1 Innleiing
7.7 Forsoning, fred, berekraft og rettferd
De forma a avaliar e validar os registos de uxos de tráfego IP para comunicações anó- malas, foram efetuados testes em duas fases diferentes separados pelos métodos GET e POST para os ataques a URI e pelas ferramentas HPING e NMAP para os ataques de Net Scan. Numa primeira fase são selecionados alguns registos de uxos normais de forma a conter um menor número de amostras para validação das especi cações. Numa segunda fase, os resultados são utilizados todos os registos de uxos de tráfego anómalos, independentemente do seu método ou ferramenta. Estes registos de uxos de tráfego encontram-se no dataset, anteriormente abordado. Os ataques são categori- zados em ataques de Net Scan, utilizando HPING e NMAP, ataques a URI inválidos e válidos, incluindo os ataques em rajada.
Resultado aos ataques de Net Scan
Considerando agora apenas os registos de uxo de tráfego anómalos com ataques Net Scan, é pretendido validar a capacidade de deteção de intrusões do IDS. Estes ataques são realizados utilizando o dispositivo atacante.
Os resultados dos testes para os registos de tráfego CoAP anómalos para ataques Net Scan são apresentados da seguinte forma. Na tabela 5.3 são apresentados os resultados dos testes referentes à primeira fase e, na tabela 5.4 são apresentados os resultados dos testes referentes à segunda fase, que contem o dataset nal apenas com tráfego anómalo.
Tabela 5.3: Resultado da deteção de uxos com ataques Net Scan por ferramenta Tipo de ferramenta Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
NMAP 100 100 0 100 0 0 100% 100%
Tabela 5.4: Resultado da deteção de uxos com ataques Net Scan Tipo de anomalia CoAP Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
Net Scan 28636 12564 0 12564 0 0 100% 100%
Resultado aos ataques a URI inválidos incluindo os ataques em rajada Considerando agora apenas os registos de uxo de tráfego anómalos com ataques a URI inválidos, incluindo os ataques em rajada, é pretendido validar a capacidade de deteção de intrusões do IDS. Estes ataques são realizados utilizando clientes CoAP.
Os resultados dos testes para os registos de tráfego CoAP anómalos para ataques a URI inválidos incluindo os ataques em rajada são apresentados da seguinte forma. Nas tabelas 5.5 e 5.6 são apresentados os resultados dos testes referentes à primeira fase e, na tabela 5.7 são apresentados os resultados dos testes referentes à segunda fase, que contem o dataset nal apenas com tráfego anómalo.
Tabela 5.5: Resultado da deteção de uxos com ataques a URI inválido por mensagem Tipo de mensagem CoAP Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
GET 40 20 0 20 0 0 100% 100%
POST 40 20 0 20 0 0 100% 100%
Tabela 5.6: Resultado da deteção de uxos com ataques em rajada a URI inválido por mensagem Tipo de mensagem CoAP Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
GET 100 20 0 20 0 0 100% 100%
POST 100 20 0 20 0 0 100% 100%
Tabela 5.7: Resultado da deteção de uxos com ataques a URI inválido incluindo o ataque em rajada Tipo de anomalia CoAP Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
Resultado aos ataques em rajada a URI válido
Considerando agora apenas os registos de uxo de tráfego anómalos com ataques em rajada a URI válido, é pretendido validar a capacidade de deteção de intrusões do IDS. Estes ataques são realizados utilizando clientes CoAP.
Os resultados dos testes para os registos de tráfego CoAP anómalos para ataques em rajada a URI válido são apresentados da seguinte forma. Na tabela 5.8 são apresentados os resultados dos testes referentes à primeira fase e, na tabela 5.9 são apresentados os resultados dos testes referentes à segunda fase, que contem o dataset nal apenas com tráfego anómalo.
Tabela 5.8: Resultado da deteção de uxos com ataques em rajada a URI válido por mensagem Tipo de mensagem CoAP Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
GET 100 50 3 47 0 6% 94% 94%
POST 100 50 5 45 0 10% 90% 90%
Tabela 5.9: Resultado da deteção de uxos com ataques em rajada a URI válido Tipo de anomalia CoAP Número de uxos do dataset Número de
uxos CoAP RFN RFA FP FN VP TD
Rajada
URI Válido 17953 313 31 282 0 8% 92% 92%
Resultado do dataset para registos de uxos de tráfego CoAP
Considerando agora o dataset com os registos de uxo de tráfego CoAP capturados através do protótipo do cenário de testes, é pretendido validar a capacidade de deteção de intrusões do IDS.
Na tabela 5.10 são apresentados os resultados com do dataset para CoAP.
Tabela 5.10: Resultado do dataset para a deteção de registos de uxos de tráfego CoAP Dataset
Número de uxos do dataset
Número de
uxos CoAP RFN RFA FP FN VP TD
Figura 5.4: Resultado obtido à análise do dataset pela aplicação IDS
Após os resultados obtidos através dos testes com uxos selecionados e o teste ao dataset, utilizando a aplicação IDS de forma a validar a performance do mesmo, podemos a rmar que foram positivas.
Numa primeira fase era pretendido validar e diferenciar se um registo de uxo de tráfego CoAP seria um uxo normal e anómalo. Numa segunda fase era pretendido validar e diferenciar um registo de tráfego CoAP anómalo por tipo de ataque, nomea- damente ataque de Net Scan, ataque a URI inválido e por último ataque a URI válido em rajada.
Em relação aos registos de uxos de tráfego normais, numa primeira etapa, foram utilizados uxos selecionado com poucos registos de uxos de tráfego CoAP normal para a validação das especi cações. Estes uxos tiveram como base a utilização dos métodos GET e POST. Posteriormente, numa segunda etapa, foi utilizado um dataset que resume o tráfego gerado pelo protótipo após sete dias em operação, sem qualquer introdução de tráfego anómalo, de forma a garantir a total veracidade dos registos de uxos de tráfego normais.
Através dos resultados obtidos através da aplicação IDS, podemos constatar que na tabela 5.2 o resultado para a classi cação dos registos de uxos de tráfego CoAP normais é de 100%.
Considerando os registos de uxos de tráfego anómalos, numa primeira etapa, foram utilizados uxos selecionado com poucos registos de uxos de tráfego CoAP anómalo para a validação das especi cações, consoante o tipo de teste. Os registos de uxos selecionados tiveram como base a utilização das ferramentas HPING e NMAP para os ataques de Net Scan e os métodos GET e POST para os ataques a URI inválido ou válido. Posteriormente, numa segunda etapa, foi utilizado um dataset que resume o tráfego gerado pelo protótipo, apenas com registos de uxos de ataques, de forma a garantir a total veracidade dos registos de uxos de tráfego anómalos.
Através dos resultados obtidos através da aplicação IDS, pode-se constatar que na tabela 5.4 o resultado para a classi cação dos registos de uxos de tráfego CoAP anómalo para o ataque Net Scan é de 100%. Pode-se igualmente constatar que na tabela 5.7 o resultado para a classi cação dos registos de uxos de tráfego CoAP
anómalo para o ataque a URI Inválido incluindo o ataque em rajada é de 100% Através dos resultados obtidos através da aplicação IDS, pode-se constatar que na tabela 5.9 o resultado para a classi cação dos registos de uxos de tráfego CoAP anómalo para o ataque em Rajada a URI Válido é de 92%. Para este tipo de ataque cerca de 8% dos registos de uxos considerados como ataque são classi cados como registos de uxos normais. Este resultado advém por alguns registos de uxos de tráfego anómalos serem mal classi cados.
Por último, através dos resultados obtidos através da aplicação IDS ao dataset, pode-se constatar que na tabela 5.10 e gura 5.4 o resultado para a classi cação dos registos de uxos de tráfego CoAP normais e anómalos por tipo de ataque é de 99,8%. Com este resultado pode-se a rmar que as especi cações cumprem de uma forma sa- tisfatória a classi cação dos registos de uxos de tráfego CoAP.