438
IEEE LATIN AMERICA TRANSACTIONS, VOL. 7, NO. 4, AUG. 2009
Forecasting for Return on Security Information
Investment: New Approach on Trends in Intrusion
Detection and Unwanted Internet Traffic
E. Pontes, A. Guelfi and E. Alonso
Abstract— The methods used to determine the Return on
Security Investment (ROSI) concern historic incidents’ analysis,
cost avoidance resulting from resistance, recognition and
reconstitution efforts. Although some ROSI methods consider
security incidents’ likelihood, they don’t approach studies about
forecasts and trends of incidents or unwanted events. Likewise
other sciences (seismology, meteorology, vulcanology, and
economics) in which extent efforts are done for forecasts,
information technology and information security may analyze
tendencies, as Internet traffic and intrusion detection trends. The
aim of this paper is to show a forecasting approach which could be
aggregated to common ROSI methods. In this study, forecasting
approach is based on two trend techniques: moving averages and
Fibonacci sequence – for security incidents with intrusion detection
system (IDS) and unwanted Internet traffic. Tests applied over two
datasets (DARPA, KDD), with an IDS, showed that the employed
techniques define incidents trends; therefore, forecasting approach
may be complementary to ROSI methods.
Keywords— Fibonacci sequence, forecasting, intrusion
detection, moving average, Return on security investment
(ROSI), unwanted Internet traffic.
O
I. INTRODUÇÃO
s métodos comumente usados para se medir o Retorno de
Investimento em Segurança da Informação (ROSI) estão
baseados na idéia de que séries históricas de incidentes que
foram problema às taxas de produtividade, por exemplo, às
organizações [1]. O ROSI também está fundamentado nos
custos de evitação resultante dos esforços da resistência,
reconhecimento e reconstituição para a infra-estrutura de
Tecnologia da Informação (TI) [2], e abalizados na
Expectativa de Perda Anual (EPA) e no número de incidentes
[2-4].
Apesar dos métodos usuais de ROSI consideram a
probabilidade de incidentes (EPA), não existem abordagens
sobre previsões nem tendências de eventos não desejados,
como o tráfego Internet não desejado (UIT).
Simpósios e workshops têm sido realizados quanto à
questão de UIT, como o promovido pelo Comitê de
Arquitetura da Internet (IAB), em março de 2006 e abril
E. Pontes, Instituto de Pesquisas Tecnológicas de São Paulo (IPT), São
Paulo, Brasil, [email protected].
A. E. Guelfi, Instituto de Pesquisas Tecnológicas de São Paulo (IPT) e
Laboratório de Pesquisas de Sistemas Integrados da Escola Politécnica de São
Paulo (LSI – EPUSP), São Paulo, Brasil, [email protected].
E. E. Alonso, Laboratório de Pesquisas de Sistemas Integrados da Escola
Politécnica de São Paulo (LSI – EPUSP), São Paulo, Brasil,
[email protected].
2008[5]: a intenção foi compartilhar informações entre
pessoas de diferentes campos e organizações, favorecendo a
troca de experiências, perspectivas e idéias entre as diversas
comunidades de pesquisa. Como resultado, a Requisição por
Comentários (RFC) 4948 [6] detalha os tipos de UIT, as
causas principais, soluções existentes e as ações a serem
tomadas em curto e longo prazo. Foi decidido nessa
conferência que alguns dos tópicos de pesquisa sobre UIT
seriam gerenciados pela IAB, pela Força Tarefa de Engenharia
Internet (IETF) e pela Força Tarefa de Pesquisa em Internet
(IRTF). Outro importante evento para discutir os problemas e
apresentar novas soluções para este tipo de tráfego foi o
“Steps to Reducing Unwanted Traffic on the Internet” [7].
As taxas de tráfego permitem concluir que há um aumento
de UIT (tráfego não requisitado, sem utilidade, desconhecido e
por muitas vezes ilegítimo): é um fato para a Internet
atualmente [8]. O Instituto de Segurança de Computadores
(CSI) publicou um estudo nos Estados Unidos sobre as perdas
relativas ao UIT: fraudes, vírus, worms, spyware, intrusões e
spam causaram cerca de US$ 66 milhões de prejuízos em 194
organizações [9]. Os Provedores de Serviço Internet (ISP)
americanos reportaram em 2006 perdas de aproximadamente
US$ 245 milhões, devidos worms na Internet [10].
O Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurança no Brasil (CERT.br) reportou cerca de 60051
incidentes na Internet somente no primeiro semestre de 2008.
É importante que se note que nem todos os incidentes de
Internet são reportados ao CERT.br. Algumas das novas
soluções para se evitar intrusões e UIT se referem a mudanças
complexas, devido às adaptações da infra-estrutura da Internet
[11].
Muitas das perdas causadas pelas intrusões e UIT são
devidas à ineficiência das técnicas atuais (como anti-spam,
anti-virus, antispyware, IDS, IDP, Firewall), tanto para
detecção e prevenção de intrusões, ou para tratar o UIT. Além
disso, as altas taxas de falsos positivos e a falta de abordagens
de previsões de tendências são algumas das razoes do aumento
de intrusões e UIT.
Técnicas de previsão são usadas, por exemplo, na
Meteorologia: se uma tendência mostrar a possibilidade de um
furacão na próxima semana é possível decidir se é prudente,
ou não, carregar um guarda-chuva, ou evacuar uma cidade.
Previsões antecipam tendências futuras, dando suporte ao
processo de tomada de decisões, tanto automatizadas ou não.
Similarmente às outras ciências, as previsões podem
mostrar tendências e o momento para investimentos em
controles de Segurança da Informação (SI). Uma tendência
PONTES et al.: I2TS 01 FORECASTING FOR RETURN
futura, mostrando aumento de incidentes e UIT, pode
influenciar as decisões quanto à adoção dos controles de
segurança (por exemplo: regras no IDS combinadas com
regras num firewall) antes dos incidentes acontecerem e de
acordo com as necessidades, ou recursos disponíveis.
A decisão por aumentar os controles de SI para detecção de
UIT pode implicar em maior processamento (overhead), uso
de mais energia elétrica, necessidade de redundância de
servidores, mais tempo para implementar soluções e assim por
diante. A referência [2] corrobora a idéia quanto ao emprego
de controles de SI somente de acordo com as necessidades. A
referência [2] implementou um modelo de análise de custobenefício para IDS, concluindo sobre o emprego e
investimento em controles de SI somente no momento
necessário (Just in time). De acordo com [1], [3-4],
investimento pode ser o comprometimento de algo além que
dinheiro (tempo, energia, ou esforços) a um projeto com a
expectativa de receber algo lucrativo.
O principal objetivo deste estudo é mostrar uma
abordagem de análise de previsões, a qual pode incrementar os
métodos de ROSI. A análise de previsões é aplicada para
detecção de intrusão e UIT, por meio de duas técnicas para
identificação de tendências: sequência de Fibonacci e médias
móveis. Este artigo está organizado da seguinte maneira: o
estado da arte é exibido na próxima seção, mostrando
conceitos comuns usados para o ROSI, IDS e tráfego Internet.
A descrição detalhada da análise de previsões é mostrada na
seção 3. A seção 4 contém o resultado final, obtido pelo uso
da análise de previsões, as vantagens e algumas dificuldades
quanto esta abordagem. A seção 5 resume as conclusões e
sugestões para novos estudos.
II. ESTADO DA ARTE
A. Tráfego Internet não Desejado (UIT)
A expressão “tráfego não desejado” foi primeiramente
introduzida nos anos oitenta, estando sempre relacionada à
atividade maliciosa, como worms, intrusões e ataques [8].
A referência [12] define UIT como tráfego não produtivo e
desnecessário, com conteúdo malicioso (vírus) e benigno
(configuração errada de roteadores). A referência [13]
completa esta definição: UIT pode ser resultado de ruído na
rede de dados. A Referência [14] classifica UIT como
malicioso, ou desnecessário, com o objetivo de comprometer
hosts vulneráveis., espalhar código malicioso, espalhar spam,
DoS e DDoS. UIT pode ser também tráfego dos tipos anômalo
(junk e background).
Ataques na Internet evoluem rapidamente, com UIT
(phishing, spam, DDoS) aumentando de forma contínua. Tal
UIT pode ser notada em diversos protocolos (IP, TCP, DNS,
BGP, e HTTP) e aplicações (email, Web), com uma
motivação econômica dando suporte a estes ataques.
No entanto, é importante classificar o que é UIT ou não:
VoIP (Skype), conexão ponto a ponto (P2P), mensageiros
(MSN, Google talk, ICQ), redes sociais. Classificações
diversas podem acontecer de uma organização para outra, de
439
um usuário para outro, ou de um país para outro. A China, por
exemplo, não permite chamada de SkypeOut para telefones.
Outro exemplo é um roteador em um ISP e o roteador em uma
pequena empresa: UIT é diferentemente classificado nos dois
casos.
B. ROSI – Uma Abordagem para UIT [2]
1) ROSI – Modelo de Análise Custo-Benefício [2]
Este modelo foi desenvolvido para combater intrusões e
UIT por meio de um IDS, considerando a efetividade e custo
dos controles. A maioria dos métodos atuais de ROSI se refere
ao estudo de [2] como uma das bases do ROSI [3-4].
Segundo [2], a análise da efetividade dos custos dos
controles de SI é o primeiro passo para se fazer a análise de
custo benefício em um ambiente de TI. Então, a maior
intenção de [2] foi construir um modelo de custo-benefício,
baseado na investigação dos fatores de custo e categorização
de variáveis de ambiente. A proposta poderia ser usada tanto
para estimativas quantitativas, quanto para custos qualitativos,
para se determinar a melhor escolha controles, com
efetividade dos custos.
Esta metodologia necessita de uma prévia Análise de
Riscos (AR) para se definir o escopo e as necessidades de
controles de SI para os ativos da organização, tendo em conta
os valores e vulnerabilidades de cada ativo e as ameaças
relevantes. Por último, a metodologia inclui a probabilidade
sobre a ocorrência dos incidentes – quando os risos se tornam
impactos para a organização. Este prognóstico deve ser
gerenciado e controlado. Então, a EPA é calculada.
A análise de custo-benefício é o próximo passo:
funcionando como uma ferramenta para o IDS, ajudando a se
determinar se o IDS adota, ou não, controles para impedir o
UIT. De acordo com [2], não é recomendado se empregar uma
postura extremamente restritiva, já que o custo de tal postura
será maior que o benefício a ser auferido.
Os fatores de custo são determinados pela AR e divididos
como custos por danos, custos operacionais e custos de
resposta. Assim, estes custos são combinados para se
determinar o custo total de cada intrusão ou UIT.
Os custos por danos representam o montante máximo de
danos que um ataque (UIT) pode causar a um ativo, quando o
IDS e outros controles não são efetivos. O custo de resposta
são as ações tomadas contra o UIT, incluindo ações de
bloqueio do UIT para reduzir danos. Estas ações, ou controles,
devem ser definidas na AR, de acordo com as ameaças
mapeadas. Custo operacional é processamento do fluxo de
eventos que é monitorado e analisado pelo IDS.
Após a definição dos fatores de custo, os valores de custo
podem ser obtidos na execução da AR, de forma a se
preencher uma matriz de custo. Finalmente, o modelo de custo
pode ser aplicado (1):
N
Custo _ total (e) = ∑ (CustoC + CustoOper (e))
i=1
(1) [2]
Onde o Custo_total(e) é o custo total, N é o número do
evento e CustC é o custo consequente para o prognóstico do
evento UIT e para o IDS, o qual é determinado pelo custo por
440
IEEE LATIN AMERICA TRANSACTIONS, VOL. 7, NO. 4, AUG. 2009
danos e custo de resposta. CustoOper(e) é o custo operacional
para o evento.
Existem cinco tipos de prognósticos:
a)
b)
c)
d)
e)
FN (falso negativo)
VP (verdadeiro positivo)
FP (falso positivo)
VN (verdadeiro negativo)
Sem classificação
Então, criou-se o modelo para analisar múltiplos hosts (2):
Custo _ total (e) =
N
H
i =1
j =1
∑ (∑ Custo _ Dano (i) + Custo _ Re s(e) + CustoOper (e))
(2) [2]
H é o número de hosts atacados.
O modelo de custo pode ser implementado no contexto de
um IDS de acordo com o ilustrado pela Fig. 1:
Figura 1. Modelo de Custo [2]
De acordo com a Fig. 1, o Servidor de Mensagens coleta os
dados de outras ferramentas, manuseando as mensagens,
verificando o UIT e os logs de mensagens. Se um UIT ocorrer,
o Servidor de Mensagens reporta o UIT, estado, ativo atacado
e outras informações importantes para o Modelo de Custo. O
Modelo de Custo analisa a informação e calcula o custo,
comparando com outras alternativas, Então, uma mensagem é
enviada ao Servidor de Mensagens. Se o custo para responder
o UIT é maior que o benefício, o Servidor de Mensagens
etiqueta o a informação recebida, mas não a envia de volta
para o Servidor de Alerta. Caso contrário, a informação é
enviada ao Servidor de Alertas e ao Servidor de Respostas, a
mensagem pode ser mostrada em vídeo, o Servidor de
Respostas pode agir conforme as recomendações do Modelo
de Custo.
Este modelo ainda não foi testado extensivamente para ser
usado em aplicações comerciais. Adicionalmente à
modelagem de custo e às funções de detecção de UIT, a
função de respostas é muito importante para a um IDS
baseado em rede. Com um modelo de custo e um sistema de
resposta automática, o IDS baseado em rede pode tanto
detectar UIT, quanto decidir se é vantajoso deter o UIT. Se for
vantajoso bloquear o UIT, o IDS baseado em rede pode
automaticamente empregar os controles. Este modelo não
considera previsões para UIT.
2) ROSI – Governo Australiano [3]
Este método usa diversas abordagens para se obter o custobenefício de controles de SI. Então, propõem-se uma
ferramenta híbrida, combinando a EPA [2] com o Padrão
Australiano de Avaliação de Riscos e Ameaças [15-17]. A
ferramenta híbrida tem também uma extensão à análise
estatística de “Monte Carlo” (em planilhas eletrônicas) para se
estimar possíveis variações randômicas do custo-benefício –
como os incidentes de segurança variam randomicamente na
sua taxa de ocorrência e em sua severidade [3]. O modelo de
“Monte Carlo” permite a variação de um ou mais parâmetros
de um modelo complexo, re-executando os cálculos diversas
vezes e, por último, analisando a faixa dos resultados de saída.
O método também transforma julgamentos qualitativos de
probabilidade e severidade em estimativas quantitativas de
EPA, com e sem segurança. A Fig. 2 apresenta a sequência de
passos para se usar o modelo [3]. Cada passo tem uma
planilha eletrônica para ser preenchida, com algumas
definições qualitativas simples e algumas equações para
transformar critérios qualitativos em quantitativo.
Apesar do modelo [3] ser fácil de implementar, existem
algumas limitações, conforme segue:
a) Difícil de separar os efeitos dos controles de SI;
b) Fontes randômicas restritas;
c) Difícil de se prever como os controles de SI afetam a
questão da severidade;
d) Incidentes de segurança não são necessariamente
independentes;
e) Difícil de se implementar em sistemas de tempo real;
Figura 2. Modelo de ROSI GCIO
Este modelo não considera previsões para UIT.
3) ROSI – Carnegie Mellon e Departamento de Segurança
Americano [4]
Os objetivos deste método são fazer uma estimativa
concreta sobre o ROSI quando não se tem dados reais no
número de incidentes e fazer uma avaliação consistente dos
impactos de incidentes individualmente. De acordo com [4],
as economias do ROSI podem ser divididas por custo. Tendose como base o ROI, então o ROSI pode ser obtido por (3):
PONTES et al.: I2TS 01 FORECASTING FOR RETURN
ROSI =
Economia
Custo
441
(3) [4]
Economia é o custo de evitação resultante da resistência,
reconhecimento e esforços de reconstituição. Custos incluem a
preparação e o custo com incidentes. Custos de incidente são
custos com organização (arrumação), perda de oportunidade, e
impactos críticos na infra-estrutura. Este modelo faz
estimativa se o ROSI será recuperado quando o número de
incidentes esperados é baixo; se para um alto número de
incidentes, qual serão os fatores mínimos necessários para
completa recuperação do ROSI; se existe um esquema
equitativo para compartilhamento dos custos de segurança
entre projetos, organizações e governo; e, finalmente, quais
são as linhas guias para a colaboração entre o setor público e
privado para o compartilhamento dos custos. O método é
dividido em três fases diferentes, com passos distintos para
cada um:
a) ROSI 1
Economia = (Economia de Resistência + Economia de
Reconhecimento + Economia de Reconstituição)
(4) [4]
Custo = (Total Preparação + Total Organização + Total
Perda de Oportunidade + Total Impacto Infra-estrutura
Crítica)
(5) [4]
b) ROSI 2
Economia = (Custo Total Incorrido – Custo com Evitação)
(6) [4]
Custo = (Preparação + Custo com Evitação)
(7) [4]
c) ROSI 3
Economia = (Custo total incorrido)
(8) [4]
Custo = (Preparação + Custo com Evitação)
(9) [4]
Cada uma das variáveis de custo e economia, para ROSI 1,
ROSI 2 e ROSI 3, têm uma longa definição e diversos
cálculos para se alcançar o valor correspondente. O objetivo
deste artigo não é descrever tal procedimento. Maiores
detalhes quanto a esse método podem ser encontrados em [4].
Devido ao longo processo de análise para a definição e
cálculo de cada uma das variáveis, este método pode não ser
efetivo em sistemas de tempo real. Este método não considera
previsões para UIT.
4) ROSI – Sociedade Britânica de Computação [1]
Para esta abordagem, as estimativas de ROSI têm relação
direta com as taxas de produtividade [1]. A determinação do
ROSI esperado envolve a análise da exposição ao risco e o
quanto os controles mitigarão o risco. Como nem todos os
incidentes de segurança não são rastreados pela maioria das
organizações, o histórico de incidentes é um item não tão
importante nesta abordagem quanto nas outras.
Um ROSI significativo pode ser calculado ao se focar no
impacto que a segurança tem sobre a produtividade. A perda
de produtividade devida aos incidentes de segurança pode ter
um sério impacto em pontos decisivos de lucratividade. Para
muitas organizações o custo de perda de produtividade
associado com os incidentes de segurança é bem maior que o
custo da recuperação dos dados ou reparação de sistemas,
como mostrado em (10):
ROSI =
Re torno _ Esperado − Costo _ investmento
Cost _ investmento
(10) [1]
O problema com esta abordagem é que é impossível se
isolar os impactos de segurança sobre a produtividade de
outros fatores (como baixa performance). Se um levantamento
de custos é corretamente construído, haverá uma forte
correlação entre o levantamento dos dados e a performance
financeira. Especificamente, se um departamento mostra a
diminuição do tempo de manutenção, há possibilidade de
mostrar também um aumento da produtividade nos balanços
internos. Entretanto, com um levantamento, pesquisa criteriosa
e com um sistema de pontuação de produtividade, combinados
com medições externas (auditoria externa) de valor
proprietário, pode ser possível se determinar o a exposição ao
risco de maneira repetitiva e consistente.
A exposição ao risco é determinada pela perda de
produtividade devida às questões de segurança. Esta
abordagem assume que desastres sérios são difíceis de
quantificar todos os dias, enquanto incidentes diários criam
um montante significante de perda agregada. Ao se resolver a
questão dos incidentes diários, obtém-se retornos reais e a
melhora da segurança ao mesmo tempo. Obtém-se também o
efeito colateral de se prevenir dos desastres maiores. Esta
abordagem não considera previsões de tendências para UIT.
C. Previsões – Médias Móveis
Como o próprio nome diz e de acordo com [18], as médias
móveis são as médias de dados históricos em certo período,
normalmente exibidos em gráficos.
Tendências definidas por médias móveis projetam valores
no período que se deseja prever, baseando-se no valor médio
de variável durante um número de períodos anteriores. Uma
média móvel fornece informações de tendência que uma
média simples poderia mascarar, quando se consideram dados
históricos. Cada valor de previsão é como em (11):
F( t +1) =
1
N
N
∑A
i =1
t − i +1
(11) [18]
As médias móveis podem ser simples, como em (11),
ponderadas,
simples
exponenciais,
ou
ponderadas
exponenciais. As médias móveis podem ser também centrais:
em alguns casos é vantajoso evitar a troca introduzida pelo uso
de dados passados, então uma média central pode ser
computada, usando tanto dados passados quanto dados
futuros. Os dados futuros nesse caso não são predições, mas
442
IEEE LATIN AMERICA TRANSACTIONS, VOL. 7, NO. 4, AUG. 2009
meramente dados obtidos depois de um tempo ao qual as
médias móveis são computadas.
Apesar das médias móveis não serem usadas no ROSI, as
médias móveis podem dar suporte a tais modelos devido à
característica de definição de tendências.
D. Previsões – Sequência de Fibonacci
As Referências [19-20] mencionam que as taxas de
crescimento da sequência de Fibonacci são F(n+1)/F(n), ou
seja, as taxas de crescimento tendem ao número de ouro (φ). A
sequência de Fibonacci pode ser encontrada no mundo natural,
nas composições biológicas [21], em dois ramos das árvores,
nos arranjos das folhas num tronco, nos frutos do abacaxi
[22], nas colméias de abelhas [23].
De acordo com [19], a sequência de Fibonacci e o número
de outro também são encontrados nas séries históricas do
mercado de ações, pois é similar aos elementos naturais
citados anteriormente: o mercado de ações é uma criação da
humanidade, portanto, reflete a sua natureza. Nessa linha de
raciocínio, a referência [19] publicou a teoria das ondas, que
postula sobre a psicologia dos investidores (ou psicologia
coletiva), movendo-se do otimismo para o pessimismo, e viceversa. Estes movimentos criam padrões, como o evidenciado
nos movimentos dos preços do mercado a cada grau de
tendências.
Existem duas fases diferentes na teoria das ondas: aumento
e redução. Como exibido na Fig. 3, o caminho de zero ao
número 1 é a onda 1, o caminho do número 1 ao número 2 é a
onda 2, e assim por diante.
Escala do tempo para as
ondas x Seqüência de
Fibonacci
Fases de aumento e redução,
de acordo com Eliiot
Figura 3. Fase de Aumento-Redução e Escala do Tempo para as Ondas de
Elliot
Existem 5 ondas na fase de aumento. A fase de redução é
marcada por letras. Do topo ao ponto C existem 3 ondas.
Então, são 8 ondas no ciclo completo.
Na escala do tempo da Fig. 3, do ponto A ao B, existem 5
ondas. Do topo ao final da fase de redução (e começo de um
novo ciclo) existem 3 ondas. A fração entre os seguimentos é
AB/BC = 5/3 = 1,666…
O resultado é próximo do número de ouro. Se o número de
ondas na fase crescente fosse 34 e na fase decrescente fosse
21, a fração seria 34/21 = 1,619… O resultado é mais próximo
ao número de ouro. De acordo com [19], as previsões para o
Mercado de ações são feitas pela análise do primeiro ciclo de
ondas, como exibido na Fig. 4:
Ratio
and Fraction
the
Fração
entre aamong
fase de
increasing and decreasing
aumento e redução
phase compared to the golden
comparada
com o número
ratio
de ouro
Signature
andepatterns
theonda
wave
Assinatura
padrõesofda
Figura 4. Assinatura da Onda e Relação com o Número de Ouro
As tendências podem ser identificadas quando a primeira e
as próximas ondas são reconhecidas, como uma tabela da
seqüência de Fibonacci previamente determinada. Para cada
onda, tanto na fase de aumento quanto para redução, o padrão
pode se repetir por n vezes, como um fractal [28], como se
pode perceber na Fig. 4.
A técnica de análise de previsões pode ser complementar
ao ROSI devido à característica estatística de definir
tendências.
III. ANÁLISE DE PREVISÕES PARA O ROSI
Assim como em outras ciências, a Internet é rodeada por
um grande montante de variáveis e a Internet também é um
fenômeno criado pela humanidade. Atualmente a Internet se
tornou um dos maiores fenômenos sociais da história da
humanidade.
Como se pode observar a Internet é similar ao mercado de
ações. Portanto, uma metodologia análoga para análise de
previsões foi usada para analisar as tendências para os ataques
e UIT em um IDS.
A Fig. 5 mostra o estado atual deste estudo. A metodologia
de previsões para UIT e detecção de intrusão foi
implementada para analisar a tendência de curto prazo (horas).
A Fig. 5 demonstra a análise de previsões que gera dois
gráficos com duas técnicas (sequência de Fibonacci e médias
móveis), apesar da opinião de [27] que chegou a conclusão
sobre o uso de mais de cinco técnicas de previsão para se obter
um resultado realístico das tendências futuras.
Os datasets [24-25] representam o tráfego de rede. O IDS
[26] de código aberto é a ferramenta usada para analisar o
tráfego de rede. Todos os incidentes (UIT) detectados são
gravados em um banco de dados MySQL. O modelo de
análise de previsões coleta os dados do banco de dados
MySQL, analisa a informação e então cria os gráficos de
tendências futuras, de acordo com as técnicas adotadas
(sequência de Fibonacci e médias móveis).
IV. RESULTADOS
A. Aplicando a Técnica de Médias Móveis
De acordo com o gráfico inferior da Fig. 5, as previsões
com médias móveis confirmam as tendências. Usando duas
médias, uma de 3 horas (curta) e outra de 5 horas (longa), a
fase de aumento acontece quando a média curta cruza a média
PONTES et al.: I2TS 01 FORECASTING FOR RETURN
443
longa para a parte de cima do gráfico. A fase de redução é
confirmada quando a média curta cruza a média longa para a
parte inferior do gráfico.
13 horas. Finalmente a ratificação da tendência acontece
quando a média de 8 horas cruza a média de 13 horas. A Fig.
6 ilustra o emprego da técnica de previsões com 3 médias
móveis.
Moving Average
(5, 8 e 13 hours)
Previsões
– Médias
Móveis
300
amoun
eventos
250
200
150
100
50
0
01/06/1998 9 Total
03/06/1998 13 Total
05/06/1998 12 Total
09/06/1998 17 Total
11/06/1998 16 Total
date
data
eventos
total evento
Previsões
– Sequência
de Fibonacci
Forecasting
- Fibonacci
160,00
140,00
120,00
100,00
80,00
60,00
40,00
20,00
-
100%
139,00
26/06/98 10 h
67,00
23,00
29/06/98 11 h
30/06/98 13 h
01/07/98 13 h
02/07/98 13 h
Date
Series1
data
Previsões-–Moving
Médias
Móveis
Forecasting
Averages
total even
150,00
139,00
100,00
67,00
50,00
23,00
26/06/98 10 h
29/06/98 11 h
30/06/98 13 h
Média
5
5 per. MMóvel
ov. Avg.de
(N Eventos)
horas
Média
8
8 per. MMóvel
ov. Avg.de
(N Eventos)
horas
Média
Móvel
de(N13
13 per. M
ov. Avg.
Eventos)
horas
Figura 6. Metodologia de Previsão – Médias Móveis (3, 5, 13 horas)
78,6%
61,8%
50%
38,2%
0%
N Eventos
01/07/98 13 h
02/07/98 13 h
Um importante ponto a ser observado nos padrões de UIT
nos datasets [24-25]: as tendências se movem em linha, de
acordo com a média na maioria dos casos. Assim sendo,
quando o UIT está muito acima da média, a tendência é
acontecer uma queda das taxas de ocorrência para a média
principal. Da mesma forma, se as taxas de ocorrência de UIT
estão muito abaixo da média principal, a tendência é haver um
aumento de UIT. Entretanto, como a Internet vem se tornando
a cada dia um fenômeno social cada vez maior, há a chance
que o UIT caminhe para uma tendência adjacente (não linear),
apesar dos padrões observados nos datasets [24-25].
data
Date
Series1
Média
de 3(Series1)
horas
3 per. Móvel
Mov. Avg.
Média
de 5(Series1)
horas
5 per. Móvel
Mov. Avg.
Figura 5. Modelo de Previsão e Gráficos Gerados
As medias móveis podem tanto mostrar uma tendência,
quanto confirmá-la, ou mostrar uma possível reversão da
tendência. Mesmo assim, as médias móveis também podem
apresentar atrasos, e isto pode variar dependendo do período
de médias móveis que são usados (por exemplo, 2 e 5 horas,
ou 5 e 13 horas). No entanto, estes atrasos podem ser
eliminados usando períodos menores. Tanto a agregação de
outros tipos de médias (ponderadas, exponenciais e centrais),
quanto a combinação de tipos e o uso de diferentes períodos
pode melhorar o resultado da previsão. Quanto mais longos
são os períodos da media móvel, melhor é para se definir
previsões de longo prazo, enquanto os períodos curtos nas
médias móveis são melhores para exibir as reversões de
tendências.
Ambos os processos, combinação e agregação de tipos de
médias móveis, podem também evitar atrasos e mostrar uma
previsão mais correta e realista.
Quando três médias móveis são usadas, por exemplo 5, 8 e
13 horas, a tendência é determinada em três etapas: quando a
média move de 5 horas cruza a média de 8 horas para a parte
superior do gráfico – caso da tendência de aumento – a
reversão acontece quando a média de 5 horas cruza a média de
B. Previsões com a Sequência de Fibonacci
A análise de previsões por meio da técnica de sequência de
Fibonacci é recomendada por se considerar a possibilidade de
tendências adjacentes. De acordo com [19] as previsões
obtidas por médias móveis mostram uma tendência linear,
enquanto a sequência Fibonacci pode permitir a visualização
de tendências adjacentes.
Pelo gráfico superior da Fig. 5 se pode observar o uso da
análise de previsões com a sequência de Fibonacci (baseada
nas teorias das Ondas de Elliot [19], a qual indica tendências.
As frações das séries são 61,8% e seu complemento 38,2%.
Para as expansões, foram usados os extremos 23,6% e 78,6%.
Entre 26/06/98 (dd/mm/aa) e 03/07/98, os incidentes tiveram o
menor montante – 23 – aumentaram até o maior número – 139
– e voltaram ao montante de 67 eventos (UIT), o que
representa 38,2% de correção do movimento anterior. No
entanto, nas fases de redução de UIT para 61,8% e 50% pode
ser notado que a fase de aumento é retomada, em ambos os
casos chegando próximo a 78,6%. A fase de redução de UIT
parou próxima a 61,8%.
C. Outros Resultados - Sequência de Fibonacci
Os resultados apresentados a seguir foram obtidos pela
análise empírica do UIT nos datasets [24-25]. O estudo ainda
444
IEEE LATIN AMERICA TRANSACTIONS, VOL. 7, NO. 4, AUG. 2009
está em progresso.
É possível se notar a regularidade da amplitude para tanto a
retração (fase de redução de UIT) quanto para expansão (fase
de aumento de UIT). As previsões com a sequência de
Fibonacci para UIT têm algumas diferenças se comparada
com o mercado financeiro. Uma dessas diferenças é: não
tomar em conta o total de eventos próximo a 0. Portanto, para
marcar movimento de retração (estimar momento e o montante
no qual o UIT pode reduzir) os totais de eventos próximo a 0
não são considerados, aplicando-se a técnica de previsões com
a sequência de Fibonacci do menor montante de UIT – isto
para o período a ser analisado – para o ponto de maior índice
de eventos. A Fig. 7 mostra a aplicação da previsão com a
sequência de F9ibonacci, descartando os montantes de UIT
próximos a 0.
Embora os pontos de retração sejam facilmente
reconhecidos, alguns conceitos precisam ser observados para
marcar o ponto de expansão: a adoção da estimativa de
expansão deve ser aplicada sempre após certo grau de certeza
a respeito do aumento de UIT (esta certeza pode ser obtida
pelo uso de médias móveis na mesma série histórica). As fases
de redução próximo a 0 podem ser descartadas. O primeiro
topo de aumento é interrompido pela fase de redução, sempre
limitada a 62% da fase de aumento. Mas:
1) 73% das vezes, a interrupção alcança entre 0,5 e 0,618
da fase de aumento anterior;
2) 12% das vezes a interrupção alcança 0,382 da fase
anterior de aumento;
Fibonacci
Previsões Forecasting
– Sequência
de Fibonacci
160,00
100%
events
eventos
120,00
78,60%
100,00
61,8%
50%
80,00
38,2%
1) Analisar dados em períodos mensais e trimestrais,
aplicando as mesmas técnicas;
2) Analisar outros dados históricos de IDS (UIT),
aplicando as mesmas técnicas;
3) Analisar em períodos diários, mensais e trimestrais o
tráfego de rede de pequenos gateways e à nível de backbone,
com o uso das mesmas técnicas;
4) Analisar em períodos diários, mensais e trimestrais o
UIT em outros dispositivos (anti-spam, anti-virus, anti-spies,
firewalls);
5) Combinar metodologias de análise de previsões com
outros métodos de detecção de intrusão e controle de fluxo de
tráfego de rede.
V. CONCLUSÃO
3) 15% das vezes a interrupção alcança 0,786 da fase
anterior de aumento.
140,00
ver o surgimento de um novo pivô. O número alto de UIT
(primeiro pico) é o pivô para a estimativa da tendência. O
UIT, após alcançar o topo, começa a reduzir para 38,2% do
movimento, repetindo o padrão novamente.
Os resultados alcançados, até o presente momento deste
estudo, são positivos e favoráveis a aplicação da análise de
previsões para UIT – a sequência de Fibonacci e o número de
ouro foram encontrados durante a análise do histórico de UIT
em ambos os datasets [24-25]. As próximas etapas deste
estudo são:
Series1
60,00
0%
40,00
20,00
-
09/07/98 9 h 10/07/98 14 h 13/07/98 18 h 14/07/98 18 h
tim
e
data
Figura 7. Metodologia de Previsão – Sequência de Fibonacci
Como apresentado na Fig. 7, a fase de aumento começa em
14/07/98, como não são considerados os pontos próximos a 0,
a fase de redução não será mais que 38,2% da fase anterior.
Este movimento indica uma ascensão, topo, declive (pivô).
Similarmente ao mercado financeiro, o UIT em [24-25] mostra
um padrão para aumento que se consolida quando o pivô
aparece. As previsões sobre as fases de aumento (de 27/07/98
a 30/07/98) são mostradas na Fig. 7, pois é possível ver o
Como conclusão, este estudo apresentou uma nova
metodologia de análise de previsões para ROSI, para ser
aplicada para detecção de intrusão e UIT. Tal metodologia
mostrou ambas as fases de UIT, aumento e redução, além de
ter mostrado também os momentos de reversão de tendência.
As técnicas matemáticas e estatísticas adotadas na análise
de previsões podem ser aplicadas também em redes sem fio.
Não obstante, esta abordagem ainda não foi testada o
suficiente para ser usada em aplicações comerciais. A análise
de previsões para ROSI ainda não foi testada em redes sem
fio.
A metodologia de previsões aplicada para UIT faz possível
a visualização de tendência. Portanto, a análise de previsões
dá suporte ao processo de tomada de decisões e é
complementar ao ROSI. Entre as sugestões de trabalhos
futuros estão a agregação de estudos de fractais nessa Lina de
pesquisa (de acordo com [28]) e o uso de diversos tipos de
médias móveis (mais que 5 técnicas de análise de previsões
[27].
REFERÊNCIAS
[1]
[2]
Wes Sonnenreich, “A practical approach to return on security
investment”, British Computer Society BCS, England, BCS Annual
Review 2006.
Huaqiang Wei, Deb Frinke, Olivia Carter, Chris Ritter, “Cost-Benefit
Analysis for Network Intrusion Detection System”, in Proc. 2001 CSI
28th Annual Computer Security Conference.
PONTES et al.: I2TS 01 FORECASTING FOR RETURN
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
Government Chief Information Office (GCIO) A Guide for Government
Agencies Calculating Return on Security Investment – Version 2,
Australia, New South Wales Government, Department of Commerce,
Government Chief Information Office, June 2004.
Don O’Neill,. “Calculating Security Return on Investment”, Software
Engineering Carnegie. Mellon University Institute and US Department
of Homeland Security, 2007.
Internet Architecture Board (IAB), IAB workshop on Unwanted Traffic
March 9-10, 2006 and April 26, 2008. [Online]. Available:
http://www.iab.org/about/workshops/unwantedtraffic/index.html.
L. Andersson, E. Davies, L. Zhang,, 2007 "Report from the IAB
workshop on Unwanted Traffic March 9-10, 2006”, RFC 4948, Internet
Engineering Task Force.
USENIX, International Workshop on Steps to Reducing Unwanted
Traffic
on
the
Internet.
[Online].
Available:
http://www.usenix.org/events/sruti06/.
E. L. Feitosa, E. J. P. Souto, D. Sadok,. “Tráfego Internet não Desejado:
Conceitos, Caracterização e Soluções”. in Proc. 2008 SBC. (Org.). VIII
Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais. 1 ed. Porto Alegre: SBC, 2008, v. 1, pp. 91-137.
R. Richardson, “CSI/FBI Computer Crime Survey”, in CSI/FBI Twelfth
Annual Computer Crime and Security, pp1-30. [Online]. Available:
http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf.
M. Morin, "The Financial Impact of Attack Traffic on Broadband
Networks", IEC Annual Review of Broadband Communications, pp 1114, 2006.
E. L. Oliveira, R. Aschoff, B. Lins, E. Feitosa, D. Sadok, “Avaliação de
Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS)
utilizando Lista de IPs Confiáveis” in Proc. 2007 SBC. (Org.). VII
Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais. Rio de Janeiro: SBC, 2007.
Pang, V. Yegneswaran, P. Barford, V. Paxon, L. Peterson,
“Characteristics of Internet Background Radiation”, in Proc. 2004 4th
ACM SIGCOMM on Internet Measurement Conference (IMC’04).
[Online].
Available:
http://www.icir.org/vern/papers/radiationimc04.pdf.
P. Soto, "Identifying and Modeling Unwanted Traffic on the Internet”,
Masters Dissertation, Dept. of Electrical Engineering and Computer
Science, Massachusetts Institute of Technology (MIT), 2005.
K. Xu, Z-L Zhang, S Bhattacharrya, “Profiling Internet Backbone
Traffic: Behavior Models and Applications”, n Proc. 2005 ACM
SIGCOMM
Computer
Communication,
[Online].
Available:
www.sigcomm.org/sigcomm2005/paper-XuZha.pdf.
AS/NZS 4360:2004 Risk Management, Standards Australia and
Standards New Zealand ISBN 0 7337 5904 1, Aug, 31 2004.
AS/NZS D HB 231 2004 Information Security Risk Management
Guidelines, Standards Australia and Standards New Zealand, Aug 2004.
Australian Government Information Technology Security Manual ACSI
33, Australian Government ISBN 0 642 29598 0, Feb 2004.
NIST/SEMATECH e-Handbook of Statistical Methods, 2008. [Online].
Available: http://www.itl.nist.gov/div898/handbook..
Ralph Nelson Elliot, “Reconstruction of the Elliott Wave Principle”,
New Expanded Edition, Amer Classical, 1982.
Robert R. Jr Prechter, Alfred John Frost, “Elliott Wave Principles”, John
Wiley, 2002, pp. 45-89.
Douady and Y. Couder, "Phyllotaxis as a Dynamical Self Organizing
Process", Journal of Theoretical Biology, pp. 255–274, 1996.
Judy Jones, William Wilson, "Science, An Incomplete Education”,
Ballantine Books, p. 544. ISBN 978-0-7394-7582-9, 2006.
A. Brousseau (1969). "Fibonacci Statistics in Conifers". Fibonacci
Quarterly (7): 525–532, 1969.
DARPA, Defense Advanced Research Projects Agency “Intrusion
Detection Evaluation”, MIT - Massachusetts Institute of Technology –
Lincoln Laboratory, 1998, 1999, 2000. [Online]. Available
http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/in
dex.html.
KDD Cup 1999 Dataset, Information and Computer Science University
of California, Irvine, repository, 1999. [Online]. Available :
http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.
SNORT, VRT Certified rules, 2008.
[Online]. Available :
http://www.snort.org.
445
[27] J. Scott Armstrong, MA Norwell, “Principles of Forecasting: A
Handbook for Researchers and Practitioners”. Kluwer Academic
Publishers, The Wharton School, University of Pennsylvania, 2001.
[28] Mandelbrot, Benoit B, Richard L Hudson,. “The Behavior of Markets:
A Fractal view of risk, ruin and reward”, John Willey, 2006.
Elvis Pontes nasceu em São Paulo, Brasil, em 17 de
março de 1978. É Tecnólogo em Processamento de
Dados pelo Instituto Tecnológico de Barueri (ITB),
Brasil, (1996). Graduou-se em Ciências da
Computação pela Fundação Instituto Tecnológico de
Osasco – Faculdade de Ciências (FAC-FITO), Brasil
(2001). É pós-graduado como MBA em Gestão da
Segurança da Informação pelo Instituto de Pesquisas
Nucleares e Energéticas (IPEN-USP), Brasil (2005).
Atualmente é estudante do programa de mestrado do
Instituto de Pesquisas Tecnológicas de São Paulo (IPT), Brasil.
Suas
áreas de interesse são: redes de computadores, segurança da informação e
análise de riscos para segurança da informação.
Dr. Adilson Eduardo Guelfi: é Engenheiro Elétrico,
M.Sc. em Engenharia Elétrica pela Universidade
Federal de Santa Catarina e Dr. pela Escola
Politécnica da Universidade de São Paulo
(Laboratório de Sistemas Integrados LSI, EPUSP,
Brasil). Na área de segurança da informação, fez
diversas publicações foi instrutor responsável a
apresentar curso para profissionais de mercado e
também professor assistente em programas de
mestrado. Participou do treinamento do “Microsoft
Windows 2000 Security” fornecido pelo instituto SANS/GIAC. Participa do
desenvolvimento de projetos industriais, análise de segurança e auditoria,
EHTs, etc. Atualmente, Adilson Eduardo Guelfi é o coordenador técnico do
primeiro laboratório de certificação especializado em Infra-estrutura de
Chaves Públicas (ICP). Áreas de interesse: certificados digitais, ICP,
assinatura digital, gestão da segurança da informação, segurança na Internet,
especificação de protocolos de segurança, etc.
Edson Alonso é graduado em Física pelo Instituto de
Física na Universidade de São Paulo, Brasil.
Atualmente está desenvolvendo sua tese de mestrado
relacionada a criptografia na Escola Politécnica da
Universidade de São Paulo. Trabalha com certificação
de hardware criptográfico para o governo brasileiro,
fazendo testes de segurança física.