Detection of collaborative misbehaviour in distributed cyber-attacks through correlation and time dependency analysis

Abstract

Σε αυτή τη διατριβή, εξετάζουμε τη μοντελοποίηση και την ανίχνευση ύποπτα υψηλού βαθμού συσχέτισης μεταξύ κακόβουλων χρηστών του διαδικτύου που συνεργάζονται για να προκαλέσουν Επίθεση ΄Αρνησης Εξυπηρέτησης [Denial of Service (DoS) Attack ] ή Κατανεμημένη Επίθεση ΄Αρνησης Εξυπηρέτησης [Distributed Denial of Service (DDoS) Attack ]. Ο κύριος στόχος της διατριβής είναι η έγκαιρη αναγνώριση τυχόν κυβερνοπε- ριστατικών μέσα στον κυβερνοχώρο. Η προτεινόμενη μέθοδος είναι σε θέση να κρίνει αρκετά έγκαιρα οποιαδήποτε συσχετισμένη επιλήψιμη συμπεριφορά των διαφόρων χρη- στών (πιο συγκεκριμένα, συνεργασία-εξάρτηση μεταξύ των αιτημάτων που εκδίδονται από διαφορετικούς χρήστες) προκειμένου να απομονωθούν τελικά οι εν λόγω χρήστες και να αποφευχθούν οι συνέπειες μιας επίθεσης DDoS . Η προτεινόμενη μέθοδος βασίζεται στην ανάλυση της κυκλοφορίας δεδομένων στο υπό εξέταση δίκτυο (εισερχόμενη/ εξερχόμενη κίνηση), προκειμένου να εντοπιστούν οι συσχετισμοί με βάση τη συχνότητα με την οπο- ία εκδίδονται ταυτόχρονα αιτήματα. Τα μοντέλα της διατριβής εξετάζονται με βάση την λογική των Κρυφών Μαρκοβιανών Μοντέλλων (Μαρκοβιανά Μοντέλλα που περιέχουν κρυφές καταστάσεις) [Hidden Markov Models (HMM)] και η ανάλυση για την απόδειξη της προτεινόμενης μεθόδου χρησιμοποιεί τόσο μαθηματικούς συλλογισμούς όσο και προ- σομοιώσεις. Η προσέγγιση αυτή αποτελεί ένα βήμα προς την επίτευξη αποτελεσματικής, έγκυρης και προληπτικής άμυνας κατά των επιθέσεων DoS / DDoS . Επιπλέον, εξετάζεται η απόδοση της μεθόδου σε σχέση με άλλες μεθόδους αλλά και το έργο που έχει επιτελε- στεί σε αυτό τον τομέα από άλλους ερευνητές. Με την παρούσα διατριβή, πρόθεση ήταν να αναπτυχθεί μια αποτελεσματική, έγκυρη μέθοδος, ικανή να εντοπίζει έγκαιρα οποιαδήποτε μη φυσιολογική συμπεριφορά από μέρους των χρηστών. Στόχος ήταν να αποφευχθεί η επέκταση κυβερνοπεριστατικού που βρίσκεται σε εξέλιξη στο αρχικό του στάδιο και πριν αυτό προλάβει να λάβει την τελική του μορφή, που ενδέχεται να είναι μια καταστροφική DoS/DDoS επίθεση, με ανυπολόγιστες συνέπειες.

In this thesis, we consider modelling and detection of suspiciously high correlation between malicious Internet users that are collaborating in order to cause a Denial of Service (DoS) attack or a Distributed Denial of Service (DDoS) attack. The main goal is to recognise cyber incidents and obtain a method for judging early enough any collaborative misbehaviour (more specifically, collaboration/dependency between the requests that are issued by different users) in order to ultimately isolate their behaviour and overcome the consequences of the DoS attack. The proposed method relies on the analysis of data traffic across the concerned network (with both incoming and outgoing traffic) in an effort to identify correlations between different users, based on the frequency with which they simultaneously issue requests for service. The thesis models user behaviour via hidden Markov models and analyses the performance of the proposed method, using both mathematical reasoning and simulations. The approach represents a step towards achieving an effective and proactive defence against DoS/DDoS attacks. Furthermore, we examine the performance and detection time of the proposed method, and its relationship to other methods and work produced in this direction by other researchers. Our intention is the implementation of a warning method capable of identifying early enough any abnormal behaviour, before a minor cyber incident results in a catastrophic failure.