$30 off During Our Annual Pro Sale. View Details »

Análise de Ataques DDoS

Lucas Bleme
February 20, 2022

Análise de Ataques DDoS

Slides da apresentação do trabalho da disciplina de Processamento de Dados Massivos em Nuvem, disciplina do mestrado em Ciência da Computação DCC/UFMG 2022/01

Lucas Bleme

February 20, 2022
Tweet

More Decks by Lucas Bleme

Other Decks in Science

Transcript

  1. Processamento de Dados Massivos em Nuvem
    Lucas Bleme e Luiz Santos
    Análise de Ataques DDoS

    View Slide

  2. Motivação
    ● Sistemas de detecção de intrusão (IDS)
    Utilizam modelos baseados em detecção de anomalias.
    Modelos criados a partir de atributos disponíveis em datasets.
    ● Atributos possuem pesos diferentes
    Bases de dados podem conter registros com atributos irrelevantes.
    Ataques do tipo DDoS possuem muitas características comuns a fluxos de dados benignos.

    View Slide

  3. Metodologia
    ● Dataset com 6.59 GB e +10M de fluxos benignos e DDoS
    ● Spark SQL queries para extrair dados sobre fluxos do tipo benignos e DDoS
    Funções de persistência em memória e caching para melhorar desempenho das consultas.
    Resultado das consultas armazenado em HDFS para produção de gráficos e consulta posterior.
    https://www.kaggle.com/devendra416/ddos-datasets

    View Slide

  4. Resultado
    ● Atributos de maior peso como IP de origem
    172.31.69.25 = 721 benignos vs 1.766.461 DDoS
    172.31.69.28 = 10.960 benignos vs 920.151 DDoS
    ● Dentre os 36 IPs geradores de ataques DDoS
    apenas 02 foram também geradores de tráfego
    benigno

    View Slide

  5. Resultado
    ● Fluxos do tipo DDoS possuem média de
    tamanho de pacotes 2x maior
    ● Analisar tamanho max e min dos pacotes pode
    não ser relevante, visto que o limite é similar
    para ambos (min = 0 e -1)

    View Slide

  6. Resultado
    ● 115 mil fluxos TCP
    ACK = 1.628.233 benignos vs 4.908.682 DDoS
    CWE = 64 benignos vs 1.082.293 DDoS
    PSH = 2.280.364 benignos vs 293.853 DDoS

    View Slide

  7. Conclusão
    Atributos como IP de origem e destino, Timestamp e a presença de flags específicas em segmentos TCP
    (ACK, PSH e CWE) devem ser utilizados com cautela em modelos para sistemas de detecção de intrusão.
    O tamanho dos pacotes pode ser um atributo que ajuda a entender se um fluxo pertence a um ataque DDoS
    ou não, apesar de falsos negativos e positivos serem encontrados no dataset CSE-CIC-IDS2018-AWS,
    utilizado neste trabalho
    https://bit.ly/3IlDKLb

    View Slide

  8. Obrigado! https://speakerdeck.com/andreybleme
    Lucas Bleme e Luiz Santos
    [email protected], [email protected]
    Análise de Ataques DDoS

    View Slide