Rede neural em sistema de detecção de intrusão

Abstract

A popularização dos computadores e meios de comunicação aproximou pessoas através da integração. Também proporcionou um campo fértil para violações de segurança em rede. A disseminação da tecnologia abrange inúmeras áreas da sociedade, expondo todos que a utilizam à insegurança de tráfego em rede. A dificuldade em manter os dados apropriadamente seguros, íntegros e disponíveis estimula a área de TI a modificar seus métodos e a desenvolver novas formas de precaver e corrigir intrusões. Particularmente, a análise de tráfego de rede é um modo que proporciona uma boa taxa de detecção; contudo, se baseia em modelos fixos, buscando por assinaturas de ataque nas quais é procurado um comportamento específico. Realizar a detecção com base nos dados de rede e buscando por assinaturas predefinidas faz com que o sistema detecte a invasão de forma tardia, necessitando de muitos procedimentos de correção. Com uma busca ativa e inteligente, esse processo é diminuído. Para realizar a busca inteligente, as redes neurais são, entre outros, um dos caminhos para adicionar comportamento inteligente à detecção, pois o funcionamento desta se baseia em generalização da informação, buscando comportamentos baseado em modelos previamente treinados. Por este motivo, este trabalho utiliza uma rede neural para analisar as conexões de rede, varrendo suas informações em busca de assinaturas ou padrões aprendidos durante o treinamento. Este é realizado através da cópia dos dados de rede, inserindo-os no algoritmo de IA sendo previamente balanceados, normalizados e retirados dados com valores não padronizados. A topologia das camadas ocultas é testada, verificando quantas são necessárias para realizar a detecção. Obter um número não depende de cálculo, pela especificidade das redes neurais que requisitam estudo empírico para determinação dos parâmetros de treinamento. O procedimento utilizado fora a realização de uma sequência de execuções do algoritmo, observando a cada iteração de treinamento e testes, a variação do erro obtido. Contudo, para o treinamento de uma rede neural, a capacidade computacional é um fator determinante. Mesmo com os testes aprimorando a detecção, o limite no treinamento foi a capacidade de processamento do notebook utilizado, pois mesmo com a expansão de recursos o travamento ocorreu. Números maiores de ciclos de treinamento, bem como de exemplos analisados influenciam na capacidade de detecção, entretanto o número de camadas é um fator de grande peso, para a o treinamento adequado do algoritmo. O resultado obtido demonstra a necessidade de processamento específico e de servidores de grande capacidade, além da tendência da detecção aumentar a cada alteração no número de neurônios das camadas ocultas, mostrando a melhora na eficiência utilizando três camadas ocultas, passando gradativamente de 0,2% de detecção para 2% e posteriormente 4%.