Lightweight DDoS Attack Detection Using Bayesian Space-Time Correlation

Ataques DDoS continuam sendo uma das principais fontes de problemas na Internet e seguem causando perdas financeiras significativas para organizações de todos os portes. Para mitigar seu impacto, a detecção deve, preferencialmente, ocorrer próxima à origem do ataque (por exemplo, em roteadores residenciais ou servidores de borda). No entanto, depender de inspeção de pacotes pode acarretar sérios problemas de privacidade e escalabilidade. Propomos um sistema leve para detecção de ataques DDoS que utiliza apenas contadores de bytes e pacotes de roteadores residenciais convencionais. Para detectar ataques com essa quantidade limitada de informações, nossa principal contribuição consiste em definir duas camadas de detecção: (1) um classificador de aprendizado de máquina treinado com dados de usuários residenciais e de malwares reais; (2) e um modelo hierárquico Bayesiano que explora a natureza sincronizada dos ataques DDoS ao correlacionar alarmes de múltiplas residências para validar a abordagem em ambientes reais. Coletamos dados de ataques DDoS gerando tráfego real de ataque a partir das casas de um grupo selecionado de voluntários utilizando código-fonte de malwares reais. Nesse experimento, conduzido nas residências dos voluntários ao longo de um mês, nosso sistema detectou 99,1% de todos os ataques DDoS lançados, sem alarmes falsos.