Teknolojinin gelişmesiyle birlikte çevrimiçi hizmetlerin önemi giderek artmıştır. Saldırganlar, botnet'lerden oluşan zombi ağını yöneterek, sistem ve ağlara kapasitelerinden fazla istekte bulunur, böylece hizmetlerin yavaşlamasını veya kesintiye uğramasını hedefler. Bu tür saldırılara DDOS (Dağıtılmış Hizmet Reddi saldırısı) adı verilir. DDOS saldırılarının tespiti ve önlenmesi için literatür çalışması yapılmış ve birçok farklı teknikle karşılaşılmıştır. Yapılan araştırmalar sonucunda Makine Öğrenmesi ve DDOS davranış tespiti konularına ağırlık verilmiştir. Machine Learning ile Davranış tabanlı DDOS tespiti için yapılan bu çalışmada, CTU-13 veri seti ve yerel ortamda oluşturulan sanal veri seti kullanılmıştır. Veri setleri üzerine normalizasyon işlemleri uygulanarak çalışma için hazır hale getirilmiştir. Makine Öğrenemsi için 5 farklı algoritma kullanılmış ve algoritmalar üzerinde parametre ayarı yapılmıştır. Çoklu regresyon, topluluk öğrenimi ve özellik çeşitleme gibi farklı yöntemlerin sonuca etkisi değerlendirilmiştir. İyileştirmelerin sonuçlar üzerindeki etkileri tartışılmıştır. Genel olarak Random Forest ve Decision Tree başarılı algoritmalar olarak öne çıkmaktadır. Naive Bayes ve Support Vector Machine, bu senaryo için başarısız olmuştur. Topluluk öğrenim yönteminde birlikte çalışan iki algoritmanın sonuca olumlu etkisi olmuştur. Sanal veri setinin en önemli sonucu, ip adresi özelliğinin kullanımının sonuca olumlu bir katkısının olmamasıdır.
With the development of technology, the importance of online services has gradually increased. By managing the zombie network consisting of botnets, the attackers target the slowdown or interruption of the services by making more requests to the systems and networks than their capacity. This type of attack is called DDOS (Distributed Denial of Service attack). A literature study has been conducted to detect and prevent DDOS attacks and many different techniques have been encountered. As a result of the research, DDOS behavior detection has been focused on by using machine learning. In this study for behavior-based DDOS detection with Machine Learning, the CTU-13 and the virtual dataset created in the local environment were used. The data sets have been made ready for study by applying normalization processes. 5 different algorithms have been used for Machine Learning and parameter tuning has been performed on the algorithms. The effect of different methods, such as multiple regression, stacking method, and feature diversity on the result has been evaluated. The effects of the improvements on the results are discussed. In general, Random Forest and Decision Tree stand out as successful algorithms. Naive Bayes and Support Vector Machine have been unsuccessful for the case studied. In the stacking method, the two algorithms working together have positively affected the result. The most important result of the virtual dataset is that using the IP address feature does not positively contribute to the result.
