• Nenhum resultado encontrado

Detecção de ataques em redes locais utilizando aprendizagem de máquina.

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2023

Share " Detecção de ataques em redes locais utilizando aprendizagem de máquina. "

Copied!
1
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 1 páginas )

Texto

(1)

XXV Congresso de Iniciação Científica

Detecção de ataques em redes locais utilizando aprendizagem de máquina.

Raphael Campos Silva, Adriano Mauro Cansian, Campus de São José do Rio Preto, Instituto de Biociências, Letras e Ciências Exatas, Bacharelado em Ciência da Computação, raphael@acmesecurity.org, Bolsa FAPESP de Iniciação Científica.

Palavras Chave: Detecção de Intruso, Aprendizagem de máquina, Segurança de redes e computadores.

Introdução

Incidentes de segurança representam grandes riscos para as organizações. Segundo estatísticas extraídas de CERT.br1, prospecção de redes e proliferação de worms, permanecem dentre os incidentes mais reportados. O uso de Sistemas de Detecção de Intruso (IDS) tem mostrado resultados satisfatórios como mecanismo de defesa para diversos tipos de ataques, incluindo os citados anteriormente.

Objetivos

O objetivo deste trabalho compreende o desenvolvimento de um IDS capaz de detectar alguns ataques comuns em redes locais. Pretende- se utilizar aprendizagem de máquina como metodologia de detecção, e o protocolo ARP(Address Resolution Protocol)2 como fonte de informações.

Material e Métodos

O ambiente para realização dos experimentos foi virtual, possibilitando total controle nos testes e ataques realizados. Desta forma, informações de fluxos de dados de computadores foram extraídas das comunicações entre os computadores, com a utilização do software ARGUS3, e exportadas para um banco de dados relacional MySQL4. Com a utilização de um algoritmo de árvore de decisão, implementado no software Weka5, foi possível realizar mineração de dados com as informações previamente armazenadas, em busca de anomalias nos fluxos de dados, tomando como base um modelo (árvore de decisão) previamente construído no período de treinamento do algoritmo.

Foi possível construir um modelo para cada endereço IP de origem, uma vez que um conjunto de informações sumarizadas, entre períodos de tempo, e a classe ao qual o conjunto de dados correspondia (normal ou anômala) foram fornecidos como entrada para o algoritmo de classificação, na fase de treinamento. Desta forma, o modelo construído na fase de treinamento pôde ser utilizado para realizar futuras classificações a partir dos dados gerados pelo ambiente sob monitoramento, classificando esse novo conjunto de dados entre normal ou anômalo. As informações exportadas do

ambiente foram as do protocolo ARP, presente nas redes locais, responsável por desempenhar uma funcionalidade importante na resolução de endereços IP (Internet Protocol), e também explorado para realizar ações maliciosas.

Resultados e Discussão

Esta pesquisa tem mostrado bons resultados na detecção de ataques de prospecção de redes de camada dois, ataques de homem no meio (MITM – Man-in-the-middle) e ataques de negação de serviço. Todos os ataques descritos previamente utilizam falhas no protocolo ARP ou recursos deste protocolo,e tornam indispensável um mecanismo de segurança para garantir a vitalidade das redes de computadores.

Conclusões

Com o algoritmo de classificação foi possível detectar alguns ataques comuns presentes nas redes locais, e identificar a fonte dos ataques, que pode ser um invasor, ou um worm6 tentando se espalhar na rede em busca de novas máquinas vulneráveis para serem infectadas e se tornarem bots.

Agradecimentos

Agradeço ao laboratório ACME! e seus integrantes, e também à FAPESP pela bolsa de iniciação cientifica concedida para esta pesquisa.

____________________

1 (CERT.br, 2013) CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL (CERT.Br). Estatísticas sobre notificações de incidentes. Disponível em:

<http://www.cert.br/stats/>. Acesso em: 10 jul. 2013.

2 Plummer, C. RFC 826: An Ethernet Address Resolution Protocol.

1982. Disponível em: <http://www.ietf.org/rfc/rfc826.txt>. Acesso em:

17 jul. 2013.

3 QoSient. ARGUS. Disponível em:

<http://www.qosient.com/argus/index.shtml>. Acesso em: 13 jun. 2013.

4 MySQL. Disponível em: < http://www.mysql.com/>. Acesso em: 10 jul. 2013.

5 WITTEN, I. H.; FRANK, E. Data mining: practical machine learning tools and techniques with java implementations. New York, NY, USA:

Morgan Kaufmann Publishers, 2011

6 WHYTE, D.; OORSCHOT, P. C. V.; KRANAKIS E. “ARP-based Detection of Scanning Worms Within an Enterprise Network” School of Computer Science, Carleton University, Ottawa, Canada. January 31, 2005.

Referências

Descarregar agora ( PDF - 1 páginas - 213.06 KB )

Documentos relacionados

Ítalo Rodrigo Barbosa Paulino Reconhecimento de Placas de Veículos Brasileiros em Tempo Real utilizando Redes Neurais Convolucionais em um Processador de Aplicação Específica

Durante o processo de treinamento da CNN de detecção foi utilizado um conjunto com 881 imagens para validação, onde cada imagem deste conjunto possuía uma ou mais placas para