Přístupnostní navigace
E-application
Search Search Close
Master's Thesis
Author of thesis: Ing. Elena Carasec
Acad. year: 2025/2026
Supervisor: Ing. Martin Žádník, Ph.D.
Reviewer: Ing. Jiří Setinský
Distributed Denial of Service (DDoS) attacks remain a major threat to high-speed network infrastructures, where timely detection and practical mitigation support are essential. This thesis focuses on online detection of volumetric DDoS attacks using flow-based network monitoring. The work extends an existing CUSUM-based anomaly detector by redesigning its traffic representation, improving attack description, and generating more mitigation-oriented alerts. The proposed system uses multiple independent sketch-based views to monitor destination prefixes, source addresses, protocol-specific destination information, TCP flags, UDP ports, and ICMP fields. To preserve selected communication context, it introduces a sampled 5-tuple tracking table and sample-and-hold overfilling protection. The detector was evaluated on real CESNET3 traffic mixed with generated DDoS attack scenarios. The results show that all tested attacks were detected at the attack level, including overlapping attacks, while also highlighting the remaining challenge of improving filter precision and reducing false alarms.
DDoS detection, volumetric attacks, anomaly detection, CUSUM, Count-Min Sketch, NetFlow, monitoring, attack mitigation, CESNET
Date of defence
24.06.2026
Result of the defence
Defended (thesis was successfully defended)
Grading
C
Process of defence
Studentka nejprve prezentovala výsledky, kterých dosáhla v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Studentka následně odpověděla na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studentky na položené otázky rozhodla práci hodnotit stupněm C.
Topics for thesis defence
Language of thesis
English
Faculty
Fakulta informačních technologií
Department
Department of Computer Systems
Study programme
Information Technology and Artificial Intelligence (MITAI)
Specialization
Machine Learning (NMAL)
Composition of Committee
prof. Dr. Ing. Jan Černocký (předseda) doc. Ing. Vítězslav Beran, Ph.D. (místopředseda) doc. Ing. Ondřej Lengál, Ph.D. (člen) doc. Ing. František Zbořil, Ph.D. (člen) Ing. Michal Hradiš, Ph.D. (člen) Ing. Martin Fajčík, Ph.D. (člen)
Supervisor’s reportIng. Martin Žádník, Ph.D.
Studentka prokázala schopnost vyřešit komplexní problém identifikace DDoS útoku. Pro hodnocení stupněm A by bylo vhodné navrhnout a implementovat rozšíření, které odstraní falešně pozitivní alerty na legitimním provozu.
Práce byla náročnějšího charakteru, neboť řeší komplexní problematiku mitigace DDoS útoků a navazuje rovněž na předchozí práci. Práce splnila zadání.
Většina práce byla dokončena v předstihu a konzultována, závěrečné experimenty byly konzultovány dodatečně.
Studentka vhodně vyhledávala publikační zdroje a vhodně je využívala při řešení své práce.
Studentka průběh práce průběžně konzultovala a na konzultace byla dostatečně připravena.
Grade proposed by supervisor: B
Reviewer’s reportIng. Jiří Setinský
Práce přináší funkční rozšíření existujícího detektoru a prokazuje, že navržené řešení dokáže testované útoky spolehlivě zachytit na úrovni detekce. Přínos práce však snižuje absence přímého srovnání s původní metodou a také omezená praktická přesnost generovaných filtrů, které v části experimentů nepokrývaly všechny napadené oběti a současně vykazovaly falešně pozitivní výsledky. Z těchto důvodů navrhuji celkové hodnocení C.
Evaluation level: zadání splněno s drobnými výhradami
Zadání považuji za splněné s drobnými výhradami. Práce představuje inkrementální rozšíření existujícího detektoru, nicméně v evaluační části postrádám přímé porovnání s původní metodou a tedy i přesvědčivější doložení skutečného přínosu navržených úprav.
Evaluation level: splňuje pouze minimální požadavky
Dle Thesis Checkeru má práce 68,55 normostran a splňuje tedy minimální požadovaný rozsah diplomové práce. Text je současně informačně bohatý a neobsahuje zbytečné pasáže.
Práce má logickou strukturu, kapitoly na sebe většinou přirozeně navazují a je vhodně doplněna tabulkami, schématy i grafy. Slabinou je méně výrazné oddělení návrhu od implementace v kap. 3 a ne vždy zcela jasné vymezení vlastního přínosu vůči původnímu systému.
Formální stránka práce je přijatelná, avšak sazba obsahuje viditelné nedostatky. V textu se objevují nešťastně zalomené technické výrazy a místy i problematicky vysázené řádky, například v kap. 2.2, což zhoršuje čitelnost. Neobvykle působí také umístění popisků tabulek pod tabulkami. V rozšířeném abstraktu se navíc objevují typografické nedostatky, například ponechání jednoslabičných předložek na konci řádků.
Práce s literaturou je na velmi dobré úrovni. Převládají relevantní odborné zdroje a pozitivně hodnotím i využití novější literatury; technické webové zdroje jsou použity přiměřeně vzhledem k tématu.
Studentka navrhla a implementovala funkční rozšíření existujícího CUSUM detektoru o více sketch-based pohledů, samplovanou 5-ticovou tabulku a skládání alertů do mitigačních filtrů, přičemž všechny testované útoky byly na úrovni detekce zachyceny. Slabší stránkou realizačního výstupu je omezená přesnost generovaných filtrů, které v univerzitním provozu nepokrývaly celý soubor napadených obětí a současně i v legitimním provozu vykazovaly falešně pozitivní výsledky.
Výstup je použitelný jako základ pro další vývoj a ladění v prostředí CESNET, ale pro přímé nasazení by bylo potřeba zlepšit přesnost filtrů a snížit počet falešně pozitivních výsledků.
Evaluation level: průměrně obtížné zadání
Zadání hodnotím jako průměrně obtížné. Práce představuje inkrementální rozšíření existujícího detektoru, které ale rozhodně není zcela triviální, protože zasahuje do návrhu datových struktur, charakterizace útoku i tvorby výstupů pro mitigaci.
Grade proposed by reviewer: C
Responsibility: Mgr. et Mgr. Hana Odstrčilová