Detecção de Ataques de Negação de Serviço em SGBDs a Partir de Logs Internos Usando Abordagens Supervisionada e Não Supervisionada
Negação de Serviço; SGBD;AM Supervisionado; AM Não Supervisionado
Ataques de Negação de Serviço (Denialof-Service – DoS) impõem ameaças ao cumprimento dos propósitos de uma organização, uma vez que resultam em sérios problemas relacionados à disponibilidade dos sistemas de informação. Os ataques DoS têm sido extensivamente estudados na literatura, entretanto os trabalhos existentes geralmente focam nas camadas de rede e transporte ou em protocolos como o HTTP. Banco de dados, infraestrutura crítica para provimento de serviços, possui mecanismos de gravação de informações (logs) de consultas SQL e sessões, o que gera grandes volumes de dados. Embora os bancos de dados sejam vulneráveis ao DoS, eles não são totalmente cobertos por ferramentas comerciais ou por pesquisas sobre a detecção de tais ataques. As técnicas de Aprendizado de Máquina (AM) são altamente eficazes na identificação de padrões em grandes quantidades de dados, tais como os logs SQL de banco de dados. Assim, este trabalho desenvolveu a aplicação de AM na detecção de ataques DoS a banco de dados a partir dos logs de consultas nele executadas. Faz uso de duas abordagens complementares de AM diferentes: supervisionado e não supervisionado. Como resultado, a classificação de registros obteve um F1- score de 94,44% e a Detecção de Anomalias atingiu um F1-score de 75,75%, indicando a efetividade das abordagens desenvolvidas.