Распределенная атака типа «отказ в обслуживании» (DDoS) представляет собой угрозу сетевой безопасности, цель которой состоит в том, чтобы исчерпать целевые сети вредоносным трафиком

Download 29,73 Kb.

bet	1/5
Sana	04.03.2022
Hajmi	29,73 Kb.
	#482303

1 2 3 4 5

Bog'liq
Compare Results

Аннотация. Распределенная атака типа «отказ в обслуживании» (DDoS) представляет собой угрозу сетевой безопасности, цель которой состоит в том, чтобы исчерпать целевые сети вредоносным трафиком. Хотя многие статистические методы были разработаны для обнаружения DDoS-атак, создание детектора реального времени с низкими вычислительными затратами по-прежнему остается одной из основных проблем. С другой стороны, оценка новых алгоритмов и методов обнаружения в значительной степени зависит от наличия хорошо продуманных наборов данных. В этой статье, во-первых, мы всесторонне рассматриваем существующие наборы данных и предлагаем новую таксономию DDoS-атак. Во-вторых, мы генерируем новый набор данных, а именно CICDDoS2019, который устраняет все текущие недостатки. В-третьих, используя сгенерированный набор данных, мы предлагаем новый подход к обнаружению и классификации семейств, основанный на наборе функций сетевого потока. Наконец, мы предоставляем наиболее важные наборы функций для обнаружения различных типов DDoS-атак с их соответствующими весами.

The proposed system builds a classifier that can detect slow DDoS attacks by using machine learning techniques. According to Das and Behera (2017), machine learning is a learning process which creates a mathematical model to predict results or define a classification by using past data. Past data is fed to the learning process as large dataset and usually contains a lot of features. Feature selection and feature engineering step is an important step in the machine learning process. Not all of features in a dataset is useful for machine learning. Using all features to build a prediction model is not only ineffective for cost of the system but also takes longer to build a model. First, data need to be normalized, deduplicated or fix errors for unbalanced data as needed. Choosing Optimal Attribute is important that distinguish abnormal traffic from normal ones. Dataset like DDoS attack traffic will be enormous in real world. And to train such large datasets with a lot of features, we need to filter useless or unimportant attributes from the dataset. Moreover, useless or unimportant attributes can disturb the performance of detection mechanism. The CICIDS2017 and CSE-CIC-IDS2018 DDoS datasets have rather imbalanced class of attacks. The datasets contain features that are not useful for attack detection. Therefore, as the first step of our machine learning process, we used gain ratio based feature selection method to choose optimal features among 80 features. Table 1 is the weights of 30 features. We chose 30 features with highest value first. In this way, we eliminate the unimportant features for detection. Table 1 list the 30 highest gain ratio weights of features.

Then, as the second step, Dr. Janabi, and Kadhim (2018) chi-squared method is used to rank the features as of relevance. The purpose is to choose most relevant features to be used for training and eliminate otherwise. In machine learning, it evaluates the worth of an attribute by computing the chi-squared statistic regarding to the class. The higher the Chi-Square value, the feature is more dependent on the class and it can be selected for model training. Therefore, by ranking the features by chi-squared values, we can get the most outstanding features suitable for training classifiers. In this paper, we select 10 features with highest chi-squared rank among 30 features from the previous step. Table 2 shows the Chi-Square weight of 10 selected features.

Figure 1 descries the system flow of the proposed detection mechanism. The proposed system will do preprocessing of the training data first. We remove useless features from the dataset according to their gain ration weights shown in Table 1. Then the next step is selection of more relevant features for attack detection by Chisquared ranking values shown in Table 2. After this preprocessing step, the training dataset has the optimal features only which is relevant for attack detection, the next step is building classifier models by using various machine learning algorithms. And the final step is testing the classifiers with the test dataset to know the performance of the proposed mechanism.

publication of this paper.”
I. INTRODUCTION
Интернет-безопасность - одна из важнейших задач, особенно когда потребность в ИТ-услугах растет с каждым днем. Среди множества существующих угроз, распределенная атака типа «отказ в обслуживании» (DDoS) является относительно простым, но очень мощным методом атаки на ресурсы интрасети и Интернета. Обычно в этой атаке легитимные пользователи лишаются возможности использовать веб-службы из-за большого количества скомпрометированных машин. DDoS-атаки могут быть реализованы на сетевом, транспортном и прикладном уровнях с использованием различных протоколов, таких как TCP, UDP, ICMP и HTTP.

Многие исследователи работали с различными методами, такими как машинное обучение (ML), основанное на знаниях и статистическое, чтобы предложить механизмы обнаружения и защиты для борьбы с проблемой. С одной стороны, каждый предложенный метод имеет разные проблемы и недостатки. Например, статистические методы не могут с уверенностью определить нормальное распределение сетевых пакетов. Методы машинного обучения хороши тем, что не имеют заранее известного распределения данных, но определение наилучшего набора функций является для них одной из основных задач [1].

С другой стороны, с 2007 года Subbulkashmi et al. [2], Прасад и Рао [3], CAIDA UCSD [4], DARPA 2000 [5], Brown et al. [6], Сингх и Де [7], Ю и др. [8], а также Ширави и др. [9] пытался разработать набор данных DDoS. Но из-за множества недостатков и проблем, таких как неполный трафик, анонимные данные и устаревшие сценарии атак, исследователи все еще пытаются найти исчерпывающие и достоверные наборы данных для тестирования и оценки предлагаемых ими моделей обнаружения и защиты. Таким образом, наличие подходящего набора данных само по себе является серьезной проблемой [2].
Основываясь на этих двух основных проблемах, мы делаем двойной вклад в этот документ. Во-первых, мы анализируем существующие наборы данных, чтобы найти их основные недостатки и ограничения. Затем мы представляем наш подход к созданию нового набора данных DDoS под названием CICDDoS2019, который устраняет недостатки и ограничения предыдущих наборов данных. Набор данных полностью помечен, и 80 характеристик сетевого трафика были извлечены и рассчитаны для всех безопасных потоков и потоков отказа в обслуживании с помощью программного обеспечения CICFlowMeter, которое общедоступно на веб-сайте Канадского института кибербезопасности [10]. Во-вторых, в документе анализируется сгенерированный набор данных, чтобы предложить лучшие наборы функций для обнаружения различных типов DDoS-атак, включая отражающие DDoS-атаки (такие как DNS, LDAP, MSSQL и TFTP), UDP, UDP-Lag и SYN. Кроме того, мы строим наши модели для захвата закономерностей путем обучения данных с использованием четырех распространенных алгоритмов машинного обучения, а именно ID3, случайного леса, Naıve Bayes и логистической регрессии. Мы тестируем их с помощью компонента тестирования. Оставшаяся часть этого документа организована следующим образом: Раздел II объясняет доступные наборы данных, Раздел III представляет предлагаемую нами таксономию, Раздел IV описывает эксперименты, Раздел V сообщает набор данных, Раздел VI иллюстрирует анализ, а Раздел VII является заключением.

Download 29,73 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5