Predição de ataques DDoS por sinais de alerta

Abstract

Resumo: Os ataques cibernéticos evoluem continuamente. Dentre eles, o ataque de negação de serviço distribuído (do inglês, Distributed Denial of Service — DDoS) é um dos mais comprometedores. Após seu efetivo lançamento, os administradores de rede são surpreendidos pelo rápido crescimento no consumo de recursos, sendo necessário coibi-los antes que eles cheguem a esta fase. A tarefa de identificar indícios da preparação dos ataques é desafiadora, pois a preparação dos ataques evitam impactar os atributos do tráfego de rede. Além disso, devido ao grande desbalanceamento dos dados, a preparação dos ataques é frequentemente ignorada. Entretanto, mesmo sem mudanças claras no comportamento, é possível observar sinais precoces de alerta por meio de novas características e utilizá-las para predizer ocorrências futuras. Apesar do potencial dos sinais precoces de alerta, sua investigação é incipiente na identificação de indícios da preparação dos ataques e, particularmente, dos ataques DDoS. À luz deste problema, este trabalho advoga pela hipótese de identificar a preparação dos ataques por intermédio da criação e uso de sinais de alerta. Com o vasto contexto de aplicação das redes de computadores e das ameaças cibernéticas, são necessárias soluções que se adaptem aos diferentes objetivos e contextos. Assim, este trabalho propõe uma abordagem denominada de Engenharia de Sinais Precoces de Alerta (ESPA), a qual processa os dados do tráfego de rede sob o objetivo de geração de sinais precoces de alerta. A proposta deste trabalho cria características capazes de representar mudanças no tráfego da rede e usa aprendizado de máquina para automatizar a predição dos ataques DDoS a partir de novas características. Este trabalho segue quatro casos de usos para demonstrar o poder de customização e a evolução da proposta, além de validar a hipótese. Inicialmente, a abordagem ESPA utiliza o aprendizado de máquina supervisionado para analisar as características criadas, predizendo ataques DDoS com acurácias próximas a 100%. Para predizer diferentes tipos de ataques DDoS, a abordagem ESPA evolui com o uso de técnicas de aprendizado de máquina não supervisionado. Outra característica alvo de evolução foi a configuração autônoma dos modelos de aprendizado de máquina. Assim, a abordagem proposta usa modelos configurados manual ou autonomamente pela própria abordagem. Para aumentar ainda mais a confiabilidade e produzir predições mais assertivas sem depender de treinamentos e rótulos, este trabalho evoluiu abordagem proposta para usar um ensemble de técnicas de aprendizado de máquina. Com o ensemble, a abordagem ESPA adapta-se à evolução do tráfego de rede produzindo predições mais confiáveis. Por fim, este trabalho evoluiu abordagem proposta visando coletar diferentes atributos do tráfego de rede, em diferentes modos de coleta, utilizá-los de diferentes formas na engenharia de sinais e realizar a seleção de características sem rótulos

Abstract: Cyberattacks are constantly evolving. Among them, the distributed denial of service (DDoS) attack is one of the most damaging. After its effective launch, network administrators are surprised by the rapid growth in resource consumption, and it is necessary to prevent it before it reaches this stage. Identifying signals of attack preparation is challenging since attacks avoid impacting network traffic attributes. In addition, due to the significant data imbalance, attack preparation is often neglected. However, even without apparent changes in behavior, it is possible to observe early warning signals through new characteristics and use them to predict future occurrences. Despite the potential of early warning signals, their investigation is incipient in identifying signals of attack preparation, particularly DDoS attacks. Regarding this problem, this work advocates the hypothesis of identifying attack preparation by creating and using warning signals. Given the vast application context of computer networks and cyber threats, solutions that adapt to different objectives and contexts are needed. Thus, this work proposes an approach called Early Warning Signals Engineering, which processes network traffic data to generate early warning signals. The proposal of this work creates features representing changes in network traffic and uses machine learning to automate the prediction of DDoS attacks from new features. This work follows four use cases to demonstrate the customization power and evolution of the proposal, in addition to validating the hypothesis. The ESPA approach initially uses supervised machine learning to analyze the created features, predicting DDoS attacks near 100% accuracy. The ESPA approach evolves with unsupervised machine learning techniques to predict different DDoS attacks. Another feature that has been the target of evolution is the autonomous configuration of machine learning models. Thus, the proposed approach uses models configured manually or autonomously by the approach itself. This work has evolved the proposed approach to utilize an ensemble of machine learning techniques to increase trustworthiness and produce more assertive predictions without relying on training and labels. With the ensemble, the ESPA approach adapts to the network traffic evolution, creating more reliable predictions. Finally, this work has evolved the proposed approach to collect different attributes of network traffic in different collection modes, use them in different ways in signal engineering, and perform feature selection