КІБЕРБЕЗПЕКА: ДОСЛІДЖЕННЯ МЕТОДІВ ВИЯВЛЕННЯ DDOS-АТАК
DOI:
https://doi.org/10.31891/csit-2023-4-1Ключові слова:
машинне навчання, DDoS, дерево рішень, класифікаціяАнотація
У цій статті розглядається проблема DDoS-атак, аналізується їх природа та наслідки. Стаття охоплює поширені типи DDoS-атак, такі як SYN-flood, ICMP-flood, UDP-flood. Розглядаються існуючі методи виявлення атак з літератури, включаючи методи машинного навчання, такі як штучні нейронні мережі, метод опорних векторів та дерева прийняття рішень. У статті представлено модель машинного навчання на основі дерева прийняття рішень для автоматичного виявлення DDoS-атак. Модель навчена та протестована на загальнодоступному наборі даних. Набір даних складається з 104345 рядків даних, де кожен рядок містить 23 поля, такі як IP-адреса джерела, IP-адреса призначення, номер порту, кількість байтів, переданих із порту комутатора тощо. Подібний набір характеристик можна отримати на реальному мережевому обладнанні за допомогою простих розрахунків, що дає можливість наблизити оцінку моделі до реальних умов можливої експлуатації. Типи атак SYN-flood, ICMP-flood, UDP-flood присутні в даних, а також наявний легітимний трафік. Щоб уникнути ефекту перенавчання, використовувалися лише деякі поля, а такі поля, як IP-адреси, були відкинуті. Поле «label» в кожному рядку набору даних містить 0 або 1, де 0 відповідає легітимному трафіку, а 1 — зловмисному. Тому проблема виявлення DDoS-атаки формально зводиться до здійснення бінарної класифікації кожного рядка з набору даних. Побудована модель досягає середньої точності класифікації 0,94 зі стандартним відхиленням на рівні 0,06 при виявленні зазначених типів атак. Щоб об’єктивно оцінити ефективність моделі та уникнути спотворення результатів, була використана стратифікована 5-fold кросс-валідація. Розроблена модель може бути застосована в реальному мережевому обладнанні для фільтрації шкідливих пакетів або як інструмент для попередження адміністратора про атаку. Це дослідження покращує сферу кібербезпеки, розширюючи методи виявлення DDoS-атак.