Aplicação do algoritmo de clusterização de fluxos contínuos de dados denstream na detecção de ataques em internet das coisas
Data
2024-01-25
Autores
Tazima, Gabriel Keith
Título da Revista
ISSN da Revista
Título de Volume
Editor
Resumo
A Internet das Coisas (Internet of Things - IoT) pode ser definida como a convergência da Internet e objetos que podem se comunicar e interagir entre si. Para os próximos anos, aplicações de IoT devem se expandir e crescer exponencialmente. Diversas áreas como logística, indústria, saúde pública, automação residencial e monitoramento ambiental se beneficiarão deste novo paradigma. A IoT tem o potencial de prover facilidades e melhorias na vida cotidiana. Com a aproximação entre essas aplicações e os usuários finais, atividades que antes estavam imunes a ataques cibernéticos, podem estar ameaçadas por ações maliciosas. Dispositivos domésticos de IoT podem se tornar alvos de ataques e potencialmente ameaçar a segurança e a privacidade de indivíduos. Diferente de redes de Internet das Coisas industriais, por exemplo, em cenários residenciais, os dispositivos utilizados são mais heterogêneos e, normalmente, tem menor custo e capacidade computacional. Além disso, eles contam com aplicações que muitas vezes são descentralizadas e desenvolvidas de forma diferente pelos diversos fabricantes envolvidos. Uma das possibilidades de medidas de defesa é o provisionamento de um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS), que seria capaz de detectar atividades maliciosas e gerar registros das mesmas. Há outros trabalhos que fazem detecção de ataques utilizando aprendizado de máquina, mas a maioria das soluções utiliza técnicas de aprendizado supervisionado por lotes e precisam de amostras normais e maliciosas para serem treinados, o que pode ser problemático em cenários de redes reais. A utilização de algoritmos de clusterização de fluxos de dados contínuos pode oferecer uma solução para os dois problemas mencionados. Esses algoritmos não exigem amostras de tráfego benigno e malicioso para serem treinados e também são capazes de aprender incrementalmente. Por outro lado, o grande desafio na utilização deles é compreender melhor o que devemos monitorar no comportamento dos clusters para identificar a ocorrência de ataques. Este trabalho analisou diferentes indicadores extraídos do comportamento dos clusters gerados pelo DenStream, um algoritmo de clusterização de fluxos contínuos de dados baseado em densidade, para compreender como eles podem contribuir na detecção da ocorrência de ataques no tráfego de rede. O conjunto de dados públicos utilizado neste trabalho conta com pacotes de tráfego normal e malicioso de diversos dispositivos com diferentes protocolos de rede. Os ataques contidos no conjunto de dados são: Port Scanning, Negação de serviço e man-in-the-middle. Os resultados dos experimentos mostraram que o monitoramento da distância máxima entre os centros dos clusters pode sinalizar a ocorrência de diferentes tipos de ataques
Descrição
Palavras-chave
Internet das Coisas, Aprendizado de Ćuxos contínuos de dados, Aprendizado Não-supervisionado, Detecção de Ataques, DenStream, Algoritmos, Logística, Automação residencial, Saúde pública