complexity and optimization oft he parameters of PSO-Cls. Were used in the experiments real data collected on the network of State University of Londrina. In order to compare the results obtained by the developed system were also implemented an ADS based on a deterministic algorithm, and one based on Principal Component Analysis (PCA). Finally, the results obtained from the experiments a represented and discussed.