Share
نظام الكشف التعاوني عن هجومات الفيضان الموزعة للحرمان من الخدمة والتعقب المستوحى من مجتمع العناكب الاجتماعية == Collaborative Detection System of DDoS Flooding Attacks and Tracing Inspired by Social Spiders Society
Author name:
عادل محمد سلمان القريشي
Supervisor name:
صفاء عبيس المعموري
General topic:
Computer Science
Specific topic:
Computer Science
Degree:
Doctorate
University:
University of Babylon - Information Technology Collage - Department Of Software
Language:
English
University location:
Babylon
First pages:
28T776 - p.pdf
Abstract:
لا تزال شبكة الانترنيت تعاني من المشاكل الامنية التي تهم بشكل رئيسي الاشخاص الذين يستخدمون اجهزتهم للاتصال بالانترنت، سواء كانوا افراد او مؤسسات كبيرة. الهجمات الموزعة للحرمان من الخدمة، لا تزال واحدة من اهم المواضيع التي يتم مناقشتها حاليا في تهديدات امن الشبكات للشركات التي تقدم الخدمات لعملائها. في هذه الاطروحة، تم اقتراح نظام الكشف التعاوني. واستند على مرحلتين : (1) مرحلة الكشف؛ (2) مرحلة التعقب. اعتمادا على الفكرة المستوحاة من مجتمع العناكب الاجتماعية، تم تصنيف اجهزة التوجيه الى نوعين، على النحو التالي : (1) جهاز التوجيه الذكر، الذي هو مرتبط مباشرة مع الخادم؛ (2) جهاز التوجيه الانثى، والذي هو كل جهاز توجيه غير مرتبط مباشرة مع الخادم. ويتميز النظام المقترح بانه حل قائم على جهاز التوجيه وعلى فحص التدفقات.يمكن تقسيم مرحلة الكشف الى اربع خطوات، على النحو التالي : (1) جمع البيانات؛ (2) معالجة البيانات واستخراج الميزات؛ (3) بناء نموذج التصنيف، باستخدام خوارزمية شجرة القرار عالية السرعة (VFDT) كخطوة للكشف المبكر، والتي سيتم استخدامها من قبل كل جهاز توجيه انثى في الشبكة؛ (4) كشف الشذوذ (الهجوم) باستخدام خوارزمية الغابات العشوائية (RF) للتصنيف، والتي سيتم تنفيذها في كل جهاز توجيه ذكر. الجمع بين هاتين الخوارزميتين سوف ينتج عنه خوارزمية تصنيف جديدة تسمى هوفدينغ الغابات العشوائية (HRF).تبدا مرحلة تتبع مصادر الهجوم عندما يتم العثور على بيانات الهجوم. جهاز التوجيه الذكر القريب من الخادم الضحية سوف يتتبع مصادر الهجوم بالاعتماد على قيمة الاهتزاز للتدفق، ثم رفع الانذار وارسال جميع المعلومات الى مسؤول الشبكة لاتخاذ الاجراءات اللازمة. وقد استلهمت قيمة الاهتزاز من مجتمع العناكب الاجتماعية، والذي هو قيمة تاثير جهاز التوجيه الانثى على كل تدفق يمر من خلاله.وقد تم استخدام برنامج محاكاة شبكة NS3 لتوليد بيانات الشبكة. ثم الحصول على النتائج واختبار النظام بواسطة برنامج مبرمج باستخدام لغة C++. وعلاوة على ذلك، طبقت عدة تجارب، وتم اعتماد تجربتين لاختبار النظام المقترح، الاول هو 90 ثانية، في حين ان الثانية هي 1200 ثانية. اجريت هذه التجارب لتوليد البيانات العادية وكذلك توليد بيانات هجوم الفيضان الموزع للحرمان من الخدمة للنوعين TCP وUDP. تم اختبار البيانات التي تم توليدها لاثبات ما اذا كانت مشابهة للبيانات الحقيقية عن طريق اختبار اثنين من الخصائص التي هي التباين العالي والتشابه الذاتي. وقد اظهرت النتائج ان البيانات التي تم توليدها لها نفس خصائص البيانات الحقيقية، وتمت الموافقة على نسبة حوالي 95٪.بالاضافة الى ذلك، لتقييم اداء خوارزمية هرف الجديدة، تم استخدام ثلاثة تدابير : (1) نسبة دقة التصنيف، والتي كانت 99.9983٪ و99.9990٪ على التوالي لكل من التجارب (90 ثانية و1200 ثانية). (2) معدل الكشف، والتي تبين 9.9996٪ و99.9997٪، على التوالي، لكلا التجربتين. و(3) نسبة الانذار كاذب، كان 0.016٪ و0.0088٪ على التوالي لكلا التجربتين. وكان متوسط وقت الكشف 21.71 و28.46 ثانية لكل من التجارب على التوالي.يستخدم النظام المقترح مبدا تقليل السمات المستخدمة في التصنيف، مما ادى الى انخفاض في حجم الذاكرة المستخدمة بنسبة 62.96٪ وانخفاض في مساحة القرص الثابت المستخدم بنسبة 51.75٪.واخيرا، في عملية البحث عن المفقودين، والوصول الى اقرب جهاز التوجيه الاناث الى مصدر الهجوم، حيث تم تحديد معظم هذه الموجهات، لكلا التجربتين، مع نسبة 100٪. | The Internet still suffers from security problems which are the main concern for those connected via their devices, whether they are individuals or institutions. The Distributed Denial of Service (DDoS) attacks are still one of the most significant current discussions regarding network security threats for companies providing services to their clients.In this dissertation, a collaborative detection system which proposed is based on two parts : (1) the Detection phase, and (2) the Tracing phase. Inspired by the social spider’s society, the routers were classified into two types : (1) Male router, which is near the server and directly connected with it; and (2) Female router, which is near the user and directly connected with it or between the user and the server. The proposed system is characterized as a router - based and flow - based solution.The detection phase can be divided into four steps : (1) data collection; (2) data preprocessing and extraction of features; (3) building the classification model, using a Very Fast Decision Tree (VFDT) algorithm as an early detection step, which will be used by each female router in the network; and (4) anomaly (attack) detection using the Random Forest (RF) algorithm for classification, which will be implemented in each male router. The combination of these two algorithms will generate a new classification algorithm called the Hoeffding Random Forest (HRF).The tracing phase will be started when the attack data is found. The male router near the victim server will trace the attack sources based on the value of the vibration of the flow, then raise the alarm and send all the information to the network administrator, to take an action. The vibration value has been inspired by the social spider’s society, which is the effect of the female router on each flow passing through it.NS3 network simulation software has been used to generate the network data. Then obtain the results and test the system by a software programmed by C++. Moreover, several experiments were applied, and two experiments were adopted to test the proposed system; the first is 90 seconds, while the second is 1200 seconds. These experiments were performed to generate normal data and DDoS flooding attack data for TCP and UDP types. The generated data has been tested to prove if it is similar to the real data by testing two critical characteristics : high - variability and self - similarity. The results show that the generated data has the same characteristics as the real data, and is approved with ratio approximately 95%.Additionally, to evaluate the performance of the new HRF algorithm, three measures have been used : (1) classification accuracy ratio, which was 99.9983% and 99.9990% respectively for both experiments (90 sec. and 1200 sec.); (2) detection rate, showing 9.9996% and 99.9997%, respectively, for both experiments; and (3) false alarm, was 0.016% and 0.0088% respectively for both experiments. The average of the detection time was 21.71 and 28.46 seconds for both experiments respectively.The proposed system uses the principle of reducing the features that used in the classification, which led to a reduction in the used memory size by 62.96% and a reduction in the used hard disk space by 51.75%.Finally, in the tracing process, accessing the nearest female router to the source of the attack, where most of these routers have been identified, for both experiments, with ratio 100%.
