High-Performance DDoS Detection System Using DPDK and OctoSketch

Abstract

Este TFM aborda un reto fundamental en la seguridad de redes modernas: detectar ataques de Denegación de Servicio (DDoS) en tiempo real sobre enlaces de alta velocidad, donde los sistemas convencionales basados en el kernel de Linux simplemente no pueden seguir el ritmo del volumen de tráfico.

La idea central es combinar tres tecnologías en un único pipeline C en línea: DPDK para E/S de paquetes sin paso por el kernel (eliminando el cuello de botella del stack de red de Linux), estructuras de datos probabilísticas basadas en OctoSketch para una monitorización de tráfico compacta y con memoria acotada, cuyo tamaño es fijo e independiente del número de flujos activos, y un clasificador LightGBM embebido que ejecuta la inferencia en decenas de microsegundos, todo ello sin tablas de flujo por conexión.

Una tercera dimensión que el proyecto explora es la transparencia ante el cifrado: dado que TLS 1.3, QUIC y los túneles VPN hacen cada vez más inviable la inspección de payloads, el sistema ofrece un modo de detección basado exclusivamente en cabeceras (Sketch-ADV) que funciona de forma idéntica sobre tráfico en claro y cifrado, junto a un modo con inspección de payload (DPI-Sketch) para enlaces sin cifrar.

El sistema se valida en un testbed real de cuatro nodos en CloudLab con tráfico sintético modelado según la taxonomía CIC-DDoS2019.

El proyecto presenta así un detector de DDoS práctico, suficientemente rápido para operar a velocidad de línea, robusto frente a ataques de inundación gracias a su consumo de memoria acotado, e independiente del estado del cifrado del tráfico por diseño.

s convencionales basados en el kernel de Linux simplemente no pueden seguir el ritmo del volumen de tráfico.

La idea central es combinar tres tecnologías en un único pipeline C en línea: DPDK para E/S de paquetes sin paso por el kernel (eliminando el cuello de botella del stack de red de Linux), estructuras de datos probabilísticas basadas en OctoSketch para una monitorización de tráfico compacta y con memoria acotada, cuyo tamaño es fijo e independiente del número de flujos activos, y un clasificador LightGBM embebido que ejecuta la inferencia en decenas de microsegundos, todo ello sin tablas de flujo por conexión.

Una tercera dimensión que el proyecto explora es la transparencia ante el cifrado: dado que TLS 1.3, QUIC y los túneles VPN hacen cada vez más inviable la inspección de payloads, el sistema ofrece un modo de detección basado exclusivamente en cabeceras (Sketch-ADV) que funciona de forma idéntica sobre tráfico en claro y cifrado, junto a un modo con inspección de payload (DPI-Sketch) para enlaces sin cifrar.

El sistema se valida en un testbed real de cuatro nodos en CloudLab con tráfico sintético modelado según la taxonomía CIC-DDoS2019.

El proyecto presenta así un detector de DDoS práctico, suficientemente rápido para operar a velocidad de línea, robusto frente a ataques de inundación gracias a su consumo de memoria acotado, e independiente del estado del cifrado del tráfico por diseño. This thesis addresses a fundamental challenge in modern network security: detecting Distributed Denial of Service (DDoS) attacks in real time on high-speed links, where conventional Linux kernel-based systems are unable to sustain the processing demands imposed by high-volume traffic.

The central contribution is the integration of three technologies into a single inline C pipeline: DPDK for kernel-bypass packet I/O, eliminating the bottleneck of the Linux networking stack; OctoSketch-based probabilistic data structures for compact, memory-bounded traffic monitoring, with a fixed memory footprint independent of the number of active flows; and an embedded LightGBM classifier that performs inference in tens of microseconds, operating entirely without per-flow connection tables.

A third dimension explored by this work is encryption transparency: as the widespread adoption of TLS 1.3, QUIC, and VPN tunnels renders payload inspection increasingly impractical, the system provides a header-only detection mode (Sketch-ADV) that operates identically on both cleartext and encrypted traffic, alongside a payload-aware mode (DPI-Sketch) intended for unencrypted links.

The system is validated on a real four-node CloudLab testbed using synthetically generated traffic modelled after the CIC-DDoS2019 attack taxonomy.

The result is a practical DDoS detector capable of operating at line rate, resilient to flooding attacks through its bounded memory consumption, and structurally independent of the encryption state of the monitored traffic.