A fine-tuning of decision tree classifier for ransomware detection based on memory data

Ransomware has evolved into a pervasive and extremely disruptive cybersecurity threat, causing substantial operational and financial damage to individuals and businesses. This article explores the critical domain of Ransomware detection and employs Machine Learning (ML) classifiers, particularly Decision Tree (DT), for Ransomware detection. The article also delves into the usefulness of DT in identifying Ransomware attacks, leveraging the innate ability of DT to recognize complex patterns within datasets. Instead of merely introducing DT as a detection method, we adopt a comprehensive approach, emphasizing the importance of fine-tuning DT hyperparameters. The optimization of these parameters is essential for maximizing the DT capability to identify Ransomware threats accurately. The obfuscated-MalMem2022 dataset, which is well-known for its extensive and challenging Ransomware-related data, was utilized to evaluate the effectiveness of DT in detecting Ransomware. The implementation uses the versatile Python programming language, renowned for its efficiency and adaptability in data analysis and ML tasks. Notably, the DT classifier consistently outperforms other classifiers in Ransomware detection, including K-Nearest Neighbors, Gradient Boosting Tree, Naive Bayes, and Linear Support Vector Classifier. For instance, the DT demonstrated exceptional effectiveness in distinguishing between Ransomware and benign data, as evidenced by its remarkable accuracy of 99.97%

A Performance Evaluation of In-Memory Databases Operations in Session Initiation Protocol

Real-time communication has witnessed a dramatic increase in recent years in user daily usage. In this domain, Session Initiation Protocol (SIP) is a well-known protocol found to provide trusted services (voice or video) to end users along with efficiency, scalability, and interoperability. Just like other Internet technology, SIP stores its related data in databases with a predefined data structure. In recent, SIP technologies have adopted the real advantages of in-memory databases as cache systems to ensure fast database operations during real-time communication. Meanwhile, in industry, there are several names of in-memory databases that have been implemented with different structures (e.g., query types, data structure, persistency, and key/value size). However, there are limited resources and poor recommendations on how to select a proper in-memory database in SIP communications. This paper provides recommended and efficient in-memory databases which are most fitted to SIP servers by evaluating three types of databases including Memcache, Redis, and Local (OpenSIPS built-in). The evaluation has been conducted based on the experimental performance of the impact of in-memory operations (store and fetch) against the SIP server by applying heavy load traffic through different scenarios. To sum up, evaluation results show that the Local database consumed less memory compared to Memcached and Redis for read and write operations. While persistency was considered, Memcache is the preferable database selection due to its 25.20 KB/s for throughput and 0.763 s of call–response time

Розробка гібридної системи виявлення вторгнень на основі методу Suricata з pfSense для значного зниження DDOS-атак на IPv6-мережі

Distributed Denial of Service (DDoS) attacks is a problem in computer networks. DDoS attacks pose a significant threat to internet networks as they cause congestion and disrupt the optimal functioning of servers. Detecting the source of these attacks is essential for effective protection. Therefore, in this study, we propose a hybrid strategy that combines Suricata, an intrusion detection system (IDS), with pfSense, a firewall, to address DDoS attacks. Suricata, the IDS, can identify the destination of the attack, which allows pfSense, the Firewall, to block the attack by dropping packets sent by the attacker. As a result, by leveraging this combined approach, we have observed significant improvements in the quality of service (QoS). The results of our study indicate a 1.08 % increase in throughput value, from 1881.97 bytes to 902.44 bytes, demonstrating improved efficiency in data transmission. Additionally, we observed a 57.32 % increase in the average total number of packets sent, from 1382 packets to 3238 packets, indicating better network performance. Furthermore, the proposed strategy significantly reduced delay and jitter values. The delay value decreased by 88.78 %, from 90.76 ms to 10.18 ms, and the jitter value decreased by 88.99 %, from 181.85 ms to 20.03 ms. These improvements signify a notable reduction in latency and packet timing variations, leading to a smoother network experience. Another crucial aspect we evaluated was the CPU utilization. The proposed strategy resulted in a substantial decrease in CPU utilization by 81.23 %, from 78.3 % to 14.7 %. The combination of pfSense and Suricata has proven to be a successful approach, providing robust protection against DDoS attacks, including those utilizing IPv6. This research can be implemented as a solution on a campus ad-hoc network with limited computersРозподілені атаки типу "відмова в обслуговуванні" (DDoS) є проблемою у комп'ютерних мережах. DDoS-атаки становлять серйозну загрозу для інтернет-мереж, оскільки вони викликають перевантаження і порушують оптимальне функціонування серверів. Виявлення джерела цих атак має важливе значення для ефективного захисту. Тому в даному дослідженні ми пропонуємо гібридну стратегію, що поєднує в собі систему виявлення вторгнень (IDS) Suricata з брандмауером pfSense для боротьби з DDoS-атаками. Система IDS Suricata здатна визначити місце призначення атаки, що дозволяє брандмауеру pfSense блокувати атаку, відкидаючи пакети, надіслані зловмисником. В результаті, використовуючи даний комбінований підхід, ми спостерігали значне поліпшення якості обслуговування (QoS). Результати нашого дослідження показують збільшення пропускної здатності на 1,08 %, з 1881,97 байт до 902,44 байт, що свідчить про підвищення ефективності передачі даних. Також ми спостерігали збільшення середньої загальної кількості відправлених пакетів на 57,32 %, з 1382 до 3238 пакетів, що вказує на підвищення продуктивності мережі. Крім того, запропонована стратегія дозволила значно знизити значення затримки та джиттера. Значення затримки зменшилося на 88,78 %, з 90,76 мс до 10,18 мс, а значення джиттера – на 88,99 %, з 181,85 мс до 20,03 мс. Дані поліпшення свідчать про помітне скорочення затримок і варіацій часу передачі пакетів, що призводить до більш плавної роботи мережі. Ще одним важливим аспектом, який ми оцінювали, було завантаження ЦП. Запропонована стратегія призвела до значного зниження завантаження ЦП на 81,23 %, з 78,3 % до 14,7 %. Комбінація pfSense і Suricata виявилася успішним підходом, що забезпечує надійний захист від DDoS-атак, у тому числі з використанням IPv6. Дане дослідження може бути реалізовано в якості рішення у кампусній спеціальній мережі з обмеженою кількістю комп'ютері