|
|
| |
Untitled Document
A técnica de detecção de anomalias por RNA (Redes Neurais Artificiais) é resultado da implementação de metodologia proposta no trabalho de dissertação de mestrado de José Barbosa da Silva Filho, egresso do RAVEL/UFRJ e atualmente professor na Marinha do Brasil.
Esta metodologia, foi proposta e verificada em uma rede de computadores real, a Rede-Rio de Computadores, a qual tem seu tráfego coletado e representado através de cinco séries discretas (baseada na classificação de portas da RFC6335 da IANA):
-
Tráfego (Tk): É a principal série e define o tráfego como a soma de todos os bytes indicados no payload dos fluxos no sentido origem para destino, no instante k, onde k ∈ {2, 3, .., N};
-
Média bytes/portas (Mk): É definida como a soma de todos os bytes dividido pelo total de portas de origem, no fluxo. Sendo Mk(P) a quantidade de bytes na porta de origem P, no instante k, onde k ∈ {2, 3, .., N};
-
Portas baixas (Bk): É definida como soma de todos os bytes que tem origem em portas baixas (1-1023), no instante k, onde k ∈ {2, 3, .., N};
-
Portas do servidor (Sk): É definida como soma de todos os bytes que tem origem em portas de servidor (1024-49151), no instante k, onde k ∈ {2, 3, .., N};
-
Portas dinâmicas (Dk): É definida como a soma de todos os bytes que tem origem em portas dinâmicas (49152-65535), no instante k, onde k ∈ {2, 3, .., N}.
OBS: Onde N representa o tamanho do intervalo de amostras considerado.
Estas séries são utilizadas como base para métricas que definam, em conjunto, uma assinatura matemática em condições de normalidade. Os resultados são analisados e discutidos, sendo avaliada a efetividade real da metodologia proposta na identificação de anomalias simuladas, do tipo ciberataque.
|
|
|
|