An entropy based ddos detection method and implementation

Abstract

Dağıtılmış hizmet reddi saldırıları (DDoS), bilgisayar ağlarında bulunan bir cihazın sağladığı hizmetin birden fazla farklı kaynaklar kullanılarak geçici veya kalıcı olarak servis dışı bırakılıp ulaşımının engellendiği bir saldırı tipidir. DDoS saldırıları, mevcut siber saldırıların başında gelmektedir ve geçtiğimiz her gün bu saldırı tipinin kullanımı artarak siber dünya için büyük bir tehdit oluşturmaktadır. Günümüzde DDoS saldırıları büyük organizasyonları hedef alıp çok geniş zararlara neden olmaktadır. Bu saldırıları uygulamak kolay fakat tespit edip engellemek zordur. Bu alanda birden fazla yaklaşım üzerinde çalışmalar yapılmaktadır fakat henüz kesin bir çözüm sunulmamıştır. Yapılan araştırmalar, istatistiksel bazlı tespit yöntemlerinin DDoS saldırı tespitinde başarılı sonuçlar verdiğini göstermektedir. Bu tezde, entropi bazlı saldırı tespiti yapan bir yöntem sunulup farklı atak tipleri için yazılım tanımlı ağ üzerinde performansı değerlendirilmiştir. Sunulan yöntem, saldırı tespiti için çoklu entropi değerlerinin kullanılmasını ve bu entropi değerlerine dayanan yeni bir alarm sistemi önermektedir. Sunduğumuz yöntemi değerlendirmek üzere, dört farklı atağa karşı gerçek trafik setleri kullanılarak bir dizi deney gerçekleştirildi. Yaptığımız çalışmada entropi hesaplanmasında önerilen 5 farklı paket parametresi ve bunların ikili kombinasyonlarının, 3'lü ve 4'lü kombinasyonlarına karşı verimliliği karşılaştırılmıştır. Sonuçlar, metodumuzun yaygın olan atak tipleri için saldırıyı erken aşamalarda tespit ettiğini göstermektedir.

Distributed Denial of Service (DDoS) is a cyber attack type involving multiple computer sources which aims to temporarily or permanently deactivate the service provided by a device. This attack type has been listed multiple times as the most used attack types and has a great portion in all types of cyber attacks. Also, these attacks are increasing day by day and poses a threat for cyber security ecosystem. In today's world, these attacks target world-wide organizations and cause them to suffer. DDoS attacks are easy to employ but hard to prevent. There are various methods to decrease the impact of attacks but none of them are exact solutions. With further research about DDoS detection approaches, it is observed that, methods using statistical approaches have better performance than other approaches. In this thesis, we describe an entropy based detection method and implement our method on software defined networks (SDN). The performance of the method is evaluated for various attack types. We propose the use of multiple entropy values and a novel alarm determination based on these entropy values. We conducted a series of experiments with real datasets for four different attack types to evaluate our method. We compare the effectiveness of our entropy parameter selection (5 single attributes and 10 pair of attributes) to entropy calculation with all 3 elements and 4 elements subsets. The results show that our method detects most common attack types at very early stages.