CINARA BRENDA ZERBINI

^
SURVEY INTRODUÇÃO À GERENCIA DE REDES E
DETECÇÃO DE ANOMALIAS

LONDRINA–PR
2017
 SUMÁRIO

1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 ^
ÁREAS FUNCIONAIS DA GERENCIA DE REDES . . . . . 7

3 METODOLOGIA GERAL PARA DETECÇÃO DIAGNÓSTICO

E RESOLUÇÃO DE PROBLEMAS . . . . . . . . . . . . . . . . 9

4 SEGURANÇA EM REDES E DETECÇÃO DE ANOMALIAS 13

4.1 Sistemas de detecção de anomalias . . . . . . . . . . . . . . . . . 13
4.1.1 Arquitetura de um sistema de detecção de anomalia . . . . . . 13
4.2 Principais tipos de anomalias . . . . . . . . . . . . . . . . . . . . 14
4.3 Técnicas de detecção de anomalias . . . . . . . . . . . . . . . . . 16
4.3.1 Algoritmos de Classificação . . . . . . . . . . . . . . . . . . . . . . 17
4.3.1.1 Máquina de Vetor de Suporte (SVM) . . . . . . . . . . . . . . . . . 17
4.3.1.2 Redes Neurais Artificiais . . . . . . . . . . . . . . . . . . . . . . . . 18
4.3.1.3 Rule-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.3.1.4 Redes Bayesianas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.3.2 Algoritmos de Otimização . . . . . . . . . . . . . . . . . . . . . . 18
4.3.2.1 Algoritmos Genéticos (GA) . . . . . . . . . . . . . . . . . . . . . . . 18
4.3.2.2 Ant Colony Optimization (ACO) . . . . . . . . . . . . . . . . . . . 18
4.3.3 Teorias Estatı́sticas . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.3.3.1 Mixture Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.3.3.2 Análise de Componentes Principais (PCA) . . . . . . . . . . . . . . 19
4.3.4 Ferramentas utilizadas em Processamento de Sinais . . . . . . 19
4.3.4.1 Transformadas Wavelet . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.3.5 Teoria da Informação . . . . . . . . . . . . . . . . . . . . . . . . . 20

5 CONSIDERAÇÕES FINAIS . . . . . . . . . . . . . . . . . . . . 21

^
REFERENCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
 3

1 INTRODUÇÃO

A ger^encia de redes de computadores pode ser analisada de forma análoga à me-

dicina, conforme pode ser visualizado na Tabela 1.

Tabela 1 – Analogia entre a ger^encia de redes e a medicina.

Medicina Ger^encia de Rede

Sintomas O que um paciente O que o usuário da
sente quando está do- rede sente quando um
ente problema está ocor-
rendo
Sinais Informações Informações
sobre o es- sobre o es-
tado/comportamento tado/comportamento
do paciente obtidas da rede obtidas pelo
pelo médico através gerente da rede com
de exames e/ou o auxı́lio de instru-
observações mentação adequada
Sinais Patognom^onicos Sinais cuja exist^encia Sinais cuja exist^encia
já confirmam a confirmam um certo
exist^encia de uma problema
certa doença
Testes confirmatórios Testes que o médico Testes que o gerente
precisa realizar para de redes precisa reali-
chegar ao diagnóstico zar para confirmar ou
diferencial quando es- negar um ou mais pro-
tiver suspeitando de blemas
várias doenças

Entre os principais problemas que podem ocorrer em uma rede podemos listar 37
problemas principais, separando-os de acordo com a camada OSI na qual um determinado
problema ocorre, isto pode ser verificado na Tabela 2.
Tabela 2: Lista dos principais problemas que podem ocorrer em uma rede.

Cabo rompido ou danificado;

Conector defeituoso ou mal insta-
lado;
Descasamento de modo e/ou ve-
locidade de operação;
Equipamento de interconexão de-
feituoso;
4

Camada Fı́sica Placa de rede ou porta de equi-

pamento de interconexão defeitu-
osas;
Interfer^encia no cabo;
Saturação de banda em segmen-
tos Ethernet compartilhados;
Tipo errado de cabo;
Violação de regras de cabeamento
Ethernet;
Interface desabilitada;
Problema com árvore de cober-
tura;
Camada de Enlace Saturação de recursos devido a
excesso de quadros de difusão;
Tempo de envelhecimento de ta-
belas de endereços inadequado;
Validade da cache ARP inade-
quada;
Tabela de rotas de hospedeiros in-
corretas;
Endereço IP de hospedeiro incor-
reto;
Hospedeiro com máscara de rede
incorreta;
Cliente DNS mal configurado;
Servidor DHCP mal configurado;
Rotas estáticas mal configuradas;
Camada de Rede Equipamento inserido em VLAN
incorreta;
VLANs não estão configuradas;
Comutadores não conseguem tro-
car informações sobre VLANs en-
tre si;
Ambiente RIP-1 com VLSM e/ou
redes não contı́guas;
Di^ametro RIP com mais de 15 ro-
teadores;
Roteadores RIP-2 não enviam ou
recebem pacotes RIP-1;
 5

Tráfego RIP saturando largura de

banda
Filtro IP não permite a passagem
de tráfego RIP (UDP 520);
O serviço de nomes não está ha-
bilitado;
DNS: descasamento de registros
A e PTR em arquivos de zonas;
Inconsist^encia entre registros dos
servidores DNS primário e se-
cundários;
Camada de Aplicação O TTL default de uma zona DNS
não está configurado;
DNS: TTL e outros campos do re-
gistro SOA com valores inadequa-
dos;
Falta ”.”após nomes totalmente
qualificados em registros DNS;
Filtro IP barrando tráfego DNS;
Servidor de correio eletr^onico com
repasse totalmente aberto;

Se considerarmos a analogia da ger^encia de redes com a medicina, e a metodolo-

gia geral de detecção, diagnóstico e resolução de problemas, um problema possui cinco
elementos essenciais:

1. Descrição: a descrição de um problema apresenta as circunst^ancias em que um pro-

blema surge. A descrição é importante para que seja possı́vel entender o problema;

2. Sintomas: são os reflexos do problema que são visı́veis aos usuários, como por exem-
plo, a rede está lenta, a rede não está funcionando;

3. Sinais: são os reflexos internos do problema, isto é, não são visı́veis ao usuário final,
mas visı́veis ao administrador da rede;

4. Testes confirmatórios: indicam os passos que devem ser seguidos para confirmar ou
negar a exist^encia do problema de rede que está sendo apresentado;

5. Sugestões de tratamento: após o problema ser confirmado, então uma sugestão de

tratamento indica uma solução ao problema detectado.
6

Para a obtenção de sinais, geralmente é necessário o uso de equipamentos adi-

cionais, como estações de ger^encia, analisadores de protocolos ou outras ferramentas de
ger^encia. Entre as ferramentas principais para obtenção desses sinais, que nos trazem
informações adicionais aos sintomas percebidos pelos usuários temos:

∙ Estações de ger^encia SNMP

∙ Interface de linha de comando

∙ Analisador de protocolos

∙ IfConfig e NetStat

Dentro da ger^encia de redes existe a área de segurança, que será foco desta pes-
quisa, mas antes, serão introduzidos alguns conceitos importantes sobre ger^encia de redes.
 7

^
2 ÁREAS FUNCIONAIS DA GERENCIA DE REDES

A ger^encia de Redes possui cinco áreas funcionais definidas pela ISO, que são: [1]

∙ Fault Management ou Ger^encia de Falhas (F): trata da detecção, localização e tra-

tamento de problemas de hardware ou software em uma rede;

∙ Configuration Management ou Ger^encia de Configuração (C): tem relação com regis-

tros de inventário de hardware e software, histórico de modificação dos dispositivos
(normalmente feito através de backups de configuração com registro de data, hora
e responsável pela modificação), permitir a inicialização dos sistemas que compõem
a rede (como o sistema operacional e a configuração de um roteador);

∙ Accounting Management ou Ger^encia de Registros (A): registra a utilização da rede

a fim de contabilizar a utilização dos recursos da rede;

∙ Performance Management ou Ger^encia de Performance (P): através desta ger^encia,

os administradores da rede são capazes de monitorar certas variáveis chaves como:
throughput, tempo de resposta e disponibilidade, permitindo assim, uma análise de
como e em qual aspecto o desempenho da rede pode ser melhorado;

∙ Security Management ou Ger^encia de Segurança (S): fiscaliza o acesso a informações

e recursos da rede, através de tarefas como: verificação do privilégio de acesso à rede
dos usuários, detecção e registro das tentativas de acesso não autorizado.
 9

3 METODOLOGIA GERAL PARA DETECÇÃO DI-

AGNÓSTICO E RESOLUÇÃO DE PROBLEMAS

A metodologia geral para detecção, diagnóstico e resolução de problemas segue

alguns passos principais, apresentados na Figura 1.

Figura 1 – Metodologia geral para detecção, diagnóstico e resolução de problemas. (Fonte:

[2])

∙ 2.1) O primeiro passo ocorre quando algum usuário contata o help desk e reportam
sintomas de um problema. Não é interessante que problemas graves sejam desco-
bertos por usuários da rede, então, o suporte de rede deve sempre se preocupar
10

em mitigar os problemas, através de um plano de ação proativo, aliada a uma rede

resiliente, capaz de suportar algumas falhas sem sofrer queda ou indisponibilidade
de serviços.

∙ 2.2) Uma vez notificado sobre a exist^encia de um problema, é iniciada a coleta de

informações, desde os sintomas relatados pelo usuário que reportou o problema,
até os sinais que podem ser coletados a respeito dos equipamentos e dos outros
elementos da rede, por meio das ferramentas já citadas.

∙ 2.3) Antes de levantar as hipóteses para um determinado problema, vale destacar se

este problema já ocorreu antes (se há recorr^encia), ou se o problema ocorreu depois
de uma mudança na rede, se sim, então é possı́vel limitar as hipóteses àquelas que
tem relação com a recorr^encia ou com a mudança ocorrida na rede.

∙ 2.4) Nesta etapa as hipóteses são levantadas, levando em conta as etapas 2.3. e 2.2.,
a partir dessas hipóteses será possı́vel testá-las e por fim identificar o problema.

∙ 2.5) Nesta etapa, a lista de hipóteses deve ser organizada, separada por camada OSI,
isto é, separada por camada: fı́sica, de enlace, de rede, de transporte e de aplicação. A
ideia dessa organização é identificar uma ordem para testar cada uma das hipóteses.
As hipóteses de problemas da camada fı́sica devem ser testadas primeiro, pois se a
camada fı́sica realmente apresentar um problema, provavelmente as camadas acima
também apresentarão e portanto, se testarmos as outras camadas antes, o resultado
poderá ser falso. Também vale destacar que problemas de uma mesma camada
também devem ser avaliados quanto a ordem de verificação, por exemplo: alguns
testes de verificação de dispositivo de placa de rede envolvem testes de comunicação
com o equipamento remoto, é portanto, mais interessante que o cabo de rede ligado
a esta placa seja testado antes da placa.

∙ 2.6) O teste das hipóteses levantadas consiste em testar cada uma das hipóteses
para descobrir se de fato aquele problema existe ou não. Por exemplo: suponhamos
que uma das hipóteses seja a exist^encia de um cabo rompido que liga um determi-
nado equipamento, basta então realizar a troca desse cabo por outro que funcione e
verificar se o problema foi solucionado. Outro exemplo seria a utilização de alguma
ferramenta de diagnóstico de algo especı́fico da rede, caso seja diagnosticado um
problema em um determinado elemento ou configuração da rede, a etapa seguinte
será realizada.

∙ 2.7) Esta etapa consiste na resolução do problema, como citado no exemplo anterior,
se um cabo estiver rompido, ou algum equipamento estiver queimado, a solução será
trocá-lo, isto é, nesta etapa, todas as medidas necessárias para solucionar o problema
detectado na etapa anterior são tomadas.
 11

∙ 2.8) Depois de solucionado o problema, cabe ao gerente da rede testar esta solução,
para verificar se foi feita de maneira correta, se é a mais eficiente, e também para
torná-la efetiva, quando a solução tem caráter paliativo, apenas para “apressar” o
restabelecimento de algum serviço da rede.

∙ 2.9) A última etapa consiste na documentação de todo o processo realizado na etapa

anterior, esta etapa é importantı́ssima, pois através dela é possı́vel a mitigação de
problemas, e a agilização no processo de detecção e resolução de futuros problemas
na rede.
 13

4 SEGURANÇA EM REDES E DETECÇÃO DE ANOMA-

LIAS

Como visto no capı́tulo anterior, existe um processo geral para detecção e resolução
de um problema. Dentro da rede Alguns destes problemas podem causar anomalias ao
tráfego da rede, e cabe ao gerente da rede identificar se estas anomalias foram causadas
por falhas mec^anicas, de configuração, humanas, ou ainda por intrusões (malwares).
As causas por falha mec^anicas consistem na queima ou desgaste de algum equipa-
mento da rede. As de configuração ocorrem devido a algum equipamento mal configurado,
ou modificação na configuração. As falhas humanas, neste contexto, consistem em falhas
causadas pelo uso inadequado da rede, ou por excesso de usuários em uma rede (flash
crowd). E por fim, as falhas causadas por intrusões, que ocorrem quando uma anomalia
é causada por um agente malicioso, como malwares, ataques DoS ou DDoS.
Quando falhas ocorrem por causa de intrusões, é então necessário o acionamento de
uma das cinco áreas funcionais de um sistema de ger^encia de rede: a segurança. Para que
toda a estrutura da rede, bem como os dados e informações que circulam nela continuem
seguros e ı́ntegros, é necessário que exista um sistema de detecção de anomalia, para
verificar se esta anomalia provém de uma intrusão ou não, para que desta forma, as
devidas provid^encias sejam tomadas para resolver o problema.

4.1 Sistemas de detecção de anomalias

Como já foi explicado, a detecção de anomalias em uma rede é primordial para
tratar problemas decorrentes de falhas, de más configurações, ou ainda de anomalias
causadas por agentes maliciosos. Para tanto, sistemas de detecção de anomalias foram
criados, a fim de monitorar e tratar possı́veis anomalias na rede.
De uma maneira mais restrita, podemos citar os sistemas de detecção de intrusões
(IPS – Intrusion Prevention System), que nada mais é que um sistema que detecta e trata
apenas anomalias causadas por agentes maliciosos. Com base nisto, podemos diferenciar
anomalia de intrusão. Anomalia é qualquer trecho de tráfego que foge de um padrão
esperado, enquanto que intrusões são anomalias causadas por agentes maliciosos, ou seja,
toda intrusão é uma anomalia, mas nem toda anomalia é uma intrusão.

4.1.1 Arquitetura de um sistema de detecção de anomalia

Os sistemas de detecção de anomalia possuem uma arquitetura geral, que pode ser
visualizada na Figura 2.
14

Figura 2 – Arquitetura geral de um sistema de detecção de anomalias.

Primeiramente temos os dados de entrada, com informações sobre o tráfego da

rede, que podem ser obtidos por meio do protocolo SNMP, ou por meio de fluxos IP.
Na etapa seguinte esses dados são manipulados e preparados para serem utilizados
na etapa seguinte.
Na etapa “Aplicação de uma técnica para o baseline” é utilizada uma técnica
para a geração do baseline utilizando os dados processados, algumas destas técnicas serão
abordadas na seção 4.3. Feito isto, temos um baseline que descreve o tráfego esperado
para uma determinada rede.
Por fim, utilizando o baseline, temos a etapa de detecção de anomalia, que também
se utiliza de algumas técnicas para ser executada.

4.2 Principais tipos de anomalias

Como visto anteriormente, as anomalias podem ou não ser causadas por agentes
maliciosos. A seguir serão apresentados os principais tipos de anomalias causadas ou não
por agentes maliciosos.
Anomalias que não possuem agentes maliciosos: [3]
 15

∙ Flash Crowd: quando, de forma súbita, uma grande quantidade de usuários, passa
a enviar (não maliciosamente) requisições para um determinado servidor, podendo
fazer com que este interrompa suas operações.

∙ Babbling Node: um nó da rede entra em falha por tempo indeterminado, enviando
pacotes de maneira indiscriminada para vários pontos da rede.

∙ Tempestade de Broadcasts: ocorre quando uma grande quantidade de pacotes de

broadcast começa a trafegar pela rede, causando congestionamentos que podem
levar à interrupção das operações da rede.

∙ Congestionamentos: aumento do tráfego de forma brusca, causando atraso e até

descarte de pacotes.

∙ Bugs nos softwares de roteamento: esses bugs ocorrem quando os softwares con-
tidos nos equipamentos de roteamento não foram preparados para tratar pacotes
corrompidos, ou com má formações.

∙ Erros em configurações: um firewall mal configurado pode causar a perda de diversos

pacotes por meio do bloqueio desses pacotes. Um servidor mal configurado pode não
conseguir responder à todas as requisições, causando congestionamentos.

Anomalias causadas por agentes maliciosos: [3]

∙ DoS e DDoS: a anomalia do tipo DDoS trata de um ataque realizado por um com-
putador mestre, que escraviza até milhões de computadores (chamados zumbis), a
fim de “derrubar” um determinado alvo e torná-lo indisponı́vel ou inacessı́vel por
um determinado tempo [4], como pode ser visualizado na Figura 3.

Figura 3 – Descrição de um ataque DDoS. (Fonte: [4])

Os alvos mais comuns são os servidores web. O objetivo destes “ataques” não é
invadir ou coletar informações de um sistema, mas sim exaurir e causar indisponi-
bilidades ao alvo. Muitas vezes, os donos de computadores escravizados nem tem
16

conhecimento disto. Segundo o Comit^e Gestor da Internet no Brasil [5], o ataque

DDoS pode ser realizado por diversos meios, como:

– pelo envio de grande quantidade de requisições para um serviço, consumindo os

recursos necessários ao seu funcionamento (processamento, número de conexões
simult^aneas, memória e espaço em disco, por exemplo) e impedindo que as
requisições dos demais usuários sejam atendidas;
– pela geração de grande tráfego de dados para uma rede, ocupando toda a banda
disponı́vel e tornando indisponı́vel qualquer acesso a computadores ou serviços
desta rede;
– pela exploração de vulnerabilidades existentes em programas, que podem fazer
com que um determinado serviço fique inacessı́vel.

A diferença entre ataques DDoS e DoS é a quantidade de computadores mestres e

zumbis. Os ataques do tipo DoS são feitos apenas por um mestre.

∙ Worms: são softwares capazes de se espalhar e executar cópias em máquinas remotas

ao longo da rede, infectando grandes conjuntos de alvos.

∙ Escanemaneto de Portas (Port Scan): esta técnica é utilizada por administradores de

rede para testar a vulnerabilidade da mesma, porém, agentes maliciosos se utilizam
desta técnica, também para obter as vulnerabilidades da rede, mas com o objetivo
de encontrar essas vulnerabilidades para realizar ataques.

4.3 Técnicas de detecção de anomalias

Para que seja realizada a detecção de uma anomalia existe duas vertentes em que
os sistemas de detecção de intrusões se baseiam: os sistemas baseados em assinatura e os
baseados em anomalias.
A detecção de intrusões baseada em assinaturas compara uma base de dados de
assinaturas de ataques conhecidos e, quando há semelhança entre alguma assinatura e o
dado coletado do tráfego da rede, o alarme é disparado. Um sistema de detecção base-
ado em assinaturas deve ser constantemente atualizado, devido ao surgimento de novas
anomalias. Um sistema baseado em assinaturas apresenta um número baixo de falsos posi-
tivos, porém, pode apresentar uma taxa considerável de falsos negativos, ou seja, sinalizar
tráfego normal quando na verdade há uma anomalia, podendo representar uma brecha na
segurança da rede [6].
A detecção de intrusões baseada em anomalias considera uma anomalia como uma
alteração do tráfego padrão da rede. O sistema constrói uma predição do comportamento
normal da rede (perfil) e utiliza ferramentas, que podem ser matemáticas, estatı́sticas,
 17

de intelig^encia artificial, ou outras, para detectar a anomalia [6]. Esta descrição do perfil
normal da rede (predição) é nomeado como DSNSF (Digital Signature of Network Segment
Using Flow Analysis) e é importante para a detecção de anomalias, pois quanto melhor
a predição, mais precisa é a detecção de anomalias, isto é, menor o número de falsos
positivos, e maior a taxa de verdadeiras anomalias detectadas [7].
Os sistemas de detecção de intrusões baseados em anomalias se utilizam de algumas
técnicas para geração de um padrão do tráfego (baseline, DSNSF). Estas técnicas podem
ser divididas nas áreas apresentadas pela Figura 4.

Figura 4 – Algumas técnicas de detecção de anomalia em redes.

4.3.1 Algoritmos de Classificação

A seguir serão apresentados alguns algoritmos de classificação utilizados na área

de ger^encia de redes, que são abordados por Ahmed [8].

4.3.1.1 Máquina de Vetor de Suporte (SVM)

Máquina de Vetor de Suporte, ou Support Vector Machine – SVM, é uma técnica

de classificação supervisionada, que utiliza uma classe para classificação, utiliza um hi-
perplano (linha de separação) para separar os dados em duas classes, no caso da detecção
de anomalias, classifica em dados normais e an^omalos. Entra alguns dos trabalhos de-
senvolvidos utilizando esta técnica temos o de Eskin et al. apud [8] e Hu et al. apud
[8].
18

4.3.1.2 Redes Neurais Artificiais

As Redes Neurais Artificiais são modelos computacionais inspirados no funciona-

mento do cérebro, que são capazes de realizar o aprendizado de máquina bem como o
reconhecimento de padrões. Geralmente são utilizadas em conjunto com aproximações
estatı́sticas. Esta técnica já foi utilizada na área de detecção de anomalias por alguns
estudiosos, como por exemplo, Hawkins et al. apud [8], Zhang et al. apud [8], Ramadas
et al. [8], Poojitha et al. apud [8].

4.3.1.3 Rule-based

As técnicas de detecção de anomalias baseadas em regras são largamente utilizadas

em algoritmos de aprendizagem supervisionado. A ideia básica desta técnica é aprender o
comportamento normal de um sistema, e qualquer coisa que fuja deste padrão é conside-
rado an^omalo. Yang et al. apud [8] desenvolveu um método baseado em regras, utilizando
um protocolo de análise in-depth, e propondo um método de inspeção profunda de pacotes.

4.3.1.4 Redes Bayesianas

É uma aproximação que utiliza modelos gráficos para conclusões baseados em

incerteza, onde os nós representam as variáveis (discretas ou contı́nuas), e as arestas
representam conexões diretas entre eles. Entre os principais trabalhos da área temos:
kruegel et al. apud [8] e Deljac et al. apud [8].

4.3.2 Algoritmos de Otimização

A seguir serão apresentados dois algoritmos de otimização que são utilizados na

área de ger^encia de redes.

4.3.2.1 Algoritmos Genéticos (GA)

Os algoritmos genéticos são algoritmos inspirados pela teoria da evolução, que são:
estratégia evolutiva, que tem ^enfase na auto-adaptação, programação genética, indivı́duos
são armazenados em árvores sintáticas, e programação evolutiva, baseia-se somente em
seleção e mutação. Hamamoto [9] desenvolveu uma técnica de detecção de anomalias em
rede utilizando algoritmos genéticos (GA).

4.3.2.2 Ant Colony Optimization (ACO)

O algoritmo ACO (Ant Colony Optimization) é inspirado no mecanismo de funci-

onamento real de uma col^onia de formigas, reproduzindo o comportamento de busca por
alimentos. A ideia central do algoritmo é reproduzir o comportamento de comunicação
entre as formigas, que utilizam os rastros de ferom^onio. Estes rastros permitem que uma
 19

formiga encontre o menor caminho entre o formigueiro e a fonte de alimento. Carvalho

[7] desenvolveu um sistema de detecção de anomalias utilizando o algoritmo ACO.

4.3.3 Teorias Estatı́sticas

Alguns estudiosos desenvolvem suas técnicas de detecção de anomalias baseando-se

em teorias estatı́sticas, algumas dessas técnicas serão apresentadas a seguir [8].

4.3.3.1 Mixture Model

Eskin apud [8] prop^os um modelo misto (Mixture Model), para a detecção de
ruı́dos em dados. Os modelos mistos, de forma geral, dividem os dados em duas classes:
os de pequena probabilidade 𝛼, e os elementos majoritários, de probabilidade 1−𝛼. Ambas
classes possuem uma distribuição de probabilidade, considerando que a distribuição geral
de um conjunto de dados é representada pela letra 𝐷, o grupo de probabilidade alfa
(an^omalo) pela letra 𝐴 e o grupo majoritário (normal) pela letra 𝑀 , temos:

𝐷 = (1 − 𝛼) * 𝑀 + 𝛼 * 𝐴 (4.1)

Os dados gerados a partir da distribuição A, são considerados an^omalos.

4.3.3.2 Análise de Componentes Principais (PCA)

Análise de Componentes principais, ou Pincipal Analysis Components – PCA,

utiliza uma transformação ortogonal para converter um grupo de variáveis aleatórias
possivelmente correlacionadas num conjunto variáveis aleatórias linearmente não corre-
lacionadas chamadas de componentes principais. Shyu et al. apud [8] utiliza PCA para
analisar dados de um tráfego de rede.

4.3.4 Ferramentas utilizadas em Processamento de Sinais

Algumas técnicas utilizadas em processamento de sinais podem ser utilizadas na

área de detecção de anomalias em rede. A seguir serão apresentados alguns trabalhos
utilizando as Transformadas Wavelets.

4.3.4.1 Transformadas Wavelet

Segundo afirma Lima [10], wavelets podem ser vistas como mecanismos para de-
compor ou quebrar sinais nas suas partes constituintes, permitindo analisar os dados em
diferentes domı́nios de frequ^encias com a resolução de cada componente amarrada à sua
escala. Alguns dos trabalhos da área foram desenvolvidos por: Azevedo [11], em sua tese
de mestrado, desenvolveu um sistema para detecção de ataques DoS, utilizando trans-
formadas wavelets 2D, Dalmazo et al. [12] desenvolveram um sistema utilizando a teoria
20

de wavelets para a redução de falsos positivos em um sistema inicial que utiliza séries
temporais para a caracterização do tráfego e detecção de anomalia., Gao et al. [13] de-
senvolveram um sistema de detecção de anomalia utilizando wavelets packets, que é uma
generalização do algoritmo piramidal da transformada wavelet tradicional, Dainotti et al.
[14] utilizaram as wavelets de Morlet combinadas com o algoritmo de Somas Cumulativas,
Limthong et al. [15] desenvolveram um sistema para detecção de anomalias utillizando
wavelets com arquitetura dividida em quatro etapas: geração e filtros de séries tempo-
rais, transformada wavelet discreta, verificação se existe ou não anomalia e cálculo de
estatı́sticas.

4.3.5 Teoria da Informação

Medidas baseadas em teoria da informação podem ser utilizadas para criar um

modelo de detecção de anomalia adequado. No trabalho de Lee e Xiang apud [8], medidas
como entropia, entropia condicional, entropia relativa, ganho de informação e custo de
informação foram utilizadas para descrever caracterı́sticas de um conjunto de dados.
 21

5 CONSIDERAÇÕES FINAIS

Esta pesquisa trata dos conceitos principais dos Sistemas de detecção de anomalias,
abordando desde os conceitos iniciais de administração de redes, como as técnicas e o
passo a passo para a resolução de problemas em redes, que podem ter origens na área de
segurança, isto é, podem ser problemas derivados de ações de agentes maliciosos, até as
principais técnicas utilizadas nos sistemas de detecção de anomalias, seja para a geração de
baselines (DSNSF) ou para a detecção propriamente dita, em que um tráfego é comparado
ao baseline, e por meio de alguma técnica é realizada a decisão, se há ou não anomalia.
 23

^
REFERENCIAS

[1] ABREU, F. R.; PIRES, H. D. Ger^encia de Redes. Disponı́vel em: ”⟨http:

//www.midiacom.uff.br/∼debora/redes1/pdf/trab042/SNMP.pdf⟩”.

[2] LOPES, R. V.; SAUVÉ, J. P.; NICOLLETTI, P. S. Ger^encia de Redes. 2001.

16-41 p.
[3] B., Z. B. Detecção de Anomalias em Redes de Computadores. 2010. 7-10 p.
[4] O que é DoS e DDoS? Disponı́vel em: ”⟨http://canaltech.com.br/o-que-e/o-que-e/
O-que-e-DoS-e-DDoS/⟩”.
[5] BRASIL, C. G. da Internet no. Cartilha de Segurança para Internet. [S.l.]: CERT.br
4th ed., 2012.
[6] PERLIN, T. J.; NUNES, R. C.; KOZAKEVICIUS, A. de J. Detecção de Anomalias
em Redes de Computadores através de Transformadas Wavelets. 2011. 2-15 p.
[7] CARVALHO, L. F. Metaheurı́stica Ant Colony Optimization e Análise de Fluxos IP
Aplicados à Detecção de Anomalias e à Ger^encia de Redes. 2014. Disponı́vel em:
”⟨http://www.bibliotecadigital.uel.br/document/?view=vtls000189801⟩”.
[8] AHMED, M.; MAHMOOD, A. N.; HU, J. A survey of network anomaly detection
techniques. Journal of Network and Computer Applications, v. 60, p. 19 – 31, 2016.
ISSN 1084-8045. Disponı́vel em: ⟨http://www.sciencedirect.com/science/article/pii/
S1084804515002891⟩.
[9] HAMAMOTO, A. H. Aplicação de Algoritmos Genéticos para Auxiliar na Ger^encia
de Redes. 2014. Disponı́vel em: ”⟨http://www.uel.br/cce/dc/wp-content/uploads/
TCC-AndersonHamamoto-BCC-UEL-2014.pdf⟩”.
[10] LIMA, P. C. de. Wavelets: Uma Introdução. 2003. ICEX - UFMG.
[11] AZEVEDO, R. P. Detecção de Ataques de Negação de Serviço em Redes de
Computadores Através da Transformada Wavelet 2D. 2012. UFSM.
[12] DALMAZO, B. L. et al. Filtro de Alarmes de Anomalias através de Wavelets. 2009.
85-100 p.
[13] GAO, J. et al. Anomaly detection of network traffic based on wavelet packet. In:
2006 Asia-Pacific Conference on Communications. [S.l.: s.n.], 2006. p. 1–5. ISSN
2163-0771.
[14] DAINOTTI, A.; PESCAPE, A.; VENTRE, G. Nis04-1: Wavelet-based detection of
dos attacks. In: IEEE Globecom 2006. [S.l.: s.n.], 2006. p. 1–6. ISSN 1930-529X.
[15] LIMTHONG, K.; WATANAPONGSE, P.; KENSUKE, F. A wavelet-based anomaly
detection for outbound network traffic. In: Information and Telecommunication
Technologies (APSITT), 2010 8th Asia-Pacific Symposium on. [S.l.: s.n.], 2010.
p. 1–6.