Master's Thesis

Online detection of DDoS attacks and its characteristics

Final Thesis 951.05 kB

Author of thesis: Ing. Elena Carasec

Acad. year: 2025/2026

Supervisor: Ing. Martin Žádník, Ph.D.

Reviewer: Ing. Jiří Setinský

Abstract:

Distributed Denial of Service (DDoS) attacks remain a major threat to high-speed network infrastructures, where timely detection and practical mitigation support are essential. This thesis focuses on online detection of volumetric DDoS attacks using flow-based network monitoring. The work extends an existing CUSUM-based anomaly detector by redesigning its traffic representation, improving attack description, and generating more mitigation-oriented alerts.

The proposed system uses multiple independent sketch-based views to monitor destination prefixes, source addresses, protocol-specific destination information, TCP flags, UDP ports, and ICMP fields. To preserve selected communication context, it introduces a sampled 5-tuple tracking table and sample-and-hold overfilling protection. The detector was evaluated on real CESNET3 traffic mixed with generated DDoS attack scenarios. The results show that all tested attacks were detected at the attack level, including overlapping attacks, while also highlighting the remaining challenge of improving filter precision and reducing false alarms.

Keywords:

DDoS detection, volumetric attacks, anomaly detection, CUSUM, Count-Min Sketch, NetFlow, monitoring, attack mitigation, CESNET

Date of defence

24.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaCznamka

Grading

C

Process of defence

Studentka nejprve prezentovala výsledky, kterých dosáhla v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Studentka následně odpověděla na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studentky na položené otázky rozhodla práci hodnotit stupněm C.

Topics for thesis defence

  1. Jak byste experimentálně prokázala, že navržené rozšíření skutečně zlepšuje původní CUSUM detektor, když práce neobsahuje přímé srovnání s původní metodou, a které metriky byste pro toto porovnání považovala za klíčové?
  2. Jak jste zajistila, aby vaše řešení fungovalo i na jiných sítích?

Language of thesis

English

Faculty

Department

Study programme

Information Technology and Artificial Intelligence (MITAI)

Specialization

Machine Learning (NMAL)

Composition of Committee

prof. Dr. Ing. Jan Černocký (předseda)
doc. Ing. Vítězslav Beran, Ph.D. (místopředseda)
doc. Ing. Ondřej Lengál, Ph.D. (člen)
doc. Ing. František Zbořil, Ph.D. (člen)
Ing. Michal Hradiš, Ph.D. (člen)
Ing. Martin Fajčík, Ph.D. (člen)

Supervisor’s report
Ing. Martin Žádník, Ph.D.

Studentka prokázala schopnost vyřešit komplexní problém identifikace DDoS útoku. Pro hodnocení stupněm A by bylo vhodné navrhnout a implementovat rozšíření, které odstraní falešně pozitivní alerty na legitimním provozu.

Evaluation criteria Verbal classification
Informace k zadání

Práce byla náročnějšího charakteru, neboť řeší komplexní problematiku mitigace DDoS útoků a navazuje rovněž na předchozí práci. Práce splnila zadání.

Aktivita při dokončování

Většina práce byla dokončena v předstihu a konzultována, závěrečné experimenty byly konzultovány dodatečně.

Publikační činnost, ocenění
Práce s literaturou

Studentka vhodně vyhledávala publikační zdroje a vhodně je využívala při řešení své práce.

Aktivita během řešení, konzultace, komunikace

Studentka průběh práce průběžně konzultovala a na konzultace byla dostatečně připravena.

Points proposed by supervisor: 85

Grade proposed by supervisor: B

Reviewer’s report
Ing. Jiří Setinský

Práce přináší funkční rozšíření existujícího detektoru a prokazuje, že navržené řešení dokáže testované útoky spolehlivě zachytit na úrovni detekce. Přínos práce však snižuje absence přímého srovnání s původní metodou a také omezená praktická přesnost generovaných filtrů, které v části experimentů nepokrývaly všechny napadené oběti a současně vykazovaly falešně pozitivní výsledky. Z těchto důvodů navrhuji celkové hodnocení C.

Evaluation criteria Verbal classification Points
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno s drobnými výhradami

Zadání považuji za splněné s drobnými výhradami. Práce představuje inkrementální rozšíření existujícího detektoru, nicméně v evaluační části postrádám přímé porovnání s původní metodou a tedy i přesvědčivější doložení skutečného přínosu navržených úprav.

Rozsah technické zprávy

Evaluation level: splňuje pouze minimální požadavky

Dle Thesis Checkeru má práce 68,55 normostran a splňuje tedy minimální požadovaný rozsah diplomové práce. Text je současně informačně bohatý a neobsahuje zbytečné pasáže. 

Prezentační úroveň technické zprávy

Práce má logickou strukturu, kapitoly na sebe většinou přirozeně navazují a je vhodně doplněna tabulkami, schématy i grafy. Slabinou je méně výrazné oddělení návrhu od implementace v kap. 3 a ne vždy zcela jasné vymezení vlastního přínosu vůči původnímu systému.

83
Formální úprava technické zprávy

Formální stránka práce je přijatelná, avšak sazba obsahuje viditelné nedostatky. V textu se objevují nešťastně zalomené technické výrazy a místy i problematicky vysázené řádky, například v kap. 2.2, což zhoršuje čitelnost. Neobvykle působí také umístění popisků tabulek pod tabulkami. V rozšířeném abstraktu se navíc objevují typografické nedostatky, například ponechání jednoslabičných předložek na konci řádků.

77
Práce s literaturou

Práce s literaturou je na velmi dobré úrovni. Převládají relevantní odborné zdroje a pozitivně hodnotím i využití novější literatury; technické webové zdroje jsou použity přiměřeně vzhledem k tématu.

90
Realizační výstup

Studentka navrhla a implementovala funkční rozšíření existujícího CUSUM detektoru o více sketch-based pohledů, samplovanou 5-ticovou tabulku a skládání alertů do mitigačních filtrů, přičemž všechny testované útoky byly na úrovni detekce zachyceny. Slabší stránkou realizačního výstupu je omezená přesnost generovaných filtrů, které v univerzitním provozu nepokrývaly celý soubor napadených obětí a současně i v legitimním provozu vykazovaly falešně pozitivní výsledky.

80
Využitelnost výsledků

Výstup je použitelný jako základ pro další vývoj a ladění v prostředí CESNET, ale pro přímé nasazení by bylo potřeba zlepšit přesnost filtrů a snížit počet falešně pozitivních výsledků.

Náročnost zadání

Evaluation level: průměrně obtížné zadání

Zadání hodnotím jako průměrně obtížné. Práce představuje inkrementální rozšíření existujícího detektoru, které ale rozhodně není zcela triviální, protože zasahuje do návrhu datových struktur, charakterizace útoku i tvorby výstupů pro mitigaci.

Topics for thesis defence:
  1. Jak byste experimentálně prokázala, že navržené rozšíření skutečně zlepšuje původní CUSUM detektor, když práce neobsahuje přímé srovnání s původní metodou, a které metriky byste pro toto porovnání považovala za klíčové?
Points proposed by reviewer: 79

Grade proposed by reviewer: C

Responsibility: Mgr. et Mgr. Hana Odstrčilová