Documentos de Académico
Documentos de Profesional
Documentos de Cultura
los puntos pueden agruparse en diferentes clústeres. Para las clasificaciones de IP no se utiliza en la fase de aprendizaje supervisado mediante RF. Idhammad et
futuras instancias de datos en una etapa posterior, se tienen en cuenta los métodos al. (2018) proponen un método semisupervisado en el que el coclustering inicial,
de aprendizaje supervisado para obtener los modelos entrenados. La técnica de la relación de ganancia de información y los análisis de entropía se utilizan para
clustering del aprendizaje automático no supervisado se utiliza para la reducir la cantidad de tráfico normal en un esfuerzo por mejorar la detección de
segmentación de los datos en puntos no etiquetados pero separables. Las DDoS mediante la eliminación del componente ruidoso de los datos. Los
instancias similares de los datos se agrupan en el mismo clúster, mientras que los clústeres formados con variaciones de entropía basadas en el tiempo
clústeres se separan mediante una métrica de disimilitud aplicada. En el modo proporcionan flujos de tráfico diferenciados. La parte posterior del aprendizaje
semisupervisado, los clusters se obtienen para etiquetar los datos en la fase supervisado se basa en el algoritmo extra-trees (ET) para detectar los ataques
posterior, de forma que sea posible la detección de futuras instancias. Los DDoS. Afirman que su análisis sobre el mecanismo de ventanas temporales
métodos semi-supervisados tienen diferentes tipos para procesar los datos para propuesto proporciona más precisión que la aplicación directa del algoritmo ET
el aprendizaje (Zhu, 2006), como el Modelo Generativo es para la identificación en algunos conjuntos de datos de referencia, así como otros dos enfoques
de muestras de datos para el etiquetado de una mezcla de distribución como la propuestos tomados del estudio de la literatura y aplicados en el conjunto de datos
gaussiana, Modelo basado en gráficos es para identificar los nodos para los datos de referencia NSL-KDD. Sin embargo, su análisis se limita al algoritmo ET en
etiquetados y no etiquetados, Auto-entrenamiento o Bootstrapping utiliza tanto la fase de aprendizaje supervisado. Kato y Klyuev (2014) analizan patrones de
los puntos de datos etiquetados y no etiquetados para aprender de las propias ataques DDoS para cada dirección IP. También utilizan otras características para
detecciones y mejorar el aprendizaje para las iteraciones posteriores. Por lo tanto, el cálculo de bps (bytes por segundo) en el análisis de patrones. Para la fase de
es un proceso iterativo de autoaprendizaje. Por último, el Co-training es un detección, utilizan el aprendizaje supervisado SVM. Posteriormente en Kato y
método de aprendizaje que utiliza un algoritmo multivista para la ordenación de Klyuev (2017), utilizan las plataformas Apache Spark y Hadoop para la
los puntos de datos en subconjuntos para entrenar con diferentes clasificadores. detección de intrusiones en tiempo real incluyendo métodos no supervisados y
Los tipos de enfoque de clustering (Xiang y Min, 2010) bajo el aprendizaje semi- supervisados. Boroujerdi y Ayat (2013) proponen un conjunto de clasificadores
supervisado incluyen el basado en restricciones para una dirección para asignar neurofuzzy adaptativos con una técnica de arranque llamada Marliboost.
clusters a los puntos de datos de acuerdo con la restricción de pares (must-link o Encuentran una buena precisión de detección utilizando el conjunto de datos
cannot-link). Si la restricción es must-link entre dos muestras, se les asigna el NSL-KDD.
mismo cluster. Si se trata de una restricción de no poder enlazar, las muestras se Como los conjuntos de datos de referencia están disponibles con clases
colocan en clusters diferentes. También tenemos el método basado en la etiquetadas, tenemos un enfoque más realista de generar tráfico sin clasificar,
distancia, que sólo sigue la restricción de pares para formar clusters basados en manteniendo las características más comunes a nivel de flujo bajo supervisión,
la métrica de la distancia. Las medidas de distancia se evalúan repetidamente proponiendo un método de votación para el etiquetado de 'k + 1' tipos de
para mejorar la agrupación. Por último, tenemos el método basado en la distancia tráfico de 'k' clusters, y aplicando tres algoritmos diferentes para la
y la restricción, que es la combinación de los dos métodos anteriores. clasificación de los ataques DDoS. Se observa que los enfoques no
En esta investigación, trabajamos con un conjunto de datos 'D' de 'm' filas supervisados y semisupervisados, en los que el primer paso es distinguir los
(instancias de datos) y 'n' columnas (características). El conjunto de datos se datos observándolos en un espacio separable, están menos disponibles en la
compone de flujos de red que transportan una mezcla de tráfico normal y DDoS. literatura que los enfoques supervisados que tienen conjuntos de datos
Nuestro objetivo es aplicar el aprendizaje automático semisupervisado de forma etiquetados. Esto complementa el hecho de que se dispone de conjuntos de
sistemática para poder identificar los ataques DDoS en el tráfico mixto. La datos de referencia con clases etiquetadas sobre los que se han presentado la
agrupación se basa en la distancia y se utiliza la métrica más común de la mayoría de las contribuciones de la comunidad investigadora. Utilizando
distancia euclidiana (Davies y Bouldin, 1979) dada en la ecuación (1). Aquí datos de naturaleza no supervisada inicialmente en nuestro esquema
"d(a,b)" es la distancia euclidiana (línea recta) entre "a" y "b", donde (a 1,a 2) y propuesto, las altas probabilidades inherentes de la tasa de falsos positivos se
(b 1,b 2) son los puntos en un espacio bidimensional. reducen aplicando diferentes formas de agrupación y observando después el
resultado dominante mediante un método de votación.
d að ; bÞ ¼
3. El esquema propuesto
qffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffi
ffiffiffiffiða1 b Þ12 2 ð1Þ2 2 3.1. Agrupación aglomerativa
Gu et al. (2017) proponen múltiples características basadas en la restricción Comenzamos aplicando el clustering aglomerativo (AC) en 'D'. El AC es
de Kmeans (MF-CKM) para la detección de ataques DDoS. Su método produce una variante del clustering jerárquico (Kaufman y Rousseeuw, 2009) que
el vector de características para detectar ataques. Las características básicas forma los clusters de datos considerando cada punto como un cluster en sí
utilizadas para obtener el vector incluyen las IP de origen y de destino mismo al principio (el enfoque ascendente). Así que inicialmente tenemos 'm'
(características a nivel de paquete). Sin embargo, las IP de origen suelen ser clusters en el espacio de datos. En el siguiente paso, los dos clústeres más
falsificadas, por lo que el vector de características puede verse afectado en su cercanos se unen para formar un clúster. Así que ahora tenemos 'm1' clusters.
rendimiento. Además, necesitan inicialmente algunos datos etiquetados para El proceso continúa hasta que tenemos un gran cluster que cubre todos los
guiar su técnica no supervisada para agrupar los datos no etiquetados. Soheily- puntos de datos. La importancia de AC radica en la memoria que se construye
Khah et al. (2018) proponen una técnica híbrida que utiliza la combinación de K- durante todo el proceso. Así que al final, tenemos un dendrograma para
means y bosque aleatorio (kM-RF) para clasificar la detección de intrusiones en observar el proceso y encontrar un número óptimo de clusters posibles a partir
sistemas de red. Su análisis se realiza sobre el conjunto de datos de referencia del conjunto de datos. Utilizamos la métrica de la distancia euclidiana para
ISCX. El trabajo contiene una parte importante de limpieza de datos en la que un encontrar los clusters más cercanos durante este proceso. La distancia
número de instancias normales calculadas se eliminan inicialmente utilizando la euclidiana es la distancia en línea recta entre dos puntos.
agrupación de K-means como una representación de control de la cantidad de big
data para la minería y el análisis. Para la fase de detección, utilizan el aprendizaje 3.2. Análisis de componentes principales con clustering K-Means
supervisado RF (Random Forest). Sus precisiones y detecciones no se hacen
sobre todo el conjunto de datos para la imagen colectiva, sino que los flujos se El análisis de componentes principales (PCA) (Jolliffe, 2011) es el
clasifican sobre la base de los protocolos de la capa de aplicación (HTTP, DNS algoritmo que reduce las dimensiones (espacio de características) de un
y SSH, etc.). Mediante un análisis experimental, afirman que kM-RF es mejor en conjunto de datos de 'n' a 'p', donde p < n. No reduce las características exactas,
precisión y detección que los algoritmos tradicionales de aprendizaje automático sino que reduce las dimensiones mediante la extracción de características. El
(Naïve Bayes, Red Neural y Árbol de Decisión, etc.). Cada flujo en su algoritmo realiza la extracción para mantener la mayor varianza de los valores
experimento está representado por 50 características. Sin embargo, la dirección de las características. Obtiene los vectores propios y los valores propios de la
M. Misbahuddin, Syed Mustafa Ali Zaidi / Journal of King Saud University - Computer and Information Sciences 33 (2021) 436-446 439
matriz de covarianza para elegir "p" vectores propios correspondientes a los sistemas de protección contra DDoS, como la inspección profunda de
"p" mayores valores propios, donde "p" es el número de dimensiones en el paquetes o el análisis de flujos. Por lo tanto, se demuestra que somos capaces
nuevo espacio de características. Como el PCA no necesita clases etiquetadas de asignar "k + 1" etiquetas a los datos de "k" clusters utilizando este método
para la extracción de características, es bastante aplicable a los datos no de votación. El Algoritmo 1 especifica este enfoque de votación.
supervisados. Otro método, llamado K-means clustering, es uno de los más
comunes para formar clusters observando la distancia de los puntos de datos Algoritmo 1: Método de votación para etiquetar clases
desde los centroides inicialmente seleccionados. A lo largo de este proceso,
los centroides se actualizan con la reubicación de los nuevos centros a medida Para cada punto de datos: Hacer
que los clusters son remodelados por el algoritmo. En nuestro trabajo, la Observe los segmentos en los que cada algoritmo de agrupación coloca los
agrupación de K-means se aplica a los componentes principales obtenidos puntos de datos:
mediante PCA. La distancia utilizada en los cálculos es la distancia euclidiana Si todos los segmentos son iguales:
dada en la ecuación (1). Elegimos un método de clustering diferente del AC Asignar la clase correspondiente al punto de datos (Normal O
que aplicamos inicialmente sobre 'D' para aportar diversidad e imparcialidad DDoS)
en el análisis, de modo que las variaciones en los resultados del clustering Otra cosa:
puedan ser observadas y registradas para los siguientes pasos. Otra razón para Asignar la clase recién introducida al punto de datos
aplicar un clustering diferente es el coste computacional. La complejidad (Sospechoso) Acabado
computacional (análisis del peor caso) de AC es O(m 2), que es un complejo
de segundo grado, independientemente del número de clusters. Aquí "m"
representa el número de puntos de datos (Koga et al., 2007). Por otro lado, la
complejidad de K-means es O (mnk) que es lineal en 'm' ya que m >> n & k
en nuestro caso. Aquí "m" es el número de instancias, "n" es el número de
3.4. Clasificación de los ataques
dimensiones (características) y "k" es el número de clusters (Xu y Wunsch,
2005). La baja complejidad de la agrupación de K-means es, por tanto,
Tras la asignación de etiquetas a los puntos de datos, se aplican métodos de
razonable para utilizarla con PCA, que ya conlleva su propia complejidad de
aprendizaje supervisado para entrenar los modelos y detectar las clases de las
O(m 3 + m 2n). Contiene los componentes del cálculo de la matriz de
instancias desconocidas. En este análisis, utilizamos los algoritmos k-Nearest
covarianza (O(m n2)) así como la descomposición de valores propios (O(m
3 Neighbors (kNN), Support Vector Machine (SVM) y Random Forest (RF). El
)). Aquí "m" es el número de puntos de datos y "n" es el número de
dimensiones del conjunto de datos original (Du y Fowler, 2008). modelo kNN detecta la clase de un punto de datos desconocido midiendo su
distancia a los puntos existentes (entrenados) (Larose y Larose, 2014). La
La métrica llamada Suma de Cuadrados dentro del Clúster (WCSS) puede
mayoría de los puntos más cercanos de la misma clase entre los puntos más
utilizarse para encontrar el número óptimo de clústeres posibles utilizando K-
cercanos es el factor decisivo para saber a qué clase pertenece el punto de datos.
means. Sin embargo, como ya tenemos el número de clústeres para nuestra
La métrica de distancia utilizada en nuestro caso es la distancia euclidiana
área de problemas (es decir, 2 clústeres), podemos utilizar alternativamente la
mencionada en la ecuación (1). El modelo SVM detecta la clase de una nueva
misma medida para encontrar la extensión de la métrica de disimilitud
instancia de datos creando hiperplanos óptimos para cada característica del
(distancia en este caso) cubierta con el aumento del número de clústeres
conjunto de datos durante el entrenamiento. Separa cada dimensión de los datos
utilizando la Ec. (2), donde 'dist' es la métrica de distancia, la suma de
de tal manera que el margen de los puntos más cercanos a través de los
cuadrados se toma para cada punto ith en el clúster, y todos los clústeres de 1
hiperplanos se maximiza. El truco del kernel puede utilizarse para la
a 'j' se toman en consideración.
optimización en los modelos SVM, en los que la función de base radial (RBF) se
utiliza habitualmente para obtener las clasificaciones en conjuntos de datos no
WCSS ¼ X distðP i; C Þ12 þ þ X distðP i; C Þj ð2Þ2 lineales. La SVM es popular para manejar datos complejos y de alta dimensión.
ii Sin embargo, sigue siendo sensible al ruido y al sobreajuste (Suthaharan, 2016).
El modelo RF se basa en los votos de clasificación de los árboles de decisión
individuales que trabajan detrás del algoritmo. Los resultados de los árboles de
3.3. Método de votación decisión se procesan a través de un método de conjunto específicamente
configurado, como el bagging o el boosting. En la configuración del modelo RF
El método de votación se introduce para tratar los resultados de la en este trabajo, utilizamos el enfoque de árboles en bolsa que es esencialmente
agrupación que parecen ser opuestos cuando utilizamos diferentes algoritmos un método en el que un árbol de decisión clasifica los datos independientemente
de agrupación. Por ejemplo, una instancia de datos puede ser agrupada como de otros árboles (Breiman, 2001). Al final, el resultado es compilado por el
flujo normal por un algoritmo y como DDoS por el otro. Por lo tanto, algoritmo RF con el voto mayoritario. La Fig. 2 muestra el diagrama de flujo del
argumentamos que puede haber diferentes enfoques de la estrategia de esquema de aprendizaje automático semisupervisado propuesto para la
votación para tratarla, de manera que (1) la clase final debe ser la que, si clasificación de ataques DDoS.
existe, es agrupada en el mismo segmento por todos los algoritmos. Si al
menos un algoritmo produce un resultado diferente (o se puede establecer un
4. Análisis y resultados experimentales
umbral para el número de algoritmos diferentes), la instancia de datos puede
marcarse como una clase adicional, o (2) la clase final debe ser la que, si
existe, es agrupada en un segmento por la mayoría de los algoritmos. Si hay
más de un valor mayoritario, la instancia de datos puede marcarse como una
clase adicional.
Los dos criterios mencionados se aplican cuando elegimos k = 2 como
número de clusters. Como utilizamos tanto AC como K-means con PCA,
tenemos dos resultados de dos tipos diferentes de enfoques de agrupación. Si
ambos enfoques colocan una instancia de datos en el mismo segmento, es
decir, normal o DDoS, marcamos la clase apropiada para ese punto de datos.
Sin embargo, si uno de los algoritmos coloca un punto de datos en un
segmento mientras que el otro lo coloca en el opuesto, introducimos una clase
adicional, etiquetada como "Sospechoso", con el argumento de que ese tipo
de flujos de tráfico puede ser objeto de un análisis posterior por parte de los
440 M. Misbahuddin, Syed Mustafa Ali Zaidi / Journal of King Saud University - Computer and Information Sciences 33 (2021) 436-446
4.1. Simulación y agrupación registros para formar el conjunto de datos. Para imitar el tráfico de red del mundo
real, una parte significativa de los flujos normales en el tráfico simulado toma
El conjunto de datos utilizado en esta investigación se obtiene con el tráfico alrededor del 60-70% de utilización del servidor web con el protocolo de capa de
de red generado en el simulador OPNET Modeler 14.5 (SteelCentral Riverbed transporte subyacente de TCP. La distribución del tráfico también es Poisson
Modeler, xxxx) (ahora llamado ''Riverbed Modeler") utilizando la configuración para reflejar el escenario del mundo real de aleatoriedad en el tráfico. Sin
de simulación que se indica en la Fig. 3. La "botnet" se incluye para generar embargo, este escenario simulado puede analizarse más a fondo con tráfico
tráfico DDoS, sin lo cual tenemos el escenario normal con un servidor web, 10 diversificado, como el uso del protocolo UDP para aplicaciones sensibles al
usuarios locales en una red de área local (LAN) y 15 usuarios públicos que retraso. El conjunto de datos se convierte en un estado normalizado, donde el
acceden al servidor. Sin embargo, una vez que añadimos la red de bots de 125 propósito de la normalización es poner los valores dispersos de las diferentes
nodos remotamente comprometidos (100 usuarios en una LAN remota y 25 características en la misma escala para representarlos de manera justa en los
cálculos realizados por los algoritmos de aprendizaje automático bajo el capó.
Fig. 2. Diagrama de flujo del aprendizaje automático semisupervisado para la clasificación de ataques DDoS.
Retraso de procesamiento: El retraso del procesamiento de los paquetes de red relacionadas con los paquetes individuales, como el direccionamiento IP, el
estado de la bandera TCP y la longitud de la carga útil, etc. Aunque casi todos
en el servidor web en segundos.
los conjuntos de datos de referencia incluyen ambos tipos de características y
Utilización: El porcentaje de utilización (carga actual a la carga máxima las clasificaciones se realizan teniendo en cuenta ambos tipos de
características, se ha identificado que las características a nivel de flujo son
que puede soportar la CPU) de la CPU del servidor web en el momento
mejores clasificadores y conjuntos de datos más pequeños que consisten sólo
en que se registró el evento. en características a nivel de flujo pueden detectar eficazmente los ataques
Fig. 4. Tráfico recibido por el servidor web (víctima) en escenarios normales y de ataque.
Fig. 5. Utilización de la CPU del servidor web (víctima) en escenarios normales y de ataque.
Aquí argumentamos que incluso con un conjunto de características tan DDoS (Kirubavathi y Anitha, 2016; Gao et al., 2016). Según el estudio
pequeño, podemos clasificar eficazmente los ataques DDoS con un flujo realizado en Jonker et al. (2017) para los últimos años, los servidores web son
estratégico de agrupación, etiquetado y aprendizaje supervisado, siempre que los objetivos más comunes de los ataques DDoS. Además, en la defensa del
el conjunto de características relevante se elija cuidadosamente para priorizar extremo de la víctima, el tráfico legítimo y el de ataque pueden distinguirse
las características a nivel de flujo sobre las características a nivel de paquete más claramente en comparación con las defensas del extremo de la fuente y
(Miller y Busby-Earle, 2016). Las características a nivel de flujo cubren las del núcleo (Beitollahi y Deconinck, 2012). Por lo tanto, los escenarios
estadísticas de flujo, como las características de retardo, tasa y utilización. Por aplicados son bastante relevantes para observar la presencia de ataques DDoS.
otro lado, las características a nivel de paquete se ocupan de las características
442 M. Misbahuddin, Syed Mustafa Ali Zaidi / Journal of King Saud University - Computer and Information Sciences 33 (2021) 436-446
línea que corta el brazo vertical más largo del dendrograma, ya que corta dos
líneas verticales (una de las técnicas utilizadas en la interpretación del
dendrograma (Data Mining, xxxx). De forma similar, con Kmeans sobre PCA,
obtenemos clusters bidimensionales en los que el análisis WCSS utilizando la
Ec. (2) revela que casi el 80% de la disimilitud se cubre simplemente con dos
Cuadro 2
clusters, como se muestra en la Fig. 7. Las clases se asignan inicialmente teniendo
Puntos de datos agrupados antes y después de la
en cuenta el hecho de que el tráfico normal tiene comparativamente menos votación.
entropía (desorden) en la distribución del tráfico, lo que debe reflejarse en las StatusClassesPuntos de datos agrupados
características del conjunto de datos. En otras palabras, los ataques DDoS
introducen más perturbaciones en el flujo de la red que el tráfico normal, ya que
los zombis envían un gran número de paquetes aleatorios hacia la víctima. Por lo
tanto, calculamos la entropía de cada característica dentro de un cluster, y el Aglomerativo
cluster con más entropía acumulada se etiqueta como DDoS. La ecuación (3)
representa la entropía 'H(d)', donde 'p i' es la probabilidad del componente de Antes de votarNormal455
información en el vector 'd' y 'N' es el número total de valores de información DDoS545530
que contiene el vector 'd'. Los valores de entropía de los clusters DDoS y Después de votarNormal455
normales, observados en ambas formas de algoritmos de clustering, se DDoS470
proporcionan en la Tabla 1. Sospechoso75
H dð Þ ¼ X p ilog 2p ð3Þi
i¼1 AC y K-means sobre algoritmos PCA respectivamente. Después de aplicar el
método de votación, obtenemos las etiquetas finales, es decir, 470 casos de
El método de votación descrito en el Algoritmo 1 se aplica para obtener el DDoS, 455 normales y 75 sospechosos. Esto se muestra en la Tabla 2.
conjunto de datos etiquetados con 3 clases. Por lo tanto, introducimos otra clase Con los algoritmos kNN, SVM y RF, inicialmente ejecutamos los modelos
llamada "Sospechoso" para etiquetar los puntos de datos que se colocan en con la configuración por defecto de la biblioteca scikit-learn, y luego con
clusters opuestos durante el aprendizaje no supervisado. Con los resultados de la configuraciones optimizadas dentro de conjuntos de valores dados. En este
agrupación, obtenemos 545 y 530 instancias de datos agrupadas como DDoS por trabajo, se utilizan más de un modelo de clasificación para demostrar que las
etiquetas asignadas contienen información valiosa y esto puede utilizarse para
crear los modelos basados en diferentes algoritmos para la clasificación de los
ataques DDoS. Los parámetros optimizados dentro de los conjuntos de valores
dados se obtienen con el método Elbow para kNN y la función GridSearchCV
de scikit-learn para los modelos SVM y RF respectivamente. Se observa que
los modelos proporcionan precisiones competitivas, donde el modelo RF
clasifica con mayor precisión y con mejor rendimiento. La división de los
datos entre entrenamiento y prueba se divide con un porcentaje de 70-30. El
conjunto de datos de prueba contiene 300 instancias (143 DDoS, 137
normales y 20 sospechosas).
M. Misbahuddin, Syed Mustafa Ali Zaidi / Journal of King Saud University - Computer and Information Sciences 33 (2021) 436-446 443
Algoritmo 2: Código Python del método del codo para encontrar el valor k Modelo SVM
óptimo en el modelo kNN
Cuadro 3
Resultados de la clasificación (por defecto).
ModeloComponente decisivoParámetros por Precisión por defecto Precisión media Número de detecciones
defecto incorrectas
Distancia kNNEuclidianak =5 91.66% 92% 25
Tabla 4
Resultados de la clasificación (optimizados).
Parámetros optimizados por el modelo Precisión optimizada Precisión media de la validación cruzada Precisión media Número de detecciones
incorrectas
kNNk = 11 95.00% 94.70% 96% 15
Algoritmo 4: Código Python para encontrar el número óptimo de árboles de Fig. 9. Análisis del área bajo la curva de los modelos de clasificación optimizados.
decisión en el modelo RF
kNN, SVM y RF han aprendido efectivamente de los datos y, por lo tanto, los Fig. 10. Dendrograma del subconjunto CICIDS2017.
valores del área bajo la curva bajo el rendimiento óptimo están cerca de las
precisiones calculadas obtenidas de las matrices de confusión en Python. El
modelo RF clasifica los datos con mayor precisión que kNN y SVM.
1
Los experimentos se llevan a cabo en Intel CoreTM i7, 7500U CPU @2.70 GHz con 4 núcleos
y 8GB de almacenamiento primario (RAM).
2
Dendrograma para AC, y WCSS para K-means.
446 M. Misbahuddin, Syed Mustafa Ali Zaidi / Journal of King Saud University - Computer and Information Sciences 33 (2021) 436-446
y el 84,85% para las etiquetas DDoS. La puntuación de precisión global parece En este trabajo, aplicamos un enfoque de aprendizaje automático
ser del 82,10%, como se muestra en la Tabla 6. Se observa que el esquema semisupervisado para clasificar los ataques DDoS. Comienza con estadísticas de
propuesto es prometedor ya que obtenemos más del 82% en la precisión del tráfico no etiquetadas obtenidas frente a tres características para la defensa del
etiquetado. Puede mejorarse y perfeccionarse aún más introduciendo métodos extremo de la víctima, es decir, el servidor web. Las características incluyen la
adicionales de aprendizaje no supervisado, como los mapas autoorganizados tasa de tráfico, el retraso de procesamiento y la utilización de la CPU. Los datos
(SOM). Sin embargo, los elementos de computación neural no se consideran en no etiquetados se agrupan mediante dos algoritmos de agrupación diferentes y un
este trabajo y lo dejamos para futuras investigaciones. También para la método de votación decide el etiquetado final de los flujos de tráfico. Las
clasificación, podemos entrenar modelos basados en redes neuronales como el instancias que caen en clústeres opuestos se etiquetan con una clase adicional
perceptrón multicapa. llamada "sospechosa". Los algoritmos de aprendizaje supervisado de kNN, SVM
y RF se aplican a los datos etiquetados para clasificar los ataques DDoS. Los
4.4. Comparación con enfoques de trabajos relacionados resultados experimentales del 95%, 92% y 96,66% de precisión se obtienen con
los modelos kNN, SVM y RF, respectivamente, bajo ajustes optimizados de los
En la Tabla 7, se ofrece una comparación del enfoque de este trabajo con parámetros dentro de los conjuntos de valores dados. El esquema también se
otros trabajos relacionados mencionados en la Sección 2. Se observa que la valida para la precisión de las asignaciones de etiquetas utilizando un
precisión media de detección de este trabajo es competitiva con respecto a otros subconjunto representativo del conjunto de datos de referencia CICIDS2017 con
enfoques. Además de esto, nuestro trabajo ofrece más diversidad al tener nuevos vectores de ataque. Parece prometedor ya que obtenemos más de un 82%
múltiples algoritmos de clasificación y múltiples agrupaciones para los datos no de precisión en las etiquetas. En el futuro, planeamos buscar métodos mejorados
etiquetados para reducir los falsos positivos. Por lo tanto, el análisis de los datos de votación para el etiquetado de datos e incluir más algoritmos de aprendizaje
a través del método de votación propuesto después de múltiples capas de automático durante la agrupación y la clasificación.
agrupación aporta una confianza para que una instancia de datos en particular
esté en una determinada clase. Si diferentes algoritmos de clustering votan un Declaración de interés
punto de datos para la misma clase, puede inducir un elemento de confianza y
reducir el problema inherente de falsos positivos de usar un solo método de Ninguna.
clustering (el enfoque distinguido adoptado en este trabajo). Por otro lado, si
diferentes algoritmos de clustering no se ponen de acuerdo para colocar una
instancia de datos en la misma clase, hay un elemento de incertidumbre que lleva
la instancia de datos a una categoría sospechosa.
Cuadro 7
Comparación con los enfoques de investigación de trabajos relacionados.
Investigar Análisis del tráfico Análisis de clasificación Detección media Puntos fuertes Limitaciones
Precisión (%)
Soheily-Khah et K-means kM-RF, Naïve Bayes, red 99,97 (kM-RF) Simplicidad, Múltiples Clasificación basada únicamente
al. (2018) neuronal, árbol de decisión, algoritmos de clasificación en los protocolos de la capa de
1NN, SVM, RF aplicación
Idhammad et al. Variaciones de la entropía de la Árboles adicionales 99.88 Variaciones de entropía, filtrado Análisis complejo de datos no
(2018) ventana deslizante basadas en el de ruido etiquetados, Algoritmo de
tiempo clasificación único
Esta obra Agrupación múltiple (AC, kNN, SVM, RF 96,66 (RF) Enfoque diversificado, Bajo número de características
Kmeans sobre PCA) algoritmos de clasificación (sin embargo, el esquema de
múltiples y agrupación múltiple etiquetado se valida con un
para reducir los falsos positivos, subconjunto del reciente
método de votación para el conjunto de datos de referencia
etiquetado final CICIDS2017 que tiene un alto
número de características
originalmente y muestra buenos
resultados de etiquetado)
Kato y Klyuev K-means OCSVM 94.3 Sistema de detección de Problemas de eficacia y
(2017) intrusos en tiempo real detección de datos no vistos,
compatible con plataformas de Alta tasa de falsos positivos
big data, escalabilidad
Boroujerdi y ANFIS Árbol aleatorio, J48, Naïve 96,38 (Marliboost) Algoritmos de clasificación Bajo número de características,
Ayat (2013) Bayes, SVM, RF, árbol NB, múltiple, método de detección Análisis complejo
MLP, conjunto propuesto con conjunto
boosting (Marliboost)
Referencias Jonker, M., King, A., Krupp, J., Rossow, C., Sperotto, A., Dainotti, A., 2017. ''Millones de
objetivos atacados: una caracterización macroscópica del ecosistema DoS".
Actas de la Conferencia de Medición de Internet 2017, pp. 100-113.
Aamir, M., Zaidi, M.A., 2013. Un estudio sobre los ataques DDoS y las estrategias de defensa: de
Kato, K., Klyuev, V., 2014. Un sistema inteligente de detección de ataques DDoS mediante
paquetes
esquemas tradicionales a las técnicas actuales. Interdisciplinary Inf. Sci. 19 (2), 173- análisis y Support Vector Machine. Int. J. Intell. Comput. Res. IJICR 14 (5), 3. 200.
Kato, K., Klyuev, V., 2017. ''Desarrollo de un sistema de detección de intrusiones en la red''.
Aamir, M., Zaidi, S.M.A., 2015. Denegación de servicio en contenidos centrados (datos con nombre) usando Apache Hadoop y Spark", en Dependable and Secure Computing. IEEE
M. Misbahuddin, Syed Mustafa Ali Zaidi / Journal of King Saud University - Computer and Information Sciences 33 (2021) 436-446 447
redes: un tutorial y un estudio del estado del arte. Seguridad Comun. Redes
Conferencia sobre 2017, 416-423.
8 (11), 2037–2059.
Kaufman, L., Rousseeuw, P.J., 2009. Finding Groups in Data: An Introduction to
Beitollahi, H., Deconinck, G., 2012. Análisis de las contramedidas conocidas contra
Análisis de clústeres. John Wiley & Sons.
ataques distribuidos de denegación de servicio. Comput. Commun. 35 (11), 1312–1332.
Kim, J., Sim, A., Tierney, B., Suh, S., Kim, I., 2018. ''Tráfico de red multivariante
Berkhin, P., 2006. Estudio de las técnicas de extracción de datos en clústeres".. En: Agrupación analysis using clustered patterns" (Análisis de agrupación mediante patrones
agrupados).. Computing, 1-23.
Datos multidimensionales. Springer, pp. 25-71.
Kirubavathi, G., Anitha, R., 2016. Detección de botnets a través de la minería del flujo de tráfico
Boroujerdi, A.S., Ayat, S., 2013. ''A, robust ensemble of neuro-fuzzy classifiers for características. Comput. Electr. Eng. 50, 91–101.
Detección de ataques DDoS", en. En: Ciencias de la Computación y Tecnología de Redes
Koga, H., Ishibashi, T., Watanabe,T., 2007.Fast agglomerative hierarchical clustering (ICCSNT),
2013 3rd International Conference on, pp. 484-487. algorithm using Locality-Sensitive Hashing. Knowl. Inf. Syst. 12 (1), 25–53.
Breiman, L., 2001. Bosques aleatorios. Machine Learn. 45 (1), 5–32.
Larose, D.T., Larose, C.D., 2014. Descubrir el conocimiento en los datos: Una Introducción a la
''Red de Entrega de Contenidos (CDN) y Servicios de Computación en la Nube | Akamai". [En línea].
Minería de datos. John Wiley & Sons.
Disponible: https://content.akamai.com/us-en-PG11224-summer-2018-soti-
Miller S. y Busby-Earle C., ''The role of machine learning in botnet detection", en
web-attack-report.html.
Tecnología de Internet y Transacciones Aseguradas (ICITST), 2016 11th International
DataMining " [en línea]. Disponible: http://www.stat.cmu.edu/
Conferencia para, 2016, pp. 359-364.
~ryantibs/datamining/.
Sharafaldin, I., Lashkari, A.H., Ghorbani, A.A., 2018. ''Toward generating a new
Davies, D.L., Bouldin, D.W., 1979. A cluster separation measure. IEEE Trans. Pattern intrusion detection dataset and intrusion traffic characterization". ICISSP, 108- Anal.Mach. Intell. 2, 224–227.
116.
Du, Q., Fowler, J.E., 2008.Análisis de componentes principales de baja complejidad para
Soheily-Khah S., Marteau P.-F., Béchet N., ''Intrusion Detection in Network Systems
compresión de imágenes hiperespectrales. Int. J. High Perf. Comput. Appl. 22 (4), 438-
Mediante un proceso de aprendizaje automático híbrido supervisado y no supervisado: A
448.
Estudio de caso sobre el conjunto de datos ISCX", en Data Intelligence and Security
(ICDIS), 2018.
Fitriani S., Mandala S., Murti M.A. ''Review of semi-supervised method for Intrusion
1ª Conferencia Internacional sobre, 2018, 219-226.
Sistema de detección" en Multimedia y Radiodifusión (APMediaCast) Asia Pacífico
SteelCentralRiverbedModeler ", Riverbed. [en línea]. Disponible: https://www.
Conferencia sobre, 2016, 2016, 36-41. riverbed.com/sg/products/steelcentral/steelcentral-riverbed-modeler.html.
Gao Y., Feng Y., Kawamoto J., y Sakurai K., ''A machine learning based approach
Suthaharan, S., 2016. ''Máquina de vectores de apoyo". En: Modelos de aprendizaje automático
y
para detectar ataques DRDoS y su evaluación de rendimiento", en Information
Algoritmos para la clasificación de Big Data. Springer, pp. 207-235.
Security (AsiaJCIS), 2016 11th Asia Joint Conference on, 2016, pp. 80-86.
G. Xiang y W. Min, ''Applying Semi-supervised cluster algorithm for anomaly
Gu, Y., Wang, Y., Yang, Z., Xiong, F., Gao, Y., 2017. Detección basada en múltiples características", en Information Processing (ISIP), 2010 Third International
Método de detección de DDoS por clustering semisupervisado. Math. ProblemsEng. 2017.
Simposio sobre, 2010, pp. 43-45.
Hu, X., Knysz, M., Shin, K.G., 2011. ''Measurement and analysis of global IP-usage
Xu, R., Wunsch, D., 2005. Survey of clustering algorithms. IEEE Trans. Neural
patterns of fast-flux botnets", en INFOCOM. Proc. IEEE 2011, 2633-2641.
Redes 16 (3), 645-678.
Idhammad, M., Afdel, K., Belouch, M., 2018. ''Aprendizaje automático semisupervisado''.
Zhu, X., 2006. Semi-supervised learning literature survey. Computer Sci., Univ.
para la detección de DDoS". Appl. Intell., 1-16
Wisconsin-Madison 2 (3), 4.
Jolliffe, I., 2011. ''Análisis de componentes principales''. En: Enciclopedia Internacional de la Ciencia Estadística. Springer, pp. 1094-1096.