Detecção de ataques DDoS flash crowd baseado na análise comportamental de usuários
Abstract
A Internet vem sendo alvo de ataques por diversas razões, tais como gratificações financeiras, guerras cibernéticas, entre outras. Os ataques de negação de serviço distribuído (DDoS) se destacam por serem uma ameaça para o bom funcionamento da Internet e, quando presentes na camada de aplicação, como DDoS mimic Flash Crowd, podem servir como alternativa para os botmasters tornarem seus ataques ainda mais indetectáveis. A principal dificuldade encontrada na identificação desse ataque, deve-se principalmente à similaridade com o tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego Flash Crowd de um tráfego com ataque DDoS. Dessa forma, o objetivo deste trabalho é apresentar um método capaz de detectar ataque DDoS mimic Flash Crowd, bem como diferenciar usuários maliciosos disfarçados de usuários legítimos (humano). Esse trabalho propõe um método de detecção baseado na observação do padrão de interatividade nas solicitações dos usuários, diferenciando um usuário humano de um bot (programa malicioso) modelando o comportamento através da taxa de interatividade, número de solicitações e do tempo entre elas. Os experimentos demonstram a eficácia do método na detecção, comprovando que o padrão de interatividade esperado pode ser aplicado como mecanismo de detecção.
Collections
The following license files are associated with this item: