Síntese dos resultados da fase de testes

A Tabela 5.20 demonstra a eficácia do método com resultados expressivos, os quais apresentam uma redução dos falsos alarmes na maioria dos testes, com exceção do ata- que UDP Flood quando utilizada a versão otimizada e a base de dados CTU-13, no qual houve um pequeno incremento da taxa de FP. Com os resultados é possível concluir tam- bém que o método otimizado do TRAFFICbyAQR alcançou em todas as bases de dados um incremento na acurácia e precisão do método, porém, não obstante a isso, a generaliza- ção dos parâmetros empregada na primeira versão obteve excelentes índices de acurácia. Tabela 5.20 – Síntese dos resultados dos estudos de caso TRAFFICbyAQR

5.6 CONSIDERAÇÕES FINAIS

Neste capítulo os experimentos apresentados foram projetados para avaliar a ca- pacidade de detecção de ataques DDoS do método TRAFFICbyAQR. Para isso, foram realizados diversos experimentos com as bases de dados (CAIDA, UCLA e CTU-13) apre- sentadas. Na sequência do capítulo são apresentados os resultados da primeira versão do método, com a utilização de parâmetros da AQR referenciados de outros trabalhos.

Com a finalidade de obter parâmetros que caracterizassem um ataque DDoS e as especificidades do método TRAFFICbyAQR, foram realizados experimentos com a fi- nalidade de definir diversos parâmetros fundamentais para a AQR, tais como o Raio da Vizinhança, as MQRs relevantes e outros. Para isso foi utilizado tráfego de rede normal e com ataque DDoS das diversas bases de dados citadas, visando a consolidação dos pa- râmetros mais adequados ao sistema e a calibragem dos limitadores das diversas MQRs selecionadas. Com isso, todos os parâmetros determinados são exclusivamente da ver- são otimizada do TRAFFICbyAQR para detecção de DDoS, com exceção dos atributos estatísticos das STs que foram adaptados de (KARIMAZAD; FARAAHI, 2011)(OO; PHYU, 2013)(OO; PHYU, 2014).

Os resultados dos testes realizados com as bases apresentadas demonstraram incremento na acurácia para a detecção de ataques DDoS em redes de computadores, onde foi obtida uma taxa de detecção de ataques DDoS de até 100% para a Base de Dados CTU-13 e nos ataques sintéticos com a ferramenta T50.

Deste modo, pelos experimentos realizados, observou-se que a taxa de detecção de ataques DDoS obtida pelo algoritmo proposto nesta dissertação é eficaz para o objetivo a que se destina.

A eficácia de métodos de detecção de DDoS baseados em análise de anomalias tem sido um desafio para projetistas de algoritmos de detecção. O uso de Análise da Quantificação da Recorrência é pouco explorado no contexto de detecção de anomalias no tráfego de rede.

Neste trabalho, foi explorado em profundidade o uso da AQR baseada na extração de características dinâmicas (MQRs) para a detecção de ataques DDoS, evitando obser- vações apenas visuais dos Gráficos da Recorrência e análises estatísticas tradicionais de séries temporais. Essa análise baseia-se nos limiares (Thresholds) das Medidas de Quan- tificação da Recorrência (MQRs) para o tráfego considerado normal e na Clusterização Adaptativa, a qual calcula automaticamente o número de clusters necessários para formar o agrupamento de comparação com os limitadores definidos na fase de treinamento.

O trabalho demonstrou que a partir de atributos que caracterizam DDoS (sete cole- tados a partir do tráfego de rede) é possível extrair características dinâmicas da recorrên- cia, e que a análise destas permite incrementar a acurácia da detecção de DDoS. Salienta- se que a análise da recorrência ao permitir uma avaliação do tráfego num outro domínio, o de comportamento dinâmico da recorrência, possibilita sobrepor a influência negativa de variabilidades nos atributos do tráfego que poderiam levar a detecções errôneas.

Os experimentos demonstraram que a utilização da AQR incrementa a acurácia na identificação de ataques DDoS. Quando avaliado o benefício de classificar características dinâmicas de recorrência ao invés de classificar atributos de tráfego (avaliação dos classifi- cadores com e sem a AQR), observa-se incrementos de até 12,59% na acurácia da detec- ção. Este resultado está associado a significativo incremento nos verdadeiros positivos e decremento nos falsos positivos. Isso se deve ao método que, em tráfego aparentemente sem variações bruscas, permite observar mudanças nos padrões comportamentais da re- corrência e, em tráfego com variações bruscas não oriundas de ataques, permite observar regularidade nesse comportamento.

Na fase de treinamento o algoritmo TRAFFICbyAQR foi otimizado com a definição de vários parâmetros utilizados na primeira versão, obtendo-se um incremento na acurácia do método que chegou a quase 4% quando comparado com a base de dados UCLA e utilizada a ferramenta T50 para injetar ataques DDoS. Também houve um decréscimo na taxa de Falsos Positivos que chegou a 3,08% quando injetados ataques DDoS sintéticos e na comparação com a base de dados UCLA.

A utilização do algoritmo A-Kmeans, um clusterizador adaptativo que calcula auto- maticamente o número de clusters, também demonstrou se adequar bem à detecção de DDoS baseada na AQR, tendo melhorado, no pior caso, quase 10% a acurácia da de- tecção quando comparado com um clusterizador não adaptativo (K-Means). A dificuldade

encontrada pelo K-Means reflete a dificuldade de calibrar um clusterizador não adaptativo, o que pôde ser observado pela variabilidade de acurácia quando explorados dois conjuntos de dados com características distintas.

Dos experimentos conclui-se finalmente que a utilização da AQR em conjunto com o A-Kmeans na detecção de ataques de negação de serviço em redes de computadores é uma técnica viável e que pode compor o conjunto de algoritmos de um sistema de detecção de intrusão.

Finalmente, é importante salientar que o algoritmo demonstrado nesta dissertação é uma combinação que nunca havia sido testada antes para a detecção de anomalias no tráfego de redes, a qual demonstrou ser eficaz em diferentes estudos apresentados, obtendo resultados expressivos na diminuição dos falsos alertas e na melhoria da acurácia quando comparada com outras soluções já existentes. Além disso, o TRAFFICbyAQR pode ser utilizado em qualquer rede existente para a detecção de ataques DDoS.