Detecting Different Types of Distributed Denial of Service Attacks

Abstract

Distributed Denial of Service Attacks (DDoS) are threaten every device connected to the Internet. The fast progress and wide spreading DDoS attacks are among the most well-known features of them. Many studies have been conducted to reduce the impact of these fast-progressing and widespread attacks. However, because of the continuous development of attack types and the implementation of different techniques, the prevention of attacks has not been fully achieved. Therefore, within the scope of this study, a DDoS attack was examined first and applications for detecting it were investigated. A system has been proposed to detect DDoS attacks using data mining methods. For the proposed system, experiment mechanisms for Transmission Control Protocol (TCP) Flooding, Spoofing Internet Protocol (IP), SYN Flood with Spoofed IP, and User Datagram Protocol (UDP) Flooding, which are among the DDoS attack types, were established and the attacks were performed to obtain network flow data. The classification was made with appropriate data mining methods according to the specified features and ZeroR, OneR, Naive Bayes, Bayes Net, Decision Stump, and J48 algorithms were used. According to these algorithms, the best classification rate has been reached with J48 algorithm. The results have shown that the proposed system plays an important role in determining the DDoS attack type. The proposed system will ensure that appropriate detection mechanisms are applied more quickly, effectively and efficiently in real attacks.

Keywords

• DDoS
• SYN Flooding
• Spoofing IP
• Cyber Security
• Data Mining

Farklı Türde Dağıtık Hizmet Dışı Bırakma Saldırılarının Tespiti

Öz

Dağıtık Hizmet Dışı Bırakma Saldırıları (DDoS: Denial-of-Service Attacks) internete bağlı her bir cihazı tehdit etmektedir. DDoS saldırılarının hızlı ilerlemesi ve geniş alana yayılması en bilinen özelliklerindendir. Hızlı ilerleyen ve geniş alana yayılan bu saldırıların etkisini azaltmak için birçok çalışma yapılmıştır. Ancak saldırı türlerinin sürekli gelişmesi ve farklı tekniklerin uygulanması nedenleriyle saldırıların engellenmesi tam olarak gerçekleştirilememiştir. Bu nedenle çalışma kapsamında öncelikle DDoS saldırısı incelenmiş ve tespit etmeye yönelik uygulamalar araştırılmıştır. Veri madenciliği yöntemleri kullanılarak DDoS saldırılarını tespit etmek için bir sistem önerilmiştir. Önerilen sistem için DDoS saldırı türlerinden Aktarım Denetimi Protokolü Saldırısı (TCP: Transmission Control Protocol Flooding), IP Sahteciliği Saldırısı (Spoofing IP: Internet Protocol), Maskelenen IP ile SYN Saldırısı (SYN Flood with Spoofed IP) ve Kullanıcı Veribloğu İletişim Kuralları Saldırısı (UDP: User Datagram Protocol Flooding) için deney düzenekleri kurulmuş ve saldırılar gerçekleştirilerek ağ akış verileri elde edilmiştir. Belirlenen özniteliklere göre uygun veri madenciliği yöntemleri ile sınıflandırma yapılmış ve ZeroR, OneR, Naive Bayes, Bayes Net, Decision Stump ve J48 algoritmaları kullanılmıştır. Bu algoritmalara göre en iyi sınıflandırma oranına J48 algoritması ile ulaşılmıştır. Elde edilen sonuçlar, önerilen sistemin DDoS saldırı türü belirlenmesinde önemli rol oynadığını göstermiştir. Önerilen sistem, gerçek saldırılarda uygun tespit mekanizmalarının daha hızlı, etkin ve verimli şekilde uygulanmasını sağlayacaktır.

Anahtar Kelimeler

• DDoS
• SYN Saldırısı
• IP Sahteciliği
• Siber Güvenlik
• Veri Madenciliği

Kaynakça

1. [1] Kabakuş A. T., Kara R. 2016. DDoSdaps4web: Web'e Yönelik DDoS Tespit ve Koruma Yöntemi. Erciyes Üniversitesi Fen Bilimleri Enstitüsü Dergisi, 32(1), 1-9.
2. [2] Devi S. R., Yogesh P. 2012. Detection of Application Layer DDoS Attacks Using Information Theory Based Metrics. Computer Science & Information Technology, 10, 217–223.
3. [3] Baykara, M., Daş, R. 2017. A Novel Hybrid Approach for Detection of Web-Based Attacks in Intrusion Detection Systems. International Journal of Computer Networks and Applications, 4(2), 62-76.
4. [4] Stein, L. D., Stewart, J. N. 2015. The World Wide Web Security FAQ: Securing Against Denial of Service Attacks. http://www.w3.org/Security/Faq/wwwsf6.html. (Accessed: 07.10.2020).
5. [5] Gezgin, D. M., Buluş, E. 2013. Kablosuz Ağlar için Bir DoS Saldırısı Tasarımı. Bilişim Teknolojileri Dergisi, 6(3):12.
6. [6] Raza, A. 2012. Anomaly Detection Systems for Distributed Denial of Service Attacks. University of Sindh, the Department of Electrical and Computer Engineering, Master Thesis, Pakistan.
7. [7] Wueest, C. 2014. Security Response: The Continued Rise of DDoS Attacks. Symantec. White paper, 1.
8. [8] Sonar, K., Upadhyay, H. 2014. A Survey: DDoS Attack on Internet of Things. International Journal of Engineering Research and Development, 10(11), 58-63.

9. [9] Çelikbilek, İ. 2016. TCP SYN Seli Saldırısının Etkilerini Azaltmak için Yeni SYN Çerezleri Gerçeklemesi. İstanbul Şehir Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, İstanbul.
10. [10] McGregory, S. 2013. Preparing for the Next DDoS Attack. Network Security, 2013(5), 5-6.
11. [11] Ingle, A., Awade, M. 2013. Intrusion Detection for TCP–SYNC Flood Attack. International Journal of Advanced Research in Computer Science, 4(5) Special Issue, 9-11.
12. [12] Duan, Z., Yuan, X., Chandrashekar, J. 2006. Constructing Inter-Domain Packet Filters to Control IP Spoofing Based on BGP Updates. 25th IEEE International Conference on Computer Communications, Spain.
13. [13] Pahwa, P., Tiwari, G., Chhabra, R. 2010. Spoofing Media Access Control (MAC) and Its Counter Measures. International Journal of Advanced Engineering & Application, 186-192.
14. [14] Xie, Y., Yu, S. 2009. Monitoring the Application-Layer DDoS Attacks for IEEE. ACM Trans Netw, 17(1), 15-25.
15. [15] Söğüt, E. 2016. Gelişmiş Israrcı Tehdit Tespit Yöntemleri ve Bir Uygulaması. Gazi Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, Ankara.
16. [16] Cepheli Ö., Büyükçorak S., Karabulut K. G. 2014. Kullanıcı Modellemesi Tabanlı Dağıtık Servis Reddi Ataklarının Sezilmesi. 22nd Signal Processing and Communications Applications Conference, 2186-2189, Trabzon.
17. [17] Yuan, J., Mills, K. 2005. Monitoring the Macroscopic Effect of DDoS Flooding Attacks. IEEE Transactions on Dependable and Secure Computing, 2(4), 324-335.
18. [18] Shiaeles, S. N., Katos, V., Karakos, A. S., et al. 2012. Real Time DDoS Detection Using Fuzzy Estimators. Computers & Security, 31(6), 782-790.
19. [19] Karimazad, R., Faraahi, A. 2011. An Anomaly-Based Method for DDoS Attacks Detection Using RBF Neural Networks. International Conference on Network and Electronics Engineering, vol. 11, IACSIT Press, Singapore.
20. [20] Al-Duwairi, B. N. 2005. Mitigation and Traceback Countermeasures for DDoS Attacks. Iowa State University, Doctoral Thesis, USA.
21. [21] Limwiwatkul, L., Rungsawang, A. 2004. Distributed Denial of Service Detection Using TCP/IP Header and Traffic Measurement Analysis. IEEE International Symposium Communications and Information Technology, vol. 1, 605–610, Japan.
22. [22] Oo T. T., Phyu T. 2014. Analysis of DDoS Detection System Based on Anomaly Detection System. International Conference on Advances in Engineering and Technology, Singapore.
23. [23] Wireshark. https://www.wireshark.org/. (Erişim Tarihi: 15.09.2020).
24. [24] Witten I. H., Frank E., Hall M. A., et al. 2016. Data Mining: Practical Machine Learning Tools and Techniques, Morgan Kaufmann, Fourth Edition, Boston.
25. [25] KDD Cup 1999 Data. http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html. (Erişim Tarihi: 10.10.2020).
26. [26] Roolvink, S. 2008. Detecting Attacks Involving DNS Servers. University of Twente, Design and Analysis of Communication Systems. Master Thesis, The Netherlands.
27. [27] Erhan, D., Anarim, E., Kurt, G. K., Koşar, R. 2013. Effect of DDoS Attacks on Traffic Features. 21st Signal Processing and Communications Applications Conference, Girne, 1-4.
28. [28] Sahi, A., Lai, D., Li, Y., et al. 2017. An efficient DDoS TCP Flood Attack Detection and Prevention System in a Cloud Environment. IEEE Access, 5, 6036-6048.
29. [29] Han, F., Xu, L., Yu, X., et al. 2016. Sliding-Mode Observers for Real-Time DDoS Detection. IEEE 11th Conference on Industrial Electronics and Applications, 825-830, USA.
30. [30] Osanaiye, O., Choo, K. K. R., Dlodlo, M. 2016. Analysing Feature Selection and Classification Techniques for DDoS Detection in Cloud. Southern Africa Telecommunication and Applications Conference, 198-203, South Africa.
31. [31] Pala, T. 2013. Tıbbi Karar Destek Sisteminin Veri Madenciliği Yöntemleriyle Gerçekleştirilmesi. Marmara Üniversitesi, Yüksek Lisans Tezi, İstanbul.
32. [32] Kökver, Y., Barışçı, N., Çiftçi, A., Ekmekçi, Y. 2014. Hipertansiyona Etki Eden Faktörlerin Veri Madenciliği Yöntemleriyle İncelenmesi. Engineering Sciences, 9(2), 15-25.
33. [33] Quinlan, J. R. 1986. Induction of Decision Trees. Machine learning, 1(1), 81-106.
34. [34] Daş, B., Türkoğlu, İ. 2014. DNA Dizilimlerinin Sınıflandırılmasında Karar Ağacı Algoritmalarının Karşılaştırılması. Elektrik-Elektronik-Bilgisayar ve Biyomedikal Mühendisliği Sempozyumu, 381-383, Bursa.
35. [35] Tekerek, A. 2021. A Novel Architecture for Web-Based Attack Detection Using Convolutional Neural Network. Computers & Security, 100, 102096, ISSN 0167-4048.
36. [36] Tuan, T.A., Long, H.V., Son, L.H., et al. 2020. Performance Evaluation of Botnet DDoS Attack Detection Using Machine Learning. Evolutionary Intelligence, 13, 283-294.
37. [37] Devi, B. S. K., Preetha, G., Selvaram, G., et al. 2014. An Impact Analysis: Real Time DDoS Attack Detection and Mitigation Using Machine Learning. International Conference on Recent Trends in Information Technology, 1-7.
38. [38] Doshi, R., Apthorpe, N., Feamster, N. 2018. Machine Learning DDoS Detection for Consumer Internet of Things Devices. IEEE Symposium on Security and Privacy Workshops, 29-35.