Modelos de clasificación de ataques de reflexión DDoS usando técnicas de machine learning

Abstract

Los ataques de denegación de servicio distribuidos (DDoS) son una amenaza que afectan a un sistema de computadoras o red causando que un servicio o recurso sea sobrecargado y deje de estar disponible para los usuarios, dado que actualmente el acceso a muchos de estos servicios es fundamental, la temprana identificación de este tipo de ataques es crítica. Por lo anterior, en este trabajo se toma como base un conjunto de datos de ataques DDoS publicados por el Canadian Institute for Cybersecurity (CIC) en el 2019, que contienen inicialmente un conjunto de 80 características relacionadas con el flujo de la información, este conjunto de datos lo utilizaremos para la creación y evaluación de modelos de aprendizaje automático que permitan la correcta clasificación de 2 tipos de ataque de denegación de servicios , aquellos que hacen uso del protocolo SSDP (Simple ServiceDiscovery Protocol) y del protocolo de resolución de Microsoft SQL server (MSSQL). Los datos estuvieron divididos en 3 conjuntos de datos, el primero con registros de ataques MSSQL y datos benignos, el segundo con registros de ataques SSDP y registros benignos, mientras que el ´último fue resultado de la combinación de los anteriores. Los datos fueron procesados con el objetivo de obtener una muestra balanceada y con características relevantes para la construcción de distintos modelos de clasificación que permitiera la detección eficiente de los ataques. Los algoritmos utilizados para la construcción de estos modelos fueron, árbol de decisión, maquinas de soporte vectorial, redes neuronales y regresión logística. Donde quedó demostrada la capacidad discriminatoria del modelo de árbol de decisiones para clasificar los datos de manera más precisa para el conjunto de datos en el que se estudiaban ambos tipos de ataques, por otro lado, se pudo comprobar que para la comparativa entre, cada ataque contra solo peticiones benignas, todos los modelos se desempeñaban de una manera destacable, en gran parte por las diferencias notorias identificadas en las características de los registros. Los modelos dejan así en evidencia su posible aplicación para identificar ataques de reflexión DDoS basados en SSDP y MSSQL.