UM MODELO DE APRENDIZAGEM DE MÁQUINA COM EARLY EXITS PARA SISTEMAS DE DETECÇÃO DE INTRUSÃO EM DISPOSITIVOS COM RECURSOS LIMITADOS

INTRODUÇÃO: O número de ataques cibernéticos aumentou significativamente, representando atualmente quase um quinto do tráfego de rede mundial. De acordo com um relatório de segurança recente, o número de ataques baseados em rede no primeiro trimestre de 2022 aumentou 4,5 vezes em comparação com o mesmo período do ano anterior. Sendo assim, os administradores de rede devem acessar soluções de segurança que possam detectar com segurança esse número crescente de ataques à rede. Os sistemas de detecção de intrusão (IDS) são amplamente implantados para monitorar e identificar ataques de rede, classificar atividades maliciosas e neutralizá-las em um determinado ambiente. As soluções da literatura geralmente dependem de duas abordagens principais para realizar essa tarefa de detecção de intrusão. Por um lado, as abordagens baseadas em uso indevido agregam padrões e assinaturas de ataque bem conhecidos para identificá-los no tráfego de rede que passa. No entanto, eles detectam apenas assinaturas previamente conhecidas deixando os sistemas desprotegidos contra ataques zero-day, por exemplo. Por outro lado, as abordagens baseadas em comportamento analisam a conduta dos entes da rede dentro de um determinado ambiente de rede para sinalizar más condutas, por exemplo, aplicando um modelo de aprendizado de máquina (ML). As soluções que adotam essa abordagem geralmente podem detectar novas invasões, mas somente se elas se comportarem da mesma forma que os ataques conhecidos anteriormente usados para construir o modelo comportamental. OBJETIVOS: O objetivo geral deste projeto é o desenvolvimento de uma abordagem de detecção de intrusão baseada em rede através de técnicas baseadas em early exits. Para tanto a técnica desenvolvida irá otimizar o modelo de detecção para aceitar a classificação de eventos nas primeiras saídas da rede neural convolucional (Convolutional Neural Network, CNN) a fim de diminuir o custo computacional do sistema. Não obstante, o modelo desenvolvido também irá otimizar a acurácia do sistema através das camadas sequentes, permitindo assim a detecção de intrusão de eventos não facilmente classificados pelas camadas iniciais. MATERIAIS E MÉTODO: O modelo desenvolvido faz uso de uma rede com early exits que permite a detecção de intrusão de maneira prematura do trafego. A abordagem proposta permite encerrar a inferencia caso o evento possua uma alta taxa de acerto. RESULTADOS: O modelo desenvolvido permitiu diminuir o tempo computacional necessário para detectar intrusões, diminuindo significativamente o tempo computacional CONSIDERAÇÕES FINAIS: O modelo proposto avança o estado da arte na detecção de intrusão permitindo que ataques sejam detectados com menos custo computacional.

PALAVRAS-CHAVE: Detecção de Intrusão; Ataques de Rede; Aprendizagem de Máquina