Automatický odhad parametrů pro mitigaci DDoS útoků

Abstract

Cílem této práce je poskytnout automaticky generovanou informaci potřebnou pro detekci, diagnostiku a případnou mitigaci DDoS útoků popisující normální provoz v dané počítačové síti. Výsledný síťový profil, extrahovaný z informací o síťových tocích, se skládá z efektivně zakódované množiny entit, které historicky komunikovaly s profilovanou sítí a očekávanými úrovněmi provozu procházející danou sítí. V první části práce je do širšího kontextu metod DDoS útoků a jejich mitigace zasazena mitigační metoda History-based IP filtering, která je základem navrženého subsystému agregujícího historii komunikace na síti. Další část práce se zabývá různými možnostmi ukládání historie síťové komunikace se zaměřením na paměťovou efektivitu. Na základě získaných informací jsou pro tento účel zvoleny Bloomovy filtry. V následující části je vyhodnocena přesnost několika modelů vhodných pro predikci očekávané úrovně provozu ve sledované síti. Na základě vyhodnocení je vybrán prediktivní model Prophet. Výsledný informační systém, detailně popsaný ve třetí části, se skládá ze dvou podsystémů, které poskytují obě složky informací o síťovém profilu: škálovatelnou implementaci metody History-based IP filtering užívající Bloomovi filtry jako jediné úložiště dat a prediktivní subsystém využívající model Prophet. Výsledky měření výkonnosti, popsané v poslední kapitole, ukazují, že implementovaný systém je vhodný i pro nasazení v sítích komunikujících s více než sto miliony odlišnými síťovými entitami, což výrazně převyšuje původní požadavky.

The aim of this thesis is to provide information in a fully automated manner describing the normal operation of a computer network needed for detection, diagnosis and possible mitigation of DDoS attacks. The resulting network profile, extracted from network flow information, consists of an efficiently encoded set of entities which historically communicated with the profiled network and expected levels of traffic flowing through the network. In the first part, History-based IP filtering, the basis of our historical information subsystem, is introduced and set into a broader context of DDoS attack and mitigation methods. The next part explores various storage options of network communication history with focus on space efficiency. Based on the obtained information, Bloom filters are chosen as the most suitable option. The focus is then shifted towards performance evaluation of forecasting models suitable for prediction of expected levels of traffic on the monitored network. The Prophet forecasting model is selected as the most suitable option due to its precision and robustness. The resulting information system, described in the third part, is composed of two main subsystems providing the two network profile information components: a novel and scalable implementation of History-based IP filtering using Bloom filters as the sole data storage and a forecasting subsystem using the Prophet model. The results of a performance measurement, described in the last chapter, show that the implemented system is suitable even for deployments on networks communicating with over a hundred million of distinct network entities which vastly exceeds requirements for its intended deployment.