UNIVERSIDADE ESTADUAL DO OESTE DO PARANÁ CAMPUS DE FOZ DO IGUAÇU PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA ELÉTRICA E COMPUTAÇÃO DISSERTAÇÃO DE MESTRADO MÉTODO HÍBRIDO DE DETECÇÃO DE INTRUSÃO APLICANDO INTELIGÊNCIA ARTIFICIAL CRISTIANO ANTONIO DE SOUZA FOZ DO IGUAÇU 2018 Cristiano Antonio de Souza Método Híbrido de Detecção de Intrusão Aplicando Inteligência Artificial DissertaçãodeMestradoapresentadaaoProgramade Pós-Graduação em Engenharia Elétrica e Computa- ção como parte dos requisitos para obtenção do tí- tulo de Mestre em Engenharia Elétrica e Computa- ção. Área de concentração: Sistemas Dinâmicos e Energéticos. Orientador: Prof. Dr. RenatoBobsinMachado FozdoIguaçu 2018 ii Método Híbrido de Detecção de Intrusão Aplicando Inteligência Artificial Cristiano Antonio de Souza EstaDissertaçãodeMestradofoiapresentadaaoProgramadePós-Graduaçãoem EngenhariaElétricaeComputaçãoeaprovadapelaBancaExaminadora: Datadadefesapública: 09/02/2018. Prof. Dr. Prof. Dr. RenatoBobsinMachado-(Orientador) UniversidadeEstadualdoOestedoParaná-UNIOESTE Prof. Dr. JoãoBoscoMangueiraSobral UniversidadeFederaldeSantaCatarina-UFSC Prof. Dr. RomeuReginatto UniversidadeEstadualdoOestedoParaná-UNIOESTE iv Resumo As últimas décadas têm sido marcadas pelo rápido desenvolvimento tecnológico, o qual foiaceleradopelacriaçãodasredesdecomputadores,eenfaticamentepeladisseminaçãoecres- cimento da Internet. Como consequência deste contexto, dados privados e sigilosos das mais diversas áreas passaram a ser tratados e armazenados em ambientes distribuídos, tornando-se vital a segurança dos mesmos. Decorrente ao fato, observa-se um crescimento na quantidade e variedade de ataques a sistemas computacionais, principalmente pela exploração de vulnera- bilidades. Em função desse contexto, a área de pesquisa em detecção de intrusão tem ganhado notoriedade, e os métodos híbridos de detecção utilizando técnicas de Inteligência Artificial vêm alcançando resultados mais satisfatórios do que a utilização de tais abordagens de modo individual. Este trabalho consiste em um método Híbrido de detecção de intrusão combinando as técnicas Redes Neurais Artificiais (RNA) e K-Nearest Neighbors (KNN). A avaliação do método Híbrido proposto e a comparação com as técnicas de RNA e KNN isoladamente fo- ramdesenvolvidasdeacordocomasetapasdoprocessodeKnowledgeDiscoveryinDatabases (KDD) . Para a realização dos experimentos selecionou-se a base de dados pública NSL-KDD, sendo que com o processo de seleção de atributos derivou-se cinco sub-bases. Os resultados experimentais comprovaram que o método Híbrido teve melhor acurácia em relação a RNA em todas as configurações, ao passo que em relação ao KNN, alcançou acurácia equivalente e apresentourelevantereduçãonotempodeprocessamento. Porfim,caberessaltarquedentreas configurações híbridas avaliadas quantitativa e estatisticamente, os melhores desempenhos em termosdeacuráciaetempodeclassificaçãoforamobtidospelasabordagenshíbridasHIB(P25- N75)-C,HIB(P25-N75)-30eHIB(P25-N75)-20. Palavras-chave: RedesNeuraisArtificiais,K-NearestNeighbor,SegurançaComputacional. v Abstract Thelastdecadeshavebeenmarkedbyrapidtechnologicaldevelopment,whichwasaccelerated by the creation of computer networks, and emphatically by the spread and growth of the Inter- net. As a consequence of this context, private and confidential data of the most diverse areas begantobetreatedandstoredindistributedenvironments,makingvitalthesecurityofthisdata. Due to this fact, the number and variety of attacks on computer systems increased, mainly due to the exploitation of vulnerabilities. Thence, the area of intrusion detection research has gai- ned notoriety, and hybrid detection methods using Artificial Intelligence techniques have been achieving more satisfactory results than the use of such approaches individually. This work consistsofaHybridmethodofintrusiondetectioncombiningArtificialNeuralNetwork(ANN) andK-NearestNeighborsKNNtechniques. TheevaluationoftheproposedHybridmethodand the comparison with ANN and KNN techniques individually were developed according to the stepsoftheKnowledgeDiscoveryinDatabasesprocess. Fortherealizationoftheexperiments, theNSL-KDDpublicdatabasewasselectedand,withtheattributeselectiontask,fivesub-bases were derived. The experimental results showed that the Hybrid method had better accuracy in relation to ANN in all configurations, whereas in relation to KNN, it reached equivalent accu- racy and showed a significant reduction in processing time. Finally, it should be emphasized that among the hybrid configurations evaluated quantitatively and statistically, the best perfor- mances in terms of accuracy and classification time were obtained by the hybrid approaches HIB(P25-N75)-C,HIB(P25-N75)-30andHIB(P25-N75)-20. Keywords: ArtificialNeuralNetworks,K-NearestNeighbor,NetworkSecurity. vi Agradecimentos Agradeço primeiramente a minha família, meus pais Valderi Francisco de Souza e Maria TerezaRamadeSouza,eameuirmãoCristianRobsondeSouza,peloamorecarinhodemons- trado,epeladedicaçãoemfornecertodasascondiçõesparaalcançarmeusobjetivos,porissoe pormuitomais,soueternamentegrato. Agradeço ao professor, orientador e amigo Renato Bobsin Machado pelas suas orienta- çõeseseuapoio,durantetodaaelaboraçãodestetrabalho. Agradeço ao grande amigo e colega de estudos Gustavo dos Santos Vieira, por todos estes anos de convivência e companheirismo na universidade e no laboratório. Além disso agradeçoaoGustavoeaosamigosGustavoJohanneJeanDouglasValêncioportodacompanhia eparceriaforadauniversidade,todososjogosdefutebolassistidos,todasaspartidasdefutebol jogadaseatodososchoppsbrindados. AgradeçoàgrandeamigaecolegademestradoMaillaSpricigo,portodocompanheirismo eajudaduranteodesenvolvimentodestetrabalho. Agradeço também aos amigos Thiago Toledo e Matheus Bainy pela amizade e compa- nheirismocultivadoduranteomestradoeasrodadasdechopp. Agradeço à amiga Pamela Ferreira, pela amizade e incentivo durante todo o período de realizaçãodestetrabalho. Agradeço aos demais pesquisadores e amigos do Laboratório de Pesquisa em Segurança Computacional (LaPSeC) da Unioeste, Alisson Flecha, Lanna Schuster, Natan Paredes, Wil- lian Antonio de Rosa, por toda a convivência e troca de conhecimento, que proporcionou um ambienteextremamenteamigávelefavorávelparaodesenvolvimentodestetrabalho. Também agradeço a Universidade Federal do Paraná (UFPR), que através do Centro de Computação Científica e Software Livre (C3SL) permitiu o uso do computador de alto desem- penho(HPC),ondeforamrealizadostodososexperimentos. Agradeço à CAPES (Coordenação de Aperfeiçoamento de Pessoal de Nível Superior) pelaconcessãodebolsaduranteoperíododerealizaçãodestetrabalho. Agradeço ainda ao Programa de Pós-Graduação em Engenharia Elétrica e Computação, da Universidade Estadual do Oeste do Paraná, campus Foz do Iguaçu, pelo apoio prestado ao LaPSeC,fatoqueauxiliouemgrandeproporçãonarealizaçãodestetrabalho. vii viii