Detecção de intrusão através da análise de séries temporais e correlação do tráfego de rede
Resumo
Este trabalho apresenta um modelo para identificação de anomalias no
comportamento da rede de computadores, aplicado ao problema de gestão do
tráfego de redes e segurança da informação. Devido à característica de
crescimento de tráfego, alguns modelos não diferenciam anomalias de um
ataque, gerando falsos positivos prejudiciais a segurança da rede e
conseqüentemente a sua qualidade serviço. Com fim de apresentar uma
alternativa, este trabalho explora o modelo ARIMA, que permite tornar
estacionária a série temporal, e o algoritmo CUSUM, que permite detectar
anomalias. Esta abordagem possibilita avaliar com melhor qualidade o
comportamento e a identificação de uma anomalia a partir de variáveis
descritoras de tráfego e suas correlações. Os resultados demonstram que a
abordagem exige uma etapa criteriosa de seleção de variáveis que podem ser
influenciadas pelos ataques de interesse.