Детальная информация

Распределённые атаки типа «отказ в обслуживании» (DDoS) представляют собой серьёзную угрозу в области кибербезопасности. С ростом интернет-трафика и усложнением методов атак всё более актуальной становится потребность в эффективных системах обнаружения в реальном времени. В данной работе предложена система обнаружения DDoS-атак, основанная на выборке сетевого трафика и машинном обучении, разработанная для корпоративных сетей с высокой пропускной способностью. Система использует eXpress Data Path (XDP) ядра Linux для высокоэффективного захвата пакетов, механизм скользящего окна для извлечения признаков и обмена данными через разделяемую память. На этапе отбора признаков применяются корреляционный анализ и метод встраивания, чтобы выбрать слабо коррелированные и интерпретируемые признаки. Для классификации TCP- и UDP-трафика используются модели случайного леса и дерева решений. Эксперименты показали, что система стабильно обрабатывает трафик 40 Гбит/с на бытовом процессоре, достигая точности 96\% и 100\% при обнаружении атак типа TCP DDoS и UDP DDoS соответственно. Время отклика на атаки составляет от 0,1 до 0,82 секунд. Система демонстрирует значительные преимущества по производительности, отклику и экономии ресурсов по сравнению с традиционными методами, обеспечивая эффективную защиту в условиях высоконагруженных сетей.

Distributed Denial of Service (DDoS) attacks have become a major threat in cybersecurity, especially as internet traffic grows exponentially and attack methods become increasingly sophisticated. This paper proposes a DDoS detection system based on traffic sampling and machine learning, designed for enterprise-level high-bandwidth network environments. The system uses Linuxs eXpress Data Path (XDP) for efficient packet capture, combined with a sliding window feature extraction engine and shared memory-based interprocess communication to optimize real-time analysis and data transfer. By applying correlation analysis and embedding methods, the system selects a low-correlation, interpretable subset of features. Random Forest and Decision Tree models are used to classify TCP and UDP traffic respectively. Experimental results show that the system can stably handle 40Gbps traffic on a consumer-grade processor, achieving weighted average precision rates of 96\% for TCP and 100\% for UDP. It also responds quickly to multiple attack types, within 0.1 to 0.82 seconds. Compared to traditional methods, the proposed system demonstrates significant advantages in performance, responsiveness, and resource efficiency, offering a practical solution for DDoS defense in high-traffic networks.

• Система обнаружения DDoS-атак на основе сэмплирования трафика и машинного обучения
  • Введение
  • 1. Теоретический анализ системы обнаружения DDoS-атак
  • 2. Выбор подхода и модели машинного обучения для разработки системы обнаружения DDoS-атак
  • 3. Разработка системы
  • 4. Результаты экспериментов и их анализ
  • Заключение
  • Список сокращений и условных обозначений
  • Список использованных источников
  • Приложение 1 Тестовый код для проверки производительности различных методов IPC
  • Приложение 2 Исходный код системы обнаружения DDoS-атак