A novel online approach to detect DDoS attacks using mahalanobis distance and Kernel-based learning
Mahalanobis uzaklığı ve Kernel tabanlı öğrenme kullanılarak DDoS saldırılarını tespit etmek için özgün ve çevrimiçi bir yaklaşım
- Tez No: 611098
- Danışmanlar: PROF. DR. NAZİFE BAYKAL, DOÇ. DR. THOMAS KEMMERİCH
- Tez Türü: Doktora
- Konular: Bilim ve Teknoloji, Science and Technology
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2019
- Dil: İngilizce
- Üniversite: Orta Doğu Teknik Üniversitesi
- Enstitü: Enformatik Enstitüsü
- Ana Bilim Dalı: Bilişim Sistemleri Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 106
Özet
Bilgisayar, ağ teknolojileri ve saldırganların motivasyonları değiştikçe DDoS saldırıları sürekli olarak dönüşüm geçirmektedir.DDoS saldırılarını tespit etmek için geçtiğimiz yıllarda, birçok denetimli makine öğrenmesi algoritması önerilmiştir. Fakat bu algoritmalar sınıflarla ilgili ön bilgiye ihtiyaç duymakta ve sürekli değişen ağ trafiği trendlerine otomatik olarak uyum sağlayamamaktadırlar.Bu durum, sıfır günlük ve gelişmiş DDoS saldırılarını hedef alan yeni DDoS tespit etme mekanizmalarının geliştirilmesine olan ihtiyacı öne çıkmaktadır.Bu ihtiyacı karşılamak için bu çalışmada, çok değişkenli verilerle çalışmaya uygun olan çevrimiçi ve sıralı bir DDoS tespit etme şeması önerilmiştir.Önerdiğimiz algoritma; kernel tabanlı bir öğrenme algoritması, Mahalanobis uzaklığı ve Chi-square testinden yararlanmaktadır.Algoritma tamamen otomatiktir ve önceden tanımlanmış herhangi bir eşik değere veya normal ağ trafiğine ihtiyacı yoktur.Yapılan çalışmada öncelikle, ağ akışlarından, dakika başına dört adet entropi tabanlı ve dört adet de istatistiksel tabanlı özellik elde edilmiştir. Sonrasında, DDoS saldırısı olarak şüphelenilen, entropi tabanlı girdi özellik vektörlerini tespit etmek için kernel tabanlı öğrenme algoritması çalıştırılmıştır.Bu algoritma, ağ trafiği veya DDoS için herhangi bir modeli temel olarak varsaymamaktadır. Bunun yerine, normal davranışın çerçevesini yaklaşık olarak tanımlayan bir özellik kütüphanesi oluşturmakta ve bu kütüphaneyi kullanmaktadır. Şüpheli vektörler ve kütüphane üyelerinin dağılımı arasındaki Mahalanobis uzaklığı belirli bir periyotta ölçülmektedir. Sonrasında, bu mesafenin değerlendirilmesi için Chi-square testi kullanılmaktadır. Önerilen DDoS algılama yapısı CICIDS2017 veri setine uygulanmış ve doğruluk, anımsama, duyarlılık ve ROC eğrisini de içeren birçok parametre kullanılarak algoritmanın performansı ölçülmüştür. Son olarak, elde edilen sonuçlar mevcut algoritmaların performanslarıyla karşılaştırılmıştır.
Özet (Çeviri)
Distributed denial-of-service (DDoS) attacks are continually evolving as the computer and networking technologies and attackers' motivations are changing. In recent years, several supervised DDoS detection algorithms have been proposed. However, these algorithms require a priori knowledge of the classes and cannot automatically adapt to the frequently changing network traffic trends. This emphasizes the need for the development of new DDoS detection mechanisms that target zero-day and sophisticated DDoS attacks. To fulfill this need, an online sequential DDoS detection scheme that is suitable for use with multivariate data was proposed. The proposed algorithm utilizes a kernel-based learning algorithm, the Mahalanobis distance, and a Chi-square test. The algorithm is fully automated and does not require a pre-defined setting of any thresholds or baseline normal network traffic for training. Initially, four entropy-based and four statistical-based features were extracted from network flows as detection metrics per minute. Then, the Enhanced Kernel based Online Anomaly Detection Algorithm (E-KOAD) was employed to detect entropy-based input feature vectors that were suspected to be DDoS. This algorithm assumes no model for network traffic or DDoS in advance; then, it constructs and adapts a Dictionary of features that approximately span the subspace of normal behavior. Every T minutes, the Mahalanobis distance between suspicious vectors and the distribution of Dictionary members is measured. Subsequently, the Chi-square test is used to evaluate the Mahalanobis distance. The proposed DDoS detection scheme was applied to the CICIDS2017 dataset and the performance of the algorithm was measured using different performance metrics including accuracy, recall, precision and ROC-Curve. Finally, the results were compared with those by existing algorithms.
Benzer Tezler
- Unsupervised detection of coordinated fake followers on social media
Sosyal medyada koordineli sahte takipçi denetimsiz tespiti
YASSER ZOUZOU
Yüksek Lisans
İngilizce
2024
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSabancı ÜniversitesiVeri Bilimi Ana Bilim Dalı
DR. ÖĞR. ÜYESİ ONUR VAROL
- Wide-area measurement-based early prediction and corrective control for transient stability in power systems
Güç sistemlerinde geçici hal kararlılığı için geniş alan ölçümlerine dayalı erken kestirim ve düzeltici kontrol
MOHAMMED S.M. MAHDI
Doktora
İngilizce
2018
Elektrik ve Elektronik Mühendisliğiİstanbul Teknik ÜniversitesiElektrik Mühendisliği Ana Bilim Dalı
DOÇ. DR. VEYSEL MURAT İSTEMİHAN GENÇ
- Online anomaly detection with kernel density estimators
Çekirdek yoğunluk tahmincileri ile çevrimiçi anomali tespiti
MİNE KERPİÇÇİ
Yüksek Lisans
İngilizce
2019
Elektrik ve Elektronik Mühendisliğiİhsan Doğramacı Bilkent ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
PROF. DR. SÜLEYMAN SERDAR KOZAT
YRD. DOÇ. DR. HÜSEYİN ÖZKAN
- Analysis of network security using machine learning methods
Makine öğrenmesi yöntemleri kullanılarak ağ güvenirliği analizi
MARYAM SALATI
Doktora
İngilizce
2024
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAnkara ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
PROF. DR. İMAN ASKERBEYLİ