Site do laboratório Ravel Link para o site da Coppe Link para o site da FAPERJ Link para o site da Rede Rio
  Sistema Guardião
 
 
  Untitled Document

A técnica de detecção de anomalias que utiliza séries temporais foi construída de acordo com a implementação proposta no trabalho de dissertação de mestrado do ex-aluno do Ravel Vander Luiz Proença da Silva.

Essa técnica consiste em categorizar o tráfego da rede em quatro partições e obter quatro métricas relativas a medidas nos fluxos em cada partição.
    As partições são:
  • TCP- Que contem todos os fluxos que utilizam o protocolo de camada de transporte TCP que iniciam e terminam seus processos de conexão e desconexão corretamente.
  • UDP - Que contem todos os fluxos que utilizam o protocolo de camada de transporte UDP.
  • Half-Open - Que contem todos os fluxos que utilizam o protocolo de camada de transporte TCP que não finalizam seu processo de inicialização corretamente.
  • Null - Que contem todos os fluxos que utilizam o protocolo de camada de transporte TCP, mas que foram enviados a destinos invãlidos, inexistentes ou cuja conexão não foi aberta.
    As métricas são:
  • Total de Bytes - É a soma dos bytes transmitidos nos fluxos que são analisados num intervalo de tempo de cinco minutos.
  • Total de Pacotes - É a contagem da quantidade de pacotes transmitidos nos fluxos que são analisados num intervalo de tempo de cinco minutos.
  • Socket de Destino - É o número de fluxos observados num intervalo de tempo de cinco minutos que possuem o mesmo socket de destino,
  • Porta de Destino - É o número de fluxos observados num intervalo de tempo de cinco minutos que possuem os mesmo endereços IP de origem e destino, porem com diferentes portas de destino.
De posse dessas 16 séries temporais, podemos realizar uma previsão para a próxima medição utilizando o método de Holt-Winters.

Analisando os desvios entre as medições e as previsões, podemos determinar se há ou não alguma anomalia de rede acontecendo num determinado intervalo de tempo.
 
 
O portal de Análise de Tráfego (IPTRAF) é mantido pelo RAVEL (Laboratório de Redes de Alta Velocidade) que está localzado na:
  Universidade Federal do Rio de Janeiro / Centro de Tecnologia, Bloco I-2000, 2° andar, sala 240 Cidade Universitária - Ilha do Fundão Rio de Janeiro, RJ, Brasil. CEP: 21949-900 Tel: 3938 7844 / 3938 7845.
Sugestões e críticas: webmaster@ravel.ufrj.br Entre em contato Melhor visualizado em 1024 x 768