Informações:

Publicações do PESC

Título
Identificação de Anomalias em Fluxos de Rede Utilizando Previsões em Séries Temporais pelo Método de Holt-Winters
Linha de pesquisa
Redes de Computadores
Tipo de publicação
Dissertação de Mestrado
Número de registro
Data da defesa
22/9/2015
Resumo
A área de segurança de redes de computadores apresenta atualmente diversos desafios. Com o avanço das tecnologias de telecomunicações e a popularização da Internet, vem crescendo rapidamente a quantidade de tráfego gerado a partir de aplicações mau intencionadas, ameaçando o funcionamento das redes envolvidas como um todo e colocando em risco os usuários. Em princípio, através da observação dos padrões de tráfego na rede, é possível identificar anomalias geradas por fluxos relacionados a objetivos maliciosos. Com o intuito de auxiliar os gerentes das redes a prover uma maior segurança aos seus usuários, esta dissertação apresenta uma proposta de técnica para a detecção e classificação de anomalias em fluxos de rede, com suas respectivas implementação e avaliação. A metodologia proposta consiste da coleta dos fluxos que passam pela borda da rede, para classifica-los em quatro categorias. A partir dessa classificação, são definidas métricas relacionadas ao comportamento da rede. Através de medidas empíricas das métricas definidas, a técnica de análise utilizada consiste na construção de séries temporais, e da comparação dos valores medidos e de previsões obtidas com o modelo de Holt-Winters.   Uma implementação desta metodologia foi construída e testada num ambiente real, utilizando dados coletados a partir do tráfego passando pelos roteadores de borda da Rede-Rio de Computadores. Através dessa coleta, o método aqui proposto foi capaz de detectar anomalias relacionadas a varreduras de porta e ataques de negação de serviço mais populares. Os resultados obtidos demonstram a viabilidade de utilização da proposta apresentada para a detecção de anomalias relacionadas a fluxos maliciosos em redes. A técnica proposta foi implementada no servidor IPTRAF, localizado do laboratório Ravel e vem sendo testada como ferramenta de apoio às tarefas de gerência da Rede-Rio.
Abstract
The area of computer networks security presents several challenges currently. With the advance of the telecommunication technologies and the popularity of the Internet, the amount of traffic originated from bad intentioned applications has been rapidly growing, threatening operation of the related networks as a whole and placing a risk situation to the users. In principle, through the observation of network traffic patterns, it is possible to identify anomalies generated by flows related to malicious objectives. In order to help network managers to provide better security to their users, this dissertation presentes a technique proposal for the detection and classification of anomalies in network flows, with their respective implementation and evaluation. The proposed methodology consists of collecting the flows passing through the border of the network, classifying them into four categories. From such a classification, metrics related to network the behavior are defined, in order to identify possible anomalies in the traffic patterns. Through empirical measurements of the defined metrics, the analysis technique utilised consists of the construction of time series, for comparing the values acquired from measurements with predictions obtained by using the Holt-Winters model.   An implementation of this methodology has been built and tested in a real environment, using collected data captured from the traffic passing through the edge routers of {\sl Rede-Rio de Computadores}. Through this capture, the proposed method was able to detect anomalies related to the most popular port scans and denial of service attacks. The obtained results have demonstrated the viability of the suggested methodology for the detection of anomalies related to malicious flows in computer networks. The proposed technique was implemented in the IPTRAF server, located in the Ravel laboratory and has been tested as a supporting toll to the management tasks of Rede-Rio.
Topo