Slides da apresentação do trabalho da disciplina de Processamento de Dados Massivos em Nuvem, disciplina do mestrado em Ciência da Computação DCC/UFMG 2022/01
Motivação ● Sistemas de detecção de intrusão (IDS) Utilizam modelos baseados em detecção de anomalias. Modelos criados a partir de atributos disponíveis em datasets. ● Atributos possuem pesos diferentes Bases de dados podem conter registros com atributos irrelevantes. Ataques do tipo DDoS possuem muitas características comuns a fluxos de dados benignos.
Metodologia ● Dataset com 6.59 GB e +10M de fluxos benignos e DDoS ● Spark SQL queries para extrair dados sobre fluxos do tipo benignos e DDoS Funções de persistência em memória e caching para melhorar desempenho das consultas. Resultado das consultas armazenado em HDFS para produção de gráficos e consulta posterior. https://www.kaggle.com/devendra416/ddos-datasets
Resultado ● Atributos de maior peso como IP de origem 172.31.69.25 = 721 benignos vs 1.766.461 DDoS 172.31.69.28 = 10.960 benignos vs 920.151 DDoS ● Dentre os 36 IPs geradores de ataques DDoS apenas 02 foram também geradores de tráfego benigno
Resultado ● Fluxos do tipo DDoS possuem média de tamanho de pacotes 2x maior ● Analisar tamanho max e min dos pacotes pode não ser relevante, visto que o limite é similar para ambos (min = 0 e -1)
Conclusão Atributos como IP de origem e destino, Timestamp e a presença de flags específicas em segmentos TCP (ACK, PSH e CWE) devem ser utilizados com cautela em modelos para sistemas de detecção de intrusão. O tamanho dos pacotes pode ser um atributo que ajuda a entender se um fluxo pertence a um ataque DDoS ou não, apesar de falsos negativos e positivos serem encontrados no dataset CSE-CIC-IDS2018-AWS, utilizado neste trabalho https://bit.ly/3IlDKLb
andreybleme
jhellerstein
ssii
lcolladotor
gaelvaroquaux
tlyu0419
sshimizu2006
nobushimi
nkmr_rl
asymptotic_minato
jeffersonlam
lauravandoore
addyosmani
yeseniaperezcruz
skipperchong
akmur
samlambert
3n
wjessup
stephaniewalter
destraynor
keathley