Um detector de anomalias de tráfego de rede baseado em wavelets
Resumo
Ataques em redes de computadores comprometem a segurança do sistema e degradam
o desempenho da rede causando prejuízos aos usuários e às organizações. Sistemas Detectores
de Intrusões de Rede são usados para a detecção de ataques ou outras atividades
maliciosas por meio da análise do tráfego. A detecção de anomalias é uma abordagem
de análise usada na detecção de intrusão onde se assume que a presença de anomalias no
tráfego, desvios em relação a um comportamento padrão, é indicativo de um ataque ou
defeito. Uma das principais dificuldades dos Sistemas de Detecção de Intrusão de Rede
baseados em anomalias está na construção do perfil devido à complexidade do tráfego de
rede. Métodos derivados da Análise de Sinais, dentre os quais, a Transformada Wavelet,
têm recentemente demonstrado aplicabilidade na detecção de anomalias de rede. Neste
trabalho propõe-se um novo mecanismo baseado em wavelets para a detecção de intrusões
de rede, por meio da análise dos descritores do tráfego. O mecanismo de análise proposto
é baseado na Transformada Wavelet Discreta de Daubechies do sinal formado a partir dos
descritores do tráfego, o cálculo de thresholds e análise direta dos coeficientes wavelet
para a indicação de anomalias. Assume-se que um ataque gera uma anomalia (alteração)
no padrão de tráfego, perceptível nos coeficientes wavelet. O mecanismo de detecção é
genérico, para trabalhar com diferentes descritores, e apresenta baixa complexidade computacional,
o que potencializa a análise em tempo real. Nos experimentos, o mecanismo
demonstrou boa taxa de detecção de ataques, com poucos falsos positivos e baixo custo
de processamento.