Windower: Feature Extraction for Real-Time DDoS Detection Using Machine Learning

detekce útoků na počítačových sítích, NIDS, DDoS mitigace, reální čas, dolovaní dat v tocích, strojové učení

V moderních počítačových sítích jsou útoky typu DDoS (Distributed Denial of Service) stále častým typem bezpečnostních incidentů. Pro řešení tohoto problému práce navrhuje Windower -- metodu extrakce příznaků pro detekci nežádoucího síťového provozu (zejména DDoS) v reálném čase. Modul pro extrakci dat využívá princip tzv. klouzavého okna k výpočtu statistických informací přímo z příchozích paketů. Kromě toho modul agreguje několik takových oken a počítá statistiky mezi jednotlivými okny, aby byla zvýšena spolehlivost detekce. Souhrnné statistiky jsou pak vstupují do detektoru útoků založeného na strojovém učení. Pokud je rozpoznán útok, je veškerý provoz útočícího zdroje odfiltrován pomocí jednoduchých ACL pravidel. Experimentální výsledky vyhodnocené na několika datových sadách ukazují schopnost spolehlivě detekovat probíhající útok během prvních šesti sekund od jeho zahájení a potlačit až 99 % záplavových a 92 % slow útoků při zachování falešně pozitivních detekcí pod 1 %. Na rozdíl od současného state-of-the-art poskytuje tento přístup větší flexibilitu tím, že dosahuje velmi vysoké úspěšnosti detekce a nízkých nároků na výpočetní zdrojů než systémy založené na přímé analýze paketů nebo založené na zpracování síťových toků a zároveň nabízí velmi rychlou detekci útoků odpovídající právě řešení založených na přímém zpracování paketů. Windower tak přináší vhodný kompromis mezi výkonem samotné detekce útoků, zpožděním detekce a výpočetními zdroji a je vhodný pro reálné nasazení.