Uma metodologia para selecionar contadores de desempenho de hardware para dar suporte ao diagnóstico não invasivo e a classificação de ataques DDoS de inundação em servidores web

Abstract

As interrupções no servidor da Web causadas por ataques de Denial of Service (DoS) e Distributed Denial of Service (DDoS) aumentaram consideravelmente ao longo dos anos. Os Intrusion Detection Systems (IDS) não são suficientes para detectar ameaças no sis- tema, mesmo quando usados em conjunto com Intrusion Prevention Systems (IPS) e conjuntos de dados contendo informações de situação e ataques de serviço do sistema. Realizar análises com uma quantidade muito densa de variáveis observadas pode custar uma quantidade significativa de recursos do hospedeiro. Além disso, os dados de diagnós- ticos realizados por terceiros, correm o risco de não representar o real comportamento do sistema em uso e nem sempre podem ser compartilhados por conter informações confi- denciais, resultando em dados incompletos. Este trabalho apresenta o desenvolvimento de uma metodologia não intrusiva para diagnosticar situações de ataque DDoS em servido- res corporativos, dispensando o uso de conjuntos de dados de terceiros. Essa metodologia também auxilia no planejamento da capacidade dos ativos de infraestrutura e na im- plementação de contramedidas de segurança. A metodologia também permite a geração de perfis de comportamento de ataque DDoS, selecionando os Hardware Performance Counters (HPCs) mais influentes na caracterização de ataques, como L1-dcache-stores, LLC-loads e dTLB-stores, que possuem baixo nível de abstração e podem diferenciar as situações de ataque no sistema. A análise combina métodos e técnicas de diferentes seg- mentos utilizando Machine Learning (ML) e análise de dados estatísticos, o que pode melhorar consideravelmente a precisão da detecção de ataques, sendo capaz de diferenciar situações sazonais e de ataque no serviço. Com a metodologia proposta, reduziu-se os HPCs em mais de 26% em comparação com o grupo inicial de contadores.