Web server outages caused by a Distributed Denial of Service (DDoS) attacks have increased considerably over the years. Intrusion Detection Systems (IDS) are not sufficient to detect threats in the system, even when used in conjunction with Intrusion Prevention Systems (IPS) and even considering the use of data sets containing information about typical situations and attacks on the system’s service. Performing analyzes with a very dense amount of observed variables can cost a significant amount of host resources. Furthermore, these data sets are at risk of not representing the system’s behavior properly, and they cannot always be shared as they may contain confidential information in the diagnostic data. This paper presents a non-intrusive diagnostic methodology to select hardware performance counters in HTTP flood DDoS attacks on enterprise-level web servers, combining methods and techniques from different segments. The proposed approach uses low-level resource appliances such as Hardware Performance Counters (HPCs) for diagnosis, creating behavioral profiles in the face of attacks and usual service usage. The proposed strategy supports delivering reliable diagnoses with accurate characterization without third-party data sets. With the proposed methodology, we were able to reduce HPCs by 26%, compared to the initial group.

多年来，由分布式拒绝服务 (DDoS) 攻击引起的 Web 服务器中断显着增加。入侵检测系统 (IDS) 不足以检测系统中的威胁，即使与入侵防御系统 (IPS) 结合使用，甚至考虑使用包含有关典型情况和系统服务攻击信息的数据集也是如此。使用非常密集的观察变量执行分析可能会消耗大量主机资源。此外，这些数据集存在不能正确表示系统行为的风险，并且它们不能始终共享，因为它们可能在诊断数据中包含机密信息。本文提出了一种非侵入式诊断方法，用于在企业级 Web 服务器上的 HTTP 泛洪 DDoS 攻击中选择硬件性能计数器，结合不同领域的方法和技术。提议的方法使用低级资源设备，例如硬件性能计数器 (HPC) 进行诊断，创建面对攻击和通常服务使用的行为配置文件。所提出的策略支持在没有第三方数据集的情况下提供具有准确表征的可靠诊断。与初始组相比，使用建议的方法，我们能够将 HPC 减少 26%。创建面对攻击和通常服务使用的行为配置文件。所提出的策略支持在没有第三方数据集的情况下提供具有准确表征的可靠诊断。与初始组相比，使用建议的方法，我们能够将 HPC 减少 26%。创建面对攻击和通常服务使用的行为配置文件。所提出的策略支持在没有第三方数据集的情况下提供具有准确表征的可靠诊断。与初始组相比，使用提议的方法，我们能够将 HPC 减少 26%。