Metodologia para extração e seleção de atributos em streams de dados de ataques zero-day

Abstract

Resumo: Os ataques zero-day são aqueles cujo comportamento e/ou objetivo não são conhecidos publicamente. Um ataque zero-day pode ser tanto um ataque completamente desconhecido, quanto um ataque conhecido, executado de maneira muito diferente do que se tem registro. Muitos ataques zero-day estão associados à geração de um enorme volume de dados, dificultando sua analise. Devido à falta de registros desses ataques, não e possível utilizar ferramentas fundadas em conhecimento prévio, como os Sistemas de Detecção de Intrusão (IDS) baseados em assinaturas, para detecta-los. Assim, vê-se necessário utilizar técnicas capazes de detectar comportamentos considerados diferentes ou anormais para uma rede ou sistema, a fim de os diferenciar do comportamento normal. Um dos primeiros passos para distinguir comportamentos normais dos anômalos é definir quais atributos devem ser observados, o que não e uma tarefa trivial tratando-se de ataques desconhecidos. Para realizar esse passo, uma boa alternativa e a extração e seleção de atributos. A extração e seleção de atributos geram atributos a partir dos dados de trafego e selecionam os que são mais descritivos em relação ao estado atual da rede. Dessa forma, a identificação de partes anômalas no trafego e facilitada e também a dimensionalidade dos dados e reduzida. Como muitos ataques estão associados a espaços de dados de alta dimensionalidade, e interessante que haja redução de dimensões. A seleção de atributos também contribui para esse objetivo, pois esta avalia os atributos e descarta aqueles que são considerados irrelevantes. A literatura carece de métodos de seleção de atributos em stream de dados que sejam aplicados a detecção de ataques zero-day. A partir do estudo aprofundado do problema, surgiu a proposta de uma metodologia que defina diretivas para facilitar e guiar o desenvolvimento de técnicas que o resolvam. Este trabalho, então, apresenta uma metodologia para extração e seleção de atributos em streaming de dados de trafego de redes, com o objetivo de auxiliar na identificação de ataques zero-day.

Abstract: A zero-day attack is an attack in which behavior or goals are not publicly known. It may be a completely unknown attack or a known attack that is being executed differently than usual. Many zero-day attacks are associated with generating a large volume of data, which makes analysis difficult. Also, the usage of detection tools based on previous knowledge, such as signature-based Intrusion Detection Systems, is discouraged. Thus, it is preferred to use techniques and methods that detect different than usual or anomalous behaviors to distinguish them from normal behavior. One of the first steps to reach that goal is to define what features to observe, which is not a trivial task regarding zero-day attacks. A suitable alternative to accomplish this goal is feature extraction and selection. It generates features from traffic data and selects the most compliant with the current state of the network. This process facilitates the identification of anomalous traffic data and decreases data dimensionality. As many attacks are associated with high dimensionality data spaces, the detection should include a dimensionality reduction step. Feature selection also contributes to this goal because it evaluates attributes and discards the irrelevant ones. The literature lacks feature selection methods for data streams that apply to the detection of zero-day attacks. Therefore, we identified a need for a methodology to define guidelines for developing techniques that address the problem. This work presents a feature selection and extracting methodology for network traffic stream data to aid zero-day attack detection.