Makine öğrenmesi algoritmaları ile DDoS saldırı tespiti ve sınıflandırması

Abstract

DDoS saldırıları, kurum ve kuruluşları tehdit eden önemli siber saldırılardan biridir.Saldırı sonucu oluşabilecek zararı azaltmak için saldırının hızlı bir şekilde tespit edilipgerekli aksiyon alınarak engellenmesi gerekmektedir. Saldırının hızlı bir şekilde tespitive gerekli personelin saldırı konusunda bilgilendirilmesi için saldırı tespit sistemikullanılmaktadır. Bu çalışmada, makine öğrenmesi algoritmaları kullanılarak normaltrafik verisi, NTP DDoS trafik verisi, MSSQL DDoS trafik verisi, DNS DDoS trafikverisi, SNMP DDoS trafik verisi ve UDP DDoS trafik verisi türlerinin tespiti ve bu veritürlerinin sınıflandırması gerçekleştirilmiştir. Bunun yanı sıra makine öğrenmesialgoritmaları kullanılarak ile eğitilen modeller, model eğitim aşamasında kullanılmayanLDAP DDoS trafik verisi ile test edilmiş ve modellerin eğitim aşamasında görmediğisaldırı türünü sınıflandırma becerisi sınanmıştır. Modellerin eğitim ve test işlemlerindegüncel trafik verileri içeren CIC-DDoS2019 ve CSE-CIC-IDS2018 veri setlerindekiveriler kullanılmıştır. Her bir veri türünün tespiti için önemli öznitelikler bulunmuş vemodellerin eğitimi için kullanılmak üzere öznitelik seçimleri yapılmıştır. Çalışmadakullanılan sınıflandırıcıların çapraz doğrulama metodu ile testi gerçekleştirilmiştir.Modelleri eğitmek için Random Forest, Decision Tree, Gaussian Naive Bayes, ExtraTrees, AdaBoost ve Gradient Boosting algoritmaları kullanılmıştır. Eğitilen modellertestlerden geçirilmiş ve doğruluk, kesinlik, hatırlama ve F1 skor performans metrikleriyledeğerlendirilmiştir. Çalışmadaki testler sonucunda makine öğrenmesi algoritmalarınınDDoS saldırı tespiti ve sınıflandırmasında başarılı olduğu görülmüştür.

DDoS attacks are one of the important cyber attacks threatening institutions andorganizations. In order to reduce the damage that may occur as a result of the attack, theattack must be detected quickly and prevented by taking the necessary action. Intrusiondetection systems are used to quickly detect the attack and inform the necessary personnelabout the attack. In this study, using machine learning algorithms, normal traffic data,NTP DDoS traffic data, MSSQL DDoS traffic data, DNS DDoS traffic data, SNMPDDoS traffic data and UDP DDoS traffic data types were determined and classificationof these data types were performed. Besides, models trained with machine learningalgorithms were tested with LDAP DDoS traffic data that was not used in the modeltraining phase, and the ability to classify the type of attack that the models did not seeduring the training phase was tested. The data from the CIC-DDoS2019 and CSECICIDS2018 data sets, which contain up-to-date traffic data, were used in the trainingand testing of the models. Important features were found for determining each data typeand feature selections were made to be used for training models. The classifiers used inthe study were tested with the cross validation method. Random Forest, Decision Tree,Gaussian Naive Bayes, Extra Trees, AdaBoost and Gradient Boosting algorithms wereused to train the models. Trained models were tested and evaluated with accuracy,precision, recall and F1 score performance metrics. As a result of the tests in the study, itwas seen that machine learning algorithms were successful in DDoS attack detection andclassification.