Метод виявлення DDOS атак на IOT мережі

МЕТОД ВИЯВЛЕННЯ DDOS АТАК НА IOT МЕРЕЖІ

METHOD OF DETECTING DDOS ATTACKS ON IOT NETWORKS

Сторінки: 184-191. Номер: №1, 2020 (281)
Автори:
А.О. НІЧЕПОРУК, А.А. НІЧЕПОРУК, О.В. ФЕГИР, А.Д. КАЗАНЦЕВ, Ю.О. НІЧЕПОРУК
Хмельницький національний університет
A.O. NICHEPORUK, A.A. NICHEPORUK, O.V. FEHYR, A.D. KAZANTSEV, Y.O. NICHEPORUK
Khmelnytskyi National University
DOI: https://www.doi.org/10.31891/2307-5732-2020-281-1-184-191
Рецензія/Peer review : 13. 01.2020 р.
Надрукована/Printed : 14.02.2020 р.

Анотація мовою оригіналу

В роботі представлено метод виявлення DDoS атак на IoT-мережі, що заснований на використанні логістичної регресії. Запропонований метод складається з двох етапів: offline та online. Головною метою offline етапу є створення моделі класифікатора, яка буде в подальшому використана в процесі виконання online етапу. Шляхом моніторингу мережевого трафіку в режимі реального часу етап online здійснює виявлення DDoS атак на основі використання сформованої на етапі offline моделі класифікатора. Процес виявлення передбачає розбиття спостережуваного періоду моніторингу трафіку на 10 відрізків та визначення на кожному з них проміжних результатів. Висновок про наявність DDoS атаки здійснюється на основі порівняння середнього значення серед всіх проміжних результатів класифікації з пороговим значенням виявлення. У випадку перевищення порогового значення робиться висновок про наявність DDoS атаки.
Ключові слова: DDoS атака, IoT, класифікатор, мережевий трафік.

Розширена анотація англійською мовою

The paper presents a method for detecting DDoS attacks on an IoT network based on the use of logistic regression. With limited computing power and available memory on IoT networks, the use of logistic regression is dictated by the low computational complexity and ease of implementation. The proposed method consists of two steps: offline and online. The main purpose of the offline stage is to create a classifier model that will be further used in the online stage execution process. The main purpose of the offline stage is that in during training the logistic classifier model, the entire training data set is split into two sets. The first dataset is labeled and will be used to train the logistic regression classifier. The second dataset is also labelled and used for validation. The training algorithm does not use validation dataset labels, instead they are used to test the predicted output of the classifier. By monitoring network traffic in real time, the online stage detects DDoS attacks based on the use of the offline classifier model. The detection process involves splitting the monitored monitoring period into 10 segments and identifying intermediate results on each of them. The conclusion that a DDoS attack is present is based on a comparison of the mean among all the intermediate classification results with the detection threshold. If the threshold is exceeded, it is concluded that a DDoS attack is present. According to the results of a study using the developed software, the highest efficiency of DDoS detection of TCP SYN attacks was achieved at the level of 91%. However, with the highest detection efficiency, the type 1 error rate was also the highest, at 10%. After carrying out 10 experiments, the average values of statistical indicators were determined, in particular the accuracy value was 89.9%, and the level of false positives was 9.6%.
Keywords: DDoS attack, IoT, classifier, network traffic.

References

1. Arbor NETSCOUT Arbor’s 13th Annual Worldwide Infrastructure Security Report. 23 January 2018. URL: https://pages.arbornetworks.com/rs/082-KNA-087/images/13th_Worldwide_Infrastructure_Security_ Report.pdf.
2. Elzen v. d. Techniques for detecting compromised IoT Devices / I. v. d. Elzen, J. v. Heugten // MSc System and network Engineering, University of Asterdam. – 2017. – Р. 1–26.
3. Zhang C. Communication security in internet of thing: preventive measure and avoid ddos attack over iot network / C. Zhang, R. Green // Proceedings of the 18th Symposium on Communications & Networking. Society for Computer Simulation International. – Alexandria Virginia, 2015. – Р. 8–15.
4. Nobakht M. A host-based intrusion detection and mitigation framework for smart home iot using openflow / M. Nobakht,    Sivaraman,  and  R.  Boreli // Proceedings of the 11th International Conference in Availability, Reliability and Security (ARES). – Salzburg, Austria, 2016. – Р. 147–156.
5. Jerkins J. A. Motivating a market  or  regulatory  solution  to  iot  in security  with  the  mirai  botnet  code / J.    Jerkins // Proceedings of the 7th Annual Computing and Communication Workshop and Conference (CCWC). – Las Vegas, NV, USA, 2017. – Р. 1–5.
6. Jun C. Design of complex event-processing idsin internet of things / C. Jun, C. Chi // Proceedings of the Sixth International Conference on Measuring Technology and Mechatronics Automation (ICMTMA). – Zhangjiajie, China, 2014. – Р. 226–
7. Xiang Y. Low-Rate DDoS Attacks Detection and Traceback by Using New Information Metrics / Y.Xiang, K. Li, W. Zhou // IEEE Transactions on Information Forensics and Security. – 2011– Vol. 6. – No. 2. – Р.426–437.
8. Du P. IP packet size entropy-based scheme for detection of DoS/DDoS attacks / P. Du, S. Abe // IEICE transactions on information and systems. – 2008. – Vol. 91. – Issue 5. – Р. 1274–1281.
9. Meidan Y. N-BaIoT—Network-Based Detection of IoT Botnet Attacks Using Deep Autoencoders / Y.Meidan, M. Bohadana, Y. Mathov et al. // IEEE Pervasive Computing. – 2018. – Vol. 17. – Issue 3. – Р. 12–22.