Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Distributed Denial of Service (DDoS) attacks remain one of the most disruptive threats to modern communication networks due to their increasing sophistication and rapid evolution. Although Machine Learning (ML)–based detection mechanisms have significantly improved detection performance, their effectiveness is constrained by the dependence on large volumes of labeled data for training and by their limited adaptability in dynamic attack environments, where ML models are trained on static datasets assumed to provide full coverage of attack knowledge and therefore struggle when encountering novel DDoS attacks. However, in real-world scenarios, novel DDoS attack types frequently emerge after ML model deployment, creating a critical knowledge gap for static detection models. This thesis proposes PROACT (Progressive AL-based DDoS Detection), a framework that progressively adapts ML-based attack detection models by leveraging Active Learning (AL) to systematically incorporate novel attack types into the model's knowledge base. Multiple AL query strategies are evaluated within the scope of the study, including Least Confidence Sampling, Knowledge Uncertainty Sampling, Query-by-Committee and Random Sampling as a baseline. To evaluate the different AL approaches, we consider a realistic scenario in which the ML model is initialized with a restricted knowledge of DDoS attack types and is progressively exposed to multiple unseen DDoS attack categories, emulating a highly volatile DDoS threat environment. Extensive numerical experiments are conducted across six distinct initialization scenarios, each corresponding to model's initial knowledge of a single DDoS attack type. The analysis focuses not only on classification performance (e.g., in terms of accuracy, F1-score and false alarm rate), but also on computational overhead and how prior knowledge shapes the progression of attack types selected via AL query strategies for inclusion in the model's knowledge base. The results demonstrate that PROACT achieves 99% F1-score while reducing the number of required labeled samples up to 37.8% compared to a random selection baseline, maintaining a false alarm rate below 0.02% across all experiments. The findings confirm that PROACT successfully overcomes the limitations of restricted initial knowledge by progressively integrating novel attack types, thereby enabling adaptive and resilient DDoS detection in evolving threat landscapes.

Gli attacchi Distributed Denial of Service (DDoS) rappresentano ancora una delle minacce più disruptive per le moderne reti di comunicazione a causa della loro crescente sofisticazione e della rapida evoluzione. Sebbene i meccanismi di rilevamento basati su Machine Learning (ML) abbiano migliorato significativamente le prestazioni di detection, la loro efficacia è limitata dalla dipendenza da grandi quantità di dati etichettati per l’addestramento e dalla ridotta capacità di adattamento in ambienti di attacco dinamici, nei quali i modelli ML vengono addestrati su dataset statici che si assumono coprire completamente la conoscenza degli attacchi e che quindi faticano quando incontrano nuovi attacchi DDoS. Tuttavia, in scenari reali, nuove tipologie di attacchi DDoS emergono frequentemente dopo il deployment del modello ML, creando un significativo gap di conoscenza per i modelli di rilevamento statici. Questa tesi propone PROACT (Progressive AL-based DDoS Detection), un framework che adatta progressivamente i modelli di rilevamento degli attacchi basati su ML sfruttando l’Active Learning (AL) per incorporare sistematicamente nuove tipologie di attacco nella base di conoscenza del modello. Nell’ambito dello studio vengono valutate diverse strategie di query AL, tra cui Least Confidence Sampling, Knowledge Uncertainty Sampling, Query-by-Committee e Random Sampling come baseline. Per valutare i differenti approcci AL, viene considerato uno scenario realistico in cui il modello ML è inizializzato con una conoscenza limitata delle tipologie di attacchi DDoS ed è progressivamente esposto a molteplici categorie di attacchi DDoS non viste, emulando un ambiente di minaccia altamente dinamico. Vengono condotti estesi esperimenti numerici su sei distinti scenari di inizializzazione, ciascuno corrispondente alla conoscenza iniziale del modello di una singola tipologia di attacco DDoS. L’analisi si concentra non solo sulle prestazioni di classificazione (ad esempio in termini di accuratezza, F1-score e false alarm rate), ma anche sull’overhead computazionale e su come la conoscenza pregressa influenzi la progressione delle tipologie di attacco selezionate tramite le strategie di query AL per l’inclusione nella base di conoscenza del modello. I risultati dimostrano che PROACT raggiunge un F1-score del 99% riducendo il numero di campioni etichettati necessari fino al 37,8% rispetto a una baseline basata su selezione casuale, mantenendo un false alarm rate inferiore allo 0,02% in tutti gli esperimenti. I risultati confermano che PROACT supera con successo le limitazioni derivanti da una conoscenza iniziale ristretta, integrando progressivamente nuove tipologie di attacco e consentendo un rilevamento DDoS adattivo e resiliente in scenari di minaccia in evoluzione.

Progressive novelty detection in DDoS attacks based on active learning

GURSOY, GOKCE
2024/2025

Abstract

Distributed Denial of Service (DDoS) attacks remain one of the most disruptive threats to modern communication networks due to their increasing sophistication and rapid evolution. Although Machine Learning (ML)–based detection mechanisms have significantly improved detection performance, their effectiveness is constrained by the dependence on large volumes of labeled data for training and by their limited adaptability in dynamic attack environments, where ML models are trained on static datasets assumed to provide full coverage of attack knowledge and therefore struggle when encountering novel DDoS attacks. However, in real-world scenarios, novel DDoS attack types frequently emerge after ML model deployment, creating a critical knowledge gap for static detection models. This thesis proposes PROACT (Progressive AL-based DDoS Detection), a framework that progressively adapts ML-based attack detection models by leveraging Active Learning (AL) to systematically incorporate novel attack types into the model's knowledge base. Multiple AL query strategies are evaluated within the scope of the study, including Least Confidence Sampling, Knowledge Uncertainty Sampling, Query-by-Committee and Random Sampling as a baseline. To evaluate the different AL approaches, we consider a realistic scenario in which the ML model is initialized with a restricted knowledge of DDoS attack types and is progressively exposed to multiple unseen DDoS attack categories, emulating a highly volatile DDoS threat environment. Extensive numerical experiments are conducted across six distinct initialization scenarios, each corresponding to model's initial knowledge of a single DDoS attack type. The analysis focuses not only on classification performance (e.g., in terms of accuracy, F1-score and false alarm rate), but also on computational overhead and how prior knowledge shapes the progression of attack types selected via AL query strategies for inclusion in the model's knowledge base. The results demonstrate that PROACT achieves 99% F1-score while reducing the number of required labeled samples up to 37.8% compared to a random selection baseline, maintaining a false alarm rate below 0.02% across all experiments. The findings confirm that PROACT successfully overcomes the limitations of restricted initial knowledge by progressively integrating novel attack types, thereby enabling adaptive and resilient DDoS detection in evolving threat landscapes.
ING - Scuola di Ingegneria Industriale e dell'Informazione
26-mar-2026
2024/2025
Gli attacchi Distributed Denial of Service (DDoS) rappresentano ancora una delle minacce più disruptive per le moderne reti di comunicazione a causa della loro crescente sofisticazione e della rapida evoluzione. Sebbene i meccanismi di rilevamento basati su Machine Learning (ML) abbiano migliorato significativamente le prestazioni di detection, la loro efficacia è limitata dalla dipendenza da grandi quantità di dati etichettati per l’addestramento e dalla ridotta capacità di adattamento in ambienti di attacco dinamici, nei quali i modelli ML vengono addestrati su dataset statici che si assumono coprire completamente la conoscenza degli attacchi e che quindi faticano quando incontrano nuovi attacchi DDoS. Tuttavia, in scenari reali, nuove tipologie di attacchi DDoS emergono frequentemente dopo il deployment del modello ML, creando un significativo gap di conoscenza per i modelli di rilevamento statici. Questa tesi propone PROACT (Progressive AL-based DDoS Detection), un framework che adatta progressivamente i modelli di rilevamento degli attacchi basati su ML sfruttando l’Active Learning (AL) per incorporare sistematicamente nuove tipologie di attacco nella base di conoscenza del modello. Nell’ambito dello studio vengono valutate diverse strategie di query AL, tra cui Least Confidence Sampling, Knowledge Uncertainty Sampling, Query-by-Committee e Random Sampling come baseline. Per valutare i differenti approcci AL, viene considerato uno scenario realistico in cui il modello ML è inizializzato con una conoscenza limitata delle tipologie di attacchi DDoS ed è progressivamente esposto a molteplici categorie di attacchi DDoS non viste, emulando un ambiente di minaccia altamente dinamico. Vengono condotti estesi esperimenti numerici su sei distinti scenari di inizializzazione, ciascuno corrispondente alla conoscenza iniziale del modello di una singola tipologia di attacco DDoS. L’analisi si concentra non solo sulle prestazioni di classificazione (ad esempio in termini di accuratezza, F1-score e false alarm rate), ma anche sull’overhead computazionale e su come la conoscenza pregressa influenzi la progressione delle tipologie di attacco selezionate tramite le strategie di query AL per l’inclusione nella base di conoscenza del modello. I risultati dimostrano che PROACT raggiunge un F1-score del 99% riducendo il numero di campioni etichettati necessari fino al 37,8% rispetto a una baseline basata su selezione casuale, mantenendo un false alarm rate inferiore allo 0,02% in tutti gli esperimenti. I risultati confermano che PROACT supera con successo le limitazioni derivanti da una conoscenza iniziale ristretta, integrando progressivamente nuove tipologie di attacco e consentendo un rilevamento DDoS adattivo e resiliente in scenari di minaccia in evoluzione.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2026_03_Gursoy_Thesis_01.pdf

accessibile in internet per tutti a partire dal 02/03/2027

Descrizione: Thesis Text
Dimensione 2.57 MB
Formato Adobe PDF
  Visualizza/Apri
2.57 MB Adobe PDF   Visualizza/Apri
2026_03_Gursoy_Executive_Summary_02.pdf

accessibile in internet per tutti a partire dal 02/03/2027

Descrizione: Executive Summary Text
Dimensione 588.51 kB
Formato Adobe PDF
  Visualizza/Apri
588.51 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/253489