Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / The analysis of network traffic is a key area for the management of fault-tolerant systems,
since anomalies in network traffic can affect the availability and quality of service (QoS). Intrusion
detection systems in computer networks are used to analyze network traffic in order
to detect attacks and anomalies. The analysis based on anomalies allows attacks detection by
analyzing the behavior of the traffic network. This work proposes an intrusion detection tool
to quickly and effectively detect anomalies in computer networks generated by denial of service
(DoS). The detection algorithm is based on the two-dimensional wavelet transform (2D
Wavelet), a derived method of signal analysis. The wavelet transform is a mathematical tool
with low computational cost that explores the existing information present in the input samples
according to the different levels of the transformation. The proposed algorithm detects anomalies
directly based on the wavelet coefficients, considering threshold techniques. This operation
does not require the reconstruction of the original signal. Experiments were performed using
two databases: a synthetic (DARPA) and another one from data collected at the Federal
University of Santa Maria (UFSM), allowing analysis of the intrusion detection tool under different
scenarios. The wavelets considered for the tests were all from the orthonormal family of
Daubechies: Haar (Db1), Db2, Db4 and Db8 (with 1, 2, 4 and 8 null vanishing moments respectively).
For the DARPA database we obtained a detection rate up to 100% using the Daubechies
wavelet transform Db4, considering normalized wavelet coefficients. For the database collected
at UFSM the detection rate was 95%, again considering Db4 wavelet transform with normalized
wavelet coefficients. / A análise de tráfego de rede é uma área fundamental no gerenciamento de sistemas tolerantes
a falhas, pois anomalias no tráfego de rede podem afetar a disponibilidade e a qualidade do
serviço (QoS). Sistemas detectores de intrusão em redes de computadores são utilizados para
analisar o tráfego de rede com o objetivo de detectar ataques ou anomalias. A análise baseada
em anomalias permite detectar ataques através da análise do comportamento do tráfego de
rede. Este trabalho propõe uma ferramenta de detecção de intrusão rápida e eficaz para detectar
anomalias em redes de computadores geradas por ataques de negação de serviço (DoS).
O algoritmo de detecção é baseado na transformada Wavelet bidimensional (Wavelet 2D), um
método derivado da análise de sinais. A transformada wavelet é uma ferramenta matemática
de baixo custo computacional, que explora as informações presentes nas amostras de entrada
ao longo dos diversos níveis da transformação. O algoritmo proposto detecta anomalias diretamente
nos coeficientes wavelets através de técnicas de corte, não necessitando da reconstrução
do sinal original. Foram realizados experimentos utilizando duas bases de dados: uma sintética
(DARPA), e outra coletada na instituição de ensino (UFSM), permitindo a análise da ferramenta
de detecção de intrusão sob diferentes cenários. As famílias wavelets utilizadas nos testes foram
as wavelets ortonormais de Daubechies: Haar (Db1), Db2, Db4 e Db8 (com 1, 2, 4 e 8 momentos
nulos respectivamente). Para a base de dados DARPA obteve-se uma taxa de detecção de
ataques DoS de até 100% utilizando a wavelet de Daubechies Db4 com os coeficientes wavelets
normalizados, e de 95% para a base de dados da UFSM com a wavelet de Daubechies Db4 com
os coeficientes wavelets normalizados.
Identifer | oai:union.ndltd.org:IBICT/oai:repositorio.ufsm.br:1/5395 |
Date | 08 March 2012 |
Creators | Azevedo, Renato Preigschadt de |
Contributors | Nunes, Raul Ceretta, Gaspary, Luciano Paschoal, Machado, Renato |
Publisher | Universidade Federal de Santa Maria, Programa de Pós-Graduação em Informática, UFSM, BR, Ciência da Computação |
Source Sets | IBICT Brazilian ETDs |
Language | Portuguese |
Detected Language | English |
Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis |
Format | application/pdf |
Source | reponame:Repositório Institucional da UFSM, instname:Universidade Federal de Santa Maria, instacron:UFSM |
Rights | info:eu-repo/semantics/openAccess |
Relation | 100300000007, 400, 300, 300, 300, 300, e2cd0d87-3ff6-4c82-8830-9ca8dea454cc, 2c393cf1-1522-4649-985d-fe3993be1b9a, 5a02ff69-ed06-4e16-8a70-84914a86fe60, fcbb6f8f-ad3d-481a-b5fd-403d42137aaf |
Page generated in 0.0024 seconds