Smart Defender: Um Sistema De Detecção E Mitigação De Ataques Dos/Ddos Usando Aprendizagem De Máquina
Total Page:16
File Type:pdf, Size:1020Kb
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE TECNOLOGIA PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA ELÉTRICA E UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE DE COMPUTAÇÃO Smart Defender: Um Sistema de Detecção e Mitigação de Ataques DoS/DDoS usando Aprendizagem de Máquina Francisco Sales de Lima Filho Orientador: Prof. Dr. Luiz Felipe de Queiroz Silveira Tese de Doutorado apresentada ao Pro- grama de Pós-Graduação em Engenharia Elétrica e de Computação da UFRN (área de concentração: Engenharia de Computação) como parte dos requisitos para obtenção do título de Doutor em Ciências. Número de ordem PPgEEC: D265 Natal, RN, 20 de dezembro de 2019 Universidade Federal do Rio Grande do Norte - UFRN Sistema de Bibliotecas - SISBI Catalogação de Publicação na Fonte. UFRN - Biblioteca Central Zila Mamede Filho, Francisco Sales de Lima. Smart Defender: um sistema de detecção e mitigação de ataques DoS/DDoS usando aprendizagem de máquina / Francisco Sales de Lima Filho. - 2019. 104 f.: il. Tese (doutorado) - Universidade Federal do Rio Grande do Norte, Centro de Tecnologia, Programa de Pós-Graduação em Engenharia Elétrica e de Computação, Natal, RN, 2020. Orientador: Prof. Dr. Luiz Felipe de Queiroz Silveira. 1. DoS - Tese. 2. DDoS - Tese. 3. Attack Detection - Tese. 4. Attack Mitigation - Tese. 5. Machine Learning - Tese. 6. Network Security - Tese. I. Silveira, Luiz Felipe de Queiroz. II. Título. RN/UF/BCZM CDU 004.85 Elaborado por Ana Cristina Cavalcanti Tinôco - CRB-15/262 Smart Defender: Um Sistema de Detecção e Mitigação de Ataques DoS/DDoS usando Aprendizagem de Máquina Francisco Sales de Lima Filho Tese de Doutorado aprovada em 20 de dezembro de 2019 pela banca examinadora com- posta pelos seguintes membros: Prof. Dr. Luiz Felipe de Queiroz Silveira (orientador) . DCA/UFRN Profa Dra Genoveva Vargas Solar . CNRS Prof. Dr. Plácido Antônio de Souza Neto . DIATINF/IFRN Prof. Dr. Agostinho de Medeiros Brito Junior . DCA/UFRN Prof. Dr. Paulo Sérgio da Motta Pires . DCA/UFRN Prof. Dr. Ivanovitch Medeiros Dantas da Silva . IMD/UFRN Dedico este trabalho ao meu tio Antônio Neto da Costa pelo fundamental apoio no desenvolvimento dos meus estudos. Agradecimentos Agradeço a Deus por preparar o caminho, por permitir a caminhada e por dar forças para concluí-la. Agradeço aos meus pais por todo o amor, dedicação e confiança. À minha amada esposa Érika pela compreensão, cumplicidade, companheirismo, sinceri- dade e amor. À minha amada filha Sofia, que mesmo em sua inocência soube compreender minhas ausências em nossas deliciosas brincadeiras cotidianas. Aos meus irmãos Claudinho (em memória), Maik e Claudinha pelo amor fraterno, apoio e confiança. Aos demais familiares que contribuíram nessa jornada e souberam entender minha dis- tância em eventos da família. Ao meu orientador Prof. Luiz Felipe pelo trabalho exemplar, conduzido com esmero, profissionalismo, dedicação e amizade. Ao Prof. Agostinho Medeiros pelo acolhimento no Laboratório de Segurança da Infor- mação - LabSIN, pelo companheirismo, dedicação e amizade. Aos demais colegas de pós-graduação, pelas críticas e sugestões. À Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES), pelo apoio financeiro. Resumo O ataque de negação de serviço (DoS) e sua variante distribuída (DDoS) representa um dos riscos mais significativos para a disponibilidade de serviços operando na Internet. Essa ameaça cibernética continua a crescer em todo o mundo, e é prejudicial mesmo com o avanço das tecnologias de proteção de rede. O desenvolvimento de mecanismos que possam detectar e mitigar os impactos do tráfego malicioso gerado por ataques DDoS é um desafio atual na área de segurança de redes, com um impacto direto na vida da popula- ção mundial. Este trabalho propõe o sistema Smart Defender como uma abordagem para reduzir o impacto desses ataques. Este sistema é formado por duas ferramentas, o Smart Detection (SD) e o Smart Protection (SP), que operam de maneira integrada e distribuída. O sistema de detecção proposto toma decisões com base em assinaturas preexistentes, usando técnicas de Aprendizagem de Máquina (AM), para classificar o tráfego de rede. O sistema de proteção aplica regras para controlar o tráfego indesejado e mitigar os efei- tos do DDoS, considerando as informações compartilhadas pelo sistema de detecção e a política de segurança da rede local. Nos experimentos realizados, foram utilizados moder- nos conjuntos de dados de referência e testes controlados em laboratório. Os resultados mostram que a solução proposta é capaz de detectar precocemente ataques DDoS com alta taxa de acertos e baixa taxa de alarmes falsos, além de isolar a ameaça no primeiro minuto de ataque. Palavras-chave: DoS, DDoS, Detecção de ataques, Mitigação de ataques, Aprendi- zagem de Máquina, Segurança de Redes. Abstract Denial of Service Attack (DoS) and its distributed variant (DDoS) represent one of the most significant risks to the availability of services operating on the Internet. This cy- ber threat continues to grow worldwide and is detrimental even with the advancement of network protection technologies. Developing mechanisms that can detect and mitigate the impacts of malicious traffic generated by DDoS attacks is a current challenge in network security, with a direct impact on the lives of the world’s population. This work proposes the Smart Defender system as an approach to reduce the impact of these attacks. This system consists of two tools, Smart Detection (SD) and Smart Protection (SP), which operate in an integrated and distributed manner. The proposed detection system makes decisions based on pre-existing signatures using Machine Learning (ML) techniques to classify network traffic. The protection system enforces rules to control unwanted traffic and mitigate the effects of DDoS, given the information shared by the detection system and the security policy of the local network. In the experiments performed, modern re- ference data sets and controlled laboratory tests were used. The results show that the proposed solution is capable of early detection of high hit rate and low false alarm rate DDoS attacks, as well as isolating the threat in the first minute of attack. Keywords: DoS, DDoS, Attack Detection, Attack Mitigation, Machine Learning, Network Security. Sumário Sumário i Lista de Figuras iii Lista de Tabelas v Lista de Símbolos e Abreviaturas vii 1 Introdução 1 1.1 Contribuições . .4 1.2 Organização do Documento . .5 2 Estado da Arte 7 2.1 Negação de Serviços em Sistemas Computacionais . .7 2.2 Negação de Serviços em Redes Convencionais . .9 2.3 Negação de Serviços em Redes SDN . 12 2.4 Resumo . 14 3 Ataques de Negação de Serviços 17 3.1 Ataques Distribuídos de Negação de Serviços . 17 3.2 Ataques de Camada de Rede/Transporte . 19 3.3 Ataques de Camada de Aplicação . 22 3.4 Datasets de referência . 24 3.4.1 Dataset ISCXIDS2012 . 24 3.4.2 Dataset CIC-DoS . 24 3.4.3 Dataset CICIDS2017 . 25 3.4.4 Dataset CSE-CIC-IDS2018 . 26 3.4.5 Dataset Autoral . 26 3.5 Resumo . 27 i 4 Aprendizagem de Máquina 31 4.1 Classificação de dados . 31 4.2 Classificação usando árvores de decisão . 33 4.3 Classificação usando comitê de árvores de decisão . 35 4.4 Métricas de Avaliação . 37 4.5 Resumo . 40 5 Smart Defender 41 5.1 Arquitetura . 41 5.2 Smart Detection . 42 5.2.1 Arquitetura . 43 5.2.2 Extração de Características . 46 5.2.3 Seleção de variáveis e algoritmo de aprendizagem . 49 5.2.4 Experimentos . 52 5.2.5 Análise de Resultados . 54 5.3 Smart Protection . 59 5.3.1 Arquitetura . 59 5.3.2 Gerenciador de Topologia . 61 5.3.3 Controle de Tráfego . 62 5.3.4 Experimentos . 63 5.3.5 Análise de Resultados . 64 5.4 Resumo . 71 6 Conclusões 73 6.1 Trabalhos Futuros . 74 6.2 Produção Científica . 75 Referências bibliográficas 76 Lista de Figuras 3.1 Arquitetura de ataque distribuído de negação de serviço (DDoS) na Internet. 18 3.2 Dinâmica da taxa de ataque DDoS. Em (a) ataque de taxa constante, (b) ataque de taxa crescente, (c) ataque de taxa constante com pequenas vari- ações e (d) ataque de taxa pulsante. 21 3.3 Topologia utilizada na construção do dataset autoral. 27 3.4 Resumo dos principais tipos, vítimas, taxas e impactos dos ataques de negação de serviços. 28 4.1 Abordagem de aprendizagem de máquina, adaptado de Géron (2017). 32 4.2 Sistema de classificação. 32 4.3 Exemplo de árvore de decisão com 3 atributos e 3 níveis de profundidade. 34 4.4 Processo de treinamento do algoritmo Random Forest, adaptado de (Géron 2017). 36 4.5 Exemplo de matriz de confusão de classificação binária. 38 5.1 Arquitetura do sistema Smart Defender. 42 5.2 Construção do modelo e esquema de operação do sistema Smart Detection. 43 5.3 Visão geral do esquema de classificação de tráfego. 44 5.4 Algoritmo do sistema de detecção. 45 5.5 Processo de extração, transformação e rotulagem das instâncias do banco de dados. 49 5.6 Número de variáveis versus número de modelos. 51 5.7 Variáveis selecionadas pelo algoritmo de seleção proposto. 52 5.8 Esquema de validação on-line do Smart Detection. 54 5.9 Tráfego de rede em experimento on-line usando o dataset CICIDS2017. 56 5.10 Classificação de tráfego e uso de CPU em experimento on-line usando o dataset CICIDS2017. 57 5.11 Visão geral da arquitetura do Smart Protection para redes SDN. 60 5.12 Fluxograma do módulo de controle de tráfego do Smart Protection. 63 5.13 Topologia da rede experimental de validação do Smart Protection. 64 iii 5.14 Tráfego em pps no RT-CORE (Experimento-01). 67 5.15 Tráfego em bps no RT-CORE (Experimento-01). 67 5.16 Tráfego em pps no RT-REDE-40 (Experimento-01). 68 5.17 Tráfego em bps no RT-REDE-40 (Experimento-01).