Estimativa de Holt-Winters para Detecção de Ataques em Redes WAN
Resumo
Ataques à segurança de redes e serviços são preocupações constantes para provedores de serviços de Internet. Diversos métodos para detecção de tráfego malicioso em WANs têm sido alvo de pesquisa nosúltimos anos. Este artigo avalia um método baseado no algoritmo de Holt-Winters para verificar mudanças significativas nos padrões de IPs e portas, geralmente afetados na presença de atividades maliciosas. O artigo também propõe e avalia o uso de filtros para aumentar a eficácia do método na detecção de ataques. Resultados comprovam a aplicabilidade da proposta na detecção de um TCP SYN Flood e da propagação do worm Slammer, ambos aplicados a amostras reais de tráfego oriundas do backbone da RNP.
Referências
Bogaerdt, A. V. D. (2008) “RRD Tutorial”, [link], acessado em 08/04/2009.
Brauckhoff, D., Salamatian, K., May, M. (2009) “Applying PCA for Traffic Anomaly Detection: Problems and Solutions”, Proceedings of IEEE INFOCOM 2009, Rio de Janeiro, BR.
Brutlag, J. D. (2000) “Aberrant Behavior Detection in Time Series for Network Monitoring”, Proceedings of the 14th Systems Administration Conference (LISA 2000).
Cisco Systems, Inc. (2008) “Netflow Services Solution Guide”, http://www.cisco.com/en/US/docs/ios/solutions_docs/netflow/nfwhite.pdf, acessado em 08/04/2009.
Lakhina, A., Crovella, M., and Diot, C. (2005) “Mining anomalies using traffic feature distributions”, Proceedings of the ACM SIGCOMM'2005, Philadelphia, PA, USA.
Lucena, S. C., Moura, A. S. (2009) “Análise de Estimadores EWMA e Holt-Winters para Detecção de Anomalias em Tráfego IP a partir de Medidas de Entropia”, VIII Workshop em Desempenho de Sistemas Computacionais e de Comunicação (WPerformance) 2009, Bento Gonçalves, RS, BR.
Paschalidis, I. C., Smaragdakis, G. (2009) “Spatio-Temporal Network Anomaly Detection by Assessing Deviations of Empirical Measures”, IEEE/ACM Transactions On Networking, Volume 17, Número 3.
Shannon, C. E. (1948) “A mathematical theory of communication”, Bell System Technical Journal, 27:379-423 and 623-656.
Silveira, F., Diot, C., Taft, N., Govindan, R. (2008) “Empirical Evaluation of NetworkWide Anomaly Detection”, Thomsom Technical Report, http://www.thlab.net/~fernando/papers/CR-PRL-2008-09-0004.pdf, acessado em 08/04/2009.
Ward, A., Glynn, P., Richardson, K. (1998) “Internet Service Performance Failure Detection”, ACM SIGMETRICS Performance Evaluation Review, Volume 26, Número 3.
Zonglin, L., Guangmin H., Xingmiao, Y., Dan Y. (2009) “Detecting Distributed Network Traffic Anomaly with Network-Wide Correlation Analysis”, EURASIP Journal on Advances in Signal Processing, Volume 2009, Artigo Número 2.