Caracterização de tráfego e detecção de anomalias utilizando a análise de componentes principais e fluxos IP

• Main Author: Gilberto Fernandes Junior
• Other Authors: Mário Lemes Proença Junior .
• Language: Portuguese
• Published: Universidade Estadual de Londrina. Centro de Ciências Exatas. Programa de Pós-Graduação em Ciência da Computação. 2014
• Online Access: http://www.bibliotecadigital.uel.br/document/?code=vtls000189784

Diversas técnicas e métodos distintos têm sido amplamente utilizados na área da detecção de anomalias em redes de computadores. Ataques, invasões ou falhas internas não detectadas de modo veloz e eficaz podem danificar seriamente todo um sistema de rede. Por este motivo, neste trabalho, será apresentado um sistema inteligente para detecção de anomalias baseado na Análise de Componentes Principais (PCA), um método estatístico para redução de dimensionalidade. A abordagem proposta gera um perfil de rede denominado Digital Signature of Network Segment using Flow Analysis (DSNSF), o qual descreve o comportamento normal do tráfego de rede por meio de uma análise de dados históricos extraídos de fluxos IP. Esse perfil é utilizado como um threshold para a detecção de anomalias de volume. O sistema proposto utiliza sete atributos presentes em fluxos IP, tais como bits, pacotes, número de fluxos, endereço IP de origem, endereço IP de destino, Porta TCP/UDP de origem e Porta TCP/UDP de destino, com o objetivo de detectar problemas e, em seguida, fornecer ao administrador de rede informações necessárias para resolvê-los. Com o uso de técnicas de avaliação que utiliza dados de tráfego de redes reais, os resultados indicaram uma previsão de tráfego consistente dos DSNSFs gerados pelo sistema e taxas de falso-positivo promissoras. === Distinct techniques and methods have been widely used in the subject of automatic anomaly detection in computer networks. Attacks, problems and internal failures not early detected may badly harm an entire Network system. For this intention, we propose an autonomous anomaly detection system based on the dimensionality reduction method Principal Component Analysis (PCA). Our approach creates a network profile called Digital Signature of Network Segment using Flow Analysis (DSNSF) that denotes the predicted normal behavior of a network traffic activity through historical data analysis extracted from IP flows. That digital signature is used as a threshold for volume anomaly detection to detect disparities in traffic normal trend. The proposed system uses seven traffic flow attributes, such as bits, packets, number of Flows, source IP address, estination IP address, source TCP/UDP Port and destination TCP/UDP Port, in order to detect problems, and then provide the network administrator necessary information to solve it. Via evaluation techniques performed in this paper using real network traffic data, results showed good traffic prediction by the DSNSF and promissing false-positive rates.