A novel online approach to detect DDoS attacks using mahalanobis distance and Kernel-based learning

Abstract

Bilgisayar, ağ teknolojileri ve saldırganların motivasyonları değiştikçe DDoS saldırılarısürekli olarak dönüşüm geçirmektedir.DDoS saldırılarını tespit etmek için geçtiğimizyıllarda, birçok denetimli makine öğrenmesi algoritması önerilmiştir. Fakat bualgoritmalar sınıflarla ilgili ön bilgiye ihtiyaç duymakta ve sürekli değişen ağ trafiğitrendlerine otomatik olarak uyum sağlayamamaktadırlar.Bu durum, sıfır günlük vegelişmiş DDoS saldırılarını hedef alan yeni DDoS tespit etme mekanizmalarınıngeliştirilmesine olan ihtiyacı öne çıkmaktadır.Bu ihtiyacı karşılamak için bu çalışmada,çok değişkenli verilerle çalışmaya uygun olan çevrimiçi ve sıralı bir DDoS tespit etmeşeması önerilmiştir.Önerdiğimiz algoritma; kernel tabanlı bir öğrenme algoritması,Mahalanobis uzaklığı ve Chi-square testinden yararlanmaktadır.Algoritma tamamenotomatiktir ve önceden tanımlanmış herhangi bir eşik değere veya normal ağ trafiğineihtiyacı yoktur.Yapılan çalışmada öncelikle, ağ akışlarından, dakika başına dört adetentropi tabanlı ve dört adet de istatistiksel tabanlı özellik elde edilmiştir. Sonrasında,DDoS saldırısı olarak şüphelenilen, entropi tabanlı girdi özellik vektörlerini tespit etmekiçin kernel tabanlı öğrenme algoritması çalıştırılmıştır.Bu algoritma, ağ trafiği veya DDoSiçin herhangi bir modeli temel olarak varsaymamaktadır. Bunun yerine, normal davranışınçerçevesini yaklaşık olarak tanımlayan bir özellik kütüphanesi oluşturmakta ve bukütüphaneyi kullanmaktadır. Şüpheli vektörler ve kütüphane üyelerinin dağılımıarasındaki Mahalanobis uzaklığı belirli bir periyotta ölçülmektedir. Sonrasında, bumesafenin değerlendirilmesi için Chi-square testi kullanılmaktadır. Önerilen DDoSalgılama yapısı CICIDS2017 veri setine uygulanmış ve doğruluk, anımsama, duyarlılıkve ROC eğrisini de içeren birçok parametre kullanılarak algoritmanın performansıölçülmüştür. Son olarak, elde edilen sonuçlar mevcut algoritmaların performanslarıylakarşılaştırılmıştır.

Distributed denial-of-service (DDoS) attacks are continually evolving as the computer andnetworking technologies and attackers' motivations are changing. In recent years, severalsupervised DDoS detection algorithms have been proposed. However, these algorithmsrequire a priori knowledge of the classes and cannot automatically adapt to the frequentlychanging network traffic trends. This emphasizes the need for the development of newDDoS detection mechanisms that target zero-day and sophisticated DDoS attacks. Tofulfill this need, an online sequential DDoS detection scheme that is suitable for use withmultivariate data was proposed. The proposed algorithm utilizes a kernel-based learningalgorithm, the Mahalanobis distance, and a Chi-square test. The algorithm is fullyautomated and does not require a pre-defined setting of any thresholds or baseline normalnetwork traffic for training. Initially, four entropy-based and four statistical-based featureswere extracted from network flows as detection metrics per minute. Then, the EnhancedKernel based Online Anomaly Detection Algorithm (E-KOAD) was employed to detectentropy-based input feature vectors that were suspected to be DDoS. This algorithmassumes no model for network traffic or DDoS in advance; then, it constructs and adaptsa Dictionary of features that approximately span the subspace of normal behavior. EveryT minutes, the Mahalanobis distance between suspicious vectors and the distribution ofDictionary members is measured. Subsequently, the Chi-square test is used to evaluatethe Mahalanobis distance. The proposed DDoS detection scheme was applied to theCICIDS2017 dataset and the performance of the algorithm was measured using differentperformance metrics including accuracy, recall, precision and ROC-Curve. Finally, theresults were compared with those by existing algorithms.