Vyhledávání řetězců identifikujících DDoS pakety

Abstract

Zmierňovanie kybernetických útokov dnes zohráva kľúčovú úlohu v zabezpečovaní dát alebo systémov. Práca sa zaoberá riešením problému mitigácie DDoS útokov s cieľom vytvoriť algoritmus, pomocou ktorého by bolo možné odvodiť pravidlá na~rozlíšenie legitímnych paketov od DDoS paketov. Riešenie tohto problému môže výrazne prispieť na~zmiernenie dopadov útokov. V práci je navrhnutý algoritmus odvodzovania pravidiel, ktorý je založený na n-gramoch, pričom uvedené pravidlá sú zložené zo vzorov, ktoré sa môžu vyskytovať v paketoch DDoS útokov. Navrhovaná metóda vychádza z predpokladu existencie výrazného nepomeru medzi výskytom určitých n-gramov vo vzorke paketov DDoS útoku a legitímnej prevádzky. Algoritmus umožňuje dané n-gramy považovať za vzory a poskladať ich do pravidiel, ktoré charakterizujú pakety DDoS útoku. Výsledky testovania na paketoch z reálnej prevádzky Cesnetu a vzoriek DDoS útokov z Loic, Thors hammer a Hulk preukázali účinnosť navrhovanej metódy, pričom bolo možné odvodiť pravidlá aj z viacvektorových DDoS útokov, na základe čoho je možné považovať tento koncept za dostatočne funkčný. Navrhovaný algoritmus môže byť použitý pri riešení problému mitigácie DDoS útokov, keďže predstavuje ďalší dostupný zdroj pravidiel na rozpoznanie DDoS paketov.Mitigating cyber-attacks today plays a key role in securing data or systems. This work addresses the problem of mitigating DDoS attacks with the goal of developing an algorithm to derive rules to distinguish between legitimate packets and DDoS packets. Solving this problem can significantly contribute to mitigate the impact of attacks. This paper proposes a rule derivation algorithm that is based on n-grams, where the rules are composed of patterns that may occur in DDoS attack packets. The proposed method is based on the assumption of the existence of a significant disproportion between the occurrence of certain n-grams in a sample of DDoS attack packets and legitimate traffic. The algorithm allows the given n-grams to be considered as patterns and make them assembled into rules that characterize the DDoS attack packets. Testing results on packets from real Cesnet traffic and DDoS attack samples from Loic, Thors hammer, and Hulk demonstrated the effectiveness of the proposed method, and it was possible to derive rules from multi-vector DDoS attacks as well, based on which the approach can be considered sufficiently functional. The proposed algorithm can be used in solving the problem of DDoS attack mitigation as it represents another available source of rules to recognize DDoS packets from legitimate ones.