Abordagem para geração automática de assinatura de ataques baseada em fluxos de redes de computadores

Abstract

Este trabalho apresenta um método para a geração automática de assinaturas de ataques em redes de computadores a partir de fluxos de redes. Nessa abordagem, utiliza-se um modelo de tráfego legítimo para a comparação dos dados e identificação dos elementos significativos. Esse modelo é composto de duas partes: uma formada por clusters e funções de distribuição acumuladas e outra formada por tráfegos pré-processados. A partir desse modelo composto, dispensa-se a necessidade do fornecimento de dados de múltiplas ocorrências do mesmo evento para a análise e extração de características. O sistema foi testado, quanto a sua capacidade de geração de assinaturas, para seis diferentes ataques e para tráfegos legítimos. O melhor resultado de assinatura gerado obteve F1-Score de 0.9801,o que é considerado bom pela literatura. Os tempos de geração de assinaturas para tráfegos maliciosos foram, em sua maioria, considerados rápidos, permanecendo abaixo de um minuto.

n this work we present a method for automatic signature generation of network malicious activity based in its network flow data. In this approach, we proposed a model of legitimate data for data comparison and significant features identification. Such model is composed of two parts: one formed by clusters and cumulative distribution functions, and another formed by preprocessed data. With this model, there is no need to provide data of multiple occurrences of the same event so the characteristics can be extracted. The system was tested for six different attacks and for legitimate traffic, so we could obtain its signature generation capacity. The best signature result hasitsF1-Score equal to 0.9801, which is good according to the literature. The signature generation time for malicious traffic was, in its majority, considered fast enough, remaining below one minute.