Securing Software Defined Networking against DDoS Attacks
رسالة ماجستير - جامعة نايف العربية للعلوم الأمنية-كلية أمن الحاسب والمعلومات، قسم أمن المعلومات، تخصص أمن الشبكات،
70 ورقة : جداول، أشكال
Thesis
The main question of the study: Is it feasible to apply ML techniques and algorithms at the control layer of SDN for detecting network attacks?
Study sub-questions: 1- Which ML algorithms are more efficient for SDN regarding processing time, datasets size and the achievable accuracy? 2- How the efficiency of the ML algorithms could be affected by changes in different networks and different flaw features?
Main objective: This research is based on the benefits of ML techniques and the importance of using its efficiency in the cybersecurity fields. The main objective of this research is to use and implement ML algorithms in detecting attacks on SDNs.
Study Methodology and Tools: Network Intrusion Detection Systems (NIDSs) are used as a safeguard to protect a network from malicious activities. In General, NIDSs have two types, the first is the signature-based detection, which compares a new data to the knowledge base of known intrusions. This detection approach cannot detect new attacks. The second type is the Anomaly-based detection, which compares the new data with a model that represents the normal behavior and detects if anything is out of scope. This anomaly-based detection depends on using machine learning; thus, a zero-day attack could be detected. The anomaly-based detection methods are generally combined with flow-based traffic monitoring. Flow-based monitoring depends on information that exists in packet headers, hence, NIDSs with flow-based monitoring require a considerably lower amount of data in comparison with payload-based NIDSs. The Waikato Environment for Knowledge Analysis “WEKA” was used in this thesis to applied ML algorithms.
Results and Conclusions: DT, SVM, and KNN in classifying the instances of the dataset and in identifying the state of the flow as benign or malign. However, SVM needs considerably longer time for building the ML model using the cross-validation option.
Recommendations: Implementing integrated security systems that protect against distributed attacks to block DDoS attacks, which are mainly intended to disable access to the network of information systems. The necessity of conducting more future studies and research related to DDoS attacks on SDN networks integrating the IDS in the control layer of the SDN, Combination of more than one technique to reach much better results.
التساؤل الرئيس للدراسة: هل من الممكن تطبيق تقنيات وخوارزميات تعليم الاله في طبقة التحكم في التقنيات المعرفة برمجيا لاكتشاف هجمات الشبكة؟
ويتفرع من التساؤل الرئيس السؤال الفرعي التالي: - 1- ما هي خوارزميات تعلم الاله الأكثر كفاءة لـلتقنيات المعرفة برمجيا فيما يتعلق بوقت المعالجة وحجم مجموعات البيانات والدقة التي يمكن تحقيقها؟ 2- كيف يمكن أن تتأثر كفاءة خوارزميات تعلم الآلة بالتغيرات في الشبكات المختلفة؟
الهدف الرئيسي للدراسة: يعتمد هذا البحث على فوائد تقنيات التعلم الآلي وأهمية استخدام كفاءتها في مجالات الأمن السيبراني، الهدف الرئيسي من هذا البحث هو استخدام وتنفيذ خوارزميات تعلم الآلة في اكتشاف الهجمات على الشبكات المعرفة بالبرمجيات.
منهج الدراسة وأدواتها: تُستخدم أنظمة الكشف عن اختراق الشبكة كإجراء وقائي لحماية الشبكة من الأنشطة الضارة. بشكل عام ، تحتوي على نوعين ، الأول هو الكشف المستند إلى التوقيع ، والذي يقارن البيانات الجديدة بقاعدة المعرفة للتدخلات المعروفة. لا يمكن لنهج الكشف هذا اكتشاف الهجمات الجديدة. النوع الثاني هو الكشف المستند إلى الانحراف، والذي يقارن البيانات الجديدة بنموذج يمثل السلوك الطبيعي ويكتشف ما إذا كان أي شيء خارج النطاق. يعتمد هذا الاكتشاف المستند إلى الشذوذ على استخدام التعلم الآلي ؛ وبالتالي ، يمكن الكشف عن الهجوم قبل وقوعه. يتم الجمع بين طرق الكشف القائمة على الانحراف بشكل عام مع مراقبة حركة المرور القائمة على التدفق. تعتمد المراقبة القائمة على التدفق على المعلومات الموجودة في ترويسات الحزمة ، وبالتالي ، تتطلب انطمة الكشف ذات المراقبة القائمة على التدفق كمية أقل بكثير من البيانات مقارنةً بأنظمة الكشف القائمة على الحمولة. تم استخدام بيئة Waikato لتحليل المعرفة "WEKA" في هذه الرسالة في تطبيق خوارزميات تعلم الالة.
النتائج والاستشارات: شجرة القرار، آلة متجه الدعم وخوارزمية الجار الاقرب، خوارزميات نجحت في تصنيف مؤشر البيانات وتحديد حالة مؤشراتها مع ذلك ، يحتاج الة متجه الدعم إلى وقت اطول.
التوصيات: تشغيل أنظمة تشغيل أنظمة تشغيل أنظمة تشغيل أنظمة منع هجمات الحرمان من الخدمة. إعداد دراسات وطلبات وطلبات مستقبلية فيما يتعلق بالشبكات المعرفة برمجيا التي تدمج نظام الكشف في طبقة التحكم في الشبكات المعرفة برمجيا ، والجمع بين أكثر من تقنية للوصول إلى نتائج أفضل