Aplicação de Técnicas de Análise de Séries Temporais em

Dados de Tráfego de Rede

Adriana C. Ferrari Santos1, Lília de Sá Silva1, José Demísio Simões da Silva1,
Reinaldo Roberto Rosa1
1
Instituto Nacional de Pesquisas Espaciais (INPE) – Caixa Postal 515 – 12.227-010 –
São José dos Campos – SP – Brasil
aferrarisantos@gmail.com, lilia@dss.inpe.br, demisio@lac.inpe.br,
reinaldo@lac.inpe.br

Abstract. This work aims to present the preliminary results of the analysis of
network traffic datasets through the application of time series analysis. In
future work, the results obtained through statistic analysis will be used to
classify current network traffic datasets with the support of computational
intelligence techniques. The relevant theoretical bases will be approached,
involving the description of network attributes to be used in the
characterization of the expected standard behavior of the network traffic, as
well as network traffic anomalies.
Resumo. Este trabalho tem por objetivo apresentar os resultados preliminares
da análise de conjuntos de dados do tráfego de rede através da aplicação de
técnicas de análise de séries temporais. Futuramente, os resultados obtidos
neste trabalho serão utilizados como base para a classificação de conjuntos de
dados atuais de tráfego de rede com o auxílio de técnicas de inteligência
computacional. Neste artigo serão abordadas as bases teóricas relevantes para
o trabalho, envolvendo a descrição dos atributos de rede utilizados para a
caracterização do comportamento padrão esperado do tráfego de rede, bem
como as anomalias do tráfego de rede.

1. Introdução
Atualmente, a maioria das empresas possui uma rede de computadores local com acesso
à Internet para prover diversos benefícios, como por exemplo: expor seus produtos e
serviços através de páginas em servidores Web, trocar mensagens através de correio
eletrônico, disponibilizar sistemas para diversos níveis de usuários, incluindo
administradores, clientes, fornecedores e funcionários. No entanto, estar conectado à
Internet é uma necessidade que gera preocupação à empresa com a segurança,
disponibilidade e integridade de seus dados.
De modo a manter o gerenciamento e segurança dos dados, recursos
computacionais e sistemas, diversas medidas preventivas, tais como implantação de
sistemas antivírus, anti-spyware, firewalls e sistemas de detecção de intrusos [12] têm
sido propostas. Entretanto, no tocante a mecanismos para reconhecimento de eventos
ilegítimos em redes, observa-se a necessidade de uso de técnicas eficientes que
proporcionem análise mais precisa de grandes volumes de dados de rede em intervalos
regulares de tempo, de modo que o comportamento normal e anômalo do tráfego das
redes monitoradas possa ser satisfatoriamente mapeado em termos de precisão do
modelo e tempo. Diversos estudos, envolvendo a aplicação de técnicas estatísticas e de
inteligência computacional [14][15][16][17][18][19], têm sido conduzidos nos últimos

1
anos em busca de resultados satisfatórios para a modelagem e classificação de dados do
tráfego de rede para a identificação de eventos anômalos.
O objetivo deste trabalho é apresentar a etapa preliminar da pesquisa que tem
sido realizada no INPE, unidade de São José dos Campos, que envolve a análise dos
atributos de conjuntos de dados do tráfego HTTP, por meio da aplicação de técnicas
estatísticas de análise de séries temporais. Esta análise é um pré-processamento para
selecionar os atributos mais adequados para a próxima etapa do estudo que será a
aplicação de técnicas de Inteligência Computacional para armazenar o modelo do
tráfego normal (conjuntos de dados históricos), para a comparação futura com os dados
do tráfego real (conjunto de dados recentes), visando detectar eventuais anomalias no
tráfego da rede. Observando o tráfego e correlacionando-o a seus estados precedentes,
pode-se predizer se o tráfego atual está se comportando de forma normal para um
determinado período de tempo. Esta atividade é denominada detecção de anomalia no
tráfego de rede.
Este estudo dá continuidade às pesquisas de aplicação de redes neurais para
detecção de padrões anômalos em eventos de redes de computadores, iniciada por um
grupo de especialistas em redes de computadores e inteligência artificial do Instituto
Nacional de Pesquisas Espaciais – INPE em São José dos Campos desde 2004, cujos
trabalhos encontram-se descritos em [1],[2],[3],[4]. A originalidade da pesquisa atual é
o uso de técnicas de análise de séries temporais para o tratamento de conjuntos de dados
do tráfego de rede, de modo a modelar o comportamento do tráfego da rede monitorada.
O comportamento do tráfego adequadamente modelado a partir de técnicas estatísticas
servirá como referência de comparação (dados históricos) para a etapa posterior de
classificação de conjuntos de dados atuais por meio de técnicas de inteligência
computacional.
Neste artigo, as bases teóricas necessárias, incluindo os conceitos sobre
modelagem do tráfego de rede, as anomalias e tipos de ataques estudados são descritas
na segunda seção. As técnicas estatísticas aplicadas na análise de séries temporais são
abordadas na seção 3. A seção 4 apresenta a metodologia adotada, bem como os
resultados obtidos na análise do tráfego de rede como série temporal. Finalizando, as
conclusões deste trabalho são comentadas na seção 5.

2. Bases Teóricas

2.1 Modelagem do Tráfego de Rede

Em uma rede TCP/IP, os sistemas computacionais se comunicam por meio de
protocolos e trocam informações através dos pacotes de rede. Os pacotes possuem duas
partes manipuláveis principais, que são: header (cabeçalho) e payload (dados de carga
útil). No cabeçalho dos pacotes estão contidos pequenos segmentos de informação,
denominados atributos, localizados no início de um pacote para identificá-lo. Com base
nos valores dos atributos contidos no cabeçalho, incluindo endereços dos hosts de
origem e destino, os pacotes são direcionados ou roteados.
Toda comunicação entre pares de hosts na rede, cliente e servidor, para o acesso
e uso de um serviço de rede, gera o tráfego de uma sequência finita de pacotes de rede
durante um determinado intervalo de tempo, sendo timestamp o nome dado ao tempo de
início de captura do primeiro pacote da comunicação. Na literatura, esta comunicação é
também denominada conexão ou sessão de rede.

2
 Uma sessão de rede TCP/IP, conforme definida em [6], corresponde a qualquer
sequência de pacotes, que caracterize a troca de informações entre dois endereços IP,
durante um determinado tempo, relacionada a um determinado serviço de rede, que
tenha informação de início, meio e fim, mesmo que toda comunicação esteja contida em
um único pacote.
De acordo com [5], o tráfego de uma rede pode ser modelado por meio de
centenas de sessões que compõem a comunicação entre os hosts daquela rede, em
diferentes intervalos de tempo. O tráfego gerado pelo acesso a diferentes aplicações de
rede, tais como DNS, HTTP e SMTP, são mapeados em sessões e apresentam
comportamentos característicos [13]. Por sua vez, as sessões podem ser modeladas
através de atributos contidos diretamente no cabeçalho dos pacotes (os denominados
atributos primitivos, por exemplo: IP de origem, IP de destino e protocolo de aplicação)
ou por meio de informações semanticamente mais fortes provenientes do processamento
destes atributos primitivos (as quais denominam-se atributos derivados, por exemplo:
quantidade de pacotes recebidos pela estação servidora em determinado intervalo de
tempo ou quantidade de bytes recebidos pela estação cliente naquela sessão).
Neste trabalho, foi utilizada a metodologia descrita em [5] para captura do
tráfego de rede, envolvendo as seguintes etapas: coleta dos dados do tráfego de rede;
reconstrução das sessões do tráfego; seleção dos atributos a serem analisados e
armazenamento dos atributos selecionados em base de dados. Para análise dos dados e
modelagem do comportamento do tráfego serão utilizadas técnicas estatísticas e técnicas
de inteligência computacional, estas últimas, em etapa futura do trabalho.
Os dados da rede são capturados através do software tcpdump e utiliza-se a
ferramenta wireshark para auxílio à análise destes. Para a reconstrução de sessões
TCP/IP utiliza-se o sistema RECON – Sistema de Reconstrução de Sessões TCP/IP
desenvolvido por Chaves [6] com o módulo de gravação de dados em base MySQL
acrescentado ao sistema em trabalho recente [5].
Conjuntos de dados correspondentes a quatro atributos derivados do tráfego de
rede: tamanho médio dos pacotes recebidos pelo cliente, tamanho médio dos pacotes
recebidos pelo servidor, total de pacotes recebidos pelo cliente e total de pacotes
recebidos pelo servidor são analisados neste trabalho, levando-se em consideração a
análise do comportamento padrão das sessões normais do tráfego e o comportamento do
conjunto de dados quando inseridas sessões anômalas, de ataques ao serviço web
monitorado.

2.2 Anomalias no Tráfego de Rede

Anomalias no tráfego de rede são ações diferentes do padrão observadas no
comportamento do tráfego, as quais podem indicar sinais de ataques, abuso (ou mau
uso) na rede, eventos de falha, problemas de infra-estrutura na coleta de dados, entre
outros processos [5].
É importante analisar as anomalias de rede mesmo não sendo maliciosas, pois
podem criar congestão na rede, afetar a eficiência da utilização de recursos disponíveis e
causar impacto negativo para clientes e usuários finais.
Convém ressaltar, portanto, que nem toda anomalia na rede é um ataque ou
ameaça, mas uma informação suspeita que deve ser analisada pelos administradores da
rede logo que ocorram e, sendo classificada como ameaça, devem ser aplicadas
contramedidas imediatas para solucionar o problema.

3
 As análises de dados das sessões do tráfego de rede podem detectar eventos
anômalos, que não podem ser identificados através de análises de medições de taxas de
pacotes, tais como os ataques de negação de serviço [5].

2.3 Tipos de Ataques

Ataques ou intrusões em redes de computadores podem ser definidos como um conjunto
de ações que tentam comprometer a integridade, confidencialidade ou disponibilidade
de recursos na rede [5].
A maioria dos ataques bem sucedidos explora as vulnerabilidades e falhas nos
sistemas de software e recursos computacionais da rede como, por exemplo, a
configuração incorreta de um sistema. Diversos tipos de ataques podem ser lançados na
rede, alguns dos quais tem por finalidade que o atacante obtenha acesso e controle da
estação servidora, outros ataques, induzem a servidora a interromper seu
funcionamento, entre outros.
Neste trabalho, considera-se a seguinte classificação de tipos de ataques à rede:
• DoS (Denial of Service) ou negação de serviço: O principal objetivo desta
técnica é tornar inoperante um serviço ou interromper a atividade de uma
estação servidora ou equipamento ligado em rede [10]. Por exemplo: syn flood;
• Probe (Varredura ou sondagem): monitoramento e método de tentativa e erro;
realiza varredura de uma rede através do envio de diferentes tipos de pacotes, em
busca de vulnerabilidades e informações de interesse para um futuro ataque[10].
Por exemplo: probe_tcp_ports.
• R2L (Remote to User): o atacante não tem conta na máquina alvo e consegue
acesso não autorizado a esta máquina a partir de uma máquina remota[10]. Por
exemplo: Xsnoop;
• U2R (User to Root): o usuário local de uma máquina de modo ilícito ganha
privilégios normalmente reservados de root ou super usuário[10]. Por exemplo:
buffer overflow;

3. Técnicas de Análises Estatísticas de Séries Temporais

3.1 PDF
PDF ou Função de Densidade de Probabilidade é uma técnica aplicada a séries
temporais para diferentes escalas de auto-correlação, com o objetivo de definir se as
flutuações são ou não Gaussianas. PDF em estatística advém da função de distribuição
normal [7]. A distribuição normal ou Gaussiana foi desenvolvida pelo matemático
Frances Abraham de Moivre, tendo por características fundamentais a média e o desvio
padrão.
A PDF da distribuição normal é definida pela equação:

(1)

onde: x = variável aleatória; µ = média; σ = desvio padrão; σ2 = variância.

A curva normal abrange uma área que varia de infinito positivo a infinito
negativo. As áreas sob a curva são divididas pelo desvio padrão em torno da média.

4
 Se µ=0 e σ=1, a distribuição de frequência da população de eventos é chamada
de distribuição normal padrão, a qual é definida pela simetria e curtose, e a PDF desta é
reduzida à seguinte equação:

(2)

3.2 DFA
O DFA (Detrended Fluctuation Analysis) é uma ferramenta proposta por Peng et al.[8]
e tem sido utilizada para detecção de correlações de longo alcance em séries temporais.
Sua abordagem permite eliminar a tendência de uma série temporal em diferentes
escalas, analisando as flutuações intrínsecas do dado. As flutuações são entendidas
como a medida de variabilidade do sinal associada à variância de cada segmento da
série em diferentes escalas [8].
A função de flutuação DFA para cada segundo s é calculada pela equação:

(3)

Se a série original apresenta correlações de longo alcance, os valores de F(n)(s)

seguem uma lei de potência:
(4)

Através do valor dos expoentes das flutuações alfa e beta gerados pela função
DFA, pode-se classificar uma série temporal, de acordo com a Tabela 1:

Tabela 1 – Classificação da série temporal de acordo com valores de α e β

Classificação α β
Série antipersistente α <0 β <0
Sinal descorrelacionado α =0 β =0
Persistência fraca 0 ≤α ≤1 0 ≤ β ≤1
Persistência forte α >1 β >1

3.3 Curtose
A curtose é uma medida de dispersão que caracteriza o afilamento ou achatamento da
curva característica de um conjunto de distribuição de frequência da população de
eventos [9]. É normalmente definida pela expressão:
k= (5)

Onde m4(µ) é o quarto momento central e σ é o desvio-padrão.

De acordo com [9] a curtose mede a divergência entre a curva considerada e a
convencionada como normalmente achatada (também se diz que ela mede a
concentração dos dados em torno de seu centro, ou seja, da média).
Em termos de achatamento de curtose, as curvas da função de distribuição são
classificadas como na Tabela 2 a seguir:

5
 Tabela 2 – Classificação da série temporal de acordo com os valores de curtose
Classificação <K> Achatamento da curva
Platicúrtica <3 É mais achatada que a distribuição normal
Mesocúrtica =3 Igual a distribuição normal
Leptocúrtica >3 É mais alta (afunilada) do que a distribuição normal

Curvas de distribuição de frequência normais são unimodais (possuem apenas

um pico) e simétricas (as áreas sob a curva são idênticas em ambos os lados da média);
embora possam apresentar desvios-padrão diferentes, provocando diferentes níveis de
curtose.

4. Análise do Tráfego de Rede como Série Temporal

4.1 Dados experimentais e metodologia
O tráfego de uma rede se comporta de modo dinâmico, dependendo de fatores tais como
tipos de serviços fornecidos, quantidade de usuários e hosts e os períodos do dia em que
os serviços são acessados. Portanto, modelar o tráfego de rede requer a investigação de
valores de diferentes atributos que compõem os conjuntos de dados do tráfego, os quais
se alteram dependentemente dos fatores mencionados.
O modelo proposto neste trabalho consiste em observar, inicialmente, o comportamento
de seis séries temporais, ou seja, seis conjuntos de dados do tráfego de serviço Web de
uma rede interna do INPE com aproximadamente 120 usuários, coletados em diferentes
períodos, conforme mostra a tabela 3, e modelar o comportamento do tráfego a partir
destas observações.

Tabela 3 – Descrição dos conjuntos de dados analisados

Séries temporais Dia e Período/Dia Sessões Sessões Total
padrão com ataque
x1 (SET01) 1º período – 08h as 12h50 65.602 - 65.602
x2 (SET02) 2º período – 13h as 17h50 80.938 - 80.938
x3 (SET03) 3º período – 18h as 23h30 15.304 - 15.304
x4 (SET02+ataque) 2º período 80.938 37 80.975
x5 (SET03+ataque) 3º período 15.304 5 15.309
x6 (SET02+ataque) 1º período 65.602 37 65.639
x7 (x1 + x2 + x3) Um dia 161.844 161.844
x8 (x4 + x5 + x6) Um dia 161.923 161.923

As séries x2, x3 e x4 correspondem a sessões padrão (normais) do tráfego da

rede monitorada em três períodos diferentes de um mesmo dia denominados: P1
(manhã), P2 (tarde) e P3 (noite). As séries x5, x6 e x7 contêm, além de sessões padrão,
sessões de ataque adicionadas em laboratório.
O estudo realizado contempla a análise de 4 atributos das sessões: psizeCL
(tamanho médio dos pacotes recebidos pelo cliente), psizeSV (tamanho médio dos
pacotes recebidos pelo servidor), pnumCL (total de pacotes recebidos pelo cliente) e
pnumSV (total de pacotes recebidos pelo servidor).
A metodologia adotada para analisar o comportamento dos atributos nas séries
acima mencionadas contempla a aplicação das técnicas estatísticas PDF, Curtose e
DFA. Foram geradas as curvas características da distribuição de frequência das sessões
de tráfego de rede para cada atributo a partir do cálculo da PDF. O valor da curtose foi

6
calculado para análise do achatamento da curva da distribuição. Outros parâmetros
relevantes, expoentes das flutuações alfa e beta, foram gerados pela função DFA.

4.2 Resultados e discussão

Conforme apresenta a tabela 4, as características da série temporal do atributo psizeCL,
com e sem ataques, calculadas pela curtose possuem variações pequenas. Por esta ótica,
não é um bom atributo para classificar o tráfego de rede entre normal e anômalo.

Tabela 4 – Valores do atributo psizeCL Tabela 5 – Valores do atributo psizeSV

Atributos/Séries Atributos/Séries
<k> α β <k> α β
Temporais Temporais
psizeCL (x7) 5,3771 0,8656 0,7732 psizeSV (x7) 11,0809 0,8714 0,8079
psizeCL_P1 (x1) 5,3428 0,7944 0,5256 psizeSV_P1 (x1) 14,9374 0,7035 0,3428
psizeCL_P2 (x2) 6,8186 0,8346 0,5736 psizeSV_P2 (x2) 14,9374 0,7824 0,5003
psizeCL_P3 (x3) 2,3052 1,0414 0,7871 psizeSV_P3 (x3) 2,1536 1,0586 0,5933
psizeCL_A (x8) 5,3798 0,8651 0,7921 psizeSV_A (x8) 11,0809 0,8695 0,8216
psizeCL_A_P1 (x4) 5,3456 0,8348 0,5711 psizeSV_A_P1 (x4) 2,1117 0,7034 0,3298
psizeCL_A_P2 (x5) 6,8214 1,0414 0,8828 psizeSV_A_P2 (x5) 2,1536 0,7826 0,495
psizeCL_A_P3 (x6) 2,3066 0,7944 0,5356 psizeSV_A_P3 (x6) 2,1117 1,0587 0,8474

Na tabela 5, as características das séries do atributo psizeSV nos períodos da

manhã e tarde geradas pela curtose, mostra uma forte hipótese do atributo ter sido
alterado pelos ataques disparados. Observa-se também na tabela 5, que os valores de
curtose em um dia de tráfego de rede não foram alterados, mostrando que para a
caracterização normal do tráfego de rede é necessário filtrar em séries temporais
menores. Seguindo esta análise, este atributo tem expressividade para a classificação do
fluxo entre normal e anômalo.
As características da série temporal do atributo pnumCL com e sem ataques
calculadas pela curtose e apresentadas na tabela 6 também possuem variações pequenas,
mostrando que os tipos de ataques lançados não alteraram este atributo. Portanto,
pnumCL não é um bom atributo para classificar o tráfego de rede entre normal e
anômalo.

Tabela 6 – Valores do atributo pnumCL Tabela 7 – Valores do atributo pnumSV

Atributos/Séries Atributos/Séries
<k> α β <k> α β
Temporais Temporais
pnumCL (x7) 16638,9653 0,5473 0,0806 pnumSV (x7) 16108,9092 0,5461 0,0833
pnumCL_P1 (x1) 16638,9653 0,5443 0,1138 pnumSV_P1 (x1) 16108,9092 0,5442 0,1126
pnumCL_P2 (x2) 18910,4162 0,5472 0,1029 pnumSV_P2 (x2) 18157,6748 0,5460 0,0982
pnumCL_P3 (x3) 1343,1761 0,6045 0,2097 pnumSV_P3 (x3) 1045,2744 0,6112 0,1395
pnumCL_A (x8) 16646,8537 0,5488 0,1039 pnumSV_A (x8) 16116,2971 0,5474 0,1045
pnumCL_A_P1 (x4) 11549,3715 0,5443 0,1164 pnumSV_A_P1 (x4) 11228,9805 0,5442 0,1150
pnumCL_A_P2 (x5) 18918,8256 0,5472 0,1027 pnumSV_A_P2 (x5) 18162,0652 0,5460 0,0975
pnumCL_A_P3 (x6) 1375,7747 0,6102 0,1982 pnumSV_A_P3 (x6) 1122,4694 0,6190 0,1185

De acordo com a tabela 7, somente os valores de curtose do atributo pnumSV do

período da manhã foi alterado significativamente pelos ataques disparados. Pode-se,
desta forma, incluir o atributo pnumSV como um atributo bom para classificar o
comportamento do tráfego de rede entre normal e anômalo.

7
 Foram obtidas também, conforme tabelas 4, 5, 6 e 7 os valores dos expoentes de
flutuações alfa e beta dos atributos gerados pelo DFA, os quais mostram que a
persistência das amostras dos quatro atributos são fracas, isto é, existe padrão de
repetição nestes conjuntos de dados, porém não tão frequentes.

5. Conclusão
A metodologia de detecção de anomalias adotada neste trabalho envolve a análise de
atributos do tráfego de rede primitivos ou derivados de informações contidas somente
no cabeçalho dos pacotes de rede. Informações de carga útil dos pacotes não são
analisadas.
A partir de observações de especialistas nas áreas de Estatística e Redes, os
resultados preliminares indicaram a viabilidade de uso das técnicas estatísticas PDF,
Curtose e DFA para filtrar dentre os vários atributos de um pacote de rede, quais são
mais significativos para a caracterização do comportamento padrão das séries temporais
do tráfego de rede, bem como as anomalias deste. Portanto, um esforço adicional de
testes de diversos atributos faz-se necessário para se obter conclusões sobre a
modelagem do tráfego a partir da aplicação de tais técnicas.
Como meta para os trabalhos futuros, outros atributos das sessões do tráfego
serão analisados, segundo as técnicas implementadas neste estudo e, possivelmente,
outras técnicas estatísticas serão utilizadas, a fim de determinar as que melhor
contribuirão para o reconhecimento e modelagem do comportamento padrão do tráfego
de rede. Com base no perfil do tráfego adequadamente modelado através de técnicas
estatísticas, serão utilizadas técnicas de inteligência computacional para classificação de
séries temporais de tráfego de rede corrente, em busca da identificação de sessões
anômalas nos conjuntos de dados.

Referências Bibliográficas
[1] Silva, L.S, Santos, A.C.F, Silva, J.D.S, and Montes, A. “A Neural Network
Application for Attack Detection in Computer Networks”, IJCNN’2004 International
Joint Conference in Neural Networks, Budapest, Hungria, 2004.
[2] Silva, L.S, Santos, A.C.F, Silva, J.D.S, and Montes, A. “ANNIDA: Artificial Neural
Network for Intrusion Detection Application – Aplicação da Hamming Net para
Detecção por Assinatura”, CBRN’2005 VII Congresso Brasileiro de Redes Neurais,
Natal, RN, Brasil, 2005.
[3] Silva, L.S, Santos, A.C.F, Silva, J.D.S, e Montes, A. “Estudo do uso da Hamming
Net para Detecção de Intrusão”, SSI’2005 VII Simpósio de Segurança em
Informática, Instituto Tecnológico de Aeronáutica (ITA), São José dos Campos, SP,
2005.
[4] Silva, L.S, Santos, A.C.F, Silva, J.D.S, and Montes, A. “Hamming Net and LVQ
Neural Networks for Classification of Computer Network Attacks: A Comparative
Analysis”, SBRN’2006 IX Brazilian Neural Networks Symposium, Ribeirão Preto,
SP, 2006.
[5] Silva, L.S. “Uma Metodologia para Detecção de Ataques no Tráfego de Redes
baseada em Redes Neurais ”, Tese de Doutorado do Curso de Pós-Graduação em
Computação Aplicada, orientada pelo Dr. Antonio Montes e Dr. José Demísio S.
Silva, INPE, SJCampos, 2007.

8
[6] Chaves, M. H. P. Análise de Estado de Tráfego de Redes TCP/IP para Aplicação em
Detecção de Intrusão. Dissertação de Mestrado em Computação Aplicada - INPE, set
2002.
[7] Guimarães, R. C., Sarsfield J.A.C. Estatística. Editora: McGraw-Hill, 1997.
[8] Freitas, M.R, Genovez, P.C, Bentz, M.C., Rosa, R.R., Shimabukuro, Y.E. Análise de
anisotropia de imagens utilizando o método DFA: um estudo de caso na área de
exploração de petróleo. Anais XIV Simpósio Brasileiro de Sensoriamento Remoto,
Natal, Brasil, 25-30 abril 2009, INPE, p. 6463-6470.
[9] Milone, G. Estatística: geral e aplicada. São Paulo: Pioneira Thomson Learning,
2004.
[10] Santos, F.M. “Detecção de intrusão: uma abordagem com mineração de dados”,
Monografia apresentada como requisito parcial para conclusão do Bacharelado em
Ciência da Computação, orientada pelo Dr. Marcelo Ladeira, Instituto de Ciências
Exatas, Departamento de Ciência da Computação, Universidade de Brasília – UnB,
Brasília, 2007.
[11] Consulta à página Web da Wikipédia. “Standard score”. Acesso em 29 de setembro
de 2009.
[12] Northcutt, S.; Novak, J. Network intrusion detection. 3. ed. New York: NewRiders
Publishing, 2002. 460 p. ISBN: 0735712654.
[13] Stevens, W.R TCP/IP Illustrated (vol. 1): the protocols, Indianapolis: Addison-
Wesley Longman Publishing, 1993. 576 p. ISBN 0201633469
[14] Ye, N. A markov chain model of temporal behavior for anomaly detection. In:
2000 IEEE Systems, Man, And Cybernetics Information Assurance And Security
Workshop, 2000. Proceedings… Los Alamitos, CA: IEEE Computer Society Press,
2000. p. 171-174.
[15] Zanero, S. Analyzing TCP traffic patterns using self organizing maps. In: Special
Session On Pattern In Computer Security, 2005, Cagliari, Italy. Proceedings…
Heidelberg: Springer Berlin, 2005a. v. 3617, p. 83-90. ISBN: 978-3-540-28869-5.
[16] Tapiador, J.M. E.; Teodoro, P. G.; Verdejo, J.E. D. Measuring normality in http
traffic for anomaly-based intrusion detection. Computer Networks, v. 45, n. 2, p.
175-193, June 2004a.
[17] Quanmin, W.; Weimin, L. A model for intrusion detection based on fuzzy match
and neural network. In: International Symposium On Test And Measurement
(ISTM’2001), 4., 2001, Shanghai , China. Proceedings… [S.l.]: [s.n.], 2001. v. 1, p.
411-414.
[18] Mukkamala S.; Sung A. H. Identifying significant features for network forensic
analysis using artificial intelligence techniques. International Journal on Digital
Evidence, v. 1, n. 4, 2003.
[19] Ertoz, L. et al.. Detection and summarization of novel network attacks using data
mining. Technical Report. Minneapolis, USA: University of Minnesota, 2003. 20 p.