Visibility graphs to support ML feature selection and detect DoS cyberattacks

Abstract

The world economy depends on information systems. Business value resides in the data stored in information technology (IT) systems and the processes performed with that data. However, malicious parties target these IT systems to extract value from them using different modus operandi. Denial of Service (DoS) attacks are a common and harmful method of making Internet-connected IT systems and, consequently, the business processes running on them unavailable. Cybersecurity researchers from industry and academia are looking for early warning detection systems to quickly detect and be able to mitigate these DoS attacks. This thesis proposes two new ways to mitigate this problem, the first by supporting the selection of the best features to be used through Machine Learning (ML) methods to detect DoS/DDoS attacks, and the second consists of early detection of DoS/DDoS attacks based on the information provided by visibility graphs. From the results obtained, it can be seen that VGs are capable of selecting the best features and that they can also be used to detect DoS/DDoS attacks. These results can also be extracted through the analysis of the patterns obtained and the analysis of the respective degree and density values.

A economia mundial depende de sistemas de informação. O valor comercial reside nos dados armazenados nos sistemas de tecnologia da informação (TI) e nos processos executados com esses dados. No entanto, partes mal-intencionadas visam estes sistemas de TI para extrair valor deles usando diferentes modus operandi. Os ataques de negação de servi¸co (DoS) são um método comum e prejudicial para tornar indisponíveis os sistemas de TI conectados à Internet e, consequentemente, os processos de negócios executados neles. Investigadores de cibersegurançaa, industriais e académicos, estão em busca de sistemas de detecção de alerta precoce para detectar rapidamente e serem capazes de mitigar esses ataques DoS. Esta tese propõe duas novas formas de mitigar este problema, a primeira apoiando a seleção das melhores features para serem usadas através de métodos de Machine Learning (ML) para detetar ataques DoS/DDoS e a segunda consiste em detetar precocemente ataques DoS/DDoS com base nas informações fornecidas pelos grafos de visibilidade (VGs). Dos resultados obtidos, verifica-se que os VGs podem ser capazes de selecionar as melhores features e que também podem ser utilizados na deteção de ataques DoS/DDoS. Estes resultados também podem ser extraídos através da análise dos padrões obtidos e da análise dos respectivos valores de graus e densidade.