Um Sistema Adaptativo de Detecção e Reação a Ameaças
Resumo
Atacantes criam novas ameaças e constantemente mudam seu comportamento para enganar os sistemas de segurança atuais. Aliás, as ameaças são detectadas em dias ou semanas, enquanto uma contramedida deve ser imediatamente efetuada para evitar ou reduzir prejuízos. Este artigo propõe um sistema adaptativo de detecção de ameaças que possui um esquema baseado em Redes Definidas por Software (SDN) para realizar contramedidas. As contribuições do trabalho são: i) a detecção e prevenção de ameaças analisando uma sequência de apenas cinco pacotes de cada fluxo; ii) o desenvolvimento de algoritmos de detecção treinados em tempo real, com comportamento adaptativo; iii) o imediato acionamento de contramedidas sem esperar o fim do fluxo; e iv) o efetivo bloqueio de ameaças mesmo em cenários nos quais o endereço do pacote IP é mascarado. Um esquema baseado na tecnologia SDN efetua o monitoramento da sequência de cinco pacotes e o rápido bloqueio do ataque ainda na origem, evitando que recursos de rede sejam desperdiçados. Os resultados obtidos mostram uma alta acurácia na detecção de ameaças, mesmo com o comportamento da rede variando com o tempo.Referências
Andreoni Lopez, M., Mattos, D. M. F. e Duarte, O. C. M. B. (2016). An elastic intrusion detection system for software networks. Annales des Telecommunications/Annals of Telecommunications, 71(11-12):595–605.
Bernaille, L., Teixeira, R., Akodkenou, I., Soule, A. e Salamatian, K. (2006). Traffic classification on the fly. ACM SIGCOMM Computer Communication Review, 36(2):23–26.
Braga, R., Mota, E. e Passito, A. (2010). Lightweight DDoS flooding attack detection using NOX/OpenFlow. Em IEEE 35th Conference on Local Computer Networks, páginas 408–415.
Buczak, A. e Guven, E. (2015). A survey of data mining and machine learning methods for cyber security intrusion detection. IEEE Communications Surveys Tutorials, (99):1–26.
Donato,W. D., Pescape, A. e Dainotti, A. (2014). Traffic identification engine: an open platform for traffic classification. IEEE Network, 28(2):56–64.
Garcia, S., Grill, M., Stiborek, J. e Zunino, A. (2014). An empirical comparison of botnet detection methods. Computers & Security, 45:100–123.
Ji, S.-Y., Jeong, B.-K., Choi, S. e Jeong, D. H. (2016). A multi-level intrusion detection method for abnormal network behaviors. Journal of Network and Computer Applications, 62:9–17.
Lakhina, A., Crovella, M. e Diot, C. (2005). Mining anomalies using traffic feature distributions. Em ACM SIGCOMM Computer Communication Review, volume 35, páginas 217–228. ACM.
Lee, W., Stolfo, S. J. e Mok, K. W. (1999). Mining in a data-flow environment: Experience in network intrusion detection. Em Proceedings of the fifth ACM SIGKDD international conference on Knowledge discovery and data mining, páginas 114–124. ACM.
Lippmann, R. P., Fried, D. J., Graf, I., Haines, J. W., Kendall, K. R., McClung, D., Weber, D., Webster, S. E., Wyschogrod, D., Cunningham, R. K. et al. (2000). Evaluating intrusion detection systems: The 1998 DARPA off-line intrusion detection evaluation. Em Proceedings of DARPA Information Survivability Conference and Exposition. DISCEX’00., volume 2, páginas 12–26. IEEE.
McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S. e Turner, J. (2008). OpenFlow: enabling innovation in campus networks. SIGCOMM Comput. Commun. Rev., 2008.
Peng, L., Yang, B. e Chen, Y. (2015). Effective packet number for early stage internet traffic identification. Neurocomputing, 156:252 – 267.
Ponemon, I. e IBM (2017). 2017 cost of data breach study: Global analysis. https://www.ibm.com/security/data-breach/. Acessado: 15/07/2017.
Sharafaldin, I., Gharib, A., Lashkari, A. H. e Ghorbani, A. A. (2017). Towards a reliable intrusion detection benchmark dataset. Software Networking, 2017(1):177–200.
Sommer, R. e Paxson, V. (2010). Outside the closed world: On using machine learning for network intrusion detection. Em IEEE Symposium on Security and Privacy (SP), páginas 305–316. IEEE.
Suthaharan, S. (2014). Big data classification: Problems and challenges in network intrusion prediction with machine learning. ACM SIGMETRICS Performance Evaluation Review, 41(4):70–73.
Wu, K., Zhang, K., Fan, W., Edwards, A. e Yu, P. S. (2014). RS-Forest: A rapid density estimator for streaming anomaly detection. Em IEEE International Conference on Data Mining (ICDM), páginas 600–609.
Bernaille, L., Teixeira, R., Akodkenou, I., Soule, A. e Salamatian, K. (2006). Traffic classification on the fly. ACM SIGCOMM Computer Communication Review, 36(2):23–26.
Braga, R., Mota, E. e Passito, A. (2010). Lightweight DDoS flooding attack detection using NOX/OpenFlow. Em IEEE 35th Conference on Local Computer Networks, páginas 408–415.
Buczak, A. e Guven, E. (2015). A survey of data mining and machine learning methods for cyber security intrusion detection. IEEE Communications Surveys Tutorials, (99):1–26.
Donato,W. D., Pescape, A. e Dainotti, A. (2014). Traffic identification engine: an open platform for traffic classification. IEEE Network, 28(2):56–64.
Garcia, S., Grill, M., Stiborek, J. e Zunino, A. (2014). An empirical comparison of botnet detection methods. Computers & Security, 45:100–123.
Ji, S.-Y., Jeong, B.-K., Choi, S. e Jeong, D. H. (2016). A multi-level intrusion detection method for abnormal network behaviors. Journal of Network and Computer Applications, 62:9–17.
Lakhina, A., Crovella, M. e Diot, C. (2005). Mining anomalies using traffic feature distributions. Em ACM SIGCOMM Computer Communication Review, volume 35, páginas 217–228. ACM.
Lee, W., Stolfo, S. J. e Mok, K. W. (1999). Mining in a data-flow environment: Experience in network intrusion detection. Em Proceedings of the fifth ACM SIGKDD international conference on Knowledge discovery and data mining, páginas 114–124. ACM.
Lippmann, R. P., Fried, D. J., Graf, I., Haines, J. W., Kendall, K. R., McClung, D., Weber, D., Webster, S. E., Wyschogrod, D., Cunningham, R. K. et al. (2000). Evaluating intrusion detection systems: The 1998 DARPA off-line intrusion detection evaluation. Em Proceedings of DARPA Information Survivability Conference and Exposition. DISCEX’00., volume 2, páginas 12–26. IEEE.
McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S. e Turner, J. (2008). OpenFlow: enabling innovation in campus networks. SIGCOMM Comput. Commun. Rev., 2008.
Peng, L., Yang, B. e Chen, Y. (2015). Effective packet number for early stage internet traffic identification. Neurocomputing, 156:252 – 267.
Ponemon, I. e IBM (2017). 2017 cost of data breach study: Global analysis. https://www.ibm.com/security/data-breach/. Acessado: 15/07/2017.
Sharafaldin, I., Gharib, A., Lashkari, A. H. e Ghorbani, A. A. (2017). Towards a reliable intrusion detection benchmark dataset. Software Networking, 2017(1):177–200.
Sommer, R. e Paxson, V. (2010). Outside the closed world: On using machine learning for network intrusion detection. Em IEEE Symposium on Security and Privacy (SP), páginas 305–316. IEEE.
Suthaharan, S. (2014). Big data classification: Problems and challenges in network intrusion prediction with machine learning. ACM SIGMETRICS Performance Evaluation Review, 41(4):70–73.
Wu, K., Zhang, K., Fan, W., Edwards, A. e Yu, P. S. (2014). RS-Forest: A rapid density estimator for streaming anomaly detection. Em IEEE International Conference on Data Mining (ICDM), páginas 600–609.
Publicado
06/11/2017
Como Citar
LOBATO, Antonio Gonzalez Pastana; LOPEZ, Martin Andreoni; REBELLO, Gabriel Antonio F.; DUARTE, Otto Carlos Muniz Bandeira.
Um Sistema Adaptativo de Detecção e Reação a Ameaças. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 17. , 2017, Brasília.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2017
.
p. 400-413.
DOI: https://doi.org/10.5753/sbseg.2017.19515.
