A Machine Learning Approach for Detecting Distributed Denial of Service Attacks

Abstract

This research aims to present the method for identifying distributed denial of service (DDoS) attacks. Two benchmark dataset, including KDD CUP 1999 and NSL-KDD, were used. The dataset was checked and deleted duplicate data. After the process, the number of records of KDD Cup 1999 dataset was decreased from 4,898,431 records to 529,655 records, and the number of records of NSL-KDD dataset was decreased from 125,373 to only 12,354 records. The reduction of the records always happened because of the characteristics of DDoS attacks which send repeated data to the victims’ server. The researchers converted alphabet data to numeric data, then training by K-nearest neighbor (KNN), multi-layer perceptron and support vector machine. The result showed that KNN was the best method to identify the DDoS attacks.

งานวิจัยฉบับนี้ได้นำเสนอวิธีการจำแนกการโจมตีแบบ DDoS โดยทดสอบกับ Benchmark Dataset จำนวน 2 ชุด ได้แก่ KDD CUP 1999 และ NSL-KDD โดยได้ตรวจสอบข้อมูลและลบข้อมูลที่ซ้ำกันออก ทำให้ข้อมูลชุด KDD Cup 1999 ที่มีจำนวน 4,898,431 ลดลงเหลือ 529,655 ชุด (record) และข้อมูล NSL-KDD ที่มีข้อมูลทั้งสิ้น 125,973 ชุด ลดลงเหลือเพียง 12,354 ชุด เท่านั้น ทั้งนี้เนื่องจาก การโจมตีแบบ DDoS จะเป็นการส่งข้อมูลโจมตีในรูปแบบเดิมซ้ำๆ ไปยังเครื่องเซิร์ฟเวอร์ จากนั้นจึงแปลงข้อมูลที่เป็นตัวอักษรให้อยู่ในรูปแบบของตัวเลข และส่งไปเรียนรู้ (Training) ด้วยวิธี K-Nearest Neighbor (KNN), Multi-Layer Perceptron (MLP) และ Support Vector Machine (SVM) จากผลการทดลองสรุปได้ว่า วิธี KNN สามารถจำแนกการโจมตีแบบ Distributed Denial of Service (DDoS) ได้ถูกต้องแม่นยำที่สุด