Avaliação da capacidade de generalização de IDS stateful utilizando aprendizado de máquina

Aprendizado de máquina é relevante para a caracterização de ataques em redes de computadores, permitindo identificar padrões de tráfego e, com isso, implementar mecanismos que bloqueiam ações maliciosas. No entanto, pouco se discute sobre a capacidade de generalização das soluções em diferentes contextos operacionais. Este trabalho avalia o desempenho de diferentes modelos, como DT, LR, MLP, NB, SVM e XGB, nos conjuntos de dados UNSW-NB15, CICIDS-2017, BoT-IoT, ToN-IoT e AB-TRAP. Como resultado, observou-se uma baixa capacidade de generalização. Mais ainda, a engenharia de atributos facilitou a comparação entre os modelos e contribuiu no processo de aprendizagem. Por fim, analisou-se a efetividade de atributos como preditores de scanning em redes.