TeMIA-NT: Monitoramento e Análise Inteligente de Ameaças de Tráfego de Rede
Resumo
Ataques cibernéticos têm se tornado cada vez mais comuns e causam grandes danos a pessoas e organizações. A detecção tardia desses ataques aumenta a possibilidade de ocorrerem danos irreparáveis, com altas perdas financeiras sendo uma ocorrência comum. Este artigo propõe TeMIA-NT: Monitoramento e Análise Inteligente de Ameaças de Tráfego de Rede, uma ferramenta para análise de tráfego em tempo real usando processamento paralelo de fluxos em um aglomerado. As principais contribuições da ferramenta TeMIA-NT são: i) a proposta de uma arquitetura modular para detecção em tempo real de intrusões de rede que suporta alta taxas de tráfego, ii) o uso da biblioteca structured streaming do Apache Spark e iii) dois modos de operação: em linha (online) e em tempo diferenciado (offline). O modo de operação em tempo diferenciado permite avaliar o desempenho de múltiplos algoritmos de aprendizado de máquina sobre um determinado conjunto de dados incluindo métricas como acurácia, F1-score e área sob a curva ROC. No modo em linha a ferramenta usa estruturas de dataframe e a biblioteca structured streaming no modo contínuo, o que permite a detecção de ameaças em tempo real e a rápida reação a ataques. De modo a minimizar os danos causados, TeMIA-NT atinge taxas de processamento de fluxo que chegam a 50 GB/s.
Referências
Azmoodeh, A., Dehghantanha, A., and Choo, K.-K. R. (2019). Big data and internet ofthings security and forensics: Challenges and opportunities. In Handbook of Big Dataand IoT Security, pages 1-4. Springer.
Bertino, E. and Islam, N. (2017). Botnets and internet of things security. Computer,50(2):76-79.
Campiolo, R., dos Santos, L. A. F., Monteverde, W. A., Suca, E. G., and Batista, D. M.(2018). Uma arquitetura para detecção de ameaças cibernéticas baseada na análise degrandes volumes de dados. In WSCDC 2018, Porto Alegre, RS, Brasil. SBC.
Cisco Systems (2014). OpenSOC: The Open Security Operations Center.https://opensoc.github.io/. Acessado em 11/03/2020.
Cybersecurity Ventures (2018). Cybersecurity Market Report.https://cybersecurityventures.com/. Acessado em 11/03/2020.
Jirsik, T., Cermak, M., Tovarnak, D., and Celeda, P. (2017). Toward Stream-Based IPFlow Analysis. IEEE Communications Magazine, 55(7):70-76.
Lobato, A. G. P., Lopez, M. A., Sanz, I. J., Cardenas, A. A., Duarte, O. C. M. B,., andPujolle, G. (2018). An adaptive real-time architecture for zero-day threat detection. In2018 IEEE International Conference on Communications (ICC), pages 1-6.
Pelloso, M., Vergutz, A., Santos, A., and Nogueira, M. (2018). A self-adaptable systemfor DDos attack prediction based on the metastability theory. In 2018 IEEE GlobalCommunications Conference (GLOBECOM), pages 1-6.
Rathore, M. M., Ahmad, A., and Paul, A. (2016). Real time intrusion detection system forultra-high-speed big data environments. Journal of Supercomputing, 72(9):3489-3510.
Symantec (2017). Internet Security Threat Report.https:/Avww.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf.Acessado em 11/03/2020.
Terzi, D. S., Terzi, R., and Sagiroglu, S. (2017). Big data analytics for network anomalydetection from netflow data. In UBMK 2017, pages 592-597. IEEE.
Verizon Enterprise (2018). Data Breach Investigations Report.https://enterprise.verizon.com/resources/reports/dbir/. Acessado em 11/03/2020.
Viegas, E., Santin, A., Bessani, A., and Neves, N. (2019). Bigflow: Real-time and reliable anomaly-based intrusion detection for high-speed networks. Future GenerationComputer Systems, 93:473-485.
