Excluir Dados.txt
This commit is contained in:
100
Dados.txt
100
Dados.txt
@@ -1,100 +0,0 @@
|
|||||||
🔍 4.1 Visualização dos Dados Brutos
|
|
||||||
Imagens:
|
|
||||||
|
|
||||||
raw_data_feature_distribution.png
|
|
||||||
|
|
||||||
raw_data_label_distribution.png
|
|
||||||
|
|
||||||
📊 raw_data_feature_distribution.png
|
|
||||||
Analisando a distribuição da feature Destination_Port:
|
|
||||||
|
|
||||||
A densidade concentra-se em portas conhecidas (ex: 80, 443, 22, 21), o que é esperado em tráfego legítimo.
|
|
||||||
|
|
||||||
Observa-se picos isolados em portas não convencionais, indicativo de atividades anômalas como port scans ou ataques que testam portas alternativas.
|
|
||||||
|
|
||||||
A cauda longa mostra que há uma variedade grande de portas utilizadas, com uso esporádico – característica típica de datasets com ataques variados (como DDoS ou Botnet).
|
|
||||||
|
|
||||||
📊 raw_data_label_distribution.png
|
|
||||||
Forte desbalanceamento: o tráfego BENIGNO domina amplamente o conjunto de dados.
|
|
||||||
|
|
||||||
Isso valida a preocupação expressa no artigo sobre a necessidade de estratégias de pré-processamento (como normalização, e eventualmente balanceamento de classes).
|
|
||||||
|
|
||||||
Os ataques são diversos, mas individualmente minoritários. Isso ressalta a importância de interpretar o modelo com cuidado, pois ele pode tender a aprender o padrão benigno como dominante.
|
|
||||||
|
|
||||||
🧼 4.2 Visualização Após Tratamento dos Dados
|
|
||||||
Imagens:
|
|
||||||
|
|
||||||
processed_data_feature_distribution.png
|
|
||||||
|
|
||||||
processed_data_label_distribution.png
|
|
||||||
|
|
||||||
📊 processed_data_feature_distribution.png
|
|
||||||
Após normalização (Min-Max), os valores de Destination_Port foram re-escalados para o intervalo [0, 1].
|
|
||||||
|
|
||||||
O histograma mantém a forma geral da distribuição, mas permite comparar valores com outras features normalizadas no mesmo intervalo.
|
|
||||||
|
|
||||||
Os picos mantêm-se nos mesmos pontos (ex: 0.03, 0.08...), representando as portas mais comuns.
|
|
||||||
|
|
||||||
A cauda longa permanece presente, mas com visualização mais limpa (sem outliers extremos que distorcem a escala).
|
|
||||||
|
|
||||||
Interpretação visual:
|
|
||||||
→ A normalização não alterou a estrutura semântica da feature, o que é positivo: ela preserva os padrões enquanto permite que o modelo compare múltiplas features em igualdade de escala.
|
|
||||||
|
|
||||||
📊 processed_data_label_distribution.png
|
|
||||||
A distribuição de classes foi mantida após o tratamento – ou seja, não houve balanceamento artificial das classes.
|
|
||||||
|
|
||||||
Isso é coerente com o objetivo do estudo, que focou na visualização e interpretabilidade, e não na maximização da performance via técnicas como SMOTE.
|
|
||||||
|
|
||||||
O fato de o modelo ter atingido alta performance mesmo com classes desbalanceadas reforça a robustez do Random Forest e da engenharia de features realizada.
|
|
||||||
|
|
||||||
🧠 4.3 Visualizações de Interpretabilidade com SHAP
|
|
||||||
Imagens:
|
|
||||||
|
|
||||||
shap_bar_plot.png
|
|
||||||
|
|
||||||
shap_summary_plot.png
|
|
||||||
|
|
||||||
shap_dependence_plot.png
|
|
||||||
|
|
||||||
📊 shap_bar_plot.png
|
|
||||||
Exibe a importância média de cada feature no modelo Random Forest.
|
|
||||||
|
|
||||||
A feature mais importante é Destination_Port, seguida por variáveis relacionadas a fluxo (Flow_Duration, Flow_IAT_Max, Fwd_Packet_Length_Std etc).
|
|
||||||
|
|
||||||
Essas features indicam características temporais e estruturais do tráfego, que são cruciais para distinguir entre comportamento normal e malicioso.
|
|
||||||
|
|
||||||
Insights:
|
|
||||||
|
|
||||||
Destination_Port domina por ser fortemente correlacionada a certos tipos de ataque (e.g., ataques a SSH, FTP, RDP).
|
|
||||||
|
|
||||||
A combinação de múltiplas features temporais mostra que o modelo aprendeu padrões comportamentais de tráfego.
|
|
||||||
|
|
||||||
📊 shap_summary_plot.png
|
|
||||||
Vai além da média: mostra a distribuição dos valores SHAP por feature.
|
|
||||||
|
|
||||||
Cada ponto representa uma amostra e sua contribuição para a classificação.
|
|
||||||
|
|
||||||
A coloração representa o valor da feature (vermelho = alto, azul = baixo).
|
|
||||||
|
|
||||||
Exemplo de interpretação:
|
|
||||||
|
|
||||||
Para Destination_Port, valores altos (vermelho) tendem a contribuir para classificação como ataque, enquanto valores baixos (azul) muitas vezes indicam tráfego benigno.
|
|
||||||
|
|
||||||
Isso confirma que portas incomuns estão associadas a comportamentos maliciosos no dataset.
|
|
||||||
|
|
||||||
📊 shap_dependence_plot.png
|
|
||||||
Exibe a relação entre o valor da feature mais importante (Destination_Port) e seu impacto SHAP.
|
|
||||||
|
|
||||||
Mostra que para certas faixas de portas (principalmente as mais altas ou não padrão), há um aumento expressivo no valor SHAP → maior probabilidade de o modelo classificar como ataque.
|
|
||||||
|
|
||||||
Pode-se observar clusters ou transições bruscas, indicando possíveis thresholds que o modelo implicitamente aprendeu.
|
|
||||||
|
|
||||||
📌 Conclusão da Análise Visual
|
|
||||||
Etapa Gráfico Insight Principal
|
|
||||||
Dados Brutos raw_data_feature_distribution Presença de portas suspeitas; picos em portas padrão e anomalias em portas altas.
|
|
||||||
raw_data_label_distribution Desbalanceamento de classes.
|
|
||||||
Dados Tratados processed_data_feature_distribution Distribuição preservada; normalização eficaz.
|
|
||||||
processed_data_label_distribution Desbalanceamento mantido para estudo realista.
|
|
||||||
Interpretação com SHAP shap_bar_plot Destination_Port domina; features temporais também são muito relevantes.
|
|
||||||
shap_summary_plot Correlação clara entre valores altos da porta e ataques.
|
|
||||||
shap_dependence_plot Portas incomuns aumentam a probabilidade predita de ataque.
|
|
||||||
Reference in New Issue
Block a user