Použitie PCA metódy pre rozpoznávanie DDoS útokov

Abstract

The article is dealing with the PCA (Principal Component Analysis) usage to detect Distributed Denial of Service - DDoS in IP network.The PCA method allows to rotate N-dimensional space of monitored data and to identify the areas of similar data types on the basis of mahalanobis metrics. Using these areas it can identify new unknown data in the certain degree. In the article, we tried to explain the PCA method on the theoretical and practical side. Subsequently, we applied the method to detect IP flow from normal traffic to flooded DDoS attack. We dealt with an online attack detection method without previous machine learning, in which we have used a set of experiments to optimize adjusting method parameters.Príspevok sa zaoberá využitím Analýzy hlavných komponentov (PCA - Principal Component Analysis) na rozpoznávanie distribuovaných záplavových útokov (Distributed Denial of Service – DDOS) v IP sieti. Metóda PCA umožňuje otáčať N-rozmerný priestor sledovaných dát a na základe mahalanobisovej metriky určovať oblasti podobných typov dát. Pomocu týchto oblastí vie do istej miery rozpoznávať nové neznáme dáta. V článku sme sa snažili objasniť metódu PCA po teoretickej a praktickej stránke, následne sme metódu aplikovali na detekciu prechodu IP toku z bežnej prevádzky na záplavový DDoS útok. Zaoberali sme sa real-time spôsobom detekcie útoku bez predchádzajúceho strojového učenia, pri ktorom sme použili sadu experimentov pre optimálne nastavenie parametrov metódy.