Nesta seção são apresentados trabalhos encontrados na literatura, que apresentam soluções para o problema de seleção de características para detecção de intrusão. As abordagens, assim como suas características e principais questões, são descritas com o objetivo de entender como funcionam os métodos envolvidos na seleção de características.
Cabrera et al. (2002) foi apresentada uma abordagem para detecção de ataques do tipo Distri- buted Denial of Service(DDoS). Esta abordagem baseia-se na definição manual de uma variável que serve como pivô para seleção das demais. Esta variável pivô é comparada com as outras disponíveis na forma de pares utilizando o método de causalidade de Granger. O método de causalidade Granger foi utilizado para avaliar a relação de causalidade entre a variável pivô e as demais, propondo uma detecção proativa de intrusões, ou seja, o objetivo é detectar o ataque antes que ele danifique o sistema alvo. A classificação do selecionador neste caso é de filtro.
Em Suebsing e Hiransakolwong (2009) é proposto um método de seleção de variáveis, ba- seado no conceito de filtros. O método utiliza cálculos de similaridade como critério de seleção. Os cálculos utilizados são o distância euclidiana e a medida de similaridade cosseno. A seleção com o cálculo da distância euclidiana é utilizada para detecção por assinatura e a medida de similaridade cosseno é utilizada para detecção de ataques desconhecidos.
Em Nguyen, Franke e Petrovic (2010) é proposto a utilização de um dos métodos mais conhecidos de seleção, o Correlation Feature Selection (CFS). Este método, do tipo filtro, con- sidera a correlação entre as características e as classes de ataques, assim como a inter-correlação entre variáveis. A inter-correlação representa a correlação entre um conjunto de variáveis, sem a utilização de uma variável externa ou dependente. O algoritmo trabalha com a hipótese de que boas variáveis possuem correlação com as classes de ataques, e não possuem correlação com outras variáveis. Quando o número de informações para selecionar é pequeno, o método utiliza força bruta para escolha. Caso contrário, estratégias como heurística e busca aleatória são empregadas.
A proposta apresentada em Mechtri, Djemili Tolba e Ghoualmi (2010) realiza a seleção de variáveis para IDS com base na análise dos componentes principais (Principal Component Analysis- PCA). O método PCA é um dos mais utilizados para redução da dimensão de grandes volumes de dados.
O estudo apresentado por Shankarapani et al. (2010), aborda um método para classificação de código maliciosos que pode levar a ataques automatizados e intrusões por meio de kernel de uma máquina. Para identificação das características de ataques, utiliza métricas de similaridade (SHANKARAPANI et al., 2010) como similaridade cosseno, medida estendida de Jaccard e correlação de Pearson. As características são analisadas por meio destas métricas, uma vez que são medidas populares para medir a similaridade de sequências. Os autores utilizam a média destas medidas para calcular o grau de similaridades entre diferentes ameaças. Sobretudo, o mé-
todo de Correlação de Pearson chama a atenção por ser capaz de analisar a correlação cruzada entre séries temporais. Desta forma, é uma medida interessante para utilização de um avaliador para seleção de características.
Tabela 3.1: Características de Trabalhos Relacionados
A Tabela 3.1 sumariza os trabalhos relacionados comentados, classificando-os de acordo com o tipo de operação, tipo de seleção, foco em redução de conjuntos, medidas de similari- dade e seleção dinâmica. O tipo de operação refere-se à capacidade do selecionador trabalhar de forma automática (sem intervenção humana), semi-automática (com intervenção humana) e manual (seleção totalmente humana). O tipo de seleção está alinhado com a classificação apresentada na Seção 3.2, podendo ser do tipo filtro ou wrapper. O foco em redução aponta se o trabalho está concentrado apenas em selecionar para encontrar um subconjunto menor, mas com todas as características do conjunto original. O parâmetro medidas de similaridade aponta a utilização deste tipo de métrica de avaliação ao selecionar dados. A seleção dinâmica clas- sifica de acordo com a capacidade do selecionador escolher diferentes tipos de conjuntos de variáveis de acordo com variações do conjunto analisado, adaptando-se à possíveis mudanças de comportamento.
Ao analisar a Tabela 3.1 é possível avaliar que em termos de tipo de operação, os trabalhos apresentam-se como automáticos e semiautomáticos. A abordagem automática é importante por não ter intervenção humana, entretanto o tipo semiautomático permite que a escolha dos dados seja assistido, auxiliando o processo de seleção. Já quanto ao tipo de seleção, filtros são predominantes na seleção de dados que serão usados em IDS, por sua característica rápida como discutido na Seção 3.2.2. O foco em redução é importante quando o objetivo é dimi-
nuir o conjunto em um subconjunto equivalente, não sendo adequado à situações onde busca-se encontrar comportamentos implícitos no conjunto original. Em relação às medidas de simila- ridade, pode-se avaliar que este tipo de métrica para seleção torna-se um grande aliado para encontrar comportamento entre variáveis. Quanto a seleção dinâmica, os trabalhos apontados não apresentam este comportamento, de escolha de novos subconjuntos na medida que os dados são analisados, não adaptando-se à mudanças de comportamento entre variáveis.
No Capítulo 4 é apresentado o SDCorr, um método de seleção de variáveis de rede atra- vés de comportamentos de correlação entre os dados, selecionando de forma dinâmica novos subconjuntos de acordo com o processo de análise dos dados disponíveis. Esta característica permite encontrar novas variáveis a cada análise, auxiliando o processo de detecção.