LUIZ FELIPE SILVA SERRA

ESTUDO DA META-HEURÍSTICA PSO (PARTICLESWARM OPTIMIZATION) PARA O AUXÍLIO NA

GERÊNCIA DE REDES

LONDRINA–PR

2017

LUIZ FELIPE SILVA SERRA

ESTUDO DA META-HEURÍSTICA PSO (PARTICLESWARM OPTIMIZATION) PARA O AUXÍLIO NA

GERÊNCIA DE REDES

Trabalho de Conclusão de Curso apresentadoao curso de Bacharelado em Ciência da Com-putação da Universidade Estadual de Lon-drina para obtenção do título de Bacharel emCiência da Computação.

Orientador: Prof. Ms. Luiz Fernando Carva-lhoCoorientador: Prof. Dr. Mario Lemes Pro-ença Junior

LONDRINA–PR

2017

Luiz Felipe Silva SerraEstudo da meta-heurística PSO (Particle Swarm Optimization) para o auxílio

na gerência de redes/ Luiz Felipe Silva Serra. – Londrina–PR, 2017-56 p. : il. (algumas color.) ; 30 cm.

Orientador: Prof. Ms. Luiz Fernando Carvalho

– Universidade Estadual de Londrina, 2017.

1. Gerência em Redes. 2. PSO. I. Luiz Fernando Carvalho. II. UniversidadeEstadual de Londrina. III. Faculdade de xxx. IV. Estudo da meta-heurística PSO(Particle Swarm Optimization) para o auxílio na gerência de redes

CDU 02:141:005.7

LUIZ FELIPE SILVA SERRA

ESTUDO DA META-HEURÍSTICA PSO (PARTICLESWARM OPTIMIZATION) PARA O AUXÍLIO NA

GERÊNCIA DE REDES

Trabalho de Conclusão de Curso apresentadoao curso de Bacharelado em Ciência da Com-putação da Universidade Estadual de Lon-drina para obtenção do título de Bacharel emCiência da Computação.

BANCA EXAMINADORA

Prof. Ms. Luiz Fernando CarvalhoUniversidade Estadual de Londrina

Orientador

Prof. Dr. Mario Lemes Proença JuniorUniversidade Estadual de Londrina

Prof. Dr. Wesley AttrotUniversidade Estadual de Londrina

Londrina–PR, 5 de Setembro de 2017

Vá em busca do seu sonho. Se tropeçar, não pare nem perca de vista suameta. Continue subindo. Só do alto podemos apreciar toda a paisagem.

AGRADECIMENTOS

Agradeço primeiramente a minha mãe Elenita Silva Serra e meu pai Janio Serra portodo suporte e incentivo durante este trabalho e ao longo de todo o curso de graduação.Devo a eles todas as conquistas da minha vida, pois possibilitaram eu estar aqui hojerealizando esse projeto. Agradeço também ao meu irmão Francisco Bruno Silva Serrapelo apoio ao longo de todos esses anos que me levaram até aqui.

Agradeço ao Prof. Luiz Fernando Carvalho por ter me aceitado como seu orien-tando, por suas sugestões e compartilhamento de conhecimentos essenciais para a realiza-ção deste trabalho. Agradeço também a todos os professores que contribuíram com suasaulas durante a graduação pelo grande esforço de cada em fazer com que eu adquirisseensinamentos não só acadêmicos mas também pessoais que vou levar pelo resto da minhavida. Agradeço a respeitada instituição que é a Universidade Estadual de Londrina portoda a infraestrutura oferecida no campus, por sua diversidade cultural e seu ambientesempre favorável ao desenvolvimento acadêmico.

Por último agradeço aos meu amigos de graduação, a essas pessoas que tenho comoparte de minha família e a tudo que aprendemos juntos, todos os momentos bons e ruinsque vem com essa etapa de nossa vida e que passamos com maestria. Levaremos os valoresaprendidos durante esse período sempre conosco.

“The only onewho’s really judging you

is yourself,nobody else.“

(Alter Ego, Tame Impala)

SERRA, L. F. S.. Estudo da meta-heurística PSO (Particle Swarm Optimization)para o auxílio na gerência de redes. 56 p. Trabalho de Conclusão de Curso (Bacha-relado em Ciência da Computação) – Universidade Estadual de Londrina, Londrina–PR,2017.

RESUMO

Em gerência de redes, a detecção de anomalias é essencial para garantir o encaminhamentodos pacotes transmitidos. Anomalias podem gerar grandes quantidades de tráfego malici-oso e ilegítimo, o que contribui para sobrecarregar e tornar os serviços inoperantes. Paraque a detecção desses problemas ocorra de forma eficiente é necessário o uso de modelosproativos para auxiliar o gerente de rede na tarefa de monitoramento do tráfego. Nestetrabalho é apresentado o método meta-heurístico Particle Swarm Optimization (PSO)apropriado para a otimização da identificação dessas anomalias na rede. Com base emtrabalhos publicados na literatura, a pesquisa destina-se a descrever a meta-heurística,bem como verificar as principais características e peculiaridades que a torna adequadapara detecção de eventos anômalos de rede.

Palavras-chave: Gerência de redes. PSO. Meta-heurística.

SERRA, L. F. S.. Study of PSO (Particle Swarm Optimization) metaheuristicsfor aid in network management. 56 p. Final Project (Bachelor of Science in ComputerScience) – State University of Londrina, Londrina–PR, 2017.

ABSTRACT

In management network, detection of anomalies is essential to ensure smooth traffic ofpackets transmitted. Anomalies may generate large quantities of malicious and ilegaltraffic, which can overload and turn the services inoperative. For the detection of theseproblems occurs in a efficient way is necessary to use proactive methods to better assistthe network manager in the task of traffic monitoring. This work present the metaheurisctmethod called Particle Swarm Optimization (PSO), that is appropriate for the optimiza-tion in detection of this anomalies in network. Based on articles published in the literature,the research is intended to describe the metaheuristic, as well as verify the main charac-teristics and peculiarities that makes it suitable for detecting anomalous network events.

Keywords: Network management. PSO. Metaheuristics.

LISTA DE ILUSTRAÇÕES

Figura 1 – Exemplo de pacote SNMP . . . . . . . . . . . . . . . . . . . . . . . . . 31Figura 2 – Exemplo de comunicação SNMP . . . . . . . . . . . . . . . . . . . . . 32Figura 3 – Modelo básico de exportação de fluxos . . . . . . . . . . . . . . . . . . 33Figura 4 – Exemplo de arquitetura NetFlow . . . . . . . . . . . . . . . . . . . . . 34Figura 5 – Exemplo de Arquitetura sFlow . . . . . . . . . . . . . . . . . . . . . . 36Figura 6 – Fluxograma de funcionamento do PSO . . . . . . . . . . . . . . . . . . 42

LISTA DE TABELAS

Tabela 1 – Características do sFlow . . . . . . . . . . . . . . . . . . . . . . . . . . 36Tabela 2 – Comparação da acurácia para o RBF e RBF-PSO . . . . . . . . . . . . 45Tabela 3 – Comparação entre GA e PSO para problemas multi-objetivo . . . . . . 46Tabela 4 – Comparação dos algoritmos para o sistema de detecção . . . . . . . . . 47Tabela 5 – Resultados para o sistema MapReduce-PSO . . . . . . . . . . . . . . . 48Tabela 6 – Comparação do sistema proposto no artigo (IPSO) com outros tipos

de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Tabela 7 – Tabela de comparação entre os artigos . . . . . . . . . . . . . . . . . . 50

LISTA DE ABREVIATURAS E SIGLAS

PSO Particle Swarm Optimization

DDoS Distributed Denial of Service

ACO Ant Colony Opmization

DSNS Digital Signature of Network Segment

DSNSF Digital Signature of Network Segment using Flow Analysis

HWDS Holt-Winters for Digital Signature

ACODS Ant Colony Optimization for Digital Signature

PCA Principal Component Analysis

BLGBA Baseline for Automatic Backbone Management

SNMP Simple Network Management Protocol

TLBO Teaching-Learning-Based Optimization

CCS Circular Crowed Sorting

ARIMA AutoRegressive Integrated Moving Average

IaaS Infrastructure as a Service

IC-PCP IaaS Cloud Partial Critical Path

QoS Quality of Service

SNMP Simple Network Management Protocol

ToS Type of Service

MIB Managemente Information Base

IETF Internet Engineering Task Force

UDP User Datagram Protocol

TCP Transmission Control Protocol

SCTP Stream Control Transport Protocol

IPFIX Internet Protocol Flow Information Export

RFC Request For Comments

PSAMP Packet Sampling

ASIC Application-Specific Integrated Circuit

AI Artificial Intelligence

MCLP Multiple Criteria Linear Programming

KDD Knowledge Discover and Data Mining

SUMÁRIO

1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2 TRABALHOS RELACIONADOS . . . . . . . . . . . . . . . . . 25

3 GERÊNCIA DE REDES . . . . . . . . . . . . . . . . . . . . . . 293.1 Gerência de Falhas . . . . . . . . . . . . . . . . . . . . . . . . . . . 293.2 Gerência de Configuração . . . . . . . . . . . . . . . . . . . . . . . 293.3 Gerência de Contabilização . . . . . . . . . . . . . . . . . . . . . . 303.4 Gerência de Desempenho . . . . . . . . . . . . . . . . . . . . . . . 303.5 Gerência de Segurança . . . . . . . . . . . . . . . . . . . . . . . . 313.6 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.7 Fluxos IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323.7.1 NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333.7.2 IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.7.3 sFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353.8 Detecção de Anomalias . . . . . . . . . . . . . . . . . . . . . . . . 37

4 PARTICLE SWARM OPTIMIZATION . . . . . . . . . . . . . 394.1 Swarm Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . 394.2 Introdução ao PSO . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.3 O algoritmo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

5 TRABALHOS DE DETECÇÃO DE ANOMALIAS/INTRUSÃOQUE UTILIZAM O PSO . . . . . . . . . . . . . . . . . . . . . . 45

5.1 Improving the particle swarm algorithm and optimizing thenetwork intrusion detection of neural network . . . . . . . . . 45

5.2 Optimizing false alerts using multi-objective particle swarmoptimization method . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5.3 A new intrusion detection approach using pso based multiplecriteria linear programming . . . . . . . . . . . . . . . . . . . . . 46

5.4 Mapreduce intrusion detection system based on a particleswarm optimization clustering algorithm . . . . . . . . . . . . 47

5.5 Incremental particle swarm optimisation for intrusion de-tection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.6 Considerações sobre o capítulo . . . . . . . . . . . . . . . . . . . 49

6 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

23

1 INTRODUÇÃO

Nos últimos anos, a expansão das redes de computadores tornou-se um processoinevitável, em que novos serviços dos mais variados começaram a usar as redes por contada necessidade de interconexão dos dispositivos. Apesar dos avanços da tecnologia dosmeios de comunicação, as redes ainda são passíveis de sofrerem anomalias e, com isso, énecessário um estudo contínuo de ferramentas de detecção, tanto para melhor conheci-mento da área quanto para aprimoramento das soluções já existentes [1].

O problema da quebra de segurança é de tamanha importância ao ponto de queos relatórios enfatizam repetidamente o problema. Em 2016, segundo Panda Security [2],foram encontrados mais de 20 milhões novos malwares, totalizando uma média de 227mil programas maliciosos descobertos a cada dia. Trojans, Vírus e Worms foram os tiposmais identificados, representando mais de 90% dos malwares. Além disso, ataques comoDistributed Denial of Service (DDoS) não param de crescer. De acordo com um relatóriopublicado pela empresa Verisign [3], apenas no segundo trimestre do ano de 2016, períodoque vai de 1 de abril até 30 de junho, houve um aumento de 75% na detecção de ataquesDDoS em comparação com o mesmo período do ano de 2015. Foi observado que essasameaças se tornam cada vez mais persistentes e complexas.

No âmbito da comunicação, uma das vertentes que promovem a segurança é adetecção de anomalias. Anomalias de redes são desvios ou acentuação de um tráfegopadrão de uma rede, causado por mal uso de um software ligado à rede, defeito emequipamentos, uso abusivo de recursos e ataques intencionados ou não-intencionados. Essecomportamento irregular compromete a segurança do sistema e degrada o desempenho darede, causando prejuízos aos usuários e às organizações. Alguns exemplos de anomalias,segundo Bhuyan et al. [4], são:

∙ Flash Crowd, anomalia que causa excesso de tráfego na camada de rede;

∙ Vírus e Worms, que exploram os seus hospedeiros (hosts) pela rede, como em umataque de Network scanning;

∙ Tentativas de obter acesso previlegiado através de vulnerabilidades;

∙ Aumento inesperado do número de pacotes que transitam pela rede causado poralgum tipo de problema;

Segundo Celenk et al. [5], a detecção rápida e eficiente de anomalias é essencialpara manter a rede robusta e segura. Utilizando ferramentas estatísticas para análise dofluxo de pacotes, é possível verificar a ocorrência de qualquer tipo de anomalia no tráfego.

24

Uma outra vantagem é a capacidade de calcular, com certa precisão, se de fato umaanomalia no tráfego está ocorrendo, ou se é apenas um evento atípico, porém legítimo.Em decorrência dessas características é possível diminuir a existência das altas taxas dealarmes falsos disparados [6].

Por isso, em detecção de anomalias, a precisão e tempo gasto na descoberta dessesproblemas na rede é essencial para o administrador garantir uma gerência de qualidade. Otrabalho consiste em um estudo da meta-heurística chamada Particle Swarm Optimization(PSO), criada por Dr. Eberhart e Dr. Kennedy [7]. O PSO é um algoritmo bio-inspiradoda classe de inteligência coletiva, que busca otimizar a identificação de comportamentosque destoam do normal. O objetivo principal é apresentar o algoritmo PSO em detalhes.Além disso, são abordados conceitos de gerência de redes e suas características como:interoperabilidade das redes, alertas de problemas, aviso antecipado de problemas, capturaautomática de dados. Ainda dentro de gerência, é detalhado como funciona o processo dedetecção de anomalias feito pelo administrador da rede.

A detecção de anomalias em redes caracteriza-se pela busca de comportamentosincomuns no tráfego, que possam vir a comprometer a segurança, o desempenho e aintegridade das informações. O PSO é um método de inteligência artificial que otimizaum problema iterativamente ao buscar a melhor solução candidata com respeito a umadada medida de qualidade. Com isso, o PSO é um bom algoritmo para o tipo de problemaaqui estudado, como é exposto no decorrer deste trabalho. O PSO foi escolhido pela suarobustez, facilidade do ajuste de parâmetros, por ser amplamente aceito entre artigos naárea e por sua característica de busca da solução ótima.

Para o entendimento de todas as técnicas envolvidas na problemática proposta,foram levantados estudos atuais como artigos científicos, revistas, e algoritmos utilizandobibliotecas digitais como: IEEE, Science Direct, ACM Digital Library, que serviram deapoio durante a fase de desenvolvimento e que também possibilitaram a avaliação doalgoritmo apresentado junto às técnicas existentes.

O trabalho está organizado da seguinte forma: No capítulo 2 são apresentadostrabalhos relacionados ao problema de detecção de anomalias. No capítulo 3 são apontadasas principais características da gerência de redes, essenciais a esse trabalho. No capítulo4 é introduzido o método meta-heurístico utilizado para otimizar o processo de detecção.No capítulo 5 são apresentados trabalhos de detecção de anomalias/intrusão que fazem ouso do algoritmo objeto de estudo deste trabalho. Por fim, no capítulo 6 está a conclusãodo trabalho e suas principais ponderações.

25

2 TRABALHOS RELACIONADOS

Este capítulo apresenta conceitos relacionados ao trabalho, visando a compreensãodo estado da arte das soluções para detecção de anomalias em redes de computadores, bemcomo as soluções que utilizam o algoritmo, objeto de estudo deste trabalho. É realizadauma exposição abrangendo os elementos que caracterizam o tráfego e nas técnicas paradetecção de anomalias.

Algumas relações de estudos podem ser feitas a partir de artigos como de Carvalhoet al. [8], que faz uso de heurísticas bio-inspiradas, assim como esse trabalho, para osmesmos fins, a detecção de anomalias em ambientes de rede. Nesse trabalho o autor utiliza-se da Ant Colony Optimization (ACO) que simula um conjunto de formigas procurandoalimento, otimizando a função objetivo. No trabalho é mostrado que através da técnicade caracterização de uso da rede, o Digital Signature of Network Segment using FlowAnalysis (DSNSF), é possível verificar se existem desvios de causados por anomalias nosistema. Para criação do DSNSF, o ACO visa otimizar o processo de clusterização, ouseja, procura soluções que seja possível extrair padrões de tráfego de rede.

Em Assis et al. [9] é mostrado um sistemas para caracterizar o comportamentode tráfego da rede usando uma versão melhorada de previsão baseada em estatística dométodo Holt-Winters for Digital Signature (HWDS). Através deste método, é possívelcaracterizar o tráfego de um segmento de rede com uma eficiência mais elevada do que otradicional, bem como proporcionar um baixo custo computacional. O método HWDS éutilizado para caracterizar cada uma dos sete dimensões analisadas diferentes resultandono tráfego perfis anteriormente citado, o DSNSF.

Este é um complemento ao trabalho de Fernandes [10], onde é apresentado umsistema inteligente de detecção de anomalias baseado em Principal Component Analysis(PCA), esse método estatístico que reduz a dimensionalidade. Essa proposta gera umDSNSF que descreve o comportamento normal do tráfego de rede por meio de uma análisede dados históricos extraídos de fluxos IP. Esse perfil é utilizado com um threshold paradetectar anomalias de volume.

O conceito do sistema faz uma análise hepta-dimensional, que é baseado nas se-guintes componentes de rede: bits/s, pacote/s, fluxo/s, endereço de IP de origem e destinoe portas de origem e destino. Atráves da análise simultânea dessas sete dimensões é pos-sível identificar o comportamento de diferentes anomalias e gerar alarmes específicos paraidentificar suas possíveis causas. O sistema é dividido em dois módulos principais: Omódulo de detecção e o módulo de informação.

Em Lima et al. [11] utilizam conceitos importantes para o estudo deste trabalho

26

de conclusão. No artigo é utilizado o mesmo algoritmo evolucionário, o PSO, combinadocom o algoritmo de clusterização K-means para obter altas taxas de convergência na de-tecção das anomalias. O trabalho também utiliza o Digital Signature of Network Segment(DSNS) para caracterizar o tráfego de rede, visando caracterizar também as anomalias. ODSNS aqui gera perfis de rede baseado no Baseline for Automatic Backbone ManagementBLGBA [12], modelo do Simple Network Management Protocol (SNMP) que mostra ohistórico dos dados de rede. O modelo proposto identifica e classifica os grupos de DSNSe de tráfego real, usando a inteligência de enxame (Swarm Intelligence). Comportamentosanômalos podem ser identificados comparando as partículas do PSO com os centroidesdos tráfegos clusterizados.

Em Cheng et al. [13] é mostrado o PSO utilizado para resolver problemas deotimização multi-objetivo. Neste modelo a fase de aprendizado do algoritmos, o Teaching-Learning-Based Optimization (TLBO), é incorporado junto ao PSO a fim de aumentar acapacidade de exploração do algoritmo. Outra característica desse algoritmo é aumentar oCircular Crowed Sorting (CCS) para separar o arquivo externo que armazena as soluçõesnão-denominadas encontradas durante a pesquisa. Há também o conceito de mutação depolinômios, que é usado quando as velocidades de todas as soluções do PSO são muitopequenas.

Em Moreira el al. [14] pode ser observada uma aplicação de reconhecimento de íris,onde o PSO otimiza o processo de busca e classificação correta do modelo, substituindoos algoritmos de força bruta anteriormente utilizado para esse propósito. O uso do PSOnesse trabalho tem eficiência similar, se não melhor, executando uma complexa base dedados conhecida sobre essa área de estudo, o autor conclui que o resultado obtido com oPSO é o mais estável entre os outros.

Dentro da linha de pesquisa sobre detecção de anomalias existem trabalhos como ode Pena [15], que além do conceito de caracterização do comportamento do tráfego, utiliza-se da aplicação da lógica paraconsistente na detecção de anomalias, implementando umaferramenta denominada Máquina Paraconsistente Correlacional (MPC). Os atributos dotráfego de rede são utilizados como modelo Auto-Regressivo Integrado de Médias Móveis,o AutoRegressive Integrated Moving Average (ARIMA), que é utilizado no DSNSF. Comessas assinaturas, a avaliação das discrepâncias encontradas é feita através do MPC queutiliza os perfis gerados e leituras reais como origem de informação na fundamentaçãológica dos níveis de certeza e contradição no comprometimento da rede.

Os métodos aplicados pelo autor utilizam a Lógica Paraconsistente, que é respon-sável por decidir sobre uma proposição: “A rede está comprometida por uma anomalia”.O sistema recebe como entrada o DSNSF e as leituras reais de tráfego da rede e utilizaprocedimentos a fim de extrair informações que mostram evidências discrepantes entre osdois tipos de entrada. Após isso, as informações são usadas na formação de indefinições e

27

contradições relativas ao comprometimento da rede. As anomalias são indicadas quando,analisadas todas as informações, as evidências apontam, com o mínimo de contradições,para a proposição que se está decidindo.

Por ser um algoritmo de otimização, o PSO pode ser aplicado em vários tiposde problemas. Como por exemplo em Bian et al. [16], onde é proposto uma mudançano algoritmo básico do PSO, o Modified Particle Swarm Optimization (MPSO), comuma operação de mutação genética baseada em Algoritmo Genético. Esse novo modeloentão é empregado para o reconhecimento de helicópteros de menor escala, popularmenteconhecidos como drones.

Aproveitando-se da operação de mutação, o MPSO aumenta a diversidade daspartículas utilizadas e também evita cair em um ponto de ótimo local. Durante a rotinade busca do PSO básico, o algoritmo modificado irá selecionar um certo número de par-tículas para serem alteradas de acordo com novas fórmulas para a componente de inérciadas partículas. A cada iteração, todas as partículas terão uma chance igual de sofreremmutação e a nova partícula sera criada comparando o fitness da partícula original com anova, que sofreu mutação, sem alterar o número de partículas na solução.

O MPSO então é comparado com o PSO normal para a detecção desses helicópterosde menor escala através do Signal to Noise Ratio (SNR), que mede o sinal de barulhoque o pequeno veículo emite, em escala decibéis. Com os sinais variando entre 20dB e80dB, o novo algoritmo foi capaz de obter melhores resultados que o PSO básico noreconhecimento na dinâmica de voo dos helicópteros.

Outro exemplo de aplicação do PSO é em Padmaveni e Aravindhar [17], que mis-tura o caráter de otimização do PSO com o Memetic Algorithm (MA) para solucionarum problema de cronograma de fluxo de trabalho de um sistema de Cloud. Vários des-ses sistemas funcionam com o sistema de Infrastructure as a Service (IaaS) com recursosheterogêneos através de máquinas virtuais.

O MA é usado em problemas com diversos objetivos combinando-os em um só,simulando a evolução natural. Para o problema estudado pelos autores, foi utilizado oMA para gerar um conjunto de cronogramas. O PSO então é utilizado na solução paraencontrar o melhor cronograma. O algoritmo é iniciado com as partículas distribuídas noespaço, então os valores de pBest e gBest que representam, neste caso os melhores crono-gramas local e global respectivamente, são comparados. Então com as características doMA é realizado operações de crossover e mutação nas partículas, são selecionadas as me-lhores partículas que vão para a próxima geração e então as velocidades e posição de todasas partículas são atualizadas. Esse novo algoritmo é chamado de Particle Swarm Optimi-zation Memetic Algorithm (PSOMA). Os autores comparam o novo algoritmo propostocom o Genetic Algorithm (GA) e o IaaS Cloud Partial Critical Path (IC-PCP). O objetivodessa comparação é verificar qual algoritmo consegue montar o melhor cronograma com 4

28

tipo de intervalos para o prazo de término do cronograma. Nessa comparação é verificadoque o PSOMA consegue resultados melhores ou, no pior caso, iguais aos outros algoritmosna comparação.

29

3 GERÊNCIA DE REDES

O gerenciamento de redes é o controle das atividades e o monitoramento do uso derecursos da rede. As funções básicas que um gerente trata em seu dia-a-dia são: obter asinformações da rede, tratá-las para diagnosticar possíveis problemas e colocar em práticaas soluções desses problemas [18][19].

Para que se tenha sucesso no funcionamento de um sistema de gerenciamento deredes é necessário utilizar os principais componentes de um sistema de gerência [20]. Paraque isso ocorra de uma forma padronizada foram criadas subáreas que são chamadasfuncionais: Gerência de Falhas, Gerência de Configuração, Gerência de Contabilização,Gerência de Desempenho, Gerência de Segurança. O nome dado a este modelo é FCAPS(Fail, Configuration, Accounting, Performance and Security), o qual foca em como en-contrar formas de resolver as questões da gerência [21][22].

3.1 Gerência de Falhas

A gerência de falhas tem como função: detectar, isolar, notificar e corrigir as ope-rações anormais no funcionamento dos recursos de rede. Entende-se como recursos de redeo conjunto de hardware e software que operam para viabilizar o funcionamento da rede.Uma falha, diferentemente de um erro, é uma condição anormal que para ser recuperadaexige uma ação do gerente. É normalmente causada por operações incorretas ou um altonúmero de erros. Se uma linha de comunicação for cortada fisicamente, por exemplo, ne-nhum sinal pode passar por ela. De maneira análoga, um grampeamento do cabo quepode causar distorções induzindo a uma alta taxa de erros é considerado como uma falha.

Outra função importante do gerenciamento de falhas é a filtragem, em que o tra-tamento determinadas falhas encontradas é priorizado para não ocorrer uma sobrecargade rede. Existem sistemas que também antecipam as falhas por meio de diagnósticosrotineiros que são pré-definidos e executados periodicamente em cada dispositivo.

A gerência de falhas tem, portanto, três grandes responsabilidades: o monitora-mento dos estados dos recursos da rede, a manutenção de cada um dos objetos gerenciadose as decisões que devem ser tomadas para restabelecer as unidades do sistema que possamter sido comprometidas.

3.2 Gerência de Configuração

O gerenciamento de configuração administra a inicialização da rede e uma eventualdesativação de parte da rede ou até mesmo a desativação completa dela. Também aqui

30

se relaciona as tarefas de manutenção, atualização ou adição de componentes e o estadodos componentes durante a operação da rede. Também estão inclusos mecanismos deautorização, que são importantes para verificar e registrar qualquer mudança ocorrida narede, assim como determinar o responsável por elas.

O gerente deve ser capaz de identificar os componentes da rede e definir a co-nectividade entre eles, além de modificar a configuração em resposta às avaliações dedesempenho, recuperação de falhas, problemas de segurança, atualização da rede ou paraatender as necessidades dos usuários.

3.3 Gerência de Contabilização

Este tipo de gerência administra os recursos disponíveis para os usuários que estãoutilizando a rede. Através de registros, logs ou bilhetes é medido (contabilizado) o usodos recursos por algoritmos que levam em consideração a duração da conexão, o tráfegogerado, a identificação dos usuários, entre outros parâmetros.

O objetivo do gerente aqui é evitar que um usuário ou grupo abuse de privilégiosde acesso e monopolize a rede em detrimento de outros usuários. Também é evitar queos usuário façam uso de uma rede ineficiente, auxiliando-os na troca de procedimentos egarantindo um desempenho satisfatório da rede. O planejamento de crescimento da redeconforme suas características também é uma característica dessa parte do gerenciamento.

O gerente da rede deve ser capaz de especificar os tipos de informações de con-tabilização que devem ser registrados em cada nó (host, switch, roteador), o intervalo deentrega de relatórios para nós de gerenciamento de mais alto nível e os algoritmos usadosno cálculo da utilização.

3.4 Gerência de Desempenho

O gerenciamento de desempenho consiste no monitoramento e controle dos recur-sos e atividades presentes na rede. O monitoramento de determinados aspectos da rede,por meio de ajustes e trocas, possibilita a obtenção de informações para avaliar o compor-tamento dos recursos da rede usando determinados parâmetros como: nível de utilização,perfil de tráfego, vazão (throughput), existência de gargalos, tempo de resposta, latência(tempo de reação), jitter (atraso da entrega de dados), disponibilidade, níveis de QoS(Quality of Service), perdas de pacotes, entre outros.

A partir disso, é definido onde e como o desempenho da rede pode ser melhorado.Com isso, existem dois tipos de categorias funcionais dentro desta gerência: monitoraçãoe ajuste. A monitoração localiza as atividades da rede, e o ajuste faz alterações sobre essasatividade visando melhorar o desempenho da rede.

31

3.5 Gerência de Segurança

O gerenciamento da segurança visa proteger recursos da rede e informações dosusuários, que devem estar disponíveis apenas para usuários autorizados. É necessário quea política de segurança seja preventiva, robusta e efetiva e que o próprio sistema degerenciamento da segurança seja seguro.

O gerente nesse caso tem como principais objetivos a geração, distribuição e arma-zenamento de chaves de criptografia, manutenção e distribuição de senhas e informaçõesde controle de acesso, monitoração e controle de acesso à rede ou parte dela e das infor-mações obtidas dos nós da rede. E também a coleta, armazenamento e exame de registrosde auditoria e logs de segurança, bem como ativação e desativação dessas atividades.

3.6 SNMP

O SNMP (Simple Network Management Protocol) foi desenvolvido pela IETF (In-ternet Engineering Task Force) em 1989, como o protocolo padrão para gerenciamentode redes. O protocolo é utilizado pelos administradores de rede para realizar consultasespecíficas aos equipamentos que fazem parte da rede (computadores, roteadores, etc.).Por si só, ele não é capaz de definir um problema em uma rede e nem sua gravidade,porém fornece informações que contribuem para investigação das causas desse problema.

Temos um exemplo de pacote SNMP e seus respectivos campos [23] na Figura 1.

Figura 1 – Exemplo de pacote SNMP

32

Sua operação é bastante simples, sendo utilizado mensagens primitivas de serviçocomo Get, Set, Trap. O Get trata-se do pedido do gerente para ler os dados de gerencia-mento da MIB do agente. Normalmente é seguido de um comando Request, Next Requestou Response. Um Get Request faz o pedido inicial pelo gerente, a Response envia os dadospara o gerente e a Next Request pede outro trecho da tabela seqeencialmente. O Set operasomente sobre a Response, é utilizado para alteração de dados da MIB. O gerente recebeum pedido de Set Request para alterar determinado dado. Por fim, Trap é um informedado ao gerente de que algo de anormal está acontecendo no sistema. Tem funcionamentosemelhante a um alarme.

Na Figura 2, temos um diagrama representando o funcionamento do protocoloSNMP [23].

Figura 2 – Exemplo de comunicação SNMP

3.7 Fluxos IP

O protocolo SNMP é útil para o gerente de redes, porém com o aumento da com-plexidade das redes foi necessário que as ferramentas utilizadas forneçam mais informaçõessobre o funcionamento da rede. Apesar do SNMP ser amplamente usado em ferramen-tas tradicionais de gerência de redes para verificar os parâmetros de desempenho, comocontadores de erros no tráfego, foi necessário o uso de ferramentas mais avançadas e in-formativas devido ao aumento da complexidade das redes. Com isso fluxos IP (InternetProtocol) foi criado como uma forma de análise das informações que tráfegam pela rede.

A análise da rede foi introduzida por meio do protocolo de propriedade da empresaCisco Systems, o NetFlow. Logo foi criado outros protocolos para o uso de fluxo, como oIPFIX da IETF (Internet Engineering Task Force) e o sFlow da InMon.

Ao utilizar o fluxos IP na gerência, permitiu-se formar uma base de dados sempreatualizada, com informações mais detalhadas sobre o tráfego e, consequentemente, trouxeum conhecimento maior sobre o funcionamento das redes em geral. Segundo a definiçãoadotada pelo IETF [24], os registros de fluxos são uma conexão entre dois sockets quecaracteriza um processo de comunicação. Um registro de fluxo representa uma sequênciade pacotes com a mesma assinatura em uma rede. Essa assinatura contém as seguintesinformações: endereços IP de origem e destino, portas TCP/UDP de origem e destino,

33

interface de entrada e saída de um elemento de rede, protocolo nível 4 do modelo OSI,classe de serviço representada pelo byte ToS (Type of Service) do cabeçalho IP.

Na Figura 3 vemos um modelo de exportação dos fluxos IP.

Figura 3 – Modelo básico de exportação de fluxos

Com isso temos que os pacotes IP que contém essas informações em comum sãoagrupados como um registo de fluxo, que então possibilita a contagem de pacotes, bytese registros de início e fim do fluxo, sistema de origem e destino, entre outros.

3.7.1 NetFlow

O NetFlow, desenvolvido por Darren Kerr e Barry Bruins quando eram empregadosda Cisco, é uma tecnologia de monitoramento de tráfego. Ela é um padrão para exportaçãode informações e estatísticas sobre o comportamento do tráfego de rede. Os dispositivosque trabalham sobre este protocolo capturam as estatísticas de fluxo analisando os pacotestransmitidos em sua interface, com base em amostragem ou filtragem. As informações sãoarmazenadas em cache (flow cache), e exportados através de um protocolo de transporte,normalmente utiliza-se o protocolo UDP (User Datagram Protocol), ou SCTP (StreamControl Transport Protocol).

O funcionamento do NetFlow, como foi o primeiro, é o mesmo explicado sobre oconceito de fluxo de IP. O primeiro pacote do fluxo de dados cria o flow cache, este cacheé mantido enquanto pacotes com mesmas características continuarem a chegar. O fluxo éencerrado dado um certo critério, após isso o flow cache é exportado para uma máquinaque armazena esses dados. A Figura 4 demonstra o funcionamento do Netflow [25].

Os critérios de parada do fluxo podem ser dado por 3 maneiras: ociosidade, ativi-dade, cache cheio. O primeiro ocorre em situações onde nenhum pacote que se enquadrenas características destes fluxos chegue por um determinado período de tempo (o padrãoé 15 segundos). Já a parada por atividade é necessária pois mesmo que o fluxo nunca entre

34

Figura 4 – Exemplo de arquitetura NetFlow

em ociosidade é preciso liberar espaço em cache em algum momento, dessa forma, mesmoem atividade, é definido um tempo máximo de espera, que por padrão é de 30 minutos. Oterceiro critério ocorre quando há um estouro no flow cache, não sendo possível adicionarmais nenhuma nova informação, assim algumas medidas são tomadas pelo NetFlow. Comdestaque para duas, uma análise dos dados presentes no cache a fim de retirar as informa-ções mais antigas ou uma análise dos protocolos que usam o TCP (Transmission ControlProtocol) como transporte, excluindo os fluxos com flags RST(Reset) ou FIN(Fim da co-nexão). Caso algum desses critérios seja detectado, os fluxos expirados são armazenadospara que sejam exportados.

Como a exportação dos dados é feita sob o protocolo UDP, eles são organizados emdatagramas. Cada datagrama contém um cabeçalho composto por números de sequênciado fluxo, contador de registros e o sisUpTime. Os registros de fluxo mantém informaçõescomo o endereço IP, portas, informações de roteamento, quantidade de pacotes, sisUp-Time, entre outros.

3.7.2 IPFIX

O IPFIX (Internet Protocol For Information Export) é um protocolo padronizadopelo IETF, baseado no NetFlow de versão 9[26]. Ele foi criado como um protocolo abertoem vista as soluções proprietárias para o monitoramento de tráfego que existiam até omomento. Ele foi definido, em sua maioria, pelos RFC’s (Request For Comments) 5101[27],5012[28] e 5013[29], porém há descrições de característica sobre o padrão em mais 17RFC’s.

Sendo então um modelo genérico, ele é composto por um cabeçalho fixo que contémo número da versão de protocolo IPFIX utilizado, marcações de tempo do começo e fimdo fluxo, e o tamanho da mensagem a ser transmitida, um número sequêncial a fim dedetectar possíveis falhas, e um ID do local de coleta do fluxo.

35

Além deste cabeçalho, existe um conjunto de características que acompanha o mo-delo proposto do IPFIX. São elas, conjunto de dados, conjunto de modelos e o conjunto deopções de modelo. O conjunto de dados é responsável pelo armazenamento das informa-ções, sendo composto pelo registro de dados, que armazena parâmetros para o conjuntode modelos. Como os conjuntos de dados e modelos são relacionados, os registros de fluxoIP se tornam inúteis sem a presença de um ou de outro.

O conjunto de modelos define como serão organizados os dados coletados do fluxoIP. Ele é composto pelo sub-campo chamado registro de modelos que basicamente in-terpreta os diferentes registros de dados. Há também um cabeçalho e uma sequência deregistros chamados de elementos de informação, descrevendo as informações presente noconjunto de dados.

Já o conjunto de opções de modelo são compostos por registros de opções de modeloque interpretam os registros de dados. E assim como os outros conjuntos, também há umcabeçalho com um número de identificação e também um contador de escopos. Escopossão estruturas que contém dados relativos aos campos dos modelos, sendo consideradoestruturas de metadados.

O IPFIX funciona similar ao NetFlow. Os pacotes de fluxo que chegam aos dis-positivos de rede, são analisados ou por amostragem ou sequencialmente. Por conta deuma preocupação com a sobrecarga dos equipamentos, foi utilizado um protocolo PSAMP(Packet Sampling) para uma análise amostral, esse esquema amostral provê variados tipos:baseado em contagem, em temporização, regra de filtros, aleatória e probabilística.

3.7.3 sFlow

O sFlow, termo usado para denominar a tecnologia Sampling Flow, é desenvolvidoe atualizado pela InMon Corp, tornou-se um padrão em redes a partir do RFC 3176 [30].Diferente de outros padrões o sFlow realiza técnicas de amostragem para criar estatísticasdo fluxo de um roteador ou switch. Por essa razão, a tecnologia é empregada em redesde alta velocidade e em larga escala, onde as informações analisadas são demasiadamentegrandes.

O sistema que realiza o monitoramento dos fluxos utilizado pelo sFlow é compostopor dois módulos de atuação. O primeiro é chamado de agente, que faz a coleta de dadoscentral por meio de ASICs (Application-Specific Integrated Circuit) combinando os dadosem datagramas. O agente é executado nos equipamentos (roteadores e/ou switches). Osegundo módulo é um datagrama sFlow que tem como função transmitir as estatísticasde tráfego capturadas pelo mecanismo de amostragem que posteriormente será objetode análise por um sFlow Analyzer. A Figura 5 apresenta o funcionamento do protocolosFlow, enquanto a Tabela 1 destaca suas principais características.

36

Tabela 1 – Características do sFlowCaracterística Descrição

EscalabilidadeÉ capaz de analisar e gerar registrosde fluxos de rede em larga escala,além do poder de analisar vários dispositivos paralelamente.

AcuráciaO sFlow é preciso em representaros processos de comunicaçãoobservados na unidade coletora.

Custo computacionalÉ simples de ser implementadoe não adiciona custo adicional nacomputação da análise, montagem e exportação dos fluxos.

ExportaçãoO sFlow consegue exportaros datagramas de fluxo minuto a minuto,permitindo uma visualização fácil dos dados coletados.

Figura 5 – Exemplo de Arquitetura sFlow

Nesse protocolo existem duas formas de amostragem dos dados que podem serempregadas. A primeira delas é chamada de Statistical packet-based sampling of switchedflows, onde o agente sFlow utiliza um contador que é decrementado a cada pacote quechega pela interface, adicionando uma amostra a montagem do fluxo quando o contadoratinge zero. O sFlow utiliza a proporção 1:256 onde a cada 256 pacotes analisados nainterface, um deles é adicionado à análise de fluxos, esse pacote então representa os outros256 descartados.

A segunda forma de amostragem utilizada é chamada de Time-based samplingof network interface statistics. Essa abordagem também faz uso de um contador para arealizar sondagens(polling) periódicas nos agentes sFlow, obtendo assim um intervalo de

37

sondagem máximo que é atribuido ao agente. Porém o mecanismo tem acesso as configura-ções e pode alterar esse intervalo afim de incrementar a eficiência em cenários específicos.De acordo com o RFC 3176, ambas as abordagens de amostra são empregadas em data-gramas do protocolo, sendo projetadas como parte de um sistema integrado.

Os datagramas utilizados pelo sFlow são enviados através do protocolo de trans-porte UDP, a vantagem de utilizar esse protocolo é a redução de memória necessária parao encapsulamento e a entrega consistente mesmo em casos extremos de alto tráfego ouataques a infraestrutura de rede.

3.8 Detecção de Anomalias

As redes de comunicação encurtam as distâncias físicas entre as pessoas no mundoque vivemos. Enquanto estamos aproveitando a facilidade de estarmos conectados, tam-bém é notado que um ataque malicioso ou erro de rede pode afetar vários usuários deum serviço causando danos severos [31]. O gerente de rede deve considerar a segurançauma questão crítica e é importante desenvolver mecanismos para a defesa contra essasanomalias.

Anomalias são alterações consideráveis e também inesperadas encontradas no trá-fego da rede [4]. Independente da natureza da anomalias, maliciosa ou não, é necessáriosua análise e um diagnóstico rápido uma vez que pode-se comprometer o tráfego de umarede, e até mesmo esgotar os recursos disponíveis, se a anomalia não for reparada.

Entender o comportamento de anomalias permite que se desenvolva sistemas dedefesa mais efetivos. Após a compreensão das anomalias, é possível reconhecer as açõesou evento que possam comprometer a integridade, confidencialidade ou disponibilidade deuma rede. Tipicamente divide-se os modelos de detecção de anomalias em duas categorias:Baseado em assinatura ou baseado em caracterização do comportamento normal de tráfego[6].

A detecção de anomalias baseada em assinatura baseia-se na especificação das ca-racterísticas das anomalias. Durante o monitoramento do tráfego de rede, um sistema dedetecção de anomalias baseado em assinatura busca por conteúdos em que suas caracte-rísticas se assemelham às assinaturas de sua base, notificando os administradores quandoocorre essa semelhança. Uma vantagem desse método é que assinaturas são fáceis de seremdesenvolvidas e entendidas se já houver um conhecimento prévio sobre o comportamentoda anomalia que se está tentando identificar, apresentando taxas reduzidas de alarmesfalsos. Porém, com o aumento da capacidade das redes e o aumento constante de ameaçasà segurança, as estratégias que utilizam assinatura têm seu desempenho comprometido,pois não conseguem se adaptar às características de novos cenários e tipos de anomalias, jáque requer uma constante atualização manual de sua base, consumindo recursos valiosos

38

da gerência de rede [32].

Sistemas baseados em caracterização de comportamento normal de tráfego têmcomo característica traçar um perfil de comportamento do uso da rede, caracterizandomovimentos e atividades consideradas normais. Caso haja um evento que desvie signifi-cativamente do perfil normal para determinada rede, isso é considerado uma anomalia.A vantagem de um sistema baseado nesse comportamento é a capacidade de que mesmose houver uma anomalia desconhecida até o momento, ele vai reconhecê-la pois não hánecessidade de conhecer como são as anomalias, apenas analisa-se seu impacto no tráfego.Isso torna desnecessária as constantes de atualizações manuais e também tem-se uma fle-xibilidade maior já que os perfis de atividade são deferentes para cada rede, isso tambémdificulta a exploração de suas vulnerabilidades. Diferentemente do modelo baseado em as-sinatura, é necessário um período de treinamento para conhecer o perfil de normalidade,e também verificar as variações naturais do tráfego que ocorrem dentro de um período.

39

4 PARTICLE SWARM OPTIMIZATION

4.1 Swarm Intelligence

Atualmente existem várias técnicas computacionais inspiradas em sistemas biológi-cos. Como exemplo, podem ser citadas as Redes Neurais [33] que é um modelo simplificadodo funcionamento de neurônios no cérebro humano, e também os Algoritmos Genéticosque é baseado na teoria de Darwin sobre a evolução humana [34].

Além dos modelos supracitados, uma categoria desenvolvida principalmente parasolução de problemas complexos de otimização vem ganhando mais atenção, a Inteli-gência de Enxames (Swarm Intelligence). Esse grupo abrange outro tipo de sistemasbio-inspirados, o sistema social, mais especificamente o comportamento de indivíduos queinteragem com o ambiente e seus semelhantes. Dentre os integrantes da categoria deinteligência de enxames, alguns se destacam como é o caso do ACO (Ant Colony Opti-mization), que é inspirado pelo comportamento das formigas; Firefly Algorithm, baseadono comportamento dos vagalumes e o PSO que originalmente foi desenvolvido apenaspara simular a coreografia de pássaros ou cardume de peixes, porém descobriu-se que essecomportamento poderia ser utilizado para simulações.

A maioria das técnicas de algoritmos evolucionários tem como procedimentos pa-drões: (1) a criação randômica de uma população, (2) o cálculo de valor fitness de cadasolução vai depender diretamente da distância do fitness ótimo, (3) reprodução da popu-lação com base no valor fitness, (4) se o objetivo for atingido então pare senão volte parao passo 2.

4.2 Introdução ao PSO

O Particle Swarm Optimization, ou PSO, é uma técnica de otimização com baseestocástica, desenvolvida por Dr. Eberhart e Dr. Kennedy em 1995. Tem raízes em doisgrupos distintos de computação bio-inspirada. Talvez a mais óbvia é a sua relação com ainteligência artificial (IA), em especial à teoria de inteligência em bando (Swarm Intelli-gence). É também relacionada à computação evolutiva, e compartilha traços com ambosalgoritmos genéticos (GA) e estratégias evolutivas [7]. O PSO, com qualidades já reconhe-cidas na literatura, será usado neste trabalho durante a construção de uma abordagemde detecção de anomalias [35][36].

Como citado anteriormente, o PSO compartilha de diversas similaridades comoutras classes de algoritmos inteligentes (Algoritmos genéticos, colônia de formigas e abe-lhas, entre outros), porém com a diferença de que é possível realizar uma busca global

40

e usa-se menos parâmetros na implementação. Porém, neste modelo não há operadoresevolutivos como cruzamento e mutação. As potenciais soluções, chamadas de partículas,“voam” sobre o escopo do problema seguindo as partículas ótimas de cada iteração doalgoritmo [37][38]. As partículas são análogas aos cromossomos no GA, as formigas noACO ou as abelhas no FA.

As várias partículas do PSO são inicializadas com posições aleatórias em umaregião viável do espaço de busca da solução. A cada passo, todas as partículas buscammelhorar o valor da sua função de fitness, observando o comportamento de seus vizinhos,e se reposicionando usando uma equação de atualização. Esse processo é repetido durantetoda a sessão de otimização. Cada partícula mantém informações relacionadas à sua velo-cidade atual e posição, bem como a posição global mais conhecida [39]. A posição globalé obtida analisando a componente de fitness de todas as partículas da solução, assim aposição da partícula que mais se aproxima da função objetivo será a melhor posição globalda solução.

Nos últimos anos o modelo PSO vem sendo cada vez mais usado na área da com-putação, em específico na área de redes de computadores, pois as características dessameta-heurística permite que ela seja simples e funcional para os problemas que necessi-tam de otimização [40].

4.3 O algoritmo

O PSO simula o comportamento de voo de pássaros durante a procura por ali-mentos. Existe apenas um pedaço desse alimento na área em que os pássaros restringema busca. Nenhum pássaro sabe exatamente onde está esse pedaço, porém sabe a distânciaem que ele se encontra a cada iteração. Por isso, instintivamente, a solução mais efetivapara os pássaros é seguir aquele que está mais próximo da comida.

Esse é o cenário que o PSO utiliza para resolver os problemas de otimização. Noalgoritmo, cada solução, comumente chamada de partícula, é um pássaro no espaço deprocura da solução ideal. Todas essas partículas tem um valor fitness, no qual chamamosde pBest e, no indivíduo globalmente mais próximo ao objetivo, tem o nome de gBest.Esse valor é associado a cada pássaro constantemente, calculado pela função fitness a serotimizada. Também faz parte desse cálculo a variável velocidade, que indica a direçãopara qual as partículas devem voar. Neste caso, as partículas voam no espaço-problemaseguindo as soluções com as quais obtêm os melhores resultados da iteração. Quando umapartícula faz parte de uma população concentrada junto aos seus vizinhos, chamamos omelhor valor desse grupo de melhor valor local ou lBest.

Portanto, o PSO globalmente se atenta a três variáveis: (i) Condição ou valor alvo,(ii) um valor de parada para caso nunca se encontre o alvo e (iii) o melhor fitness global

41

(gBest) que indica qual partícula está mais próximo ao valor alvo.

Após encontrar seus valores de pBest e o gBest, a solução é atualizada em termosde velocidade e posição usando as equações (4.1) e (4.2), respectivamente.

𝑣[𝑡+1] = 𝑤 𝑣[𝑡]+𝑐1 𝑟𝑎𝑛𝑑() ·(𝑝𝑏𝑒𝑠𝑡[𝑡]−𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡])+𝑐2 𝑟𝑎𝑛𝑑() ·(𝑔𝑏𝑒𝑠𝑡[𝑡]−𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡]) (4.1)

Onde 𝑣[𝑡 + 1] é a velocidade a ser encontrada da partícula no instante t, 𝑤 é umcoeficiente de inércia e normalmente o valor adotado para esse coeficiente é 1, pBest egBest são definidos anteriormente, rand() é um número aleatório [0,1], de acordo comouma distribuição uniforme, 𝑐1 e 𝑐2 são fatores de aprendizado que normalmente possuemo valor 𝑐1 = 𝑐2 = 2 [7].

É possível separar a equação da velocidade em três termos que consiste a ideiabásica do algoritmo inspirado no comportamento animal. O primeiro termo 𝑤 𝑣[𝑡] é cha-mado de termo de inércia. na primeira versão do PSO o coeficiente 𝑤 não existia, elefoi incluído posteriormente [41] para melhor ajustar o funcionamento do algoritmo. Osegundo termo 𝑐1 𝑟𝑎𝑛𝑑() (𝑝𝑏𝑒𝑠𝑡[𝑡] − 𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡]) é chamado de componente cognitivo, ouseja, é a representação de conhecimento que a partícula tem da solução, a melhor po-sição que partícula tem conhecimento de onde ela chegou. O Terceiro e último termo𝑐2 𝑟𝑎𝑛𝑑() (𝑔𝑏𝑒𝑠𝑡[𝑡]− 𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡]) é chamado componente social, ou seja, é a representaçãosocial do comportamento da partícula, de como o enxame de partículas se comunicamentre si para achar o objetivo.

𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡 + 1] = 𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡] + 𝑣[𝑡 + 1] (4.2)

Onde 𝑝𝑜𝑠𝑖𝑐𝑎𝑜[𝑡 + 1] é a posição a ser calculada para a solução, ou seja, seu fitness.

O fluxograma apresentado na Figura 6 mostra a rotina de funcionamento do PSO,desde o processo de inicialização das partículas, todos os cálculos envolvendo as variáveispBest e gBest e o loop principal onde são atualizadas as funções de velocidade e posição.

O Algoritmo 1 apresenta o funcionamento do PSO. Como pode ser observado, oalgoritmo pode ser encerrado de duas maneiras. A primeira ocorre quando a quantidademáxima de iterações é atingida, prevenindo que a execução ocorra indefinidamente. Asegunda é usada para medir a diferença entre a solução ótima (obtida pela função fitness)e a solução criada pelo enxame. Caso esse valor seja pequeno, o algoritmo encerra aexecução e toma gBest como a solução para o problema.

42

Figura 6 – Fluxograma de funcionamento do PSO

43

Algorithm 1 Pseudocódigo para o PSOenquanto Critério de parada ou uma taxa mínima de erro faça

para i ← 0 até fim façaparticula[i] = posicao

fim parafaçapara i ← 0 até fim faça

particula[i].fitness = particula[i].fitness + v[]se particula[i].fitness > particula[i].pBest então

particula[i].pBest = particula[i].fitnessfim se

fim parafim façapara i ← 0 até fim faça

se particula[i].pBest > gBest entãogBest = particula[i].pBest

fim sefim parapara i ← 0 até fim faça

particula[i].gBest = gBestfim parapara i ← 0 até fim faça

Ajusta a velocidade de acordo com a equação (4.1)Ajusta a posição de acordo com a equação (4.2)

fim parafim enquanto

45

5 TRABALHOS DE DETECÇÃO DE ANOMA-LIAS/INTRUSÃO QUE UTILIZAM O PSO

Devido a natureza de busca pela solução ótima do PSO, ele pode ser utilizadoem diversos sistemas de detecção. Aqui são apresentados alguns trabalhos que utilizam ameta-heurística de alguma forma em seus respectivos sistemas.

5.1 Improving the particle swarm algorithm and optimizingthe network intrusion detection of neural network

Em redes, vários trabalhos que utilizam o PSO para alguma função vem sendo apre-sentados durante os últimos anos. Exemplos como o de Yang e Hui [42], que apresenta oPSO para obter os parâmetros usados em uma Radial Basis Fuction Neural Network(RBFNeural Network). Para o problema o PSO achava os parâmetros de uma forma parcial-mente ótima, então foi empregado o uso de outras fórmulas em conjunto, criando entãoum coeficiente de variância para o PSO.

Para os resultados foram comparados os algoritmos RBF Neural Network sem oPSO, o RBF Neural Network com o PSO sem o coeficiente de variância e o RBF NeuralNetwork com o PSO modificado. Foram testados 4 tipos de ataques, sendo eles DoS,Probe, User-to-Root e por último o Remote-to-User. Com o PSO modificado foi obtidouma taxa de descoberta de mais de 90% dos ataques e o tempo para o reconhecimentodessas intrusões também foi reduzido drasticamente.

As métricas dos resultados levam em conta a acurácia que o sistema obteve, comopode ser visto a seguir na Tabela 2.

Tabela 2 – Comparação da acurácia para o RBF e RBF-PSO

Ataques RBF PSO-RBFProbe 73,37 95,80DoS 77,85 93,95User-to-Root 84,85 95,20Remote-to-User 90,11 96,02

5.2 Optimizing false alerts using multi-objective particle swarmoptimization method

Ainda em detecção de intrusos, a performance de um sistema desse tipo dependeda taxa de detecção das intrusões e também da taxa de alarmes-falso gerado, a troca

46

de verdadeiros positivo e falso positivo sempre tem que ser levado em conta nesse tipode detecção. Para isso, em Dickson e Thomas [43] o PSO é utilizado com um métodode otimização multi-objetivo para as trocas inerentes aos avaliadores de desempenho dosistema de detecção de intrusos.

Foi usado o conjunto de dados NSL-KDD que contém 41 tipos de atributos e 23tipos de ataques, para a aplicação do algoritmo de otimização. Também foi empregado ouso de 5 algoritmos de classificação para o problema, o Naïve Bayes, Regressão Logística,Random Forests, J48 e o SMO então usado um plot da curva ROC para analise. O PSOneste exemplo, foi implementado para otimizar os falsos positivos e como o objetivo erauma variação para um problema multi-objetivo o parâmetro gBest tem que ser escolhidolevando-se em conta soluções registradas que não estão no domínio. Após isso o algoritmoé aplicado.

No final, o uso do PSO ajudou o sistema de detecção de intrusão com MachineLearning utilizou o algoritmo Naïve Bayes como classificador e obteve os resultados com-parando algoritmo multi-objetivo utilizando o Genetic Algorithms com o algoritmo multi-objetivo utilizando o PSO, de acordo com a Tabela 3, levando em conta a taxa de falsospositivos e verdadeiros positivos. Também notou-se que com mais iterações melhor era oresultado. A princípio foi utilizado um número de 100 iterações para o PSO, número essejá conhecido de vários trabalhos analisados anteriormente.

Tabela 3 – Comparação entre GA e PSO para problemas multi-objetivo

Classificador Método Falso-positivo Verdadeiro-Positivo

Naïve Bayes GA Multi-objetivo 0,003 0,466PSO Multi-objetivo 0,004 0,566

5.3 A new intrusion detection approach using pso based mul-tiple criteria linear programming

Problemas com esse tipo de sistema de detecção de intrusão(IDS) regularmentenecessitam de otimização na escolha dos melhores parâmetros ou melhores conjuntos paraserem analisados. O PSO por ter características como fácil implementação e tempo redu-zido de busca é uma escolha muito boa para esses sistemas. Exemplos como o de Bamakanet al. [44] [32] mostram que o PSO vem ajudando na otimização desses sistemas, que tam-bém contam outros algoritmos de Artificial Intelligence (AI) do segmento de MachineLearning. O primeiro exemplo mostra a otimização de parâmetros para um algoritmoMultiple Criteria Linear Programming (MCLP), que é responsável por minimizar a somade parâmetros que se sobrepõem entre hiperplanos e maximizar a soma das distâncias apartir de um ponto, separando os hiperplanos. Porém a performance da MCLP é reduzidase a escolha dos parâmetros não forem corretamente selecionados e ajustados adequada-

47

mente. Então para esses parâmetros o PSO mostrou melhores frente a outros algoritmosde otimização como o GA e outros. Com a nova otimização foi possível obter melhorestaxa de reconhecimento e também houve melhora na taxa de detecção de falsos alertas.

Nos resultados foram comparados os classificadores MCLP normal, uma Máquinade Vetores de Suporte (SVM) e o classificador C5.0, levando-se em conta a acurácia e taxade alarmes falsos, de acordo com a Tabela 4. Podemos notar que o algoritmo propostocom o PSO obteve taxas de 99% de acurácia e a menor taxa de alarmes falsos entre todosos algoritmos.

Tabela 4 – Comparação dos algoritmos para o sistema de detecção

Classificador Acurácia Taxa de falso alarmePSO-MCLP 0,9913 0,01947MCLP 0,9746 0,03633SVM 0,9897 0,02751C5.0 0,9838 0,04268

O autor então adiciona um novo framework para juntar-se ao primeiro trabalho.Esse framework é baseado no Caos de tempo-variável para o PSO, método que melhora arobustez e deixa o processo de detecção mais preciso. A modificação ocorre nos parâmetrosem que o PSO utiliza para calcular sua velocidade e posição, a inércia e os coeficientes deaceleração sofrem essa modificação. No artigo, os autores verificam que essas alteraçõesdeixam o processo de otimização mais rápido e evita que a solução caia em uma situaçãode ótimo local.

5.4 Mapreduce intrusion detection system based on a particleswarm optimization clustering algorithm

Trabalhos como o de Aljarah e Ludwig [45], ainda nos mostram que o PSO podeser implementado de maneiras versáteis. Como em conjunto com um framework de para-lelização chamado MapReduce e ainda utilizando o algoritmo de otimização para análiseem clusters para a formulação do sistema de detecção de intrusão. O intuito com essaparalelização é reduzir o tempo de análise dos dados de tráfego.

O sistema implementado no artigo é dividido em três partes. Um pré-processadorque elimina valores desnecessários, elimina características desnecessárias no conjunto enormaliza os dados. Um modelo de detecção que consiste da junção do algoritmo deparalelização com o PSO. Nesse estágio cada partícula do PSO é atualizada com suaequação padrão de velocidade e posição, então o MapReduce entra em ação tratando cadapartícula da solução como um valor e cada número que identifica a partícula como umachave. A função inicia reconhecendo o valor Map, que contém todas as informações da

48

partícula, após isso o vetor com os valores de centros dos clusters, os centroides, sãoatualizados usando os dados da equação do PSO.

No sistema também há um módulo do MapReduce que atua nos valores de fitnessda solução. Ele trata cada registro de fitness como um valor e cada número de identificaçãode registro como uma chave. Então para cada partícula é realizado o cálculo de distânciado valor salvo e o valor de centroides.

Os resultados com o novo modelo foi feito comparando vários tamanhos de con-juntos de dados de acordo com a porcentagem de treino realizada e também levando emconsideração a taxa de falsos positivo e verdadeiros positivo, além da acurácia do sistema,de acordo com a Tabela 5. Os autores constataram que o melhor desempenho alcançadoé quando utiliza-se toda a base de dados em comparação com menores conjuntos, ou seja,o método funciona muito bem para base de dados que tendem a ter um aumento dequantidade de informação.

Tabela 5 – Resultados para o sistema MapReduce-PSO

Conjunto de dados Verdadeiros Positivo Falsos Positivos AcuráciaTRAIN20 0,903 0,038 0,933TRAIN40 0,911 0,021 0,945TRAIN60 0,927 0,015 0,956TRAIN80 0,935 0,013 0,961TRAIN100 0,939 0,013 0,963

5.5 Incremental particle swarm optimisation for intrusion de-tection

Outro exemplo da versatilidade do PSO, pode ser constatada em Tsai [46] onde oautor propõe um algoritmo de otimização que consegue identificar novos tipos de ataquesapenas atualizando o classificador em tempo-real, aumentando a taxa de novos ataquesque são descobertos. O novo algoritmo também visa reduzir o tempo de computação paraa descoberta de intrusão em frente a outros algoritmos em estado-da-arte para o mesmofim.

Para o criar o novo algoritmo o autor o divide em 2 tipos de processos. O primeiroconsiste em criar uma classificação para os dados já conhecidos da rede a ser analisada. Osegundo, é criado um processo de clusterização usado para classificar os novos padrões deataques que vão aparecendo, sejam eles já rotulados ou não-rotulado, utilizando o PSOcom característica de clusterização.

Os testes comparam o novo sistema proposto (IPSO) com uma versão do sistemautilizando apenas a clusterização K-means (KM) e outra versão utilizando apenas o PSO,aplicando esses algoritmos a um conjunto de dados já conhecidos como a base iris, wine,

49

E. coli e também a base de tráfego de rede KDD99 com diferentes padrões e classesutilizadas, obtendo então versões entre KDD1-KDD7 dessa base. Os resultados levam emconsideração a acurácia geral do sistema, de acordo com a Tabela 6. Com o novo algoritmoproposto os autores mostram que o sistema de fato consegue ser igual ou mais efetivo que oestado-da-arte na área, com a vantagem de conseguir reconhecer novos padrões de ataqueenquanto está executando sua rotina de reconhecimento de intrusos do sistema.

Tabela 6 – Comparação do sistema proposto no artigo (IPSO) com outros tipos de sistema

Conjunto de dados K-Means PSO apenas IPSOiris 90,8222 91,6222 90,2220wine 78,4457 96,7978 96,6290E. coli 62,3810 64,1766 63,5020KDD1 90,8667 92,1167 92,7833KDD2 88,1778 88,0000 77,7333KDD3 73,1917 51,2750 81,5792KDD4 57,5333 54,333 49,1458KDD5 99,2250 98,7133 98,8967KDD6 95,7944 96,4822 80,2689KDD7 83,2542 61,1204 80,8542

5.6 Considerações sobre o capítulo

Como visto neste capítulo, a meta-heurística PSO pode ser aplicada em vários tiposde sistema de detecção de anomalias/intrusão, obtendo resultados interessantes. Como noartigo apresentado na Seção 5.1, onde em comparação com o algoritmo sem a otimizaçãodo PSO, o novo modelo obteve mais de 93% de acurácia nos ataques testados. Na Seção5.2, o autor utiliza um sistema de detecção que aplica o Algoritmo Genético. Logo após,é feito uma análise substituindo o Algoritmo Genético pelo PSO, e o resultado obtidofoi um aumento na taxa de verdadeiros positivo apesar de uma taxa de falsos positivoum pouco mais alta. Já no artigo referido na Seção 5.3, é apresentada uma situação emque o sistema utilizando o PSO obteve uma acurácia de 99% nas situações estudadasfrente a outros tipos de classificadores. O novo método também obteve a menor taxa defalso alarme entre todos. No artigo presente na Seção 5.4, o autor constata através deteste com vários conjuntos de dados que o método utilizando PSO sempre obtém maisde 90% de acurácia e ainda obtém uma alta taxa de verdadeiros positivo e baixa taxade falsos positivo. Dessa maneira, a melhor situação para o tipo de conjunto de dadosdeste artigo é quando se treina a base inteira. Por fim, na Seção 5.5 temos situações emque o sistema proposto por vezes obtém uma acurácia não tão boa em relação a outrostipos de métodos comparados, porém isso se deve a tentativa do autor em reconhecer asintrusões em tempo-real, o que acaba custando um pouco da performance da detecção.

50

Porém, esses casos são poucos e por vezes o método proposto no artigo acaba obtendouma acurácia tão boa quanto os outros sistemas e em alguns casos até mesmo é melhor.

Tabela 7 – Tabela de comparação entre os artigosArtigo Base de Dados TFP TVP Acurácia Como o PSO é utilizado?

Yang e Hui KDD99 - - 95,24% Otimização dos Parâmetros(em média)

Dickson e Thomas KDD99 0,4% 56,6% - Busca de SoluçãoBamakan et al. KDD99 1,94% - 99,13% Otimização dos ParâmetrosAljarah e Ludwig KDD99 1,3% 93,9% 96,3% Busca de SoluçãoTsai Iris, wine, - - 81,16% Busca de Solução

E. coli, KDD99 (em média)

A Tabela 7 mostra um comparativo entre os artigos estudados neste capítulo.Observa-se que todos utilizam a base de dados Knowledge Discover and Data Mining(KDD) na versão do ano de 1999 para realizar os testes de seus respectivos sistemas dedetecção. Também são utilizados as taxas de falsos positivo (TFP) e verdadeiros posi-tivo (TVP), que são indicadores importantes de eficiência do sistema, pois mostram se asdetecções ocorrem corretamente ou não. Outro indicador de eficiência é a acurácia, essamétrica é importante para indicar a quantidade de anomalias/intrusão que são encontra-das na base. Por fim, é mostrado um comparativo que indica como o PSO foi empregadono sistema de detecção, característica importante de se observar pois mostra como a meta-heurística pode ser empregada na detecção em rede e também é interessante para futurostrabalhos na área.

51

6 CONCLUSÃO

O gerenciamento de uma rede é uma atividade que contribui decisivamente parao funcionamento contínuo dos sistemas que a compõem, garantindo que a qualidade dosserviços oferecidos mantenha-se em níveis satisfatórios pelo maior tempo possível. Ques-tões como falhas, configurações, desempenho e segurança são abordadas pelo profissionalencarregado de gerenciar a rede. Para isso, existem ferramentas que permitem ao gerenteuma boa visualização das atividades do sistema.

Um exemplo dessas ferramentas é o protocolo de coleta SNMP, e mais recente-mente, os protocolos NetFlow, IPFIX e sFlow. Usando esses protocolos, o administradorde rede conta com estatísticas que indicam o nível de desempenho do sistema por meiode medições como contadores de erro na interface, volume de tráfego, endereços e portasutilizadas na comunicação dos equipamentos. Além disso, eles proporcionam um detalha-mento do comportamento deste movimento intenso de pacotes, o que é uma característicaimprescindível para compreender o comportamento das aplicações e usuários que utilizamo sistema de rede.

Com os fluxos IP extraídos através dos protocolos Netflow, IPFIX e sFlow é pos-sível a resolução de vários problemas como impacto na rede, qual usuário ou grupo deusuários que mais causa impacto no sistema, identifica tráfego não-autorizado, além depossibilitar o reconhecimento de quais equipamentos são necessário investimento para umarede em bom estado de funcionamento. Tudo isso por que os fluxos fornecem estatísticasque permitem acompanhar o tráfego com muitos detalhes como endereço IP, portas einterfaces usadas na comunicação.

Neste trabalho, pôde-se verificar quão importante é para o gerente de rede terao seu alcance ferramentas que o auxilie na detecção de problemas que interfiram nofuncionamento correto da rede, como ataques, erros e falhas de equipamentos. O estudodesenvolvido buscou fazer um levantamento de soluções propostas na literatura, em es-pecífico aquelas que utilizam a meta-heurística Particle Swarm Optimization para fazercom que ocorra uma melhora tanto no tempo quanto na taxa de detecção das anomalias.

Também pôde ser verificado que o PSO atua em vários tipo de problemas dentroda área de redes de computadores e, em específico em relação à detecção de anomalias,é possível utiliza-lo em várias fases na identificação de eventos anômalos ou reconheci-mento de intrusões. Por exemplo, a versalidade do PSO possibilita seu uso na escolha dosmelhores conjuntos de dados para o sistema analisar, aplicado diretamente no algoritmoprincipal do sistema para chegar em resultados em menor tempo e menor custo compu-tacional. Ainda, ele pode ser aplicado em conjunto com outros algoritmos de Machine

52

Learning, clusterização, data mining, algoritmos evolutivos, entre outros, para criar novassoluções destinadas à detecção de anomalias.

As variáveis que compõe o algoritmo de otimização permitem o PSO ser bemutilizado para vários tipos de problemas. Como as várias partículas aprendem em contatocom o espaço de busca e como também conseguem se comunicar entre elas para chegarem um objetivo em um tempo razoável. Isso faz com que o PSO se adapte muito bemaos problemas que o usam para otimizar o encontro de suas soluções. As equações doalgoritmo formam o aprendizado de uma única partícula, como componentes como opBest tem uma função de conhecimento próprio da partícula e como o gBest tem comoobjetivo representar a comunicação das partículas e o enxame como um todo.

Por fim, baseado nos resultados do capítulo 5, conclui-se que o PSO é um algoritmode otimização robusto, de implementação simples e que consegue melhorar vários tipos desituações em várias áreas do conhecimento. Mais especificamente em redes, é um algoritmoque melhora drasticamente o custo computacional do sistemas de detecção de anomalias,permitindo que o processo de descoberta desses problemas sejam mais rápido e eficientee abre espaço para sistemas que possam fazer a detecção de mais anomalias em menortempo.

53

REFERÊNCIAS

[1] ZHANG, W.; YANG, Q.; GENG, Y. A survey of anomaly detection methods innetworks. In: Computer Network and Multimedia Technology, 2009. CNMT 2009.International Symposium on. [S.l.: s.n.], 2009. p. 1–3.

[2] PANDALABS. PANDALABS QUARTERLY REPORT Q1 2016. Panda, 2016.Disponível em: <http://www.pandasecurity.com/mediacenter/src/uploads/2016/05/Pandalabs-2016-T1-EN-LR.pdf>.

[3] VERISIGN. VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDSREPORT. Verisign, 2016. Disponível em: <https://www.nab.org/cybersecurity/Verisign-report-ddos-trends-Q22016.pdf>.

[4] BHUYAN, M. H.; BHATTACHARYYA, D. K.; KALITA, J. K. Network anomalydetection: Methods, systems and tools. IEEE Communications Surveys Tutorials,v. 16, n. 1, p. 303–336, First 2014. ISSN 1553-877X.

[5] CELENK, M. et al. Anomaly prediction in network traffic using adaptive wienerfiltering and arma modeling. In: 2008 IEEE International Conference on Systems,Man and Cybernetics. [S.l.: s.n.], 2008. p. 3548–3553. ISSN 1062-922X.

[6] ZHANG, Y. l.; HAN, Z. g.; REN, J. x. A network anomaly detection method basedon relative entropy theory. In: Electronic Commerce and Security, 2009. ISECS ’09.Second International Symposium on. [S.l.: s.n.], 2009. v. 1, p. 231–235.

[7] EBERHART, R.; KENNEDY, J. A new optimizer using particle swarm theory.In: Micro Machine and Human Science, 1995. MHS ’95., Proceedings of the SixthInternational Symposium on. [S.l.: s.n.], 1995. p. 39–43.

[8] CARVALHO, L. F. et al. Ant colony optimization for creating digital signatureof network segments using flow analysis. In: Chilean Computer Science Society(SCCC), 2012 31st International Conference of the. [S.l.: s.n.], 2012. p. 171–180.ISSN 1522-4902.

[9] ASSIS, M. V. O. de; RODRIGUES, J. J. P. C.; PROENçA, M. L. A novel anomalydetection system based on seven-dimensional flow analysis. In: 2013 IEEE GlobalCommunications Conference (GLOBECOM). [S.l.: s.n.], 2013. p. 735–740. ISSN1930-529X.

[10] FERNANDES, J. G. Caracterização de Tráfego e Detecção de Anomalias Utilizandoa Análise de Componentes Principais e Fluxos IP. 2014. Dissertação de Mestradoem Ciência da Computação - Universidade Estadual de Londrina, Londrina, Brazil.

[11] LIMA, M. F. et al. Networking anomaly detection using dsns and particleswarm optimization with re-clustering. In: 2010 IEEE Global TelecommunicationsConference GLOBECOM 2010. [S.l.: s.n.], 2010. p. 1–6. ISSN 1930-529X.

[12] ZARPELAO, B. B. et al. Parameterized anomaly detection system with automaticconfiguration. In: GLOBECOM 2009 - 2009 IEEE Global TelecommunicationsConference. [S.l.: s.n.], 2009. p. 1–6. ISSN 1930-529X.

54

[13] CHENG, T. et al. An effective pso-tlbo algorithm for multi-objective optimization.In: 2016 IEEE Congress on Evolutionary Computation (CEC). [S.l.: s.n.], 2016. p.3977–3982.

[14] MOREIRA, G.; LUZ, E.; MENOTTI, D. Optimizing acceptance frontier usingpso and ga for multiple signature iris recognition. In: 2016 IEEE Congress onEvolutionary Computation (CEC). [S.l.: s.n.], 2016. p. 4592–4598.

[15] PENA, E. H. M. Um Sistema de Detecção de Anomalias que Utiliza AssinaturaDigital de Segmento de Rede, Arima Adaptativo e Lógica Paraconsistente. 2014.Dissertação de Mestrado em Ciência da Computação - Universidade Estadual deLondrina, Londrina, Brazil.

[16] BIAN, Q. et al. Small scale helicopter system identification based on modifiedparticle swarm optimization. In: 2016 IEEE Chinese Guidance, Navigation andControl Conference (CGNCC). [S.l.: s.n.], 2016. p. 182–186.

[17] PADMAVENI, K.; ARAVINDHAR, D. J. Hybrid memetic and particle swarmoptimization for multi objective scientific workflows in cloud. In: 2016 IEEEInternational Conference on Cloud Computing in Emerging Markets (CCEM). [S.l.:s.n.], 2016. p. 66–72.

[18] RAMAN, L. Osi systems and network management. IEEE CommunicationsMagazine, v. 36, n. 3, p. 46–53, Mar 1998. ISSN 0163-6804.

[19] VORUGANTI, R. R. A global network management framework for the 90s. In:Communications, 1994. ICC ’94, SUPERCOMM/ICC ’94, Conference Record,’Serving Humanity Through Communications.’ IEEE International Conference on.[S.l.: s.n.], 1994. p. 1094–1098 vol.2.

[20] GOYAL, P.; MIKKILINENI, R.; GANTI, M. Fcaps in the business services fabricmodel. In: Enabling Technologies: Infrastructures for Collaborative Enterprises,2009. WETICE ’09. 18th IEEE International Workshops on. [S.l.: s.n.], 2009. p.45–51. ISSN 1524-4547.

[21] WANG, X. et al. Studies on network management system framework of campusnetwork. In: Informatics in Control, Automation and Robotics (CAR), 2010 2ndInternational Asia Conference on. [S.l.: s.n.], 2010. v. 2, p. 285–289. ISSN 1948-3414.

[22] KIM, H.; FEAMSTER, N. Improving network management with software definednetworking. IEEE Communications Magazine, v. 51, n. 2, p. 114–119, February2013. ISSN 0163-6804.

[23] TANDBERG. TANDBERG SNMP. [S.l.]. 1-29 p. Disponível em: <http://www.cisco.com/c/dam/en/us/td/docs/telepresence/endpoint/mxp-series/white_papers/white_paper_snmp_technical_manual.pdf>.

[24] TRAMMELL, B.; BOSCHI, E. An introduction to ip flow information export (ipfix).IEEE Communications Magazine, v. 49, n. 4, p. 89–95, April 2011. ISSN 0163-6804.

[25] CISCO. Network as a Security Sensor. [S.l.], 2017. Disponível em:<http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/enterprise-network-security/white-paper-c11-736595.pdf>.

55

[26] CLAISE, B. Cisco Systems NetFlow Services Export Version 9. [S.l.], 2004. 1-33 p.Disponível em: <https://www.ietf.org/rfc/rfc3954.txt>.

[27] CLAISE, B. Specification of the IP Flow Information Export (IPFIX) Protocol forthe Exchange of IP Traffic Flow Information. [S.l.], 2008. 1-61 p. Disponível em:<https://www.ietf.org/rfc/rfc5101.txt>.

[28] QUITTEK, J. et al. Information Model for IP Flow Information Export. [S.l.], 2008.1-84 p. Disponível em: <https://www.ietf.org/rfc/rfc5102.txt>.

[29] TRAMMELL, B. Bidirectional Flow Export Using IP Flow Information Export(IPFIX). [S.l.], 2008. 1-21 p. Disponível em: <https://www.ietf.org/rfc/rfc5103.txt>.

[30] PHAAL, P.; PANCHEN, S.; MCKEE, N. InMon Corporation’s sFlow: A Method forMonitoring Traffic in Switched and Routed Networks. [S.l.], 2001. 1-31 p. Disponívelem: <http://www.ietf.org/rfc/rfc3176.txt>.

[31] KAUR, G.; SAXENA, V.; GUPTA, J. P. Anomaly detection in network traffic androle of wavelets. In: Computer Engineering and Technology (ICCET), 2010 2ndInternational Conference on. [S.l.: s.n.], 2010. v. 7, p. V7–46–V7–51.

[32] BAMAKAN, S. M. H. et al. An effective intrusion detection framework basedon mclp/svm optimized by time-varying chaos particle swarm optimization.Neurocomputing, v. 199, p. 90 – 102, 2016. ISSN 0925-2312. Disponível em:<//www.sciencedirect.com/science/article/pii/S0925231216300510>.

[33] ZENTNER, J. J.; SULLINS, J. Survey of neural network techniques and relevantapplications. In: Proceedings. The First IEEE Regional Conference on AerospaceControl Systems,. [S.l.: s.n.], 1993. p. 32–36.

[34] HOLLAND, J. H. An overview. In: . Adaptation in Natural and ArtificialSystems:An Introductory Analysis with Applications to Biology, Control, andArtificial Intelligence. MIT Press, 1992. p. 159–170. ISBN 9780262275552. Disponívelem: <http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=6285653>.

[35] XIAO, L.; SHAO, Z.; LIU, G. K-means algorithm based on particle swarmoptimization algorithm for anomaly intrusion detection. In: 2006 6th World Congresson Intelligent Control and Automation. [S.l.: s.n.], 2006. v. 2, p. 5854–5858.

[36] JADIDI, Z. et al. Flow-based anomaly detection using neural network optimizedwith gsa algorithm. In: 2013 IEEE 33rd International Conference on DistributedComputing Systems Workshops. [S.l.: s.n.], 2013. p. 76–81. ISSN 1545-0678.

[37] JIANZHEN, W.; JINRONG, S. Research on the application of particle swarmoptimization algorithm in anomaly detection. In: Computer Science and Education(ICCSE), 2010 5th International Conference on. [S.l.: s.n.], 2010. p. 474–476.

[38] BUCZAK, A. L.; GUVEN, E. A survey of data mining and machine learningmethods for cyber security intrusion detection. IEEE Communications SurveysTutorials, v. 18, n. 2, p. 1153–1176, Secondquarter 2016. ISSN 1553-877X.

56

[39] MONSON, C. K.; SEPPI, K. D. Under-informed momentum in pso. In:Proceedings of the Companion Publication of the 2014 Annual Conference onGenetic and Evolutionary Computation. New York, NY, USA: ACM, 2014.(GECCO Comp ’14), p. 13–14. ISBN 978-1-4503-2881-4. Disponível em:<http://doi.acm.org/10.1145/2598394.2598490>.

[40] LI, S.-H. et al. A network behavior-based botnet detection mechanism usingpso and k-means. ACM Trans. Manage. Inf. Syst., ACM, New York, NY,USA, v. 6, n. 1, p. 3:1–3:30, abr. 2015. ISSN 2158-656X. Disponível em:<http://doi.acm.org/10.1145/2676869>.

[41] SHI, Y.; EBERHART, R. A modified particle swarm optimizer. In: 1998 IEEEInternational Conference on Evolutionary Computation Proceedings. IEEE WorldCongress on Computational Intelligence (Cat. No.98TH8360). [S.l.: s.n.], 1998. p.69–73.

[42] YANG, X.; HUI, Z. Improving the particle swarm algorithm and optimizingthe network intrusion detection of neural network. In: 2015 Sixth InternationalConference on Intelligent Systems Design and Engineering Applications (ISDEA).[S.l.: s.n.], 2015. p. 452–455.

[43] DICKSON, A.; THOMAS, C. Optimizing false alerts using multi-objective particleswarm optimization method. In: 2015 IEEE International Conference on SignalProcessing, Informatics, Communication and Energy Systems (SPICES). [S.l.: s.n.],2015. p. 1–5.

[44] BAMAKAN, S. M. H. et al. A new intrusion detection approach using pso basedmultiple criteria linear programming. Procedia Computer Science, v. 55, p. 231 –237, 2015. ISSN 1877-0509. Disponível em: <http://www.sciencedirect.com/science/article/pii/S187705091501515X>.

[45] ALJARAH, I.; LUDWIG, S. A. Mapreduce intrusion detection system based ona particle swarm optimization clustering algorithm. In: 2013 IEEE Congress onEvolutionary Computation. [S.l.: s.n.], 2013. p. 955–962. ISSN 1089-778X.

[46] TSAI, C. W. Incremental particle swarm optimisation for intrusion detection. IETNetworks, v. 2, n. 3, p. 124–130, Sept 2013. ISSN 2047-4954.