Detecção de Intrusões Baseada em Floresta de Caminhos Ótimos

Resumo

Devido ao elevado crescimento do número de ataques a redes de computadores, torna-se cada vez mais necessária a utilização de sistemas de detecção de intrusões mais robustos e eficientes. Técnicas tradicionais de inteligência artificial e reconhecimento de padrões têm sido bastante empregadas com o intuito de construir modelos eficazes para endereçar tais problemas. Abordagens amplamente conhecidas, tais como Redes Neurais Artificiais e Máquinas de Vetores de Suporte, por exemplo, contribuem para uma detecção bastante eficaz de anomalias em tráfegos de redes de computadores, as quais podem caracterizar diversos tipos de ataques. Entretanto, tais abordagens pagam o preço de elevadas taxas de acerto com fases de treinamento extremamente custosas impedindo, muitas vezes, a sua utilização em sistemas de detecção de intrusões que necessitam de re-treinamento em tempo real. Assim, é desejável que um sistema possa ser re-treinado e logo em seguida entre em operação novamente, sem prejudicar o seu desempenho. Este problema torna-se ainda mais crítico em grandes volumes de dados, onde a fase de treinamento, a qual requer muitas vezes otimização de parâmetros, possui uma complexidade exponencial. Uma análise no tráfego de uma rede de médio porte durante alguns poucos segundos pode gerar, por exemplo, dezenas de milhões de dados. Recentemente, um novo classificador de padrões denominado Floresta de Caminhos Ótimos foi proposto na literatura com o intuito de aliar eficiência e eficácia, tendo demonstrado superioridade com relação a Redes Neurais Artificiais e similaridade a Máquinas de Vetores de Suporte, porém muito mais rápido. A idéia de tal abordagem consiste, basicamente, em modelar o problema de reconhecimento de padrões como sendo um problema de geração de árvores de caminhos ótimos em um grafo. A partir da escolha de elementos chaves (protótipos), os mesmos irão conquistar as outras amostras oferecendo a elas caminhos de custo ótimo, originando ao final do processo uma coleção de árvores de caminhos ótimos enraizadas em tais protótipos. Assim sendo, propomos no presente projeto de pesquisa a utilização do classificador Floresta de Caminhos Ótimos para a detecção de intrusões em redes de computadores. Outra motivação em utilizar esse classificador consiste na possibilidade de re-treinamento do mesmo em tempo real com o intuito de aumentar a precisão do sistema, consistindo de uma abordagem resiliente no que diz respeito em voltar a monitorar o sistema rapidamente, tarefa essa que é bastante ineficiente com as abordagens atualmente empregadas. Outro objetivo do trabalho é propor um novo algoritmo de aprendizado de poda de amostras irrelevantes para o classificador Floresta de Caminhos Ótimos com o intuito de construir um conjunto de treinamento mais compacto e representativo, visando um aumento ainda maior na precisão e eficiência do mesmo. Desta forma, a presente proposta de trabalho destaca-se por ser a primeira a utilizar Floresta de Caminhos Ótimos no contexto de sistemas de detecção de intrusões em redes de computadores e por propor um novo algoritmo de compactação do conjunto de treinamento que, inclusive, pode ser utilizado por outras abordagens de reconhecimento de padrões nas mais diversas aplicações.