Método de mitigação contra ataques de negação de serviço distribuídos utilizando sistemas multiagentes. / Method for mitigating against distributed denial of service attacks using multi-agent system.

João Paulo Aragão Pereira

07 July 2014

A qualidade do serviço oferecido por Provedores do Serviço de Internet (Internet Service Provider - ISPs) depende diretamente da quantidade de recursos disponíveis naquele momento. Nas últimas décadas, essa qualidade tem sido afetada por frequentes e intensos ataques que consomem tais recursos, como é o caso dos ataques de Negação de Serviço Distribuídos (Distributed Denial of Service - DDoS). Com o objetivo de tornar a rede dos ISPs mais resiliente aos diferentes tipos de ataques DDoS, foram desenvolvidas técnicas contra tais ataques ao longo dos últimos anos. Com o objetivo de contribuir com a melhoria de tais mecanismos, esta dissertação apresenta um método autônomo reativo para detecção e mitigação de ataques DDoS, utilizando um sistema multiagentes (SMA), em redes de ISPs. A propriedade principal do método proposto é identificar padrões de tráfego característicos de um ataque, como um grande fluxo de pacotes direcionados para um serviço ou equipamento, dentro da rede do ISP. Com os agentes posicionados nas prováveis vítimas e nos pontos da rede com maior fluxo de pacotes, o processo de mitigação inicia-se automaticamente após uma quantidade de pacotes, excedente ao tráfego padrão, passar por qualquer um dos nós monitorados. Como o tráfego entrante na rede do ISP é dinâmico, seja ele legítimo ou malicioso, a utilização de agentes tende a facilitar o processo de definição da rota de ataque, conforme mostram os resultados experimentais obtido com o sistema proposto. / The quality of service offered by the Internet Service Provider (ISP) depends directly on the amount of resources available at that time. In recent decades, this quality has been affected by the frequent and intense attacks that consume these resources, such as the Distributed Denial of Service (DDoS) attacks. In order to make the ISPs network more resilient to different types of DDoS attacks, techniques have been developed against such attacks over the past few years. Aiming to contribute to the improvement of such mechanisms, this dissertation presents a reactive autonomous method for detecting and mitigating DDoS attacks using a Multi-Agent system (MAS), in networks of ISPs. The main property of the proposed method is to identify characteristic traffic patterns of an attack, such as a large stream of packets directed to a service or equipment within the ISP network. With agents positioned on likely victims and at points of the network with the highest packet stream, the mitigation process starts automatically after a number of packets exceeding the traffic pattern, go through any of the monitored nodes. Since the incoming traffic on the network of any ISP is dynamic, whether legitimate or malicious, the using of agents tends to facilitate the process of defining the route of attack, as shown by the experimental results obtained with the proposed system.

DDoS

Detecção e mitigação

Sistema multiagentes

DDoS

Detection and mitigation

Multi-agent system

Método de mitigação contra ataques de negação de serviço distribuídos utilizando sistemas multiagentes. / Method for mitigating against distributed denial of service attacks using multi-agent system.

Pereira, João Paulo Aragão

07 July 2014

A qualidade do serviço oferecido por Provedores do Serviço de Internet (Internet Service Provider - ISPs) depende diretamente da quantidade de recursos disponíveis naquele momento. Nas últimas décadas, essa qualidade tem sido afetada por frequentes e intensos ataques que consomem tais recursos, como é o caso dos ataques de Negação de Serviço Distribuídos (Distributed Denial of Service - DDoS). Com o objetivo de tornar a rede dos ISPs mais resiliente aos diferentes tipos de ataques DDoS, foram desenvolvidas técnicas contra tais ataques ao longo dos últimos anos. Com o objetivo de contribuir com a melhoria de tais mecanismos, esta dissertação apresenta um método autônomo reativo para detecção e mitigação de ataques DDoS, utilizando um sistema multiagentes (SMA), em redes de ISPs. A propriedade principal do método proposto é identificar padrões de tráfego característicos de um ataque, como um grande fluxo de pacotes direcionados para um serviço ou equipamento, dentro da rede do ISP. Com os agentes posicionados nas prováveis vítimas e nos pontos da rede com maior fluxo de pacotes, o processo de mitigação inicia-se automaticamente após uma quantidade de pacotes, excedente ao tráfego padrão, passar por qualquer um dos nós monitorados. Como o tráfego entrante na rede do ISP é dinâmico, seja ele legítimo ou malicioso, a utilização de agentes tende a facilitar o processo de definição da rota de ataque, conforme mostram os resultados experimentais obtido com o sistema proposto. / The quality of service offered by the Internet Service Provider (ISP) depends directly on the amount of resources available at that time. In recent decades, this quality has been affected by the frequent and intense attacks that consume these resources, such as the Distributed Denial of Service (DDoS) attacks. In order to make the ISPs network more resilient to different types of DDoS attacks, techniques have been developed against such attacks over the past few years. Aiming to contribute to the improvement of such mechanisms, this dissertation presents a reactive autonomous method for detecting and mitigating DDoS attacks using a Multi-Agent system (MAS), in networks of ISPs. The main property of the proposed method is to identify characteristic traffic patterns of an attack, such as a large stream of packets directed to a service or equipment within the ISP network. With agents positioned on likely victims and at points of the network with the highest packet stream, the mitigation process starts automatically after a number of packets exceeding the traffic pattern, go through any of the monitored nodes. Since the incoming traffic on the network of any ISP is dynamic, whether legitimate or malicious, the using of agents tends to facilitate the process of defining the route of attack, as shown by the experimental results obtained with the proposed system.

DDoS

DDoS

Detecção e mitigação

Detection and mitigation

Multi-agent system

Sistema multiagentes