Geri Dön

Early detection of distributed denial of service attacks

Dağıtık hizmet engelleme saldırılarının erken tespiti

PDF İndir

  1. Tez No: 864178
  2. Yazar: KAĞAN ÖZGÜN
  3. Danışmanlar: DOÇ. DR. AYŞE TOSUN KÜHN, DR. ÖĞR. ÜYESİ MEHMET TAHİR SANDIKKAYA
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 123

Özet

Bilgisayar teknolojisinin evrimi, 20. yüzyılın ortalarındaki askeri uygulamalardan köken alarak çağdaş toplum üzerinde derin bir etki yaratmıştır. Bilgisayar teknolojisindeki olumlu gelişmelere rağmen, kişisel bilgisayarların ve Internet'in yaygın kullanımı, güvenlik zorluklarına neden olmuş ve çeşitli tehditleri ortaya çıkarmıştır. Bilgi güvenliğinde, erişilebilirlik sistemin ve verilerin kullanılabilirliğinin sağlanması önemli bir yönüdür. Servis Kesintisi (DoS) saldırıları, erişilebilirliğe tehdit oluşturur ve hedeflenen bir sistemi aşırı isteklerle veya kaynak tüketimiyle aşırı yükleyerek kesintiye uğratmayı amaçlar. Nihai amaç, uzun süreli hizmet kesintisi ve potansiyel finansal kayıplara neden olmaktır. Buna ek olarak, Dağıtık Servis Reddi (DDoS) saldırıları, tehlikeye atılmış cihazları, yani botları kullanarak kötü niyetli trafiği birden fazla kaynaktan yayarak, engelleme zorlukları ortaya çıkarır. DDoS saldırılarını analiz etmek, gelen paketlerin frekansının alt kategorileri tanımlamak için kullanılabileceğini ortaya koyar. Kurallara dayalı yaklaşımlar geleneksel olarak saldırı tespiti için birincil tercih olmuştur, ancak saldırı tahmininde bulunma yeteneğinden yoksundur. Ağ verisinin dinamik doğasını ele almak için, tarihsel verilerden öğrenen adaptif yöntemler esastır. Derin öğrenme (DL) yaklaşımları, evrilen saldırı senaryolarını ele alma esnekliği ve etkililiği sağlar. DL modellerini DDoS saldırıları tespiti için kullanan çalışmalar, %95 ila %99 arasında etkileyici doğruluk puanları bildirmektedir. Özellikle, zaman tabanlı ağ verileri, DDoS saldırı sınıflandırması için LSTM modelinin kullanılmasına öncülük etmiştir ve bu, %95'in üzerinde doğruluk ve %90'ın üzerinde F1 puanı başarı oranlarına ulaşmıştır. Bu umut verici sonuçlar genellikle sınırlı sayıda saldırıyı temsil eden bir veri kümesinde rapor edilir, bu da gerçek sistemlerde benzer performansın beklenmesini gerçekçi kılmaz. Ayrıca, DL veya diğer makine öğrenimi (ML) yöntemlerini kullanan çalışmaların önemli bir dezavantajı, ağa girdikten sonra sadece saldırı içeren ağ paketlerini tespit etmeye odaklanmalarıdır. Bu kısıtlama, ağ trafiğinin davranışına dayalı erken tespitin, gerçek dünya uygulanabilirliği ve saldırı sonrası sınıflandırmadan daha fazla fayda sağlama açısından kritik bir yönünü engeller. Bu çalışma, gelen DDoS saldırılarının erken tespiti için bir DL tabanlı öneri sistemi önermeyi amaçlamaktadır. Bu sistem, bir saldırı gerçekleşmeden önce olay yanıt ekibini uyarabilmek için Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemlerine değerli bir bileşen olarak entegre edilebilir. Araştırma sorularımız aşağıda listelenmiştir: Ağ trafiği verileri ve DL teknikleri kullanılarak ne ölçüde DDoS saldırılarını (k saniye) tespit edebiliriz?, LSTM modeli, diğer kurallara dayalı ve ML tabanlı yaklaşımlarla karşılaştırıldığında DDoS saldırı veri kümelerini ne kadar başarılı bir şekilde algılar? Bu sorulara cevap verebilmek için, DDoS saldırılarını k saniye öncesinden tespit etmek için LSTM, GNB ve kurallara dayalı modelleri kullanan bir öneri sistemi öneriyoruz. Bu sistem, muhtemel saldırılar için erken uyarılar üretir, ağ olay yanıt ekiplerine pratik bir şekilde entegre edilmesine olanak tanır ve uyarıların kritikliklerine göre sıralanmasına izin verir. Bu çalışmada, DDoS saldırılarının tespiti için LSTM modelimizin verimliliğini artırmak için birkaç ön işleme adımı gerçekleştirdik. İlk olarak, her iki veri kümesindeki kategorik özellikler, tek sıcak kodlama yöntemi kullanılarak ikili özelliklere dönüştürüldü. Ardından, aşırı uyum riskini azaltmak için tüm sayısal özellikler normalize edildi. Saldırı tespiti için en etkili özellikleri belirlemek ve eğitim maliyetlerini azaltmak için, dropout ve yoğun katmanlar da dahil olmak üzere dört katmanlı bir LSTM modeli eğittik. DDoS saldırılarının genellikle çoklu kaynaklardan gelen belirli varlıklara hedef aldığı göz önüne alındığında, saldırıların k saniye sonra gerçekleşeceğini tahmin etmek için ek ön işleme adımları uyguladık. Bu, önceki paketleri aynı kaynaktan ve aynı hedef adresini hedefleyen paketlerden ayırmayı içeriyordu. Bu amaçla, paketleri ağ adreslerine göre gruplandıran bir gruplama stratejisi uyguladık ve yeni kaynaklardan gelen saldırıları göz ardı etmeyi önlemek için kaydırma penceresi yaklaşımını kullandık. Model eğitimi sırasında, giriş verilerini 50, 100, 150 ve 200 paket içeren mini gruplara böldük. Her mini grup oluşturma aşamasında bir kaydırma penceresi uygulandı ve her mini grup içindeki verinin zaman serisi yapısını korumak için bu kaydırma penceresi kullanıldı. Bu mini gruplar, 300, 600, 1200, 1800, 2400 ve 3000 paketlerden sonra zaman serisi verilerinde DDoS saldırılarını tespit etmek için kullanıldı. Her paket arasında ortalama 100 ms olduğundan, modellerimiz saldırıları yaklaşık olarak 30, 60, 120, 180, 240 ve 300 saniye önceden tespit edebildi. Ağ adreslerine dayalı paketlerin gruplandırılması, yaklaşımımızın başarısı için kritikti. UNSW-NB15 veri kümesi için kaynak IP–hedef port ve hedef IP–hedef port, gruplandırma için kullanılırken, CIC-DDoS2019 veri kümesi için kaynak IP–hedef IP kullanılmıştır. Bu yenilikçi yaklaşım, LSTM model çerçevesine uyacak üç boyutlu bir dizi oluşturmamıza izin verdi, böylece modelin keşif saldırılarını göz önüne almasını ve DDoS senaryolarının daha kapsamlı bir analizini sağladı. Kural Tabanlı Model için: Kural tabanlı modelde, sınıflandırma kararları yalnızca paketlerin kaynak ve hedef adreslerine dayanır. Belirli bir paketin sınıflandırılması, ilgili penceresindeki ilk paketle aynı kaynak IP ve hedef portu paylaştığında gerçekleşir. Örneğin, birinci ve 221. saniyedeki paketlerin aynı IP adreslerine ve portlara sahip olması durumunda sınıflandırılmaya tabi tutulur. Kaynak ve hedef adreslere dayalı gruplamaya ek olarak, GNB modeli en iyi 10 seçilen özellik kullanılarak eğitildi. Ancak, GNB modeli doğal olarak üç boyutlu verileri işleyemez. Bu nedenle, her gruptaki verileri bir satır vektör oluşturmak için birleştirmek gerekiyordu. Farklı paketlerin birleştirilerek 1 × 200'lük bir satır vektör oluşturulması gösterilmiştir. Çıktı, 221. saniyedeki paketten elde edilir. LSTM modeli, iki boyutlu dizileri işleyebilecek kapasitede olduğundan, GNB modelinin verileri birleştirme işlemi gerçekleştirilmedi. Bunun yerine, üç boyutlu veri doğrudan LSTM modeline giriş olarak verildi, diğer modellerde olduğu gibi gruplama işleminden sonra. Temel veri ile ilgili işlemler tamamlandıktan sonra, bir sonraki aşama öneri motorunun oluşturulmasıdır. Çalışmamızın bağlamında, DDoS saldırılarını tespit etmek için motorumuzu oluşturmak için üç farklı sınıflandırma tabanlı yöntemi değerlendirdik. Etkinliğini LSTM ve GNB modelleriyle karşılaştırmak için kural tabanlı bir model kullandık. Ağ güvenliği uzmanları arasında popüler olan kural tabanlı modeller, paketleri kaynak ve hedef adreslere göre değerlendirir ve bir paket numarası belirli bir eşiği aştığında bir saldırıyı işaretler. Uzmanlar genellikle gözlem yoluyla etkili sınırlar belirleyebilirken, bu yaklaşım özellikle uzman olmayanlar tarafından yapıldığında insan hatasına ve kolayca aldatılmaya açıktır. Kural tabanlı modelimizde, bir paketi saldırı olarak etiketlemek için eşik belirleme önemlidir. Bir eşik değeri olan bir tane, tüm sonraki paketleri saldırılar olarak işaretler ve birçok yanlış pozitife yol açar. Buna karşılık, 200 gibi çok yüksek bir eşik, saldırıları kaçırma ve yüksek yanlış negatifler oluşturma riski taşır. Biz, saldırının kritikliğini belirten iki eşik olan üç ve beşi tercih ettik. Mini grup verilerimiz içinde aynı kaynak ve hedef adreslere sahip üçten fazla, ancak altıdan az paket varsa, ardışık paketler potansiyel olarak bir DDoS saldırısı içerdiği şeklinde etiketlenir (Seviye 1). Beşten fazla böyle paket varsa, bunu Seviye 2 saldırısı olarak etiketleriz. Üç paketten az paket zararsız olarak işaretlenir. GNB modeli, çalışmamızda temel ML modeli olarak kullanılmıştır. Kural tabanlı modelin aksine, kaynak IP/port ve hedef IP/port bilgilerinden başka özelliklerin kullanılması nedeniyle, özellikle saldırı başlamadan önce keşif sürecinin verilerinin işlenmesiyle daha etkili bir saldırı tespiti yapılır. GNB modelinin, bilinen saldırı türlerini ve ağ hareketlerini içeren veri kümelerinde etkili saldırı tespiti sağladığı bildirilmiştir. Bu nedenle, bu modeli, LSTM modeline basit ve sağlam bir alternatif olarak kullanıyoruz. Çalışmamız kapsamında, GNB modelini Python sklearn kütüphanesinde uyguladık. Veri kümelerini %70 eğitim ve %30 test olarak böldük. Aynı gruplama yöntemini kural tabanlı modelde kullandık ve aynı veri örneklerinde üç model üzerinde tespit yapmak için. Zaman serisi verileri işleme etkinliğiyle tanınan bir LSTM tabanlı model geliştirdik. GNB'nin aksine, LSTM belirli veri dağılımlarını zorlamaz ve kural tabanlı modellerin aksine, çok boyutlu formlarda birden fazla özellikten bilgiyi kabul eder. LSTM, çeşitli bellek tipleriyle, derin öğrenme yaklaşımlarında tarihsel verileri işler ve değişen verilere uyum sağlar, bu da önceki paketleri zaman içinde gözlemleyerek k saniye önceden saldırıları tespit etmek için uygun hale getirir. Önerdiğimiz LSTM modeli dört katmandan oluşur: Giriş verilerinden öğrenme ve önceki girişlerin belleğini koruma yeteneği sağlayan 32 birimlik LSTM katmanı. Aşırı uyum riskini önlemek için eğitim sırasında rastgele nöronların devre dışı bırakılmasını sağlayan dropout katmanı, modelin dayanıklılığını artırır. Karmaşık zamanlı desenleri yakalayan 16 birimlik ek LSTM katmanı. Gelen pakette saldırının varlığını belirleyen ikili sınıflandırma için sigmoid aktivasyon fonksiyonuna sahip yoğun katman. Bu mimari, zaman serisi verileri etkili bir şekilde işlemek, zamanla bağımlılıkları yakalamak, aşırı uyumu önlemek ve DDoS saldırılarıyla ilgili ikili sınıflandırmalar yapmak için tasarlanmıştır. Eğitim ve test bölünmeleri ve veri gruplama, GNB modellerinde açıklananlarla aynıdır. Sistem, saldırıları k saniye önceden tespit etmek yerine, olay yanıt ekipleri için iki seviyeli bir uyarı mekanizması sunar. Seviye 1 paketleri, saldırı içerebileceğine dair bir olasılığı belirtirken, Seviye 2 paketleri çok yüksek riskli olarak kabul edilir ve çok muhtemel bir saldırıyı gösterir. Zararsız paketler güvenli olarak sınıflandırılır ve herhangi bir saldırıyı göstermez. Sıralama, modeller tarafından sınıflandırma sırasında üretilen sonrasal olasılıklara dayanır. GNB ve LSTM modellerinde, Seviye 1 uyarısı, sonrasal olasılığın %51 ile %75 arasında olduğunda tetiklenirken, Seviye 2 uyarısı %75'i aşan olasılıklar için oluşturulur. Olasılıklar üretmeyen kural tabanlı model, aynı kaynaktan gelen ve aynı hedefe giden paketlerin sayısına dayanır. Bu bağlamda, üçten fazla paket bir Seviye 1 uyarısına yol açarken, beşten fazla paket bir Seviye 2 alarmını tetikler. Toplamda, iki farklı veri setinin kombinasyonlarıyla, üç farklı modelin, iki farklı veri gruplama yaklaşımının ve 24 farklı deneysel yapılandırmanın (k paket cinsinden saniyelerde algılama pencereleri) kombinasyonlarıyla 144 farklı deney gerçekleştirildi. İlk araştırma sorumuzu yanıtlamak için, LSTM ve GNB modellerinin performansını analiz ettik. Deneyler, ağ trafiği verilerinin 30 ila 300 saniye önceden DDoS saldırılarını etkili bir şekilde tespit etmek için kullanılabileceğini göstermektedir. Hassasiyet oranları da, saldırıları algılarken modellerin çok düşük yanlış pozitifler ürettiğini göstermektedir. GNB ve LSTM modellerinin, bu yoğun saldırılar içeren veri setinde saldırıları zararsız paketlerden başarılı bir şekilde ayırt ettiği görülmektedir. GNB ile %96-99 ve LSTM ile %97-99 saldırı tespit etme F1-skorları bildirilmiştir. UNSW-NB15 veri seti için, %10 saldırı verisine sahip bir veri seti olan, LSTM modelinin saldırıları tespit etmede GNB'den daha başarılı olduğunu gözlemliyoruz: Saldırı içeren paketleri tespit etmek için %81-83 doğruluk oranı ve %78-81 F1-skoru elde edilmiştir. İkinci araştırma sorusunu yanıtlamak için modellerin performansını birbirleriyle karşılaştırdık. Genel olarak, LSTM, her iki veri setinde de saldırıları diğer paketlerden ayırt etmede değişen saldırı oranlarıyla diğer modellere göre daha başarılıdır. Kural tabanlı model, saldırılar için %59-99 F1-Skoru başarabilir, ancak her iki veri setinde de zararsız paketler açısından F1-skoru açısından kötü bir performans sergiler. UNSW-NB15 veri setini gözlemlediğimizde, saldırıların F1-skoru %99'dan %59'a düşer, çünkü bu model çoğu paketi saldırı olarak sınıflandırmaya eğilimlidir. Bu, yanlış pozitif oranları nedeniyle kural tabanlı modellerin sorununu göstermektedir. UNSW-NB15 veri seti üzerinde GNB modeli yapılan deneylerin sonuçlarına baktığımızda, zıt bir senaryo gözlemleriz: Zararsız paketler için %70 F1-skoru bildirilirken, saldırıları tespit etme oranları çok düşüktür (%1). Bu, GNB modelinin deneyimiz bağlamında saldırı paketlerini tespit edememesini göstermektedir. CIC-DDoS2019 veri setindeki sonuçlara baktığımızda, model saldırıları tespit etmek için %96'dan fazla F1-skoruna ulaşırken, zararsız paketleri tespit etmek için %81 civarında F1-skoruna ulaşır. Ayrıca, hassasiyet ve hatırlama değerlerini incelediğimizde, GNB'nin özellikle CIC-DDoS2019 veri setinde kural tabanlı modele göre çok daha başarılı olduğunu söyleyebiliriz. LSTM modelinin sonuçlarını detaylı bir şekilde incelediğimizde, veri kümelerindeki her iki sınıfı da ayırt etmede diğer modelleri sürekli olarak geride bıraktığını açıkça görebiliriz. İki veri setinde de saldırıları tespit etme F1-skorunun %78'in üzerinde ve %97 olduğunu gözlemliyoruz: UNSW-NB15 ve CIC-DDoS2019 sırasıyla. Bulgularımızı tutarlılık açısından değerlendirdiğimizde, gerçek ağ trafiğine daha yakın olan UNSW-NB15 veri setinde yapılan deneylerin sonuçlarının daha gerçekçi olduğunu ve LSTM'nin bu veri setinde etkili olduğunu yorumlayabiliriz. LSTM modelinin gerçek verilerindeki istikrarını kanıtlamak için daha fazla deneye ihtiyacımız var, ancak çevrimdışı analizimiz potansiyeli hakkında yararlı görüşler sunmaktadır. Deneylerimizin sonucunda, LSTM tabanlı bir modelle çalışan ve DDoS saldırılarının %82'sini 300 saniye önceden tespit edebilen bir sistem önermeyi başardık. Literatürden iki farklı veri setini seçmeyi ve saldırı trafiği yoğunluğu açısından farklı özelliklere sahip olanları bilinçli olarak seçmeyi tercih ettik. Ancak her ikisi de sentetik olarak oluşturulmuştur ve bu nedenle önerdiğimiz modelin performansının gerçek hayatta nasıl olacağını tam olarak gözlemleyemedik. Bu çalışmanın gelecekteki bir parçası olarak, benzer modellerin gerçek ortamlardan toplanan ağ verileri üzerinde çalışılacaktır. Ayrıca, gerçek hayattaki bir sistemde DDoS saldırılarını tespit etmek için tasarlanmış bir SIEM sistem bileşeni olarak kullanma ve uzmanlarla birlikte performansını değerlendirme, gelecekteki araştırma yönlerinden biri olabilir. Böylece, bu tür sistemlerin ağ güvenliği maliyetlerini nasıl azalttığını ve olay yanıt ekiplerine nasıl fayda sağladığını değerlendirebiliriz.

Özet (Çeviri)

In information security, availability is crucial, and Service Denial of Service (DoS) attacks, especially Distributed Denial of Service (DDoS) attacks, pose significant threats to the availability of applications. Traditional rule-based systems have high false positive rates because they cannot adapt to variable network data and require regular revisions of rules by network security experts. Deep Learning (DL) approaches, especially those utilizing the Long Short-Term Memory (LSTM) model, have gained popularity for their effectiveness in addressing evolving attack scenarios. Recent studies show that deep learning models achieve high accuracy in detecting distributed denial of service attacks. However, challenges exist, such as realistic performance expectations in actively used systems and difficulties in detecting attacks only after they have entered the network. This thesis aims to design a recommendation system integrated with Intrusion Detection Systems (IDS), to proactively prevent incoming DDoS attacks before they occur. Empirical research on public attack datasets focuses on the effectiveness of DL techniques, model comparisons, and the impact of data grouping approaches to achieve this goal. The study provides practical insights into implementing DL-based models within real-world recommendation systems for preventing DDoS attacks. The proposed recommendation system employs LSTM, GNB, and rule-based models to detect DDoS attacks k seconds in advance. Two datasets are utilized in the experimental phase of the study. One dataset, predominantly containing attack data, is the CIC-DDoS2019 dataset, while the other model uses the UNSW-NB15 dataset, primarily containing benign network data. Experimental results show that the LSTM-based model successfully detects 82% of DDoS attacks 300 seconds in advance. While the study uses synthetic datasets, future work includes running similar models on real network data and evaluating the system's performance in real-life scenarios, potentially reducing network security costs and benefiting incident response teams.

Benzer Tezler

  1. Tez No

    891885

    Ddos ataklarının derin öğrenme yöntemleri ile tespiti

    Detection of ddos attacks with deep learning methods

    SABAHAT SÜMEYYE GÜÇLÜ

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Mühendislik BilimleriKTO Karatay Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ALİ ÖZTÜRK

  2. Tez No

    722619

    Performance of queue management algorithm in lte network under DDOS attacks

    DDOS saldırılarında lte ağında kuyruk yönetimi algoritmasının incelenmesi

    ADEN ALI SAID

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKarabük Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ZAFER ALBAYRAK

  3. Tez No

    797235

    Distributed detection of ddos attacks in machine learning-enabled software defined networks

    Başlık çevirisi yok

    ALİ CAN FİDANCI

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    BiyomühendislikPolitecnico di Milano

    PROF. FRANCESCO MUSUMECİ

    PROF. MASSİMO TORNATORE

  4. Tez No

    579794

    Detection of sources being used on ddos attacks

    Ddos ataklarında kullanılan kaynakların tespiti

    YALDA MOTEVAKELKHOSROSHAHI

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgi Güvenliği Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ENVER ÖZDEMİR

  5. Tez No

    885897

    Cyber tools as foreign policy instruments in trilateral relations: Analysing cyber-attacks targeting the United Kingdom

    Üçlü ilişkilerde dış politika aracı olarak siber araçlar: Birleşik Krallık'ı hedef alan siber saldırıların analizi

    ATAKAN YILMAZ

    Doktora

    İngilizce

    İngilizce

    2024

    Siyasal BilimlerGalatasaray Üniversitesi

    Uluslararası İlişkiler Ana Bilim Dalı

    DOÇ. DR. MENENT SAVAŞ CAZALA

Geri Dön