Um Sistema de Detecção de Ameaças Distribuídas de Rede baseado em Aprendizagem por Grafos
Resumo
O aumento de dispositivos conectados à Internet das Coisas resulta em ataques de exploração de vulnerabilidades em escalas inimagináveis. Portanto, detectar com eficiência varredura de portas e ataques distribuídos de negação de serviço torna-se essencial. Este artigo propõe um sistema de detecção, em linha (online), de ameaças distribuídas de rede baseado em aprendizagem enriquecida por grafos. Diferentes métricas são extraídas a partir de uma análise por grafos em janelas de tempo, que são incorporadas às características originais de fluxos antes de serem pré-processadas. O sistema proposto é avaliado através de dois conjuntos de dados de tráfego: tráfego real de uma operadora de rede brasileira e tráfego sintético produzido em laboratório. Os resultados mostram que o enriquecimento pela análise de grafos melhorou em até 15,7% a acurácia de detecção. Em alguns cenários, utilizar somente as características inferidas por grafos reduziu o número de falsos negativos em até 1430 vezes.
Referências
Andreoni Lopez, M., Sanz, I. J., Menezes, D. M., Duarte, O. C. M. B., and Pujolle, G. (2017a). CATRACA: uma Ferramenta para Classicação e Análise Tráfego Escalável In Salão de Ferramentas do XVII Simpósio Baseada em Processamento por Fluxo. Brasileiro de Segurança da Informação e de Sistemas Computacionais SBSeg’2017, pages 788–795.
Andreoni Lopez, M., Silva, R. S., Alvarenga, I. D., Rebello, G. A. F., Sanz, I. J., Lobato, A. G. P., Mattos, D. M. F., Duarte, O. C. M. B., and Pujolle, G. (2017b). Collecting and Characterizing a Real Broadband Access Network Trafc Dataset. In IEEE/IFIP 1st Cyber Security in Networking Conference (CSNet’17), Rio de Janeiro, Brazil.
Buczak, A. and Guven, E. (2015). A survey of data mining and machine learning IEEE Communications Surveys Tumethods for cyber security intrusion detection. torials, (99):1–26.
Chowdhury, S., Khanzadeh, M., Akula, R., Zhang, F., Zhang, S., Medal, H., Marufuzzaman, M., and Bian, L. (2017). Botnet detection using graph-based feature clustering. Journal of Big Data, 4(1):14.
Iliofotou, M., Kim, H.-c., Faloutsos, M., Mitzenmacher, M., Pappu, P., and Varghese, G. (2011). Graption: A graph-based P2P trafc classication framework for the internet backbone. Computer Networks, 55(8):1909–1920.
Karagiannis, T., Papagiannaki, K., and Faloutsos, M. (2005). BLINC: multilevel trafc classication in the dark. In ACM SIGCOMM Computer Communication Review, volume 35, pages 229–240. ACM.
Kolias, C., Kambourakis, G., Stavrou, A., and Voas, J. (2017). DDoS in the IoT: Mirai and other botnets. Computer, 50(7):80–84.
Lakhina, A., Crovella, M., and Diot, C. (2005). Mining anomalies using trafc feature distributions. In ACM SIGCOMM Computer Communication Review, volume 35, pages 217–228. ACM.
Liu, L., Saha, S., Torres, R., Xu, J., Tan, P.-N., Nucci, A., and Mellia, M. (2014). Detecting malicious clients in ISP networks using HTTP connectivity graph and ow information. In IEEE/ACM International Conference on Advances in Social Networks Analysis and Mining (ASONAM), pages 150–157. IEEE.
Lobato, A. G. P., Andreoni Lopez, M., and Duarte, O. C. M. B. (2016). Um sistema acurado de detecção de ameaças em tempo real por processamento de uxos. In XXXIV Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos-SBRC’2016, Salvador, Bahia.
Lobato, A. G. P., Andreoni Lopez, M., Rebello, G. A. F., and Duarte, O. C. M. B. (2017). Um Sistema Adaptativo de Detecção e Reação a Ameaças. In Anais do XVII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais SBSeg’17, pages 400–413.
Nguyen, T. T. and Armitage, G. (2008). A survey of techniques for internet trafc classication using machine learning. Commun. Surveys Tuts., 10(4):56–76.
Sanz, J. I., Andreoni Lopez, M. E., Mattos, D. M. F., and Duarte, O. C. M. B. (2017). A Cooperation-Aware Virtual Network Function for Proactive Detection of Distributed Port Scanning. In IEEE/IFIP 1st Cyber Security in Networking Conference (CSNet’17).
