Uma metodologia para caracterização do tráfego de redes de computadores: uma aplicação em detecção de anomalias

• Main Author: Adriana Cristina Ferrari dos Santos
• Other Authors: José Demisio Simões da Silva
• Language: Portuguese
• Published: Instituto Nacional de Pesquisas Espaciais 2011
• Online Access: http://urlib.net/sid.inpe.br/mtc-m19/2011/02.15.17.55

Os métodos de detecção de intrusos baseados em anomalias modelam o comportamento padrão do tráfego de rede e identificam anomalias como sendo os desvios do modelo de comportamento mapeado. A modelagem do comportamento do tráfego requer a análise de grandes volumes de dados para extração do conhecimento sobre as particularidades de cada ambiente de rede, considerando os serviços fornecidos, a quantidade de usuários, os acessos aos serviços efetuados ao longo do dia, entre outros. Além do tempo de processamento de grandes conjuntos, a modelagem deve ter mais cuidado e mais atenção, neste campo de pesquisa, com o consiste do número elevado de alarmes falsos gerados por este tipo de método. Para melhorar a precisão dos resultados de detecção, o comportamento da rede deve ser adequadamente mapeado e constantemente atualizado para contemplar as mudanças ocorridas no ambiente. Outro aspecto a considerar é o tamanho da base de conhecimento do modelo padrão do tráfego que, certamente, afeta o tempo de treinamento do classificador. Como contribuição nesta área, foi desenvolvida a metodologia TRAFCIN (\textit{network Traffic Characterization on Computational INteligence}) que descreve uma combinação de técnicas e procedimentos para caracterizar o comportamento do tráfego padrão de rede através de técnicas de inteligência computacional, que possa se tornar uma referência para atividades de detecção de anomalias em ambientes de redes operacionais. Nos testes realizados para avaliação da metodologia, a detecção de anomalias foi alcançada pela caracterização do tráfego de rede através de técnicas e abordagens adotadas para extração do conhecimento e redução da base de dados mantendo a expressividade da informação, observando taxas pequenas de alarmes falsos. === The methods of intrusion detection based on anomalies model the default behavior of network traffic and identify anomalies as deviations from the behavior model mapped. The modeling of traffic behavior requires the analysis of large datasets to extract knowledge about the particularities of each network environment, considering the services provided, number of users, and access to services performed during the day, among others. Besides the processing time for large sets, the modeling must exercise greater care and concern in this search field with the high number of false alarms generated by this type of method. To improve the accuracy of the results of detection, network behavior must be properly mapped and constantly updated to include the changes in the environment. Another aspect to consider is the size of the knowledge base of the standard model of traffic which certainly affects the training time of the classifier. As a contribution in this area, we developed the methodology TRAFCIN (network Traffic Characterization on Computational INteligence) describing a combination of techniques and procedures to characterize the behavior of network traffic using techniques from computational intelligence, which can become a reference for activities to detect anomalies in network operating environments. In tests conducted to evaluate the methodology, anomaly detection was achieved by the characterization of network traffic through the clustering technique adopted for knowledge extraction and reduction of the database while retaining the expressiveness of information, observing small rates of false alarms.