100 lines
4.9 KiB
Plaintext
100 lines
4.9 KiB
Plaintext
🔍 4.1 Visualização dos Dados Brutos
|
||
Imagens:
|
||
|
||
raw_data_feature_distribution.png
|
||
|
||
raw_data_label_distribution.png
|
||
|
||
📊 raw_data_feature_distribution.png
|
||
Analisando a distribuição da feature Destination_Port:
|
||
|
||
A densidade concentra-se em portas conhecidas (ex: 80, 443, 22, 21), o que é esperado em tráfego legítimo.
|
||
|
||
Observa-se picos isolados em portas não convencionais, indicativo de atividades anômalas como port scans ou ataques que testam portas alternativas.
|
||
|
||
A cauda longa mostra que há uma variedade grande de portas utilizadas, com uso esporádico – característica típica de datasets com ataques variados (como DDoS ou Botnet).
|
||
|
||
📊 raw_data_label_distribution.png
|
||
Forte desbalanceamento: o tráfego BENIGNO domina amplamente o conjunto de dados.
|
||
|
||
Isso valida a preocupação expressa no artigo sobre a necessidade de estratégias de pré-processamento (como normalização, e eventualmente balanceamento de classes).
|
||
|
||
Os ataques são diversos, mas individualmente minoritários. Isso ressalta a importância de interpretar o modelo com cuidado, pois ele pode tender a aprender o padrão benigno como dominante.
|
||
|
||
🧼 4.2 Visualização Após Tratamento dos Dados
|
||
Imagens:
|
||
|
||
processed_data_feature_distribution.png
|
||
|
||
processed_data_label_distribution.png
|
||
|
||
📊 processed_data_feature_distribution.png
|
||
Após normalização (Min-Max), os valores de Destination_Port foram re-escalados para o intervalo [0, 1].
|
||
|
||
O histograma mantém a forma geral da distribuição, mas permite comparar valores com outras features normalizadas no mesmo intervalo.
|
||
|
||
Os picos mantêm-se nos mesmos pontos (ex: 0.03, 0.08...), representando as portas mais comuns.
|
||
|
||
A cauda longa permanece presente, mas com visualização mais limpa (sem outliers extremos que distorcem a escala).
|
||
|
||
Interpretação visual:
|
||
→ A normalização não alterou a estrutura semântica da feature, o que é positivo: ela preserva os padrões enquanto permite que o modelo compare múltiplas features em igualdade de escala.
|
||
|
||
📊 processed_data_label_distribution.png
|
||
A distribuição de classes foi mantida após o tratamento – ou seja, não houve balanceamento artificial das classes.
|
||
|
||
Isso é coerente com o objetivo do estudo, que focou na visualização e interpretabilidade, e não na maximização da performance via técnicas como SMOTE.
|
||
|
||
O fato de o modelo ter atingido alta performance mesmo com classes desbalanceadas reforça a robustez do Random Forest e da engenharia de features realizada.
|
||
|
||
🧠 4.3 Visualizações de Interpretabilidade com SHAP
|
||
Imagens:
|
||
|
||
shap_bar_plot.png
|
||
|
||
shap_summary_plot.png
|
||
|
||
shap_dependence_plot.png
|
||
|
||
📊 shap_bar_plot.png
|
||
Exibe a importância média de cada feature no modelo Random Forest.
|
||
|
||
A feature mais importante é Destination_Port, seguida por variáveis relacionadas a fluxo (Flow_Duration, Flow_IAT_Max, Fwd_Packet_Length_Std etc).
|
||
|
||
Essas features indicam características temporais e estruturais do tráfego, que são cruciais para distinguir entre comportamento normal e malicioso.
|
||
|
||
Insights:
|
||
|
||
Destination_Port domina por ser fortemente correlacionada a certos tipos de ataque (e.g., ataques a SSH, FTP, RDP).
|
||
|
||
A combinação de múltiplas features temporais mostra que o modelo aprendeu padrões comportamentais de tráfego.
|
||
|
||
📊 shap_summary_plot.png
|
||
Vai além da média: mostra a distribuição dos valores SHAP por feature.
|
||
|
||
Cada ponto representa uma amostra e sua contribuição para a classificação.
|
||
|
||
A coloração representa o valor da feature (vermelho = alto, azul = baixo).
|
||
|
||
Exemplo de interpretação:
|
||
|
||
Para Destination_Port, valores altos (vermelho) tendem a contribuir para classificação como ataque, enquanto valores baixos (azul) muitas vezes indicam tráfego benigno.
|
||
|
||
Isso confirma que portas incomuns estão associadas a comportamentos maliciosos no dataset.
|
||
|
||
📊 shap_dependence_plot.png
|
||
Exibe a relação entre o valor da feature mais importante (Destination_Port) e seu impacto SHAP.
|
||
|
||
Mostra que para certas faixas de portas (principalmente as mais altas ou não padrão), há um aumento expressivo no valor SHAP → maior probabilidade de o modelo classificar como ataque.
|
||
|
||
Pode-se observar clusters ou transições bruscas, indicando possíveis thresholds que o modelo implicitamente aprendeu.
|
||
|
||
📌 Conclusão da Análise Visual
|
||
Etapa Gráfico Insight Principal
|
||
Dados Brutos raw_data_feature_distribution Presença de portas suspeitas; picos em portas padrão e anomalias em portas altas.
|
||
raw_data_label_distribution Desbalanceamento de classes.
|
||
Dados Tratados processed_data_feature_distribution Distribuição preservada; normalização eficaz.
|
||
processed_data_label_distribution Desbalanceamento mantido para estudo realista.
|
||
Interpretação com SHAP shap_bar_plot Destination_Port domina; features temporais também são muito relevantes.
|
||
shap_summary_plot Correlação clara entre valores altos da porta e ataques.
|
||
shap_dependence_plot Portas incomuns aumentam a probabilidade predita de ataque. |