Alert Fusion: A Combined Approach for DDoS Attack Detection

Abstract

Distribuerte tjenestenektangrep blir stadig større og mer avanserte i takt med teknologisk utvikling, og utgjør en trusel både for kunder og leverandører av internett-tilgang. Internetleverandører kan oppdage angrep ved å implementere innbruddsdeteksjonssystemer i nettverket sitt, men ettersom angrepene blir mer avanserte, bør også systemene bli det. En måte å gjøre dette på kan være å utnytte fordelene av samarbeid. Denne avhandlingen undersøker effekten av å bruke ulike metoder for avviksdeteksjon og kombinere resultatene deres. Undersøkelsen gjennomføres ved å følge en designprosess basert på forskningsmetoden "design science".

Et innbruddsdeteksjonssystem er implementert med 52 metoder og en varslingssammenslåingskomponent for å undersøke effekten av ulike deteksjonsmetoder og deres kombinasjon. Disse metodene bruker NetFlow data eller målinger fra rutergrensesnitt for å oppdage 11 forskjellige typer distribuerte tjenestenektangrep. Evalueringen av metodenes effektivitet baserer seg på trafikk data fra tre runder med genererte angrep i et reelt internetleverandør-nettverk. Mens enkelte metoder viser lovende resultater ved oppdagelse av angrep i spesifikke omstendigheter, viser de fleste metodene ingen tydelig effektivitet.

Ved å kombinere resultatene fra de individuelle deteksjonsmetodene, oppdager varslingssammenslåingskomponenten 10 av de 11 mulige angrepene. I tillegg oppsummeres og rangeres de kombinerte varslene basert på oppfattet faregrad. Effektiviteten av varslingssammenslåingen varierer avhengig av brukerens definisjon av farlige hendelser og kriteriene for en presis kombinasjon av varsler. Sammenslåingsmetoder basert på tid, angrepstype, IP-adresse og distribusjon av pakkestørrelser benyttes. Tidsbasert sammenslåing gir dårligst resultater, med bare en liten forbedring i nøyaktighet sammenlignet med innkommende varsler, avhengig av ulike parametere. Derimot viser sammenslåing basert på distribusjon av pakkestørrelser en betydelig reduksjon i antall varsler og forbedret nøyaktighet.

Konklusjonen av denne avhandlingen er at effektiviteten til ulike deteksjonsmetoder i stor grad påvirkes av mange faktorer, noe som begrenser muligheten for å si noe generelt om deres ytelse. Å kombinere disse metodene kan gi ytterligere fordeler, avhengig av parameterne som velges under implementeringen av de individuelle deteksjonsmetodene og brukerens definisjon av fordeler.

Distributed Denial of Service (DDoS) attacks are evolving in size and sophistication as technology progresses, posing significant threats to both Internet access customers and providers. Internet Service Providers (ISPs) can employ Intrusion Detection Systems (IDSs) to detect such attacks. However, as attacks become more sophisticated, IDSs must also evolve accordingly. One potential approach to enhance IDS capabilities is through collaborative methods. This thesis explores the effectiveness of utilizing different anomaly detection methods and combining them in an IDS. The exploration follows a design process based on the design science research method.

An IDS is implemented with 52 methods and an alert fusion component to investigate the impact of various detection methods and their combination. These methods utilize NetFlow records or router interface telemetry measurements to detect 11 different types of DDoS attacks. Evaluation of method effectiveness relies on ground truth data from three rounds of generated attacks within a real ISP network. While specific methods demonstrate promise in detecting DDoS attacks within specific environments, most methods do not exhibit clear effectiveness.

Through the combination of individual detection method outputs, the alert fusion component of the IDS successfully detects 10 out of the 11 possible attacks. Additionally, the combined alerts are summarized and ranked based on their perceived level of danger. The effectiveness of the alert fusion approach varies depending on the user's definition of dangerous events and their criteria for a precise combination of alerts. Fusion methods are employed based on time, attack type, IP address, and packet size distribution. Time-based fusion yields the poorest results among these fusion approaches, with only a slight improvement in precision compared to the incoming alerts, dependent on different parameters. In contrast, fusion based on packet size distribution exhibits a high alert reduction and improved precision.

In conclusion, this thesis reveals that the efficacy of various anomaly detection methods in detecting DDoS attacks is heavily influenced by multiple factors, limiting the ability to generalize about their performance. However, combining these methods can yield additional benefits, depending upon parameters chosen during the implementation of the individual detection methods and the user's definition of benefits.