undergraduate degree dissertation (major paper) (Portuguese)

posted 28 Feb 2013, 15:18 by Rodrigo Rocha   [ updated 27 May 2015, 20:57 ]
DETECÇÃO EM TEMPO-REAL DE ATAQUES DE NEAÇÃO DE SERVIÇO NA REDE DE ORIGEM USANDO UM CLASSIFICADOR BAYESIANO SIMPLES

Undergraduate degree dissertation (Monografia) in Portuguese.

Abstract:
Denial-of-service attack is one of the most common attacks performed by botnets. By deploying defence mechanism at the source network, one has that the attack flows can be stopped before entering the Internet core and blend with other flows, thereby creating possible congestion. The low degree of flow aggregation that there exists at the source allows the use of more complex defence strategies with higher accuracy. This paper proposes a mechanism for real-time detection of denial-of-service attacks, using a naive Bayesian classifier and that must be deployed at the attack source network. As the classifier proposal is to detect attacks carried out by botnet agents, the training dataset should represent the behaviour of a secondary victim to the maximum. Based on a mathematical evaluation, one has obtained a threshold for each attack being detected, in such a way that if a given traffic flow have such a characteristic that is above the threshold, it will be classified as an attack traffic flow. For cases of critical attacks, it is suggested using detection mechanisms deployed at different locations working together for detecting the attacks.

Resumo:
Ataque de negação de serviço é um dos ataques mais comumente realizados por botnets. Implantando o mecanismo de defesa na rede de origem, tem-se que o fluxo de ataque poderá ser bloqueado antes de entrar no núcleo da Internet e ser agregado a outros fluxos, o que poderia causar congestionamento. O baixo grau de agregação de fluxos existente na origem permite usar estratégias de defesa mais complexas e com maior precisão. Este trabalho propõe um mecanismo de detecção em tempo-real de ataques de negação de serviço, utilizando um classificador bayesiano simples, implantado na rede de origem. Como a proposta do classificador é detectar ataques executados por agentes de uma botnet,  o conjunto de amostras para treinamento deve representar ao máximo o comportamento de uma vítima secundária. Com base em uma avaliação matemática, obtiveram­-se um limiar para cada ataque sendo detectado, de maneira que se um determinado fluxo apresentar características tais que estejam além desse limiar, o mesmo será classificado como um tráfego de ataque. Para casos críticos de ataque, sugere-se a utilização de mecanismos de detecção em diferentes locais de implantação,  trabalhando em conjunto na detecção de ataques.
Ċ
Rodrigo Rocha,
28 Feb 2013, 15:19
Ċ
Rodrigo Rocha,
28 Feb 2013, 15:18
Comments