Dissertação
Detecção de ataques DDoS em ambientes SDN/NFV utilizando algoritmos de aprendizagem de máquina não supervisionados em fluxos de dados
Registro en:
ALMEIDA NETO, João Ribeiro de. Detecção de ataques DDoS em ambientes SDN/NFV utilizando algoritmos de aprendizagem de máquina não supervisionados em fluxos de dados. 2021. 87 f. Dissertação (Mestrado em Ciência da Computação) - Universidade Federal de Sergipe, São Cristóvão, 2021.
Autor
Almeida Neto, João Ribeiro de
Institución
Resumen
According to data from the Cisco Visual Networking Index (VNI), which aims to make a realistic
forecast based on various levels and real data sources, it is estimated that the total number of DDoS
attacks on a global level will reach 14.5 million by 2022. For this reason, it is essential to protect
yourself from DDoS attacks. Thus, there is a need for new protection techniques to be developed.
In addition, solutions need to take into account performance and scalability requirements. In
addition, environments based on the SDN/NFV architecture allow network administrators to
detect and react to DDoS attacks more efficiently. This is because network control is centralized
and software-based traffic analysis capabilities can be developed. This dissertation analyzes
the efficiency and effectiveness of using unsupervised machine learning algorithms that work
with the data flow strategy in the detection of DDoS type attacks in SDN/NFV environments,
through a comparative analysis. First, a Systematic Literature Mapping was carried out, which
served as a basis for the realization of a first experiment. Then, a Systematic Literature Review
was carried out, and works that used unsupervised machine learning to detect DDoS attacks
and that worked with the data flow strategy were included, as this characteristic is inherent to
the environment. SDN/NFV. Thus, the chosen algorithms were: BIRCH, Mini-batch k-means,
Clustream, StreamKM++, DenStream, and D-Stream. After that, a platform was set up to run
the experiment, as well as a dataset was developed. After performing the tests, a qualitative and
quantitative analysis of the results was performed. The qualitative analysis aimed to compare
how effective the algorithms are in detecting DDoS attacks and the quantitative analysis aimed
to compare the efficiency, in this case, the processing speed of the algorithms in this detection.
The results obtained show that the algorithms BIRCH, Mini-batch k-means, Clustream, and
StreamKM++ obtained accuracy around 99%, while DenStream and D-Stream reached accuracy
around 79%. The shortest total execution time was for the D-Stream algorithm, while the longest
time was for StreamKM++. Because of this, the algorithms that stood out were D-Stream and
Mini-batch k-means, since that was the fastest algorithm, and this one obtained an accuracy
25.18% higher than D-Stream. Segundo dados do Cisco Visual Networking Index (VNI), que visa realizar uma previsão realista
baseada em vários níveis e fontes de dados reais, estima-se que o número total de ataques DDoS a
nível global chegue a 14,5 milhões até 2022. Por esse motivo, fica evidente que é imprescindível
se proteger de ataques do tipo DDoS. Dessa forma, há necessidade de que novas técnicas de
proteção sejam desenvolvidas. Além disso, é preciso que as soluções levem em consideração
os requisitos de desempenho e escalabilidade. Aliado a isso, ambientes baseados na arquitetura
SDN/NFV permitem que os administradores de rede detectem e reajam aos ataques DDoS
com mais eficiência. Isso porque o controle da rede é centralizado e é possível desenvolver
recursos de análise de tráfego baseados em software. Esta dissertação analisa a eficiência e
efetividade da utilização de algoritmos de aprendizagem de máquina não supervisionados que
trabalham com a estratégia de fluxo de dados na detecção de ataques do tipo DDoS em ambientes
SDN/NFV, por meio de uma análise comparativa. Primeiramente, foi realizado um Mapeamento
Sistemático da Literatura, o qual serviu de embasamento para a realização de um primeiro
experimento. Em seguida, foi realizada uma Revisão Sistemática da Literatura e foram incluídos
os trabalhos que utilizassem aprendizagem de máquina não supervisionada na detecção de
ataques DDoS e que trabalhassem com a estratégia de fluxo de dados, pois, essa característica
é inerente ao ambiente SDN/NFV. Dessa maneira, os algoritmos escolhidos foram: BIRCH,
Mini-batch k-means, Clustream, StreamKM++, DenStream e D-Stream. Após isso, foi montada
uma plataforma para a execução do experimento, assim como foi desenvolvido um dataset para
ser utilizado. Após a realização dos testes, foi realizada uma análise qualitativa e quantitativa
sobre os resultados. A análise qualitativa objetivou comparar o quão efetivo são os algoritmos
na detecção de ataques DDoS e a análise quantitativa visa comparar a eficiência, neste caso, a
velocidade de processamento dos algoritmos nessa detecção. Os resultados obtidos mostram os
algoritmos BIRCH, Mini-batch k-means, Clustream e StreamKM++ obtiveram acurácias em
torno de 99%, enquanto DenStream e D-Stream alcançaram acurárias em torno de 79%. O menor
tempo total de execução foi do algoritmo D-Stream, enquanto o maior tempo foi do StreamKM++.
Em vista disso, os algoritmos que se destacaram foram D-Stream e Mini-batch k-means, já que
aquele foi o algoritmo mais rápido e este obteve uma acurácia 25,18% maior que D-Stream. São Cristóvão