Uso de Redes Neurais para Detecção de
Anomalias em Fluxos de Dados
Arnaldo Candido Junior, Adriano Mauro Cansiam, Almir Moreira Saude
UNESP - Universidade Estadual Paulista "Júlio de Mesquita Filho" - São José do Rio Preto{arnaldo, adriano, almir) at acmesecurity.org RESUMO
A análise de fluxos de dados é uma técnica eficiente para a detecção de ataques e anomalias em redes de computadores. Contudo, a análise é feita de forma manual na maior parte das implementações. Este artigo propõe o uso de Redes Neurais Artificiais (RNAs) aplicadas ao reconhecimento de padrões obtidos em fluxos de dados para detecção automatizada de ataques e anomalias.
ABSTRACT
The flow analyze is an efficient technique to both attacks and anomalies detection in computer networks. This paper proposes the use of neural networks applied to data flows pattern recognition to automated anomalies and attacks detection.
I. INTRODUÇÃO
O crescimento das redes de computadores e a capacidade de transmissão de dados aprimorada são fatores que dificultam a detecção de anomalias e ataques em redes de computadores. Os Sistemas Detectores de Intrusão (IDSs) tradicionais baseados em detecção por assinatura de ataque possuem problemas quanto a escalabilidade [1] em redes de computadores de grande porte.
A análise de fluxos de dados é uma técnica escalável, usada em redes de computadores com grande volume de tráfego para diversas finalidades. No RFC 3917 [2] são descritas possíveis aplicações da análise de fluxos, entre elas, engenharia de tráfego, caracterização de tráfego, monitoramento de qualidade de serviço, contabilidade de uso e detecção de intrusão e anomalias. Um fluxo de dados pode ser caracterizado como um conjunto de pacotes com características em comum.
Alguns ataques de difícil detecção em IDSs baseados em assinaturas de ataque podem ser facilmente detectados através da análise de fluxos.
Isto se deve ao fato de que os datagramas de rede são correlacionados na análise de fluxos, em detrimento a análise individual para cada datagrama realizada em IDSs tradicionais. Entre os ataques detectáveis ataques destacam-se DoSs (Denial of Service Attacks) e DDoSs (Distributed Denial of Service Attacks). Além disso, diversas outras anomalias são facilmente detectadas.
Existem tecnologias distintas para a análise de fluxos de dados. Algumas das mais populares são as tecnologias Netflow [3, 4] da Cisco, Sflow [5] e
Netramet [6]. O protocolo IPFIX (IP Flow Information Export) [2] foi proposto pelo grupo
IETF com o objetivo de permitir a troca de informações sobre fluxos de dados. No RFC 3955 [7] é feita uma análise de diversas tecnologias de geração de fluxos de dados. O RFC é favorável ao uso da tecnologia Netflow na implementação do Protocolo IPFIX.
Fluxos Netflow se assemelham a conexões TCP ou a sessões UDP. No entanto, os fluxos são unidirecionais, ou seja, uma conexão TCP gera no mínimo dois fluxos. Um fluxo Netflow pode ser definido como uma tupla contendo as informações: IP de origem; IP de destino; porta de origem; porta de destino; valor do campo Protocolo do datagrama IP; byte de ToS (Type of
Service) e interface lógica de entrada no roteador.
Em um roteador que implementa o padrão
Netflow, um novo fluxo é gerado quando um
datagrama que não pertence a nenhum outro fluxo existente é recebido. Um fluxo expira quando uma das seguintes condições é atendida: permanece ocioso por mais de 15 segundos; sua duração excede 30 minutos; uma conexão TCP é encerrada com a flag FIN ou RST; a tabela de fluxos está cheia ou o usuário redefine as configurações de fluxo. Os fluxos expirados são encapsulados em segmentos UDP e enviados para os coletores. Geralmente são enviadas 30 registros de fluxo em cada segmento UDP na versão 5 do padrão
Netflow.
Este trabalho propõe o uso de redes neurais para detecção de ataques e anomalias em redes de computadores. Uma Rede Neural Artificial (RNA) é um modelo matemático inspirado no cérebro
humano, capaz de reconhecer padrões de entrada, gerando respostas adequadas a cada padrão apresentado. Este modelo é uma alternativa à computação algorítmica tradicional possuindo características interessantes como seu paralelismo natural e sua capacidade de aprender através de exemplos e generalizar a informação aprendida [8]. RNAs mostram-se ferramentas úteis na resolução de problemas complexos e têm sido utilizadas em diversas áreas. A técnica de detecção proposta pode ser utilizada em conjunto com outras técnicas de detecção de intrusão convencionais, atuando como uma camada a mais de proteção na rede de computadores.
A seção II discute trabalhos relacionados à técnica de detecção de intrusão através de redes neurais ou fluxos de dados padrão Netflow. A seção III apresenta modelos para codificação de padrões a partir de fluxos de dados, mostra os detalhes usados na criação de RNAs para testar os modelos propostos e discute eventos que podem ser detectados automaticamente. A seção IV trata da ferrament Neuro-sig, desenvolvida com o intuito de simplificar a geração de padrões a partir de fluxos de dados. A seção V apresenta os resultados obtidos durante o treinamento das redes neurais propostas. A seção VI traz conclusões sobre a técnica proposta.
II. TRABALHOS RELACIONADOS
O sistema detector de intrusão ACME! [9] emprega redes neurais para detecção de intrusão baseada em assinaturas de ataque. Cada string característica em determinado ataque é codificada na forma em um padrão binário apresentado à rede neural. A rede neural criada é treinada com um conjunto padrões de ataque e de não ataque.
Análises sobre a aplicação de detecção de intrusão e anomalias utilizando o padrão Netflow podem sem encontradas em [10, 11]. As analises mostram caracterizações de tráfego malicioso e sugerem topologias de rede neural e técnicas para criação ferramentas para detecção de intrusão a partir de fluxos de dados. Os IDSs Peakflow [12] e StealthWatch [13] são ferramentas que agregam a análise de fluxos Netflow como uma de suas métricas para detecção de ataques e tentativas de intrusão.
III. MODELAGEM
A. Padrões
A figura abaixo ilustra o gráfico do número de fluxos por segundo em uma rede acadêmica em um determinado intervalo de tempo.
Figura 1: fluxos por segundo obtidos em um período de 24 horas em uma rede acadêmica
A técnica para codificação de padrões é feita de forma semelhante à geração do gráfico acima. A codificação é feita com base na quantidade de fluxos por segundo para um dado intervalo de tempo obtidos de um exportador de fluxos padrão
Netflow. Cada padrão pode ser entendido como
um gráfico cartesiano onde o eixo das abscissas representa tempo e o eixo das ordenadas representa o número de fluxos por segundo para cada instante de tempo. Um padrão também pode ser interpretado como uma matriz binária m x n. A figura abaixo ilustra dois exemplos de padrões codificados: (a) 0000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000 0000000000100000000000000000000000000000000000 0000000000110001000000000000000000000000000000 1101101111111111111111001111111000011100001100 1111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111 1111111111111111111111111111111111111111111111 1110111111111111111111111111111000011101111100 0000000000100011000000000000000000000000000000 0000000000100011000000000000000000000000000000 0000000000100011000000000000000000000000000000 0000000000100011000000000000000000000000000000 0000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000010000 0000000000000000000000000000000000000000010000 0000000000000000000000000000000000000000010000 0100000000000000000000000000000000000000010000 0100000000000000000000000000000000000000010000 1100000000000000011000000000000000000000010000 1100000000000000011000000000000000000000010000 1100000000000000011000000000000000000000010000 1100000000000000011000000000000000000000010000 1100000000111111011000000000000000000000011000 1100000001111111111100000001000010010000011000 1110010111111111111111011111101111111111111010 1110111111111111111111111111111111111111111110
(b)
Figura 2: exemplos de padrões codificados
A maior parte das anomalias e ataques detectáveis na análise de fluxos está relacionada à presença de cristas ou de vales no gráfico “fluxos por segundo x tempo”. A rede neural é treinada para identificar tais cristas e vales. Como cada classe de anomalia gera alterações características, a rede neural pode ser treinada para diferenciar as anomalias.
Quatro modelos de codificação de assinaturas para redes neurais são propostos:
• Modelo 1: análise do total de fluxos. Este modelo permite o treinamento da rede neural com um número reduzido de assinaturas e o uso de uma topologia mais simplificada. Como desvantagem, torna-se difícil de distinguir anomalias com perfis de tráfego semelhantes. O modelo está exemplificado na figura 2 (a).
• Modelo 2: análise por destino. Os fluxos com destino à rede de computadores local são tratados de forma diferenciada aos fluxos com destino a redes externas. Este modelo permite a melhor caracterização de ataques em que o volume de entrada de fluxos e o volume de saída são diferentes. Contudo, a topologia da rede neural é mais complexa e torna-se necessário utilizar mais assinaturas na fase de treinamento. O modelo está exemplificado na figura 2 (b). A metade superior do padrão corresponde a tráfego de saída, enquanto que a metade inferior corresponde com destino à rede local.
• Modelo 3: análise por serviço. Este modelo é semelhante ao modelo 1, entretanto, são geradas assinaturas separadas para cada serviço da rede de computadores. A detecção de anomalias é mais precisa, mas a rede neural torna-se mais complexa e um volume maior de assinaturas é necessário na fase de treinamento da rede neural. A detecção também pode ser efetuada através do protocolo de transporte (TCP e UDP). • Modelo 4: análise por destino e por serviço.
Esta análise é semelhante ao modelo 2, contudo, é feita para cada serviço ou protocolo de transporte, como acontece no modelo 3.
B. Redes neurais
Redes neurais do tipo MLP (Multi-Layer
Perceptron) foram escolhidas devido ao seu uso
bem sucedido em diversas aplicações, entre elas, detecção de intrusão [9]. Optou-se pelo algoritmo
Back-propagation por ser um dos melhores
algoritmos disponíveis para treinamento de redes neurais MLP. As RNAs criadas são totalmente conectadas, ou seja, um neurônio de uma determinada camada está conectado a todos os neurônios da camada seguinte.
Três camadas de neurônios foram utilizadas em cada rede neural: entrada (não adaptativa), processamento e saída. RNAs de três camadas são capazes de detectar problemas não linearmente separáveis de forma rápida e simples. Não foi necessário o uso de mais camadas, pois não houve a necessidade de dividir o problema de detecção de tráfego anômalo em sub-problemas menores.
O número de neurônios presentes na camada da entrada corresponde ao tamanho da matriz m x
n, a qual representa as assinaturas codificadas. O
número de neurônios na camada intermediária é determinado empiricamente. Por fim, o número de neurônios de saída depende do número de eventos que se deseja detectar. Cada neurônio de saída é responsável pela detecção de um determinado evento.
C. Anomalias Detectáveis
Abaixo estão descritos os eventos que podem ser detectados nos modelos propostos:
• Tráfego aceitável: não se trata de uma anomalia, mas sim de evento esperado quando nenhuma anomalia é detectada. • Prospecções de hosts: está anomalia é
geralmente causada por softwares maliciosos como Worms que varrem diversos hosts presentes em uma rede de computadores em busca de um serviço específico. Sua como característica é um pico repentino no gráfico, desaparecendo no instante seguinte.
• Prospecções de serviços: geralmente causada quando um atacante busca por serviços vulneráveis em um host específico. O número de fluxos é menor que o gerado em uma prospecção de hosts, de forma a prejudicar a detecção desta anomalia em redes de computadores com um volume elevado de tráfego.
• DoS e DDoS: esses ataques são os eventos mais facilmente detectáveis, pois sua característica é o surgimento repentino de um pico no gráfico que permanece ativo por um período de tempo longo. O padrão passa
a ser gerado com colunas completamente preenchidas com “1s”. Existem diversas classes de ataques de negativa de serviço, a análise de fluxos pode detectar as classes que geram uma quantidade excessiva de tráfego, esgotando a banda da vítima. • Eventos FlashCrowd [14]: são eventos
muito semelhantes a ataques de negativa de serviço distribuídos. Contudo, não se trata de tráfego malicioso, mas sim tráfego legítimo em uma quantidade maior que a rede de computadores pode suportar. São diferenciados de ataques de negativa de serviço pelo aumento gradual do número de fluxos, em detrimento a um pico repentino. • Ataques de dicionário [15]: durante um
ataque de dicionário, um atacante efetua diversas tentativas de acesso. O padrão gerado é semelhante ao padrão apresentado pelas prospecções, mas pode ser diferenciado pela predominância de uma única porta nos fluxos obtidos. Geralmente, são portas reservadas a serviços que exigem nome de usuário e senha tais como Telnet [16], SSH [17], POP [18], entre outros. • Problemas na conectividade: ocorrem
quando as redes externas tornam-se inacessíveis à rede local. Estes problemas geralmente ocorrem por falhas no roteamento de datagramas entre a rede interna e as demais. Esta anomalia pode ser caracterizada por um alto número de fluxos de saídas com baixo número de fluxos de entrada ou pela ausência de atividade na rede de computadores por um grande período de tempo.
• Uso indevido: ocorre pela presença de tráfego não permitido na rede de computares. Esta anomalia está comumente associada a tráfego gerado durante a troca de arquivos em aplicações Peer-to-peer. Não são gerados picos, contudo, é observado um aumento no volume de fluxos habitual. Os modelos que diferenciam tráfego de entrada e de saída são capazes de detectar se a anomalia identificada afeta hosts internos ou externos e podem detectar mais facilmente algumas anomalias como perda de conectividade. Algumas classes de anomalias são mais facilmente detectáveis nos modelos que analisam os serviços individualmente, como exemplo, ataques de dicionário.
A criação de um neurônio exclusivo para detecção de tráfego lícito mostrou vantajosa, pois a saída “zero” deste neurônio pode indicar uma anomalia na rede de computadores quando os
demais neurônios falham. Neste caso todos os neurônios de retornam zero e o evento “tráfego desconhecido” é assumido. Esta situação pode ocorrer durante a transição de um perfil de tráfego anômalo para tráfego lícito ou durante a ocorrência de uma classe anomalia não apresentada à rede neural em fase de treinamento. Ataques recém surgidos (zero day attacks) podem ser categorizados no evento “tráfego desconhecido”.
IV. SOFTWARE DESENVOLVIDO
A ferramenta Neuro-sig foi desenvolvida em ambiente UNIX com o intuito de gerar padrões para a rede neural com base em arquivos de fluxos coletados pela ferramenta Flow-capture, presente no conjunto de ferramentas Flow-tools [19]. A gerações de padrões é dividida em duas fases distintas. Na primeira fase, os fluxos armazenados em disco são utilizados para gerar um arquivo de dados. A função do arquivo de dados é permitir ao administrador visualizar todo o tráfego de rede em um período de tempo relativamente longo. A partir dos dados visualizados é possível selecionar intervalos de tempo para a geração do arquivo de padrões na segunda fase. A rede neural é então treinada a partir das informações fornecidas no arquivo de padrões e está pronta para ser agregada a uma ferramenta para monitoramento de fluxos em tempo real.
A estrutura de um arquivo de fluxos criado pela ferramenta Flow-capture varia de ambiente para ambiente. Isto se deve à capacidade das ferramentas Flow-tools de lidarem com diferentes versões de fluxos Netflow e permitirem ao administrador a especificação de diferentes níveis de compactação para os arquivos de fluxo. Devido a essa característica, foi necessário o uso da biblioteca Libft no processo de leitura dos arquivos de fluxos. A biblioteca foi projetada durante o desenvolvimento do conjunto de ferramentas Flow-tools e está disponível gratuitamente sob licença GPL juntamente com o código do software Flow-tools.
A leitura dos dados é feita através de funções, constantes e estruturas de dados providas pela biblioteca, simplificando a implementação de ferramentas que acessam arquivos de fluxos. A biblioteca não é oferecida separadamente em formato para ligação dinâmica, de modo que o processo ligação é estático ao software Flow-tools é estático, realizado em tempo de compilação. Por esta razão, optou-se pela ligação estática durante a compilação da ferramenta Neuro-sig. Faz-se uso da ferramenta Flow-cat para concatenar diversos
arquivos de fluxos e redirecionar os arquivos de fluxos para a entrada padrão os fluxos para outra ferramenta, no caso, para a ferramenta Neuro-sig.
A figura abaixo ilustra o uso da ferramenta. O primeiro comando gera o arquivo de dados. O segundo gera o arquivo de padrões e deve ser executado apenas após a seleção dos intervalos de tempo a gerem usados na geração dos padrões.
Figura 3: comandos para a geração do arquivo de padrões
O número de colunas e linhas presentes em cada padrão pode ser informado à ferramenta através de um arquivo de configuração chamado
neuro-flow.cf. O arquivo de configuração também
permite que sejam definidos o intervalo de tempo e o número máximo de fluxos por segundo representados no padrão.
V. RESULTADOS
A. Descrição do ambiente de testes
Os fluxos de dados foram coletados em uma instituição acadêmica no período aproximado de um ano, totalizando 22 Gigabytes de informação sobre fluxos Netflow. No treinamento de cada modelo foram utilizados fluxos obtidos em um período de duas semanas de tráfego. Adicionalmente, tráfego de uma semana extra foi utilizado para a validação da rede neural.
A rede neural foi criada com 120 neurônios de entradas (20 linhas e 6 colunas). Os padrões de entrada compreendem um intervalo de 3 minutos. Cada linha representa 10 fluxos por segundo, de forma que o padrão pode representar no máximo 200 fluxos de dados por segundo. Após alguns testes decidiu-se utilizar 10 neurônios na camada intermediária. O número de neurônios de saída varia de modelo para modelo.
As anomalias “uso indevido”, “eventos flash crownd” e “negativas de serviço” não foram observadas na rede de computadores analisada. Optou-se por simular ataques de negativa de serviço. Em ataques dessa natureza é observado um número excessivamente grande de fluxos de dados por segundo, de forma que a simulação foi feita a partir da construção de padrões com colunas preenchidas totalmente com “uns”. Eventos com baixa ocorrência foram parcialmente simulados. É o caso do evento “problemas na conectividade”.
Os fluxos de dados obtidos logo após o início ou término de um evento anômalo pertencem a um estado intermediário entre anomalia e tráfego lícito, de forma que sua classificação é difícil. O evento “tráfego desconhecido” foi criado para classificação nesta circunstância. Este evento é semelhante ao evento tráfego lícito, ou seja, não demanda nenhum tipo de ação quando detectado.
O resultado obtido em cada neurônio de saída da rede neural pode ser qualquer número inteiro entre zero e um. Os resultados são convertidos em vetores binários associados a cada padrão de saída. O evento “tráfego desconhecido” é associado ao vetor nulo. Seja V(n) o valor armazenado no enésimo neurônio de saída da rede neural e seja N o neurônio com valor máximo entre os demais neurônios. A equação abaixo define novos valores V’(n) para converter o resultado de forma a obter os vetores binários.
! " # = $ = contrário caso n V N n se n V 0 5 . 0 ) ( , 1 ) ( ' (1) B. Modelo 1
Os eventos utilizados no treinamento da rede neural do modelo 1 e seus respectivos vetores são: tráfego desconhecido (0,0,0,0); tráfego lícito (0,0,0,1); prospecções (0,0,1,0); problemas na conectividade (0,1,0,0); ataque de negativa de serviço (1,0,0,0). A rede neural foi submetida a 50 ciclos de treinamento para cada padrão de treinamento. Os padrões foram apresentados aleatoriamente de forma a otimizar o treinamento. A figura abaixo mostra o gráfico de erros quadráticos médios em função do número de ciclos de treinamento da rede neural:
Figura 4: erros quadráticos médios para o modelo 1
A curva continua corresponde ao erro cometido para os padrões de treinamento. Pode-se observar que uma vez treinada, a rede neural identifica corretamente os padrões previamente vistos. A curva tracejada corresponde ao erro cometido para padrões de validação não vistos em fase de treinamento, semelhantes aos padrões de treinamento. Observa-se que a rede neural
$ flow-cat arquivos_fluxos | neuro-sig \ --gen-data > arquivo_dados
$ neuro-sig --gen-sig < arquivo_dados \ > arquivo_padrões
detectou corretamente padrões não vistos em fase de treinamento, generalizando a informação aprendida. Após o octogésimo ciclo de treinamento o erro quadrático médio é menor do que 1%. A curva de validação obtida foi menor que a curva de aprendizagem. Isto ocorre, pois os padrões de validação são mais simples que os padrões de treinamento.
É importante ressaltar que os padrões de treinamento e validação não foram escolhidos ao acaso. O uso indiscriminado de padrões pode elevar a taxa de erros quadráticos médios dificultando a análise da eficiência da rede neural. Existem padrões intermediários entre um padrão de tráfego lícito e um padrão de tráfego anômalo. Nestes casos particulares, é necessária uma análise mais aprofundada no tráfego para verificar se a anomalia ocorreu de fato ou não. Evitou-se o uso deste tipo padrão durante o treinamento. Espera-se que tais padrões sejam corretamente detectados graças à capacidade de generalização da rede neural.
No tráfego observado alguns eventos surgem com mais freqüência, de forma que o número de padrões pertencente a eventos comuns é maior que eventos incomuns. Nos testes realizados está desigualdade não trouxe problemas significativos na detecção de eventos. O número de padrões do evento “tráfego lícito” é o maior, pois além deste evento ser o mais freqüente, também é de difícil detecção dado que os padrões sofrem variações durante diferentes horários do dia. Além disso, o neurônio de saída responsável por este evento também deve ser treinado para ignorar pequenos resquícios gerados após o termino de algumas classes de anomalias. A tabela abaixo mostra o número de padrões fornecidos à rede neural, além de informações sobre os erros cometidos durante a validação:
Evento Treinamento Validação Falsos negativos durante a validação 0001 936 580 0 0000 256 129 1 0010 105 66 1 0100 11 5 0 1000 10 5 0
Tabela 1: número de padrões e falsos negativos durante a etapa de validação da rede neural do modelo 1.
Observa-se que o bom resultado da tabela 1 se deve em partes decisão de não se utilizar determinados padrões para diminuir a taxa de erros quadráticos médios. A saída da rede neural é convertida para valores binários conforme detalhado na equação (1).
C. Modelo 2
Durante a fase de treinamento foram utilizados os mesmos eventos utilizados no modelo 1, com a exceção do evento “prospecção”. A rede neural do modelo 2 foi treinada para diferenciar prospecções originadas de redes externas de prospecções originadas localmente. Os eventos utilizados e seus respectivos vetores são: tráfego desconhecido (0,0,0,0,0); tráfego lícito (0,0,0,0,1); prospecções externas (0,0,0,1,0); prospecções locais (0,0,1,0,0); problemas na conectividade (0,1,0,0,0) e ataques de negativa de serviço (1,0,0,0,0). A figura abaixo ilustra os erros quadráticos médios para cada ciclo de treinamento:
Figura 5: erros quadráticos médios para o modelo 2
O percentual de erros para os padrões de validação foi cerca de 1%. Neste modelo a quantidade de padrões utilizados foi maior devido à diferenciação entre prospecções. A tabela ilustra o número de padrões utilizados no treinamento e validação da rede neural e a quantidade erros encontrada:
Evento Treinamento Validação Falsos negativos durante a validação 00001 1688 399 1 00000 348 137 1 00010 178 60 0 00100 21 5 1 01000 10 5 0 10000 10 5 0
Tabela 2: número de padrões e falsos negativos durante a etapa de validação da rede neural do modelo 2.
D. Modelos 3 e 4
Os testes realizados para os modelos com filtragem de portas foram mais simples. A rede neural pertencente ao modelo 3 foi treinada para identificar ataques de dicionário em padrões com filtragem da porta 22 (SSH). A rede neural do modelo 4 foi treinada para identificar tentativas de propagação do worm Slammer na porta 5554. Os gráficos de erros quadráticos médios são bem semelhantes aos gráficos dos modelos 1 e 2 e foram omitidos. As tabelas abaixo indicam o número de padrões utilizados para cada modelo:
Evento Treina- mento
Validação Falsos Negativos durante a validação Tráfego lícito 160 48 0 Tráfego desconhecido 20 6 0 Ataque de dicionário 25 9 0 Tabela 3: quantidade de padrões utilizadas no modelo 3 Evento Treina-
mento
Validação Falsos Negativos durante a validação Tráfego lícito 101 20 0 Tráfego desconhecido 24 2 0 Worm Slammer 20 8 0 Tabela 4: quantidade de padrões utilizadas no modelo 4
VI CONCLUSÕES
Os quatro modelos para codificação de padrões propostos se mostraram capazes de detectar tráfego anômalo corretamente. Os modelos se diferenciam pela capacidade de detecção de anomalias distintas e pelo número de padrões necessários durante a fase de treinamento da rede neural. Os modelos mais abrangentes necessitam de mais padrões para treinamento. A ferramenta Neuro-sig foi desenvolvida com o propósito de auxiliar a geração de padrões para treinamento de redes neurais. Os testes realizados a partir de padrões gerados pela ferramenta mostraram que redes neurais podem ser utilizadas com sucesso na detecção automatizada de ataques e anomalias em redes de computadores com um baixo índice de erros. A diferenciação entre tráfico anômalo e não anômalo é difícil para determinados padrões. Contudo, observou-se que a ocorrência de tais padrões é pouco freqüente.
REFERÊNCIAS
1. Antonatos, S. et al. Performance analysis of content matching intrusion detection systems. Proceding of International Symposium on Applications and the Internet, 2004. P.208-215
2. Quittek, J. RFC 3917: Requirements for IP Flow Information Export: IPFIX. 2004. Internet Engineering Task Force (IETF). USA. oct. 2004. Disponível em: <http://www.ietf.org/rfc/rfc3917.txt>. Acessado em: 31 ago. 2005.
3. Claise, B. E. RFC 3954: Cisco Systems NetFlow Services Export Version 9. Internet Engineering Task Force (IETF), USA. Oct. 2004. Disponível em: <http://www.ietf.org/rfc/rfc3954.txt>. Acessado em: 31 ago. 2005.
4. Cisco Systems. Netflow Services Solutions Guide. Disponível em: <http://www.cisco.com/en/US/products/sw/netmgtsw/ps196 4/products_implementation_design_guide09186a00800d6a1 1.html>. Acessado em: 10 ago. 2005.
5. Phaal, P.; Panchen, S.; McKee, N. InMon Corporation's sFlow. Internet Engineering Task Force (IETF), USA. oct.
2004. Disponível em: <http://www.ietf.org/rfc/rfc3954.txt>. Acessado em: 31 ago. 2005.
6. Brownlee, N. RFC 2123: Traffic Flow Measurement: Experiences with NeTraMet. Internet Engineering Task Force (IETF), USA. Mar. 1997. Disponível em: <http://www.ietf.org/rfc/rfc2123.txt>. Acessado em: 31 ago. 2005.
7. Leinen, S. et al. RFC 3955: Evaluation of Candidate Protocols for IP Flow Information Export (IPFIX). Internet Engineering Task Force (IETF), Oct. 2004. Disponível em: <http://www.ietf.org/rfc/rfc3955.txt>. Acessado em: 31 ago. 2005.
8. Braga, A.P. et al. Fundamentos em Redes Neurais Artificiais. Rio de Janeiro: Imprinta, 1998. 245p.
9. Cansian, A.M. Desenvolvimento de um Sistema Adaptativo de Detecção de Intrusos em Redes de Computadores. 1997. Tese (Doutorado em Física Computacional) – Instituto de Física, Universidade de São Paulo, São Carlos, 1997. 10. Abad, C. et al. Correlation Between Netflow System and
Networks View for Intrusion Detection. Proceedings of ACM workshop on Visualization and data mining for computer security, Washington, 2004.
11. Pao, T.L.; Wang, P.W. Netflow Based Intrusion Detection. IEEE Proceedings on Networking, Senser & Control. Taiwan, mar. 2004.
12. Arbor Networks. Products & Services Overview: Peakflow. Disponível em <http://www.arbornetworks.com/products_platform.php>. Verificado em: 10 ago. 2005.
13. Landscope StealthWatch Appliance. Disponível em <http://www.lancope.com/products/stealthwatch/>. Verificado em: 10 ago. 2005.
14. Jung, J.; Krishnamurthy, B.; Rabinovich, M. Flash Crowds and Denial of Service Attacks. Proceedings of WWW-2002, Hawaii, May 2002.
15. Vipul Goyal, V. et al. CompChall: Addressing Password Guessing Attacks. International Conference on Information Technology: Coding and Computing (ITCC), 2005. v1, n.1, p.739-744, April 2005.
16. Postel, J.; Reinold, J. RFC 852: Telnet Protocol Specification. Internet Engineering Task Force (IETF)., USA. May. 1983. Disponível em: <http://www.ietf.org/rfc/rfc826.txt>. Acessado em: 31 ago. 2005.
17. Ylonen, T. The SSH (Secure Shell) Login Remote Protocol. Internet-Draft, Helsinki University of Technology, Nov. 1995.SSH
18. Myers, J. et al. RFC 1939: Post Office Protocol: Version 3. Internet Engineering Task Force (IETF), 1996. Disponível em: <http://www.ietf.org/rfc/rfc1939.txt>. Acessado em: 31 ago. 2005.
19. Fullmer, M.; Romig, S. The OSU Flow-tools Package and Cisco NetFlow. Logs. In Proceedings of the USENIX 14th System Administration Conference - LISA'2000. New Orleans: Dezembro, 2000.
