Análise de detecção de intrusões usando clusterização

Abstract

of attacks and intrusions becomes relevant. The Intrusion Detection Systems (or IDS) emerged as a layer of protection against attacks, analyzing trustworthy datasets to detect those intrusions by its features and attributes. Anomaly detection is one of the concepts that the IDSs can apply to. This technique applied on IDSs aim to detect attacks by detecting activities that doesn't fit the normal activities patterns. Clustering is one of the techniques that are used so that Intrusion Detection Systems can detect patterns for those normal activities (and for the abnormal ones too). This method uses the concept of grouping data. In this undergraduate thesis, techniques to enhance the clustering itself on the IDS scope are discussed and analyzed, using techniques such as feature selection of the most relevant attributes of the dataset, and normal and abnormal detection methods. Also, methods for a better use of the KDD CUP 99 dataset are discussed. The feature selection techniques generate results that are close to the original ones in both the detection rate as the false-positive rate, while decreasing the training time. The cluster labeling techniques applied generate results that increase the general precision, reducing the false-positive rate and maintaining the detection rate stable

Com o constante crescimento do uso de ferramentas computacionais e de sistemas ligados a redes, o crescimento de ataques e invasões se torna pertinente. Os Sistemas de Detecção de Intrusão (ou SDI) surgiram como uma camada de proteção contra ataques, analisando conjuntos de dados de fontes confiáveis (como o próprio sistema observado) a fim de detectar as intrusões geralmente por meio das características dos ataques. Detecção de anomalias é um dos conceitos que os SDIs podem aplicar. Esta técnica aplicada a SDIs visa a detecção de ataques por meio da detecção de atividades que fogem de padrões de atividades normais ao sistema. A clusterização é uma das formas utilizadas para que os Sistemas de Detecção de Intrusão consigam detectar padrões de atividades normais (e anormais). Este método utiliza dos conceitos de agrupamento de dados. Neste trabalho, são discutidas e analisadas técnicas para aprimoramento da clusterização no meio de SDIs, utilizando técnicas como a seleção de atributos mais relevantes deste conjunto de dados, bem como técnicas de detecção de clusters normais ou anômalos. Também são vistos técnicas e métodos para uma melhor utilização do conjunto de dados KDD CUP 99 para o uso em clusterização. As técnicas de seleção de atributos geram resultados próximos ao original tanto na taxa de detecção quanto na taxa de falsos-positivos, enquanto diminuem o tempo de treinamento consideravelmente. As técnicas aplicadas de rotulamento de clusters atingem resultados que melhoram a precisão geral, reduzindo o número de falsos-positivos e mantendo a taxa de detecção estável