Published January 1, 2021
| Version v1
Publication
Open
Machine Learning Classification of Port Scanning and DDoS Attacks: A Comparative Analysis
Creators
- 1. Shaheed Zulfiqar Ali Bhutto Institute of Science and Technology
- 2. Universiti Teknologi Petronas
- 3. Iqra University
Description
Cyber security is one of the major concerns of today's connected world. For all the platforms of today's communication technology such as wired, wireless, local and remote access, the hackers are present to corrupt the system functionalities, circumvent the security measures and steal sensitive information. Amongst many techniques of hackers, port scanning and Distributed Denial of Service (DDoS) attacks are very common. In this paper, the benefits of machine learning are taken into consideration for classification of port scanning and DDoS attacks in a mix of normal and attack traffic. Different machine learning algorithms are trained and tested on a recently published benchmark dataset (CICIDS2017) to identify the best performing algorithms on the data which contains more recent vectors of port scanning and DDoS attacks. The classification results show that all the variants of discriminant analysis and Support Vector Machine (SVM) provide good testing accuracy i.e. more than 90%. According to a subjective rating criterion mentioned in this paper, 9 algorithms from a set of machine learning experiments receive the highest rating (good) as they provide more than 85% classification (testing) accuracy out of 22 total algorithms. This comparative analysis is further extended to observe training performance of machine learning models through k-fold cross validation, Area Under Curve (AUC) analysis of the Receiver Operating Characteristic (ROC) curves, and dimensionality reduction using the Principal Component Analysis (PCA). To the best of our knowledge, a comprehensive comparison of various machine learning algorithms on CICIDS2017 dataset is found to be deficient for port scanning and DDoS attacks while considering such recent features of attack.
Translated Descriptions
⚠️
This is an automatic machine translation with an accuracy of 90-95%
Translated Description (Arabic)
يعد الأمن السيبراني أحد الاهتمامات الرئيسية لعالم اليوم المتصل. بالنسبة لجميع منصات تكنولوجيا الاتصالات اليوم مثل الوصول السلكي واللاسلكي والمحلي والبعيد، فإن المتسللين موجودون لإفساد وظائف النظام والتحايل على التدابير الأمنية وسرقة المعلومات الحساسة. من بين العديد من تقنيات المتسللين، فإن مسح المنافذ وهجمات الحرمان من الخدمة الموزعة (DDoS) شائعة جدًا. في هذه الورقة، تؤخذ فوائد التعلم الآلي في الاعتبار لتصنيف مسح المنافذ وهجمات حجب الخدمة الموزعة في مزيج من حركة المرور العادية والهجومية. يتم تدريب خوارزميات التعلم الآلي المختلفة واختبارها على مجموعة بيانات مرجعية تم نشرها مؤخرًا (CICIDS2017) لتحديد أفضل الخوارزميات أداءً على البيانات التي تحتوي على متجهات أحدث لمسح المنافذ وهجمات حجب الخدمة الموزعة. تُظهر نتائج التصنيف أن جميع متغيرات التحليل التمييزي وآلة دعم المتجهات (SVM) توفر دقة اختبار جيدة، أي أكثر من 90 ٪. وفقًا لمعيار التقييم الذاتي المذكور في هذه الورقة، تحصل 9 خوارزميات من مجموعة من تجارب التعلم الآلي على أعلى تصنيف (جيد) لأنها توفر دقة تصنيف (اختبار) تزيد عن 85 ٪ من إجمالي 22 خوارزمية. يتم توسيع هذا التحليل المقارن بشكل أكبر لمراقبة أداء التدريب لنماذج التعلم الآلي من خلال التحقق المتقاطع k - fold، وتحليل المنطقة تحت المنحنى (AUC) لمنحنيات خاصية تشغيل جهاز الاستقبال (ROC)، وتقليل الأبعاد باستخدام تحليل المكون الرئيسي (PCA). على حد علمنا، تبين أن المقارنة الشاملة لمختلف خوارزميات التعلم الآلي على مجموعة بيانات CICIDS2017 ناقصة بالنسبة لمسح المنافذ وهجمات DDoS مع الأخذ في الاعتبار مثل هذه الميزات الحديثة للهجوم.Translated Description (French)
La cybersécurité est l'une des préoccupations majeures du monde connecté d'aujourd' hui. Pour toutes les plateformes des technologies de communication actuelles telles que l'accès filaire, sans fil, local et à distance, les pirates sont présents pour corrompre les fonctionnalités du système, contourner les mesures de sécurité et voler des informations sensibles. Parmi les nombreuses techniques de piratage, l'analyse des ports et les attaques par déni de service distribué (DDoS) sont très courantes. Dans cet article, les avantages de l'apprentissage automatique sont pris en compte pour la classification du balayage des ports et des attaques DDoS dans un mélange de trafic normal et d'attaque. Différents algorithmes d'apprentissage automatique sont formés et testés sur un ensemble de données de référence récemment publié (CICIDS2017) afin d'identifier les algorithmes les plus performants sur les données qui contiennent des vecteurs plus récents de balayage de ports et d'attaques DDoS. Les résultats de la classification montrent que toutes les variantes de l'analyse discriminante et de la machine à vecteurs de support (SVM) offrent une bonne précision de test, c'est-à-dire plus de 90 %. Selon un critère d'évaluation subjectif mentionné dans cet article, 9 algorithmes d'un ensemble d'expériences d'apprentissage automatique reçoivent la note la plus élevée (bonne) car ils fournissent plus de 85 % de précision de classification (test) sur 22 algorithmes au total. Cette analyse comparative est en outre étendue pour observer les performances de formation des modèles d'apprentissage automatique grâce à la validation croisée k-fold, à l'analyse de l'aire sous la courbe (AUC) des courbes de caractéristiques de fonctionnement du récepteur (roc) et à la réduction de la dimensionnalité à l'aide de l'analyse en composantes principales (PCA). À notre connaissance, une comparaison complète de divers algorithmes d'apprentissage automatique sur l'ensemble de données CICIDS2017 s'avère déficiente pour le balayage des ports et les attaques DDoS tout en tenant compte de ces caractéristiques récentes d'attaque.Translated Description (Spanish)
La ciberseguridad es una de las principales preocupaciones del mundo conectado de hoy. Para todas las plataformas de la tecnología de comunicación actual, como el acceso por cable, inalámbrico, local y remoto, los piratas informáticos están presentes para corromper las funcionalidades del sistema, eludir las medidas de seguridad y robar información confidencial. Entre las muchas técnicas de hackers, el escaneo de puertos y los ataques de denegación de servicio distribuido (DDoS) son muy comunes. En este documento, se tienen en cuenta los beneficios del aprendizaje automático para la clasificación del escaneo de puertos y los ataques DDoS en una combinación de tráfico normal y de ataque. Diferentes algoritmos de aprendizaje automático se entrenan y prueban en un conjunto de datos de referencia recientemente publicado (CICIDS2017) para identificar los algoritmos de mejor rendimiento en los datos que contienen vectores más recientes de escaneo de puertos y ataques DDoS. Los resultados de la clasificación muestran que todas las variantes del análisis discriminante y la máquina de vectores de soporte (SVM) proporcionan una buena precisión de prueba, es decir, más del 90%. De acuerdo con un criterio de calificación subjetiva mencionado en este documento, 9 algoritmos de un conjunto de experimentos de aprendizaje automático reciben la calificación más alta (buena), ya que proporcionan más del 85% de precisión de clasificación (pruebas) de un total de 22 algoritmos. Este análisis comparativo se amplía aún más para observar el rendimiento del entrenamiento de los modelos de aprendizaje automático a través de la validación cruzada de k veces, el análisis del área bajo la curva (AUC) de las curvas de las características operativas del receptor (Roc) y la reducción de la dimensionalidad utilizando el análisis de componentes principales (PCA). Hasta donde sabemos, una comparación exhaustiva de varios algoritmos de aprendizaje automático en el conjunto de datos CICIDS2017 es deficiente para el escaneo de puertos y los ataques DDoS al considerar tales características recientes de ataque.Files
497.pdf
Files
(1.1 MB)
| Name | Size | Download all |
|---|---|---|
|
md5:18d8662a66f898e092accf869940a221
|
1.1 MB | Preview Download |
Additional details
Additional titles
- Translated title (Arabic)
- تصنيف التعلم الآلي لهجمات مسح المنافذ وهجمات حجب الخدمة الموزعة: تحليل مقارن
- Translated title (French)
- Classification par apprentissage automatique de la numérisation des ports et des attaques DDoS : une analyse comparative
- Translated title (Spanish)
- Clasificación de aprendizaje automático de escaneo de puertos y ataques DDoS: un análisis comparativo
Identifiers
- Other
- https://openalex.org/W3155885603
- DOI
- 10.22581/muet1982.2101.19
References
- https://openalex.org/W1535054020
- https://openalex.org/W2036384654
- https://openalex.org/W2046054129
- https://openalex.org/W2071221494
- https://openalex.org/W2099940443
- https://openalex.org/W2100537916
- https://openalex.org/W2133941447
- https://openalex.org/W2186500555
- https://openalex.org/W2296509296
- https://openalex.org/W2305976078
- https://openalex.org/W2408041516
- https://openalex.org/W2432038293
- https://openalex.org/W2434671519
- https://openalex.org/W2480819298
- https://openalex.org/W2503118350
- https://openalex.org/W2548856157
- https://openalex.org/W2586130762
- https://openalex.org/W2765181145
- https://openalex.org/W2765190331
- https://openalex.org/W2768149277
- https://openalex.org/W2771446911
- https://openalex.org/W2789828921
- https://openalex.org/W2809969011
- https://openalex.org/W2890297213
- https://openalex.org/W2913796112
- https://openalex.org/W2924689635
- https://openalex.org/W2929803724
- https://openalex.org/W2940371396
- https://openalex.org/W4248734282
- https://openalex.org/W4251839034
- https://openalex.org/W4348436