Thesis (M.Sc)-Cairo University, 2025.

Bibliography: pages 104-113.

Distributed Denial of Service (DDoS) attacks pose a major threat to organizations
relying on online services. These attacks aim to disrupt services by overwhelming servers
with fake traffic from multiple sources, making early and effective detection crucial for
mitigating their impact.
This thesis addresses the problem of DDoS attacks, which involve flooding a target
system with packets resembling normal traffic, making them difficult to distinguish from
legitimate requests. Traditional detection systems struggle to identify such attacks, and
their dynamic, evolving nature poses a serious threat to the stability and functionality of
online systems.
Recently, the most widely used algorithms for DDoS detection are based on Machine
Learning (ML) and Deep Learning (DL). Although these algorithms have shown
effectiveness in detecting attacks, they remain limited in handling advanced and evolving
threats that occur over time. Firstly, several ML algorithms were evaluated in this thesis
using the CICDDoS2019 dataset. The Gradient Boosting (GB) algorithm achieved the
highest overall accuracy of 99.99%, with a false positive rate (FPR) of 0.004% and a
testing time of 0.26 seconds, followed closely by XGBoost with 99.98% accuracy. These
results highlight the strong predictive power of ensemble ML methods. However,
traditional ML tends to excel at identifying similarities among known attacks rather than
detecting anomalous activities associated with unknown malicious attacks. Given the
ability of deep learning algorithms to learn from data and patterns, it is possible to
increase the detection rate of real malicious activities. Secondly, to overcome ML
limitations, this study explored DL-based approaches, focusing on recurrent neural
network architectures. The proposed GRU-BiLSTM hybrid model demonstrated
outstanding performance, achieving an accuracy of 99.9954% with 30 epochs, while
maintaining a low FPR of 0.01. However, the increased performance came with higher
computational cost, as the testing time rose to 57.935 seconds.
Finally, a novel hybrid model (GB-GRU) was introduced, combining the efficiency
of ML with the learning capabilities of DL. The model achieved 99.96% accuracy, with
a significantly reduced testing time of 5.729 seconds. This demonstrates its superior
balance between detection accuracy and computational efficiency, making it highly
suitable for real-time DDoS detection in modern network environments.
iv
Overall, this thesis contributes to strengthening cybersecurity against evolving
DDoS threats by providing a comprehensive evaluation of ML and DL algorithms and
proposing hybrid models that enhance detection performance, minimize false positives,
and optimize processing efficiency.

تُشكّل هجمات رفض الخدمة الموزعة تهديدًا كبيرًا للمؤسسات التي تعتمد على الخدمات عبر الإنترنت، إذ تهدف هذه الهجمات إلى تعطيل الخدمات من خلال إغراق الخوادم بحركة مرور وهمية من مصادر متعددة، مما يجعل الكشف المبكر والفعّال أمرًا بالغ الأهمية للتقليل من آثارها.
تتناول هذه الأطروحة مشكلة هجمات رفض الخدمة الموزعة، التي تُغرق النظام المستهدف بحزم بيانات تُشبه حركة المرور العادية، مما يجعل من الصعب التمييز بينها وبين الطلبات المشروعة. تواجه أنظمة الكشف التقليدية صعوبة في التعرّف على مثل هذه الهجمات، كما أن الطبيعة الديناميكية والمتطورة لهذه الهجمات تُشكّل تهديدًا خطيرًا لاستقرار الأنظمة الإلكترونية ووظائفها.
في السنوات الأخيرة، أصبحت الخوارزميات القائمة على التعلم الآلي والتعلم العميق من أكثر الأساليب استخدامًا في الكشف عن هجمات رفض الخدمة الموزعة. وعلى الرغم من أن هذه الخوارزميات أثبتت فعاليتها في الكشف عن الهجمات، إلا أن قدرتها ما تزال محدودة في التعامل مع التهديدات المتقدمة والمتغيرة بمرور الوقت.
أولًا، تم في هذه الأطروحة تقييم عدة خوارزميات تعلم آلي باستخدام مجموعة بيانات CICDDoS2019. وحققت خوارزمية Gradient Boosting (GB) أعلى دقة بلغت %99.99، مع معدل إنذار كاذب منخفض بلغ %0.004، ووقت اختبار 0.26 ثانية، تلتها خوارزمية XGBoost بدقة %99.98. تُبرز هذه النتائج القوة التنبؤية العالية لأساليب التعلم الآلي القائمة على التجميع.
ومع ذلك، فإن خوارزميات التعلم الآلي التقليدية تميل إلى التفوق في التعرّف على أوجه التشابه بين الهجمات المعروفة أكثر من قدرتها على اكتشاف الأنشطة الشاذة المرتبطة بالهجمات الجديدة غير المعروفة. وبالنظر إلى قدرة خوارزميات التعلم العميق على التعلم من البيانات والأنماط الزمنية، يمكن تحسين معدل اكتشاف الأنشطة الخبيثة الفعلية. لذلك، وللتغلب على قيود التعلم الآلي ، تم في هذه الدراسة استكشاف أساليب التعلم العميق المعتمدة على الشبكات العصبية المتكررة. وقد أظهر النموذج الهجين المقترح GRU-BiLSTM أداءً متميزًا، حيث حقق دقة %99.9954 بعد 30 تكرارًا (حقبة)، مع معدل إنذار كاذب 0.01. ومع ذلك، ارتبط هذا الأداء العالي بزيادة في التكلفة الحسابية، حيث بلغ وقت الاختبار 57.935 ثانية.
وأخيرًا، تم اقتراح نموذج هجين جديد (GB-GRU) يجمع بين كفاءة التعلم الآلي وقدرات التعلم في التعلم العميق. حقق هذا النموذج دقة %99.96، مع تقليل كبير في وقت الاختبار إلى 5.729 ثانية، مما يُظهر توازنًا متفوقًا بين دقة الكشف والكفاءة الحسابية، ويجعله مناسبًا جدًا للكشف في الزمن الحقيقي عن هجمات رفض الخدمة الموزعة في بيئات الشبكات الحديثة.
بشكل عام، تُساهم هذه الأطروحة في تعزيز الأمن السيبراني ضد تهديدات رفض الخدمة الموزعة المتطورة من خلال تقديم تقييم شامل لخوارزميات التعلم الآلي والتعلم العميق، واقتراح نماذج هجينة تُحسّن أداء الكشف، وتُقلّل معدلات الإنذار الكاذب، وتُعزّز كفاءة المعالجة.

Issues also as CD.

Text in English and abstract in Arabic & English.