Detekce moderních Slow DoS útoků

Thumbnail Image
Files
final-thesis.pdf(7.88 MB)
appendix-1.zip(631.82 KB)
review_141403.html(4.91 KB)
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
S rozvojem propojených zařízení v síti internet se počet útoků zvětšuje. Útočníci můžou zneužít takového zranitelného zařízení a vytvořit (D)DoS útok proti své oběti. Tyto útoky se stávají čím dál tím víc sofistikovanější. Proto byla vytvořena nová kategorie DoS útoků s názvem Pomalé DoS útoky, u kterých se útočník snaží napodobit chování standardního uživatele. Útočník se snaží využít všech možností, které mu transportní či aplikační protokol umožňují jako např. náhodné zahazování paketů, neodesílání nebo pozdržování zpráv. Na druhou stranu tvorba vlastních aplikačních výplní těchto protokolů může způsobit stav odepření služby na cíleném aplikačním serveru. Tato práce navrhuje klasifikaci síťových toků a volbu parametrů, které můžou pomoci s detekcí pomalých DoS útoků. Mezi vybranými pomalými DoS útoky jsou Slow Read, Slow Drop a Slow Next. Pro každý útok je popsán proces komunikace z pohledu transportní a aplikační vrstvy. Dále jsou vybrány důležité parametry popisující tyto útoky a v neposlední řadě jsou diskutovány metody a nástroje umožňující tvorbu takových útoků. Tato práce se zabývá možnostmi a nástroji tvorby spojení pro útok a diskutuje základní komunikační koncepty tvorby paralelních spojení. Dále je navržen vlastní generátor pomalých DoS útoků s velkým množstvím parametrů, pomocí nichž může útočník definovat vlastní pomalé DoS útoky. Následující část popisuje testovací prostředí pro testování generovaných útoků, scénáře a nástroje zachycování síťového provozu pro tvorbu vlastního datového souboru, jež je dále použit pro detekci pomalých DoS útoků pomocí metod strojového účení s učitelem. Konrétně jsou použity rozhodovací stromy a náhodné lesy k výběrů důležitých paramterů či sloupců použitelných pro detekci pomalých DoS útoků.
With the evolving number of interconnected devices, the number of attacks arises. Malicious actors can take advantage of such devices to create (D)DoS attacks against victims. These attack are being more and more sophisticated. New category of DoS attacks was discovered that tries to mimic standard user behavior -- Slow DoS Attacks. Malicious actor leverages transport protocol behavior to the highest option by randomly dropping packets, not sending or delaying messages, or on the other hand crafting special payloads causing DoS state of application server. This thesis proposes parameters of network flow that should help to identify chosen Slow DoS Attack. These parameters are divided into different categories describing single packets or whole flow. Selected Slow DoS Attack are Slow Read, Slow Drop and Slow Next. For each attack communication process is described on the transport and application layer level. Then important parameters describing given Slow DoS Attack are discussed. Last section sums up methods and tools of generation of these attacks. Next part deals with possibilities and tools to create such an attack, discuss basic communication concepts of creating parallel connections (multithreading, multiprocessing) and proposes own Slow DoS Attack generator with endless options of custom defined attacks. Next part describes testing environment for the attack generator and tools and scenarios of data capture with the goal of dataset creation. That dataset is used for subsequent detection using machine learning methods of supervised learning. Decision trees and random forest are used to detect important features of selected Slow DoS Attacks.
Description
Keywords
detekce anomálií, DoS, Flow ID, generátor, LDoS, náhodný les, Pomalé DoS útoky, python3, rozhodovací stromy, Slow DoS útoky, Slow Read, Slow Drop, Slow Next, strojové učení, Anomaly-Based Detection, DoS, Decision Trees, Flow ID, Generator, LDoS, Machine Learning, Python3, Random Forest, Slow DoS Attacks, Slow Read, Slow Drop, Slow Next
Citation
JUREK, M. Detekce moderních Slow DoS útoků [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
bez specializace
Comittee
prof. Ing. Miroslav Vozňák, Ph.D. (předseda) doc. Ing. Petr Münster, Ph.D. (místopředseda) Ing. Rudolf Vohnout, Ph.D. (člen) Ing. Václav Oujezský, Ph.D. (člen) Ing. Anna Kubánková, Ph.D. (člen) Ing. Marek Sikora (člen) Ing. Petr Jedlička (člen)
Date of acceptance
2022-06-07
Defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky oponenta a komise: 1) V kapitole 7.1 ML methods píšete: "On the other hand unsupervised learning requires only training dataset." Uveďte prosím aspoň jednu konkrétní metodu, pro kterou toto tvrzení platí, a jednu, pro kterou to neplatí, tedy metodu, kdy lze s výhodou využít i testovací dataset. 2) V podkapitole 7.3.5 váš model dosahuje úspěšnosti 100 % ve všech zvolených metrikách. Diskutujte, čím je to způsobeno ve vašem konkrétním případě a co to může znamenat obecně při používání algoritmů strojového učení. Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/204760
Collections
2022
Citace PRO