通过对Web请求进行行为分析，检测Flash人群DDoS攻击

Anais do XVI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2016) Pub Date : 2016-11-07 DOI:10.5753/sbseg.2016.19305

Samuel Lautert Jardim, Raul Ceretta Nunes, Marcelo Colomé

{"title":"通过对Web请求进行行为分析，检测Flash人群DDoS攻击","authors":"Samuel Lautert Jardim, Raul Ceretta Nunes, Marcelo Colomé","doi":"10.5753/sbseg.2016.19305","DOIUrl":null,"url":null,"abstract":"Um Ataques de Negação de Serviço Distribuído (DDoS) é uma ameaça para o bom funcionamento da Internet. Ataques na camada de aplicação, como DDoS Flash Crowd, vêm se consolidando como alternativa para botmasters tornarem seus ataques ainda mais indetectáveis, dado a similaridade com tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego flash crowd de um tráfego com ataque DDoS. Este trabalho propõe um método de detecção baseado na observação do padrão de interatividade nas solicitações dos usuários. O método difere um usuário humano de um bot (programa malicioso) modelando o comportamento através do número de solicitações e do tempo entre elas (taxa de interatividade). Os experimentos demonstram a eficácia do método na detecção, comprovando que o padrão de interatividade esperado pode ser aplicado como mecanismo de detecção.","PeriodicalId":337903,"journal":{"name":"Anais do XVI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2016)","volume":"42 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2016-11-07","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Detecção de Ataque DDoS Flash Crowd Realizando Análise Comportamental de Solicitações Web\",\"authors\":\"Samuel Lautert Jardim, Raul Ceretta Nunes, Marcelo Colomé\",\"doi\":\"10.5753/sbseg.2016.19305\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Um Ataques de Negação de Serviço Distribuído (DDoS) é uma ameaça para o bom funcionamento da Internet. Ataques na camada de aplicação, como DDoS Flash Crowd, vêm se consolidando como alternativa para botmasters tornarem seus ataques ainda mais indetectáveis, dado a similaridade com tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego flash crowd de um tráfego com ataque DDoS. Este trabalho propõe um método de detecção baseado na observação do padrão de interatividade nas solicitações dos usuários. O método difere um usuário humano de um bot (programa malicioso) modelando o comportamento através do número de solicitações e do tempo entre elas (taxa de interatividade). Os experimentos demonstram a eficácia do método na detecção, comprovando que o padrão de interatividade esperado pode ser aplicado como mecanismo de detecção.\",\"PeriodicalId\":337903,\"journal\":{\"name\":\"Anais do XVI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2016)\",\"volume\":\"42 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2016-11-07\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Anais do XVI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2016)\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.5753/sbseg.2016.19305\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais do XVI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2016)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg.2016.19305","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

摘要

分布式拒绝服务(DDoS)攻击是对互联网正常运行的威胁。应用层攻击，如DDoS Flash Crowd，由于类似于良性网络流量类型Flash Crowd(意外访问爆发)，已经被巩固为机器人管理员的替代方案，使他们的攻击更加难以检测。攻击检测工具需要区分flash人群流量和DDoS攻击流量。本文提出了一种基于观察用户请求交互模式的检测方法。该方法通过对请求的数量和它们之间的时间(交互率)建模行为，将人类用户与机器人(恶意程序)区分开来。实验证明了该方法在检测中的有效性，证明了预期的交互模式可以作为检测机制。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

查看原文本刊更多论文

Detecção de Ataque DDoS Flash Crowd Realizando Análise Comportamental de Solicitações Web

Um Ataques de Negação de Serviço Distribuído (DDoS) é uma ameaça para o bom funcionamento da Internet. Ataques na camada de aplicação, como DDoS Flash Crowd, vêm se consolidando como alternativa para botmasters tornarem seus ataques ainda mais indetectáveis, dado a similaridade com tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego flash crowd de um tráfego com ataque DDoS. Este trabalho propõe um método de detecção baseado na observação do padrão de interatividade nas solicitações dos usuários. O método difere um usuário humano de um bot (programa malicioso) modelando o comportamento através do número de solicitações e do tempo entre elas (taxa de interatividade). Os experimentos demonstram a eficácia do método na detecção, comprovando que o padrão de interatividade esperado pode ser aplicado como mecanismo de detecção.

求助全文

通过发布文献求助，成功后即可免费获取论文全文。去求助

来源期刊

Anais do XVI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2016)

自引率

0.00%

发文量