Heimdall: detecção de artefatos maliciosos utilizando machine learning em ambientes internet of things habilitados por redes definidas por software

Banca:

Resumo:

SOUZA, Cristian Henrique Martins de. Heimdall: Detecção de Artefatos Maliciosos Utilizando Machine Learning em Ambientes Internet of Things Habilitados por Redes Definidas por Software. 2024. 106 f. Dissertação (Mestrado em Gestão e Tecnologia em Sistemas Produtivos) – Centro Estadual de Educação Tecnológica Paula Souza, São Paulo, 2024.

Programas maliciosos continuam sendo um dos principais desafios para a segurança dos sistemas computacionais. O crescimento do paradigma tecnológico da Internet das Coisas (IoT, do inglês Internet of Things) tem gerado diversas preocupações a respeito da segurança dos dispositivos conectados à Internet, especialmente em ambientes industriais impulsionados pelas tecnologias 4.0, onde o comprometimento ou mau funcionamento de tais aparelhos pode ocasionar danos ao ambiente físico dos sistemas produtivos e colocar vidas humanas em risco. Proteger ambientes IoT é uma tarefa complexa, visto que dispositivos com características e funcionalidades distintas podem estar conectados à uma mesma infraestrutura. Logo, é essencial dispor de ferramentas agnósticas para detecção e contenção de ameaças cibernéticas. Nesse contexto, o paradigma das Redes Definidas por Software (SDN, do inglês Software-Defined Networking) se apresenta como um habilitador para o desenvolvimento de soluções capazes de detectar e isolar artefatos maliciosos em nível de rede. Ademais, o uso de técnicas de aprendizado de máquina eleva o potencial de detecção ao permitir a identificação rápida de artefatos desconhecidos. Diante do exposto, este trabalho de pesquisa propõe o Heimdall, uma ferramenta híbrida para detecção de artefatos maliciosos em ambientes IoT habilitados por SDN. A solução combina o uso de regras YARA e machine learning para classificação de artefatos maliciosos a partir da análise do tráfego da rede. As principais contribuições deste trabalho englobam a avaliação de diferentes algoritmos de aprendizado de máquina em um dataset robusto; a criação de uma arquitetura híbrida, genérica e resiliente para detecção de programas maliciosos em ambientes IoT habilitados por SDN; o desenvolvimento de uma prova de conceito para a arquitetura definida; e a avaliação da abordagem proposta a partir de exemplares reais de artefatos maliciosos. O algoritmo Random Forest implementado obteve uma acurácia de 99.33% no conjunto de dados de teste. Ao ser avaliado contra programas maliciosos reais, o Heimdall obteve uma taxa de detecção de 98.44% e um tempo de processamento médio de 0.0217s.