Detection of distributed denial-of-service attacks in encrypted network traffic

Abstract

Tausta: Hajautetut palvelunestohyökkäykset ovat jo kaksi vuosikymmentä vanhoja. Useita strategioita on kehitetty taistelemaan niiden kasvavaa määrää vastaan vuosien varrella. Sovelluskerroksen protokollien hyökkäykset yleistyvät, ja niitä on hankalampi havaita. Nykyiset havainnointimenetelmät analysoivat tietoliikenteen piirteitä. Paketin sisältö on salattua SSL/TLS liikenteessä, josta syystä sitä ei voida analysoida. Tavoitteet: Tutkielma tarkastelee salatun liikenteen palvelunestohyökkäysten havaintometodien nykyistä tilaa. Tutkielma esittelee myös klusterointiin perustuvan menetelmän ja aikaisemman tutkimuksen kanssa vertailtavissa olevia simulaatiotuloksia. Metodit: Kirjoittaja laati kevyen systemaattisen kirjallisuuskartoituksen etsien lähteitä tietotekniikan kirjallisuustietokannoista. Hän myös teki tutkimuksia klusterointimenetelmän (K-means++) kanssa käyttäen virtuaaliverkkoa. Tulokset: Kirjallisuuskartoitus löysi, että havainnointimenetelmät keskittyvät klusterointiin perustuviin ja tilastollisiin poikkeamienhavainnointimenetelmiin. Esitetty klusterointimenelmä havaitsi yksinkertaiset hyökkäykset lähes sadan prosentin tarkkuudella. Tietoaineiston laatu huomattiin tärkeäksi tulosten vertailun kannalta. Johtopäätökset: Kirjallisuuskartoitus havaitsi aukkoja tutkimuksessa verrattaessa sitä salaamattomien hyökkäysten havainnointiin. Näillä alueilla lisää tutkimusta tarvitaan.

Context: Distributed denial-of-service attacks have existed for two decades. Various strategies have been developed to combat the increasing volume of attacks over the years. Application layer attacks are becoming more common, and they are harder to detect. Current detection methods analyze traffic features. The packet payload is encrypted in an SSL/TLS traffic, and it cannot be analyzed. Objective: The thesis studies the current situation of detection of DDoS attacks in an SSL/TLS encrypted traffic. Also, the thesis presents a K-means++ clustering-based detection method and comparable simulation results with the previous literature. Methods: The author conducted a light systematic mapping study by searching common computer science literature libraries. The author ran experiments with the clustering-based method in a virtual network. Results: The mapping study found that the detection methods concentrate on clustering and statistical anomaly detection methods. In the experiments, denial-of-service attack simulations revealed that the K-means++ clustering detects trivial DDoS attacks with near 100% accuracy. Datasets were found to be an important part when comparing results. Conclusion: The mapping study revealed encrypted denial-of-service research study areas where more research is needed when compared to the non-encrypted counterpart.