Analysis of TCP flood attack using NetFlow

Vsevolod Kapustin; Nerijus Paulauskas

doi:10.3846/mla.2023.18847

DOI: https://doi.org/10.3846/mla.2023.18847

Abstract

Traffic analysis is a common question for most of the production systems in various segments of computer networks. Attacks, configuration mistakes, and other factors can cause network increased accessibility and as a result danger for data privacy. Analyzing network flow and their single packets can be helpful for anomalies detection. Well-known network equipment has predeveloped network flow monitoring software. “NetFlow” data collector software “Nfsen” is an open-source way to collect information from agents. Also “Nfsen” is designed for data sorting and dataset for instruction detection system preparation. Prepared data can be split into fragments for artificial intelligent learning and testing. As AI unit can be used multilayer perceptron developed in a python programming language. This paper focused on real-world traffic dataset collection and multilayer perceptron deployment for TCP flood traffic detection.

Article in English.

Perteklinių TCP sesijų sudarymo atakų analizavimas naudojant „NetFlow“

Santrauka

Srauto analizė – vienas pagrindinių įrankių anomalijoms kompiuteriniame tinkle aptikti. Atakos, konfigūracijos klaidos gali padėti lengviau pasiekti kompiuterinį tinklą ir galiausiai padidinti duomenų saugumo pavojų. Duomenų perdavimo tinklo srauto ir pavienių paketų analizė gali būti naudojama anomalijoms aptikti. Daugelis įrangos gamintojų įdiegia į savo įrangą srauto stebėjimo įrankius. „NetFlow“ protokolu perduodamu srautų duomenų kolektorius „Nfsen“ yra atvirojo kodo programinė įranga, padedanti surinkti informaciją iš agentų. Taip pat „Nfsen“ yra suprojektuota duomenų rinkinio įsibrovimo aptikimo sistemoms paruošti. Paruoštas duomenų rinkinys gali būti padalytas siekiant apmokyti ir testuoti dirbtinio intelekto modelį. Intelektinės sistemos srautui klasifikuoti gali būti naudojamas daugiasluoksnis perceptronas. Šiame darbe siekiama išanalizuoti, kaip interneto tiekėjo tinkle aptikti TCP perteklinį srautą ir jį klasifikuoti.

Reikšminiai žodžiai: „NetFlow“, tcpdump, TCP, paketas, ugniasienė, srautas, GRE, ataka.

Keyword : NetFlow, tcpdump, TCP, packet, firewall, traffic, GRE, attack

How to Cite

Kapustin, V., & Paulauskas, N. (2023). Analysis of TCP flood attack using NetFlow. Mokslas – Lietuvos Ateitis / Science – Future of Lithuania, 15. https://doi.org/10.3846/mla.2023.18847

Published in Issue

Jul 14, 2023

Abstract Views

433

PDF Downloads

364

This work is licensed under a Creative Commons Attribution 4.0 International License.

References

Bradley, D., & Roth, G. (2007). Adaptive thresholding using the integral image. Journal of Graphics Tools, 12(2), 13–21. https://doi.org/10.1080/2151237X.2007.10129236

Dobbin, K. K., & Simon, R. M. (2011). Optimally splitting cases for training and testing high dimensional classifiers. BMC Med Genomics, 4, 31. https://doi.org/10.1186/1755-8794-4-31

Duke, M., Braden, R., Eddy, W., & Blanton, E. (2006). RFC 4614: A roadmap for Transmission Control Protocol (TCP) specification documents. RFC Editor, USA. https://doi.org/10.17487/RFC4614

FreeBSD Community. (2005). Nfdump reference guide. https://www.freebsd.org/cgi/man.cgi?query=nfdump&sektion=1&manpath=FreeBSD+8.2-RELEASE+and+Ports

Jin, D. D., & Lin, S. S. (2011). Advances in computer science, intelligent systems and environment. Springer. https://doi.org/10.1007/978-3-642-23777-5

Raja, M. S. N., & Vasudevan, A. R. (2017). Rule generation for TCP SYN flood attack in SIEM environment. Procedia Computer Science, 115, 580–587. https://doi.org/10.1016/j.procs.2017.09.117

Sahi, A., Lai, D., Li, Y., & Diykh, M. (2017). An efficient DDoS TCP Flood attack detection and prevention system in a cloud environment. IEEE Access, 5, 6036–6048. https://doi.org/10.1109/ACCESS.2017.2688460

Samtani, S., Yu, S., Zhu, H., Patton, M., & Chen, H. (2019). Identifying SCADA vulnerabilities using passive and active vulnerability assessment techniques. In 2016 IEEE Conference on Intelligence and Security Informatics (ISI) (pp. 25–30). Tucson, USA. https://doi.org/10.1109/ISI.2016.7745438

Sophos. (2019). SophosLabs threat intelligence. https://www.sophos.com/en-us/medialibrary/pdfs/factsheets/oem-solutions/sophos-threat-intelligence-dsna.pdf

Szmit, M. M., Wezyk, R., Skowroński, M. M., & Szmit, A. A. (2007). Traffic anomaly detection with snort. In Information systems and computer communication networks. Wydawnictwo Politechniki Wrocławskiej, Wrocław.

Zeigermann, L. (2016). TIMESTAMP: Stata module to obtain a UNIX timestamp and the current time of a user-specified timezone. https://EconPapers.repec.org/RePEc:boc:bocode:s458182