Skip navigation
Universidade de Brasília
Por favor, use este identificador para citar o enlazar este ítem: http://repositorio.unb.br/handle/10482/53210
Ficheros en este ítem:
Fichero Tamaño Formato  
RanyelsonNeresCarvalho_TESE.pdf2,56 MBAdobe PDFVisualizar/Abrir
Título : Desenvolvimento de um mecanismo integrado para a detecção e mitigação de ataques DDoS em redes definidas por software
Otros títulos : Development of an integrated mechanism for detecting and mitigating DDoS attacks in software-defined networks
Autor : Carvalho, Ranyelson Neres
Orientador(es):: Bordim, Jacir Luiz
Assunto:: Redes Definidas por Software (SDN)
Ataque de negação de serviço distribuído (DDoS)
Ataques cibernéticos - detecção
Ataques cibernéticos - mitigação
Segurança de confiança
Plano de dados programável
Fecha de publicación : 24-nov-2025
Data de defesa:: 7-may-2025
Citación : CARVALHO, Ranyelson Neres. Desenvolvimento de um Mecanismo Integrado para a Detecção e Mitigação de Ataques DDoS em Redes Definidas por Software. 2025. 119 f., il. Tese (Doutorado em Informática) — Universidade de Brasília, Brasília, 2025.
Resumen : As redes definidas por software (do inglês, Software Defined Networking - SDN) são arquiteturas de redes que enfatizam a separação entre o plano de controle e o plano dedados, proporcionando uma série de benefícios, como o gerenciamento centralizado, aflexibilidade e a programabilidade da infraestrutura de rede. Apesar dos benefícios oferecidos pela arquitetura SDN, do ponto de vista da segurança, essa arquitetura introduziunovas vulnerabilidades devido à comunicação necessária entre esses planos, em virtudeda separação deles. Os ataques distribuídos de negação de serviço (do inglês, DistributedDenial of Service - DDoS) representam um desafio significativo para esse tipo de rede, jáque, nesta arquitetura, o controlador atua como um ponto central de controle e decisão,sendo responsável por gerenciar o tráfego e a configuração da rede. Assim, ele se tornaum alvo comum para os ataques DDoS, já que sua paralisação, em função do volumemassivo de tráfego malicioso proveniente desses ataques, resultará na exaustão da capacidade e processamento, levando à sua indisponibilidade e comprometendo a operação detoda a rede. As soluções presentes no estado da arte apresentaram diversas estratégiaspara reduzir os impactos dos ataques DDoS. Porém, ainda permanecem algumas lacunas,como a centralização das ações de detecção e mitigação no plano de controle, causandoatrasos no processo para confirmar qualquer mudança no comportamento do tráfego associada a esses ataques e o aumento do volume de mensagens de controle encaminhadasao controlador para realizar a identificação e a contenção desses ataques a rede. Alémdisso, muitas das estratégias desenvolvidas pelas soluções acabam penalizando uma partesignificativa do tráfego legítimo, provocando bloqueios de forma indiscriminada. Estetrabalho propõe um mecanismo de detecção e mitigação denominado DataControl-ML,que visa suprir essas lacunas. O mecanismo está organizado em dois procedimentos: (i)detecção e mitigação no plano de dados; e (ii) compartilhamento de informações globaispor meio do plano de controle. O primeiro procedimento concentra-se na implementaçãode técnicas para identificar o tráfego malicioso próximo aos pontos de ingresso na rede,priorizar o tráfego de clientes com níveis de confiabilidade aceitáveis (legítimos) e bloquear(descartar) o tráfego daqueles com baixo valor de confiança (maliciosos), com base emestatísticas geradas pelos switches programáveis. O segundo procedimento visa o compartilhamento de informações globais, organizadas em ações de controle que incluem obloqueio, a permissão sem prioridade associada ou a priorização dos clientes, determinadasa partir do estabelecimento de uma confiança global, por meio do controlador para o envioaos dispositivos de encaminhamento, promovendo uma abordagem híbrida (plano de dados e controle) por parte do mecanismo proposto, criando uma visão única da rede e umsistema de segurança mais abrangente. Os resultados experimentais obtidos mostraramque o DataControl-ML reduz cerca de 52,18% o tempo necessário para a confirmação deuma fonte maliciosa, responsável por gerar os ataques DDoS, quando comparado a outromecanismo do estado da arte. Além disso, o mecanismo proposto diminui o volume demensagens de controle enviadas ao controlador, o tempo de convergência para que osdispositivos de encaminhamento tenham informações sincronizadas e alcança uma acurácia de detecção e mitigação superior a 98%, reduzindo os impactos causados por essesataques.
Abstract: Software-defined networking (SDN) is a network architecture that emphasizes the separation of the control plane from the data plane, providing a number of benefits such as centralized management, flexibility, and programmability of the network infrastructure. Despite the benefits offered by SDN from a security perspective, this architecture has introduced new vulnerabilities due to the communication required between these planes due to their separation. Distributed denial-of-service (DDoS) attacks, especially volumetric ones, represent a significant challenge for this type of network, since in this architecture the controller acts as a central point of control and decision, being responsible for managing network traffic and configuration. Thus, it becomes a strategic target for volumetric DDoS attacks, as the massive influx of malicious traffic can overwhelm its processing capacity, causing service disruption and compromising the operation of the entire network. State-of-the-art solutions have presented several strategies to reduce the impacts of volumetric DDoS attacks. However, some gaps still remain, such as the centralization of detection and mitigation actions in the control plane, causing delays in the process of confirming any change in traffic behavior associated with these attacks and the increase in the volume of control messages forwarded to the controller to identify and contain these network attacks. In addition, many of the mitigation strategies employed by these solutions inadvertently penalize legitimate traffic, resulting in indiscriminate blocking. This work proposes a detection and mitigation mechanism called DataControl-ML, which aims to fill these gaps. The proposed mechanism is organized into two procedures: (i) detection and mitigation in the data plane; and (ii) sharing of global information through the control plane. The first procedure adopts a detection approach in the data plane, where a machine learning-based classification model—specifically, the Random Forest algorithm—analyzes network packet features to identify patterns indicative of malicious traffic. This approach is followed by a mitigation strategy that manages different lists in the forwarding devices, using trust levels, to prioritize the trustworthy (legitimate) flows and block those with low trust value (malicious). The second procedure focuses on sharing global information through the control plane. It defines control actions—such as blocking, allowing, or prioritizing clients—based on a global trust score calculated by a fuzzy logic system in the controller. These actions are sent to forwarding devices, enabling efficient collaboration between the data and control planes and speeding up detection and mitigation across the network. The experimental results obtained show that DataControlML reduces approximately 52,18% the time required for the confirmation (detection) of a malicious source, responsible for generating volumetric DDoS attacks, when compared to another state-of-the-art mechanism (Bungee-ML). In addition, the proposed mechanism helps preserve CPU and memory resources on both the controller and the switches. It reduces the number of control messages sent to the controller, shortens the convergence time for forwarding devices to synchronize information, and achieves over 98% efficiency in detecting and mitigating attacks—significantly reducing their impact.
metadata.dc.description.unidade: Instituto de Ciências Exatas (IE)
Departamento de Ciência da Computação (IE CIC)
Descripción : Tese (doutorado) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, Programa de Pós-Graduação em Informática, 2025.
metadata.dc.description.ppg: Programa de Pós-Graduação em Informática
Licença:: A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data.
Aparece en las colecciones: Teses, dissertações e produtos pós-doutorado

Mostrar el registro Dublin Core completo del ítem " class="statisticsLink btn btn-primary" href="/handle/10482/53210/statistics">



Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.