LogA-DM: An Approach of Dynamic Log Analysis
R. S. Machado, R. B. Almeida, A. C. Yamin and A. M. Pernas
Abstract In ubiquitous computing high levels of connectivity
are needed. Considering that, preoccupations related with
security aspects are indispensable. One strategy that can be
applied for improve security is the log analysis. Such strategies
can be used to promote systems understanding, in particular,
the detection of intrusion attempts. The operation of modern
computing systems, as the ones used in ubiquitous computing,
tend to generate a large number of log records, which require
the use of automatic tools to an easier analysis. Tools that
employ data mining techniques to log analysis have been used in
order to detect attempted attacks on computer systems, assisting
security management. Thus, this paper proposes an approach to
perform log analysis with intuit to prevent attack situations. The
proposed solution explores two fronts: (i) log records of
applications, and (ii) log records from the network and transport
layers. To evaluate the proposed approach was designed a
prototype that employs modules for collection and normalization
of data. The normalization module also adds contextual
information in order to assist the analysis of critical security
situations. To conserve the systems autonomic operation, the
records of the network and transport layers are collected and
evaluated from connections in progress. Tests were developed in
the proposed solution, showing good result for typical categories
of attack.
Keywords Ubiquitous Computing, Context-awareness, Log
Analysis, Data Mining.1
I. INTRODUO
O PARADIGMA de computao ubqua (UbiComp) tem
como premissa prover computao de forma
transparente, estando o modelo computacional integrado as
demandas do usurio [1]. Nesta perspectiva, a mobilidade do
usurio e as decorrentes trocas de infraestrutura de acesso,
presentes na UbiComp, potencializam a preocupao com a
segurana da informao.
Este trabalho tem como objetivo central explorar a anlise
dos arquivos de logs de equipamentos, enquanto tcnica para
promover a segurana dos equipamentos no ambiente ubquo,
bem como da informao que trafega pelos mesmos.
De modo mais especfico, a proposta empregar a anlise
de logs com o objetivo de melhorar a compreenso do
funcionamento do sistema, visando detectar tentativas de
ataques, aes realizadas por um invasor, entre outras.
Os arquivos de log contm uma ordem cronolgica dos
eventos gerados pelos diferentes softwares em execuo, os
quais possuem formatos de logs especficos, produzindo assim
diferentes formatos de log a serem analisados [2].
R. S. Machado, Universidade Federal de Pelotas (UFPel), Pelotas, Rio
Grande do Sul, Brasil, rdsmachado@inf.ufpel.edu.br
R. B. Almeida, Universidade Federal de Pelotas (UFPel), Pelotas, Rio
Grande do Sul, Brasil, rbalmeida@inf.ufpel.edu.br
A. C. Yamin, Universidade Federal de Pelotas (UFPel), Pelotas, Rio
Grande do Sul, Brasil, adenauer@inf.ufpel.edu.br
A. M. Pernas, Universidade Federal de Pelotas (UFPel), Pelotas, Rio
Grande do Sul, Brasil, marilza@inf.ufpel.edu.br
Os diferentes formatos e as informaes de cada tipo de log
fazem com que a tarefa de anlise dos mesmos deixe de ser
trivial. Alm disso, os arquivos de log tendem a possuir
inmeras entradas, pois so gerados registros de praticamente
todas as atividades referentes s aplicaes em uso no sistema
computacional, o que tambm contribui para aumentar
significativamente o custo de uma anlise manual destes
registros [3].
Como estratgia para reduzir a quantidade de registros a ser
tratada, e assim viabilizar a anlise de logs por especialistas
humanos, este trabalho explora a minerao de dados.
Diversas propostas utilizando minerao de dados foram
pesquisadas e aplicadas anlise de log [4] [5] [6].
Diferentemente destas abordagens este trabalho prope uma
abordagem denominada LogA-DM, a qual realiza a anlise
dos registros de log de forma dinmica, ou seja, em tempo de
execuo e no somente a partir de registros histricos
Como estudo de caso, foi aplicada a abordagem LogA-DM
nos servidores do projeto AMPLUS (Automatic Monitoring
and Programmable Logging Ubiquitous System) a fim de
aprimorar o entendimento do ambiente computacional por
meio do monitoramento dos registros de log das aplicaes
que executam nos sistemas computacionais presentes no
projeto. Alm disso, o monitoramento do trfego da rede e a
aplicao de uma tcnica de minerao de dados nos registros
deste trfego so utilizados com o intuito de detectar ataques
contra os sistemas, melhorando a segurana do ambiente.
Sendo os servidores do projeto AMPLUS operados de forma
primariamente autonmica, a soluo executada em tempo de
aplicao permite com que alertas sejam gerados de forma
direta pelo sistema, facilitando a tomada de deciso por parte
do administrador do sistema.
Este artigo est organizado da seguinte forma:
primeiramente, na seo II, so apresentadas as principais
caractersticas da Computao Ubqua que dizem respeito ao
tema explorado no artigo e os principais aspectos relacionados
tarefa de anlise de log, mostrando as principais
particularidades e benefcios da sua utilizao. Por sua vez, na
seo III, os trabalhos relacionados so analisados, realizando
uma breve descrio destes. Na seo IV discutida a
arquitetura do LogA-DM, caracterizando o funcionamento de
cada mdulo. A seo V apresenta o estudo de caso
empregado para validar a arquitetura desenvolvida para o
LogA-DM, e os correspondentes resultados obtidos.
Finalmente, na seo VI, so discutidas as concluses do
trabalho desenvolvido.
II. REFERENCIAL TERICO
Esta seo apresenta algumas caractersticas da Computao
Ubqua e da tarefa de anlise de log.
A. Computao Ubqua
Computao Ubqua, ou UbiComp, o termo utilizado para
a terceira era da computao moderna (atual), onde uma
variedade de dispositivos eletrnicos, com diferentes perfis
computacionais, que operando de modo conectado cooperam
para fornecer servios para os usurios [7].
As aplicaes ubquas possuem basicamente trs
princpios, sendo eles [8]:
descentralizao: na computao ubqua, alguns de log pode ser produzido em modo texto, ou em outro modo
dispositivos ficam encarregados de executar tarefas
especficas, fazendo com que as responsabilidades sejam
distribudas. Com isso preciso que os equipamentos
trabalhem e cooperem entre si, criando ento uma rede
dinmica de relaes entre os dispositivos e os servidores
do ambiente, caracterizando um sistema distribudo;
diversificao: sistemas computacionais devem saber
gerenciar as diferentes capacidades dos mais diversos
equipamentos, escolhendo automaticamente aquele que
melhor se adequar determinada situao;
conectividade: na ubiquidade computacional existe a viso
da conectividade ilimitada e sem fronteiras, em que os
equipamentos e as aplicaes que neles executam esto se
movendo com o usurio, entrando e saindo de redes
heterogneas de forma transparente.
Dentre os diversos requisitos de um ambiente ubquo, est
conscincia de contexto, que pode ser resumida como: (i) a
capacidade de coletar informaes relevantes para o contexto
de interesse das aplicaes; (ii) armazenar os dados coletados
em um histrico que pode ser utilizado para estabelecer
tendncias sobre os valores de informaes de contexto, ou
ainda; (iii) disparar aes e comportamentos que interfiram no
estado do ambiente do usurio [9].
Nesta perspectiva, contexto definido como qualquer
informao que possa ser usada para caracterizar a situao de
uma entidade (pessoa, local ou objeto) que considerada
relevante para a interao entre o usurio e a aplicao,
incluindo o prprio usurio e a aplicao [9] [10].
Assim, o contexto pode ser considerado como uma
descrio complexa de conhecimento compartilhado sobre
circunstncias fsicas, sociais, histricas, entre outras, onde
aes ou eventos ocorrem. Deste modo, conscincia de
contexto a capacidade de um sistema em usar informaes
contextuais para prover servios e/ou informaes relevantes
para o usurio [10].
Neste trabalho, a anlise dos logs coletados durante a
operao do sistema ubquo utilizada como fonte de
informao contextual, pois so exploradas com o intuito de
detectar conexes suspeitas e, quando analisadas em conjunto,
prever situaes de ataque ao sistema computacional.
De modo mais especfico, destacam-se algumas motivaes
para aplicao de conscincia de contexto nos sistemas:
auxiliar na compreenso da realidade;
facilitar na adaptao de sistemas;
apoiar o processo de transformao dos dados em
informao;
auxiliar na compreenso de eventos complexos, e;
ajudar na percepo da ocorrncia de situaes.
B. Anlise de log
Log um arquivo gerado por uma determinada aplicao,
que possu registro de eventos, os quais permitem que um
analista visualize as atividades que ocorrem nos sistemas
computacionais (servios em geral, e/ou o comportamento da
prpria rede de redes de computadores utilizada) [3]. Log
considerado uma das principais fontes de dados para execuo
de uma percia bem sucedida em um sistema [11]. Um arquivo
de interesse especfico da aplicao em questo.
Diferentes componentes que integram o sistema
computacional geram registros de log, tais como: sistema
operacional, SGBD (Sistemas Gerenciadores de Banco de
Dados), IDS (Intrusion Detection System), firewall, antivrus,
dispositivos de rede, dentre outros. Os eventos inseridos nos
arquivos de log podem ser referentes s atividades normais,
alertas ou erros. Observa-se que cada tipo de log usualmente
possui um formato especfico, o que contribui para dificultar a
sua anlise.
Atualmente, as diferentes atividades dos dispositivos
computacionais geram registros de log de tamanhos elevados,
trazendo dificuldades anlise manual destes registros.
Devido a este fato, muitas vezes no possvel analisar os
registros coletados em um espao razovel de tempo, o que
pode tornar a implementao de contramedidas ineficiente,
pois necessrio que a ao por parte do administrador do
sistema seja o mais imediata possvel ao acontecimento de um
determinado evento ou conjunto destes, com o intuito de
reduzir o impacto de um possvel incidente de segurana, ou
at mesmo evit-lo.
Devido s dificuldades encontradas na anlise de log,
verifica-se o aumento das pesquisas que buscam propostas
para auxiliar na realizao desta tarefa.
A reviso de literatura indicou que os principais propostas
para auxlio de administradores na anlise de arquivos de log
implementam as seguintes funcionalidades [12]:
anlise lxica: processo relativo anlise dos registros de
log e produo de uma sada formatada em um padro mais
adequado para futuro processamento. O sistema deve
permitir que diferentes arquivos de log em diferentes
padres possam ser analisados, pois em um ambiente
dinmico muitos sistemas e, consequentemente tipos de
log, operam simultaneamente;
anlise sobre eventos de log: processo para extrao de
informao relevante sobre as mensagens de log atravs de
algoritmos, regras ou consultas. Nessa atividade, podem ser
aplicadas tcnicas com o intuito de realizar um filtro nos
registros coletados, identificando quais registros devem ser
analisados pelo analista e quais registros de log so
registros normais, de rotina do sistema e podem ser
ignorados, diminuindo assim o nmero de registros que
devem ser analisados;
transmisso: processo de transmisso dos registros de log
para um servidor remoto. importante ressaltar que essa
atividade essencial para realizao da tarefa de anlise de
log, pois necessrio manter os registros de log coletados
em outro sistema para ter a garantia que os registros no
sejam alterados. Isso se d devido ao fato de que
 normalmente quando um atacante consegue acesso a um
sistema ele modifica/apaga os registros gerados com o
intuito de esconder as atividades que realizar;
armazenamento: processo que compreende em armazenar
os registros de log para futuras consultas. Estas consultas
podem ter uma motivao de auditoria ou investigao, ou
ainda de entendimento de padres e minerao de
informao;
visualizao: processo que permite a visualizao dos
registros de log, sejam eles registros atuais ou histricos.
Isto permitir que analistas acompanhem a execuo do
sistema atravs dos registros de log gerados.
III. TRABALHOS RELACIONADOS
Em [13], proposto um prottipo que aplica tcnicas de
minerao de dados nos registros do trafego da rede, com o
intuito de classific-los como conexes normais e riscos de
ataque. As tcnicas de rvore de Deciso e Algoritmos
Genticos foram aplicadas a uma base de dados de trafego da
rede classificando as conexes em quatro diferentes categorias
de ataque. Ambas as tcnicas alcanaram resultados
satisfatrios e a melhor taxa de acerto foi do Algoritmo
Gentico que alcanou 92.595 % de conexes classificadas
corretamente.
Em [14], apresentado uma abordagem para deteco de
anomalias no trfego da rede, a qual consiste na combinao
de duas tcnicas: Latent Dirichlet Allocation e Algoritmo
Gentico. Com o intuito de testar a abordagem hbrida foi
utilizada a base de dados KDD Cup 99, nos testes realizados a
abordagem alcanou uma taxa de acertos geral de 88,5 %, com
uma taxa de falso positivo de 6 %.
Em [6], apresentado uma proposta de classificao do
trfego da rede com o intuito de auxiliar um IDS no
tratamento de volumes significativos de informaes. Foram
aplicados dois algoritmos da tcnica de rvore de Deciso,
sendo uma verso com poda e outra sem. Os dois algoritmos
foram aplicadas a duas bases de dados com registros do
trfego da rede, sendo que a verso do algoritmo com poda
alcanou uma taxa de acertos superior em ambos os testes. No
teste utilizando a base de dados KDD Cup 99 a taxa de acertos
alcanada foi de 95,09 % mostrando um desempenho
satisfatrio para classificar registros do trfego da rede.
Analisando os trabalhos relacionados, diferentemente do
presente trabalho, eles analisam tipos de log especficos, no
possuindo a possibilidade de analisar tipos diferentes de
registros de log. A anlise de tipos de log distintos pode exigir
a utilizao de ferramentas diferentes para cada tipo de log.
Alm disso, outra desvantagem dos trabalhos relacionados em
relao ao presente trabalho, que so analisados somente
registros histricos de log, dificultando a tomada de ao
imediata por parte do administrador do sistema, o que
possvel por meio da anlise automtica destes registros em
tempo de conexo. Destaca-se ainda, que a taxa de acertos
geral alcanada pelos trabalhos relacionados utilizando a base
de dados KDD Cup 99 so inferiores aos resultados do
presente trabalho.
IV. ABORDAGEM PROPOSTA: LOGA-DM
O LogA-DM foi proposto considerando as premissas
operacionais e as estratgias de implementao do middleware
EXEHDA (Execution Environment for Highly Distributed
Applications), em desenvolvimento no grupo de pesquisa
LUPS (Laboratory of Ubiquitous and Parallel Systems) onde
o LogA-DM foi concebido. O EXEHDA possui uma
arquitetura distribuda e oferece suporte aquisio,
processamento e armazenamento de informaes contextuais,
caractersticas estas oportunas s funcionalidades do LogA-
DM.
A seguir apresentado o middleware e, na sequncia, a
concepo do LogA-DM.
A. Middleware EXEHDA
O ambiente EXEHDA consiste de um middleware, ou seja,
um software que faz a mediao entre o sistema operacional
dos equipamentos e as demais aplicaes. Ele direcionado s
aplicaes distribudas, mveis e conscientes de contexto,
sendo baseado em servios. Seus objetivos principais so:
criar e gerenciar um ambiente ubquo formado por clulas de
execuo distribudas e promover a computao sobre esse
ambiente cuja composio dinmica e integralizada por
equipamentos heterogneos [15].
A Fig.1 apresenta um exemplo do ambiente ubquo
gerenciado pelo EXEHDA, onde so ilustradas as vrias
clulas de execuo que podem fazer parte deste ambiente.
Dentro de cada clula podem existir inmeros SB (Servidores
de Borda) que so os servidores responsveis pela
comunicao com o meio atravs de sensores e atuadores.
Alm disso, cada clula possui um servidor base, chamado de
SC (Servidor de Contexto), sendo responsvel por armazenar
as informaes coletadas no RIC (Repositrio de Informaes
Contextuais), bem como permitir a manipulao
(processamento, visualizao, etc.) destas informaes.
Figura 1. Ambiente ubquo.
A seguir apresentada a arquitetura do LogA-DM.
B. Arquitetura
Neste trabalho, optou-se por diferenciar os registros de log
de aplicaes, dos registros de trfego de rede, os quais seriam
registros de log das camadas de rede e transporte.
 Com isso o monitoramento do trfego da rede realizado
de maneira diferente dos registros de log de aplicaes, e esse
monitoramento possui como finalidade identificar possveis
tentativas de ataques aos servidores. A identificao das
tentativas de ataque realizada atravs da utilizao da tcnica
de classificao por rvores de Deciso.
A Fig.2 apresenta a arquitetura do analisador de log
desenvolvido para o LogA-DM, apresentando os mdulos
implementados. Pode-se observar na Fig.2 que a arquitetura
possui dois fluxos de dados, sendo um a partir dos coletores de
logs, e o outro do coletor de trfego da rede, mostrando os
tratamentos realizados de maneira diferente para os registros
de log de aplicaes e os registros de trfego da rede.
Figura 2. Arquitetura do LogA-DM.
Na Fig. 2, os coletores de logs enviam os registros para a
anlise lxica/sinttica, enquanto que o coletor de trfego da
rede encaminha os registros para o mdulo de classificao.
Aps os processos de anlise lxica/sinttica e classificao,
os registos so enviados para o SC onde so armazenados em
um banco de dados para futuras anlises.
C. Mdulo de Coleta de Registros de Log
O coletor de logs internos monitora os arquivos de log,
aguardando e coletando os registros no momento de sua
escrita nos respectivos arquivos. O coletor de logs externo
responsvel receber eventos de diferentes dispositivos,
funcionando como um servidor Syslog [16].
Durante o monitoramento possvel aplicar um filtro nos
registros, com o intuito de coletar somente aqueles registros de
interesse, j que muitas vezes um arquivo de log pode possuir
uma variedade de registros de diferentes aplicaes.
D. Mdulo de Anlise Lxica/Sinttica
Esse mdulo responsvel por realizar tarefas de
normalizao e contextualizao dos registros de log
coletados, separando-os em campos e adicionando
informaes de forma a contextualizar os dados presentes nos
registros. Alm disso, o mdulo realiza a eliminao de
campos que no sejam de interesse para anlise.
Para realizar essa tarefa, foi utilizado um parser chamado
Pyparsing. Pyparsing um mdulo Python puro que pode ser
facilmente adicionado a uma aplicao Python. Ele fornece
um conjunto de classes para a construo de um analisador de
elementos atravs de expresses [17].
Para funcionamento deste mdulo foram desenvolvidas
expresses definindo alguns formatos esperados, com o intuito
de separar os registros de log em campos. Aps essa separao
pode ser feita uma adio de dados contextuais, como por
exemplo, referentes geolocalizao de um endereo IP
(Internet Protocol) que realizou uma conexo com o servidor,
ou o navegador e o sistema operacional do usurio que
requisitou uma pgina Web.
A Fig.3 mostra um exemplo do funcionamento do processo
de anlise lxica/sinttica em um registro de log da aplicao
Shorewall. Primeiramente, apresentado o campo Coletor de
Log, onde o registro da aplicao apresentado em seu
formato original. Em seguida, o campo Anlise
Lxica/Sinttica apresenta os campos para separao do
registro original. Por ltimo, o campo Sada da Anlise
Lxica mostra o registro formatado.
Figura 3. Exemplo de funcionamento da anlise lxica/sinttica.
Como pode ser observado na Fig.3, a visualizao dos
dados presentes no registro de log se torna facilitada aps a
anlise lxica/sinttica, j que o registro separado em
campos. Pode-se observar, comparando o registro de log
original e a sada da anlise lxica/sinttica, que alguns
campos foram eliminados, devido ao fato de no possurem
uma informao de interesse para a aplicao. Outro detalhe a
ser notado que foram adicionadas informaes relacionadas
geolocalizao do IP que acessou o servio. Essa adio de
informaes contextuais pode ser til para as anlises que
venham a ser realizadas.
E. Mdulo de Coleta do Trfego da Rede
Na concepo do LogA-DM a estratgia adotada realizar
o monitoramento do trfego da rede sem necessitar de uma
ferramenta para a gerao do arquivo de log, e neste caso,
optou-se por utilizar uma ferramenta de manipulao de
pacotes chamada Scapy.
Scapy um framework desenvolvido em Python que
apresenta, dentre as suas funcionalidades, a possibilidade de
manipulao de pacotes IP. A ferramenta permite uma maior
interatividade em relao a outras ferramentas existentes,
permitindo a manipulao de pacotes IP de maneira mais
flexvel. Outra funcionalidade interessante a de anlise da
rede (sniffer), a qual permite o monitoramento do trfego da
rede [18].
A funcionalidade sniffer utilizada neste mdulo de forma
a monitorar e capturar o trfego da rede. No momento da
captura de um pacote, analisado se este pacote de uma
nova sesso ou de uma sesso que j est sendo monitorada.
Aps a identificao do encerramento de uma sesso, ela
repassada para o mdulo de classificao onde realizada a
classificao desta conexo.
F. Mdulo de Classificao
Este mdulo responsvel por classificar as conexes
capturadas pelo mdulo de coleta do trfego da rede. O
mdulo de classificao utiliza a tcnica de rvores de
Deciso. Optou-se pela utilizao de uma verso otimizada do
algoritmo CART (Classification And Regression Trees) [19].
Este algoritmo est disponvel no mdulo scikit-learn, o qual
consiste de um mdulo para a linguagem Python, onde se
encontra implementada uma variedade de tcnicas de
aprendizagem de mquina.
Com a utilizao da tcnica de rvore de Deciso torna-se
necessrio o emprego de uma base de dados para treinamento
da rvore, de forma a realizar o aprendizado e assim conseguir
classificar as conexes de forma adequada. Para isso, foi
utilizado o conjunto de dados KDD Cup 99, amplamente
utilizado nesse tipo de estudo. A base escolhida para
treinamento constituda de 41 atributos referentes s
informaes da conexo e a categoria referente mesma [20],
Antes de iniciar a etapa de treinamento se fez necessrio
um pr-processamento dos dados de forma a transformar os
dados em valores numricos, onde o atributo protocolo era
substitudo por o seu valor numrico, e o atributo servio foi
trocado pelo nmero da porta padro de execuo do mesmo.
Isto consequncia de uma restrio por parte do algoritmo
CART utilizado, que s trabalha com dados numricos.
Na Fig.4so apresentadas algumas regras geradas a partir
da rvore treinada, as quais fazem parte do conjunto de regras
aplicado ao classificador treinado para realizar a classificao
das conexes capturadas. Pode-se notar que algumas delas so
mais simples, consistindo estas das regras onde as folhas
encontram-se nos nveis mais prximos raiz. Conforme as
folhas vo se afastando da raiz, as regras possuem um nmero
maior de condies necessrias para classificao de uma
conexo entre normal e suspeita.
G. Mdulo de Comunicao com o Servidor de Contexto
Esse mdulo responsvel pela comunicao com o SC,
onde sero armazenados os registros de log coletados e o
trfego da rede em um banco de dados. Este mdulo tambm
responsvel por buscar no banco de dados os itens que devem
ser monitorados pelo prottipo, j que a configurao do
prottipo e as informaes que ele precisa para executar, tais
como as expresses desenvolvidas para a anlise
lxica/sinttica, sero mantidas no SC. Assim, caso seja
necessria alguma alterao, como incluso de um novo log a
ser monitorado ou a criao de novas expresses, necessria
a alterao somente no banco de dados presente no SC.
Figura 4. Exemplo de regras geradas da rvore treinada.
V. PROTOTIPAO E RESULTADOS OBTIDOS
Como estudo de caso para avaliao do prottipo
desenvolvido para o LogA-DM foi utilizado o projeto
AMPLUS, que tem por objetivo promover solues da
Computao Ubqua para o Laboratrio Didtico de Anlise
de Sementes (LDAS) da FAEM/UFPEL (Faculdade de
Agronomia Eliseu Maciel/Universidade Federal de Pelotas).
Dentre os servios fornecidos destaca-se a conscincia de
contexto referente aos equipamentos do laboratrio.
O ambiente ubquo do projeto AMPLUS gerenciado pelo
Servio de Contexto do middleware EXEHDA, o qual tem por
base o SB e SC, bem como o RIC. O RIC possui como
objetivo atender as demandas de registro e recuperao de
dados de contexto, funcionando como uma base de dados [21].
Uma caracterstica de destaque da arquitetura do projeto a
variedade de dispositivos que podem fazer parte do sistema
ubquo, onde os SBs podem ser desde um computador de
ultima gerao com alta capacidade de processamento, como
um dispositivo embarcado que apresente baixo consumo
energtico.
Os registros coletados so mantidos no RIC presente no
SC, onde podero ser analisados atravs de uma interface
Web. A visualizao dos dados presentes nos registros de log
se torna facilitada aps passar pelos mdulos implementados
por este trabalho, desta forma apoiando a tarefa de anlise de
log.
A Fig.5 apresenta um exemplo de visualizao dos
registros de log da aplicao Shorewall por meio da interface
provida para acesso ao RIC. Alguns campos foram omitidos
devido limitao de espao para visualizao. Os campos
apresentados na Fig.5 so: a data de coleta do registro de log;
poltica utilizada para tratamento da requisio; zonas de
origem e destino da conexo; IP de origem da conexo; porta
de origem da conexo; IP destino da conexo; porta de destino
da conexo; protocolo utilizado na conexo; informaes de
geolocalizao referente ao IP externo rede que est sendo
monitorada (Cidade e Estado).

Figura 5. Visualizao dos registros de log da aplicao Shorewall.
Atravs da funcionalidade desenvolvida no mdulo de
anlise lxica/sinttica, o administrador do sistema pode
desenvolver expresses para tratar os diferentes formatos de
log existentes. Neste trabalho, foram desenvolvidas expresses
para tratamento dos registros de log das seguintes aplicaes:
Apache; DHCP; PostgreSQL; Shorewall; Squid; SSH; Syslog;
vsFTPd.
Com o objetivo de testar o mdulo de classificao, optou-
se por utilizar um conjunto de treinamento e um conjunto de
teste disponvel em [22], sendo este um dos principais
conjuntos de dados utilizados para este tipo de trabalho. Nos
testes realizados, cada conexo pode ser classificada em uma
das cinco conexes presentes no conjunto de treinamento,
sendo elas, normal, e quatro categorias suspeitas [23]:
DoS (Denial of Service): atacante envia um grande nmero
de mensagens com o intuito de esgotar algum dos recursos
da vtima;
U2R (User to Root): atacante acessa o sistema como
usurio normal e explora uma vulnerabilidade para ganhar
acesso como root ao sistema;
R2L (Remote to Local): atacante no tem uma conta na
mquina e explora alguma vulnerabilidade para ganhar
acesso como usurio;
Probing: uma tentativa de reunir informaes sobre uma
rede de computador.
Foram desenvolvidos dois classificadores utilizando a
tcnica de rvores de Deciso, sendo que o primeiro trabalha
com todos os atributos presentes no conjunto de treinamento e
o segundo trabalha com um grupo reduzido de atributos. O
classificador com atributos reduzidos apresenta vantagem para
soluo desenvolvida por realizar a classificao das conexes
no momento de sua captura, no necessitando de
processamento extra para gerao de atributos.
Na Tabela I apresentada uma comparao entre os
resultados obtidos entre o classificador utilizando todos os 41
atributos presentes nos arquivos e o classificador que utiliza
somente cinco atributos. Estes resultados representam a
porcentagem de conexes corretamente detectadas entre cada
uma das categorias analisadas, as taxas de falso positivo, falso
negativo e a taxa de acertos geral do classificador, que
consiste na diviso do numero de conexes classificadas
corretamente pelo nmero de conexes analisadas.
TABELA I. RESULTADOS OBTIDOS PELOS CLASSIFICADORES.
Categoria Classificador com Classificador com
todos os atributos atributos reduzidos
Normal 98,18% 98,68%
DoS 99,99% 99,93%
R2L 17,95% 53,85%
U2R 25,71% 15,38%
Probing 99,20% 68,66%
Falso Positivo 1,82% 1,32%
Falso Negativo 1,77% 2,14%
Acerto Geral 98,07% 97,68%
De forma geral, ambos classificadores apresentaram bons
resultados para as categorias de conexes analisadas,
alcanando taxas aceitveis de falso positivo e falso negativo.
As taxas de acertos mais baixas das categorias R2L e U2R
ocorrem devido ao nmero limitado de conexes destas
categorias em comparao com as outras presentes no
conjunto de treinamento, j que o classificador necessita de
um nmero significativo de conexes para aprender a
classificar de forma satisfatria as conexes.
Diferenas foram percebidas com relao s categorias
Probing e U2R. Na categoria Probing, o classificador com
atributos reduzidos teve um desempenho relativamente pior, o
que se deve em grande parte eliminao dos atributos
calculados, sendo analisadas as demais conexes em uma
janela de 2 segundos, j que esta categoria de ataque costuma
gerar uma variedade de conexes em um intervalo pequeno de
tempo.
No caso da categoria U2R, o classificador com atributos
reduzidos alcanou um desempenho superior em relao ao
outro classificador. Acredita-se que esta melhora se deve ao
fato da eliminao de atributos, pois possivelmente alguns
destes atributos estavam dificultando o aprendizado das
classificaes das conexes da categoria U2R.
Apesar do classificador com atributos reduzidos ter
alcanado resultados inferiores em relao ao outro
classificador, ele apresenta a vantagem de poder ser aplicado
no momento da coleta das conexes, no sendo necessrio
outro tipo de anlise para calcular valores de outros atributos.
Com os resultados alcanados, o classificador demonstra ser
de grande utilidade, pois pode ser utilizado como um filtro
para diminuir o nmero de registros que devem ser analisados
por parte do administrador da rede. Alm disso, pode ser
utilizada para apoiar deteco de ataques a rede, fornecendo
a categoria do ataque, e consequentemente facilitando a
tomada de deciso do administrador do sistema.
VI. CONCLUSO
Com o intuito de automatizar a anlise de log, este trabalho
desenvolveu uma abordagem para realizao automtica da
coleta dos registros de log de aplicaes e do trfego da rede.
Para isso, a soluo desenvolvida conta com mdulos para
normalizao destes registros e a contextualizao dos dados
presentes nos mesmos. Adicionalmente, foi realizada a
modelagem da arquitetura de um servidor central, para
armazenamento dos registros coletados em um banco de
dados, visando sua posterior anlise e registro do histrico de
funcionamento do sistema.
Outra contribuio deste trabalho, relacionada anlise do
trfego da rede, a possibilidade de classificar as conexes no
momento de sua captura, ao contrrio de outros trabalhos que
se propem a realizar a classificao somente de registros
histricos. Nos testes realizados, o desempenho do
classificador referente taxa de acertos foi satisfatrio,
demonstrando que o classificador utilizando a tcnica de
rvores de Deciso pode ser utilizado para classificar as
conexes capturadas, trazendo um novo mecanismo para
facilitar a tomada de aes por parte do administrador dos
sistemas.
Como trabalhos futuros, espera-se desenvolver expresses
para tratamento dos registros de log de outras aplicaes,
estendendo a soluo criada. Alm disso, outros algoritmos
para avaliao das conexes sero testados, de forma a tentar
melhorar o desempenho do classificador desenvolvido.
REFERNCIAS
[1] Weiser, M. The Computer for the 21st Century. Scientific American,
v.265, n.3, p.66-75, January 1991.
[2] Weiyi Shang; Nagappan, M.; Hassan, A.E.; Zhen Ming Jiang,
Understanding Log Lines Using Development Knowledge, in
Software Maintenance and Evolution (ICSME), 2014 IEEE International
Conference on , vol., no., pp.21-30, Sept. 29 2014-Oct. 3 2014
[3] Nagappan, M.; Vouk, M.A., Abstracting log lines to log event types for
mining software system logs, in Mining Software Repositories (MSR),
2010 7th IEEE Working Conference on , vol., no., pp.114-117, 2-3 May
2010.
[4] Wenke Lee; Stolfo, S.J.; Mok, K.W., A data mining framework for
building intrusion detection models, in Security and Privacy, 1999.
Proceedings of the 1999 IEEE Symposium on , vol., no., pp.120-132,
1999.
[5] Leonid Portnoy, Eleazar Eskin, Sal Stolfo, Intrusion Detection with
Unlabeled Data Using Clustering, in Proceedings of ACM CSS
Workshop on Data Mining Applied to Security (DMSA), 2001.
[6] Relan, N.G.; Patil, D.R., Implementation of network intrusion detection
system using variant of decision tree algorithm, in Nascent
Technologies in the Engineering Field (ICNTE), 2015 International
Conference on , vol., no., pp.1-5, 9-10 Jan. 2015
[7] Krumm, J. Ubiquitous Computing Fundamentals. 1st.ed : Chapman &
Hall/CRC, 2009.
[8] Hansmann, U., Merk, L., Nicklous, M.S., Stober, T. (2001) Pervasive
Computing Handbook, Ed. Springer. 409 pags.
[9] Dey, A. K. Understanding and Using Context. Personal and Ubiquitous
Computing, v.5, p.47, 2001.
[10] Pernas, A. M. F. Sensibilidade Situao em Sistemas Educacionais na
Web. 2012. Tese de Doutorado em Cincia da Computao Instituto
de Informtica-UFRGS, Porto Alegre-RS.
[11] King, J., Measuring the forensic-ability of audit logs for
nonrepudiation, in Software Engineering (ICSE), 2013 35th
International Conference on , vol., no., pp.1419-1422, 18-26 May 2013.
[12] Anton Chuvakin, Kevin Schmidt, and Chris Phillips. Logging and Log
Management: The Authoritative Guide to Understanding the Concepts
Surrounding Logging and Log Management. Syngress Publishing.2012.
[13] Akbar, S.; Chandulal, J.A.; Rao, K.N.; Kumar, G.S., Improving
network security using machine learning techniques, in Computational
Intelligence & Computing Research (ICCIC), 2012 IEEE International
Conference on , vol., no., pp.1-5, 18-20 Dec. 2012
[14] Kasliwal, B.; Bhatia, S.; Saini, S.; Thaseen, I.S.; Kumar, C.A., A
hybrid anomaly detection model using G-LDA, in Advance Computing
Conference (IACC), 2014 IEEE International , vol., no., pp.288-293, 21-
22 Feb. 2014
[15] Lopes, J.; Souza, R.; Geyer, C.; Costa, C.; Barbosa, J.; Pernas, A.;
Yamin, A. A Middleware Architecture for Dynamic Adaptation in
Ubiquitous Computing. Journal of Universal Computer Science, v.20,
n.9, p.13271351, sep 2014.
[16] SYSLOG. Logged | Event and Log Management. Acessado em 01 set.
2015. Online. Disponvel em: http://www.syslog.org/.
[17] McGuire, P. Getting Started with Pyparsing.2007.OReilly Media,
first edition
[18] Kobayashi, T.H.; Batista, A.B.; Brito, A.M.; Motta Pires, P.S., Using a
packet manipulation tool for security analysis of industrial network
protocols, in Emerging Technologies and Factory Automation, ETFA.
IEEE Conference on, vol., no., pp.744-747, 25-28 Sept. 2007.
[19] L. Breiman; J. Freidman; R. Olshen; C. Stone. Classification and
Regression Trees.1984.
[20] Stolfo, S. J.; Fan, W.; Lee, W.; Prodromidis, A.; Chan, P. K. Cost-
based Modeling for Fraud and Intrusion Detection: Results from the
JAM Project. In: proceedings of the 2000 darpa information
survivability conference and exposition, 1999. Anais IEEE Computer
Press, 1999. p.130144.
[21] Gusmo, M. Uma Arquitetura de Software direcionada Conscincia
do Contexto na UbiComp. 2013. Dissertao (Mestrado em Cincia da
Computao) Universidade Federal de Pelotas.
[22] KDD Cup, Acessado em 01 set, 2015. Online. Disponvel em:
http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.
[23] Elekar, K.; Waghmare, M.M.; Priyadarshi, A., Use of rule base data
mining algorithm for intrusion detection, in Pervasive Computing
(ICPC), 2015 International Conference on , vol., no., pp.1-5, 8-10 Jan.
2015.
Roger da Silva Machado possui graduao em Cincia da
Computao na Universidade Federal de Pelotas (UFPel,
2013). Atualmente aluno do Programa de Mestrado em
Computao da UFPel. Esforos de estudo e pesquisa
voltados para as reas de Computao Ubqua, Conscincia
de Contexto, Minerao de Dados e Segurana da
Informao.
Ricardo Borges Almeida possui graduao em Cincia da
Computao pela Universidade Federal de Pelotas (UFPel,
2013).Atualmente aluno do Programa de Mestrado em
Computao da UFPel. Seus esforos de estudo e pesquisa
so voltados para a rea de Segurana da Informao, Redes
de Computadores e Computao Ubqua.
Adenauer Corra Yamin possui graduao em Engenharia
Eltrica pela Universidade Catlica de Pelotas (1981),
mestrado e doutorado em Computao pela Universidade
Federal do Rio Grande do Sul (1994 e 2004). Atua como
professor orientador do Programa de Ps-Graduao em
Computao do Centro de Desenvolvimento Tecnolgico da
UFPEL (PPGC/CDTec/UFPEL), e como professor do Centro
Politcnico da UCPEL (CPoli/UCPEL). Vem realizando produo cientfica
na rea de sistemas distribudos, com nfase em aspectos de alto desempenho
e ubiquidade.
Ana Marilza Pernas possui graduao em Cincia da
Computao pela Universidade Federal de Pelotas (2002),
mestrado em Cincia da Computao pela Universidade
Federal de Santa Catarina (2004) e doutorado em Cincia da
Computao pela Universidade Federal do Rio Grande do Sul
(2012). professora da Universidade Federal de Pelotas,
atuando principalmente nos temas: sistemas de informao,
banco de dados, modelagem conceitual, ontologias, sensibilidade ao contexto.