Um modelo para detecção de anomalias que utiliza o método de previsão Holt-Winters e análise hepta-dimensional de fluxos IP

• Main Author: Marcos Vinicius Oliveira de Assis
• Other Authors: Mário Lemes Proença Junior .
• Language: Portuguese
• Published: Universidade Estadual de Londrina. Programa de Pós-Graduação em Ciência da Computação. 2014
• Online Access: http://www.bibliotecadigital.uel.br/document/?code=vtls000189748

Devido à crescente necessidade de maior agilidade nos processos de troca de informação, as redes de computadores estão constantemente se expandindo tanto em magnitude quanto na complexidade de seu gerenciamento. Um componente essencial destes processos é a detecção e identificação de anomalias. Embora existam diversos estudos nessa área, mecanismos de detecção de anomalias simples e eficientes ainda são necessários devido à escassez de abordagens adequadas a ambientes de rede de larga escala. Neste trabalho, é apresentado um sistema de detecção de anomalias que utiliza uma análise hepta-dimensional de fluxos IP por meio dos atributos: bits/s, pacotes/s, fluxos/s, endereços IP de origem e destino e portas de origem e destino. A base deste sistema é composta pelo método Holt-Winters for Digital Signature (HWDS), uma versão aprimorada do tradicional método Holt-Winters, o qual caracteriza o tráfego de cada uma das dimensões analisadas como forma de gerar assinaturas capazes de descrever o comportamento normal da rede, aqui denominado Digital Signature of Network Segment using Flow analysis (DSNSF). A baixa complexidade computacional da abordagem apresentada permite detecções mais rápidas de anomalias, mitigando o impacto causado em usuários finais. O sistema não apenas avisa ao administrador de redes sobre o problema, mas também provê informações importantes para identificá-lo e resolvê-lo. Para se mensurar a eficiência e precisão do sistema, diferentes cenários de testes foram analisados. === Due to the increasingly need of more agility in information exchange, computer networks are continuously expanding both in magnitude and complexity of the management processes. An essential component of these processes is the anomaly detection and identification. Although there are several studies in this area, simple and efficient anomaly detection mechanisms are still required due to the lack of suitable approaches for large-scale network environments. In this research, we present an anomaly detection system using a seven-dimensional IP flow analysis through the attributes: bits/s, packets/s, flows/s, IP addresses of origin and destination and ports of origin and destination. The core of this system is composed by the Holt-Winters for Digital Signature (HWDS) method, an improvement of the traditional Holt-Winters, which characterizes the traffic of each one of the analyzed dimensions in order to generate profiles able to describe the network's normal behavior, here called Digital Signature of Network Segment using Flow analysis (DSNSF). The low complexity of the presented approach enables fast anomaly detection, mitigating the impact on final users. The system not only warns the network administrator about the problem, but also provides the necessary information to identify and solve it. To measure the efficiency and accuracy of the system, several different test scenarios were analyzed.