Detecção de ataques de negação de serviço utilizando aprendizado de máquina

Silva, Eduardo da Costa da

DSpace Home
→
Centro de Ciências Exatas e Tecnologia (CCET)
→
Informática Aplicada
→
INAP - Dissertações de Mestrado
→
View Item

dc.contributor.advisor	Lucena, Sidney Cunha de
dc.contributor.author	Silva, Eduardo da Costa da
dc.date.accessioned	2018-04-13T18:40:44Z
dc.date.available	2018-04-13T18:40:44Z
dc.date.issued	2016-07-28
dc.identifier.citation	SILVA, Eduardo da Costa da. Detecção de ataques de negação de serviço utilizando aprendizado de máquina. 2016. 112 f. Dissertação (Mestrado em Informática) - Universidade Federal do Estado do Rio de Janeiro, Rio de Janeiro, 2016.	pt_BR
dc.identifier.uri	http://hdl.handle.net/unirio/11522
dc.description	Dissertação também disponível em formato impresso, com o número de chamada CCET MI 2016/11.	pt_BR
dc.description.sponsorship	n/a	pt_BR
dc.language.iso	Portuguese	pt_BR
dc.rights	openAccess	pt_BR
dc.title	Detecção de ataques de negação de serviço utilizando aprendizado de máquina	pt_BR
dc.type	masterThesis	pt_BR
dc.contributor.referee	Lucena, Sidney Cunha de
dc.contributor.referee	Campos, Carlos Alberto Vieira
dc.contributor.referee	Rocha, Antônio Augusto de Aragão
dc.contributor.referee	Domingues, Guilherme de Melo Baptista
dc.degree.department	CCET	pt_BR
dc.degree.grantor	Universidade Federal do Estado do Rio de Janeiro - UNIRIO	pt_BR
dc.degree.level	Mestrado Acadêmico	pt_BR
dc.degree.local	Rio de Janeiro, RJ.	pt_BR
dc.degree.program	Programa de Pós-Graduação em Informática	pt_BR
dc.subject.cnpq	CIÊNCIAS EXATAS E DA TERRA	pt_BR
dc.subject.cnpq	CIÊNCIA DA COMPUTAÇÃO	pt_BR
dc.subject.en	DDoS	pt_BR
dc.subject.en	Anomaly detection	pt_BR
dc.subject.en	lambda architecture	pt_BR
dc.subject.en	Machine learning	pt_BR
dc.subject.en	Entropy	pt_BR
dc.description.abstracten	The identification of Distributed Denial of Service (DDoS) attacks is considered a complex task given that traffic generated by this type of attack has dynamic characteristics, making it difficult to obtain statistical behavioral models. These peculiarities of DDoS attacks give the possibility of camouflaging their flows, causing them to be misunderstood as legitimate traffic. Still, malicious traffic may have different behavioral patterns, allowing them to be caught using suitable methods or techniques. Given this context, this dissertation proposes a machine learning-based system to detect DDoS attack flows, incorporating in their learning a global network state represented by the entropy of the characteristics of IP (Internet Protocol) flows present in a given period of time. The proposed architecture follows the premise of scalability and was based on the Lambda architecture, integrating three known open source solutions for use in Big Data scenarios: Apache SAMOA, Apache Storm and Apache Hadoop. The Apache SAMOA provided the algorithms and methods used in this study, such as VHT (Vertical Hoeffding Tree), Bagging and Adaptive Bagging, used to create flow classification tasks. Apache Storm was the mechanism responsible for processing flows and Apache Hadoop has the responsibility to store any data used by the system. The validation of the system used realistic datasets containing legitimate traffic and DDoS attacks obtained in a controlled environment. In addition, experiments used three scenarios with DDoS attacks from CTU-13 dataset. Results shown an accuracy of more than 94% in worst case, tending to 100% in all other cases. In addition, the low number of false positives and negatives, as well as their respective rates, demonstrates the effectiveness of the proposed system.	pt_BR
dc.degree.country	Brasil	pt_BR
dc.description.sponsordocumentnumber	n/a	pt_BR
dc.description.abstractpt	Identificar ataques distribuídos de negação de serviço (DDoS - Distributed Denial of Service) é considerada uma tarefa complexa, pois os tráfegos gerados por esses tipos de ataques possuem características dinâmicas que dificultam a obtenção de modelos comportamentais estáticos. Tais peculiaridades dos ataques DDoS dão a possibilidade de camuflagem dos fluxos originados por eles, fazendo com que sejam confundidos com fluxos lícitos, livres de ataques DDoS, provenientes de tráfego legítimo de dados. Mesmo assim, o tráfego malicioso pode apresentar padrões comportamentais diferenciados que permitem ser capturados utilizando métodos ou técnicas adequados. Dado esse contexto, a presente dissertação propõe um sistema baseado em aprendizado de máquina para detectar fluxos de ataques DDoS, incorporando em seu aprendizado o estado global, obtido pelo uso do conceito de entropia, das características de rede presentes nos fluxos IPs (Internet Protocol) num dado período de tempo. A arquitetura proposta segue a premissa da escalabilidade e foi baseada na arquitetura lambda, integrando três soluções conhecidas e de código aberto para uso em cenários do tipo Big Data: o Apache SAMOA, Apache Storm e o Apache Hadoop. A utilização do Apache SAMOA foi caracterizada por fornecer os algorítimos e métodos utilizados neste trabalho, tais como: o VHT (Vertical Hoeffding Tree), o Bagging e AdaptiveBagging para a criação da tarefa de classificação dos fluxos. O Apache Storm foi o mecanismo responsável pelo processamento dos fluxos. Já o Apache Hadoop teve a incumbência de armazenar quaisquer dados utilizados pelo sistema. A validação do sistema proposto usou datasets realísticos contendo tráfego legítimo e ataques DDoS obtidos em ambiente controlado. Em adição, foram utilizados três cenários contento ataques DDoS do dataset CTU-13. Os resultados para a acurácia, superior a 94% no pior caso e tendendo a 100% nos casos restantes, a baixa quantidade de falsos positivos e negativos bem como as suas respectivas taxas, demonstram a eficiência do sistema proposto.	pt_BR
dc.subject.pt	DDoS	pt_BR
dc.subject.pt	Detecção de anomalia	pt_BR
dc.subject.pt	Arquitetura lambda	pt_BR
dc.subject.pt	Aprendizado de máquina	pt_BR
dc.subject.pt	Entropia	pt_BR