Sistema de Detecção de Anomalias Utilizando Análise de Fluxos

Diversas técnicas e métodos distintos têm sido amplamente utilizados na área da detecção de anomalias em redes de computadores. Ataques, invasões ou falhas internas não detectadas de modo veloz e eficaz podem danificar seriamente todo um sistema de rede. Por este motivo, neste trabalho, é apresentado um sistema inteligente para detecção de anomalias baseado na Análise de Componentes Principais (PCA). A abordagem proposta gera um perfil de rede denominado Digital Signature of Network Segment using Flow Analysis (DSNSF), o qual descreve o comportamento normal do tráfego de rede por meio de uma análise de dados históricos extraídos de fluxos IP. Esse perfil é utilizado como um threshold para a detecção de anomalias de volume. O sistema proposto utiliza sete atributos presentes em fluxos IP, tais como bits, pacotes, número de fluxos, endereços IP de origem e destino, e Portas de origem e destino, com o objetivo de detectar problemas e fornecer ao administrador de rede informações necessárias para resolvê-los. O sistema é avaliado e validado com o uso de dados de tráfego de redes reais, e os resultados indicam uma previsão de tráfego consistente e taxas de falso-positivo promissoras.