LEANDRO HIDEKI SHIGAKI

DETECÇÃO DE ANOMALIAS EM REDES DE COMPUTADORES USANDOSISTEMA IMUNOLÓGICO ARTIFICIAL

LONDRINA–PR

2017

LEANDRO HIDEKI SHIGAKI

DETECÇÃO DE ANOMALIAS EM REDES DE COMPUTADORES USANDOSISTEMA IMUNOLÓGICO ARTIFICIAL

Trabalho de Conclusão de Curso apresentadoao curso de Bacharelado em Ciência da Com-putação da Universidade Estadual de Lon-drina para obtenção do título de Bacharel emCiência da Computação.

Orientador: Prof. Dr. Mario Lemes Proença Jr.

LONDRINA–PR

2017

Leandro Hideki ShigakiDetecção de anomalias em redes de computadores usando sistema imunológico

artificial/ Leandro Hideki Shigaki. – Londrina–PR, 2017-54 p. : il. (algumas color.) ; 30 cm.

Orientador: Prof. Dr. Mario Lemes Proença Jr.

– Universidade Estadual de Londrina, 2017.

1. Sistema de Detecção de Intrusão. 2. Sistema Imunológico Artificial. I. Dr. MarioLemes Proença Jr.. II. Universidade Estadual de Londrina. III. Faculdade de Ciência daComputação. IV. Detecção de Anomalias em Redes de Computadores Usando SistemaImunológico Artificial

CDU 02:141:005.7

LEANDRO HIDEKI SHIGAKI

DETECÇÃO DE ANOMALIAS EM REDES DE COMPUTADORES USANDOSISTEMA IMUNOLÓGICO ARTIFICIAL

Trabalho de Conclusão de Curso apresentadoao curso de Bacharelado em Ciência da Com-putação da Universidade Estadual de Lon-drina para obtenção do título de Bacharel emCiência da Computação.

BANCA EXAMINADORA

Prof. Dr. Mario Lemes Proença Jr.Universidade Estadual de Londrina

Orientador

Prof. Me. Luiz Fernando CarvalhoUniversidade Estadual de Londrina

Prof. Dr. Wesley AttrotUniversidade Estadual de Londrina

Londrina–PR, 21 de fevereiro de 2017

Dedico este trabalho à todos que me ajudaram a enfrentar

os desafios e obstáculos durante este percurso.

AGRADECIMENTOS

Agradeço aos meus pais por me proporcionarem condições de estudo.

Ao meu irmão por seus conselhos em momentos difíceis.

Aos professores Dr. Mario Lemes Proença Jr. e Me. Luiz Fernando Carvalho pelo in-

centivo e orientação.

À todos os professores que, de alguma forma, contribuíram para o meu crescimento

intelectual e profissional, por todo o seu esforço e dedicação ao trabalho que muitas vezes

não são reconhecidos.

Aos meus amigos que fizeram do curso uma jornada menos estressante, com exceção

do Vitor “Aruela” Bezerra em seus momentos humorísticos.

“You cannot escape the responsibility of tomorrow by evading it today.”

(Abraham Lincoln)

SHIGAKI, L. H.. Detecção de anomalias em redes de computadores usando sistema imu-

nológico artificial. 54 p. Trabalho de Conclusão de Curso (Bacharelado em Ciência da Com-

putação) – Universidade Estadual de Londrina, Londrina–PR, 2017.

RESUMO

Com a modernização da sociedade, a Internet tornou-se uma ferramenta essencial para ocotidiano. Manter a sua integridade e segurança é primordial. Contudo, como em quaisqueroutros meios de comunicação, as redes são passíveis de sofrerem anomalias. Qualquer formadeliberada de acesso não autorizado ou tentativa de deixá-la inoperante deve ser detectada etratada. Atualmente, observa-se ênfase da aplicação de modelos heurísticos bio-inspiradospara a detecção de anomalias em redes de computadores. Portanto, o presente trabalho rea-lizará um levantamento bibliográfico a fim de demonstrar a utilização de aplicações de Sis-temas Imunológicos Artificiais (SIA) neste contexto. Também serão abordados os modelosderivados da meta-heurística SIA mais conhecidos, sendo eles a Seleção Negativa, a SeleçãoClonal, a Teoria da Rede Imunológica e a Teoria do Perigo.

Palavras-chave: Sistema de Detecção de Intrusão, Sistema Imunológico Artificial.

SHIGAKI, L. H.. Anomaly detection in computer networks using artificial immune system.

54 p. Final Project (Bachelor of Science in Computer Science) – State University of Londrina,

Londrina–PR, 2017.

ABSTRACT

With modernization of society, the Internet has become an essential tool for everyday life.Maintain its integrity and security is crucial. However, as in any other communication me-dia, networks are susceptible to malfunctions. Recently, there is emphasis on the applicationof bio-inspired heuristic models for anomaly detection in computer networks. Therefore, thepresent work will carry out a bibliographical survey in order to demonstrate the use of Artifi-cial Immune Systems (AIS) applications in this context. The most well-known meta-heuristicSIA models, such as Negative Selection, Clonal Selection, Immune Network Theory and Dan-ger Theory will also be discussed.

Keywords: Intrusion Detection System, Artificial Immune System.

LISTA DE ILUSTRAÇÕES

Figura 1 – Estrutura do Sistema Imunológico [1]. . . . . . . . . . . . . . . . . . . . . . . 35

Figura 2 – Conceito principal da Seleção Negativa [2]. . . . . . . . . . . . . . . . . . . . 37

Figura 3 – Algoritmo de seleção negativa - geração do conjunto de detectores. Adap-

tado de SAURABH, P. [3]. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Figura 4 – Algoritmo de seleção negativa - detecção de nonself. Adaptado de SAU-

RABH, P. [3]. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Figura 5 – Ilustração dos processos de reconhecimento, clonagem e mutação da se-

leção clonal. Adaptado de [4] . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Figura 6 – Ilustração do funcionamento da rede imunológica [5]. . . . . . . . . . . . . 40

Figura 7 – Ativação da resposta imune segundo a teoria do perigo [6]. . . . . . . . . . . 41

Figura 8 – Predição do dia 08 de outubro para bits. . . . . . . . . . . . . . . . . . . . . . 45

Figura 9 – Sinais da predição do dia 08 de outubro para bits. . . . . . . . . . . . . . . . 45

Figura 10 – Predição do dia 08 de outubro para pacotes. . . . . . . . . . . . . . . . . . . 46

Figura 11 – Sinais da predição do dia 08 de outubro para pacotes. . . . . . . . . . . . . . 46

Figura 12 – Predição do dia 12 de outubro para bits. . . . . . . . . . . . . . . . . . . . . . 47

Figura 13 – Sinais da predição do dia 12 de outubro para bits. . . . . . . . . . . . . . . . 47

Figura 14 – Predição do dia 12 de outubro para pacotes. . . . . . . . . . . . . . . . . . . 47

Figura 15 – Sinais da predição do dia 12 de outubro para pacotes. . . . . . . . . . . . . . 48

LISTA DE TABELAS

Tabela 1 – Áreas de gerência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Tabela 2 – Descrição dos Trabalhos Relacionados. . . . . . . . . . . . . . . . . . . . . . 44

LISTA DE ABREVIATURAS E SIGLAS

ACO Ant Colony Optimization

ACODS Ant Colony Optimization for Digital Signature

AIS Artificial Immune System

DCA Dendritic Cell Algorithm

DDoS Distributed Denial of Service

DSNSF Digital Signature of Network Segment using Flow analysis

DoS Denial of Service

GPS Global Positioning System

HIDS Host-based Intrusion Detection System

IDS Intrusion Detection System

IETF Internet Engineering Task Force

IP Internet Protocol

IPFIX Internet Protocol Flow Information Export

ISO International Organization for Standardization

MIB Management Information Base

NIDS Network-based Intrusion Detection System

PSO Particle Swarm Optimization

SCTP Stream Control Transmission Protocol

SI Sistema Imunológico

SIA Sistema Imunológico Artificial

SNMP Simple Network Management Protocol

TCP Transmission Control Protocol

UDP User Datagram Protocol

SUMÁRIO

1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2 TRABALHOS RELACIONADOS . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3 GERÊNCIA DE REDES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.1 Simple Network Management Protocol (SNMP) . . . . . . . . . . . . . . . . 30

3.2 Fluxos IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.3 NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.4 sFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.5 IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3.6 Sistema de Detecção de Intrusão (IDS) . . . . . . . . . . . . . . . . . . . . . 32

4 SISTEMA IMUNOLÓGICO ARTIFICIAL . . . . . . . . . . . . . . . . . . . . . 35

4.1 Conceitos Básicos do Sistema Imunológico Biológico . . . . . . . . . . . . 35

4.1.1 Distinção Self/Nonself . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.1.2 Seleção Negativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.1.3 Seleção Clonal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.1.4 Teoria da Rede Imunológica . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.1.5 Teoria do Perigo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.2 Trabalhos Relacionados Aplicados . . . . . . . . . . . . . . . . . . . . . . . . 41

5 ESTUDO DE CASO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

6 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

23

1 INTRODUÇÃO

A Internet vem crescendo cada vez mais e com maior velocidade, tornando-se essen-

cial no cotidiano [7]. Esta dependência é dada por diversas razões, por exemplo, a facilidade

de se comunicar de maneira simples e veloz, possibilitando manter o contato com o mundo

todo. Outro fator também associado é a variedade de serviços e aplicativos disponíveis na

rede, tais como: redes sociais, notícias, sistemas bancários, serviços de compras, entre ou-

tros [8].

Outros serviços que também dependem de uma rede segura e estável são sistemas de

GPS, redes veiculares e cidades inteligentes. A ocorrência de falhas em alguma dessas áreas

podem causar transtornos à sociedade.

Para usar um serviço online, muitas vezes é preciso criar uma conta, que implica

em fornecer dados pessoais. No caso das redes sociais, a exposição de dados particulares

é ainda maior. Por um lado, acredita-se que as empresas se empenham para manter a in-

tegridade de nossos dados. No entanto, existem cibercriminosos por toda parte tentando

invadir estes sistemas. Um ataque bem-sucedido causa problemas como roubo de informa-

ções confidenciais e comprometimento do sistema. Sua recuperação pode ser trabalhosa,

ocasionando desperdício de tempo e gasto de recursos [9].

Tendo em mente que a segurança de redes e de informações são realmente neces-

sárias, parte dos pesquisadores de segurança de rede estão buscando soluções baseadas em

modelos heurísticos bio-inspirados a fim de melhorar os softwares de detecção e prevenção

de ataques [10] [11]. Estes são modelos que simulam parte das características e compor-

tamentos de seres vivos. Geralmente, o comportamento simulado é um procedimento de

busca usado pelos seres vivos avaliados, como é o caso das heurísticas Colônia por Formigas

(ACO) e da Otimização por Enxame de Partículas (PSO) [10].

Os modelos bio-inspirados são divididos em quatro categorias, sendo elas: Algorit-

mos Evolutivos, Inteligência Coletiva, Redes Neurais e Sistemas Imunológicos Artificiais. Na

literatura, apresentam-se vários trabalhos com problemas relacionados à computação que

alcançaram seus objetivos utilizando algum modelo que faz parte das categorias citadas an-

teriormente [11].

Também, grande parte dos trabalhos de Sistemas Imunológicos Artificiais voltados

à detecção de anomalias obtiveram bons resultados. Portanto, este trabalho realizará um

estudo sobre os diferentes métodos de Sistemas Imunológicos Artificiais para a detecção de

anomalias em redes de computadores.

O presente trabalho está estruturado da seguinte forma. O Capítulo 2 apresenta os

trabalhos relacionados. Estes trabalhos estão divididos em três principais focos, detecção de

24

anomalias, sistemas imunológicos artificiais e trabalhos sobre gerência de redes realizados

pelo grupo de redes da UEL. O Capítulo 3 apresenta uma discussão sobre a importância do

uso de um sistema de detecção de intrusão. Também são apresentados os tipos de IDS, mo-

delos de detecção e as vantagens e desvantagens de cada modelo. Os estudos de SIA para

a detecção de anomalias são apresentados no Capítulo 4. Este capítulo discorre sobre cada

modelo de SIA e o funcionamento de seu algoritmo. Ao fim, o Capítulo 5 apresenta as con-

clusões finais deste trabalho e propostas futuras.

25

2 TRABALHOS RELACIONADOS

Neste capítulo encontram-se trabalhos relacionados com foco em gerência de redes,

detecção de anomalias e sistemas imunológicos artificiais.

Forrest et al. [12] propuseram o uso de algoritmos de seleção negativa para a detecção

de anomalias. A seleção negativa é fundamentada na teoria self/nonself que será explicado

na Seção 3.2.1. Este algoritmo define self como o comportamento normal do sistema moni-

torado. Basicamente ele gera uma quantidade x de entidades aleatoriamente e compara-os

com cada entidades self já definido. Se alguma entidade gerada aleatoriamente correspon-

der com uma entidade self, ela é descartada da solução. Caso contrário, ele se torna um de-

tector. Ao fim da criação do conjunto de detectores, novas entidades são comparadas com

o conjunto e se alguma entidade corresponder com um detector, ela será considerada uma

entidade nonself, detectando uma anomalia no sistema monitorado [13].

Greensmith e Aickelin propuseram o Algoritmo das Células Dendríticas (Dendritic

Cells Algorithm - DCA) baseado na teoria do perigo [14]. O DCA tenta simular a eficácia das

células dendríticas que são capazes de ativar ou suprimir respostas imunes através dos sinais

de correlação representados em seu ambiente [15] [16].

Gabriele Magna et al. [17] propuseram o uso de sistemas imunológicos artificiais para

a detecção de câncer de mama em estágios iniciais. Foi utilizado um modelo não supervisi-

onado para extrair informações relevantes para a padronização das imagens. Feito isso, foi

aplicado o algoritmo A2INET para detectar assimetria bilateral, visto que isto está correlaci-

onado com maior risco de câncer de mama. A classificação foi treinada usando um conjunto

de descritores medindo o grau de similaridade das regiões da esquerda e da direita dos seios.

Este trabalho atingiu níveis máximos de 90% de acurácia, 93% de sensibilidade e 87% de es-

pecificidade.

Dasgupta et al. [18] propuseram um algoritmo inspirado na resposta imune humoral

das células T, o MILA (Multilevel Immune Learning Algorithm). Este algoritmo possui qua-

tro fases: inicialização, reconhecimento, evolucionária e resposta. Na fase de inicialização é

injetado dados self, na fase de reconhecimento são usados três grupos de detectores para

um reconhecimento multinível. Um processo de refinamento do conjunto de detectores é

realizado na fase evolucionária. Por fim, antígenos são eliminados na fase de resposta. No

trabalho, o grau de relacionamento entre um antígeno e um anticorpo é medido pela distân-

cia Euclidiana entre eles.

Silva [6] utilizou o DCA, algoritmo imunoinspirado baseado na teoria do perigo, para

a detecção de ping scans. No trabalho, o autor utiliza um sistema de inferência nebulosa

(fuzzy) a fim de reduzir a quantidade de alarmes falsos.

26

Ismaila Idris e Ali Selamat [19] utilizaram um modelo baseado no sistema imunoló-

gico artificial para a detecção de spams. A detecção é feita a partir de um algoritmo de seleção

negativa. O primeiro passo deste algoritmo foi classificar cuidadosamente cada e-mail em

self e nonself. Durante este processo, perceberam que existiam e-mails legítimos reconheci-

dos pelo algoritmo como spams e outros e-mails potencialmente maliciosos foram aceitos

sem muito cuidado. Estes são os chamados falsos positivos e falsos negativos e com a inten-

ção de diminuí-los, foram testados diferentes valores de limiares e descoberto que um valor

de limiar maior aumenta a acurácia do detector de spams.

Carvalho [20] apresenta uma ferramenta de caracterização de tráfego de um seg-

mento de rede a fim de detectar eventos anômalos e manter as informações sobre o uso

de recursos da rede sempre atualizadas para o administrador. A ferramenta proposta neste

trabalho utiliza o modelo heurístico bio-inspirado Otimização por Colônia de Formigas (Ant

Colony Optimization - ACO) e um algoritmo de mineração de dados de clusterização resul-

tando no ACODS. Este sistema simula o comportamento de uma colônia de formigas em

busca de alimentos. Foram realizados testes comparativos entre a clusterização K-means e o

ACODS para a criação de assinaturas digitais da rede (DSNSF). Nos testes, observou-se que

o ACODS convergiu para a solução em menos iterações, pois enquanto o K-means produz

uma única solução por iteração, cada agente no ACODS descreve uma solução e então, por

meio da interação coletiva entre as formigas, são encontradas melhores soluções. O algo-

ritmo mostrou-se bem efetivo na detecção de flash crowds e a análise multidimensional de

fluxos IP resulta em uma solução mais eficiente.

Haidong Fu et al. [21] apresentam o modelo de um Sistema Imunológico Artificial

Multiagente inspirado na Teoria do Perigo para a detecção de anomalias, chamado MAAIS

(Multi-agents Artificial Immune System). A ideia principal do MAAIS é ser um sistema de

defesa capaz de se adaptar aos ataques de uma rede por mais diversos que eles sejam.

Nejad et al. [22] propuseram uma adaptação do algoritmo TLR (Toll-Like Receptors)

para aumentar a taxa de detecção e a acurácia na detecção de anomalias, o STLR (Structural

TLR). O algoritmo STLR leva em consideração a estrutura dos antígenos, computacional-

mente, um antígeno é definido por um vetor de atributos, sendo eles, quantidade de cha-

madas de sistema, modo, flags, PID, GID e UID. Desta maneira, foi possível definir melhor

o comportamento de uma anomalia. Ao fim, foi realizada uma comparação entre o algo-

ritmo proposto (STLR) e o algoritmo clássico (TLR) através da curva ROC, obtendo respecti-

vamente, um escore de 96% e 77%.

Abdelhaq et al. [23] propuseram a utilização de um algoritmo híbrido em redes mó-

veis ad-hoc (Mobile Ad-Hoc Networks - MANET), o DCFA (Dendritic Cell Fuzzy Algorithm). O

DCFA combina as características relevantes de Sistemas Imunológicos Artificiais baseadas

na Teoria do Perigo e dos sistemas baseados na Teoria da Lógica fuzzy. O algoritmo proposto

utiliza apenas os sinais de PAMP (Pathogen-Associated Molecular Pattern) e perigo, porém,

27

fuzzifica-os gerando novos atributos, sendo eles: muito PAMP, pouco PAMP, muito perigo,

pouco perigo. Então, as regras de dedefuzzificação foram criadas a partir de combinações

entre os novos atributos.

29

3 GERÊNCIA DE REDES

Redes de computadores tornaram-se indispensáveis devido a inúmeros serviços dis-

poníveis e a facilidade de comunicação. O incessante crescimento da rede demanda por sua

gerência, propiciando integridade e segurança aos dados. Porém, sua gerência é uma ati-

vidade árdua e complexa. Em resposta à essa dificuldade, a Organização Internacional de

Padronização ISO (International Organization for Standardization) [24] desenvolveu uma

arquitetura para o gerenciamento de redes, o Modelo FCAPS, como mostra a Tabela 1.

Tabela 1 – Áreas de gerência

F Fault (Gerenciamento de Falhas)C Configuration (Gerenciamento de Configuração)A Accounting (Gerenciamento de Contabilidade)P Performance (Gerenciamento de Desempenho)S Security (Gerenciamento de Segurança)

• Gerenciamento de Falhas: Responsável por detectar e corrigir situações que compro-

metem o funcionamento da rede. Quando uma falha é encontrada nessa área, determina-

se a origem da falha, isola-a da rede e então é feita sua correção. Esta área também

busca a detecção de possíveis falhas antes mesmo que ocorram;

• Gerenciamento de Configuração: Sua principal função é controlar e monitorar as con-

dições do ambiente de rede, mantendo suas informações sempre atualizadas em caso

de mudanças como instalação de novos componentes, alteração de configurações,

atualização ou troca de equipamentos e modo de operação dos dispositivos da rede;

• Gerenciamento de Contabilidade: A partir da análise de logs, esta área monitora e ve-

rifica o uso dos recursos da rede, levando em consideração a identificação de usuários,

serviços utilizados e a quantidade de dados gerados a fim de assegurar o uso correto

dos recursos;

• Gerenciamento de Desempenho: Oferece funcionalidades como medição, monitora-

mento e avaliação de níveis de desempenho alcançados pela rede. Os principais parâ-

metros que definem um bom desempenho da rede são tempo de resposta e disponi-

bilidade de recursos. De acordo com os resultados, é possível verificar a viabilidade da

troca de equipamentos visando um melhor desempenho para a rede;

• Gerenciamento de Segurança: Responsável por assegurar o uso correto dos recursos

através do monitoramento da rede. Também é responsável pela proteção de infor-

mações, verificação de privilégios de usuário e pelo registro em logs de tentativas de

acesso indevido ou não autorizado.

30

Geralmente, o monitoramento de uma rede é realizado através da utilização de protocolos

de gerenciamento de redes, sendo o SNMP (Simple Network Management Protocol) o proto-

colo padrão.

3.1 Simple Network Management Protocol (SNMP)

O SNMP foi padronizado pela IETF (Internet Engineering Task Force) [25] como pro-

tocolo de gerenciamento de redes. Este protocolo é capaz de fornecer informações de obje-

tos específicos da rede tais como computadores, roteadores e switches, auxiliando no moni-

toramento e no isolamento de falhas [20].

O modelo do SNMP é constituído por três componentes básicos: dispositivo, agente

e estação de gerenciamento. O agente é executado no dispositivo e fornece informações da

MIB (Management Information Base) para a estação de gerenciamento. A estação de gerenci-

amento faz consultas e alterações de valores de objetos através da utilização de commandos

como Get, GetNext e Set. Além disso, o dispositivo gerenciado é capaz de enviar notificações

de informações adicionais para a estação de gerenciamento por meio de Traps, as informa-

ções reportadas podem ser eventuais erros como alterações físicas do dispositivo ou estouro

de contadores de variável de objeto [26].

3.2 Fluxos IP

Com o aumento da complexidade das redes, os administradores de redes começaram

a utilizar outros tipos de ferramentas para o gerenciamento da rede. Ao invés do uso do

protocolo SNMP, a análise de fluxos IPs vem sendo utilizada. Esse tipo de protocolo informa

todo o tráfego que passa pelos roteadores e switches da rede em fluxos IPs. Cada fluxo possui

os seguintes atributos:

• Timestamp (Data e Hora);

• Protocolo de Transferência;

• IP de Origem;

• IP de Destino;

• Porta de Origem;

• Porta de Destino;

• Quantidade de Pacotes;

• Quantidade de Bytes.

31

Na literatura existem três protocolos de fluxos IPs mais conhecidos: NetFlow, sFlow

e IPFIX, desenvolvidos respectivamente pela Cisco, InMon e IETF [27].

3.3 NetFlow

O detalhamento de informações limitado do protocolo SNMP gerou a necessidade

de um protocolo mais eficaz. Para tal, em 1996, a Cisco Systems criou o protocolo NetFlow

[28]. Como trata-se de um padrão proprietário da Cisco, apenas seus equipamentos possuem

suporte para o NetFlow, com exceção das versões 5 e 9. As informações que este protocolo

exporta são: IP de origem, IP de destino, porta de origem, porta de destino, protocolo da

camada de transporte, classe de serviço e interface do roteador ou switch. Todos os pacotes

contendo esses mesmos atributos são agrupados em um fluxo e, após isso, é processado

e armazenado na cache NetFlow. Em caso de pacotes com valores diferentes para algum

atributo em relação aos fluxos da cache NetFlow, este pacote torna-se um novo fluxo.

3.4 sFlow

O sFlow, acrônimo para sampling flows (amostragem de fluxos), geralmente é uti-

lizado em redes com grande volume de dados, pois é um protocolo que utiliza algoritmos

de baixo custo computacional e possui alta velocidade de monitoração. Seu funcionamento

permite a análise completa da rede sem analisar todos os pacotes a partir de uma técnica de

amostragem estatística e tem como principais características: a escalabilidade, a acurácia, o

baixo custo, o detalhamento e a exportação.

• Escalabilidade: alcança velocidades de monitoramento do tráfego de dados superiores

a 100Gbps;

• Acurácia: possui baixo custo computacional, portanto, pode ser executado em hard-

ware, reduzindo problemas de desempenho e precisão;

• Baixo custo: a implementação do agente sFlow ao roteador ou switch é simples e sem

aumento significativo no custo computacional;

• Detalhamento: garante informações detalhadas dos fluxos ao administrador;

• Exportação: exporta os fluxos de forma ágil, permitindo a análise em tempo real.

O sFlow disponibiliza duas técnicas de amostragem para o tráfego de redes. A pri-

meira é a amostragem estatística baseada em pacotes. Nessa abordagem, os pacotes chegam

à interface do agente sFlow onde é realizado o processo de filtragem. O processo de filtragem

ocorre da seguinte maneira. A cada pacote que chega na interface, um contador é decremen-

tado. Quando o contador chega em 0 (zero), o pacote entra no conjunto de amostras. A taxa

32

de amostragem que o protocolo sFlow utiliza por padrão é de 1:256, ou seja, a cada 256 pa-

cotes apenas um representará o bloco, no entanto, este parâmetro pode ser alterado por um

outro valor desejado.

A outra técnica é a amostragem estatística baseada em tempo. Nesta técnica, o agente

sFlow realiza uma contagem periódica de sondagem (polling) e então é feita a extração de

dados estatísticos para a criação de amostras. O uso de contadores de polling também ga-

rante a escalabilidade do protocolo. Estes contadores contêm um valor máximo de intervalo

de sondagem definido, porém este valor pode ser ajustado automaticamente pelo agente

para melhorar o seu desempenho [29].

3.5 IPFIX

O Internet Protocol Flow Information Export (IPFIX) [30] foi desenvolvido com o pro-

pósito de substituir os protocolos proprietários da Cisco de monitoramento de redes através

da exportação fluxos IP. Este protocolo foi baseado no NetFlow v9 e traz algumas melhorias

como o controle de congestionamento e segurança. O IPFIX pode utilizar o UDP (User Data-

gram Protocol), TCP (Transmission Control Protocol) ou SCTP (Stream Control Transmission

Protocol) como protocolos de transporte, porém, o uso do protocolo UDP para esta prática

não é recomendado.

O protocolo IPFIX funciona em três camadas: processo de medição, processo de ex-

portação e processo de coleta. O processo de medição é responsável pela geração dos regris-

tros de fluxos por meio da observação dos cabeçalhos dos pacotes capturados. Em seguida,

os registros de fluxos gerados são transportados para os coletores através do processo de

exportação e, por fim, ocorre o processo de coleta onde os fluxos são processados e armaze-

nados.

3.6 Sistema de Detecção de Intrusão (IDS)

IDS é um sistema automatizado de segurança e defesa a fim de detectar e impedir

acessos indesejados em uma rede de computadores. Com a utilização de agentes de moni-

toramento SNMP ou da coleta de dados por fluxos IPs, um IDS consegue identificar tentati-

vas de ataques e/ou falhas de sistema em uma rede e, consequentemente, a construção uma

base de informações que auxiliam nas tomadas de decisões do IDS.

Um IDS pode ser definida entre duas categorias: Host-based IDS (HIDS) e Network-

based IDS (NIDS). O HIDS monitora o sistema de uma única máquina, verificando a inte-

gridade de arquivos, processos do sistema, programas em execução, uso dos hardwares e

modificações de privilégios de usuários a partir de arquivos logs. Por conta disso, muitas

vezes o HIDS não emite alertas em tempo real [14].

33

Por sua vez, o NIDS monitora o tráfego de uma rede por meio da captura de pacotes

de dados de um roteador ou switch. Feito a coleta do tráfego, o administrador da rede pode

identificar padrões de assinaturas conhecidos, como port scanning, IP spoofing e buffer over-

flow [31].

Existem dois métodos para a detecção de ataques: baseado em assinaturas e baseado

em anomalias. O método de detecção baseado em assinatura identifica apenas ataques pre-

viamente conhecidos. Este método geralmente é utilizado para a detecção de ataques mais

comuns como Denial of Service (DoS), Distributed Denial of Service (DDoS), Port Scanning,

entre outros. Apesar de ser bastante efetivo, a desvantagem dessa técnica é a incapacidade

de identificar novos tipos de ataques, uma vez que eles não estão em seu banco de dados

[32].

Já os sistemas baseados em anomalias utiliza os dados coletados para criar um com-

portamento padrão da rede. Então, o administrador da rede pode aplicar uma heurística

(ex.: SIA) ou estatístico para gerar a predição do tráfego para os dias seguintes. Esta técnica

permite tanto detecção de ataques desconhecidos quanto a detecção de falhas de sistemas,

porém, sua taxa de falso positivos é relativamente alta [33].

Na literatura, a maioria dos trabalhos utiliza um IDS baseada em rede. Quanto ao

método de detecção, geralmente é escolhido de acordo com o foco da pesquisa.

35

4 SISTEMA IMUNOLÓGICO ARTIFICIAL

Este capítulo apresenta os conceitos básicos do Sistema Imunológico Biológico [15] a

fim de facilitar o entendimento do Sistema Imunológico Artificial. Além disso, será detalhado

os principais processos que compõem o Sistema Imunológico Artificial (SIA).

4.1 Conceitos Básicos do Sistema Imunológico Biológico

O Sistema Imunológico Biológico é um mecanismo de defesa complexo que garante

a proteção do próprio organismo contra organismos invasores causadores de doenças (pa-

tógenos). Para isso, o Sistema Imunológico (SI) identifica estes patógenos através do reco-

nhecimento de microrganismos chamados antígenos. Após o reconhecimento de agentes

patogênicos, o SI elimina-os, mantendo a integridade do próprio organismo.

O mecanismo de defesa do ser humano é composto por quatro camadas de defesa

com especificidade progressiva, sendo elas: física, fisiológica, sistema imunológico inato e

sistema imunológico adaptativo, como apresentado na Figura 1.

Figura 1 – Estrutura do Sistema Imunológico [1].

A camada física e a fisiológica são barreiras naturais do corpo compostos por pele,

mucos, lágrimas, suor e questões de pH. Essas duas camadas não são usadas nos modelos

computacionais de SIA.

O SI inato é composto por macrófagos, as células dendríticas e as células NK que

são capazes de fagocitar alguns tipos de patógenos. Já o SI adaptativo é capaz de detectar

antígenos ainda não identificados [34].

36

O SI adaptativo é composto por linfócitos B e T. Tanto os linfócitos B quanto os linfó-

citos T são gerados na medula óssea (Bone Marrow), porém, apenas o processo de amadu-

recimento dos linfócitos B ali ocorrem enquanto que os linfócitos T se desenvolve no timo,

uma região próxima à traqueia. As células B são capazes de secretar proteínas chamadas

anticorpos, que se ligam aos antígenos, marcando-os para eliminação. As células T são divi-

didas em células T auxiliares (Th) e células T citotóxicas (Tc). As células Th são responsáveis

pela resposta imune e pelo estímulo e ativação das células B para a secreção de anticorpos.

Já as células Tc, são responsáveis pela eliminação de agentes patogênicos [35].

Os macrófagos e as células dendríticas possuem a habilidade de apresentar antíge-

nos a outras células, estas são chamadas de APCs. As APCs são capazes de fagocitar os agen-

tes patógenos, digerindo-os em peptídeos que se ligam à membrana através de moléculas

MHC (Major Histocompatibility Complex). As moléculas MHC são diferenciadas em MHC

tipo I e MHC tipo II. O primeiro é apresentado em qualquer célula, enquanto o segundo é

apresentado apenas em macrófagos e nas células dendríticas [36] [34].

As células T reconhecem estes complexos. Quando reconhecem um MHC tipo I, ela

elimina a célula infectada e quando reconhecem o MHC tipo II, a proliferação de células B e

T são estimuladas [34] [15].

Por sua vez, as células B secretam anticorpos que se ligam aos antígenos e neutrali-

zam os patógenos, que posteriormente são eliminados pelas células fagocitadoras. Durante

este processo, parte das células B e T se transformam em células de memória, garantindo

uma segunda resposta mais eficiente [15].

4.1.1 Distinção Self/Nonself

A Distinção self/nonself proposta por Burnet [37] foi criada com base apenas na úl-

tima camada do sistema imunológico. O sistema imune adaptativo é composto por células

B e células T. As células B são responsáveis pela produção de anticorpos e as células T são

capazes de diferenciar os micro-organismos entre self (do próprio organismo) e nonself (an-

tígenos) [38] [39] [40].

Atualmente, existem dois princípios mais usados que estão fundamentados na dis-

criminação self/nonself, a seleção clonal e a seleção negativa [41].

4.1.2 Seleção Negativa

A seleção negativa tem como princípio fornecer tolerância para células self. Esta teo-

ria conta com a capacidade do SI de distinguir antígenos desconhecidos enquanto não reage

com as células self. Durante a geração das células T, os receptores são feitos por um processo

de rearranjamento pseudoaleatório. Então, passam por um processo de maturação no timo,

onde ocorre a seleção negativa. Basicamente, as células T que reagirem contra as células self

37

serão eliminadas. Após este processo, as células T maduras deixam o timos e começam a

circular pelo corpo e, desta vez, microrganismos que as células T maduras reagirem é que

serão eliminados, propiciando a proteção do organismo contra os antígenos [42] [43].

(a) Detector de tamanho constante (b) Detector de tamanho variado

Figura 2 – Conceito principal da Seleção Negativa [2].

A Figura 2 ilustra a simulação do SI para problemas da computação. O espaço da ima-

gem preenchido por cinza escuro representa região self, ou seja, a região segura da rede. A

outra parte que está em cinza claro representam os detectores que cobrem a região nonself. A

Figura 2a apresenta uma abordagem com o tamanho dos detectores constante e a Figura 2b

apresenta tamanhos de detectores variados. A segunda abordagem consegue cobrir partes

mais delicadas do problema, porém, deixar o problema muito justo nem sempre é a melhor

opção, pois pode causar overfitting [44].

O algoritmo de seleção negativa proposto por Hofmeyr e Forrest [38] funciona da

seguinte maneira.

Figura 3 – Algoritmo de seleção negativa - geração do conjunto de detectores. Adaptado deSAURABH, P. [3].

Primeiramente, é gerado aleatoriamente uma população de detectores. Então, o con-

junto de detectores é comparado com o conjunto self e aqueles que combinarem com o self

serão eliminados da solução conforme ilustrado na Figura 3.

38

Figura 4 – Algoritmo de seleção negativa - detecção de nonself. Adaptado de SAURABH, P.[3].

O próximo passo é comparar o conjunto de teste com o conjunto de detectores. Tes-

tes que combinarem com algum detector serão considerados como nonself, ou seja, uma

anomalia conforme ilustrado na Figura 4.

4.1.3 Seleção Clonal

A teoria da seleção clonal apresenta semelhanças com a teoria da seleção natural de

Darwin. Esta teoria foi proposta por Burnet em 1959 e tem como ponto principal a capa-

cidade das células B reconhecerem microrganismo maléficos ao organismo (antígenos) de

forma que as células B com maior afinidade em relação ao antígeno tenha maior reproduti-

vidade podendo desta forma combater o invasor.

Quando o organismo é invadido por um antígeno, um conjunto de células B são de-

signados para reconhecê-lo. As células B que tiverem maior reatividade com o antígeno se-

rão estimuladas para a clonagem e aquelas com menor reatividade serão eliminadas. Du-

rante o processo de clonagem, as células B sofrem a hipermutação somática. Esta mutação

é inversamente proporcional ao seu grau de afinidade com o antígeno, ou seja, quanto mais

próximo da solução, menor a alteração da célula [45]. Estes processos estão ilustrados na

Figura 5.

Após a eliminação do antígeno, algumas células B tornam-se células de memória de

modo que o SI terá uma resposta mais rápida ao antígeno numa segunda invasão [46] [47].

O CLONALG proposto por de Castro e Von Zuben [48] é um dos algoritmos mais

conhecidos de seleção clonal. Este algoritmo é bastante utilizado para problemas de reco-

nhecimento de padrões e detecção de anomalias e funciona da seguinte maneira. Primei-

ramente, cria-se uma população inicial de células B (anticorpos). Em seguida, calcula-se a

função de avaliação (fitness) de cada anticorpo para o problema. Então, seleciona-se os an-

ticorpos com maior fitness gerando clones proporcionalmente ao fitness. Após esta etapa,

realiza-se a hipermutação somática nos clones, ou seja, cada clone receberá uma taxa de

mutação inversamente proporcional ao fitness. Por fim, substitui-se uma porcentagem p

39

Figura 5 – Ilustração dos processos de reconhecimento, clonagem e mutação da seleção clo-nal. Adaptado de [4]

dos anticorpos com menor fitness por novos gerados aleatoriamente. Estas etapas podem

ser reiteradas por i vezes ou até que o critério de parada seja alcançado.

4.1.4 Teoria da Rede Imunológica

A teoria da rede imunológica foi proposta por Jerne em 1974 e posteriormente, trans-

formada em um modelo por Farmer et al em 1986 [15]. Esta teoria apresenta bastante simi-

laridades em relação à seleção clonal, porém, utiliza o conceito de uma rede. Sua hipótese

é que as células B (anticorpos) além de poderem se ligar aos antígenos, também podem se

ligar entre elas. Sendo assim, um anticorpo se liga a outro anticorpo que também se liga a

outro anticorpo e, consequentemente, formam uma rede imunológica. Assim como na se-

leção clonal, a afinidade entre as células B e os antígenos e a clonagem das células B são

descritas da mesma forma.

O conceito de uma rede de anticorpos também explicaria a questão da imunidade

ou das respostas mais rápidas às infecções de patógenos já combatidos pelo SI [34].

No modelo computacional, duas células B estão ligadas entre elas se a afinidade ul-

trapassa um limiar, e a força dessa conexão é diretamente proporcional à afinidade [49].

Primeiramente é criada uma população inicial a partir de uma base de dados para a forma-

ção da rede de células B e as amostras restantes são utilizadas para representar os antígenos.

Feito isso, as amostras são selecionadas aleatoriamente e apresentadas para a rede imuno-

lógica, onde são comparadas com as células B. Se houver correspondência entre uma célula

B e o antígeno, a célula é clonada e então ocorre processo de mutação. Após este processo,

há uma tentativa de integrar as novas células B geradas à rede imunológica e caso elas não

possam ser integradas, são removidas da solução [50].

40

Figura 6 – Ilustração do funcionamento da rede imunológica [5].

4.1.5 Teoria do Perigo

A dificuldade de separar o tráfego da rede em self e nonself fez com que cientistas

pesquisassem outros métodos [14]. Por volta da última década, uma nova teoria se populari-

zou entre os imunologistas. Esta teoria é conhecida como Modelo do Perigo e defendida por

Matzinger [51]. A teoria ainda não está completa e possui algumas incertezas sobre como ela

se comporta. No entanto, a teoria possui pontos interessantes que valem a pena investigar

sua relevância para o SIA [52].

Aickelin et al. [34] relatam que o sistema imunológico realmente diferencia os mi-

crorganismos entre self e nonself. Ela também afirma que com a Teoria do Perigo é possível

definir melhor os microrganismos que a Distinção self/nonself apresenta dificuldades em

sua representação, como é o caso dos organismos considerados self porém prejudiciais e os

considerados nonself porém inofensivos.

A ideia central da Teoria do Perigo é que a principal causa da resposta imune não é

porque um patógeno foi detectado como nonself e sim por ele apresentar perigo ao sistema

[53]. Esta teoria surgiu do pressuposto de que não é necessário combater todos os agentes

nonself e sim combater aqueles que apresentam bastante perigo. O perigo é medido pelo

dano às células indicadas pelos sinais de socorros que são enviados pelas células que mor-

rem por um processo não-natural (morte causada por estresse celular, diferente da morte

natural das células chamada de apoptose).

Uma célula que está em perigo envia um sinal de alarme e então os antígenos próxi-

mos a este sinal são capturados pelas células apresentadoras de antígenos (APC), tais como

os macrófagos que apresentam os antígenos para os linfócitos. Basicamente, o sinal de pe-

rigo estabelece uma zona de perigo ao seu redor. Em seguida, as células B que produzem

anticorpos correspondentes aos antígenos presentes na zona de perigo são estimuladas e

41

sofrem o processo de expansão clonal. Aqueles que não correspondem aos antígenos ou

não estão dentro da zona de perigo não recebem estímulo. Este processo pode ser melhor

observado na Figura 7.

Figura 7 – Ativação da resposta imune segundo a teoria do perigo [6].

Apesar do Modelo do Perigo ser bem consistente, a natureza exata de um sinal de

perigo ainda é incerta, pois varia para cada problema. Isto ocorre de maneira similar aos

problemas da distinção self/nonself [34] [54].

4.2 Trabalhos Relacionados Aplicados

Atualmente, sabe-se que as maiores dificuldades dos sistemas de detecção de intru-

são estão na detecção de novos tipos de ataques e na ocorrência de falsos positivos e falsos

negativos. O trabalho de Silva [6] propõe o uso do Algoritmo das Células Dendríticas (DCA)

baseado na Teoria do Perigo para a detecção de ping scans. O ping scan é uma ferramenta

que garante informações sobre a rede e que vem sendo usado de forma maliciosa por inva-

sores para encontrarem brechas. Neste trabalho, o DCA é aplicado em três tipos de cenários:

cenário de perigo, cenário normal e cenário misto. Cenário de perigo compreende-se por

Nmaps buscando em 15000 a 30000 IPs distintos. Cenário normal corresponde ao Scp en-

viando um ou mais arquivos entre 4 a 300 MB em diferentes tempos de espera. Por último,

um cenário misto apresenta o uso dos dois comandos (Nmap e Scp). Os cenários foram nor-

malizados para que o DCA tivesse maior precisão em seus resultados. Após 20 iterações, foi

analisado um desvio padrão pouco significante para os atributos usados no algoritmo, che-

gando a pesos ideais para o problema explorado em seu trabalho.

Na literatura, o DCA tem se apresentado como um modelo bastante efetivo para a

detecção de anomalias. Algumas diferenças notórias entre o DCA e os modelos de SIA mais

clássicos que são baseados na Distinção self/nonself são as seguintes:

42

• Não há a necessidade de criação de perfil do padrão normal da rede para a caracteri-

zação de dados.

• Utiliza o conceito e mapeamento de sinais para a classificação das células de acordo

com as características do problema.

• É um método baseado em população de células, semelhante aos métodos evolucioná-

rios.

Estas características fazem do DCA uma abordagem única na detecção de anomalias

e viável para o solucionamento de problemas complexos. Por fim, o trabalho de SILVA, G.

obteve uma situação com 99% de eficiência. Contudo, a detecção de anomalias não consiste

apenas em problemas de ping scans e requerem outros parâmetros que devem ser analisa-

dos.

Kim et al. [13] utilizaram a Teoria da Seleção Negativa para a detecção de intrusão

em redes. Os dados utilizado neste trabalho foram gerados a partir da captura de pacotes

TCP, tanto na comunicação com a Internet quanto na intranet. A coleta de dados ocorreu

em cinco situações, sendo a primeira nenhuma ocorrência de ataques e as demais ataques

de: IP spoofing, força bruta para senhas ftp ou rlogin, port scanning e network hopping. Os

pacotes coletados possuíam as dimensões padrões: timestamp, IP de origem e destino, porta

de origem e destino, etc. No entanto, esses atributos não eram suficientes para criar perfis

significativos que pudessem facilmente distinguir os pacotes entre normais e anômalos. Por

este motivo, outros atributos foram extraídos:

• Identificador de conexão: uma conexão é definida por IP e porta de origem e IP e porta

de destino;

• Vulnerabilidades de porta conhecidas: indica se alguma porta de origem ou destino

potencialmente contém vulnerabilidades conhecidas;

• Three-way Handshaking: o Three-way Handshaking é utilizado pelo protocolo TCP

para estabelecer uma conexão segura e maioria dos ataques de rede violam o Three-

way Handshaking;

• Intensidade de tráfego: é possível observar a atividade da rede medindo a intensidade

de conexões específicas.

Com um total de 33 atributos, foi possível criar 13 perfis com mais de 100 conexões

cada, dentre eles, conexões com portas conhecidas, desconhecidas, ftp, telnet, http, etc.

Para realizar a validação cruzada, este trabalho utilizou o método holdout, geral-

mente aplicado em bases de dados de grande escala, sendo 80% das amostras usadas para

43

gerar os detectores e 20% para teste. Os resultados obtiveram uma taxa de acurácia aproxi-

madamente de 15% com 1000 detectores.

Os experimentos foram rodados em uma máquina com o processador AMD K6-2

400Mhz e 128MB de RAM.

O autor relata que para obter uma acurácia de 80% deve-se utilizar 643775165 detec-

tores (este valor foi obtido através da equação 3 descrita em seu trabalho [13]) e precisaria

de 12517850 horas equivalente a 1429 anos para rodar os testes na mesma máquina.

Contudo, o maior problema da Seleção Negativa é a escalabilidade, tornando a in-

viável à detecção de anomalias em redes.

Marek Ostaszewski et al. [49] apresentam uma arquitetura de detecção de intrusão

baseada na Teoria da Rede Imunológica, o INIDS (Idiotypic Network Intrusion Detection

System), visando ataques de larga escala como DoS. Este é um modelo híbrido que utilliza

os conceitos de ARB (Artificial Recognition Ball) e de IN (Idiotypic Network).

O sistema proposto trabalha com a clusterização do tráfego da rede e com o monito-

ramento dos clusters a fim de encontrar os parâmetros principais. O INIDS foi testado tanto

na detecção baseada em assinaturas quanto na detecção baseada em anomalias. Na detec-

ção baseada em assinaturas, os experimentos mostraram que os ataques DoS podem ser

facilmente detectados utilizando uma Rede Imunológica. Já na detecção baseada em ano-

malias, tráfegos que apresentavam grande similaridade eram clusterizados pelos ARBs que

eram fortemente estimulados para permanecerem no sistema. Com isto, alguns tipos de ata-

ques e seus efeitos no sistema puderam ser identificados, ainda assim, a eficiência de algo-

ritmos de Rede Imunológica para a detecção de anomalias precisam ser estudados.

Behrozinia et al. [14] propuseram uma adaptação do algoritmo clássico da rede imu-

nológica utilizando a Teoria do Perigo para diminuir a taxa de falsos alertas. Para isso, o algo-

ritmo implementa um classificador k-Nearest Neighbors (kNN) para a geração dos sinais de

perigo. O algoritmo apresenta uma arquitetura multi-camadas e funciona da seguinte forma.

Primeiramente, inicializa-se as células B e os antígenos. Para cada antígeno, os detectores do

SI Adaptativo reconhece e rotula-os. Após isto, o SI Inato avalia o MCAV (Mature Coefficient

Antigen Value) de cada antígeno e retorna mais um rótulo utilizando como fatores os sinais

de perigo. Por fim, um rótulo final é definido para cada antígeno de acordo com as respostas

dos Sistemas Imunológicos Inato e Adaptativo.

Ao fim do trabalho, Behrozinia et al. realizaram comparações entre seu algoritmo e o

algoritmo clássico da rede imunológica. O algoritmo clássico obteve uma acurácia média de

82,6% e uma taxa de falso positivos média de 25,8% e o algoritmo proposto obteve 89% de

acurácia e 11% de taxa de falsos positivos.

Na Tabela 2 é apresentada a descrição do modelo, tipos de dados utilizados e aplica-

ção dos artigos descritos anteriormente.

44

Tabela 2 – Descrição dos Trabalhos Relacionados.

ReferênciaDescrição do

ModeloAspectos doSI Biológico

Tipos de dadosutilizados

Aplicação

Kim2001[13]

Uma avaliaçãoda Seleção Negativa

na detecçãode intrusão

em redes

Distinçãoself/nonself

SeleçãoNegativa

Fluxos IPsDetecção de

ataques diversos

Ostaszewski2008[49]

Uma arquiteturapara a Detecção

de Intrusãobaseada na

Teoria daRede

Idiotípica (INIDS)

ARBTeoria da

RedeImunológica

Base dedados MIT’99

(KDD)

Detecção deataques DoS

Silva2009[6]

Um algoritmoimunoinspirado

baseadono DCA

DCATeoria do

Perigo

Busca de IPs: NmapsTransferência de

dados: Scp

Detecção dePing Scans

Behrozinia2013[14]

Um novométodo dedetecção

de anomaliasutilizando

o classificadorkNN para

a mensuraçãode perigo

Teoria doPerigokNN

50.000 dadoscoletados e

classificadosentre normal

e anormal

Detecção derootkits

45

5 ESTUDO DE CASO

Com o propósito de verificar a eficiência de modelos de SIA para a detecção de ano-

malias em redes de computadores, foi realizado um estudo de caso. Para isso, foi utilizado

uma adaptação do Algoritmo das Células Dendríticas (DCA). O DCA é um algoritmo baseado

na Teoria do Perigo e bastante utilizado em problemas de detecção de anomalias.

O experimento foi testado em bases reais do tráfego da rede da UEL do período de

10 de setembro até 12 de outubro de 2012 e foram realizadas duas predições para cada dia

previsto, sendo uma a predição para bits e a outra para pacotes. Para realizar a predição de

um dia, foram utilizados quatro dias das semanas anteriores, sendo todos do mesmo dia da

semana (Ex.: dia previsto -> 08/10 (Segunda-Feira); dias utilizados -> 10/09, 17/09, 24/09 e

01/10.). Cada dia contém 86400 valores, ou seja, um valor para cada segundo do dia. Para

facilitar a utilização do algoritmo, os dados foram agrupados a cada 10 amostras e depois

foram divididos em períodos de cinco minutos.

As Figuras 8, 9, 10 e 11 representam a predição do tráfego para o dia 08 de outubro

para bits e pacotes.

Figura 8 – Predição do dia 08 de outubro para bits.

Figura 9 – Sinais da predição do dia 08 de outubro para bits.

46

Figura 10 – Predição do dia 08 de outubro para pacotes.

Figura 11 – Sinais da predição do dia 08 de outubro para pacotes.

Nas Figuras 8 e 10, a linha azul representa o DSNSF gerado pela média dos dias 10, 17,

24 de setembro e 01 de outubro, a região preenchida em verde representa o tráfego real do dia

e a região em vermelho representa os horários em que o algoritmo AIS detectou anomalias.

As Figuras 9 e 11 demonstram os valores dos sinais de PAMP, perigo e segurança em relação

ao tempo, assim, podemos observar melhor o impacto de cada sinal na geração de uma

alerta de perigo. O sinal de PAMP está mais elevado que os outros praticamente no dia todo,

lembrando que o PAMP é o sinal que mais tem influência na classificação de uma amostra

como anomalia. Além disso, tempos os sinais de perigo e de segurança sendo que o sinal de

perigo também contribui na classificação de uma anomalia. Contudo, o sinal de segurança

traz um equilíbrio entre os três fatores e na maior parte em que o algoritmo determina o

tráfego como normal é por conta deste sinal.

A predição do dia 12 de outubro foi bastante curiosa, pois nesta data acontece um

feriado nacional.

Observando as Figuras 12, 13, 14 e 15, podemos concluir que o tráfego de dados do

dia 12 de outubro foram bem abaixo do esperado, pois neste dia poucas pessoas utilizaram

a rede da UEL. Consequentemente, a maior parte do dia teve os sinais de PAMP e de perigo

elevados, causando alertas para praticamente o dia inteiro.

Uma ideia interessante é equiparar as alertas geradas pelos DSNSFs gerados para

47

Figura 12 – Predição do dia 12 de outubro para bits.

Figura 13 – Sinais da predição do dia 12 de outubro para bits.

Figura 14 – Predição do dia 12 de outubro para pacotes.

bits e pacotes, definindo como anomalias apenas os momentos em que as duas predições

detectaram anomalias.

48

Figura 15 – Sinais da predição do dia 12 de outubro para pacotes.

49

6 CONCLUSÃO

Há alguns anos, pesquisas têm obtido suas soluções através da utilização de mode-

los bio-inspirados. O Sistema Imunológico Biológico é um assunto de grande interesse en-

tre os pesquisadores devido às suas poderosas capacidades de processamento de informa-

ção. Suas particularidades são definidas pela compreensão da natureza distribuída de sua

memória, pela autotolerância e mecanismos de controle descentralizados a partir de uma

perspectiva informacional e por acreditarem que a construção de modelos computacionais

podem otimizar muitos problemas da computação.

O campo de Sistemas Imunológicos Artificiais (SIA) ainda é recente. Portanto, os tra-

balhos desenvolvidos no neste campo estudam extensivamente se a aplicação dos modelos

existentes é adequada. Também, novas ideias da imunologia são exploradas, como a mais

recente, Teoria do Perigo.

SIA têm se mostrados bastante eficazes para a detecção de anomalias em geral. En-

tretanto, a aplicação de seus conceitos para a gerência de redes é recente e ainda está sendo

investigada.

A meta-heurística SIA abrange quatro teorias: Seleção Negativa, Seleção Clonal, Teo-

ria da Rede Imunológica e Teoria do perigo.

A Seleção Negativa mostrou-se ineficiente como um IDS, pois apresenta problemas

de escalabilidade.

A Teoria da Rede Imunológica se apresentou como um modelo efetivo na detecção

baseadas em assinaturas. Porém, na detecção baseada em anomalias o modelo obteve al-

guns padrões de ataques através do reconhecimento da repetição de tráfegos, da memoriza-

ção temporária de eventos e da resposta ao contexto atual da rede. Portanto, é conveniente

estudar e aprimorar este modelo no escopo de redes.

A maioria dos trabalhos atuais de detecção de anomalias encontrados na literatura

que utilizam o modelo SIA apresentam uma abordagem baseada na Teoria do Perigo. Algo-

ritmos baseados na Teoria do Perigo são mais eficazes na detecção de intrusão baseada em

assinatura, pois neste tipo de cenário geralmente existem atributos principais e isso facilita

a modelagem do sistema.

Em geral, os trabalhos de SIA para a detecção de anomalias presentes na literatura

que utilizaram uma arquitetura multi-camada obtiveram melhores resultados.

51

REFERÊNCIAS

[1] CONCEPTUALES, M. et al. Capítulo 2.

[2] JI, Z.; DASGUPTA, D. Real-valued negative selection algorithm with variable-sizeddetectors. Lect Notes Comput Sc, v. 3102, p. 287–298, 2004. ISSN 03029743.

[3] SAURABH, P.; VERMA, B. An efficient proactive artificial immune system basedanomaly detection and prevention system. Elsevier Ltd, v. 60, p. 311–320, 2016.

[4] De Castro, L. N.; Von Zuben, F. J. Learning and optimization using the clonal selectionprinciple. IEEE Transactions on Evolutionary Computation, v. 6, n. 3, p. 239–251, 2002.ISSN 1089778X.

[5] KETLYN, G. Doenças auto-imunes. 2012.

[6] SILVA, G. Detecção de Intrusão em Redes de Computadores: Algoritmo ImunoinspiradoBaseado na Teoria do Perigo e Células Dendríticas. Minas Gerais: UFMG, p. 136, 2009.Disponível em: <http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Detec??o+de+Intrus?o+em+Redes+de+Computadores:+Algoritmo+Imunoinspirado+Baseado+na+Teoria+do+Perigo+e+C?lulas+Dendr?t>.

[7] HARMER, P. K. et al. An artificial immune system architecture for computer securityapplications. IEEE Transactions on Evolutionary Computation, v. 6, n. 3, p. 252–280,2002. ISSN 1089778X.

[8] ELHAJ, M. M. K.; HAMRAWI, H.; SULIMAN, M. M. A. A multi-layer network defensesystem using artificial immune system. Proceedings - 2013 International Conference onComputer, Electrical and Electronics Engineering: ’Research Makes a Difference’, ICCEEE2013, p. 232–236, 2013.

[9] PATCHA, A.; PARK, J. M. An overview of anomaly detection techniques: Existingsolutions and latest technological trends. Computer Networks, v. 51, n. 12, p. 3448–3470,2007. ISSN 13891286.

[10] WANG, L.; SHEN, J.; YONG, J. A survey on bio-inspired algorithms for web servicecomposition. Proceedings of the 2012 IEEE 16th International Conference on ComputerSupported Cooperative Work in Design, CSCWD 2012, p. 569–574, 2012.

[11] SELVARAJ, C.; KUMAR, S.; KARNAN, M. A Survey on Application of Bio-InspiredAlgorithms. Ijcsit.Com, v. 5, n. 6, p. 366–370, 2014. Disponível em: <http://www.ijcsit.com/docs/Volume5/vol5issue01/ijcsit2014050176.pdf>.

[12] FORREST, S. et al. Self-nonself discrimination in a computer. Proceedings of 1994 IEEEComputer Society Symposium on Research in Security and Privacy, p. 202–212, 1994.ISSN 1540-7993. Disponível em: <http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=296580>.

[13] KIM, J.; BENTLEY, P. An Evaluation of Negative Selection in an Artificial Immune Systemfor Network Intrusion Detection. Proceedings of GECCO, p. 1330–1337, 2001. Disponívelem: <http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.29.1789&rep=rep1&ty>.

52

[14] BEHROZINIA, S. et al. Biological inspired anomaly detection based on danger theory.IKT 2013 - 2013 5th Conference on Information and Knowledge Technology, p. 102–106,2013.

[15] GREENSMITH, J.; AICKELIN, U.; TEDESCO, G. Information fusion for anomalydetection with the dendritic cell algorithm. Information Fusion, Elsevier B.V., v. 11,n. 1, p. 21–34, 2010. ISSN 15662535. Disponível em: <http://dx.doi.org/10.1016/j.inffus.2009.04.006>.

[16] SHAMSHIRBAND, S. et al. Co-FAIS: Cooperative fuzzy artificial immune system fordetecting intrusion in wireless sensor networks. Journal of Network and ComputerApplications, v. 42, p. 102–117, 2014. ISSN 10958592.

[17] MAGNA, G. et al. Identification of mammography anomalies for breast cancerdetection by an ensemble of classification models based on artificial immunesystem. Knowledge-Based Systems, Elsevier B.V., v. 101, p. 60–70, 2016. ISSN 09507051.Disponível em: <http://dx.doi.org/10.1016/j.knosys.2016.02.019>.

[18] DASGUPTA, D.; YU, S.; MAJUMDAR, N. S. MILA - Multilevel immune learning algorithmand its application to anomaly detection. Soft Computing, v. 9, n. 3, p. 172–184, 2005.ISSN 14327643.

[19] IDRIS, I.; SELAMAT, A. Negative Selection Algorithm In Artificial Immune System ForSpam Detection. Computer, p. 379–382, 2011.

[20] CARVALHO, L. F. Metaheurística Ant Colony Optimization E Análise De Fluxos IpAplicados À Detecção De Anomalias E À Gerência De Redes. 2014.

[21] FU, H. Multi-agents Artificial Immune System ( MAAIS ) Inspired by Danger Theory forAnomaly Detection Construction of MAAIS. Architecture, p. 574–577, 2007.

[22] NEJAD, F. S. et al. Structural TLR algorithm for anomaly detection based on DangerTheory. 2012 9th International ISC Conference on Information Security and Cryptology,ISCISC 2012, p. 156–161, 2012.

[23] ABDELHAQ, M. et al. Dendritic Cell Fuzzy Logic Algorithm over Mobile Ad HocNetworks. International Conference on Intelligent Systems, Modelling and Simulation,p. 64–69, 2015.

[24] ISO - International Organization for Standardization. Disponível em: <http://www.iso.org/iso/home.html>.

[25] CASE M. FEDOR, M. S. J. D. J. A Simple Network Management Protocol (SNMP). [S.l.:s.n.], 1990. 1–36 p. RFC 1157.

[26] ASSIS, M. V. O. Um Modelo Para Detecção De Anomalias Que Utiliza O Método DePrevisão Holt-Winters E Análise Hepta-Dimensional De Fluxos Ip. 2014.

[27] JUNIOR, G. F. Caracterização De Tráfego E Detecção De Anomalias Utilizando A AnáliseDe Componentes Principais E Fluxos Ip. 2014.

[28] Cisco Systems. Introduction to Cisco IOS ® NetFlow. White Paper, n. May, p. 1–16, 2012.Disponível em: <http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps6601/prod\_white\_paper0900aecd804062>.

53

[29] PHAAL, P.; PANCHEN, S.; MCKEE, N. InMon Corporation’s sFlow: A Method forMonitoring Traffic in Switched and Routed Networks. [S.l.: s.n.], 2001. 1–31 p. RFC 3176.ISBN 1415661634.

[30] CLAISE, B. Rfc 7011 - specification of the ip flow information export (ipfix)protocol for the exchange of flow information. p. 1–76, 2013. Disponível em:<https://tools.ietf.org/html/rfc7011>.

[31] GEUS, E. T. N. Paulo Lício de. Segurança de redes em ambientes cooperativos. [S.l.]:Futura, 2003.

[32] ESTEVEZ-TAPIADOR, J. M.; GARCIA-TEODORO, P.; DIAZ-VERDEJO, J. E. Anomalydetection methods in wired networks: A survey and taxonomy. ComputerCommunications, v. 27, n. 16, p. 1569–1584, 2004. ISSN 01403664.

[33] Costa Silva, G.; PALHARES, R. M.; CAMINHAS, W. M. Immune inspired FaultDetection and Diagnosis: A fuzzy-based approach of the negative selectionalgorithm and participatory clustering. Expert Systems with Applications, ElsevierLtd, v. 39, n. 16, p. 12474–12485, 2012. ISSN 09574174. Disponível em: <http://dx.doi.org/10.1016/j.eswa.2012.04.066>.

[34] AICKELIN, U.; DASGUPTA, D. ’Artificial Immune Systems Tutorial’. A BibliographyCOMPUTER SCIENCE DEPARTMENT THE UNIVERSITY OF MEMPHIS USA, v. 60, n. 4, p.1–29, 2010. ISSN 1545-8636. Disponível em: <http://eprints.nottingham.ac.uk/336/>.

[35] BAYAR, N. et al. Fault detection, diagnosis and recovery using Artificial ImmuneSystems: A review. Engineering Applications of Artificial Intelligence, v. 46, p. 43–57,2015. ISSN 09521976.

[36] GUZELLA, T. S. et al. Identification of SPAM messages using an approach inspired onthe immune system. BioSystems, v. 92, n. 3, p. 215–225, 2008. ISSN 03032647.

[37] COHN, M. immune system. v. 87, n. 2, p. 113–121, 2010.

[38] LUTHER, K.; BYE, R. A Cooperative AIS Framework for Intrusion Detection. 2007 IEEEInternational Conference on Communications, Glasgow, p. 1409–1416, 2007.

[39] SWIMMER, M. Using the danger model of immune systems for distributed defensein modern data networks. Computer Networks, v. 51, n. 5, p. 1315–1333, 2007. ISSN13891286.

[40] GOSWAMI, M. Detector Generation Algorithm for Self-Nonself Detection in ArtificialImmune System. Convergence of Technology (I2CT), 2014 International Conference for,Pune, p. 1–6, 2014.

[41] MONTECHIESI, L.; COCCONCELLI, M.; RUBINI, R. Artificial immune system viaEuclidean Distance Minimization for anomaly detection in bearings. MechanicalSystems and Signal Processing, Elsevier, v. 76-77, p. 380–393, 2016. ISSN 10961216.Disponível em: <http://dx.doi.org/10.1016/j.ymssp.2015.04.017>.

[42] ZENG, J. et al. A feedback negative selection algorithm to anomaly detection.Proceedings - Third International Conference on Natural Computation, ICNC 2007, v. 3,n. Icnc, p. 604–608, 2007. Disponível em: <http://www.scopus.com/inward/record.url?eid=2-s2.0-38049052314&partnerID=40&md5=ce1990a0a36f843dfe58f239b9>.

54

[43] SUN, G. et al. Fault Diagnosis for Rotating Machinery Based on Artificial ImmuneAlgorithm and Evidence Theory. n. i, p. 2993–2997, 2015.

[44] LI, D.; LIU, S.; ZHANG, H. Negative selection algorithm with constant detectors foranomaly detection. Applied Soft Computing Journal, Elsevier B.V., v. 36, p. 618–632,2015. ISSN 15684946. Disponível em: <http://dx.doi.org/10.1016/j.asoc.2015.08.011>.

[45] DU, H.-f.; JIAO, L.-c. Clonal operator and antibody clone algorithms. n. November,p. 4–5, 2002.

[46] CHEN, B. Agent-based artificial immune system approach for adaptive damagedetection in monitoring networks. Journal of Network and Computer Applications,Elsevier, v. 33, n. 6, p. 633–645, 2010. ISSN 10848045. Disponível em: <http://dx.doi.org/10.1016/j.jnca.2010.03.011>.

[47] BENTLEY, P. J.; KIM, J. Towards an artificial immune system for network intrusiondetection: an investigation of clonal selection with a negative selection operator.Proceedings of the 2001 Congress on Evolutionary Computation (IEEE Cat.No.01TH8546), v. 2, p. 1244–1252, 2001. Disponível em: <http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=934333>.

[48] KUO, R. J. et al. The application of an artificial immune system-based back-propagationneural network with feature selection to an RFID positioning system. Robotics andComputer-Integrated Manufacturing, Elsevier, v. 29, n. 6, p. 431–438, 2013. ISSN07365845. Disponível em: <http://dx.doi.org/10.1016/j.rcim.2013.04.002>.

[49] OSTASZEWSKI, M.; BOUVRY, P.; SEREDYNSKI, F. Denial of service detection andanalysis using idiotypic networks paradigm. Proceedings of the 10th annual conferenceon Genetic and evolutionary computation - GECCO ’08, p. 79, 2008. Disponível em:<http://portal.acm.org/citation.cfm?doid=1389095.1389107>.

[50] MORIM, D. dos S. Uso de Detectores de Dimensões Variáveis Aplicados na Detecção deAnomalias Através de Sistemas Imunológicos Artificiais. 2009.

[51] MATZINGER, P. The evolution of the danger theory. Expert Review of ClinicalImmunology, v. 8, n. 4, p. 311–317, 2012. ISSN 1744-666X.

[52] ZHUANG, Y. et al. Information Security Risk Assessment Based on ArtificialImmune Danger Theory. 2009 Fourth International Multi-Conference on Computingin the Global Information Technology, p. 169–174, 2009. Disponível em: <http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=5280049>.

[53] HOSSEINPOUR, F. Design of a new distributed model for Intrusion Detection Systembased on Artificial Immune System. . . . and Service (IMS), . . . , p. 378–383, 2010.Disponível em: <http://ieeexplore.ieee.org/xpls/abs\_all.jsp?arnumber=5713>.

[54] SOBH, T. S.; MOSTAFA, W. M. A cooperative immunological approach for detectingnetwork anomaly. Applied Soft Computing Journal, v. 11, n. 1, p. 1275–1283, 2011. ISSN15684946.