Published January 1, 2021 | Version v1
Publication Open

SDN-Based Architecture for Transport and Application Layer DDoS Attack Detection by Using Machine and Deep Learning

Creators

  • 1. Tecnológico de Monterrey

Description

Distributed Denial of Service (DDoS) attacks represent the most common and critical attacks targeting conventional and new generation networks, such as the Internet of Things (IoT), cloud computing, and fifth-generation (5G) communication networks. In recent years, DDoS attacks have become not only massive but also sophisticated. Software-Defined Networking (SDN) technology has demonstrated effectiveness in counter-measuring complex attacks since it provides flexibility on global network monitoring and inline network configuration. Although several works have proposed to detect DDoS attacks, most of them did not use up-to-date datasets that contain the newest threats. Furthermore, only a few previous works assessed their solutions using simulated scenarios, easing the migration to production networks. This document presents the implementation of a modular and flexible SDN-based architecture to detect transport and application layer DDoS attacks using multiple Machine Learning (ML) and Deep Learning (DL) models. Exploring diverse ML/DL methods allowed us to resolve which methods perform better under different attack types and conditions. We tested the ML/DL models using two up-to-date security datasets, namely CICDoS2017 and CICDDoS2019 datasets, and they showed accuracy above 99% on classifying unseen traffic (testing set). We also deployed a simulated environment using the network emulator Mininet and the Open Network Operating System (ONOS) SDN controller. In this experimental setup, we demonstrated high detection rates, above 98% for transport DDoS attacks and up to 95% for application-layer DDoS attacks.

⚠️ This is an automatic machine translation with an accuracy of 90-95%

Translated Description (Arabic)

تمثل هجمات حجب الخدمة الموزعة (DDoS) الهجمات الأكثر شيوعًا وحرجًا التي تستهدف شبكات الجيل التقليدي والجديد، مثل إنترنت الأشياء (IoT) والحوسبة السحابية وشبكات اتصالات الجيل الخامس (5G). في السنوات الأخيرة، لم تصبح هجمات DDoS ضخمة فحسب، بل أصبحت معقدة أيضًا. أثبتت تقنية الشبكات المعرفة بالبرمجيات (SDN) فعاليتها في القياس المضاد للهجمات المعقدة لأنها توفر المرونة في مراقبة الشبكة العالمية وتكوين الشبكة المضمنة. على الرغم من أن العديد من الأعمال قد اقترحت اكتشاف هجمات DDoS، إلا أن معظمها لم يستخدم مجموعات بيانات محدثة تحتوي على أحدث التهديدات. علاوة على ذلك، لم يقم سوى عدد قليل من الأعمال السابقة بتقييم حلولها باستخدام سيناريوهات محاكاة، مما يسهل الانتقال إلى شبكات الإنتاج. يعرض هذا المستند تنفيذ بنية نمطية ومرنة قائمة على SDN للكشف عن هجمات DDoS لطبقة النقل والتطبيق باستخدام نماذج متعددة للتعلم الآلي (ML) والتعلم العميق (DL). سمح لنا استكشاف طرق غسل الأموال/غسل الأموال المتنوعة بتحديد الطرق التي تحقق أداءً أفضل في ظل أنواع وظروف مختلفة من الهجمات. اختبرنا نماذج ML/DL باستخدام مجموعتين حديثتين من البيانات الأمنية، وهما مجموعات بيانات CICDoS2017 و CICDDoS2019، وأظهرت دقة أعلى من 99 ٪ في تصنيف حركة المرور غير المرئية (مجموعة الاختبار). كما نشرنا بيئة محاكاة باستخدام محاكي الشبكة Mininet ووحدة تحكم SDN لنظام تشغيل الشبكة المفتوحة (ONOS). في هذا الإعداد التجريبي، أظهرنا معدلات اكتشاف عالية، أعلى من 98 ٪ لهجمات حجب الخدمة الموزعة للنقل وما يصل إلى 95 ٪ لهجمات حجب الخدمة الموزعة لطبقة التطبيق.

Translated Description (French)

Les attaques par déni de service distribué (DDoS) représentent les attaques les plus courantes et les plus critiques ciblant les réseaux conventionnels et de nouvelle génération, tels que l'Internet des objets (IoT), le cloud computing et les réseaux de communication de cinquième génération (5G). Ces dernières années, les attaques DDoS sont devenues non seulement massives mais aussi sophistiquées. La technologie SDN (Software-Defined Networking) a démontré son efficacité dans la contre-mesure des attaques complexes, car elle offre une flexibilité sur la surveillance du réseau mondial et la configuration du réseau en ligne. Bien que plusieurs travaux aient proposé de détecter les attaques DDoS, la plupart d'entre eux n'ont pas utilisé d'ensembles de données à jour contenant les menaces les plus récentes. En outre, seuls quelques travaux antérieurs ont évalué leurs solutions à l'aide de scénarios simulés, facilitant la migration vers les réseaux de production. Ce document présente la mise en œuvre d'une architecture modulaire et flexible basée sur SDN pour détecter les attaques DDoS de la couche transport et application à l'aide de plusieurs modèles d'apprentissage automatique (ML) et d'apprentissage profond (DL). L'exploration de diverses méthodes de ML/DL nous a permis de déterminer quelles méthodes sont les plus performantes dans différents types et conditions d'attaque. Nous avons testé les modèles ML/DL à l'aide de deux ensembles de données de sécurité à jour, à savoir CICDoS2017 et CICDDoS2019, et ils ont montré une précision supérieure à 99 % sur la classification du trafic invisible (ensemble de tests). Nous avons également déployé un environnement simulé utilisant l'émulateur réseau Mininet et le contrôleur SDN Open Network Operating System (ONOS). Dans cette configuration expérimentale, nous avons démontré des taux de détection élevés, supérieurs à 98 % pour les attaques DDoS de transport et jusqu'à 95 % pour les attaques DDoS de couche application.

Translated Description (Spanish)

Los ataques de denegación de servicio distribuido (DDoS) representan los ataques más comunes y críticos dirigidos a redes convencionales y de nueva generación, como Internet de las cosas (IoT), computación en la nube y redes de comunicación de quinta generación (5G). En los últimos años, los ataques DDoS no solo se han vuelto masivos sino también sofisticados. La tecnología de redes definidas por software (SDN) ha demostrado su eficacia para contrarrestar ataques complejos, ya que proporciona flexibilidad en la supervisión de la red global y la configuración de la red en línea. Aunque varios trabajos han propuesto detectar ataques DDoS, la mayoría de ellos no utilizaban conjuntos de datos actualizados que contuvieran las amenazas más recientes. Además, solo unos pocos trabajos previos evaluaron sus soluciones utilizando escenarios simulados, facilitando la migración a las redes de producción. Este documento presenta la implementación de una arquitectura modular y flexible basada en SDN para detectar ataques DDoS de transporte y capa de aplicación utilizando múltiples modelos de Machine Learning (ML) y Deep Learning (DL). La exploración de diversos métodos de LA/DL nos permitió resolver qué métodos funcionan mejor en diferentes tipos y condiciones de ataque. Probamos los modelos de ML/DL utilizando dos conjuntos de datos de seguridad actualizados, a saber, los conjuntos de datos CICDoS2017 y CICDDoS2019, y mostraron una precisión superior al 99% en la clasificación del tráfico invisible (conjunto de pruebas). También implementamos un entorno simulado utilizando el emulador de red Mininet y el controlador SDN del sistema operativo de red abierta (ONOS). En esta configuración experimental, demostramos altas tasas de detección, superiores al 98% para los ataques DDoS de transporte y hasta el 95% para los ataques DDoS de capa de aplicación.

Files

09502698.pdf.pdf

Files (245 Bytes)

⚠️ Please wait a few minutes before your translated files are ready ⚠️ Note: Some files might be protected thus translations might not work.
Name Size Download all
md5:4cdb5b7891b37cb7fbaf42576c643073
245 Bytes
Preview Download

Additional details

Additional titles

Translated title (Arabic)
البنية القائمة على SDN لاكتشاف هجمات DDoS لطبقة النقل والتطبيق باستخدام الآلة والتعلم العميق
Translated title (French)
Architecture basée sur le SDN pour la détection des attaques DDoS de la couche transport et application à l'aide de l'apprentissage automatique et approfondi
Translated title (Spanish)
Arquitectura basada en SDN para la detección de ataques DDoS de transporte y capa de aplicación mediante el uso de aprendizaje automático y profundo

Identifiers

Other
https://openalex.org/W3191493850
DOI
10.1109/access.2021.3101650

Is supplement to
https://openalex.org/W4254515188 (Other)
https://openalex.org/W3005836778 (Other)
https://openalex.org/W2942864670 (Other)
https://openalex.org/W2908108831 (Other)
https://openalex.org/W2887235364 (Other)
https://openalex.org/W2784282778 (Other)
https://openalex.org/W2754163055 (Other)
https://openalex.org/W2375951120 (Other)
https://openalex.org/W2340488574 (Other)
https://openalex.org/W2161084684 (Other)

GreSIS Basics Section

Is Global South Knowledge
Yes
Country
Mexico

References

  • https://openalex.org/W2587078433
  • https://openalex.org/W2591712613
  • https://openalex.org/W2597472767
  • https://openalex.org/W2782735691
  • https://openalex.org/W2799843691
  • https://openalex.org/W2807319534
  • https://openalex.org/W2892142441
  • https://openalex.org/W2936630130
  • https://openalex.org/W2938258273
  • https://openalex.org/W2941828467
  • https://openalex.org/W2956030019
  • https://openalex.org/W2959627510
  • https://openalex.org/W2968015832
  • https://openalex.org/W2969965567
  • https://openalex.org/W2982682021
  • https://openalex.org/W2994839885
  • https://openalex.org/W3004079980
  • https://openalex.org/W3006165800
  • https://openalex.org/W3008535060
  • https://openalex.org/W3010220852
  • https://openalex.org/W3010471324
  • https://openalex.org/W3010527934
  • https://openalex.org/W3012454270
  • https://openalex.org/W3021973688
  • https://openalex.org/W3024476475
  • https://openalex.org/W3081430061
  • https://openalex.org/W3082527254
  • https://openalex.org/W3091945716
  • https://openalex.org/W3093242351
  • https://openalex.org/W3114263020
  • https://openalex.org/W3116430685
  • https://openalex.org/W3155650995
  • https://openalex.org/W4210878699
  • https://openalex.org/W4238294603
  • https://openalex.org/W4240505729
  • https://openalex.org/W4376849086