DDOS attack detection by control charts
- Global styles
- Apa
- Bibtex
- Chicago Fullnote
- Help
Abstract
DDoS saldırıları, günümüzün siber dünyasında ana tehditler olarak kabul edilmektedir. Bu tehditlerin kaynağının çoğu zaman belirsiz olması, birçok şebeke operatörünün endişelerini artırmaktadır. Altyapıya bağımlı iş süreçleri olumsuz etkilendiğinden şirketler finansal kayıplara maruz kalmaktadır. Bu tür saldırılar, güvenliğin bileşenlerini; gizlilik, bütünlük ve kullanılabilirliği ihlal ederek kaynakları yasal kullanıcılar tarafından kullanılamaz hale getirmekte ve kaynakların kontrollerini ele geçirmektedir. Ancak, DDoS saldırılarının üstesinden gelmek için, birçok teknik, bu tehditlerin farkındalığına sahip olan araştırmacılar tarafından geliştirilmektedir.Bu çalışmada, DDoS saldırılarının tespiti için, normal ve weibull dağılımlarına sahip veri kümelerinin kümülatif toplama modellerini karşılaştırdık. Hping DDoS aracını kullanarak elde ettiğimiz iki veri setine Tabular CUSUM ve V-mask CUSUM yöntemlerini uyguladık. Bu tekniklerin, atak trafiğinde TCP syn paketlerinin sayısal degişikliklerinin algılanmasında etkili olduğunu gördük. Tabular CUSUM ve V-mask CUSUM tekniklerinin doğruluk oranlarının karşılaştırılması için Alıcı İşletim Karakteristik (ROC) eğrilerini kullandık. Ortalama Çalışma Uzunluğu (ARL) ile EWMA ve CUSUM kontrol çizelgelerinin performans analizini yaptık. Son olarak, yine bu kontrol çizelgelerinin performansını değerlendirmede kullanılan tahmin kalıntılarını elde etmek için Otoregressif Entegre Hareketli Ortalama (ARIMA) tahmin modelini uyguladık. Distributed Denial of Service (DDoS) attacks are considered as the major threats in today's cyberworld. The fact that the source of these threats is often uncertain increases the concerns of many network operators. These types of attacks exhaust the resources to make them unavailable for the legitimate users and they take control over remote hosts. Infrastructure dependent business processes are adversely affected so that companies suffer financial losses. They are violating the security components of information security; confidentiality, integrity and availability. However, many techniques to overcome DDoS attacks have been developing by researchers who have the awareness of these threats.In this thesis, in order to detect DDoS attacks, we first compared cumulative summation patterns of datasets which have normal and weibull distributions. We applied Tabular CUSUM and V-mask CUSUM methods to two datasets which we maintained at Boğaziçi University by using hping DDoS tool. It was found that these techniques can be applied to detect the anomalies of DDoS attack traffic by analyzing numerical changes of SYN packets during the process. The comparison of the accuracy rates of Tabular CUSUM and V-mask CUSUM techniques was made by Receiver Operating Characteristic (ROC) curves. We made a performance analysis of EWMA and CUSUM control charts evaluating Average Run Length (ARL) approximation. Finally, the Autoregressive Integrated Moving Average (ARIMA) forecasting model was applied in order to obtain the forecasting residuals which are also utilized in the performance evaluation of these two control charts.
Collections