Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Análise de Ataques DDoS

Lucas Bleme
February 20, 2022

Análise de Ataques DDoS

Slides da apresentação do trabalho da disciplina de Processamento de Dados Massivos em Nuvem, disciplina do mestrado em Ciência da Computação DCC/UFMG 2022/01

Lucas Bleme

February 20, 2022
Tweet

More Decks by Lucas Bleme

Other Decks in Science

Transcript

  1. Motivação • Sistemas de detecção de intrusão (IDS) Utilizam modelos

    baseados em detecção de anomalias. Modelos criados a partir de atributos disponíveis em datasets. • Atributos possuem pesos diferentes Bases de dados podem conter registros com atributos irrelevantes. Ataques do tipo DDoS possuem muitas características comuns a fluxos de dados benignos.
  2. Metodologia • Dataset com 6.59 GB e +10M de fluxos

    benignos e DDoS • Spark SQL queries para extrair dados sobre fluxos do tipo benignos e DDoS Funções de persistência em memória e caching para melhorar desempenho das consultas. Resultado das consultas armazenado em HDFS para produção de gráficos e consulta posterior. https://www.kaggle.com/devendra416/ddos-datasets
  3. Resultado • Atributos de maior peso como IP de origem

    172.31.69.25 = 721 benignos vs 1.766.461 DDoS 172.31.69.28 = 10.960 benignos vs 920.151 DDoS • Dentre os 36 IPs geradores de ataques DDoS apenas 02 foram também geradores de tráfego benigno
  4. Resultado • Fluxos do tipo DDoS possuem média de tamanho

    de pacotes 2x maior • Analisar tamanho max e min dos pacotes pode não ser relevante, visto que o limite é similar para ambos (min = 0 e -1)
  5. Resultado • 115 mil fluxos TCP ACK = 1.628.233 benignos

    vs 4.908.682 DDoS CWE = 64 benignos vs 1.082.293 DDoS PSH = 2.280.364 benignos vs 293.853 DDoS
  6. Conclusão Atributos como IP de origem e destino, Timestamp e

    a presença de flags específicas em segmentos TCP (ACK, PSH e CWE) devem ser utilizados com cautela em modelos para sistemas de detecção de intrusão. O tamanho dos pacotes pode ser um atributo que ajuda a entender se um fluxo pertence a um ataque DDoS ou não, apesar de falsos negativos e positivos serem encontrados no dataset CSE-CIC-IDS2018-AWS, utilizado neste trabalho https://bit.ly/3IlDKLb