Spelling suggestions: "subject:"detecção dde intrusion"" "subject:"detecção dde extrusão""
31 |
SELEÇÃO DE VARIÁVEIS DE REDE PARA DETECÇÃO DE INTRUSÃO / NETWORK FEATURE SELECTION FOR INTRUSION DETECTIONAlves, Victor Machado 22 October 2012 (has links)
Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Intrusion Detection Systems are considered important mechanisms to ensure protection for
computer networks. However, the information used by these systems should be properly selected,
because the accuracy and performance are sensitive to the quality and size of the analyzed
data. The selection of variables for Intrusion Detection Systems (IDS) is a key point in the
design of IDS. The process of selection of variables, or features, makes the choice of appropriate
information by removing irrelevant data that affect the result of detection. However, existing
approaches to assist IDS select the variables only once, not adapting behavioral changes. The
variation of the network traffic is not so accompanied by these selectors. A strategy for reducing
the false alarm rate based on abnormalities in IDS is evaluating whether a same time interval
abrupt changes occur in more than one variable network. However, this strategy takes as hypothesis
that the variables are related, requiring a prior procedure for variable selection. This
paper proposes a dynamic method of selecting variables for network IDS, called SDCorr (Selection
by Dynamic Correlation), which operates in the mode filter and as an evaluator uses the
Pearson correlation test. The method dynamically adapts to changes in network traffic through
the selection of new variables at each iteration with the detector. Therefore allow track changes
in data and establish relationships between variables. As a result, it improves the accuracy and
performance of the IDS by eliminating unnecessary variables and decreasing the size of the
analyzed data. / Sistemas de Detecção de Intrusão são considerados mecanismos importantes para assegurar
a proteção em redes de computadores. Entretanto as informações utilizadas por estes sistemas
devem estar devidamente selecionadas, pois a precisão e desempenho são sensíveis à qualidade
e dimensão dos dados analisados. A seleção de variáveis para Sistemas de Detecção de Intrusão
(IDS - Intrusion Detection Systems) é assim um ponto chave no projeto de IDS. O processo
de seleção de variáveis, ou de características, realiza a escolha das informações apropriadas
através da remoção de dados irrelevantes que interferem no resultado da detecção. No entanto,
abordagens existentes para auxiliar IDS selecionam as variáveis apenas uma vez, não se adaptando
as mudanças comportamentais. As variações inerentes ao tráfego de rede não são assim
acompanhadas dinamicamente por estes selecionadores. Uma estratégia para reduzir a taxa de
falsos alarmes em IDS baseados em anomalias é avaliar se num mesmo intervalo de tempo
ocorrem mudanças abruptas em mais de uma variável de rede. Porém, esta estratégia assume
como hipótese que as variáveis analisadas são correlacionadas, exigindo um procedimento prévio
de seleção de variáveis. Este trabalho propõe um método dinâmico de seleção de variáveis
para IDS de rede, chamado SDCorr (Seleção Dinâmica por Correlação), que opera na modalidade
de filtro e utiliza como avaliador o teste de correlação de Pearson. O método adapta-se
dinamicamente as variações do tráfego de rede por meio da seleção de novas variáveis a cada
iteração com o detector. Assim, possibilita acompanhar as mudanças nos dados e estabelecer
relações entre variáveis. Como resultado, melhora-se a precisão e desempenho do IDS através
da eliminação de variáveis desnecessárias e da redução da dimensão dos dados analisados.
|
32 |
Detecção de eventos de segurança de redes por intermédio de técnicas estatísticas e associativas aplicadas a fluxos de dadosProto, André [UNESP] 01 August 2011 (has links) (PDF)
Made available in DSpace on 2014-06-11T19:29:40Z (GMT). No. of bitstreams: 0
Previous issue date: 2011-08-01Bitstream added on 2014-06-13T18:59:20Z : No. of bitstreams: 1
proto_a_me_sjrp.pdf: 1013912 bytes, checksum: 6c409f2d9d7693eb241046a3ee776c64 (MD5) / Este trabalho desenvolve e consolida um sistema de identificação e correlação de comportamentos de usuários e serviços em redes de computadores. A definição destes perfis auxiliará a identificação de comportamentos anômalos ao perfil de um grupo de usuários e serviços e a detecção de ataques em redes de computadores. Este sistema possui como estrutura base a utilização do padrão IPFIX – IP Flow Information Export – como exportador de informações sumarizadas de uma rede de computadores. O projeto prevê duas etapas principais: o desenvolvimento de um coletor de fluxos baseado no protocolo NetFlow, formalizado pela Internet Engineering Task Force (IETF) como padrão IPFIX, que acrescente melhorias na sumarização das informações oferecidas, consumindo menor espaço de armazenamento; a utilização de técnicas de mineração de dados estatísticas e associativas para detecção, correlação e classificação de comportamentos e eventos em redes de computadores. Este modelo de sistema mostra-se inovador na análise de fluxos de rede por meio da mineração de dados, empreendendo características importantes aos sistemas de monitoramento e segurança computacional, como escalabilidade de redes de alta velocidade e a detecção rápida de atividades ilícitas, varreduras de rede, intrusão, ataques de negação de serviço e de força bruta, sendo tais eventos considerados como grandes ameaças na Internet. Além disso, possibilita aos administradores de redes um melhor conhecimento do perfil da rede administrada / This work develops and consolidates an identification and correlation system of users and services behaviors on computer networks. The definition about these profiles assists in identifying anomalous behavior for the users and services profile and detecting attacks on computer networks. This system is based on the use of standard IPFIX – IP Flow Information Export – as a summarizing information exporter of a computer network. The project provides two main steps: the development of a flow collector based on the NetFlow protocol, formalized by Internet Engineering Task Force (IETF) as IPFIX standard, which improves the summarization of provided information, resulting in less storage space; the use of data mining association techniques for the detection, correlation and classification of behaviors and events in computer networks. This system model innovates in the analysis through IPFIX flow mining, adding important features to the monitoring of systems and computer security, such as scalability for high speed networks and fast detection of illicit activities, network scan, intrusion, DoS and brute force attacks, which are events considered big threats on the Internet. Also, it enables network administrators to have a better profile of the managed network
|
33 |
APLICANDO A TRANSFORMADA WAVELET BIDIMENSIONAL NA DETECÇÃO DE ATAQUES WEB / APPLYING TWO-DIMENSIONAL WAVELET TRANSFORM FOR THE DETECTION OF WEB ATTACKSMozzaquatro, Bruno Augusti 27 February 2012 (has links)
Conselho Nacional de Desenvolvimento Científico e Tecnológico / With the increase web traffic of comes various threats to the security of web applications.
The threats arise inherent vulnerabilities of web systems, where malicious code or content injection
are the most exploited vulnerabilities in web attacks. The injection vulnerability allows
the attacker to insert information or a program in improper places, causing damage to customers
and organizations. Its property is to change the character frequency distribution of some
requests within a set of web requests. Anomaly-based intrusion detection systems have been
used to break these types of attacks, due to the diversity and complexity found in web attacks.
In this context, this paper proposes a new anomaly based detection algorithm that apply the
two-dimensional wavelet transform for the detection of web attacks. The algorithm eliminates
the need for a training phase (which asks for reliable data) and searches for character frequency
anomalies in a set of web requests, through the analysis in multiple directions and resolutions.
The experiment results demonstrate the feasibility of our technique for detecting web attacks.
After some adjustments on different parameters, the algorithm has obtained detection rates up
to 100%, eliminating the occurrence of false positives. / O aumento do tráfego web vem acompanhado de diversas ameaças para a segurança das
aplicações web. As ameaças são decorrentes das vulnerabilidades inerentes dos sistemas web,
sendo a injeção de código ou conteúdo malicioso uma das vulnerabilidades mais exploradas
em ataques web, pois permite que o atacante insira uma informação ou programa em locais
indevidos, podendo causar danos aos clientes e organizações. Esse tipo de ataque tem sido
caracterizado pela alteração na distribuição da frequência dos caracteres de algumas requisições
dentro de um conjunto de requisições web. Sistemas de detecção de intrusão baseados em
anomalias têm sido usados para procurar conter tais tipos de ataques, principalmente em função
da diversidade e da complexidade dos ataques web. Neste contexto, o trabalho propõe um
novo algoritmo para detecção de anomalias que aplica a transformada wavelet bidimensional
na detecção de ataques web e elimina a necessidade de uma fase de treinamento com dados
confiáveis de difícil obtenção. O algoritmo pesquisa por anomalias nas frequências dos caracteres
de um conjunto de requisições web através da análise em múltiplas direções e resoluções.
Os resultados obtidos nos experimentos demonstraram a viabilidade da técnica para detecção
de ataques web e também que com ajustes entre diferentes parâmetros foram obtidas taxas de
detecção de até 100%, eliminando a ocorrência de falsos positivos.
|
34 |
Um modelo dinâmico de clusterização de dados aplicado na detecção de intrusãoRogério Akiyoshi Furukawa 25 April 2003 (has links)
Atualmente, a segurança computacional vem se tornando cada vez mais necessária devido ao grande crescimento das estatísticas que relatam os crimes computacionais. Uma das ferramentas utilizadas para aumentar o nível de segurança é conhecida como Sistemas de Detecção de Intrusão (SDI). A flexibilidade e usabilidade destes sistemas têm contribuído, consideravelmente, para o aumento da proteção dos ambientes computacionais. Como grande parte das intrusões seguem padrões bem definidos de comportamento em uma rede de computadores, as técnicas de classificação e clusterização de dados tendem a ser muito apropriadas para a obtenção de uma forma eficaz de resolver este tipo de problema. Neste trabalho será apresentado um modelo dinâmico de clusterização baseado em um mecanismo de movimentação dos dados. Apesar de ser uma técnica de clusterização de dados aplicável a qualquer tipo de dados, neste trabalho, este modelo será utilizado para a detecção de intrusão. A técnica apresentada neste trabalho obteve resultados de clusterização comparáveis com técnicas tradicionais. Além disso, a técnica proposta possui algumas vantagens sobre as técnicas tradicionais investigadas, como realização de clusterizações multi-escala e não necessidade de determinação do número inicial de clusters / Nowadays, the computational security is becoming more and more necessary due to the large growth of the statistics that describe computer crimes. One of the tools used to increase the safety level is named Intrusion Detection Systems (IDS). The flexibility and usability of these systems have contributed, considerably, to increase the protection of computational environments. As large part of the intrusions follows behavior patterns very well defined in a computers network, techniques for data classification and clustering tend to be very appropriate to obtain an effective solutions to this problem. In this work, a dynamic clustering model based on a data movement mechanism are presented. In spite of a clustering technique applicable to any data type, in this work, this model will be applied to the detection intrusion. The technique presented in this work obtained clustering results comparable to those obtained by traditional techniques. Besides the proposed technique presents some advantages on the traditional techniques investigated, like multi-resolution clustering and no need to previously know the number of clusters
|
35 |
ABIDS-WSN: UM FRAMEWORK DE DETECÇÃO DE INTRUSÃO EM REDES DE SENSORES SEM FIO ORIENTADO POR AGENTES INTELIGENTES. / ABIDS-WSN: A Framework of Intrusion Detection in Wireless Sensor Networks Driven by Intelligent Agents.PIRES, Higo Fellipe Silva 26 January 2017 (has links)
Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-08-01T14:53:33Z
No. of bitstreams: 1
Higo Felipe.pdf: 3289455 bytes, checksum: 294f49f96fd41d35ca0024df16006292 (MD5) / Made available in DSpace on 2017-08-01T14:53:33Z (GMT). No. of bitstreams: 1
Higo Felipe.pdf: 3289455 bytes, checksum: 294f49f96fd41d35ca0024df16006292 (MD5)
Previous issue date: 2017-01-26 / CAPES / Lately, there has been a significant advance in several technologies directly or indirectly
related to Ubiquitous Computing. Among them, the technology of Wireless Sensor Networks
(WSNs) can be mentioned. Having its space in the current scenario, the use of wireless
sensors extends into various branches of human activity: industrial monitoring, smart
houses, medical and military applications. However, several shortcomings and limitations
in wireless sensors can be noted: limited hardware, energy and computational capacity
are points that are always treated by those who work with such devices. As for these
devices, there is, besides the factors already mentioned, an important concern regarding
their safety. As with other devices, for these threats to be at least mitigated, it is necessary
to create layers of security. One of these layers may be formed by Intrusion Detection
Systems (IDS). However, due to the aforementioned hardware restriction of the sensors,
the development of IDSs - as well as any other application - for such devices should
assume such characteristics. As for IDSs, there are some aspects that need to be taken into
account, especially flexibility, efficiency and adaptability to new situations. A paradigm
that facilitates the implementation of such capabilities is the Intelligent Agents. Therefore,
this paper describes the proposition of a framework for intrusion detection in WSNs based
on intelligent agents. / Ultimamente, houve um avanço significativo em várias tecnologias direta ou indiretamente
correlatas à Computação Ubíqua. Entre elas, pode-se citar a tecnologia das Redes de
Sensores sem Fio (WSN s). Tendo já o seu espaço no atual cenário, o uso dos sensores sem
fio se estende em vários ramos da atividade humana: monitoramento industrial, smart
houses, aplicações médicas e militares. Entretanto, várias deficiências e limitações em
sensores sem fio podem ser notadas: recursos limitados de hardware, energia e capacidade
computacional são pontos a sempre serem tratados por quem trabalha com tais dispositivos.
Quanto a esses dispositivos há, além dos fatores já citados, uma preocupação importante
referente á sua segurança. Assim como em outros dispositivos, para que essas ameaças
sejam, ao menos, mitigadas é necessário criar camadas de segurança. Uma dessas camadas
pode ser formada pelos Sistemas de Detecção de Intrusão (IDS). No entanto, devido à já
mencionada restrição de hardware dos sensores, o desenvolvimento de IDSs bem como
qualquer outra aplicação para esses dispositivos deve supor tais características. No que
se refere, ainda, aos IDSs, há alguns aspectos que devem ser levados em conta, sobretudo
flexibilidade, a eficiência e a capacidade de adaptação a novas situações. Um paradigma
que facilita a implementação de tais capacidades são os Agentes Inteligentes. Sendo assim,
este trabalho descreve a proposta de um framework para detecção de intrusões em WSNs
baseado em agentes inteligentes.
|
36 |
Mitigando Ataques de Negação de Serviço em Infraestruturas de Computação em Nuvem. / Mitigating denial-of-service attacks on infrastructure Cloud computing.MEDEIROS, Gleison de Oliveira 04 September 2014 (has links)
Submitted by Maria Aparecida (cidazen@gmail.com) on 2017-09-04T14:37:04Z
No. of bitstreams: 1
Gleison.pdf: 3054404 bytes, checksum: 11aa5497fadacc31dbe5c2817f241266 (MD5) / Made available in DSpace on 2017-09-04T14:37:04Z (GMT). No. of bitstreams: 1
Gleison.pdf: 3054404 bytes, checksum: 11aa5497fadacc31dbe5c2817f241266 (MD5)
Previous issue date: 2014-09-04 / Cloud computing has been widely used as an ultimate solution for the
growing demands of users of Information Technology services. Concomitant to
the rapid development of this technology, new forms of intrusion (and intruders)
have emerged. In this context, it is proposed in this dissertation, an architecture of
intrusion detection system based on Multi-agent systems associated with the use of
techniques for encryption and digital signature to detect and treat the attempted denial
of service attacks in an Infrastructure Service. The partial results obtained with the
implementation of a prototype are considered satisfactory in view of the performance
presented by the tool. / A Computação em Nuvem tem sido bastante utilizada como uma solução
recente para as demandas crescentes de usuários de serviços de Tecnologia da
Informação. Concomitante ao desenvolvimento acelerado desta tecnologia, novas
formas de intrusão (e de intrusos) acabam emergindo. Nesse contexto, é proposta
nesta dissertação, uma arquitetura de sistema de detecção de intrusão, baseada em
sistemas Multiagentes, associadas ao uso de técnicas de criptografia e assinatura
digital, para detectar e tratar as tentativas de ataques de DoS (Denial of Service) em
uma Infraestrutura de Nuvem IaaS (Infrastructure as a Service). Os resultados parciais
obtidos com a implementação de um protótipo são considerados satisfatórios, tendo
em vista o desempenho apresentado pela ferramenta.
|
37 |
Classificação de anomalias e redução de falsos positivos em sistemas de detecção de intrusão baseados em rede utilizando métodos de agrupamento / Anomalies classification and false positives reduction in network intrusion detection systems using clustering methodsFerreira, Vinícius Oliveira [UNESP] 27 April 2016 (has links)
Submitted by VINÍCIUS OLIVEIRA FERREIRA null (viniciusoliveira@acmesecurity.org) on 2016-05-18T20:29:41Z
No. of bitstreams: 1
Dissertação-mestrado-vinicius-oliveira-biblioteca-final.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5) / Approved for entry into archive by Ana Paula Grisoto (grisotoana@reitoria.unesp.br) on 2016-05-20T16:27:30Z (GMT) No. of bitstreams: 1
ferreira_vo_me_sjrp.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5) / Made available in DSpace on 2016-05-20T16:27:30Z (GMT). No. of bitstreams: 1
ferreira_vo_me_sjrp.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5)
Previous issue date: 2016-04-27 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) / Os Sistemas de Detecção de Intrusão baseados em rede (NIDS) são tradicionalmente divididos em dois tipos de acordo com os métodos de detecção que empregam, a saber: (i) detecção por abuso e (ii) detecção por anomalia. Aqueles que funcionam a partir da detecção de anomalias têm como principal vantagem a capacidade de detectar novos ataques, no entanto, é possível elencar algumas dificuldades com o uso desta metodologia. Na detecção por anomalia, a análise das anomalias detectadas pode se tornar dispendiosa, uma vez que estas geralmente não apresentam informações claras sobre os eventos maliciosos que representam; ainda, NIDSs que se utilizam desta metodologia sofrem com a detecção de altas taxas de falsos positivos. Neste contexto, este trabalho apresenta um modelo para a classificação automatizada das anomalias detectadas por um NIDS. O principal objetivo é a classificação das anomalias detectadas em classes conhecidas de ataques. Com essa classificação pretende-se, além da clara identificação das anomalias, a identificação dos falsos positivos detectados erroneamente pelos NIDSs. Portanto, ao abordar os principais problemas envolvendo a detecção por anomalias, espera-se equipar os analistas de segurança com melhores recursos para suas análises. / Network Intrusion Detection Systems (NIDS) are traditionally divided into two types according to the detection methods they employ, namely (i) misuse detection and (ii) anomaly detection. The main advantage in anomaly detection is its ability to detect new attacks. However, this methodology has some downsides. In anomaly detection, the analysis of the detected anomalies is expensive, since they often have no clear information about the malicious events they represent; also, it suffers with high amounts of false positives
detected. In this context, this work presents a model for automated classification of anomalies detected by an anomaly based NIDS. Our main goal is the classification of the detected anomalies in well-known classes of attacks. By these means, we intend the clear identification of anomalies as well as the identification of false positives erroneously detected by NIDSs. Therefore, by addressing the key issues surrounding anomaly based
detection, our main goal is to equip security analysts with best resources for their analyses.
|
38 |
Detecção adaptativa de anomalias em redes de computadores utilizando técnicas não supervisionadas /Galhardi, Vinícius Vassoler. January 2017 (has links)
Orientador: Adriano Mauro Cansian / Banca: Cesar Augusto Cavalheiro Marcondes / Banca: Leandro Alves Neves / Resumo: Ataques às redes de computadores têm sido cada vez mais constantes e possuem grande capacidade destrutiva. Os sistemas de detecção de intrusão possuem um importante papel na detecção destas ameaças. Dentre estes sistemas, a detecção de anomalias tem sido uma área amplamente explorada devido à possibilidade de detectar ataques até então desconhecidos. Devido à complexidade para a geração de modelos que sejam capazes de descrever o comportamento padrão de um ambiente, técnicas de aprendizagem automática vêm sendo amplamente exploradas. Este trabalho aborda a detecção de ataques a redes de computadores utilizando uma combinação de técnicas de agrupamento. Desse modo, espera-se obter um sistema adaptativo, capaz de encontrar anomalias presentes na rede sem a necessidade de uma etapa de treinamento com dados rotulados. Dado que a taxa de falsos negativos é um dos maiores problemas encontrados na utilização de algoritmos não supervisionados, pretende-se alcançar uma melhora neste quesito através do uso combinado de diferentes técnicas / Abstract: Attacks on computer networks have been constantly increased and have great destructive capacity. Intrusion detection systems have an important role in the detection of these threats. Among these systems, anomaly detection has been widely explored due to the possibility of detecting unknown attacks. These systems are usually built using machine learning techniques due to the complexity of generating models capable of describing the normal behavior of an environment. We aim to addresses the detection of anomalies on computer networks using a combination of clustering techniques. Thus, we expect to achieve an adaptive system, able to find anomalies present in the network without the need of a training step with labeled data. Given that false positive rate is one of the major problems faced when using unsupervised algorithms, we intend to achieve an improvement in this issue with the combined use of different techniques / Mestre
|
39 |
CORRELAÇÃO DE ALERTAS EM UM INTERNET EARLY WARNING SYSTEM / ALERT CORRELATION IN AN INTERNET EARLY WARNING SYSTEMCeolin Junior, Tarcisio 28 February 2014 (has links)
Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Intrusion Detection Systems (IDS) are designed to monitor the computer network infrastructure
against possible attacks by generating security alerts. With the increase of components
connected to computer networks, traditional IDS are not capable of effectively detecting
malicious attacks. This occurs either by the distributed amount of data that traverses the network
or the complexity of the attacks launched against the network. Therefore, the design of
Internet Early Warning Systems (IEWS) enables the early detection of threats in the network,
possibly avoiding eventual damages to the network resources. The IEWS works as a sink that
collects alerts from different sources (for example, from different IDS), centralizing and correlating
information in order to provide a holistic view of the network. This way, the current
dissertation describes an IEWS architecture for correlating alerts from (geographically) spread
out IDS using the Case-Based Reasoning (CBR) technique together with IP Georeferencing.
The results obtained during experiments, which were executed over the implementation of the
developed technique, showed the viability of the technique in reducing false-positives. This
demonstrates the applicability of the proposal as the basis for developing advanced techniques
inside the extended IEWS architecture. / Sistemas de Detecção de Instrução (Intrusion Detection Systems IDS) são projetados
para monitorar possíveis ataques à infraestruturas da rede através da geração de alertas. Com a
crescente quantidade de componentes conectados na rede, os IDS tradicionais não estão sendo
suficientes para a efetiva detecção de ataques maliciosos, tanto pelo volume de dados como
pela crescente complexidade de novos ataques. Nesse sentido, a construção de uma arquitetura
Internet Early Warning Systems (IEWS) possibilita detectar precocemente as ameaças, antes de
causar algum perigo para os recursos da rede. O IEWS funciona como um coletor de diferentes
geradores de alertas, possivelmente IDS, centralizando e correlacionado informações afim
de gerar uma visão holística da rede. Sendo assim, o trabalho tem como objetivo descrever
uma arquitetura IEWS para a correlação de alertas gerados por IDS dispersos geograficamente
utilizando a técnica Case-Based Reasoning (CBR) em conjunto com Georreferenciamento de
endereços IP. Os resultados obtidos nos experimentos, realizados sobre a implementação da técnica
desenvolvida, mostraram a viabilidade da técnica na redução de alertas classificados como
falsos-positivos. Isso demonstra a aplicabilidade da proposta como base para o desenvolvimento
de técnicas mais apuradas de detecção dentro da arquitetura de IEWS estendida.
|
40 |
DETECÇÃO DE ATAQUES DE NEGAÇÃO DE SERVIÇO EM REDES DE COMPUTADORES ATRAVÉS DA TRANSFORMADA WAVELET 2D / A BIDIMENSIONAL WAVELET TRANSFORM BASED ALGORITHM FOR DOS ATTACK DETECTIONAzevedo, Renato Preigschadt de 08 March 2012 (has links)
Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / The analysis of network traffic is a key area for the management of fault-tolerant systems,
since anomalies in network traffic can affect the availability and quality of service (QoS). Intrusion
detection systems in computer networks are used to analyze network traffic in order
to detect attacks and anomalies. The analysis based on anomalies allows attacks detection by
analyzing the behavior of the traffic network. This work proposes an intrusion detection tool
to quickly and effectively detect anomalies in computer networks generated by denial of service
(DoS). The detection algorithm is based on the two-dimensional wavelet transform (2D
Wavelet), a derived method of signal analysis. The wavelet transform is a mathematical tool
with low computational cost that explores the existing information present in the input samples
according to the different levels of the transformation. The proposed algorithm detects anomalies
directly based on the wavelet coefficients, considering threshold techniques. This operation
does not require the reconstruction of the original signal. Experiments were performed using
two databases: a synthetic (DARPA) and another one from data collected at the Federal
University of Santa Maria (UFSM), allowing analysis of the intrusion detection tool under different
scenarios. The wavelets considered for the tests were all from the orthonormal family of
Daubechies: Haar (Db1), Db2, Db4 and Db8 (with 1, 2, 4 and 8 null vanishing moments respectively).
For the DARPA database we obtained a detection rate up to 100% using the Daubechies
wavelet transform Db4, considering normalized wavelet coefficients. For the database collected
at UFSM the detection rate was 95%, again considering Db4 wavelet transform with normalized
wavelet coefficients. / A análise de tráfego de rede é uma área fundamental no gerenciamento de sistemas tolerantes
a falhas, pois anomalias no tráfego de rede podem afetar a disponibilidade e a qualidade do
serviço (QoS). Sistemas detectores de intrusão em redes de computadores são utilizados para
analisar o tráfego de rede com o objetivo de detectar ataques ou anomalias. A análise baseada
em anomalias permite detectar ataques através da análise do comportamento do tráfego de
rede. Este trabalho propõe uma ferramenta de detecção de intrusão rápida e eficaz para detectar
anomalias em redes de computadores geradas por ataques de negação de serviço (DoS).
O algoritmo de detecção é baseado na transformada Wavelet bidimensional (Wavelet 2D), um
método derivado da análise de sinais. A transformada wavelet é uma ferramenta matemática
de baixo custo computacional, que explora as informações presentes nas amostras de entrada
ao longo dos diversos níveis da transformação. O algoritmo proposto detecta anomalias diretamente
nos coeficientes wavelets através de técnicas de corte, não necessitando da reconstrução
do sinal original. Foram realizados experimentos utilizando duas bases de dados: uma sintética
(DARPA), e outra coletada na instituição de ensino (UFSM), permitindo a análise da ferramenta
de detecção de intrusão sob diferentes cenários. As famílias wavelets utilizadas nos testes foram
as wavelets ortonormais de Daubechies: Haar (Db1), Db2, Db4 e Db8 (com 1, 2, 4 e 8 momentos
nulos respectivamente). Para a base de dados DARPA obteve-se uma taxa de detecção de
ataques DoS de até 100% utilizando a wavelet de Daubechies Db4 com os coeficientes wavelets
normalizados, e de 95% para a base de dados da UFSM com a wavelet de Daubechies Db4 com
os coeficientes wavelets normalizados.
|
Page generated in 0.2249 seconds