Use este identificador para citar ou linkar para este item: https://repositorio.ufu.br/handle/123456789/33882
ORCID:  http://orcid.org/0000-0003-1023-4735
Tipo do documento: Dissertação
Tipo de acesso: Acesso Aberto
Título: Detecção de intrusão sobre pacotes utilizando algoritmos de fluxos contínuos de dados
Título(s) alternativo(s): Packet intrusion detection using data streams
Autor(es): Olímpio Júnior, Gilberto
Primeiro orientador: Paiva, Elaine Ribeiro de Faria
Primeiro coorientador: Miani, Rodrigo Sanches
Segundo coorientador: Camargos, Lasaro Jonas
Primeiro membro da banca: Senger, Hermes
Segundo membro da banca: Cattelan, Renan Gonçalves
Resumo: Os Sistemas de Detecção de Intrusão (IDS) auxiliam na proteção das redes de computadores, pois identificam e detectam tentativas de obter acesso não autorizado aos dados, inspecionando pacotes individualmente ou no contexto de fluxos. Considerando que o processo de detecção de intrusão é uma tarefa de classificação de um fluxo de pacotes gerados continuamente em uma distribuição não-estacionária, os modelos de decisão devem sofrer atualizações a fim de identificar mudanças no comportamento dos ataques e do tráfego normal da rede. A atualização dos modelos, em geral, requer instâncias rotuladas, o que exige grande esforço de especialistas. Este trabalho contribuiu com o desenvolvimento de um IDS para o mundo real, propondo: i) comparar o uso de pacotes individuais e fluxos de pacotes na tarefa de detecção de intrusão, por meio da análise do desempenho preditivo de classificadores de fluxos contínuo de dados construídos a partir desses dois tipos de dados; ii) analisar o impacto no desempenho dos classificadores quando há atraso na entrega dos rótulos das instâncias para atualização dos modelos; e iii) avaliar o impacto que as estratégias de aprendizado ativo causam nos classificadores quando somente as melhores instâncias são rotuladas e usadas na atualização dos modelos. Neste sentido, os experimentos foram realizados usando o conjunto de dados CICIDS2017, diferentes algoritmos de classificação de fluxos contínuos de dados e medidas de avaliação. Eles mostraram que inspecionar os pacotes individualmente tem um desempenho semelhante à inspeção de fluxos na detecção de intrusão. De modo que, a partir desse resultado, os pacotes individuais foram usados no estudo de técnicas de aprendizado ativo e atraso na entrega dos rótulos. O desempenho dos classificadores sofreu queda à medida que se aumentava o atraso na entrega dos rótulos verdadeiros. Por fim, as estratégias de aprendizado ativo permitiram manter o desempenho preditivo na classificação de tráfego normal e malicioso, usando um conjunto reduzido de instâncias rotuladas.
Abstract: Intrusion Detection Systems (IDSs) help protect computer networks by identify and detect attempts to obtain unauthorized access to data via computer networks by inspecting packets separately or in the context of flows. Considering that the intrusion detection process is a classification task of continuously stream-generated packets in a non-stationary distribution, security analysis must constantly update decision models to identify changes in attack behaviors and normal traffic of a network. Since improving models usually requires labeled instances, which demands significant effort from security specialists, the purpose of this work is to contribute to the development of real-world IDSs. Therefore, our goal is to: i) compare the use of individual packets and network flows in the intrusion detection task by analyzing the predictive performance of data stream classifiers; ii) analyze the impact of delayed labelling for updating the models on the classifiers’ performance; and iii) evaluate the impact of active learning strategies on the classifiers’ performance. Our experimental evaluation used the CICIDS2017 dataset, different data stream classification algorithms, and five evaluation measures. Experiments have shown packet-based IDSs perform similarly to flow-based IDSs. Based on this result, we studied different active learning techniques to estimate the impact of delayed labelling on packet-based IDSs. The performance of the classifiers is inversely proportional as the label delivery rate. Besides, the active learning strategies helped keep the performance at a satisfactory level, even with a small set of labeled instances.
Palavras-chave: Sistemas de Detecção de Intrusão
Aprendizado de Máquina
Fluxos Contínuos de Dados
Pacotes de Rede
Intrusion Detection Systems
Machine Learning
Data Streams
Packets Header
Área(s) do CNPq: CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO
Assunto: Computação
Fluxo de dados (Computação)
Aprendizado do computador
Redes de computadores - Sistemas de segurança
Idioma: por
País: Brasil
Editora: Universidade Federal de Uberlândia
Programa: Programa de Pós-graduação em Ciência da Computação
Referência: OLÍMPIO JÚNIOR, Gilberto. Detecção de intrusão sobre pacotes utilizando algoritmos de fluxos contínuos de dados. 2021. 126 f. Dissertação (Mestrado em Ciência da Computação) - Universidade Federal de Uberlândia, Uberlândia, 2021. DOI http://doi.org/10.14393/ufu.di.2021.634
Identificador do documento: http://doi.org/10.14393/ufu.di.2021.634
URI: https://repositorio.ufu.br/handle/123456789/33882
Data de defesa: 28-Out-2021
Aparece nas coleções:DISSERTAÇÃO - Ciência da Computação

Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
DeteccaoIntrusaoPacotes.pdf18.53 MBAdobe PDFThumbnail
Visualizar/Abrir


Este item está licenciada sob uma Licença Creative Commons Creative Commons