Orienta��o: SILVA, Anderson Aparecido Alves de

Ano: 2019

 Garantir a disponibilidade dos dispositivos e a detecção de gargalos na utilização de recursos de hardware em uma infraestrutura são os principais desafios para as equipes de suporte. Contudo analisar dados de logs de monitoração para identificar as causas de problemas tem se mostrado uma tarefa complexa e longe de ser trivial em virtude da grande quantidade de registros, sendo que o processo está propenso ao erro humano. Portanto, técnicas auxiliares, como por exemplo a otimização da análise do uso dos dados contidos nos logs, podem ajudar a mitigar esse tipo de erro. Há uma grande quantidade de dados nos logs gerados pelo tráfego de acesso aos recursos de infraestrutura e pode-se utilizá-los na detecção de ataques. Considerando que um Ataques de Negação de Serviço Distribuído (DDoS) é uma ameaça para o funcionamento da Internet, ataques na camada de aplicação, como DDoS Flash Crowd, vêm se consolidando como alternativa para botmasters (gerenciador de programas maliciosos) tornarem seus ataques ainda mais indetectáveis, dado à similaridade com tráfego de rede benigno do tipo Flash Crowd (surto de visitas inesperadas). Ferramentas de detecção de ataques necessitam diferenciar um tráfego Flash Crowd de um tráfego com ataque DDoS. Este trabalho contribui com um método estatístico de análise quantitativa capaz de caracterizar os vários comportamentos que acontecem durante as Variações Quantitativas de Fluxo (VQF). Resultando em um método que é capaz de identificar diferentes variações de tráfego nos tipos analisados: (1) normal; (2) normal com ataques de flood; (3) Flash Crowd; e (4) Flash Crowd com ataques de flood. Também é apresentado uma metodologia de apoio à detecção de ataques nos tipos de tráfego de rede analisados, provendo métodos, técnicas e ferramentas para tratamento de dados, por meio da combinação dos métodos de agrupamento e de correlação.

Acesse: cassiopea.ipt.br/teses/2019_EC_Jose_Irmao.pdf