De acordo com Bhuyan et al. [24], uma fraqueza da detecção baseada em perfil é que as anomalias podem ser introduzidas lentamente em padrões usuais até se tornarem um evento legítimo. O ecossistema apresentado oferece ao administrador informações rele- vantes para ajudar a determinar uma solução para esses problemas. Essas informações são
Capítulo 5. Ecossistema Proposto 90
organizadas em relatórios gráficos e demonstram o uso de recursos de rede no momento em que uma anomalia é detectada. Se esses eventos anômalos forem identificados e inter- rompidos, eles não serão incluídos no conjunto de dados históricos e, consequentemente, não serão incluídos no perfil de tráfego normal. Além disso, esses relatórios ajudarão o administrador da rede a desenvolver novas políticas para reduzir o impacto nos serviços oferecidos aos usuários finais.
5.6
Considerações sobre o capítulo
Criada para atuar no ambiente SDN, a proposta descrita neste capítulo tem como finalidade a identificação e solução das anomalias do tráfego. O ecossistema exposto posiciona-se como uma alternativa frente aos problemas ainda abertos na literatura, como a intervenção humana no processo de detecção de anomalias, o reconhecimento de padrões não usuais do tráfego em tempo real e a mitigação das consequências desses eventos.
Para atingir os objetivos pretendidos, o ecossistema realiza o monitoramento constante da rede e detecta eventos anômalos de acordo com diferenças comportamentais do tráfego, baseado no perfil normal previamente estabelecido. Isso permite que o pro- cesso de detecção se ajuste automaticamente ao comportamento da rede e não necessite da interposição do gerente. Além de retirar da gerência a complexidade decorrente do mo- nitoramento, detecção e mitigação dos problemas de rede, torna a execução dessas tarefas mais rápida e permite a exclusão do erro proveniente da intervenção humana.
O ecossistema é formado por um conjunto de módulos que atua diretamente com o plano de controle da rede, instruindo-o quanto ao encaminhamento das informações no plano de dados. A atuação conjunta dos módulos fornece mecanismos necessários para se manter uma visão consistente sobre o estado da rede. Além disso, essa estrutura modular permite que módulos inteiros do ecossistema possam ser alterados sem afetar as demais funcionalidades. Essa propriedade confere ao ecossistema flexibilidade e facilidade de manutenção.
O próximo capítulo aborda a avaliação do ecossistema durante a detecção e mitigação de anomalias. A modularidade também é melhor explorada, uma vez que diversos métodos de detecção são confrontados, além da alteração do módulo responsável pela coleta do tráfego.
91
6 Resultados
Para validar a solução proposta, quatro cenários de teste foram criados. Cada um deles possui um objetivo específico e distingue-se dos demais pelas diferentes caracte- rísticas avaliadas. No primeiro cenário é verificada a eficiência das abordagens tanto para detecção quanto para mitigação de anomalias. Para que isso fosse realizado, os módulos desenvolvidos foram incorporados ao controlador POX. Ainda nesse cenário, a aborda- gem de detecção é comparada com outras técnicas de mesmo propósito. O segundo cenário analisa o uso de recursos de hardware durante a execução dos módulos que compõem a proposta. O cenário seguinte realiza uma avaliação semelhante ao primeiro cenário, entre- tanto é utilizado o controlador Floodlight. Finalmente, o quarto cenário avalia a solução proposta em um ambiente de rede em que o monitoramento do tráfego é realizado em intervalos de 15 segundos. Os cenários estão descritos na Tabela 6.1.
Tabela 6.1 – Descrição dos objetivos em cada cenários de testes.
Cenário Controlador Objetivo 1
POX
Detectar e mitigar anomalias no tráfego de rede 2 Avaliar o uso do hardware durante a execução da
solução proposta 3
Floodlight
Avaliar o sistema de detecção em ambiente com controlador Floodlight
4 Estudo da proposta em um ambiente com monitoramento do tráfego em intervalos de 15 segundos
Os experimentos conduzidos nos cenários de testes foram realizados no emu- lador de redes Mininet1, o qual permite a criação de redes compostas por hosts virtuais,
switches, controladores e enlaces. A escolha por esse emulador foi decidida por alguns
fatores. O primeiro é o de que é um software de código aberto que conta com uma co- munidade ativa e atualizações constantes. Outro fator que contribuiu para sua utilização nos testes é que, desde sua criação, o Mininet recebeu significativo esforço para suportar as tecnologias, como o protocolo OpenFlow e diversos controladores. Aplicações desenvol- vidas no Mininet podem ser implantadas em um ambiente real com pouca ou nenhuma alteração. Isso só é conseguido porque ele permite que diversos aspectos da rede possam ser configurados e monitorados em tempo real. Por fim, ele já é considerado um padrão
de facto para o ensino, pesquisa e desenvolvimento da SDN.
A metodologia assumida neste trabalho cria um perfil normal com base no
Capítulo 6. Resultados 92
tráfego histórico. Dessa maneira, a ferramenta Scapy2 foi utilizada para a criação de todo
o tráfego legítimo usado nos testes, incluindo o tráfego histórico. Scapy propicia a geração, envio e decodificação de pacotes de vários tipos de protocolos. É possível forjar pacotes incluindo informações das camadas de enlace, rede, transporte e o próprio conteúdo do pacote.
Com o intuito de tornar os cenários mais realistas e confiáveis, o tráfego gerado pela ferramenta Scapy foi criado considerando as sugestões propostas por [14]. O tráfego normal criado e transmitido nos testes foi composto por aproximadamente 85% de fluxos TCP, 10% UDP e 5% ICMP (Internet Control Message Protocol). A taxa de transmissão de pacotes seguiu uma distribuição de Poisson, enquanto o tamanho do pacote e a taxa de tráfego gerado obedeceram a uma distribuição uniforme. A intensidade do tráfego foi ajustada para que seu comportamento se assemelhasse ao tráfego de uma rede de um campus universitário. Assim, em intervalos de maior atividade como das 7 às 22 horas, o volume do tráfego foi acentuado, como mostrado na Figura 5.5.
A próxima seção apresenta os conceitos e métricas utilizadas para mensurar a eficiência da proposta. Posteriormente, é detalhado como a avaliação foi realizada em cada um dos cenários, seguida dos respectivos resultados.