Implementação de um framework para detecção de intrusão baseada em métodos de aprendizado de máquina em redes virtualizadas

Abstract

Resumo : A Virtualização de Função de Redes (Network Function Virtualization- NFV) tem se consolidado como uma abordagem promissora para reduzir custos e oferecer implantações de rede mais flexíveis. No entanto, garantir a segurança em um ambiente NFV ainda é uma grande barreira para permitir a sua ampla adoção, uma vez que as soluções tradicionais não são suficientes. Dessa forma, é essencial adaptar mecanismos como os Sistemas de Detecção de Intrusão (Intrusion Detection System- IDS), capazes de identificar traços de atividades maliciosas que comprometem a segurança do sistema. Por sua vez, o campo de Aprendizado de Máquina (Machine Learning- ML) tem sido amplamente explorado na implementação de IDS, oferecendo resultados satisfatórios com uma complexidade computacional aceitável. A maioria das propostas existentes, porém, não apresenta uma arquitetura genérica que permita a interoperabilidade entre diferentes implementações de NFV, sendo fortemente acopladas às tecnologias subjacentes. Além disso, tais soluções desconsideram características específicas do paradigma NFV, como múltiplos serviços que possuem diferentes requisitos de segurança. Este trabalho propõe um framework arquitetural que promove uma abstração entre IDS e NFV, viabilizando a integração entre diferentes soluções. Também é proposta uma adaptação da arquitetura de IDS para melhor atender às particularidades de um ambiente NFV. Um protótipo foi desenvolvido e avaliado com técnicas de aprendizado de máquina aplicadas à detecção de anomalias, analisando o desempenho em métricas de detecção, além do tempo total de treinamento

Abstract : Network Function Virtualization (NFV) has emerged as a promising approach to reducing costs and enabling more flexible network deployment. However, ensuring security in an NFVenvironment is still a major barrier to its widespread adoption, since traditional solutions are not sufficient. Therefore, it is essential to adapt mechanisms such as Intrusion Detection Systems (IDS), which can identify traces of malicious activity that compromise system security. In turn, the field of Machine Learning (ML) has been widely explored for IDS implementation, presenting promissing results with acceptable computational complexity. However, most existing proposals do not present a general architecture that allows interoperability between different NFVimplementations– instead, they are generally closely tied to the underlying technologies. In addition, these solutions do not take into account specific characteristics of the NFV paradigm, such asmultiple services with different security requirements. This work proposes an architectural framework that abstracts the integration between the IDS and the NFV components. We also suggest modifications to the IDS architecture itself to better suit the particularities of an NFV environment. A prototype was developed and evaluated using machine learning techniques applied to anomaly detection, analyzing performance in detection metrics, as well as total training time