Detecção de Ataque DDoS Flash Crowd Realizando Análise Comportamental de Solicitações Web

  • Samuel Lautert Jardim UFSM
  • Raul Ceretta Nunes UFSM
  • Marcelo Colomé UFSM


Um Ataques de Negação de Serviço Distribuído (DDoS) é uma ameaça para o bom funcionamento da Internet. Ataques na camada de aplicação, como DDoS Flash Crowd, vêm se consolidando como alternativa para botmasters tornarem seus ataques ainda mais indetectáveis, dado a similaridade com tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego flash crowd de um tráfego com ataque DDoS. Este trabalho propõe um método de detecção baseado na observação do padrão de interatividade nas solicitações dos usuários. O método difere um usuário humano de um bot (programa malicioso) modelando o comportamento através do número de solicitações e do tempo entre elas (taxa de interatividade). Os experimentos demonstram a eficácia do método na detecção, comprovando que o padrão de interatividade esperado pode ser aplicado como mecanismo de detecção.


