Enhancing Detection of DDoS Botnet Attacks Against IOT Devices

Abstract

Distributed denial of service (DDoS) attacks are generally viewed as a huge threat to the web. A flooding DDoS strikes a victim machine by means of sending a vast amount of malicious traffic, which causes a significant drop in service quality (QoS) in IoT devices, a problem which the current network-level congestion control techniques are unequipped to handle Despite the fact that a few mechanisms have been suggested to defeat DDoS attacks, nonetheless, it is not quite easy to detect and tackle flooding DDoS attacks owing to the significant number of attacking machines, the usage of source-address spoofing, and the common areas between legitimate and malicious traffic. This thesis aims to improve the traffic classification algorithm of network traffic that hackers try to be ambiguous or misleading. A recorded simulated traffic was used for both samples; normal and DDoS attack traffic of about 104.000 packets for each, where both datasets -which were created for this study- represent the input data to create a classification model to be used as a tool to mitigate the risk of being attacked. To capture the traffic, t-shark software was used (Terminal-based Wireshark ©2020 Riverbed Technology) and results were stored in csv format. The next step is putting datasets in suitable format for classification. This process is done through python libraries Label Encoder and One Hot Encoder to convert categorical data into numeric data. A classification process is applied to capture datasets to create classification model by using five classification algorithms which are Decision Tree, Support Vector Machine, Naive Bayes, K-Neighbours and Random Forest. The core code used for classification is python code which is controlled by user interface. The highest prediction precision and accuracy are obtained using Decision Tree and Random Forest classification algorithm with the lowest processing time.

في وقتنا الحالي، تعتبر هجمات حجب الخدمة الموزعة (DDoS) تهديدًا على الشبكة العنكبوتية، حيث تتم مهاجمة آلة الضحيّة عن طريق إرسال كمية كبيرة من الرسائل الاحتيالية والتي تفوق قدرة جهاز الضحية، مما يتسبب في انخفاض كبير في جودة الخدمة (QoS) ، وهي مشكلة لم يتم التصدي لها بشكل كامل حتى الآن على الرغم من أنه تم اقتراح بعض الآليات للتغلب على هجمات DDoS ، إلا أنه ليس من السهل اكتشاف هجمات DDoS نظرًا للعدد الكبير من الأجهزة المهاجمة و انتحال عنوان آي بي المصدر بحيث يصعب التمييز بين طلبات الدخول الشرعية وطلبات الدخول المؤذية. في هذه الفرضية، تم استخدام محاكاة حركة مرور مسجلة لكل من حركة المرور العادية وحركة المرور المؤذية التي تبلغ حوالي 104.000 حزمة لكل عينة حيث تمثل كلتا مجموعتي البيانات بيانات الإدخال لإنشاء نموذج تصنيف، ولالتقاط حركة المرور، تم استخدام برنامج (تقنية Wireshark ) وتم تخزين النتائج. الخطوة التالية كانت وضع مجموعات البيانات في تنسيق مناسب للتصنيف، وتم إجراء هذه العملية من خلال مكتبات Python لتحويل البيانات النوعية إلى بيانات رقمية حيث يتم تطبيق عملية تصنيف مجموعات البيانات التي تم التقاطها لإنشاء نموذج تصنيف فعال ، بعد ذلك يتم تطوير تطبيق الخوارزميات المقترحة لاستخدام نموذج التصنيف للتنبؤ بحركة المرور باستخدام لغة Java. وبذلك، يتم الحصول على أعلى دقة تنبؤ باستخدام خوارزمية تصنيف شجرة القرارات والغابات العشوائية في أقل وقت معالجة.