Detecção de Ataque DDoS Flash Crowd Realizando Análise Comportamental de Solicitações Web
Resumo
Um Ataques de Negação de Serviço Distribuído (DDoS) é uma ameaça para o bom funcionamento da Internet. Ataques na camada de aplicação, como DDoS Flash Crowd, vêm se consolidando como alternativa para botmasters tornarem seus ataques ainda mais indetectáveis, dado a similaridade com tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego flash crowd de um tráfego com ataque DDoS. Este trabalho propõe um método de detecção baseado na observação do padrão de interatividade nas solicitações dos usuários. O método difere um usuário humano de um bot (programa malicioso) modelando o comportamento através do número de solicitações e do tempo entre elas (taxa de interatividade). Os experimentos demonstram a eficácia do método na detecção, comprovando que o padrão de interatividade esperado pode ser aplicado como mecanismo de detecção.
Referências
Behal, S. and Kumar, K. (2016). Trends in Validation of DDoS Research. In: Int. Conf. On Computational Modeling and Security. Procedia Computer Science n. 85, Elsevier, p. 7-15. doi: 10.1016/j.procs.2016.05.170
Bekeneva, Y., Shipilov, N., Borisenko, K. and Shorov, A. (2015). Simulation of DDoS-attacks and protection mechanisms against them. In: IEEE NW Russia Young Researchers in Electrical and Electronic Engineering Conference (EIConRusNW).
Bhuyan, M. H.; Kalwar, A.; Goswami, A.;Bhattacharyya, D. K.; Kalita, J. K. (2015) Low-Rate and High-Rate Distributed DoS Attack Detection Using Partial Rank Correlation. In: Int. Conf. On Communication Systems and Network Technologies, IEEE, doi:10.1109/CSNT.2015.24
CAIDA Anonymized Internet Traces (2015). http://www.caida.org/data/overview/, [acessado em Junho de 2016].
Dalmazo, B. L.; Perlin, T.; Nunes, R. C.; Kozakevicius, A. J. (2009) Filtros de Alarmes de Anomalias através de Wavelets. In: Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais – SBSeg, Campinas/SP. Porto Alegre: Sociedade Brasileira de Computação, 2009. v. 1. p. 85-98.
Dantas, R. S. A. (2013). Diferenciação de Ataques DDoS e Flash Crowds. Rio de Janeiro: Instituto Militar de Engenharia. 75p. (Dissertação).
David, D. and Thomas, C. (2015). DDoS Attack Detection using Fast Entropy Approach on Flow-Based Network Traffic. In: Int. Conf. On Big Data and Cloud Computing. Procedia Computer Science n. 50, Elsevier, p. 30-36. doi: 10.1016/j.procs.2015.04.007
DDoSIM (2016). https://stormsecurity.wordpress.com/2009/03/03/application-layerddos-simulator/, [acessado em Junho de 2016].
Dhingra, A. and Sachdeva, M. (2014). Recent Flash Events : A Study. International Conference on Communication, Computing & Systems (ICCCS–2014), p. 94–99.
Donoho, D. L. (1995). De-noising by soft-thresholding. IEEE Transactions on Information Theory, 41, 613–627.
Fang, W.; Sun, J.; Wu, X.; Palade, V. (2015). Adaptive Web QoS controller based on online system identification using quantum-behaved particle swarm optimization. Soft Computing. v.19, n. 6, p. 1715-1725. doi:10.1007/s00500-014-1359-9
Feily, M., Shahrestani, A. and Ramadass, S. (2009). A survey of botnet and botnet detection. Proceedings - 2009 3rd International Conference on Emerging Security Information, Systems and Technologies, SECURARE 2009, p. 268–273.
Hwang, F. (2004). Análise dos Efeitos Gerados pelo Comportamento das Aplicações e pelo Perfil das Redes na Característica Auto-Similar do Tráfego Internet. São Paulo: Universidade Estadual de Campinas. 167p. (Dissertação)
Hwang, F., Bianchi, G. R. and Lee Luan Ling (2005). Impacto Gerado pelo Comportamento das Aplicações (Web, FTP e E-mail) e pelo Perfil das Redes na Característica Auto-Similar. IEEE Latin America Transactions, v.3, n.4, p.356–361.
Jena, A. K., Popescu, A. and Nilsson, A. A. (2003). Modeling and evaluation of internet applications. 2014 IEEE International Conference on Internet of Things(iThings), and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom). IEEE. p. 531–540.
Kandula, S., Katabi, D., Jacob, M. and Berger, A. (2005). Botz-4-sale: Surviving organized DDoS attacks that mimic flash crowds. 2nd Symposium on Networked Systems Design and Implementation (NSDI), p.287–300.
Ke, L., Wanlei, Z., Ping, L., Jing, H. and Jianwen, L. (2009). Distinguishing DDoS Attacks from Flash Crowds Using Probability Metrics. In: Proc. of the International Conference on Network and System Security - NSS ’09, p.09-17.
Lu, K.; Wu, D.; Fan, J.; Todorovic, S.; Nucci, A. (2007). Robust and efficient detection of DDoS attacks for large-scale internet. In: Computer Networks, n. 51, Elsevier, p. 5036-5056. doi:10.1016/j.comnet.2007.08.008
Lucena, S. C. and Moura, A. S. (2010). Estimativa de Holt-Winters para Detecção de Ataques em Redes WAN. X Simpósio Brasileiro Em Segurança Da Informação E De Sistemas Computacionais, v. d, p. 157–170.
Oikonomou, G. and Mirkovic, J. (2009). Modeling Human Behavior for Defense against Flash-Crowd Attacks. ICC’09 Proceedings of the 2009 IEEE international conference on Communications, n. 0430228, p. 625–630.
Pan, J., Hu, H. and Liu, Y. (2014). Human behavior during Flash Crowd in web surfing. Physica A: Statistical Mechanics and its Applications, v. 413, p. 212–219.
Prasad, K. M., Reddy, A. R. M. and Rao, K. V (2013). Discriminating DDoS Attack traffic from Flash Crowds on Internet Threat Monitors (ITM) Using Entropy variations. African Journal of Computing & ICT, v. 6, n. 2, p. 53–62.
Righi, M. A., Nunes, R. C. (2015). Detecção de DDoS Através da Análise da Recorrência Baseada na Extração de Características Dinâmicas. XV Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, p. 327–330.
Saravanan, R., Shanmuganathan, S. and Palanichamy, Y. (2013). Behavior-based detection of application layer distributed denial of service attacks. Turkish Journal of Electrical Engineering & Computer Sciences, p. 1–14.
Singh, B., Kumar, K. and Bhandari, A. (2015). Simulation Study of Application Layer DDoS Attack. 2015 International Conference on Green Computing and Internet of Things (ICGCIoT), p. 893–898.
Thapngam, T., Yu, S., Zhou, W. and Beliakov, G. (2011). Discriminating DDoS Attack Traffic from Flash Crowd through Packet Arrival Patterns. Computer Communications Workshops (INFOCOM), 2011 IEEE Conference, p. 952–957.
Valcy, I., Barreto, L. P., Bezzera, J. (2011). Tratamento Automatizado de Incidentes de Segurança da Informação em Redes de Campus. XI Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, p. 29–42.
Waikato (2016). Waikato Internet Traffic Storage - WITS. http://wand.net.nz/wits/, [acessado em Junho de 2016].
Walfish, M.; Vutukuru, M.; Balakrishnan, H.; Karger, D.; Shenker, S. (2010) DDoS defense by offence. ACM Trans. on Computer System, v. 28, n. 1, Article 3 (August 2010), 54p.
Xie, Y. and Yu, S. Z. (2009). Monitoring the application-layer DDoS sttacks for popular websites. IEEE/ACM Trans on Networking, Feb., v. 17, n. 1, p. 15–25.
Xu, C., Du, C. and Kong, X. (2012). An Application Layer DDoS Real-Time Detection Method in Flash Crowd. International Association of Computer Science & Information Technology (IACSIT), v. 30, p. 68–73.
Ye, C. and Zheng, K. (2011). Detection of application layer distributed denial of service. 2011 International Conference on Computer Science and Network Technology Detection, IEEE, p. 310–314.
Yu, S., Zhou, W. and Member, S. (2012). Discriminating DDoS Attacks from Flash Crowds Using Flow Correlation Coefficient. Parallel and Distributed Systems, IEEE Transactions, v. 23, n. 6, p. 1073–1080.