Regisztráció és bejelentkezés

DDoS események elemzése és validálása mélytanulási eszközökkel

A mai kibervédelmi incidensek jelentős részét DDoS támadások teszik ki. Ezeknek a támadásoknak legfőbb jellemzője, hogy a támadók célja az adott szerver vagy szolgáltatás elérhetetlenné tétele, megbénítása. A támadások többségéért általában nem csupán egy-egy IP cím, hanem sok, úgynevezett botnet hálózat a felelős, a támadók ezzel a magatartással soksor súlyos anyagi kárt okoznak a felhasználóknak és az üzemeltetőknek egyaránt. Fontos, hogy nem csupán a nagyvolumenű hálózati forgalommal lehetséges túlterheléses támadást véghezvinni, gyakran megfigyelhetőek olyan támadások is, melyek valamely ismert hálózati protokoll hibáit, gyengeségeit próbálják meg kihasználni. Néhány, jól ismert támadás ellen hagyományos módszerekkel is lehetséges hatékony védelmet képezni, azonban idővel a támadók eszközei is fejlődnek. Egyre ügyesebben imitálják a normál felhasználók hálózati forgalmi karakterisztikáit, illetve gyakoriak a rövid felfutású, tranziens-szerű események is. Ezeket a megszokott, hagyományos hálózatbiztonsági megoldásokkal szinte lehetetlen detektálni. Emellett a probléma kiemelt nehézségűnek tekinthető azért is, mert hatalmas volumenű hálózati adatforgalomban kell felismernünk azokat, akik veszélyt jelenthetnek, valamint azért, mert a modelltől elvárt pontosság igen nagy, kritikus fontosságú, hogy a fals pozitív és fals negatív detekciós rátát a lehető legkisebbre csökkentsük. A munkám során azt vizsgáltam meg, hogy felügyelt és felügyelet nélküli mesterséges intelligencia modellek segítségével milyen hatékonysággal tudjuk ezeket az eseményeket feldolgozni, és helyesen detektálni. A vizsgálatok során egy ipari partner által rögzített, valós, aktuális és címkézett hálózati forgalmi adatokból dolgoztam. Természetesen nagyon fontos az, hogy minden mélytanulási feladat során megismerkedjünk a kapott adatbázissal, így a dolgozatomban egy feltáró adatelemzési szakaszban bemutatom, hogy hogyan is néz ki egy ilyen adatsor, hogyan oszlanak el a legfontosabb mért metrikák és a különböző hálózati forgalom típusok. Ezek után térek rá arra, hogy hogyan lehetne ezeket valamilyen alkalmazott mélytanulási eszközzel feldolgozni. A legtöbbet a random forest becslővel és a k-means klaszterezéssel dolgoztam, de más modelleket is segítségül hívtam. Ezen modellek rövid elméleti bemutatása után kifejtem és összehasonlítom, hogy milyen eredményeket sikerült ezek alkalmazásával elérnem. Arra is megpróbálok magyarázatot adni, hogy miért tapasztalhatunk ilyen teljesítménybeli különbséget a különböző modellek között. Következtetésként pedig bemutatom azt, hogy milyen módszerekkel és megoldásokkal lehetne egy ilyen rendszer pontosságán tovább javítani, valamint, hogy milyen egyéb kihívásokat rejt még ez a terület.

szerző

  • Kiss Péter
    Villamosmérnöki szak, alapképzés
    alapképzés (BA/BSc)

konzulens

  • Dr. Orosz Péter
    egyetemi docens, Távközlési és Médiainformatikai Tanszék

helyezés

III. helyezett
letöltés
1 954 kB