Analysis of TCP flood attack using NetFlow
Abstract
Traffic analysis is a common question for most of the production systems in various segments of computer networks. Attacks, configuration mistakes, and other factors can cause network increased accessibility and as a result danger for data privacy. Analyzing network flow and their single packets can be helpful for anomalies detection. Well-known network equipment has predeveloped network flow monitoring software. “NetFlow” data collector software “Nfsen” is an open-source way to collect information from agents. Also “Nfsen” is designed for data sorting and dataset for instruction detection system preparation. Prepared data can be split into fragments for artificial intelligent learning and testing. As AI unit can be used multilayer perceptron developed in a python programming language. This paper focused on real-world traffic dataset collection and multilayer perceptron deployment for TCP flood traffic detection.
Article in English.
Perteklinių TCP sesijų sudarymo atakų analizavimas naudojant „NetFlow“
Santrauka
Srauto analizė – vienas pagrindinių įrankių anomalijoms kompiuteriniame tinkle aptikti. Atakos, konfigūracijos klaidos gali padėti lengviau pasiekti kompiuterinį tinklą ir galiausiai padidinti duomenų saugumo pavojų. Duomenų perdavimo tinklo srauto ir pavienių paketų analizė gali būti naudojama anomalijoms aptikti. Daugelis įrangos gamintojų įdiegia į savo įrangą srauto stebėjimo įrankius. „NetFlow“ protokolu perduodamu srautų duomenų kolektorius „Nfsen“ yra atvirojo kodo programinė įranga, padedanti surinkti informaciją iš agentų. Taip pat „Nfsen“ yra suprojektuota duomenų rinkinio įsibrovimo aptikimo sistemoms paruošti. Paruoštas duomenų rinkinys gali būti padalytas siekiant apmokyti ir testuoti dirbtinio intelekto modelį. Intelektinės sistemos srautui klasifikuoti gali būti naudojamas daugiasluoksnis perceptronas. Šiame darbe siekiama išanalizuoti, kaip interneto tiekėjo tinkle aptikti TCP perteklinį srautą ir jį klasifikuoti.
Reikšminiai žodžiai: „NetFlow“, tcpdump, TCP, paketas, ugniasienė, srautas, GRE, ataka.
Keyword : NetFlow, tcpdump, TCP, packet, firewall, traffic, GRE, attack
This work is licensed under a Creative Commons Attribution 4.0 International License.
References
Dobbin, K. K., & Simon, R. M. (2011). Optimally splitting cases for training and testing high dimensional classifiers. BMC Med Genomics, 4, 31. https://doi.org/10.1186/1755-8794-4-31
Duke, M., Braden, R., Eddy, W., & Blanton, E. (2006). RFC 4614: A roadmap for Transmission Control Protocol (TCP) specification documents. RFC Editor, USA. https://doi.org/10.17487/RFC4614
FreeBSD Community. (2005). Nfdump reference guide. https://www.freebsd.org/cgi/man.cgi?query=nfdump&sektion=1&manpath=FreeBSD+8.2-RELEASE+and+Ports
Jin, D. D., & Lin, S. S. (2011). Advances in computer science, intelligent systems and environment. Springer. https://doi.org/10.1007/978-3-642-23777-5
Raja, M. S. N., & Vasudevan, A. R. (2017). Rule generation for TCP SYN flood attack in SIEM environment. Procedia Computer Science, 115, 580–587. https://doi.org/10.1016/j.procs.2017.09.117
Sahi, A., Lai, D., Li, Y., & Diykh, M. (2017). An efficient DDoS TCP Flood attack detection and prevention system in a cloud environment. IEEE Access, 5, 6036–6048. https://doi.org/10.1109/ACCESS.2017.2688460
Samtani, S., Yu, S., Zhu, H., Patton, M., & Chen, H. (2019). Identifying SCADA vulnerabilities using passive and active vulnerability assessment techniques. In 2016 IEEE Conference on Intelligence and Security Informatics (ISI) (pp. 25–30). Tucson, USA. https://doi.org/10.1109/ISI.2016.7745438
Sophos. (2019). SophosLabs threat intelligence. https://www.sophos.com/en-us/medialibrary/pdfs/factsheets/oem-solutions/sophos-threat-intelligence-dsna.pdf
Szmit, M. M., Wezyk, R., Skowroński, M. M., & Szmit, A. A. (2007). Traffic anomaly detection with snort. In Information systems and computer communication networks. Wydawnictwo Politechniki Wrocławskiej, Wrocław.
Zeigermann, L. (2016). TIMESTAMP: Stata module to obtain a UNIX timestamp and the current time of a user-specified timezone. https://EconPapers.repec.org/RePEc:boc:bocode:s458182