Bachelor's Thesis

Inference of DDoS payload strings

Final Thesis 1 MB Appendix 2.79 MB

Author of thesis: Bc. Tomáš Zgút

Acad. year: 2024/2025

Supervisor: Ing. Martin Žádník, Ph.D.

Reviewer: Ing. Jiří Setinský

Abstract:

Mitigating cyber-attacks today plays a key role in securing data or systems. This work addresses the problem of mitigating DDoS attacks with the goal of developing an algorithm
to derive rules to distinguish between legitimate packets and DDoS packets. Solving this
problem can significantly contribute to mitigate the impact of attacks. This paper proposes a
rule derivation algorithm that is based on n-grams, where the rules are composed of
patterns that may occur in DDoS attack packets. The proposed method is based on the
assumption of the existence of a significant disproportion between the occurrence of certain
n-grams in a sample of DDoS attack packets and legitimate traffic. The algorithm allows the
given n-grams to be considered as patterns and make them assembled into rules that
characterize the DDoS attack packets. Testing results on packets from real Cesnet traffic and
DDoS attack samples from Loic, Thors hammer, and Hulk demonstrated the effectiveness of
the proposed method, and it was possible to derive rules from multi-vector DDoS attacks as
well, based on which the approach can be considered sufficiently functional. The proposed
algorithm can be used in solving the problem of DDoS attack mitigation as it represents
another available source of rules to recognize DDoS packets from legitimate ones.

Keywords:

algorithm, DDoS attacks, n-grams, packets

Date of defence

20.06.2025

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B.

Topics for thesis defence

  1. Ako časovo náročné je zistiť možný DDoS útok?
  2. Má zmysel HW akcelerácia pri spracovaní paketov vo vašej implementácii?

Language of thesis

Slovak

Faculty

Fakulta informačních technologií

Department

Department of Computer Systems

Study programme

Information Technology (BIT)

Composition of Committee

doc. Dr. Ing. Otto Fučík (předseda)
doc. Mgr. Kamil Malinka, Ph.D. (člen)
doc. Ing. Michal Bidlo, Ph.D. (člen)
Ing. Vladimír Veselý, Ph.D. (člen)
Ing. David Bařina, Ph.D. (člen)

Supervisor’s report
Ing. Martin Žádník, Ph.D.

Student byl velmi aktivní během celé doby práce na bakalářské práci a cíleně vyvíjené řešení optimalizoval na základě konzultací.

Evaluation criteria Verbal classification
Informace k zadání

Zadání svým rozsahem odpovídá běžnému standardu bakalářské práce.
Práce s literaturou

Student se snažil nalézt existující literaturu ale i dostupné knihovny, aby zvýšil efektivitu implementace nástroje a jeho variant.
Aktivita během řešení, konzultace, komunikace

Student byl velmi aktivní, konzultace probíhaly průběžně během celého semestru.
Aktivita při dokončování

Práce byla dokončena včas a její obsah dostatečně zkonzultován.
Publikační činnost, ocenění

Výsledky práce mají uplatnění ve smluvním výzkum FIT pro CESNET.
Points proposed by supervisor: 95

Grade proposed by supervisor: A

Reviewer’s report
Ing. Jiří Setinský

Bakalářská práce Tomáše Zgúta se zabývá aktuálním a důležitým tématem vyhledávání řetězců identifikujících DDoS pakety. Autor prokázal schopnost nastudovat komplexní problematiku, navrhnout vlastní algoritmické řešení ve dvou variantách, toto řešení implementovat (včetně optimalizace vytvořením C modulu) a experimentálně ověřit jeho funkčnost. Celkově se jedná o dobrou bakalářskou práci, která splňuje všechny body zadání a doporučuji hodnocení "B".

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: průměrně obtížné zadání

Zadané téma mělo střední úroveň náročnosti. Požadovaný rozsah práce byl odpovídající zvolenému tématu a obsahoval potřebné prvky pro splnění zadání. Úkoly byly jasně stanovené, ale jejich realizace vyžadovala samostatnou práci a analytické myšlení.
Prezentační úroveň technické zprávy

Práce má jasnou a logickou strukturu. Úvod vhodně uvádí do problematiky a cílů práce, avšak neobsahuje odstavce, což zhoršuje čitelnost. Teoretická část poskytuje potřebný kontext. Návrh řešení, implementace a experimenty na sebe logicky navazují. Jednotlivé kapitoly a podkapitoly jsou dobře provázané a text je psán srozumitelně. Práce obsahuje diagramy a grafy, které pomáhají ilustrovat navržené algoritmy a výsledky experimentů. Nicméně by bylo vhodné doplnit tabulku shrnující výsledky.

 85
Formální úprava technické zprávy

Styl práce je formální a odpovídá požadavkům kladeným na technickou zprávu. Text je psán srozumitelně, avšak místy se objevují jednoslabičné spojky na konci řádků. Napřiklád Obr. 4.1 není ve vektorové grafice, což snižuje jeho kvalitu při zvětšení. Vzhledem k použití slovenštiny není možné plně posoudit jazykovou stránku, nicméně text působí korektně. V některých případech chybí tečky za popisky obrázků, což by bylo vhodné sjednotit v celé práci.

 85
Realizační výstup

Autor navrhl a implementoval dvě varianty algoritmu pro mitigaci DDoS útoků na základě n-gramů. Implementace je v Pythonu s využitím C modulu pro optimalizaci kritických částí, což svědčí o pokročilejší úrovni řešení. Pro testování byly použity byly syntetická i reálná datová sada. Sekce 4.4 také ukazuje na kritické zhodnocení limitů řešení. Měří se úspěšnost mitigace a počet falešně pozitivních/negativních označení. 

 90
Využitelnost výsledků

Práce má charakter výzkumně-vývojový. Přináší detailní analýzu a implementaci konkrétního řešení. Navržený algoritmus má potenciál být použit pro mitigaci DDoS útoků. Práce diskutuje nevyřešené problémy a nutnost dalšího vývoje, což je důležité pro případné nasazení do praxe. Možnost generovat bpf filter zvyšuje praktickou využitelnost. Hlavní přínos práce spočívá v návrhu a implementaci dvou variant algoritmu pro mitigaci DDoS paketů, včetně optimalizací a experimentálního ověření.
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Student plně splnil všechny požadavky zadání. Hlavní cíle byly dosaženy a nad rámec toho byly provedeny experimenty se dvěma variantami řešení. Student prokázal schopnost orientovat se v problematice a aplikovat teoretické znalosti.
Rozsah technické zprávy

Evaluation level: splňuje pouze minimální požadavky

Hlavní text práce čítá 37 stran. Dle app.fit.vut.cz/normostrany práce vychází na 57 normostran. Rozsah je pod hranicí obvyklého rozmezí.
Práce s literaturou

Autor v práci cituje celkem 26 zdrojů, které zahrnují odborné články i technické zprávy. Část citací odkazuje na blogové příspěvky, u nichž by bylo vhodnější upřednostnit odbornější literaturu. Citované zdroje jsou tematicky relevantní a vztahují se k problematice DDoS útoků, n-gramových modelů, algoritmů pro vyhledávání řetězců a datových struktur. V seznamu literatury se objevují drobné překlepy, například u zdroje [4]. Celkově však lze práci s literaturou hodnotit jako dobrou.

 80
Points proposed by reviewer: 85

Grade proposed by reviewer: B

Responsibility: Mgr. et Mgr. Hana Odstrčilová