Uma Metodologia para Selecionar Contadores de Desempenho de Hardware para dar Suporte ao Diagnóstico não Invasivo e a Classificação de Ataques DDoS de Inundação em Servidores Web
Diagnóstico. Metodologia. Ataques de Negação de Serviço Distribuído. Contadores de Desempenho de Hardware. Infraestrutura. Servidor Web.
As interrupções do servidor web causadas por Denial of Service (DOS) e
Distributed Denial of Service (DDOS), Ataques de Negação de Serviço e
Ataques de Negação de Serviço Distribuído aumentaram consideravelmente ao
longo dos anos. Os Intrusion Detection System (IDS) Sistemas de Detecção de
Intrusão não são suficientes para detectar ameaças no sistema, mesmo quando
usados em conjunto com Intrusion Prevention System (IPS) Sistemas de
Prevenção de Intrusão e mesmo considerando o uso de conjuntos de dados
contendo informações sobre situações típicas e ataques ao serviço do
sistema. A realização de análises com uma quantidade muito densa de
variáveis observadas pode custar uma quantidade significativa de recursos
do host. Além disso, esses conjuntos de dados correm o risco de não
representar o comportamento do sistema de forma adequada e nem sempre podem
ser compartilhados, pois podem conter informações confidenciais nos dados
de diagnóstico. Este trabalho apresenta uma metodologia de diagnóstico não
intrusiva para selecionar Hardware Performance Counters (HPC) Contadores de
Desempenho de Hardware em ataques DOS/DDOS de inundação HTTP em servidores
web de nível corporativo, combinando métodos e técnicas de diferentes
segmentos. A abordagem proposta usa dispositivos de recursos de baixo
nível, como os contadores de desempenho para diagnóstico, criando perfis
comportamentais em frente a ataques e ao uso comum do serviço. A estratégia
proposta oferece suporte ao fornecimento de diagnósticos confiáveis com
caracterização precisa, sem conjuntos de dados de terceiros. Com a
metodologia proposta, conseguimos reduzir os HPC em 26%, em comparação com
o grupo inicial.