Bachelor's Thesis

Optimization of DDoS Attack Mitigation based on Machine Learning

Final Thesis 1.14 MB Appendix 3.65 MB

Author of thesis: Bc. Filip Banák

Acad. year: 2023/2024

Supervisor: Ing. Jan Kučera, Ph.D.

Reviewer: Ing. Lukáš Šišmiš

Abstract:

DDoS attacks using the TCP protocol are still amongst the most common. This thesis aims to take advantage of information present in TCP SYN messages to improve DDoS attack detection success rate. TCP SYN fingerprints are proposed as an additional data source to consider when computing features for DDoS detection. A combination of an existing feature extraction and aggregation system with an existing autoencoder-based anomaly detector is significantly optimized and extended to make use of SYN fingerprints. The experimental results show decent DDoS detection improvements on relevant datasets. The detector is 16 and 95 times faster to train and execute respectively. The extraction and aggregation system is 23 times faster.

Keywords:

DDoS, machine learning, autoencoder, KitNET, Windower, TCP SYN fingerprints

Date of defence

12.06.2024

Result of the defence

Defended (thesis was successfully defended)

znamkaAznamka

Grading

A

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.

Topics for thesis defence

  1. Aká je priepustnosť detekčného mechanizmu po Vašej optimalizácii?
  2. Co je otisk?
  3. Rozveďte klasifikaci s otisky SYN a bez nich.

Language of thesis

English

Faculty

Department

Study programme

Information Technology (BIT)

Composition of Committee

doc. Ing. Ondřej Ryšavý, Ph.D. (předseda)
Ing. Tomáš Milet, Ph.D. (člen)
Ing. Josef Strnadel, Ph.D. (člen)
Ing. Matěj Grégr, Ph.D. (člen)
Ing. Filip Orság, Ph.D. (člen)

Supervisor’s report
Ing. Jan Kučera, Ph.D.

Student řešil náročnější zadání bakalářské práce. Řešení věnoval značné úsilí. Pracoval systematicky a svědomitě. V rámci práce navrhl významné rozšíření a dosáhl značného zrychlení a optimalizace dosavadního přístupu k potlačení DDoS útoků. Zadání bylo splněno ve všech bodech a práce dosahuje vynikajících výsledků, které jsou rovněž prakticky i publikačně uplatnitelné. Navrhuji hodnocení stupněm A (výborně) a současně navrhuji práci na ocenění formou Ceny děkana.

Evaluation criteria Verbal classification
Informace k zadání

Cílem bakalářské práce bylo nastudovat problematiku útoků DDoS, možnosti jejich potlačení založené na technice strojového učení, a následně navrhnout a realizovat vlastní přístup, který by nastudovanou metodu významně rozšiřoval a vhodně optimalizoval. Téma navazuje na projekt realizovaný ve spolupráci se sdružením CESNET právě v oblasti ochrany před DDoS útoky. Práci proto vzhledem k zaměření na velmi specifickou oblast hodnotím jako otížnější. Z pohledu vedoucího však bylo samotné zadání práce studentem splněno ve všech bodech a výsledná práce dosahuje vynikajících výsledků.

Práce s literaturou

Student čerpal ze zdrojů doporučených vedoucím práce, ale také z literatury získané vlastní aktivitou.

Aktivita během řešení, konzultace, komunikace

Student pracoval průběžně po dobu celého akademického roku. Při řešení práce byl aktivní. Své návrhy a přůběžné výsledky pravidelně konzultoval. Na konzultace byl vždy perfektně připravaný a dané oblasti při společné diskuzi velmi dobře rozuměl.

Aktivita při dokončování

Realizační výstupy práce vznikaly již od zimního semestru. Navazující části technické zprávy byly také průběžně konzultovány. Celá bakalářská práce byla dokončena v dostatečném předstihu a jak samotné implementační výsledky, tak obsah technické zprávy, byly před samotným odevzdáním v dostatečné míře konzultovány.

Publikační činnost, ocenění

Práce je velmi dobře prakticky uplatnitelná. Zapadá do výzkumných aktivit sdružení CESNET a bude dále rozvíjena v rámci řešeného projektu bezpečnostního výzkumu MV ČR. Samotná práce nebyla prozatím publikována. Dosažené výsledky však mají určitý publikační potenciál. Ve spolupráci se studentem lze proto uvažovat o možnosti rozšíření práce do podoby konferenční publikace.

Points proposed by supervisor: 100
Display more

Grade proposed by supervisor: A

Reviewer’s report
Ing. Lukáš Šišmiš

Tématicky aj samotným spracovaním sa jedná o vydarenú prácu, ktorá má zároveň praktické využitie. Výsledok práce výrazne zrýchluje detekčné mechanizmy pre automatizované odhalovanie útokov zameraných na distribuované odopretie prístupu. Z tohto a z uvedených dôvodov hodnotím prácu stupňom A (veľmi dobre).

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: obtížnější zadání

Prácu hodnotím ako mierne obtiažnejšiu, pretože práca si vyžaduje nielen pochopenie ale aj vylepšenie zložitejších konceptov detekčných mechanizmov útokov na odopretie služby.

Prezentační úroveň technické zprávy

Práca dobre popisuje potrebné koncepty ale zároveň by podľa môjho názoru bolo vhodnejšie rozdeliť prácu na teoretické kapitoly a kapitolu zhrňujúce optimalizácie.

85
Formální úprava technické zprávy

Celková úprava práce je vo veľmi dobrej kvalite.

92
Realizační výstup

Výstup práce je veľmi pozitívny a je značné, že práca pomohla zoptimalizovať uvedené detekčné mechanizmy pre DDoS. Študent sa podrobne zaoberal nielen optimalizáciou ale zároveň aj verifikáciou navrhovaných optimalizácii. Práca by mohla byť rozšírená vyhodnotením implementovaných optimalizácii z viacerých aspektov  a ukázať celkové úrychlenie na grafe. 

95
Využitelnost výsledků

Celkový prínos práce hodnotím veľmi pozitívne, práca umožňuje praktickejšie nasadenie uvedených detekčných mechanizmov. 

Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Rozsah technické zprávy

Evaluation level: je v obvyklém rozmezí

Práce s literaturou

Celková práca sa silne opiera o literárne zdroje a je zrejmé, že študent venoval značné úsilie štúdiu uvedených literárnych zdrojov. Citovanie literárnych zdrojov ale nie je konzistentné

90
Topics for thesis defence:
  1. Aká je priepustnosť detekčného mechanizmu po Vašej optimalizácii?
Points proposed by reviewer: 91
Display more

Grade proposed by reviewer: A