DDoS attack detection by using packet features
- Global styles
- Apa
- Bibtex
- Chicago Fullnote
- Help
Abstract
Ddos saldırıları uzun bir zamandır sanal alemde görülmesine rağmen çoğu kullanıcı bu saldırılara karşı hâlâ savunmasızdır. Çalışma prensiplerinden ötürü, bu saldırıların önceden tespiti ve önlenmesi çok zordur. Özellikle tek bir servis değil de bir ağ denetleniyorsa, bu saldırıların tespiti çok daha zorlaşabilir. Bu çalışmada, DDoS atak tespiti için 11 tane parametre kullandık. İlk olarak, bu parametrelerin eşik seviyesine göre atak tespiti yaptık. Daha sonra; saldırı tespit oranını artırabilmek amaçlı karekök ortalama yöntemini kullandık. Syn Flood saldırıları ve UDP Flood saldırılarının tespiti için farklı parametrelerin daha iyi sonuç verdiğini gördük. Bunun yanı sıra, DDoS saldırılarının tespiti noktasında karşılaşılan en büyük zorluk, kamuya açık saldırı verikümelerinin eksikliğidir. UCLA, NUST verikümelerini kullandık ve kendimiz Boğaziçi Üniversitesi'nde 2 tane daha verikümesi oluşturduk. Sonuç olarak, kullandığımız metotları 3 farklı kurumdan 5 farklı dataset üzerinde uygulama fırsatı bulduk. Daha sonra sonuçlarımızı bu alandaki diğer çalışmaların sonuçları ile karşılaştırdık. Analizlerimiz sonunda TCP Syn atağının tespiti için en iyi parametrenin `SYN/ACK oranı` olduğunu, UDP atağı için en iyi parametrenin `akış üretme hızı` olduğunu gördük. DDoS attacks have been in internet life for a long time and most of hosts are still vulnerable for DDoS attacks. Complete detection and prevention of DDoS attacks is almost impossible, since their working method. Especially, if you are observing a network, not only one host, detecting DDoS attack can be much harder. To detect DDoS attacks existence, we used 11 features. We first used only threshold value of each features to detect DDoS attacks. Then, we used RMS (Root Mean Square) to improve our detection rates. We found different features are the best for Syn flood attack detection and UDP Flood attack detection.The hardest issue for working on DDoS attacks is lack of publicly available datasets. We used UCLA dataset (University of California, Los Angeles), NUST datasets (National University of Sciences and Technology) and we composed 2 more datasets in Bogazici University to work on. In total, we applied our methods on 5 different datasets from 3 different institutes. Then, we compared our results with other similar studies. Our analysis showed that the best feature to detect TCP Syn flood attack is `SYN/ACK ratio` and the best feature to detect UDP flood is `flow generating rate`.
Collections