Detecção de anomalias baseada em logs de acesso

Abstract

Ataques direcionados a sistemas web mudam sua forma com muita frequência. Conforme novas vulnerabilidades de aplicações, bibliotecas, ou sistemas operacionais são descobertas, novos ataques surgem e nem sempre ferramentas de detecção de intrusão conseguem se manter suficientemente atualizadas para combatê-los. Este trabalho propõe um sistema de detecção de ataques web com capacidade de detectar ataques zero-day baseado na aplicação de machine learning em logs de acesso http. Obtendo uma métrica f1 de 0.82, o sistema propõe, ainda, um método para aplicar conceitos de explicabilidade a fim de justificar as classificações feitas.

Attacks targeting web systems change their form very often. As new vulnerabilities in applications, libraries, or operating systems are discovered, new attacks emerge and in trusion detection tools are not always able to keep sufficiently updated to combat them. This work proposes a web attack detection system capable of detecting zero-day attacks based on the application of machine learning in http access logs. Obtaining an f1 metric of 0.82, the system also proposes a method to apply explainability concepts in order to justify the classifications made.