Towards an Efficient DDoS Detection Scheme for Software-Defined Networks N.A.S. Lima, M.P. Fernandez

Transcrição

1 2296 IEEE LATIN AMERICA TRANSACTIONS, VOL. 16, NO. 8, AUG Towards an Efficient DDoS Detection Scheme for Software-Defined Networks N.A.S. Lima, M.P. Fernandez 1Abstract Software-Defined Networks (SDN) are becoming a trending network technology in the modern Internet by splitting control and data planes and using a central controller. An SDN controller provides flexible flows management. The centralized control gives an opportunity to implement security attacks detection and mitigation inside SDN controller. Distributed Denial of Service (DDoS) attacks poses an immense threat to the Internet security. However, the prediction and prevention of DDoS attacks in SDN environments are a challenge. In this paper, we introduce a mechanism to mitigate DDoS attacks in SDN using statistical analysis and traffic entropy. To validate the proposal, a prototype was built in Mininet tool. The performance and detection accuracy of SYN and UDP Flood attacks have demonstrated the scheme effectiveness. Keywords Software Defined Networks (SDN), Distributed Denial of Service (DDoS), Thread mitigation, Entropy. I. INTRODUÇÃO EDES Definidas por Software, ou Software-Defined Network (SDN), é uma nova abordagem para construir uma arquitetura de redes de computadores que seja dinâmica, adaptável, gerenciável e de baixo custo. Com o paradigma SDN é possível oferecer serviços de redes virtualizados, promovendo uma arquitetura compatível com as redes atuais que se utilizam de serviços hospedados em infraestrutura de Computação em Nuvens. As redes SDN ampliam as possibilidades para o projeto e gerenciamento de redes, pois baseiam-se na separação do plano de encaminhamento dos pacotes do plano de controle. Dessa forma, o controle da rede fica centralizado em um software denominado controlador. O controle centralizado simplifica a implementação de novos serviços, a adoção de políticas de gerenciamento e a constante reconfiguração da rede pois está se torna programável [1]. Existem alguns protocolos para implementar redes SDN, o mais comum é o Openflow [2]. O Openflow é um protocolo que permite programar tabelas de fluxos em diferentes dispositivos de comutação. Dessa forma, mediante essa programabilidade, é possível desenvolver novos serviços de rede, protocolos de roteamento e sistemas de segurança para qualquer protocolo. Ataques de Negação de Serviços, Denial of Services (DoS), são ataques onde a rede é inundada por um grande número de pacotes falsificados enviados a partir de máquinas comprometidas. Uma classe desse tipo de ataques são os Ataques de Negação de Serviços Distribuídos, Distributed Denial of Services (DDoS), onde várias máquinas comprometidas atacam um alvo simultaneamente [3]. R N.A.S. Lima, Universidade Estadual do Ceará, Fortaleza, Ceará, Brazil nelson.lima@uece.br M.P. Fernandez, Universidade Estadual do Ceará, Fortaleza, Ceará, Brazil, marcial.fernandez@uece.br Corresponding author: Nelson A. Lima Ataques DDoS constituem uma séria ameaça a qualquer rede, incluindo as baseadas em SDN [4]. Esse tipo de ataque tem o objetivo de esgotar rapidamente a comunicação e o poder computacional de um alvo inundando-o com grande volume de tráfego malicioso [5]. Detectar ataques DDoS é uma tarefa difícil, pois os pacotes de ataque podem ser confundidos com pacotes legítimos. Outra dificuldade é o grande número de pacotes a ser analisados, que afetam a precisão na detecção e o tempo de resposta ao ataque [6]. A escolha de uma técnica de classificação ideal para identificação de ataques DoS e DDoS é extensamente analisada por Santos et. al [7]. Com o crescimento da adoção das redes SDN, torna-se necessário implementar sistemas de mitigação de ataques DDoS nessas redes. Duas características das redes SDN podem ser exploradas para facilitar a detecção de ataques DDoS: (1) a facilidade de análise dos dados de gerenciamento que o controlador SDN centralizado possui de toda a rede em tempo real, e (2) a programabilidade da rede que permite tomar ações para mitigar os efeitos do ataque em curto espaço de tempo. A ideia de utilizar a abstração de fluxos para identificar ataques de negação de serviço já é utilizada em alguns sistemas Intrusion Detection System (IDS) conforme mostrado por Kakihata et. al [8]. Esse artigo propõe uma metodologia para detectar e mitigar os efeitos de ataques DDoS no plano de dados em redes SDN. Assim, foi desenvolvido um módulo de análise de fluxos em um controlador SDN que utiliza cálculo de entropia e Teste Z para identificar o comportamento anômalo da rede. Para a detecção do ataque, o módulo calcula a variação de entropia de atributos de um conjunto de fluxos, por exemplo: (1) endereço IP de origem, (2) endereço IP de destino, (3) porta de origem e (4) porta de destino. A cada 30 medidas de variação de entropia, a média e o desvio padrão são calculados e, finalmente, é utilizado o Teste Z para avaliar o comportamento da rede, se é normal ou não. Para avaliar a proposta, foi implementado um protótipo de sistema de detecção de ataque em um controlador FloodLight que foi testado em emulação na plataforma Mininet [9]. Este artigo está organizado da seguinte forma: na Seção II são apresentados os trabalhos relacionados que nortearam esta pesquisa. A metodologia e arquitetura proposta é apresentada na Seção III. Na Seção IV, o protótipo é avaliado e na Seção V são apresentados os resultados. Por fim, na Seção VI são apresentadas as conclusões e são sugeridos alguns trabalhos futuros. II. TRABALHOS RELACIONADOS Yan et. al. [10] mostraram como a arquitetura SDN pode facilitar a detecção e a prevenção de ataques DDoS em Computação em Nuvem. Os autores demonstram que características das redes SDN como, controle centralizado, análise de tráfego baseada em software, visão global da rede e atualização dinâmica das regras de encaminhamento podem

2 LIMA AND FERNANDEZ : TOWARDS AN EFFICIENT DDOS DETECTION ser exploradas para a prevenção desses tipos de ataques. Por outro lado, ressalta-se que, por se tratar de uma proposta nova, redes SDN ainda precisam ser estudadas para que suas vulnerabilidades sejam detectadas e tratadas. Neste trabalho faz-se um levantamento de diversas técnicas de detecção de ataques DDoS em ambientes de Computação em Nuvem. Em David e Thomas [11], é proposto uma técnica para detecção de ataques DDoS através do cálculo da variação de entropia do fluxo de pacotes em redes tradicionais. É utilizado um algoritmo adaptativo para o cálculo do limiar da variação de entropia, já que as métricas da rede e o comportamento do usuário variam ao longo do tempo. Os autores mostram que a medida da entropia traz benefícios para a detecção de ataques DDoS. Mousavi et. al. [12] demonstram como um ataque DDoS pode rapidamente exaurir os recursos de um controlador SDN. Eles propõem uma técnica para a detecção desse tipo de ataque baseada no cálculo de entropia dos endereços IP de destino dos pacotes. A técnica proposta permite a detecção do ataque antes que os primeiros quinhentos pacotes maliciosos sejam recebidos. Isso permite que o ataque seja detectado antes que o controlador seja inundado por um grande número de mensagens. No controlador, foi adicionada uma função para criação de uma tabela hash com as informações dos pacotes IP. Se um pacote é novo, ele é adicionado na tabela, mas se o pacote se repete, a quantidade de pacotes é incrementada. A cada medida de cinquenta pacotes, a entropia é calculada. Através de experimentos foi definido um limiar para o valor de entropia de um fluxo. Se o valor da entropia for abaixo desse valor medido em tráfego normal, um ataque é identificado. Muraleedharan et. al. [13] analisaram características do fluxo de pacotes como tempo de duração e o número de pacotes do fluxo. Para comparar esses parâmetros durante um ataque contra os valores normais é utilizado o teste QuiQuadrado. O método é útil para detectar anomalias causadas por ataques de inundação. O sistema desenvolvido se mostrou eficaz tanto em desempenho como em acurácia quando comparado ao resultado obtido com a ferramenta. Feinstein et. al. [14] propuseram utilizar a distribuição de frequência do cálculo de entropia do tráfego de pacotes para detectar ataques. Foi observado que em condições normais o valor de entropia varia suavemente e durante um ataque a entropia varia bruscamente. Os autores usaram o teste QuiQuadrado para detectar divergências entre os valores de entropia em condições normais e durante um ataque. Oshima et. al. [15] demonstraram que o Teste Z apresentou melhores resultados de falsos negativos na detecção de ataques DoS/DDoS. Utilizando o Teste Z foi possível detectar um ataque com uma amostra menor, permitindo a identificação do ataque em menor tempo. Nossa proposta combina a ideia do cálculo de variação de Entropia de parâmetros de fluxos da rede, semelhante ao trabalho de [11] e [12], e o Teste Z para decidir sobre a ocorrência de ataque, semelhante ao trabalho de [15]. III. PROPOSTA DE UM SISTEMA PARA DETECÇÃO DE ATAQUES DOS/DDOS EM SDN O Sistema de Detecção de Ataques DoS/DDoS proposto nesse artigo usa a arquitetura centralizada de uma rede SDN 2297 para obter as informações da rede. O trabalho de [12] mostra que isso facilita a obtenção de dados das redes mais facilmente quando comparado a redes tradicionais. O diagrama apresentado na Fig. 1 mostra os componentes do Sistema de Detecção, os quais são detalhados em seguida. Figura 1: Componentes do Módulo de Detecção. O Algoritmo 1 mostra a sequência de ações para detectar um ataque DDoS. Para cada medida de média e desvio padrão é verificado se há uma discrepância entre os valores observados e os valores considerados normais. Para a detecção de um comportamento anormal, é considerada a seguinte análise: (1) observação da variação do valor de Entropia, e (2) uso do Teste Z para verificar se os valores de entropia calculada são coerentes com os anteriormente observados. Cada etapa uma desse procedimento é detalhada a seguir. Componente de Captura Este componente é responsável por analisar os fluxos e guardar em um Banco de Dados os seguintes parâmetros dos fluxos: (1) IP de Origem, (2) IP de Destino, (3) Porta de Origem e (4) Porta de Destino. Entropia é uma medida de imprevisibilidade de informação. Formalmente, dado X={x1,x2,..,xn} um conjunto de n elementos distintos e considerando Y={y1,y2,...,ys} um conjunto de ocorrências dos elementos de X, a cada xi que aparece no conjunto Y um número ni de vezes então, a

3 2298 probabilidade da ocorrência de xi em Y é p(xi) = ni/s. A entropia é definida em termos de probabilidade como indicado em (1): Onde s é o número de elementos em Y. O valor de máxima entropia é obtido quando cada elemento em Y aparece somente uma vez [14]. A primeira etapa da metodologia consiste em coletar parâmetros dos fluxos de pacotes. Essas informações são extraídas de cada novo fluxo transmitido e são armazenadas para análise do comportamento da rede. A cada conjunto de fluxos é calculada a variação de entropia considerando cada parâmetro. A média e desvio padrão dos valores de entropia são calculados a cada 30 amostras coletadas, necessárias para que a distribuição dos valores de Entropia obedeça uma Distribuição Normal [16]. Pelo Teorema Central do Limite, isso é satisfeito quando temos um número grande de amostras [15]. Componente de Decisão Neste componente é realizado o teste para detectar se há evidência de ataque. Os valores de média e desvio padrão são comparados utilizando o Teste Z contra os valores anteriormente medidos em condições normais da rede. Antes da fase de detecção, o sistema analisa o tráfego da rede em condições normais e salva esses valores para posterior comparação na fase de detecção. Para que um ataque seja detectado, é necessária a divergência na IEEE LATIN AMERICA TRANSACTIONS, VOL. 16, NO. 8, AUG Entropia nos parâmetros dos fluxos de pacotes. Teste Z é um teste estatístico usado para inferência, capaz de determinar se a diferença entre médias são grandes o suficiente para ser significativa estatisticamente. Neste trabalho, utilizamos o Teste Z baseado no trabalho de Oshima [15], onde o cálculo de Z é dado por (2): Onde HN e HA são as médias dos valores de entropia em condições normais e sob ataque respectivamente. σn e σr são os valores dos desvios padrão em condições normais e sob ataque respectivamente. Os valores n e r são os valores dos tamanhos das amostras em condições normais e sob ataque. Para o teste, as distribuições com médias HN e HA devem obedecer uma distribuição normal. Em nossa implementação utilizamos o Teste Z com significância estatística de α = 5%. Para essa significância, se z 1,64 (valor tabelado) o ataque é detectado. Trabalhamos com a hipótese de que se houver uma divergência nos valores calculados pelo Teste Z, há uma evidência de ataque. Quando não houver evidência de ataque, o sistema arquivará os resultados e continuará a análise de tráfego. Caso haja evidência de ataque, uma contramedida é tomada. Componente de Prevenção e Alerta Caso o ataque seja detectado, o sistema verifica o endereço IP de destino relativo ao maior número de fluxos e

4 LIMA AND FERNANDEZ : TOWARDS AN EFFICIENT DDOS DETECTION interrompe o encaminhamento dos mesmos. A interrupção de fluxos é feita pelo Módulo ACL (Access Control List) do controlador. O módulo ACL permite que o controlador configure regras para os fluxos da SDN de forma proativa, sem a necessidade de monitorar mensagens Packet-In enviadas pelo switch. O controlador modifica a entrada da tabela de fluxos dos switches para que todos os pacotes com IP de destino da vítima sejam descartados. Feito isso, endereço IP da vítima é salvo no banco para identificação. Esse módulo pode também notificar ao administrador para avisá-lo da ocorrência. IV. AVALIAÇÃO DO MÓDULO PARA DETECÇÃO DE ATAQUES DE NEGAÇÃO DE SERVIÇOS EM SDN 2299 PCAP normais são executados para reconhecimento e aprendizagem do perfil de rede normal. Após isso, o sistema executa o algoritmo de detecção com o tráfego normal observado anteriormente. Foram utilizados arquivos PCAP capturados em dias diferentes para cada experimento com o mesmo número de fluxos na medição de entropia. Foram feitos experimentos com medição de Entropia a cada 50, 100, 200, 300 e 400 fluxos. Para validar a arquitetura proposta foi construído um protótipo baseado em emulação. Foram realizados vários experimentos com e sem ataques DDoS onde foram avaliadas a acurácia de detecção. Os tipos de ataques testados foram SYN Flood e UDP Flood. Apesar desses ataques serem antigos e não possuírem a sofisticação dos ataques modernos, a filosofia é semelhante e como a técnica de identificação utilizada é baseada no comportamento do fluxo e não na assinatura, o teste realizado é válido para uma grande variedade de ataques. Além disso, foram avaliados também os resultados relativos ao tamanho da amostra e ao número de parâmetros analisados para definir a melhor configuração para obter alta taxa de acerto no menor tempo. Ferramentas utilizadas Para a construção dos cenários de testes foi utilizado o ambiente Mininet, ferramenta bastante utilizada para emulação de redes SDN. Com o Mininet é possível emular redes com vários hosts e switches em sistemas com poucos recursos computacionais [17]. O módulo de detecção de ataques foi implementado para o controlador Floodlight. O Floodlight é um controlador Openflow implementado em Java que oferece uma arquitetura modular, o que facilita a implementação de novos serviços [18]. Para a geração de tráfego normal na rede foram reproduzidos arquivos PCAP (Packet Capture) utilizando o TCPReplay, conjunto de ferramentas para redes em UNIX. Os arquivos PCAP utilizados foram disponibilizados no sítio SimpleWeb, capturados pelo TCPDump em uma rede da Universidade de Twente (Holanda) com cerca de 2000 alunos com link Ethernet de 100Mbits/s [19]. A ferramenta HPing3, foi utilizada para a geração de ataques DDoS. Com ele é possível gerar ataques SYN Flood, UDP Flood, ICMP Flood e HTTP Flood [20]. Topologia A Fig. 3 mostra a topologia implementada no Mininet para os experimentos. A topologia mostra que um host responsável por reproduzir os arquivos PCAP e quatro hosts responsáveis por inundar a rede com tráfego malicioso, além do controlador SDN e a vítima. Avaliação do Protótipo Para avaliação do sistema foi executado o procedimento. Inicialmente foram escolhidos PCAP de tráfego normal e reproduzidos no utilizando a topologia citada na seção anterior. Os seguinte arquivos Mininet arquivos Calculada as médias e desvio padrão do trafego normal foi iniciado a avaliação do tráfego com ataque. Para os cenários de testes foram utilizados conjuntos de fluxos da rede sem a injeção de pacotes de ataque e comparados com outros conjuntos de fluxos com a adição de ataques DDoS. Durante a reprodução do ataque, além do arquivo PCAP de tráfego normal, foram injetados continuamente pacotes maliciosos de ataques SYN Flood na Fig. 2 e UDP Flood na Fig. 4 a partir de cada Bot. Para cada experimento, o sistema de detecção foi avaliado quando 1, 2, 3 e 4 parâmetros são aferidos durante o ataque. Para calcular os valores de Verdadeiro Positivo e Falso Negativo, foram comparados os valores de tráfego normal e com a injeção de tráfego malicioso. Os valores de Verdadeiro Negativo e Falso Positivo foram obtidos comparando fluxos sem a presença de ataques. Para avaliar os experimentos, calculamos os seguintes valores: 1) Verdadeiro Negativo (TN - True Negative) - A porcentagem de fluxos normais que são corretamente classificados. 2) Verdadeiro Positivo (TP - True Positive) - A porcentagem de fluxos de ataques que são corretamente classificados. 3) Falso Positivo (FP - False Positive) - A porcentagem de fluxos legítimos que são classificados incorretamente como ataques. 4) Falso Negativo (FN - False Negative) - A porcentagem de fluxos de ataque que são incorretamente classificados como legítimos. 5) Acurácia - É definida em (3):

5 2300 IEEE LATIN AMERICA TRANSACTIONS, VOL. 16, NO. 8, AUG V. RESULTADOS Os gráficos apresentados na Fig. 2 se referem ao ataque SYN Flood. O gráfico da Fig. 2a apresenta o resultado após analisar 1500 fluxos, a Fig. 2b mostra o resultado para 3000 fluxos, a Fig. 2c para 6000 fluxos e a Fig. 2d para fluxos. Podemos observar que a acurácia aumenta com o aumento do número de fluxos analisados. No entanto, quanto maior a quantidade de fluxos analisados maior é o tempo para identificação do ataque. Com análise de fluxos a acurácia atingiu 100%. Notamos também um aumento de Falsos Negativos quando se avalia 4 parâmetros, independentemente da quantidade de fluxos. Isso se deve ao fato que para um ataque SYN Flood quanto mais parâmetros se avalia, mais diferente fica o fluxo, provocando uma menor entropia que será identificada como um falso ataque. Os gráficos apresentados na Fig. 4 se referem ao ataque UDP Flood. Da mesma maneira, o gráfico da Fig. 4a se refere a análise de 1500 fluxos, a Fig. 4b se refere a 3000 fluxos, a Fig. 4c a 6000 fluxos e a Fig. 4d a fluxos. Nos resultados do ataque UDP Flood obtivemos resultados semelhantes aos resultados do ataque SYN Flood. A acurácia atingiu 100% com análise de fluxos e há um aumento da taxa de falsos negativos com a avaliação de 4 parâmetros para qualquer quantidade de fluxos analisados, devido as mesmas justificativas comentadas anteriormente. Ao analisar os resultados, percebemos que ao aumentar o número de fluxos analisados para a detecção, obtivemos 100% de acurácia na detecção com fluxos, tanto para o ataque SYN Flood como para o UDP Flood. Podemos notar também que em todos os experimentos a acurácia foi acima de 90%. Como a detecção com um número pequeno de fluxos é essencial para mitigar rapidamente os danos em uma rede, é sugerido aplicar a decisão para cada 1500 fluxos com 3 parâmetros. Com essa configuração obtemos uma acurácia de 96,5% e 98%, respectivamente para os ataques SYN Flood e UDP Flood, em um tempo bastante curto. Nossos resultados são melhores que o obtido por Mousavi et.al. [12], que utilizou metodologia semelhante mas necessita 4000 fluxos para obter 96% de acurácia. A justificativa para o melhor desempenho é a utilização do Teste Z, que possibilita obter respostas mais precisas com amostras menores. VI. CONCLUSÕES E TRABALHOS FUTUROS As Redes Definidas por Software SDN surgem como uma das principais propostas para implementar redes programáveis necessárias para adaptar as redes as mudanças requisitadas pelas aplicações de Computação em Nuvens atuais. No entanto, ainda é pouco estudado técnicas para garantir a segurança das redes SDN quanto aos ataques de DoS e DDoS. Esse artigo apresenta uma metodologia para detectar ataques de DDoS em redes SDN utilizando técnicas estatísticas de baixo consumo computacional. A proposta aproveita as informações coletadas pelo controlador SDN centralizado para analisar os fluxos de pacotes. As informações são analisadas utilizando entropia e teste estatístico Z para detectar se há alguma anomalia no tráfego que caracterize um ataque DDoS. Feita a detecção, o ataque pode ser mitigado interrompendo-se o fluxo de pacotes que se destinam à vítima. Para avaliar a proposta foi implementado um módulo para o controlador Floodlight que foi testado no ambiente Mininet. O

6 LIMA AND FERNANDEZ : TOWARDS AN EFFICIENT DDOS DETECTION módulo foi capaz de detectar um ataque analisando o conjunto de fluxos que ingressam no domínio e barrar os pacotes maliciosos direcionados à vítima. Nos experimentos realizados, foi detectado bom desempenho na detecção de ataques com acurácia acima de 96% após análise de 1500 pacotes. Quando aumentamos o número de fluxos para detecção, o módulo obteve acurácia de 100%. Como conclusão, percebemos que uma análise estatística de Entropia dos parâmetros dos fluxos de pacotes em conjunto com e Teste Z, facilita a detecção e prevenção de ataques DoS/DDoS em redes SDN. Como trabalhos futuros, sugerimos modificações ao sistema proposto buscando o incremento no seu desempenho para melhorar a acurácia em tempos menores. É necessário o estudo de outros atributos dos fluxos que sejam importantes para a detecção de outros tipos de ataques DDoS (tipo de pacote, tamanho do pacote, tempo de fluxo). Outra sugestão seria a identificação da Botnet responsável pelo ataque utilizar técnicas de Inteligência Computacional. REFERÊNCIAS [1] S. Luo, J. Wu, J. Li, and B. Pei, A Defense Mechanism for Distributed Denial of Service Attack in Software-Defined Networks, in Ninth International Conference on Frontier of Computer Science and Technology (FCST2015). IEEE, 2015, pp [2] N. McKeown, T. Anderson, H. Balakrishnan, G. Parulkar, L. Peterson, J. Rexford, S. Shenker, and J. Turner, Openflow: enabling innovation in campus networks, ACM SIGCOMM Computer Communication Review, vol. 38, no. 2, pp , [3] T. A. Razak et al., A study on IDS for preventing Denial of Service attack using outliers techniques, in IEEE International Conference on Engineering and Technology (ICETECH2016). IEEE, 2016, pp [4] B. A. A. Nunes, M. Mendonca, X.-N. Nguyen, K. Obraczka, and T. Turletti, A survey of software-defined networking: Past, present, and future of programmable networks, IEEE Communications Surveys & Tutorials, vol. 16, no. 3, pp , [5] V. Gulisano, M. Callau-Zori, Z. Fu, R. Jiménez-Peris, M. Papatriantafilou, and M. Patiño-Martínez, STONE: A streaming DDoS defense framework, Expert Systems with Applications, vol. 42, no. 24, pp , [6] R. Braga, E. Mota, and A. Passito, Lightweight DDoS flooding attack detection using NOX/OpenFlow, in IEEE 35th Conference on Local Computer Networks (LCN2010). IEEE, 2010, pp [8] E. M. Kakihata, H. M. Sapia, R. T. Oiakawa, D. R. Pereira, J. P. Papa, V. H. C. Albuquerque, and F. A. Silva, Intrusion detection system based on flows using machine learning algorithms, IEEE Latin America Transactions, vol. 15, no. 10, pp , Oct [9] B. Lantz and B. Heller, Mininet: Rapid prototyping for Software Defined Networks, , last accessed, Jul [10] Q. Yan, F. R. Yu, Q. Gong, and J. Li, Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing: A survey, some research issues, and challenges, IEEE Communications Surveys & Tutorials, vol. 18, no. 1, pp , [11] J. David and C. Thomas, DDoS Attack Detection Using Fast Entropy Approach on Flow-Based Network Traffic, Procedia Computer Science, vol. 50, pp , [12] S. M. Mousavi and M. St-Hilaire, Early detection of DDoS attacks against SDN controllers, in International Conference on Computing, Networking and Communications (ICNC2015). IEEE, 2015, pp [13] N. Muraleedharan, A. Parmar, and M. Kumar, A Flow Based Anomaly Detection System using Chi-square Technique, in IEEE International Adv Computing Conference (IACC2010). IEEE, 2010, pp [14] L. Feinstein, D. Schnackenberg, R. Balupari, and D. Kindred, Statistical approaches to DDoS attack detection and response, in Proceedings of DARPA Information Survivability Conference and Exposition, vol. 1. IEEE, 2003, pp [15] S. Oshima, T. Nakashima, and T. Sueyoshi, Early DoS/DDoS detection method using short-term statistics, in International Conference on Complex, Intelligent and Software Intensive Systems (CISIS2010). IEEE, 2010, pp [16] R. Jain, Art of Computer Systems Performance Analysis: Techniques for Experimental Design Measurements Simulation and Modeling - 2Ed. John Wiley & Sons, [17] B. Lantz, B. Heller, and N. McKeown, A network in a laptop: rapid prototyping for software-defined networks, in Proceedings of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks. ACM, 2010, p. 19. [18] D. Erickson, Floodlight java based openflow controller, projectfloodlight.org/, 2017, last accessed, Aug [19] R. R. R. Barbosa, R. Sadre, A. Pras, and R. Meent, Simpleweb: University of Twente Traffic Traces Data Repository, [20] S. Sanfilippo, HPING3 Active Network Security Tool, , last accessed, Oct Nelson A. S. Lima Nelson Alex Silva Lima é formado em Engenharia de Telecomunicações pelo Instituto Federal de Educação, Ciência e Tecnologia do Ceará (2013), M.Sc. em Ciência da Computação pela Universidade Estadual do Ceará (2017). Atualmente é Analista de Sistemas e Professor de cursos de graduação em Fortaleza/CE. Marcial P Fernandez Marcial Porto Fernandez é formado em Engenharia Eletrônica pela Universidade Federal do Rio de Janeiro (1988), M.Sc. em Engenharia Elétrica (1998) e D.Sc. em Engenharia Elétrica pela Universidade Federal do Rio de Janeiro (2002) e realizou pesquisa pós-doutorado em Internet do Futuro na Technische Universitat Berlin TUBerlin (2010). O Prof. Marcial Fernandez é atualmente professor associado da Universidade Estadual do Ceará (UECE) em Fortaleza/CE.