Please use this identifier to cite or link to this item:
https://repositorio.ufu.br/handle/123456789/33882| ORCID: |  http://orcid.org/0000-0003-1023-4735 |
| Document type: | Dissertação |
| Access type: | Acesso Aberto |
| Title: | Detecção de intrusão sobre pacotes utilizando algoritmos de fluxos contínuos de dados |
| Alternate title (s): | Packet intrusion detection using data streams |
| Author: | Olímpio Júnior, Gilberto |
| First Advisor: | Paiva, Elaine Ribeiro de Faria |
| First coorientator: | Miani, Rodrigo Sanches |
| Second coorientator: | Camargos, Lasaro Jonas |
| First member of the Committee: | Senger, Hermes |
| Second member of the Committee: | Cattelan, Renan Gonçalves |
| Summary: | Os Sistemas de Detecção de Intrusão (IDS) auxiliam na proteção das redes de computadores, pois identificam e detectam tentativas de obter acesso não autorizado aos dados, inspecionando pacotes individualmente ou no contexto de fluxos. Considerando que o processo de detecção de intrusão é uma tarefa de classificação de um fluxo de pacotes gerados continuamente em uma distribuição não-estacionária, os modelos de decisão devem sofrer atualizações a fim de identificar mudanças no comportamento dos ataques e do tráfego normal da rede. A atualização dos modelos, em geral, requer instâncias rotuladas, o que exige grande esforço de especialistas. Este trabalho contribuiu com o desenvolvimento de um IDS para o mundo real, propondo: i) comparar o uso de pacotes individuais e fluxos de pacotes na tarefa de detecção de intrusão, por meio da análise do desempenho preditivo de classificadores de fluxos contínuo de dados construídos a partir desses dois tipos de dados; ii) analisar o impacto no desempenho dos classificadores quando há atraso na entrega dos rótulos das instâncias para atualização dos modelos; e iii) avaliar o impacto que as estratégias de aprendizado ativo causam nos classificadores quando somente as melhores instâncias são rotuladas e usadas na atualização dos modelos. Neste sentido, os experimentos foram realizados usando o conjunto de dados CICIDS2017, diferentes algoritmos de classificação de fluxos contínuos de dados e medidas de avaliação. Eles mostraram que inspecionar os pacotes individualmente tem um desempenho semelhante à inspeção de fluxos na detecção de intrusão. De modo que, a partir desse resultado, os pacotes individuais foram usados no estudo de técnicas de aprendizado ativo e atraso na entrega dos rótulos. O desempenho dos classificadores sofreu queda à medida que se aumentava o atraso na entrega dos rótulos verdadeiros. Por fim, as estratégias de aprendizado ativo permitiram manter o desempenho preditivo na classificação de tráfego normal e malicioso, usando um conjunto reduzido de instâncias rotuladas. |
| Abstract: | Intrusion Detection Systems (IDSs) help protect computer networks by identify and detect attempts to obtain unauthorized access to data via computer networks by inspecting packets separately or in the context of flows. Considering that the intrusion detection process is a classification task of continuously stream-generated packets in a non-stationary distribution, security analysis must constantly update decision models to identify changes in attack behaviors and normal traffic of a network. Since improving models usually requires labeled instances, which demands significant effort from security specialists, the purpose of this work is to contribute to the development of real-world IDSs. Therefore, our goal is to: i) compare the use of individual packets and network flows in the intrusion detection task by analyzing the predictive performance of data stream classifiers; ii) analyze the impact of delayed labelling for updating the models on the classifiers’ performance; and iii) evaluate the impact of active learning strategies on the classifiers’ performance. Our experimental evaluation used the CICIDS2017 dataset, different data stream classification algorithms, and five evaluation measures. Experiments have shown packet-based IDSs perform similarly to flow-based IDSs. Based on this result, we studied different active learning techniques to estimate the impact of delayed labelling on packet-based IDSs. The performance of the classifiers is inversely proportional as the label delivery rate. Besides, the active learning strategies helped keep the performance at a satisfactory level, even with a small set of labeled instances. |
| Keywords: | Sistemas de Detecção de Intrusão Aprendizado de Máquina Fluxos Contínuos de Dados Pacotes de Rede Intrusion Detection Systems Machine Learning Data Streams Packets Header |
| Area (s) of CNPq: | CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO |
| Subject: | Computação Fluxo de dados (Computação) Aprendizado do computador Redes de computadores - Sistemas de segurança |
| Language: | por |
| Country: | Brasil |
| Publisher: | Universidade Federal de Uberlândia |
| Program: | Programa de Pós-graduação em Ciência da Computação |
| Quote: | OLÍMPIO JÚNIOR, Gilberto. Detecção de intrusão sobre pacotes utilizando algoritmos de fluxos contínuos de dados. 2021. 126 f. Dissertação (Mestrado em Ciência da Computação) - Universidade Federal de Uberlândia, Uberlândia, 2021. DOI http://doi.org/10.14393/ufu.di.2021.634 |
| Document identifier: | http://doi.org/10.14393/ufu.di.2021.634 |
| URI: | https://repositorio.ufu.br/handle/123456789/33882 |
| Date of defense: | 28-Oct-2021 |
| Appears in Collections: | DISSERTAÇÃO - Ciência da Computação |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| DeteccaoIntrusaoPacotes.pdf | 18.53 MB | Adobe PDF |  View/Open |
This item is licensed under a Creative Commons License
