Loading...
Publication
Detection of Stealthy Distributed Denial of Service Attacks Using Artificial Intelligence Methods
| Name: | Description: | Size: | Format: | |
|---|---|---|---|---|
| 3.66 MB | Adobe PDF |
Authors
Advisor(s)
Abstract(s)
Distributed Denial of Service (DDoS) attacks have been used to disrupt various online activities. The significant traffic volume of these distributed attacks has enabled the identification of signatures and behavior profiles that fostered the development of detection mechanisms for mitigating these attacks. However, as new attack types emerge, such as low-rate Denial of Service (DoS) attacks, new detection mechanisms need to be developed to combat these evolving threats effectively.
Many detection mechanisms rely primarily on statistical analysis to identify low-rate DoS attacks in data traffic. However, these methods often exhibit a high rate of false negatives
and are only applicable to small-scale data. Artificial intelligence techniques have been widely employed in various fields, including social network analysis and disease monitoring,
and have gradually gained prominence in the field of cybersecurity in recent years.
This thesis focuses on studying and developing detection mechanisms that exhibit effective performance against two specific types of low-rate DoS attacks: the Reduction of Quality (RoQ) attack and the Slowloris attack. For the RoQ attack, we examine the traffic transmission format to create a similar one, as there is no existing software capable of
generating this type of attack traffic on the internet. For the Slowloris attack, we utilized free and open-source software specifically developed for this purpose. Subsequently, we analyze the traffic from both attacks and extract features that can be used by detection mechanisms.
In this thesis, two approaches have been developed for classifying and detecting RoQ and Slowloris attacks: one approach is based on the separate use of a set of traditional Machine Learning (ML) algorithms and the second approach is based on fuzzy logic plus one traditional ML algorithm (that previously led to good classification results) and Euclidean distance. For the RoQ attack detection, the first approach uses eleven separate machine learning algorithms, namely K-Nearest Neighbors (K-NN), Multilayer Perceptron Neural Network (MLP), Support Vector Machine (SVM), Multinomial Naive Bayes (MNB), Gaussian Naive Bayes (GNB), Decision Tree (DT), Random Forest (RF), Gradient Boosting
(XGB), Logistic Regression (LR), AdaBoost, and Light Gradient Boosting Machine (LGBM), while the second approach consists in our proposed method which combines fuzzy logic, the MLP algorithm, and the Euclidean distance method. For the Slowloris attack detection, the first approach utilizes nine machine learning algorithms, namely KNN, GNB, MLP, SVM, DT, MNB, RF, XGB, and LGBM, while the second approach consists in our proposed method which combines fuzzy logic, the RF algorithm, and the Euclidean distance method. Both approaches utilize previously selected features to classify the data traffic as either attack traffic or legitimate traffic. The obtained results show that some ML algorithms (namely MLP and RF) as well as our approach based on fuzzy logic, one ML algorithm, and Euclidean distance are good candidates to be used to classify RoQ and Slowloris attacks, but the latter approach with a slightly longer runtime for detecting them.
Os ataques de negação de serviço têm sido usados para causar danos aos mais variados tipos de atividades fornecidas online. A grande quantidade de tráfego de ataque distribuído enviado ao alvo tem permitido criar assinaturas ou perfis de comportamento que possibilitaram o desenvolvimento de mecanismos de deteção para a mitigação destes. No entanto, à medida que novos formatos de ataques vão surgindo, por exemplo, ataques com baixa taxa de transmissão de tráfego, denominados de ataques low-rate Denial of Service (DoS), novos mecanismos de deteção precisam de ser criados para combater eficazmente estas ameaças em evolução. Muitos mecanismos de deteção baseiam-se essencialmente em análise estatística para identificar ataques low-rate DoS no tráfego de dados. No entanto, estes métodos apresentam frequentemente uma elevada taxa de falsos negativos e são aplicáveis apenas a dados em pequena escala. As técnicas de inteligência artificial têm sido amplamente utilizadas em várias áreas, incluindo análise de redes sociais e monitorização de doenças, e têm vindo gradualmente a ganhar destaque nos últimos anos no campo da cibersegurança. Esta tese foca-se no estudo e no desenvolvimento de mecanismos de deteção que tenham um desempenho eficaz contra dois tipos específicos de ataques low-rate DoS: o ataque de Redução da Qualidade de Serviço (Reduction of Quality (RoQ)) e o ataque Slowloris. Para o ataque RoQ, estudamos o formato de transmissão do tráfego para criar um que seja similar, já que não se encontra disponível na internet software capaz de gerar tráfego deste tipo de ataque. Para o ataque Slowloris, foi utilizado software, disponível para download, desenvolvido especificamente para este fim. Posteriormente, analisámos o tráfego de ambos os ataques e extraímos características (features) que pudessem ser utilizadas pelos mecanismos de deteção. Nesta tese foram desenvolvidas duas abordagens para classificação e deteção de ataques RoQ e Slowloris: a primeira abordagem é baseada na utilização separada de um conjunto de algoritmos de aprendizagem automática tradicionais, e a segunda abordagem é baseada em lógica difusa (fuzzy logic), um algoritmo de aprendizagem automática tradicional (que previamente tenha conduzido a bons resultados de classificação) e distância Euclidiana. Para a deteção do ataque RoQ, a primeira abordagem usa separadamente onze algoritmos de aprendizagem automática, nomeadamente K-Nearest Neighbors (K-NN), Multilayer Perceptron Neural Network (MLP), Support Vector Machine (SVM), Multinomial Naive Bayes (MNB), Gaussian Naive Bayes (GNB), Decision Tree (DT), Random Forest (RF), Gradient Boosting (XGB), Logistic Regression (LR), AdaBoost e Light Gradient Boosting Machine (LGBM), enquanto que a segunda abordagem consiste no método proposto por nós, o qual combina lógica difusa, o algortimo MLP e o método de distância Euclidiana. Para a deteção do ataque Slowloris, a primeira abordagem utiliza nove algoritmos de aprendizagem automática, nomeadamente K-NN, GNB, MLP, SVM, DT, MNB, RF, XGB e LGBM, enquanto que a segunda abordagem consiste no nosso método, o qual combina lógica difusa, o algortimo RF e o método de distância Euclidiana. Ambas as abordagens utilizaram características (features) previamente selecionadas para classificar o tráfego de dados como tráfego de ataque ou tráfego legítimo. Os resultados obtidos mostraram que alguns algoritmos de aprendizagem automática (nomeadamente MLP e RF) assim como o nosso método, baseado em lógica difusa, um algoritmo de aprendizagem automática e distância Euclidiana são bons candidatos para serem utilizados para classificar ataques RoQ e Slowloris, mas a segunda abordagem com um tempo de execução ligeiramente maior para os detetar.
Os ataques de negação de serviço têm sido usados para causar danos aos mais variados tipos de atividades fornecidas online. A grande quantidade de tráfego de ataque distribuído enviado ao alvo tem permitido criar assinaturas ou perfis de comportamento que possibilitaram o desenvolvimento de mecanismos de deteção para a mitigação destes. No entanto, à medida que novos formatos de ataques vão surgindo, por exemplo, ataques com baixa taxa de transmissão de tráfego, denominados de ataques low-rate Denial of Service (DoS), novos mecanismos de deteção precisam de ser criados para combater eficazmente estas ameaças em evolução. Muitos mecanismos de deteção baseiam-se essencialmente em análise estatística para identificar ataques low-rate DoS no tráfego de dados. No entanto, estes métodos apresentam frequentemente uma elevada taxa de falsos negativos e são aplicáveis apenas a dados em pequena escala. As técnicas de inteligência artificial têm sido amplamente utilizadas em várias áreas, incluindo análise de redes sociais e monitorização de doenças, e têm vindo gradualmente a ganhar destaque nos últimos anos no campo da cibersegurança. Esta tese foca-se no estudo e no desenvolvimento de mecanismos de deteção que tenham um desempenho eficaz contra dois tipos específicos de ataques low-rate DoS: o ataque de Redução da Qualidade de Serviço (Reduction of Quality (RoQ)) e o ataque Slowloris. Para o ataque RoQ, estudamos o formato de transmissão do tráfego para criar um que seja similar, já que não se encontra disponível na internet software capaz de gerar tráfego deste tipo de ataque. Para o ataque Slowloris, foi utilizado software, disponível para download, desenvolvido especificamente para este fim. Posteriormente, analisámos o tráfego de ambos os ataques e extraímos características (features) que pudessem ser utilizadas pelos mecanismos de deteção. Nesta tese foram desenvolvidas duas abordagens para classificação e deteção de ataques RoQ e Slowloris: a primeira abordagem é baseada na utilização separada de um conjunto de algoritmos de aprendizagem automática tradicionais, e a segunda abordagem é baseada em lógica difusa (fuzzy logic), um algoritmo de aprendizagem automática tradicional (que previamente tenha conduzido a bons resultados de classificação) e distância Euclidiana. Para a deteção do ataque RoQ, a primeira abordagem usa separadamente onze algoritmos de aprendizagem automática, nomeadamente K-Nearest Neighbors (K-NN), Multilayer Perceptron Neural Network (MLP), Support Vector Machine (SVM), Multinomial Naive Bayes (MNB), Gaussian Naive Bayes (GNB), Decision Tree (DT), Random Forest (RF), Gradient Boosting (XGB), Logistic Regression (LR), AdaBoost e Light Gradient Boosting Machine (LGBM), enquanto que a segunda abordagem consiste no método proposto por nós, o qual combina lógica difusa, o algortimo MLP e o método de distância Euclidiana. Para a deteção do ataque Slowloris, a primeira abordagem utiliza nove algoritmos de aprendizagem automática, nomeadamente K-NN, GNB, MLP, SVM, DT, MNB, RF, XGB e LGBM, enquanto que a segunda abordagem consiste no nosso método, o qual combina lógica difusa, o algortimo RF e o método de distância Euclidiana. Ambas as abordagens utilizaram características (features) previamente selecionadas para classificar o tráfego de dados como tráfego de ataque ou tráfego legítimo. Os resultados obtidos mostraram que alguns algoritmos de aprendizagem automática (nomeadamente MLP e RF) assim como o nosso método, baseado em lógica difusa, um algoritmo de aprendizagem automática e distância Euclidiana são bons candidatos para serem utilizados para classificar ataques RoQ e Slowloris, mas a segunda abordagem com um tempo de execução ligeiramente maior para os detetar.
Description
Keywords
Algoritmos de Aprendizagem Automática Ataque de Baixa Taxa (Low-Rate) Ataque de Negação de Serviço de Baixa Taxa Ataque de Redução de Qualidade Ataque Distribuído de Negação de Serviço de Baixa Taxa Ataque Lento (Slow) de DoS Ataque Slowloris Distância Euclidiana Lógica Difusa Redes Neuronais