La coordination de l’évaluation : une légitimité reconnue au DPIP

Nesta seção é apresentado o método de detecção de anomalias TRAFFICbyAQR. A Figura 4.1 apresenta a arquitetura modular da solução de detecção, onde o módulo de detecção de ataques DDoS que abriga o método proposto é destacado. As subseções 4.1.1, 4.1.2 e 4.1.3 detalham cada módulo. e a subseção 4.1.3.1 apresenta o algoritmo principal que implementa o método TRAFFICbyAQR.

Figura 4.1 – Arquitetura da solução de detecção com o método TRAFFICbyAQR

Fonte: Elaborada pelo autor

tificação da Recorrência (AQR) e a Clusterização Adaptativa (A-Kmeans). No contexto da arquitetura da solução proposta (Figura 4.1), cabe salientar que a extração de atributos corresponde à fase de seleção de atributos de rede que forneçam informações relevantes ao problema de interesse (detecção de DDoS). Diferentemente, numa das fases da AQR são extraídas características dinâmicas do tráfego de rede e que visam habilitar a análise da recorrência através de MQRs. A clusterização adaptativa flexibiliza o cálculo do número de clusters utilizados para classificar o tráfego, feito automaticamente no A-Kmeans, o que potencializa a minimização dos erros de acurácia do classificador.

4.1.1 Módulo de Captura de Pacotes

Este módulo seleciona, em intervalos de tempo predeterminados através de testes na Subseção 5.5.1, o tráfego de entrada de rede que é utilizado pela AQR e serve como es- tação de captura de pacotes, recebendo, periodicamente, dados coletados por um sensor posicionado na rede.

Após coletados, os dados são enviados ao Módulo de Extração de Atributos.

4.1.2 Módulo de Extração de Atributos

Para detecção de ataques DDoS, a aplicação da AQR exige a utilização de atributos estatísticos do tráfego de rede que caracterizam esses ataques. Esses atributos são for- mados por STs que possuem diversos valores em um intervalo de tempo predeterminado. O Módulo de Extração de Atributos consiste na extração dos atributos de interesse em uma ST, os quais são repassados ao Módulo de Detecção. A ferramenta TCPSTAT é utilizada para extração dos atributos estatísticos do tráfego de uma série temporal a cada segundo, ou seja, são formadas séries temporais, uma para cada atributo extraído, e a cada uma delas é aplicada posteriormente a AQR para extração das MQRs.

4.1.3 Módulo de Detecção de Ataques

O Módulo de Detecção de Ataques é o módulo central da solução proposta (vide Figura 4.1), sendo composto pelo Módulo de Análise da Quantificação da Recorrência (Subseção 4.1.3.2) e pelo Módulo de Decisão centrado em um classificador adaptativo (Subseção 4.1.3.3). A subseção 4.1.3.1 apresenta o algoritmo principal que implementa o método TRAFFICbyAQR.

4.1.3.1 Algoritmo para detecção de ataques DDoS

A seguir o detalhamento das etapas do algoritmo que implementa o TRAFFICbyAQR.

Entrada: séries temporais de tráfego (X ).

Saída: indicação de ataque DDoS ou tráfego normal

Etapa 1: para cada série de tráfego X (uma para cada atributo definido) (ver Eq.

4.1), utilizar a AQR para calcular as características dinâmicas ou MQRs (o número de MQRs é definido conforme cada tipo de sistema, no caso deste trabalho ataque DDoS).

M QRs={M QR1=f (X_Atributo1) ,...,M QRn=f (XAtributon) } (4.1) Onde n = Número de atributos definidos com base no tipo de anomalia que o sistema irá detectar.

Etapa 2: combinar todas as MQRs (ver Eq. 4.2), calculadas para cada atributo,

resultantes da Etapa 1 para descrever os padrões dinâmicos de comportamento do tráfego sintetizados em F.

F ={[M QRs1,M QRs2,...,M QRsn]} (4.2)

Etapa 3: usar o algoritmo A-Kmeans para agrupar as MQRs em F dentro de dife-

rentes clusters e classificar o comportamento do tráfego como Ataque DDoS ou Normal. De maneira geral, de cada atributo utilizado para o algoritmo, extrai-se um número específico de MQRs (descritas na Subseção 4.1.3.2), dependendo do tipo de anomalia a ser detectada, neste caso ataque DDoS, e aplica-se a AQR em conjunto com o A-Kmeans, classificando o tráfego no intervalo de tempo determinado.

4.1.3.2 Módulo AQR

No Módulo AQR cada atributo passado pelo Módulo de Extração de Atributos é representado na forma de uma série temporal, modelada por amostras realizadas em pe- ríodos equidistantes. A cada série temporal, correspondente a um dos atributos de inte- resse definidos que expressam o tipo de anomalia a ser detectada, é aplicada a Análise da Quantificação da Recorrência, conforme definida no Capítulo 3.

Após a formação do Gráfico da Recorrência (GR), para cada atributo representado como uma série temporal, são extraídas as MQRs, as quais correspondem as Medidas de Quantificação de Recorrência, que são definidas de acordo com cada sistema utilizado e o tipo de anomalia a ser detectada.

Para extrair cada MQR a ser repassada ao Módulo de Decisão devem ser empre- gados os cálculos de quantificação aplicados aos Gráficos da Recorrência (ver Subseção 4.2.2) gerados para cada atributo estatístico utilizado.

Salienta-se que as MQRs de interesse utilizadas neste módulo são descritores di- nâmicos de comportamento e que mantêm uma estabilidade em seus resultados durante o tráfego livre de ataques, mesmo em momentos de alta variabilidade dos estados dos atributos utilizados para cada uma das séries temporais. Esta propriedade dos descritores evita alarmes falsos na presença deoutliers não relacionados a ataques de negação de

serviço, ou seja, analisar as MQRs geradas é mais eficaz na detecção de DDoS do que analisar a série temporal de origem para cada atributo.

O Módulo AQR, ao final, forma um conjunto de MQRs dos diversos atributos utiliza- dos, o qual procura expressar através das propriedades de recorrência o comportamento do sistema diante do tipo de anomalia que se propõe a detectar. Este conjunto é então encaminhado ao Módulo de Decisão para ser clusterizado e classificado.

4.1.3.3 Módulo de Decisão

Dado o conjunto de características dinâmicas recebido do Módulo AQR, o Módulo de Decisão tem a função de organizar os dados, particionando-os em grupos por similari- dade (clusters) e classificá-los como ataque DDoS (anômalos) ou não (não anômalos).

Para isso, o método TRAFFICbyAQR aplica o algoritmo A-Kmeans (BHATIA, 2004), o qual calcula automaticamente o número de clusters que serão usados para classifica- ção do comportamento descrito pelas MQRs. Após isso, o algoritmo compara os valores de cada MQR de cada cluster formado com os limiares (Thresholds) pré-estabelecidos através de testes de controle estatísticos na fase de treinamento, determinando o tipo de tráfego que está passando pela rede naquele intervalo de tempo.

A decisão do Módulo está centrada no cálculo dos centroides (pontos centrais de cada cluster ) do conjunto de MQRs recebidas do Módulo AQR e na análise se a maio- ria dos agrupamentos são classificados como anômalos, situação em que o tráfego será classificado como Ataque DDoS.