Utilização do algoritmo TEDA para detecção de anomalias em redes de provedores de internet com ênfase para ataques DoS/DDoS
DDoS, TEDA, Segurança de Redes
Um ataque DDoS (Distributed Denial of Service) é uma técnica organizada de envio distribuído de pacotes com o objetivo de sobrecarregar os dispositivos de rede e os canais de comunicação entre eles. De forma geral, seu principal objetivo é impedir que usuários legítimos acessem redes, servidores, serviços ou outros recursos do sistema de rede. Embora seja clara a importância de mecanismos de proteção ou mitigação dos efeitos deste tipo de ataque, a sua correta detecção ainda é um desafio por conta da dinamicidade e volume das comunicações e conexões de rede atuais. Embora a literatura específica seja farta em propostas de solução para o problema, a sua maioria se apoia em algoritmos de Inteligência Artificial que envolvem o aprendizado baseado em treinamento ou reforço, sendo necessário extrair características de tráfegos coletados anteriormente. Com isso, essas técnicas necessitam “olhar para o passado” para entender o tráfego na rede. Por conta disso, muitas dessas soluções não são aplicáveis a ambientes mais dinâmicos e com grande volume de tráfego, como os provedores de internet. Nessa dissertação, propomos uma abordagem para detecção de ataques de DDoS utilizando o algoritmo TEDA (Typicality and Eccentricity Data Analytics). O TEDA é um método recursivo e não paramétrico, proposto inicialmente para o problema geral de detecção de anomalias em fluxos de dados. Com a utilização do TEDA esperamos que seja possível analisar o tráfego corrente na rede, reduzindo o atraso na detecção, uma vez que o mesmo baseia-se no conceito de excentricidade dos dados, sem a necessidade de prévio conhecimento do padrão de tráfego da rede. Assim, o TEDA permite “olhar para o presente”, ou seja, para os dados que estão sendo trafegados no momento, garantindo assim uma detecção mais pontual. Essa abordagem deverá ser avaliada e testada em relação a outras abordagens relacionadas em termos de sensibilidade, especificidade, taxa de falsos positivos (FPR) e precisão de detecção.