CINARA BRENDA ZERBINI - UEL · CINARA BRENDA ZERBINI WAVELETS PARA AUXILIAR NA GERENCIA DE REDES^...

CINARA BRENDA ZERBINI

WAVELETS PARA AUXILIAR NA GERENCIA DE REDES

LONDRINA–PR

2016



Trabalho de Conclusao de Curso apresentadoao curso de Bacharelado em Ciencia da Com-putacao da Universidade Estadual de Lon-drina para obtencao do tıtulo de Bacharel emCiencia da Computacao.

Orientador: Prof. Dr. Mario Lemes ProencaJunior

LONDRINA–PR

2016

Cinara Brenda ZerbiniWavelets para auxiliar na Gerencia de Redes/ Cinara Brenda Zerbini. –

Londrina–PR, 2016-74 p. : il. (algumas color.) ; 30 cm.

Orientador: Prof. Dr. Mario Lemes Proenca Junior

– Universidade Estadual de Londrina, 2016.

1. Wavelets. 2. Gerencia de Redes. I. Prof. Dr. Mario Lemes Proenca Junior.II. Universidade Estadual de Londrina. III. Wavelets para auxiliar na Gerencia deRedes

CDU 02:141:005.7



Trabalho de Conclusao de Curso apresentadoao curso de Bacharelado em Ciencia da Com-putacao da Universidade Estadual de Lon-drina para obtencao do tıtulo de Bacharel emCiencia da Computacao.

BANCA EXAMINADORA

Prof. Dr. Mario Lemes Proenca JuniorUniversidade Estadual de Londrina

Orientador

Prof. Dr. Elieser Botelho Manhas JuniorUniversidade Estadual de Londrina

Prof. Ms. Luiz Fernando CarvalhoUniversidade Estadual de Londrina

Londrina–PR, dezembro de 2016

A Deus, que nos da a cada dia o dom da vida, e nos permite experimentar o melhor deSua criacao, o amor e respeito ao proximo, e a oportunidade de apreciar Sua grandeza.

AGRADECIMENTOS

Meus agradecimentos sao primeiramente a Deus, que em todos os momentos estaao meu lado, tem sido benevolente para comigo, mesmo eu as vezes nao sendo merecedora.

A minha famılia, que sempre me da suporte, bons conselhos e apoio nos momentosdifıceis, suportou minhas falhas, minhas ausencias durante a graduacao, meus dias difıceis,e acreditou em mim mesmo quando eu nao acreditava.

Ao meu orientador Prof. Dr. Mario Lemes Proenca Junior por primeiramente terdividido seus conhecimentos comigo quando foi meu professor, e por me acompanhar nesteprocesso de conclusao do curso, tambem dividindo seu conhecimento, me auxiliando eacreditando em mim.

Ao Prof. Ms. Luiz Fernando Carvalho, que me ajudou de maneira efetiva na rea-lizacao deste projeto, auxiliando e compartilhando seus conhecimentos.

A todos os professores os quais tive a satisfacao de conhecer no decorrer da gra-duacao, todos sao parte da minha historia e do meu crescimento como aluna, como pro-fissional e como pessoa, agradecer especialmente a dois destes professores, primeiramenteo Prof. Dr. Fabio Sakuray, que quando estava no primeiro ano de graduacao e tive pro-blemas de saude, foi de tamanha generosidade, e me ajudou o quanto pode, e a professoraDra. Ana Vergınia Libos Messetti, que sem duvida e nao so uma profissional admiravel,mas uma pessoa incrıvel, uma relacao de amizade que levarei para sempre.

Aos meus amigos Kelvin e Rayssa, que estiveram comigo durante a graduacao,dividindo nossos exitos e alegrias, mas que tambem estiveram comigo nas noites em claro,nas provas difıceis, nas notas baixas, nas reprovacoes, amizades que construı durante agraduacao e que com certeza estarao comigo sempre.

”Nao to mandei eu? Esforca-te, e tem bom animo; nao temas, nem te espantes; porque oSenhor teu Deus e contigo, por onde quer que andares.”

(Bıblia Sagrada, Josue 1:9)

ZERBINI, C. B.. Wavelets para auxiliar na Gerencia de Redes. 74 p. Trabalho deConclusao de Curso (Bacharelado em Ciencia da Computacao) – Universidade Estadualde Londrina, Londrina–PR, 2016.

RESUMO

O uso da internet na comunicacao tem fundamental importancia atualmente, de formaque a economia, o comercio e a polıtica nao funcionam mais sem essa ferramenta. Devidoa grande quantidade de dados privados que circulam na rede, surgiu a necessidade de de-senvolver ferramentas que prevejam e caracterizem o trafego na rede, de modo a detectarpossıveis anomalias e consequentemente ataques e acessos indevidos. Entre essas ferra-mentas temos as wavelets. As wavelets sao funcoes que transformam um sinal do domıniode tempo para o domınio de escala, a fim de dividir as difrentes faixas de frequencia. Aswavelets sao ferramentas poderosas e de ampla aplicacao, e tem se mostrado execelen-tes na area de gerencia de redes, principalmente na diminuicao de falsos positivos. Issoposto, este trabalho trata de estudar a teoria de gerencia de redes, bem como a teoria dewavelets, a fim de encontrar uma relacao entre estes dois topicos.

Palavras-chave: Wavelets. Gerencia de Redes.

ZERBINI, C. B.. Wavelets to assist in Network Management. 74 p. Final Project(Bachelor of Science in Computer Science) – State University of Londrina, Londrina–PR,2016.

ABSTRACT

The use of the Internet in communication is of fundamental importance today, so thatthe economy, commerce and politics no longer work without this tool. Due to the largeamount of private data circulating in the network, the need arose to develop tools thatpredict and characterize the traffic in the network, in order to detect possible anomaliesand consequently attacks and improper access. Among these tools are textit wavelets.Wavelets are functions that transform a time domain signal into the scaling domain inorder to divide the different frequency bands. Wavelets are powerful and widely used tools,and have proven themselves in the area of network management, mainly in the reductionof false positives. Thus, this work deals with the study of network management theory aswell as wavelet theory in order to find a relation between these two topics.

Keywords: Wavelets. Network Management.

LISTA DE ILUSTRACOES

Figura 1 – Arquitetura de um NIDS. (Fonte: [1]) . . . . . . . . . . . . . . . . . . . 27Figura 2 – Descricao de um ataque DDoS. (Fonte: [2]) . . . . . . . . . . . . . . . . 28Figura 3 – Decomposicao do sinal por meio da Transformada Wavelet Discreta.

(Fonte: [3]) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Figura 4 – Principais tipos de wavelets (filtros). (Fonte: [4]) . . . . . . . . . . . . . 34Figura 5 – Grafico com uma wavelet de Haar. (Fonte: [5]) . . . . . . . . . . . . . . 34Figura 6 – Grafico apresentando o filtro (wavelet-mae) de Morlet. (Fonte: [6]) . . . 36Figura 7 – Grafico apresentando o filtro (wavelet-mae) de Coiflets. (Fonte: [6]) . . 36Figura 8 – Grafico apresentando o filtro (wavelet-mae) de Symlets. (Fonte: [6]) . . 37Figura 9 – Grafico apresentando o filtro (wavelet-mae) Discrete Meyer. (Fonte: [6]) 37Figura 10 – Grafico apresentando o filtro (wavelet-mae) de Paul. (Fonte: [6]) . . . . 38Figura 11 – Fluxograma de um metodo generico para deteccao de anomalias de

rede. (Fonte: [3]) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Figura 12 – Arquitetura do sistema proposto por Dainotti et al.. (Adaptado de: 7) . 45Figura 13 – Arquitetura do sistema proposto por Lu et al.. (Adaptado de: [8]) . . . 46Figura 14 – Arquitetura do sistema proposto por Gao et al.. (Adaptado de: [9]) . . 48Figura 15 – Arvore de decomposicao da transformada wavelet packet. (Fonte: [9]) . 48Figura 16 – Arquitetura do metodo apresentado por Salagean. (Adaptado de: [10]) 49Figura 17 – Passos do algoritmo proposto por Dalmazo et al.. (Fonte: [11]) . . . . . 51Figura 18 – Arquitetura do sistema proposto por Limthong et al.. (Adaptado de:

[12]) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Figura 19 – Arquitetura do sistema proposto por Kanarachos et al.. (Adaptado de:

[13]) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Figura 20 – Etapas da implementacao. . . . . . . . . . . . . . . . . . . . . . . . . . 58Figura 21 – Processo de decomposicao DWT em dois nıveis. . . . . . . . . . . . . 59Figura 22 – Graficos contendo DSNSFs de um a cinco dias versus trafego do dia

17/09. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Figura 23 – Graficos contendo DSNSFs de um a cinco dias versus trafego do dia




21/09. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Figura 27 – Graficos contendo DSNSFs de um a cinco dias versus trafego do dia18/09 com anomalia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

LISTA DE TABELAS

Tabela 1 – Tabela Apresentando os artigos estudados. . . . . . . . . . . . . . . . . 41Tabela 2 – Tabela Apresentando organizacao dos dados de pacotes. . . . . . . . . 58Tabela 3 – Valores da Correlacao Linear de Pierson: DSNSF x Dias subsequentes. 66Tabela 4 – Valores do NMSE: DSNSF x Dias subsequentes. . . . . . . . . . . . . . 66

LISTA DE ABREVIATURAS E SIGLAS

ACO Ant Colony Optimization

ADWT Analytical Discrete Wavelet Transform

ARX AutoRegressive with eXogenous inputs

CoS Class of Service

CUSUM CUmulative SUM

CWT Continuous Wavelet Transform

DDoS Distributed Denial of Service

DoS Denial of Service

DSNSF Digital Signature of Network Segment Using Flow Analysis

DWT Discrete Wavelet Transform

FT Fourier Transform

IDWT Inverse Discrete Wavelet Transform

IETF Internet Engineering Task Force

IP Internet Protocol

IPFIX Internet Protocol Flow Information Export

NIDS Network Intrusion Detection Methods and Systems

NMSE Normalized Mean Square Error

PCA Principal Component Analysis

PWT Packet Wavelet Transform

SNMP Simple Network Management

UDP User Datagram Protocol

SUMARIO

1 Introducao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2 Gerencia de Redes . . . . . . . . . . . . . . . . . . . . . . . . . . 252.1 Analise de Fluxo IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252.2 Deteccao de Anomalias . . . . . . . . . . . . . . . . . . . . . . . . . . 262.2.1 Anomalias do tipo DDoS . . . . . . . . . . . . . . . . . . . . . . . . . 282.3 Consideracoes Sobre o Capıtulo . . . . . . . . . . . . . . . . . . . . . 29

3 Wavelets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.1 Transformadas Wavelets . . . . . . . . . . . . . . . . . . . . . . . . . . 313.1.1 Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.2 Conceito geral das Transformadas Wavelets . . . . . . . . . . . . . . . 323.3 Principais tipos de Wavelets . . . . . . . . . . . . . . . . . . . . . . . 333.3.1 Wavelets de Haar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333.3.2 Wavelets de Daubechies . . . . . . . . . . . . . . . . . . . . . . . . . . 353.3.3 Wavelets de Morlet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.3.4 Wavelets de Coiflets . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.3.5 Wavelets de Symlets . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373.3.6 Wavelets Discrete Meyer . . . . . . . . . . . . . . . . . . . . . . . . . 373.3.7 Wavelets de Paul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373.4 Wavelets para Retirada de Ruıdos em Sinais . . . . . . . . . . . . . . 37

4 Wavelets Aplicadas na Gerencia de Redes . . . . . . . . . . . . 414.1 Deteccao de Anomalias em Redes de Computadores Usando Transfor-

madas Wavelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.2 Metricas Estatısticas para Auxiliar na Deteccao de Anomalias . . . . . 434.2.1 Correlacao Linear de Pierson . . . . . . . . . . . . . . . . . . . . . . . 434.2.2 NMSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.2.3 Suavizacao Exponencial . . . . . . . . . . . . . . . . . . . . . . . . . . 444.3 Deteccao de Ataques DoS Baseada em Wavelets . . . . . . . . . . . . 444.4 Detectando Anomalias de Rede Utilizando Diferentes Funcoes Wavelets 464.5 Deteccao de Anomalias em Trafego de Rede Baseada em Wavelet Packet 474.6 Deteccao de Anomalias em Trafego de Rede Real Baseada em Trans-

formada Wavelet Analıtica Discreta . . . . . . . . . . . . . . . . . . . 494.7 Filtros de Alarmes de Anomalias Atraves de Wavelets . . . . . . . . . 494.8 Deteccao de Anomalia para Trafego de Rede fora de Limite baseada

em Wavelets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

4.9 Combinando Analise Wavelet e Algoritmo CUSUM para deteccao deAnomalias em Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

4.10 Deteccao de Anomalias no Trafego de Rede em Tempo Real Baseadaem Wavelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

4.11 Deteccao de Ataques de Negacao de Servico em Redes de ComputadoresAtraves da Transformada Wavelet 2D . . . . . . . . . . . . . . . . . . 53

4.12 Deteccao de Anomalias em Dados de Series Temporais Utilizando aCombinacao de Wavelets, Redes Neurais e Transformadas de Hilbert . 53

4.13 Consideracoes Finais Sobre o Capıtulo . . . . . . . . . . . . . . . . . . 54

5 Implementacao de Wavelets aplicadas a gerencia de redes . . 575.1 Descricao Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575.1.1 Preparacao dos Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . 575.1.2 Transformada Wavelet Discreta . . . . . . . . . . . . . . . . . . . . . . 585.1.3 Hard Thresholding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595.1.4 Graficos DSNSF e Analise Estatıstica . . . . . . . . . . . . . . . . . . 595.1.5 Deteccao de anomalia . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6 Contribuicoes e Trabalhos futuros . . . . . . . . . . . . . . . . . 69

Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

23

1 INTRODUCAO

Desde o inıcio da historia da humanidade, oa homens buscam diversos meios paraaumentar e/ou melhorar a comunicacao entre si. Com as pinturas nas cavernas trinta milanos a.C., o telegrafo em 1840, o telefone em 1876, e na decada de 60, a Internet.

O inıcio da Internet data do perıodo da Guerra Fria, em 1957. Os Estados Unidoscriaram a ARPA, AdvancedResearch Project Agency que por meio de estudos de JosephLicklider, e mais tarde de Robert Taylor, foram criados os primeiros conceitos de rede,rede distribuıda, a ideia de transmissao de dados seccionados em pacotes e ainda a ideiade roteamento de pacotes. A primeira rede de computadores foi estabelecida entre quatronos apenas [14]. Desde entao, diversos avancos ocorreram como o protocolo TCP/IP(TransmissionControlProtocol e Internet Protocol), em 1978, o WWW (World Wide Web),em meados de 1990, o HTML (Hyper Text Markup Language) e os browsers [15]. Na decadade 90, a Internet passou a se popularizar e tornou-se, a partir daı, cada vez mais essencialno cotidiano das pessoas.

Essa popularizacao trouxe uma gama de servicos e opcoes de tarefas que antes soeram possıveis de serem realizadas pessoalmente, ou por meios bem mais ineficazes. Hojeem dia e possıvel fazer quase tudo pela internet, pedir comida, conversar com um parentedistante, que esteja ate do outro lado do mundo, realizar negociacoes, realizar comprasde artigos de alto valor, e realizar transacoes bancarias, entre outras coisas.

As redes sociais que consomem grande parte do tempo diario de muitas pessoas, eesta presente no cotidiano da maioria da populacao mundial. Essas redes sao “outdoors”para a exposicao da vida das pessoas, contendo informacoes e imagens de cunho particular.Informacoes privadas de governos, de instituicoes importantes, empresas multinacionaissao um atrativo para a espionagem digital [16].

No entanto, juntamente com toda essa praticidade e globalizacao da informacao,surgiram alguns problemas de seguranca dos dados e informacoes contidas na rede. A todomomento, novas ameacas surgem nas redes, novos padroes de instrusao, novas tecnicas dequebra de seguranca. Os mecanismos de defesa rotineiros como antivırus, firewall e os sis-temas de deteccao de anomalias (SID) mostram-se insuficientes na prevencao de ataques,seja de espionagem (copia de informacoes confidenciais), ataques que visam derrubar umservidor, como DoS, DDoS. Posto isso, a deteccao e caracterizacao dessas anomalias cons-tituem um campo desafiador e essencial, visto que a complexidade do monitoramento dotrafego e as redes de larga escala tem aumentado a cada dia [17].

Como apresenta Nakamura [18], em anos recentes, um grande numero de profis-sionais e organizacoes de padronizacao tem contribuıdo para o desenvolvimento de novas

24

tecnicas, padroes e programas nacionais de seguranca. Nakamura ainda diz que mesmocom todo esse esforco, e sempre difıcil para um administrador de sistemas, um progra-mador de aplicacoes ou um usuario final compreender todos os aspectos do problema daseguranca, especialmente em larga escala.

Considerando esta necessidade em cada vez mais estudarmos meios para auxiliarna gerencia de redes, este trabalho tem por objetivo o estudo de wavelets, e a teoria degerencia de redes, com o proposito de estabelecer uma relacao entre estes dois topicos. Aswavelets sao funcoes que transformam um conjunto de dados do domınio de tempo para odomınio de escala, dividindo esse conjunto de dados em diferentes escalas de frequencias.Para tanto, este trabalho esta organizado da seguinte forma: a secao 2 abordara os prin-cipais conceitos relacionados a area de gerencia de redes, a secao 3 falara sobre a teoriarelacionada as wavelets, a secao 4 discutira a relacao entre wavelets e gerencia de redes, asecao 5 trara uma implementacao de wavelets para caracterizacao do trafego e deteccaode anomalia, e por fim, a secao 6 concluira o trabalho e tratara das perspectivas decontribuicoes e resultados esperados.

25

2 GERENCIA DE REDES

A gerencia de redes e de fundamental importancia para organizar, fiscalizar egarantir a seguranca da rede, para tanto, um sistema de gerenciamento possui cincosegmentos [19]:

∙ Fault Management ou Gerencia de Falhas (F): trata da deteccao, localizacao e tra-tamento de problemas de hardware ou software em uma rede;

∙ Configuration Management ou Gerencia de Configuracao (C): tem relacao com regis-tros de inventario de hardware e software, historico de modificacao dos dispositivos(normalmente feito atraves de backups de configuracao com registro de data, horae responsavel pela modificacao), permitir a inicializacao dos sistemas que compoema rede (como o sistema operacional e a configuracao de um roteador);

∙ Accounting Management ou Gerencia de Registros (A): registra a utilizacao da redea fim de contabilizar a utilizacao dos recursos da rede;

∙ Performance Management ou Gerencia de Performance (P): atraves desta gerencia,os administradores da rede sao capazes de monitorar certas variaveis chaves como:throughput, tempo de resposta e disponibilidade, permitindo assim, uma analise decomo e em qual aspecto o desempenho da rede pode ser melhorado;

∙ Security Management ou Gerencia de Seguranca (S): fiscaliza o acesso a informacoese recursos da rede, atraves de tarefas como: verificacao do privilegio de acesso a rededos usuarios, deteccao e registro das tentativas de acesso nao autorizado.

Varias ferramentas foram desenvolvidas para auxiliar na gerencia de redes, como oprotocolo SNMP (Simple Network Management Protocol), desenvolvido pela IETF (Inter-net Engineering Task Force). Este protocolo e utilizado par realizar consultas especıficasaos equipamentos que fazem parte da rede, auxiliando na deteccao de falhas, no monito-ramento do desempenho, no controle de configuracoes, e no acompanhamento em temporeal da rede gerenciada. O SNMP foi muito utilizado, mas atualmente vem sendo subs-tituıdo pela analise de fluxo IP, pois a gama de informacoes por esses novos protocolos decoleta de fluxos e muito mais extensa [17], [20].

2.1 Analise de Fluxo IP

Um fluxo IP e, de forma basica, uma sequencia unilateral de varios pacotes IPcom atributos semelhantes, entre os quais temos: enderecos IP de origem e destino, porta

26

de origem e destino, tipo de protocolo de transporte, tipo de Servico (CoS) e interface doroteador/switch.

Em 1996, a Cisco Systems lancou o protocolo NetFlow, que trouxe uma novatecnica para auxiliar na gerencia de redes, sendo este totalmente baseado em fluxos IP.Alem deste protocolo, outros dois protocolos baseados em fluxos IP sao muito utiliza-dos: IPFIX (Internet Protocol Flow Information Export) da IETF (Internet EngineeringTask Force) e sFlow, da InMon [20]. Dois importantes trabalhos foram desenvolvidos uti-lizando a analise de fluxos IP. Carvalho [17] que relacionou o modelo ACO (Ant ColonyOptimization) aplicado a gerencia de rede, gerando atraves deste modelo bio-simuladouma predicao do trafego comum de uma rede e Hamamoto [21], que realizou uma pes-quisa na area de Algoritmos Geneticos, um recurso que mescla inteligencia artificial coma logica da combinacao genetica, tambem para caracterizar trafego da rede.

2.2 Deteccao de Anomalias

A deteccao de anomalias se da utilizando os chamados sistemas de deteccao deanomalias, ou em ingles, Network Intrusion Detection Methods and Systems (NIDS). Paraa deteccao de anomalias o sistema utiliza dados da rede, como volume de trafego, numerode conexoes, fluxos e pacotes perdidos [3]. Conforme afirma [1], a arquitetura geral de umsistema de deteccao de anomalias (NIDS) tem a seguinte divisao:

∙ Anomaly Detection Engine: e o coracao do sistema, indica se ha trafego anomalo ounao. Na fase de pre-processamento (preprocessing), pode ser realizado um matchingcom assinaturas de anomalias com comportamento conhecidos, a etapa de MatchingMechanism pode determinar uma anomalia especıfica, atraves do monitoramento darede e caracterizacao de um trafego normal;

∙ Reference Data: armazena informacoes de assinaturas de intrusoes conhecidas;

∙ Configuration Data: corresponde aos resultados intermediarios, como por exemplo,assinaturas de intrusoes parcialmente criadas;

∙ Alarm: Componente da arquitetura responsavel pela geracao do alarme baseado naanalise realizada no componente Detection Engine;

∙ Human Analyst: E responsavel pela analise e interpretacao dos dados fornecidos peloalarme, e tambem por acoes que ajudem na atualizacao e manutencao do sistemade deteccao;

∙ Post-Processing: diagnostico dos alarmes;

27

∙ Capturing traffic: captura dos dados da rede, que pode ser feita por pacotes, porexemplo utilizando o software Wireshark, ou por fluxo, utilizando ferramentas comoNetflow;

∙ Security Manager : Gerencia novas assinaturas mantendo o modulo Reference Dataatualizado.

A arquitetura pode ser visualizada na Figura 1.

Figura 1 – Arquitetura de um NIDS. (Fonte: [1])

Como visto anteriormente, a deteccao de intrusoes pode ser realizada por meio deassinaturas ou por meio de uma determinada anomalia.

A deteccao de intrusoes baseada em assinaturas compara uma base de dados deassinaturas de ataques conhecidos e, quando ha semelhanca entre alguma assinatura e odado coletado do trafego da rede, o alarme e disparado. Um sistema de deteccao base-ado em assinaturas deve ser constantemente atualizado, devido ao surgimento de novasanomalias. Um sistema baseado em assinaturas apresenta um numero baixo de falsos posi-tivos, porem, pode apresentar uma taxa consideravel de falsos negativos, ou seja, sinalizartrafego normal quando na verdade ha uma anomalia, podendo representar uma brecha naseguranca da rede [3].

A deteccao de intrusoes baseada em anomalias considera uma anomalia como umaalteracao do trafego padrao da rede. O sistema constroi uma predicao do comportamentonormal da rede (perfil) e utiliza ferramentas, que podem ser matematicas, estatısticas,de inteligencia artificial, ou outras, para detectar a anomalia [3]. Esta descricao do perfil

28

normal da rede (predicao) e nomeado como DSNSF (Digital Signature of Network SegmentUsing Flow Analysis) e e importante para a deteccao de anomalias, pois quanto melhora predicao, mais precisa e a deteccao de anomalias, isto e, menor o numero de falsospositivos, e maior a taxa de verdadeiras anomalias detectadas [15].

2.2.1 Anomalias do tipo DDoS

O gerenciamento da rede e importante entre outras coisas por detectar possıveisataques e nestes casos o fluxo e o trafego de dados sofrerao uma anormalidade. No casode deteccao de instrusoes baseadas em anomalias, detectamos padroes considerados anor-mais, como visto anteriormente. Entre as instrusoes que podem atingir uma rede, temos asdo tipo DDoS (Distributed Denial of Service), que atualmente tem tido grande ocorrenciae que causam transtornos e prejuızos na distribuicao de um determinado servico, destamaneira, DDoS sera o foco deste trabalho. A anomalia do tipo DDoS trata de um ata-que realizado por um computador mestre, que escraviza ate milhoes de computadores(chamados zumbis), a fim de “derrubar” um determinado alvo e torna-lo indisponıvel ouinacessıvel por um determinado tempo [2], como pode ser visualizado na Figura 2.

Figura 2 – Descricao de um ataque DDoS. (Fonte: [2])

Os alvos mais comuns sao os servidores web. O objetivo destes “ataques” nao einvadir ou coletar informacoes de um sistema, mas sim exaurir e causar indisponibilidadesao alvo. Muitas vezes, os donos de computadores escravizados nem tem conhecimentodisto. Segundo o Comite Gestor da Internet no Brasil [22], o ataque DDoS pode serrealizado por diversos meios, como:

∙ pelo envio de grande quantidade de requisicoes para um servico, consumindo osrecursos necessarios ao seu funcionamento (processamento, numero de conexoes si-multaneas, memoria e espaco em disco, por exemplo) e impedindo que as requisicoesdos demais usuarios sejam atendidas;

29

∙ pela geracao de grande trafego de dados para uma rede, ocupando toda a bandadisponıvel e tornando indisponıvel qualquer acesso a computadores ou servicos destarede;

∙ pela exploracao de vulnerabilidades existentes em programas, que podem fazer comque um determinado servico fique inacessıvel.

2.3 Consideracoes Sobre o Capıtulo

Neste capıtulo foram abordados conceitos de gerencia de redes, como os sistemasde gerenciamento de redes, suas principais areas de aplicacoes, com foco na gerencia deseguranca, que tras conceitos de sistemas de deteccao de intrusoes, que podem ser baseadosem assinaturas ou em anomalias. Os baseados em anomalias, como ja foi dito, utilizamuma predicao do trafego padrao da rede. Este tipo de sistema e o foco deste trabalho, comenfase na wavelet como ferramenta para geracao dessa predicao (DSNSF) e tambem comoferramenta para a etapa de deteccao de anomalias. A teoria de wavelets sera apresentadano proximo capıtulo.

31

3 WAVELETS

Esta secao apresentara os conceitos relacionados a wavelets. Inicialmente, seraapresentado um breve historico sobre o surgimento das wavelets e seu desenvolvimento,sua definicao geral e por fim sera mostrado os principais tipo de filtros (wavele-mae)wavelets.

3.1 Transformadas Wavelets

As wavelets sao utilizadas em diversas areas, como no processamento digital desinais, no processamento de imagens, entre outras. A seguir sera apresentado um poucoda historia de como surgiram as wavelets, e seus principais conceitos.

3.1.1 Historia

As transformadas wavelets surgiram da necessidade de uma ferramenta matematicaque manipulasse dados e trouxesse mais precisao na analise tempo-frequencia, para tanto,antes delas outra transformada muito importante surgiu, a Transformada de Fourier, queacabou por contribuir para o surgimento das wavelets.

A Transformada de Fourier, que tem sua primeira mencao em meados de 1829, emque foi publicada a obra de Jean Baptiste Joseph Fourier (1768-1830) “Memoire sur latheorie de la chaleur”, no livro “Extrait du memoire lu a l’Academie des sciences” [23].

Depois desta publicacao, ao longo da historia, diversos matematicos como o alemaoWierstrass (1815-1897) contribuıram para o passo da matematica discreta a contınua.

Todo esse esforco por parte dos matematicos, trouxe uma ferramenta poderosa ede ampla aplicacao, sendo, principalmente na fısica, de notavel indispensabilidade.

A teroia da Transformada de Fourier possui aplicacoes nas areas mais diversas,como criptografia, processamento de imagens, oceanografia, fısica e quımica quantica, teo-ria dos numeros, teoria das probabilidades, das distribuicoes, analise matematica, gerenciade redes, e principalmente no processamento digital de sinais [24].

Porem, ha uma desvantagem no uso desta teoria, que pode ser explicada pormeio de uma analogia com o princıpio da incerteza de Heisenberg, que diz que e possıvelsaber onde uma partıcula esta, ou o quao rapido esta, mas nunca as duas coisas. ATransformada de Fourier possui o mesmo princıpio, ou asseguramos a frequencia de umsinal, ou asseguramos sua posicao no tempo, e nunca os dois, ou seja, nao ha precisaoexata dos dois parametros (frequencia e tempo) [4]. Essa deficiencia contida na Teoria deFourier deu margem a estudos que levaram ao surgimento das teorias de wavelets.

32

As primeiras teorias sobre wavelets foram desenvolvidas por Haar no ano de 1909.Somente em meados de 1985, a Escola Francesa trouxe avancos na area, os principaisestudiosos a contribuirem com esse avanco foram, primeiramente Sthephane Mallat, naarea de processamento digital de imagens, depois Yves Meyer, que atraves de seus estudosfoi construıda a primeira wavelet nao-trivial. E por fim, Ingrid Daubechies, que com basenos trabalhos anteriores, construiu um conjunto de bases ortonormais de wavelets suaves(nao-triviais), com suportes compactos [25]. O Modelo de wavelet de Daubechies e o maisutilizado atualmente.

Segundo afirma Chui [26], as wavelets sao ferramentas versateis com um ricoconteudo matematico e grande potencial de aplicacao.

Lima [25] diz que as transformadas de wavelets podem ser vistas como mecanismospara decompor ou quebrar sinais nas suas partes constituintes, permitindo analisar os da-dos em diferentes domınios de frequencias com a resolucao de cada componente amarradaa sua escala.

Daubechies define wavelets como uma ferramenta que fatia dados ou funcoes ouoperadores em componentes com frequencias diferentes [27].

As Transformadas wavelets possuem aplicacoes em diversas areas relevantes, entreas quais podemos citar o processamento e compressao de imagens [28], [29], a deteccao desinais de radar e sonar [30], a analise da temperatura do ar [31], e ate a deteccao precocede surtos de doencas [32]. Na area de gerencia de redes, as wavelets ja foram exploradaspor alguns estudiosos da area, como Huang [33] que desenvolveu seu trabalho ”Wavelet-based Real Time Detection of Network Traffic Anomalies” na deteccao de anomalias dotipo DDoS (Distributed Denial of Service), Limthong, que aplica wavelets com foco notrafego de saıda da rede [12] e Novakov, que utiliza aplicacoes PCA (Principal ComponentAnalysis) junto com algoritmos de wavelets [34]. Ainda podemos citar Wei Lu [8], ChristianCallegari [35], combinando wavelets com Algoritmos CUSUM CUmulative SUM, ou comSketches [36], Oleg Sheluhin [37], Marius Salagean [10], Alarcon-Aquino [38] e Jun Gao[9], entre outros.

3.2 Conceito geral das Transformadas Wavelets

Segundo afirma Lima [25], uma wavelet e uma funcao 𝜓(𝑥) ∈ 𝐿1(R) ∩ 𝐿2(R), talque a famılia de funcoes

𝜓𝑗,𝑘(𝑥) =−𝑗/2 𝜓(2−𝑗𝑥− 𝑘) (3.1)

onde 𝑗 e 𝑘 sao inteiros arbitrarios, seja uma base ortonormal para 𝐿2(R).

A ideia geral da wavelet, e a realizacao de uma decomposicao do sinal em coefici-entes de dois tipos, os coeficientes de escala, e os coeficientes de detalhes, como pode ser

33

visualizado na Figura 3.

Figura 3 – Decomposicao do sinal por meio da Transformada Wavelet Discreta. (Fonte:[3])

As wavelets podem ser contınuas, ou discretas. Nas transformadas wavelets contınuas(CWT), a cada nıvel de decomposicao os coeficientes nao sao reduzidos, ou seja, o tamanhodo vetor de coeficientes e igual ao tamanho do sinal de entrada. Ja nas wavelets discretas(DWT), a cada nıvel os coeficientes diminuem pela metade. Nas DWT, a decomposicaoe realizada sobre os coeficientes de escala, ja as Transformadas Wavelet Packet (PWT),sao uma generalizacao da DWT, em que tanto coeficientes de escala quanto coeficientesde detalhes sao decompostos em cada um dos nıveis.

3.3 Principais tipos de Wavelets

Ha diversos tipos de wavelets, tambem conhecidos como filtros wavelets, ou wavelet-mae, como pode ser visto na Figura 4, alguns filtros sao contınuos (CWT - ContinuousWavelet Transform), como os filtros de Morlet, alguns sao discretos (DWT - DiscreteWavelet Transform), como os filtros de Haar, Daubechies, Coiflets, Symlets, DiscreteMeyer e Paul. Os dois principais e mais utilizados filtros wavelets, sao os filtros de Haare de Daubechies.

3.3.1 Wavelets de Haar

De caracterizacao mais simplificada, as wavelets de Haar sao as primeiras a sur-girem, atraves do matematico hungaro Alfred Haar. As wavelets de Haar sao obtidasatraves da Transformada de Haar, que nada mais e que uma transformacao discreta deum conjunto de dados (sinais, funcoes), de forma que [25]:

𝜓(𝑥) =

⎧⎪⎪⎪⎨⎪⎪⎪⎩1, se 𝑥 ∈ [0, 1

2)−1, se 𝑥 ∈ [1

2 , 1)0, caso contrario

(3.2)

Uma wavelet de Haar tem a configuracao grafica apresentada pela Figura 5.

34

Figura 4 – Principais tipos de wavelets (filtros). (Fonte: [4])

Figura 5 – Grafico com uma wavelet de Haar. (Fonte: [5])

Essa transformada pode ser considerada como um caso particular das wavelets deDaubechies, sendo chamadas tambem de wavelets de Daubechies D2.

As wavelets de Haar, segundo coloca Gauciniski [39], estao relacionadas com operacoesmatematicas chamadas Transformadas de Haar. Essas transformadas decompoem um si-nal em dois subsinais discretos, um de media ou de tendencia e o outro uma diferencaponderada de dois impulsos vizinhos.

O subsinal de tendencia vem da media de pares de valores dos sinais, multiplicando√

2, como ilustra a equacao 3.3.

𝑎𝑚 = ((𝑓2𝑚 − 1) + 𝑓2𝑚

2 ) *√

2 (3.3)

onde:𝑚 = 1, 2, 3, ..., 𝑁/2 e𝑁 e a quantidade de amostras de sinal.

35

O outro sinal, das diferencas, e encontrado a partir da metade da diferenca doprimeiro par de valores de sinais e multiplicando

√2, como mostra a equacao 3.4.

𝑎𝑚 = ((𝑓2𝑚 − 1) − 𝑓2𝑚

2 ) *√

2 (3.4)

Essa tranformacao do sinal em dois subsinais e chamada de Transformacao deHaar 1-nıvel.Essas transformacoes de forma sucessivas acabam por dividir o sinal, ou funcao, em variossubsinais que representam diferentes intervalos de frequencias.

3.3.2 Wavelets de Daubechies

As wavelets de Daubechies foram propostas por Ingrid Daubechies. Existem variastransformacoes de Daubechies, porem a mais comum e a wavelet Daub4. As waveletsDaub4 sao definidas pela integral da equacao 3.5, que define que a wavelet possui todosos momentos ate ordem 𝑁 − 1 nulos.

+∞∫−∞

𝑥𝑙𝑁𝜓(𝑥)𝑑𝑥 = 0, 𝑙 = 0, ..., 𝑁 − 1. (3.5)

Para 𝑁 ≫ 1 onde 𝑁 e o tamanho do sinal de entrada, 𝜓(𝑥) e a funcao wavelet-mae(filtro) e 𝑥 sao os valores do sinal de entrada.

No caso das wavelets de Daubechies, 𝑁𝜓, os valores de 𝑁ℎ𝑘 serao diferentes dezero apenas para 2𝑁 valores de 𝑘. Suponhamos um 𝑘 = 0, 1, ..., 2𝑁 − 1, eles sao raızes deequacoes algebricas, calculadas por metodos numericos. Em calculos numericos envolvendowavelets, o essencial sao seus coeficientes ℎ′

𝑛𝑠 [25].

Esta wavelet possui quatro coeficientes de filtro que sao apresentados nas equacoes3.6, 3.7, 3.8 e 3.9.

ℎ0 = 1 +√

34√

2(3.6)

ℎ1 = 3 +√

34√

2(3.7)

ℎ2 = 3 −√

34√

2(3.8)

ℎ3 = 1 −√

34√

2(3.9)

e ℎ𝑘 = 0 para os demais valores de 𝑘.

36

As Daub4, possuem os momentos de ordem zero e ordem um nulos, isto e 3.10:+∞∫

−∞

𝑁𝜓(𝑥)𝑑𝑥 = 0 =+∞∫

−∞

𝑥𝑁𝜓(𝑥)𝑑𝑥 (3.10)

Toda wavelet satisfaz+∞∫−∞

𝜓(𝑥)𝑑𝑥, ou seja, tem o momento de ordem zero nulo. Napratica, quanto mais momentos nulos uma wavelet possuir, menores serao os coeficientesde wavelets correspondentes as partes da funcao dos dados originais que forem suaves,isto e, os coeficientes de wavelets serao apreciaveis onde a funcao nao for suave, o quepermite utilizar as wavelets para deteccao de singularidades no conjunto de dados [25],que no presente trabalho, pode significar uma anormalidade na rede.

3.3.3 Wavelets de Morlet

As wavelets de Morlet surgiram em meados de 1984, quando Jean Morlet, utilizouideias desenvolvidas pelo fısico Dennis Gabor. Os estudos de Morlet resultaram na pri-meira formalizacao da transformada wavelet contınua [6]. Esse filtro (wavelet-mae) possuia representacao grafica apresentada na Figura 6.

Figura 6 – Grafico apresentando o filtro (wavelet-mae) de Morlet. (Fonte: [6])

3.3.4 Wavelets de Coiflets

As wavelets de Coiflets foram desenvolvidas por Ingrid Daubechies a pedido deRonald Coifman, para apresentar funcoes de escala com pontos de fuga. A wavelet possuiuma quase simetria [6], como pode ser verificado na representacao grafica das wavelets deCoiflets apresentada na Figura 7.

Figura 7 – Grafico apresentando o filtro (wavelet-mae) de Coiflets. (Fonte: [6])

37

3.3.5 Wavelets de Symlets

As wavelets Symlets foram desenvolvidas por Ingrid Daubechies como uma modi-ficacao das wavelets de Daubechies possuindo maior simetria [6]. A representacao graficadesta wavelet pode ser verificada na Figura 8.

Figura 8 – Grafico apresentando o filtro (wavelet-mae) de Symlets. (Fonte: [6])

3.3.6 Wavelets Discrete Meyer

As wavelets discrete meyer foi desenvolvida pelo matematico frances Yves Meyer.E infinitamente diferenciavel com suporte infinito e definido no domınio da frequencia [6].O grafico da Figura 9 apresenta o comportamento da wavelet discrete meyer.

Figura 9 – Grafico apresentando o filtro (wavelet-mae) Discrete Meyer. (Fonte: [6])

3.3.7 Wavelets de Paul

Tambem conhecida como Mexican Hat wavelet, esta wavelet nao tem funcao deescala e e derivada de uma funcao que e proporcional a funcao de segunda derivada dafuncao de densidade de probabilidade Gaussiana [6]. A Figura 10 tras a representacaografica das wavelets de Paul.

3.4 Wavelets para Retirada de Ruıdos em Sinais

As wavelets podem ser utilizadas para a retirada de ruıdo em sinais, realizando umcorte nos coeficientes de detalhes [40], [41], [42], que foram explicados anteriormente. O

38

Figura 10 – Grafico apresentando o filtro (wavelet-mae) de Paul. (Fonte: [6])

processo de retirada de ruıdo segue as seguintes etapas, decomposicao do sinal (Transfor-mada Wavelet Discreta), calculo da variancia dos coeficientes, calculo do threshold, cortedos coeficientes wavelet, transformada wavelet inversa (IDWT).

Depois de realizada a decomposicao do sinal (DWT), e calculada a variancia doscoeficientes, atraves da equacao 3.11 [43].

𝜎2 =∑𝑤

𝑖=0 𝑑2𝑖

𝑤(3.11)

Onde:𝑑𝑖 e um determinado coeficiente de detalhe𝑤 e o tamanho do vetor de coeficientes

Com o valor da variancia calculado, o threshold sera obtido pela equacao 3.12 [43].

𝑇 =√𝜎2 * 2 * 𝑙𝑜𝑔(𝑤) (3.12)

Para cada coeficiente, sera utilizada uma regra de corte, que pode ser a regra deHard Thresholding, que atribui zero ao coeficiente se o modulo deste estiver abaixo ou forigual ao limiar (𝑇 ), ou de Soft Thresholding, em que se o modulo do coeficiente for menordo que 𝑇 , que e o valor de corte, o coeficiente e zerado; se o valor do coeficiente for maiorou igual a 𝑇 , o valor de 𝑇 e subtraıdo do coeficiente; e se o valor do coeficiente for menorou igual ao valor de −𝑇 , 𝑇 e somado ao valor do coeficiente. A formalizacao destas regrasde corte podem ser verificadas nas equacoes 3.13 e 3.14 [40].

𝑑𝑖 =

⎧⎨⎩ 𝑑𝑖 se |𝑑𝑖| > 𝑇

0 se |𝑑𝑖| ≤ 𝑇(3.13)

Hard Thresholding

𝑑𝑖 =

⎧⎪⎪⎪⎨⎪⎪⎪⎩𝑑𝑖 − 𝑇 se 𝑑𝑖 ≥ 𝑇

𝑑𝑖 + 𝑇 se 𝑑𝑖 ≤ −𝑇0 se |𝑑𝑖| < 𝑇

(3.14)

39

Soft Thresholding

Por fim, depois de os coeficientes sofrerem o corte, e realizada a TransformadaWavelet Inversa, que retornara o sinal original sem ruıdos.

41

4 WAVELETS APLICADAS NA GERENCIA DE REDES

A relacao entre wavelets e gerencia de redes pode ser melhor entendida atravesda analise de pesquisas realizadas na area. Diversos trabalhos foram desenvolvidos nestatematica, de maneira que alguns deles utilizam outras teorias e ferramentas em conjuntocom as Transformadas wavelets. A Tabela 1 esquematiza alguns dos principais trabalhosda area.

Tabela 1 – Tabela Apresentando os artigos estudados.

Trabalho Wavelet UtilizadaPerlin et al. [3] wavelet generica;

introducao do uso de wavelets na deteccaode anomalias em redes

Dainotti et al. [7] CWT MorletLu et al. [8] DWT: Daubechies, Coiflets, Symlets ou Discrete Meyer

Gao et al. [9] PWT DaubechiesSalagean [10] ADWT Daubechies

Dalmazo et al. [11] DWT HaarLimthong et al. [12] DWT HaarCallegari et al. [35] DWT DaubechiesHuang et al. [33] DWT: Coiflets, Morlet, Daubechies, Paul

Azevedo [43] DWT: Haar, Daubechies (Db2, Db4, Db8)Kanarachos et al. [13] DWT Daubechies Db8

Para se entender um pouco melhor a utilizacao de wavelets na caracterizacao edeteccao de anomalias no trafego, e importante compreendermos melhor o tipo de analiseque e realizado pelas wavelets. A maioria das pesquisas na area de gerencia de redes quese utilizam de wavelets tem por objetivo a deteccao de anomalias em uma determinadarede. A seguir serao apresentados alguns dos principais trabalhos da area.

4.1 Deteccao de Anomalias em Redes de Computadores UsandoTransformadas Wavelet

Conforme afirmam Perlin et al. [3], existem tres areas de estudo que podem serutilizadas para que a deteccao de anomalias em redes seja realizada, que sao:

∙ Conhecimento: Maquina de estados finitos; Sistemas especialistas ou baseados emregras; Busca por padroes;

42

∙ Aprendizagem de Maquina: Redes Bayesianas; Cadeias de Markov; Redes Neurais;Logica difusa (Fuzzy Logic); Algoritmos Geneticos; Algoritmos de Agrupamento(Clustering); Sistemas imunologicos artificiais;

∙ Analise de Sinais: Analise Estatıstica; Filtros de Kalman; CUSUM (CumulativeSUM ); Series Temporais; wavelets.

As wavelets se encaixam nos metodos de analise de sinais. Neste metodo, um perfile criado representando o comportamento passado da rede [3]. Este perfil e tracado combase em metricas como o numero de pacotes por protocolo, bits por segundo, numerode conexoes, entropia dos IPs de origem e destino, entre outras. A anomalia e detectadaquando o comportamento atual da rede difere significativamente do encontrado no perfil,ultrapassando algum limite (threshold) estabelecido. Entre as vantagens deste metodoesta a de nao necessitar de algum conhecimento predefinido do comportamento padraoda rede, sendo capazes de se adaptar ao comportamento da rede, tornando-se metodosinteressantes para uso na deteccao de anomalias. Entre as desvantagens esta a definicaodos parametros, o que influencia na taxa de deteccoes e falsos positivos [3]. Perlin aindadivide o processo de deteccao de anomalias em tres etapas, como pode ser visto na Figura11.

Figura 11 – Fluxograma de um metodo generico para deteccao de anomalias de rede.(Fonte: [3])

A coleta dos dados consiste em elencar os melhores atributos para se detectar umadeterminada anomalia, bem como escolher caracterısticas ou baseadas no tempo, ou ba-seadas em conexao. As caracterısticas baseadas no tempo sao computadas com respeito aum determinado intervalo de tempo passado. Este tipo de caracterıstica e adequada paraa deteccao de ataques que geram anomalia de volume do trafego, como ataques DDoS(Distributed Denial of Service). Ja as caracterısticas baseadas em conexao sao computa-das considerando-se o numero de conexoes passadas. Esse tipo de caracterıstica e bompara deteccao de ataques que acontecam em um grande intervalo de tempo. A etapa detransformacao dos dados consiste na representacao matematica das series de dados darede, a fim de remover tendencias e tornar evidentes as singularidades. A transformada

43

wavelet converte os dados do domınio de tempo, para o domınio de escala, ou seja, de-compoe um sinal e o divide em escalas de diferentes frequencias. Cada tecnica pode sermais adequada para uma determinada anomalia, ja que cada tipo de ataque possui umpadrao de comportamento e uma influencia diferente em cada atributo da rede.

4.2 Metricas Estatısticas para Auxiliar na Deteccao de Anoma-lias

Nesta secao serao explicadas algumas metricas estatısticas utilizadas para auxıliona deteccao de anomalias.

4.2.1 Correlacao Linear de Pierson

O coeficiente de correlacao linear de Pearson trata de descrever a correlacao en-tre duas variaveis aleatorias. Este coeficiente tem esse nome devido ao estatıstico KarlPearson, que em 1894 apresentou a expressao para o coeficiente de correlacao. Para seencontrar o coeficiente de correlacao, deve-se padronizar os dados, ou seja, dados quepossuem diferentes unidades de medida, como peso e altura, ou velocidade e tempo deprocessamento devem ser analisadas de maneira que a diferenca na unidade de medidanao interfira. Para tanto, os dados sao interpretados em termos da quantidade de desviopadrao que se afastam da media. A formula que descreve esta padronizacao e apresentadana equacao 4.1 [44].

𝑥′

𝑖 = 𝑥𝑖 − ��

𝑠𝑥

e 𝑦′

𝑖 = 𝑦𝑖 − 𝑦

𝑠𝑦

(4.1)

Onde:𝑥

′𝑖 valor da variavel 𝑥𝑖 padronizado𝑦

′𝑖 valor da variavel 𝑦𝑖 padronizado𝑥𝑖 valor da variavel 𝑥, onde 𝑖 = 1, 2, · · · , 𝑛𝑦𝑖 valor da variavel 𝑦, onde 𝑖 = 1, 2, · · · , 𝑛�� media de 𝑥1, 𝑥2, · · · , 𝑥𝑛

𝑠𝑥 desvio padrao de 𝑥1, 𝑥2, · · · , 𝑥𝑛

𝑦 media de 𝑦1, 𝑦2, · · · , 𝑦𝑛

𝑠𝑦 desvio padrao de 𝑦1, 𝑦2, · · · , 𝑦𝑛

Porem, devido a dificuldade de se calcular o coeficiente de correlacao atraves dosvalores padronizados, sem contar a incorporacao de erros de arredondamento provindada padronizacao, o calculo do coeficiente e realizado pela formula matematica que seradescrita na equacao 4.2.

44

O coeficiente de correlacao linear de Pearson, representado pela letra 𝑟, e um valorentre −1 < 𝑟 < 1, em que quanto mais proximo de 1 ou −1, mais correlacionada asvariaveis estao, e sera positivo se houver correlacao linear positiva e negativa se houvercorrelacao linear negativa [44].

𝑟 = 𝑛Σ(𝑥𝑖 * 𝑦𝑖) − (Σ𝑥𝑖) * (Σ𝑦𝑖)√𝑛Σ𝑥2

𝑖 − (Σ𝑥𝑖)2 *√𝑛Σ𝑦2

𝑖 − (Σ𝑦𝑖)2(4.2)

4.2.2 NMSE

NMSE, ou Erro Quadratico Medio Normalizado, avalia a diferenca entre dois con-juntos de dados. Apresenta valores de zero a infinito, de forma que quanto mais proximode zero o resultado, mais correlacionados estao os dois conjuntos de dados. A equacao 4.3ilustra o calculo do NMSE para duas series temporais 𝑋 e 𝑌 , de tamanho 𝑁 [45].

𝑁𝑀𝑆𝐸 =∑𝑁

𝑡=1(𝑋𝑡 − 𝑌𝑡)2∑𝑁𝑡=1(𝑌𝑡)2 (4.3)

O NMSE sera utilizado para medir o erro da predicao, que sera apresentada nasecao 5. Para o problema em questao, os valores de 𝑋 e 𝑌 serao os valores da predicao eos valores do dia que se quer comparar com a predicao, respectivamente.

4.2.3 Suavizacao Exponencial

Os modelos de suavizacao exponencial sao conhecidos com esta denominacao poisaplicam um conjunto de pesos desiguais aos valores passados da serie temporal, sendo queestes pesos decaem de forma exponencial da mais recente para a mais distante observacao[46]. A equacao que descreve a suavizacao exponencial pode ser verificada na equacao 4.4.

𝐿𝑡 = 𝛼 * 𝑦𝑡 + (1 − 𝛼) * 𝐿𝑡−1 (4.4)

Onde:𝐿𝑡 e o valor suavizado𝛼 e o valor que varia entre 0 e 1𝑦𝑡 e o valor da serie temporal nao suavizada𝐿𝑡−1 valor suavizado da observacao anterior

4.3 Deteccao de Ataques DoS Baseada em Wavelets

Dainotti et al. [7] elaboraram um sistema para a deteccao de ataques a rede dotipo DoS. Este sistema e dividido em dois estagios, nomeados: “Rough Detection” e “FineDetection”, como pode ser visualizado na Figura 12.

45

Figura 12 – Arquitetura do sistema proposto por Dainotti et al.. (Adaptado de: 7)

O primeiro estagio do sistema possui dois modulos, o primeiro trata da caracte-rizacao do trafego normal da rede (Construcao do Modelo de Comportamento Normal)que foi feito atraves de algoritmos CUSUM (Cumulative Sum). O segundo modulo tratade um alarme que detecta um possıvel ataque DoS. Esta deteccao e feita por meio deum limiar adaptativo (adaptative thresholding) que gera um alarme quando o valor daamostra e maior que um limiar que muda de acordo com a demanda da rede.

O segundo estagio (Deteccao Fina) tem como funcao diminuir o numero de falsospositivos. O modulo CWT (Continuous Wavelet Transform) computa a transformadawavelet contınua do sinal de entrada - sinal este que consiste no trafego da rede queesta sendo analisada - utilizando a ferramenta Matlab, utilizando como wavelet-mae aWavelet de Morlet. Dainotti et al. afirmam que a wavelet contınua foi escolhida com oobjetivo de explorar sua interpretacao como funcao de correlacao cruzada entre o sinalde entrada da transformada e a redundancia dos coeficientes de detalhes e de escalada transformada wavelet. A CWT tambem garante um coeficiente para cada amostrado sinal de entrada em todos os nıveis da transformada, diferente da DWT (DiscreteWavelet Transform), em que o numero de coeficientes cai pela metade a cada nıvel datransformada. A saıda da transformada consiste em uma matriz 𝑊 de dimensao 𝑀𝑥𝑁 ,em que 𝑁 e o numero de amostras do sinal de entrada e 𝑀 representa o numero de escalasdado por 𝐽 = [𝑙𝑜𝑔2(𝑁)] − 1.

Na matriz 𝑊 e selecionado o intervalo (sub-matriz) em que o alarme do estagio

46

anterior detectou a anomalia. O modulo (Calculo do Limiar) calcula um limiar baseando-se em uma biblioteca que possui a taxa maxima de pico de cada anomalia de interessemultiplicado por um fator, e nas estatısticas do sinal que foram geradas pela etapa deanalise do sinal, que consiste no calculo da media e do desvio padrao do sinal do trafegoda rede. Por fim, o limiar, para o sinal da CWT e obtido do valor mınimo entre o va-lor maximo dos coeficientes de cada anomalia verificada. O ultimo modulo (DeteccaoFina) trata de, atraves do limiar obtido anteriormente e da sub-matriz de 𝑊 que gerou oalarme e compara-se com o limiar, se for maior e considerado anomalia, caso contrario, econsiderado falso positivo.

4.4 Detectando Anomalias de Rede Utilizando Diferentes FuncoesWavelets

Lu et al. [8] propuseram uma abordagem com arquitetura dividida em tres etapas,como pode ser visto na Figura 13.

Figura 13 – Arquitetura do sistema proposto por Lu et al.. (Adaptado de: [8])

Na etapa “Analise de Caracterıstica” foram selecionadas quinze caracterısticaspara caracterizar o trafego da rede. A etapa “Modelo de Trafego Diario Normal” se di-vide em dois modulos: “decomposicao wavelet” e “geracao do modelo autoregressivo”. Noprimeiro modulo e realizada a transformada wavelet discreta (DWT) com coeficientes querepresentam uma aproximacao do sinal. No segundo modulo, os coeficientes sao divididosem dois grupos, coeficientes de entrada e coeficientes de correcao. Essa divisao e reali-zada para gerar a estimativa ARX (AutoRegressive with eXogenous inputs), que utiliza osparametros otimos atraves do menor erro quadrado.

47

Depois de caracterizado o trafego, e possıvel diferenciar sinais anomalos de naoanomalos. Quando o sinal e nao-anomalo, a saıda, chamada resıduo, fica proxima de zero,caso contrario, a saıda tera um resıduo com intervalos em que seus valores se diferenciamde zero.

Para a deteccao de anomalia foi selecionada uma caracterıstica do sinal e compa-rado o resıduo atraves da aplicacao de diferentes filtros wavelets, sendo estes: Daubechies1,Coiflets1, Symlets2 e Discrete Meyer .

Analisando os resıduos, Lu et al. concluıram que independente do filtro waveletutilizado, a deteccao de anomalia ocorre de maneira semelhante. Lu et al. tambem con-cluıram que cada filtro combinado com determinada caracterıstica da rede possui maiorpossibilidade de deteccao de uma determinada anomalia, como por exemplo, a anomaliaapached-dos, em que o filtro Symlets2 detectou com maior acuracia, ou a caracterıstica depacotes UDP por minuto, em que somente o filtro Daubechies1 detectou uma anomaliano dia analisado, sendo que haviam onze tipos de anomalias no sinal.

4.5 Deteccao de Anomalias em Trafego de Rede Baseada emWavelet Packet

Gao et al. [9] desenvolveram um sistema de deteccao de anomalia utilizando wa-velets packets, que e uma generalizacao do algoritmo piramidal da transformada wavelettradicional. A arquitetura do sistema proposto por Gao pode ser visualizada na Figura14

A primeira etapa trata da geracao do sinal, que e dividido em amostras de 𝑇0

segundos de intervalo de tempo.

Na segunda etapa e realizada a transformada wavelet packet (PWT), utilizando ofiltro de Daubechies, dos dados gerando a arvore de decomposicao da Figura 15.

A cada nıvel, o sinal transformado cai pela metade, representando os coeficientesde diferentes escalas.

A terceira etapa trata de decidir se ha ou nao anomalia. Inicialmente, sao definidosdois limiares de alerta (𝑇𝑎 e 𝑇𝐸𝑎) e dois limiares de decomposicao (𝑇𝑑 e 𝑇𝐸𝑑), onde 𝑇𝑎 > 𝑇𝑑

e 𝑇𝐸𝑎 > 𝑇𝐸𝑑.

Utilizando 𝑟𝑎𝑡𝑖𝑜 e 𝑟𝑎𝑡𝑖𝑜𝐸, que sao metricas do sinal original, como media e varianciautilizando uma janela deslizante, se 𝑟𝑎𝑡𝑖𝑜 < 𝑇𝑎 e 𝑟𝑎𝑡𝑖𝑜𝐸 < 𝑇𝐸𝑎 e 𝑟𝑎𝑡𝑖𝑜 < 𝑇𝑑 e 𝑟𝑎𝑡𝑖𝑜𝐸 < 𝑇𝐸𝑑

significa que nao ha anomalia, se 𝑟𝑎𝑡𝑖𝑜 > 𝑇𝑑 e 𝑟𝑎𝑡𝑖𝑜 < 𝑇𝑎 ou 𝑟𝑎𝑡𝑖𝑜𝐸 > 𝑇𝐸𝑑 e 𝑟𝑎𝑡𝑖𝑜𝐸 < 𝑇𝐸𝑎

significa que os estados devem ser decompostos em mais um nıvel da wavelet packet, e porfim, se 𝑟𝑎𝑡𝑖𝑜 > 𝑇𝑎 ou 𝑟𝑎𝑡𝑖𝑜𝐸 > 𝑇𝐸𝑎 e realizada a quarta etapa.

A quarta etapa trata da reconstrucao do sinal nas escalas onde houve deteccao de

48

Figura 14 – Arquitetura do sistema proposto por Gao et al.. (Adaptado de: [9])

Figura 15 – Arvore de decomposicao da transformada wavelet packet. (Fonte: [9])

anomalia na etapa anterior. Isto pode levar a um sinal diferente do original, com valoresmaiores.

A ultima etapa analisa se no sinal reconstruıdo 𝑟𝑎𝑡𝑖𝑜 > 𝑇𝑎 ou se 𝑟𝑎𝑡𝑖𝑜𝐸 > 𝑇𝐸𝑎, sesim, confirma-se a anomalia, caso contrario, sinaliza como falso positivo.

49

4.6 Deteccao de Anomalias em Trafego de Rede Real Baseadaem Transformada Wavelet Analıtica Discreta

Salagean [10], em seu trabalho titulado “Real Network Traffic Anomaly DetectionBased on Analytical Discrete Wavelet Transform” apresenta um metodo de deteccao deanomalias baseado na ADWT (Transformada Wavelet Discreta Analıtica). A arquiteturado metodo se divide em cinco estagios, como apresentado na Figura 16.

Figura 16 – Arquitetura do metodo apresentado por Salagean. (Adaptado de: [10])

O primeiro estagio trata da selecao de atributos da rede que sao os numeros mediosde pacotes e numero medio de bytes em um intervalo de tempo, tamanho medio de pacoteem um intervalo de tempo, contagem do fluxo e relacao entre contagem do fluxo e a mediade pacotes em um intervalo de tempo.

A segunda etapa consiste na transformada wavelet discreta, que utilizou comofiltro Daubechies(db6).

A terceira etapa realiza a analise estatıstica e definicao do limiar. Utilizando es-tatısticas de alta ordem, os sinais decompostos sao analisados. Atraves do historico dotrafego, um limiar e definido, caso o sinal decomposto analisado ultrapasse esse limiar,este sinal e reconstruıdo e atraves dos picos de altura e comprimento e possıvel determi-nar a intensidade e a duracao da anomalia. Este processo de reconstrucao corresponde aoestagio quatro, e a deteccao, ao estagio cinco.

4.7 Filtros de Alarmes de Anomalias Atraves de Wavelets

Dalmazo et al. [11] desenvolveram um sistema utilizando a teoria de wavelets paraa reducao de falsos positivos em um sistema inicial que utiliza series temporais para acaracterizacao do trafego e deteccao de anomalia.

50

Inicialmente, utilizando a teoria de series temporais, organiza-se o dado em umaserie temporal, que nada mais e que um conjunto de amostragens de uma determinadavariavel, ordenadas no tempo, normalmente divididas em intervalos equidistantes, quepode ser representada como uma funcao discreta de 𝑍.

𝑍(𝑡) = 𝑍1, 𝑍2, 𝑍3, ...

Uma serie temporal pode ser representada como a soma de uma funcao dependente dotempo e um processo estocastico 𝑟𝑡 ou ruıdo branco.

𝑍𝑡 = 𝑓𝑡+ 𝑟𝑡

O valor 𝑍𝑡 representa o valor da amostra 𝑍 no tempo 𝑇 . Adaptando esta teoria para aswavelets, Dalmazo adotou a seguinte definicao.

𝐴[𝑡] = 𝐼[𝑡] + 𝑟𝑡,

onde 𝐴 e o sinal amostrado; 𝐼[𝑡] e o valor correto do alarme, e; 𝑟𝑡 e o ruıdo branco.

Apos isso, e realizada a transformada wavelet direta, em seguida o corte dos valoresnos detalhes considerados ruıdo e o calculo da transformada wavelet inversa.

Para o corte, Dalmazo utilizou o Hard Thresholding, que consiste no corte dosvalores menores que determinado valor de corte 𝑇 (limiar), que pode ser obtido pelamultiplicacao entre a variancia dos coeficientes e a raiz quadrada da variancia do logaritmodo tamanho do vetor de coeficientes multiplicado por dois.

𝑡 = 𝜎2√

2 * 𝑙𝑜𝑔(𝑁)

O filtro wavelet utilizado foi o de Haar, de complexidade computacional menor.A janela de analise escolhida foi de 256 valores. Os passos do algoritmo utilizado saodescritos na Figura 17

4.8 Deteccao de Anomalia para Trafego de Rede fora de Limitebaseada em Wavelets

Limthong et al. [12] desenvolveram um sistema para deteccao de anomalias utilli-zando wavelets com arquitetura dividida em quatro etapas, como pode ser visto na Figura18

Na primeira etapa e gerada uma sequencia temporal de numero de pacotes porintervalo de um segundo.

51

Figura 17 – Passos do algoritmo proposto por Dalmazo et al.. (Fonte: [11])

Figura 18 – Arquitetura do sistema proposto por Limthong et al.. (Adaptado de: [12])

Na segunda etapa, e realizada a DWT a fim de transformar os dados originais emduas partes: detalhamento e aproximacao. O filtro de passa alta da DWT remove ruıdosdos dados originais enquanto que o filtro passa baixa essencialmente indica o comporta-mento normal do sinal.

Na terceira etapa, sao realizadas comparacoes das aproximacoes de diferentes nıveiscom dois padroes gerados de um database contendo parametros com comportamento nor-mal da rede. Atraves dessas comparacoes e de analises estatısticas, e possıvel gerar umintervalo considerado normal de pacotes para cada momento do dia.

Na ultima etapa, esse modelo de intervalo explicado acima e gerado e os dados aserem verificados sao avaliados a fim de detectar ou nao uma anomalia, se o valor estiverfora do intervalo definido anteriormente, e sinalizada a anomalia, caso contrario, essesdados sao incorporados a base de dados de comportamento normal, utilizada na terceiraetapa.

52

4.9 Combinando Analise Wavelet e Algoritmo CUSUM paradeteccao de Anomalias em Rede

Callegari et al. [35] propuseram um sistema para deteccao de anomalias combi-nando wavelets e algoritmo CUSUM.

O processo de deteccao de Callegari et al. foi dividido em cinco etapas.

A primeira etapa e a preparacao dos dados de entrada, que foram obtidos utilizandoNetFlow. O arquivo de saıda e um arquivo texto contendo enderecos IP e o numero debytes recebidos por esse IP em um intervalo de tempo de cinco minutos.

A segunda etapa trata da construcao das sketches reversas, que dividem cadaarquivo de texto em um “sketch table” distinto, onde para cada linha desse arquivo, oIP e considerado como uma chave 𝑖𝑡 e o numero de bytes e o peso 𝑐𝑡. Cada arquivocorresponde a um intervalo de tempo (time-bin).

A terceira etapa tem como entrada as 𝑁 sketch tables distintas, que sofrem a trans-formada wavelet Daubechies-4 em seis nıveis. Para filtrar as tendencias diarias e semanaisdo sinal, sao atribuıdos valores nulos aos coeficientes do ultimo nıvel. A transformadawavelet inversa e entao realizada.

A quarta e quinta etapas utilizam os dados da transformada wavelet inversa paraa deteccao de anomalia utilizando o auxılio de MNP-CUSUM. A saıda desta etapa e umamatriz para cada time-bin contendo o valor 1 se houver anomalia, e 0, caso contrario.

4.10 Deteccao de Anomalias no Trafego de Rede em TempoReal Baseada em Wavelet

Huang et al. [33] desenvolveram um sistema para deteccao de anomalias usandoum codigo aberto de processamento de sinais chamado LastWave. Tambem foi utilizadoum framework chamado Waveman para realizar a analise wavelet em tempo real.

Primeiramente, uma serie temporal foi organizada na forma de uma lista ligada,que e um sinal de pacotes versus tempo (cinco segundos). A saıda do LastWave e compostade tres coeficientes, esta saıda foi processada realizando uma normalizacao para facilitarassim, a comparacao e visualizacao dos dados. Foram avaliadas quatro diferentes funcoeswavelets, sendo elas: Coiflet, Morlet, Daubechies e Paul. Para a deteccao de anomalia oframework Waveman foi avaliado por tres tipos de ataques DoS e dois tipos de portscantraffic.

53

4.11 Deteccao de Ataques de Negacao de Servico em Redes deComputadores Atraves da Transformada Wavelet 2D

Azevedo [43], em sua tese de mestrado, desenvolveu um sistema para deteccao deataques DoS, utilizando transformadas wavelets 2D.

Primeiramente, os dados foram organizados em uma matriz𝑚, em que as linhas saodiferentes amostras de sinais que estao sendo analisadas (𝑝) e as colunas sao as instanciasde cada sinal amostrado (𝑎). O numero de sinais analisados e 𝑛𝑝 e o numero de amostrase 𝑛𝑎, ambos devem ser multiplos de dois para que seja possıvel realizar a transformadawavelet.

Com os dados organizados, e aplicada a transformada wavelet discreta bidimen-sional, que gera quatro novas matrizes. A primeira possui os coeficientes de escala datransformacao, que representam as informacoes originais em um nıvel de resolucao maisgrosseiro que o inicialmente considerado, as outras tres matrizes contem os diferentes co-eficientes wavelets, representando as variacoes ocorridas na matriz original nas direcoesvertical, horizontal e diagonal.

Para a deteccao da anomalia, inicialmente e realizada a normalizacao dos dadosdo sinal, ja que o trafego de rede nao possui distribuicao normal. Depois e realizada atecnica de hard thresholding, que consiste no corte dos coeficientes do ultimo nıvel dedecomposicao da transformada wavelet, de acordo com um limiar pre-estabelecido; estatecnica e utilizada tambem na remocao de ruıdos de sinais [47], [48], [49], [40], [41].

Depois de aplicada a tecnica de hard thresholding, a matriz de coeficientes iraconter valores iguais a zero e valores maiores que zero, que nao sofreram corte pelo limiar.Esses valores maiores que zero identificam os pontos com anomalia no trafego. Entaoe verificado se o ultimo valor de cada matriz e maior que zero , se sim, uma variavel“acumulador” e incrementada e e iniciado um processo para auxiliar na descoberta sea anomalia detectada pertence a um intervalo de tempo anterior ao avaliado, se sim, oalarme nao e disparado, se nao, e verificado se dois ou mais valores finais das matrizes dedetalhes foram diferentes de zero, se sim, o alarme e disparado e e detectada a anomalia.

4.12 Deteccao de Anomalias em Dados de Series Temporais Uti-lizando a Combinacao de Wavelets, Redes Neurais e Trans-formadas de Hilbert

Kanarachos et al. [13] propuseram um sistema mesclando tres tecnicas: wavelets,redes neurais e transformadas de Hilbert. Conforme mostra a Figura 19 o primeiro passoe realizar a transformada wavelet, para tanto foram utilizadas as wavelets de Daubechiescom decomposicao em oito nıveis, realizando a transformada wavelet inversa retirando os

54

ruıdos do sinal.

Figura 19 – Arquitetura do sistema proposto por Kanarachos et al.. (Adaptado de: [13])

Feito isso, um subconjunto desse sinal sem ruıdos e dado como entrada para otreinamento de uma rede neural para predizer o comportamento normal do trafego darede. Os dados utilizados no treinamento nao possuem anomalias.

A ultima etapa utiliza as transformadas de Hilbert no sinal de erro, que e o sinalresultante da diferenca entre o sinal filtrado e o sinal resultante do treinamento da redeneural. Com isso, se torna simples a comparacao do sinal resultante do treinamento darede neural e do sinal resultante da transformada de Hilbert, ja que ambos representamsinais monocomponentes, que sao sinais no domınio tempo-frequencia descritos somentepor um simples “pico”.

4.13 Consideracoes Finais Sobre o Capıtulo

Dainotti et al. [7] utilizaram as wavelets de Morlet combinadas com o algoritmo deSomas Cumulativas, assim como Callegari et al. [35], com a diferenca de que esse ultimoutilizaram o filtro de Daubechies. Ambos trabalhos obtiveram resultados satisfatorios eno trabalho de Callegari et al. houve boa taxa de deteccao para ataques de diferentes

55

intensidades e melhora com relacao ao que e chamado pelos autores de algoritmo classico,que so utiliza Somas Cumulativas.

Lu et al. [8] e Huang et al. [33] analisaram diversos filtros wavelets diferentes, Hu-ang et al. concluıram que para a deteccao de anomalia DoS, os filtros de Coiflets e Paulse mostraram mais eficientes, ja Lu et al., que avaliaram diversos tipos de anomalias ediversos atributos da rede, afirmam que uma melhor deteccao de um determinado filtrodepende de qual atributo do trafego da rede e utilizado e de qual anomalia se deseja detec-tar, por exemplo, para o atributo de pacotes UDP por minuto, as wavelets de Daubechiesse mostraram mais eficientes.

Limthong et al. [12] utilizaram as wavelets de Haar comparando os dados da trans-formada com dois padroes de transformada de um trafego normal, em seus resultadosdestacam a deteccao para baixos volumes de pacotes anomalos.

Salagean [10], Gao et al. [9] e Kanarachos et al. [13] utilizaram as wavelets deDaubechies, cada um combinando uma teoria diferente com essas wavelets. Salagean uti-lizou um limiar estatico para decidir pela anomalia ou nao, mas aponta o uso de limiaresdinamicos pra aumentar a taxa de acerto, Kanarachos et al. mostraram que a uniao dewavelets com RNA (Redes Neurais Artificiais) e Transformada de Hilbert se mostroueficiente.

Por fim, Dalmazo et al. [11] e Azevedo [43] desenvolveram seus trabalhos na teoriade eliminacao de ruıdos em sinais utilizando as wavelets, para realizar uma predicao dotrafego considerado normal. Dalmazo et al. ainda utilizaram as wavelets para a diminuicaode falsos positivos e obtiveram excelentes resultados, como nos testes de Dalmazo et al.tiveram uma reducao de 87% ao se utilizar as wavelets. Esses dois trabalhos foram basepara o desenvolvimento da implementacao que sera apresentada no capıtulo a seguir.

57

5 IMPLEMENTACAO DE WAVELETS APLICADAS AGERENCIA DE REDES

Esta secao apresentara uma implementacao de wavelets para geracao de predicao(DSNSF) da rede e uma abordagem utilizando limiar para deteccao de anomalia.

5.1 Descricao Geral

A seguinte implementacao foi desenvolvida utilizando a linguagem R, que e umalinguagem de alto nıvel e um ambiente para analise de dados e geracao de graficos [50],linguagem esta que foi utilizada atraves do software R Studio. Para a implementacaodas transformadas wavelets, foi utilizado o pacote wavelets, disponıvel na linguagem R[51]. Inicialmente foram coletados dados da subrede do grupo de redes no Departamentode Computacao na Universidade Estadual de Londrina (dados estes, coletados antes daelaboracao deste projeto, e por equipe alheia a esta pesquisa). O perıodo de coleta ecompreendido de 10 a 21 de setembro de 2012 (somente de segunda a sexta-feira).

Atraves da analise de fluxo IP, foram coletados varios atributos da rede, armaze-nados em arquivos de texto. Para este projeto foi utilizado o atributo de quantidade depacotes por segundo.

Os dados da primeira semana (de 10 de setembro ate 14 de setembro) foramutilizados para entrada da transformada wavelet, ou seja, para geracao do DSNSF. Asemana seguinte (de 17 de setembro ate 21 de setembro) foi utilizada para comparacaocom os DSNSF gerados. E o dia 18 de setembro foi utilizado para avaliar a capacidade dedeteccao de anomalia dos DSNSF.

A arquitetura geral da implementacao pode ser verificada na Figura 20. Cada umadas etapas desta implementacao sera explicada a seguir.

5.1.1 Preparacao dos Dados

Foram selecionados cinco dias, do dia 10 a 14 de setembro. Para cada um dessesdias, o arquivo texto possui a quantidade de pacotes por segundo de um tempo de 24horas (um dia). Para melhor interpretacao dos dados, e a fim de discretiza-los para atransformada discreta wavelet, para cada dia, os dados foram agrupados em intervalos dedez segundos, atraves da media dos valores.

Feito isso, o conjunto que antes era de 86400 valores, referentes a cada segundodo total de um dia, ficou reduzido a 8640 valores. A DWT (Discrete Wavelet Transform)utiliza a estrutura piramidal de Mallat, em que a cada nıvel da transformada wavelet, a

58

Figura 20 – Etapas da implementacao.

quantidade de coeficientes e reduzido a metade, criando assim, uma estrutura de arvore,em que o tamanho do sinal de entrada da transformada deve ser o resultado de umapotencia de dois. Como 8640 nao atende a esta exigencia, o sinal de entrada foi reduzidopara 8120, que e o valor mais proximo de 8640 que e o resultado de uma potencia de dois(213).

Entao, foram gerados vetores como pode ser verificado na Tabela 2.

Tabela 2 – Tabela Apresentando organizacao dos dados de pacotes.

Vetor 1 dados do dia 10 de setembroVetor 2 media dos dados dos dias 10 e 11 de setembroVetor 3 media dos dados dos dias 10 a 12 de setembroVetor 4 media dos dados dos dias 10 a 13 de setembroVetor 5 media dos dados dos dias 10 a 14 de setembro

5.1.2 Transformada Wavelet Discreta

Depois da preparacao dos dados, foi feita a transformada wavelet discreta de Haarnos vetores (vetor1, vetor2, vetor3, vetor4 e vetor5) em dois nıveis (nao foram realizadasdecomposicoes em mais nıveis, visto que, baseado em outros trabalhos de decomposicaopara retirada de ruıdo, acima desse valor, a retirada de ruıdo se tornava menos precisa[52]). Foi escolhido o filtro (wavelet-mae) de Haar, devido a combinacao de seus bons

59

resultados associados a um menor processamento computacional. A Figura 21 abaixoilustra o processo de decomposicao da DWT. O conjunto de coeficientes de detalhe em

Figura 21 – Processo de decomposicao DWT em dois nıveis.

vermelho, sera o conjunto de coeficientes que sofrera o processo de Hard Thresholding.

5.1.3 Hard Thresholding

Utilizando a tecnica da retirada de ruıdo atraves de wavelets, foi calculada avariancia dos coeficientes de detalhes do ultimo nıvel para cada um dos vetores. Coma variancia, foi possıvel calcular um limiar. Esse limiar foi utilizado para realizar umcorte nos coeficientes de detalhes do ultimo nıvel (Nıvel 2), utilizando a tecnica de HardThresholding.

Por fim, e realizada a transformada wavelet inversa, obtendo os sinais sem ruıdospara um, dois, tres, quatro e cinco dias.

5.1.4 Graficos DSNSF e Analise Estatıstica

Para cada um dos agrupamentos de dias da primeira semana (vetor1, ..., vetor5)foi gerado um DSNSF, como explicado nas secoes 5.1.2 e 5.1.3. Para cada DSNSF, foirealizada uma comparacao com os cinco dias da semana seguinte (dia 17 a dia 21 desetembro).

A representacao grafica destes DSNSF gerados pode ser verificada nas Figuras22(a)-(e) apresentam os DSNSF versus dia 17 de setembro; as Figuras 23(a)-(e) apresen-tam os DSNSF versus dia 18 de setembro; as Figuras 24(a)-(e) apresentam os DSNSFversus dia 19 de setembro; as Figuras 25(a)-(e) apresentam os DSNSF versus dia 20 desetembro; e por fim, as Figuras 26(a)-(e) apresentam os DSNSF versus dia 21 de setembro.Para suavizacao das series temporais, foi utilizada a suavizacao exponencial.

60

Nas figuras citadas acima, temos o trafego que esta sendo utilizado para com-paracao com o DSNSF (em verde), o DSNSF (em vermelho), e a margem de erro (threshold- em azul), que e uma margem de 20% para mais e para menos do valor do DSNSF. Emtodos os 25 graficos, e possıvel visualizar uma predicao satisfatoria dos DSNSF em todosos cinco dias utilizados para comparacao (17 a 21 de setembro) com o DSNSF, isto e,existem poucos outliers com relacao a margem de erro, como verificado no grafico 26, emtorno das 16 horas.

61

(a) DSNSF 1 dia versus trafego dia 17/09 (b) DSNSF 2 dias versus trafego dia 17/09

(c) DSNSF 3 dias versus trafego dia 17/09 (d) DSNSF 4 dias versus trafego dia 17/09

(e) DSNSF 5 dias versus trafego dia 17/09

Figura 22 – Graficos contendo DSNSFs de um a cinco dias versus trafego do dia 17/09.

62





63





64





65





66

Duas metricas estatısticas foram escolhidas para a analise estatıstica: a correlacaolinear de Pierson, muito utilizada e de facil analise, e NMSE, que mostrou-se eficiente emoutros trabalhos realizados pelo grupo de redes da Universidade Estadual de Londrina. Aanalise por meio de duas metricas, ao inves de apenas uma, tras resultados mais solidose uma analise mais rica, visto que uma metrica complementa a outra. Por meio destasduas metricas foram obtidos valores que apresentam o nıvel de correlacao entre os DSNSFsgerados e os dias subsequentes (17 a 21 de setembro). Estes valores podem ser visualizadosnas Tabelas 3 e 4.

Tabela 3 – Valores da Correlacao Linear de Pierson: DSNSF x Dias subsequentes.

Dias analisados ∖DSNSF 1 dia 2 dias 3 dias 4 dias 5 dias17/09 0,611 0,643 0,626 0,633 0,62918/09 0,65 0,694 0,678 0,662 0,66619/09 0,286 0,249 0,25 0,262 0,33820/09 0,583 0,619 0,609 0,621 0,65321/09 0,541 0,614 0,64 0,648 0,697

Tabela 4 – Valores do NMSE: DSNSF x Dias subsequentes.

Dias analisados ∖DSNSF 1 dia 2 dias 3 dias 4 dias 5 dias17/09 0,0817 0,0731 0,0752 0,0734 0,074818/09 0,0797 0,0626 0,0648 0,0682 0,066319/09 0,2103 0,1916 0,1859 0,1864 0,163720/09 0,1054 0,0861 0,0868 0,0856 0,077721/09 0,1503 0,1108 0,1034 0,1046 0,0896

Analisando as tabelas de correlacao e de NMSE, pode-se concluir que os melho-res DSNSF gerados sao os que utilizaram dois dias e cinco dias como treinamento paraextracao do comportamento normal do trafego (valores em negrito nas tabelas).

5.1.5 Deteccao de anomalia

Para deteccao da anomalia, foi injetada anomalia do tipo DDoS em tres intervalosdo dia 18 de setembro: das 9 as 10 da manha, das 15 as 16 horas, e das 18 as 19 horas danoite. Esta anomalia foi injetada utilizando o software Scorpius [53].

Para nao tornar a analise rıgida, um intervalo (thresholding) de aceitacao paradiferenca entre DSNSF e trafego analisado foi inserido, sendo este de 20% para mais epara menos que o valor da predicao.

As Figuras 27(a)-(e) apresentam a comparacao entre o trafego com anomalia ecada um dos DSNSF gerado.

67




Figura 27 – Graficos contendo DSNSFs de um a cinco dias versus trafego do dia 18/09com anomalia.

68

Estes graficos trazem o trafego do dia 18 de setembro com as anomalias (em verde),o DSNSF (em vermelho), e a margem de erro (20% para mais e para menos - em azul). Amargem de erro e o parametro que delimita o intervalo considerado normal, do consideradoanomalo. Todo pico acima da margem de erro, ou mınimo abaixo da margem de erro eclassificado como trafego anomalo. Em todos os cinco graficos e possıvel visualizar picos detrafego anomalo nos intervalos das 9 as 10 horas, das 15 as 16 horas, e das 18 as 19 horas.Esses tres principais intervalos detectados como anomalos tratam-se dos tres intervalosem que foram injetadas as anomalias do tipo DDoS pelo software Scorpius. Utilizandoesta abordagem, wavelets para retirada de ruıdos e a margem de erro de 20% para maise para menos, todas as anomalias injetadas foram detectadas.

Ainda visualizando os graficos, e possıvel detectar outros intervalos do dia 18 desetembro que fogem da margem de erro, como por exemplo, proximo as 8 horas da manha,onde ocorre um pico na quantidade de pacotes. Esses intervalos serao detectados comointervalos de trafego anomalos, sem serem anomalias de fato, estes casos sao os chamadosfalsos positivos.

69

6 CONTRIBUICOES E TRABALHOS FUTUROS

Este trabalho tratou de analisar teorias de wavelets aplicadas na gerencia de redes,atraves da leitura e artigos que abordam este tema. Tambem foi realizada uma aplicacaopratica desta teoria, a fim de caracterizar o trafego de uma rede, e posteriormente adeteccao de anomalias.

Atraves dos estudos realizados e da implementacao desenvolvida, e possıvel dizerque as wavelets tem se mostrado adequadas para a caracterizacao de trafego de rede nadeteccao de anomalias, principalmente no que diz respeito a reducao das taxas de deteccaode falsos positivos. A variedade de filtros wavelets permite uma rica aplicacao na deteccaode anomalias, visto que cada filtro se mostra melhor para determinado tipo de anomaliaou para um determinado atributo da rede.

A implementacao desenvolvida tras a abordagem de wavelets para retirada deruıdos e a deteccao de anomalias por meio de uma margem de erro. A implementacaotrouxe excelentes resultados na deteccao de verdadeiros positivos, ou seja, intervalos con-siderados anomalos pela analise implementada, e que sao realmente anomalos. Porem, hauma taxa nao satisfatoria de deteccao de falsos positivos. Para melhorar essas taxas, epossıvel a utilizacao das wavelets para reducao de falsos positivos, assim como Dalmazoet al. [11] desenvolveram em sua pesquisa.

A partir da realizacao deste trabalho, espera-se contribuir para o estado da artena area de gerencia de redes, auxiliar de alguma maneira futuros pesquisadores da area.

Como plano futuro, este projeto pode obter uma continuidade, aliando vantagensdas wavelets com outras teorias, a fim de melhorar a precisao na deteccao de anoma-lias, bem como agilizar e/ou facilitar o processo de caracterizacao do trafego de umarede. Tambem e possıvel que sejam realizados outros testes, a fim de encontrar melhoresintervalos de agrupamentos de dados, a utilizacao de mais dimensoes (atributos) paracaracterizar a rede, outras metricas para avaliar a coerencia do DSNSF com o trafego quese quer analisar, diferentes filtros wavelets, enfim, um universo de opcoes e caracterısticasa serem exploradas. As wavelets possuem um diferencial quanto a diminuicao de falsos po-sitivos, esta caracterıstica pode ser explorada com mais profundidade, ja que as waveletssao ferramentas de ampla aplicacao e com varios caminhos e serem explorados.

71

REFERENCIAS

[1] BHUYAN, M.; BHATTACHARYYA, D.; KALITA, J. Network anomaly detection:Methods, systems and tools. In: Communications Surveys Tutorials. [S.l.: s.n.],2014. v. 16, n. 1, p. 303–336. ISSN 1553-877X.

[2] O que e DoS e DDoS? Disponıvel em: ”⟨http://canaltech.com.br/o-que-e/o-que-e/O-que-e-DoS-e-DDoS/⟩”.

[3] PERLIN, T. J.; NUNES, R. C.; KOZAKEVICIUS, A. de J. Deteccao de Anomaliasem Redes de Computadores atraves de Transformadas Wavelets. 2011, 2-15 p.

[4] DALLAS, G. Wavelets for Dummies: Signal Processing, Fourier Transforms andHeisenberg. 2014. Disponıvel em: ”⟨https://georgemdallas.wordpress.com/2014/05/14/wavelets-4-dummies-signal-processing-fourier-transforms-and-heisenberg/⟩”.

[5] HAAR Wavelet. Disponıvel em: ”⟨https://commons.wikimedia.org/wiki/File:Haar wavelet.svg⟩”.

[6] DOCUMENTATION, M. Introduction to Wavelet Families. Disponıvel em: ”⟨https://www.mathworks.com/help/wavelet/gs/introduction-to-the-wavelet-families.html?requestedDomain=www.mathworks.com⟩”.

[7] DAINOTTI, A.; PESCAPE, A.; VENTRE, G. Nis04-1: Wavelet-based detection ofdos attacks. In: IEEE Globecom 2006. [S.l.: s.n.], 2006. p. 1–6. ISSN 1930-529X.

[8] LU, W.; TAVALLAEE, M.; GHORBANI, A. A. Detecting network anomaliesusing different wavelet basis functions. In: Communication Networks and ServicesResearch Conference, 2008. CNSR 2008. 6th Annual. [S.l.: s.n.], 2008. p. 149–156.

[9] GAO, J. et al. Anomaly detection of network traffic based on wavelet packet. In:2006 Asia-Pacific Conference on Communications. [S.l.: s.n.], 2006. p. 1–5. ISSN2163-0771.

[10] SALAGEAN, M. Real network traffic anomaly detection based on analyticaldiscrete wavelet transform. In: Optimization of Electrical and Electronic Equipment(OPTIM), 2010 12th International Conference on. [S.l.: s.n.], 2010. p. 926–931.ISSN 1842-0133.

[11] DALMAZO, B. L. et al. Filtro de Alarmes de Anomalias atraves de Wavelets. 2009,85-100 p.

[12] LIMTHONG, K.; WATANAPONGSE, P.; KENSUKE, F. A wavelet-based anomalydetection for outbound network traffic. In: Information and TelecommunicationTechnologies (APSITT), 2010 8th Asia-Pacific Symposium on. [S.l.: s.n.], 2010.p. 1–6.

[13] KANARACHOS, S. et al. Anomaly detection in time series data using a combinationof wavelets, neural networks and hilbert transform. In: Information, Intelligence,Systems and Applications (IISA), 2015 6th International Conference on. [S.l.: s.n.],2015. p. 1–6.

http://canaltech.com.br/o-que-e/o-que-e/O-que-e-DoS-e-DDoS/

http://canaltech.com.br/o-que-e/o-que-e/O-que-e-DoS-e-DDoS/

https://georgemdallas.wordpress.com/2014/05/14/wavelets-4-dummies-signal-processing-fourier-transforms-and-heisenberg/

https://georgemdallas.wordpress.com/2014/05/14/wavelets-4-dummies-signal-processing-fourier-transforms-and-heisenberg/

https://commons.wikimedia.org/wiki/File:Haar_wavelet.svg

https://commons.wikimedia.org/wiki/File:Haar_wavelet.svg

https://www.mathworks.com/help/wavelet/gs/introduction-to-the-wavelet-families.html?requestedDomain=www.mathworks.com



72

[14] ALENCAR, M. A. d. S. Fundamentos de Redes de Computadores. 2010. Disponıvelem: ”⟨http://www.xilinx.com/fpga/index.htm⟩”.

[15] ALMEIDA, J. M. F. d. Breve Historia da Internet. 2005. Disponıvel em:”⟨http://repositorium.sdum.uminho.pt/bitstream/1822/3396/1/INTERNET.pdf⟩”.

[16] CARDOSO, W. F. J. A Banalizacao da Espionagem. 2016. Disponıvel em: ”⟨http://www.defesanet.com.br/inteligencia/noticia/21560/A-Banalizacao-da-Espionagem-/⟩”.

[17] CARVALHO, L. F. Metaheurıstica Ant Colony Optimization e Analise de Fluxos IPAplicados a Deteccao de Anomalias e a Gerencia de Redes. 2014. Disponıvel em:”⟨http://www.bibliotecadigital.uel.br/document/?view=vtls000189801⟩”.

[18] NAKAMURA, E. T.; GEUS, P. L. d. Seguranca de Redes. 2004, 1-6 p. EditoraFutura.

[19] ABREU, F. R.; PIRES, H. D. Gerencia de Redes. Disponıvel em: ”⟨http://www.midiacom.uff.br/∼debora/redes1/pdf/trab042/SNMP.pdf⟩”.

[20] FERNANDES, G. J. Caracterizacao de trafego e deteccao de anomalias utilizando aanalise de componentes principais e fluxos IP. 2014.

[21] HAMAMOTO, A. H. Aplicacao de Algoritmos Geneticos para Auxiliar na Gerenciade Redes. 2014. Disponıvel em: ”⟨http://www.uel.br/cce/dc/wp-content/uploads/TCC-AndersonHamamoto-BCC-UEL-2014.pdf⟩”.

[22] BRASIL, C. G. da Internet no. Cartilha de Seguranca para Internet. [S.l.]: CERT.br4th ed., 2012.

[23] SOUZA, J. A. M. F. de. Analise de Sinais. 2010. Disponıvel em: ”⟨http://webx.ubi.pt/∼felippe/main pgs/mat didp.htm⟩”.

[24] LOURENCO, E. J. Transformada de Fourier: Teoria como base para Aplicacoes emMecanica Celeste. 2014. Disponıvel em: ”⟨http://repositorio.unesp.br/bitstream/handle/11449/123156/000829551.pdf?sequence=1⟩”.

[25] LIMA, P. C. de. Wavelets: Uma Introducao. 2003. ICEX - UFMG.

[26] CHUI, C. K. An Introduction to Wavelets. [S.l.]: Academic Press, 1992.

[27] DAUBECHIES, I. Ten Lectures on Wavelets. [S.l.]: Philadelphia: SIAM, 1992.

[28] SANTOS, D. T. dos. Compressao de Imagens Usando a Funcao de Peano e aTransformada Wavelet 1D. 2012. Disponıvel em: ”⟨https://repositorio.ufrn.br/jspui/bitstream/123456789/12973/1/DanielTS DISSERT.pdf⟩”.

[29] SABLON, V. I. B.; MENDEZ, L. R.; IANO, Y. A Transformada Waveletno Processamento e Compressao de Imagens. 2000. Disponıvel em: ”⟨http://www.revista.unisal.br/sj/index.php/123/article/download/33/48⟩”.

[30] MARTINS, F. C.; SAKANE, F. T.; FERNANDES, D. A Transformada Wavelet eFuncao de Ambiguidade em Deteccao de Sinais de Radar e Sonar. 1996. Disponıvelem: ”⟨http://www.eletrica.ufpr.br/anais/sbrt/SBrT14/SBrT 1996v2 068.pdf⟩”.

http://www.xilinx.com/fpga/index.htm

http://repositorium.sdum.uminho.pt/bitstream/1822/3396/1/INTERNET.pdf

http://www.defesanet.com.br/inteligencia/noticia/21560/A-Banalizacao-da-Espionagem-/



http://www.bibliotecadigital.uel.br/document/?view=vtls000189801

http://www.midiacom.uff.br/~debora/redes1/pdf/trab042/SNMP.pdf

http://www.midiacom.uff.br/~debora/redes1/pdf/trab042/SNMP.pdf

http://www.uel.br/cce/dc/wp-content/uploads/TCC-AndersonHamamoto-BCC-UEL-2014.pdf

http://www.uel.br/cce/dc/wp-content/uploads/TCC-AndersonHamamoto-BCC-UEL-2014.pdf

http://webx.ubi.pt/~felippe/main_pgs/mat_didp.htm

http://webx.ubi.pt/~felippe/main_pgs/mat_didp.htm

http://repositorio.unesp.br/bitstream/handle/11449/123156/000829551.pdf?sequence=1

http://repositorio.unesp.br/bitstream/handle/11449/123156/000829551.pdf?sequence=1

https://repositorio.ufrn.br/jspui/bitstream/123456789/12973/1/DanielTS_DISSERT.pdf

https://repositorio.ufrn.br/jspui/bitstream/123456789/12973/1/DanielTS_DISSERT.pdf

http://www.revista.unisal.br/sj/index.php/123/article/download/33/48

http://www.revista.unisal.br/sj/index.php/123/article/download/33/48

http://www.eletrica.ufpr.br/anais/sbrt/SBrT14/SBrT_1996v2_068.pdf

73

[31] VILANI, M. T.; SANCHES, L. Analise de Fourier e Wavelets Aplicada aTemperatura do Ar em Diferentes Tipologias de Ocupacao. 2013, 1340–1346 p.Disponıvel em: ”⟨http://www.scielo.br/pdf/rbeaa/v17n12/v17n12a13.pdf⟩”.

[32] LOTZE, T.; SHMUELI, G.; MURPHY, S. A Wavelet-based Anomaly Detector forEarly Detection of Disease Outbreaks. [S.l.]: Pittsburgh, 2006. Disponıvel em: ”⟨http://web.engr.oregonstate.edu/∼wongwe/workshops/icml2006/papers/lotze.pdf⟩”.

[33] HUANG, C. T.; THAREJA, S.; SHIN, Y. J. Wavelet-based real time detection ofnetwork traffic anomalies. In: Securecomm and Workshops, 2006. [S.l.: s.n.], 2006.p. 1–7.

[34] NOVAKOV, S. et al. Studies in applying pca and wavelet algorithms for networktraffic anomaly detection. In: High Performance Switching and Routing (HPSR),2013 IEEE 14th International Conference on. [S.l.: s.n.], 2013. p. 185–190. ISSN2325-5552.

[35] CALLEGARI, C. et al. Combining wavelet analysis and CUSUM algorithmfor network anomaly detection. In: 2012 IEEE International Conference onCommunications (ICC). [S.l.: s.n.], 2012. p. 1091–1095. ISSN 1550-3607.

[36] CALLEGARI, C. et al. Combining sketches and wavelet analysis for multi time-scalenetwork anomaly detection. Computers & Security, v. 30, n. 8, p. 692 – 704, 2011.ISSN 0167-4048. Disponıvel em: ⟨http://www.sciencedirect.com/science/article/pii/S0167404811001064⟩.

[37] SHELUHIN, O. I.; PANKRUSHIN, A. V. Measuring of reliability of networkanomalies detection using methods of discrete wavelet analysis. In: Science andInformation Conference (SAI), 2013. [S.l.: s.n.], 2013. p. 393–397.

[38] ALARCON-AQUINO, V.; BARRIA, J. A. Anomaly detection in communicationnetworks using wavelets. IEE Proceedings - Communications, v. 148, n. 6, p.355–362, Dec 2001. ISSN 1350-2425.

[39] GAUCINISKI, J. Estudo das Transformadas Wavelets para Utilizacao emReconhecimento e Classificacao de Comandos de Voz. 2009. UNISC.

[40] CACHONIS, L. T.; PACHECO, M. T. T. Analise da Retirada de Ruıdo pelo Metodode Wavelet Thresholding. 2005. UNIVAP.

[41] AREDES, B. A. R. Tecnicas de Wavelet Thresholding Aplicadas no Processo deDenoising de Imagens Digitais. 2009. PUC-MG.

[42] DALMAZO, B. L. et al. Filtro de Alarmes de Anomalias atraves de Wavelets. 2009,85-100 p.

[43] AZEVEDO, R. P. Deteccao de Ataques de Negacao de Servico em Redes deComputadores Atraves da Transformada Wavelet 2D. 2012. UFSM.

[44] BARBETTA, P. A.; REIS, M. M.; BORNIA, A. C. Estatıstica para Cursos deEngenharia e Informatica. 2004. Atlas.

http://www.scielo.br/pdf/rbeaa/v17n12/v17n12a13.pdf

http://web.engr.oregonstate.edu/~wongwe/workshops/icml2006/papers/lotze.pdf

http://web.engr.oregonstate.edu/~wongwe/workshops/icml2006/papers/lotze.pdf

http://www.sciencedirect.com/science/article/pii/S0167404811001064

http://www.sciencedirect.com/science/article/pii/S0167404811001064

74

[45] POLI, A. A.; CIRILLO, M. C. On the use of the normalized mean square errorin evaluating dispersion model performance. Atmospheric Environment. Part A.General Topics, v. 27, n. 15, p. 2427 – 2434, 1993. ISSN 0960-1686. Disponıvel em:⟨http://www.sciencedirect.com/science/article/pii/096016869390410Z⟩.

[46] JACOBS, W. Modelos de Suavizacao Exponencial, Arima e Redes NeuraisArtificiais: Um Estudo C]omparativo Para a Previsao de Demanda de Produtos,howpublished = UNIVATES, year=2011,.

[47] SILVA, V. R. V. G. da. Algoritmos para Reduccao de Ruıdo em sinais de Audio.2007. UFRJ.

[48] PIFER, A. C.; CAMPOS, C. F. P. de S.; CAMPOS, A. L. P. de S. Aplicaccao deWavelets para Remocao de Ruıdo em Sinais Unidimensionais. In: Holos. [S.l.: s.n.],2008. v. 1, n. 24, p. 131–140.

[49] KOZAKEVICIUS, A. de J.; BAYER, F. M. Filtragem de Sinais via Limiarizacao deCoeficientes Wavelet. In: Revista do Centro de Ciencias Naturais e Exatas. [S.l.:s.n.], 2014. v. 36, p. 37–51. ISSN 0100-8307.

[50] MELLO, M. P. and PETERNELLI, L. A. Conhecendo o R Uma Visao mais queEstatıstica. 2013. Editora UFV.

[51] ALDRICH, E. Package wavelets. 2015. Disponıvel em: ”⟨https://cran.r-project.org/web/packages/wavelets/wavelets.pdf⟩”.

[52] AREDES, B. A. R. Tecnicas de Wavelet Thresholding Aplicadas no Processo deDenoising de Imagens Digitais. 2009. PUC-MG.

[53] ASSIS, M. V. O. de; JR., M. L. P. Scorpius: sFlow Network Anomaly Simulator.2015, 662-674 p. Disponıvel em: ”⟨http://thescipub.com/abstract/10.3844/jcssp.2015.662.674⟩”.

http://www.sciencedirect.com/science/article/pii/096016869390410Z

https://cran.r-project.org/web/packages/wavelets/wavelets.pdf

https://cran.r-project.org/web/packages/wavelets/wavelets.pdf

http://thescipub.com/abstract/10.3844/jcssp.2015.662.674

http://thescipub.com/abstract/10.3844/jcssp.2015.662.674

CINARA BRENDA ZERBINI - UEL · CINARA BRENDA ZERBINI WAVELETS PARA AUXILIAR NA GERENCIA DE REDES^...

Documents

Transcript of CINARA BRENDA ZERBINI - UEL · CINARA BRENDA ZERBINI WAVELETS PARA AUXILIAR NA GERENCIA DE REDES^...