講演抄録/キーワード |
講演名 |
2016-03-03 16:00
パケット連続到着時間を判定基準とした攻撃検知方式の評価 ○林 裕平・西山聡史・鈴木昭徳・阪井勝彦・工藤伊知郎・神谷和憲(NTT) ICSS2015-56 |
抄録 |
(和) |
近年,アプリケーションを対象としたDDoS攻撃が増加している.網でDDoS攻撃検知を行う上では通信を詳細分析可能なセキュリティ装置の利用が一般的であるが,単位通信量あたりのコストが高いためセキュリティ装置に引込まれる通信量を減らすことが経済的に望ましい.具体的には一次検知として転送装置とサーバで攻撃被疑フローを決定し,二次検知として当該フローのみをセキュリティ装置に引込み詳細分析をする二段検知を行うことで,セキュリティ装置に引込まれる通信量を減らせる.一方,従来の二段検知では通信量を判定基準として一次検知を行うため,当該攻撃が低通信量で発生した場合に一次検知ができない課題があった.
本稿では実通信データを用いてクライアントからサーバへのフローのパケット連続到着時間に通常時と攻撃時で差があることを確認した.この事実に基づき,当該攻撃が低通信量で発生した場合でも検知可能とすることを目的に,パケット連続到着時間を判定基準した一次検知方式を提案する.提案方式と従来方式との定性的な比較評価により提案方式の有効性を示し,提案方式の入力パラメタの変化による攻撃見逃し率の変化に関して考察を行った. |
(英) |
Application layer DDoS attacks occur frequently. In order to detect the attacks in network, a security appliance with Deep Packet Inspection capability is deployed. Since it costs much to apply Deep Packet Inspection for every traffic flow, it is practical to deploy 2-stage detection model: 1st-stage finds suspicious traffic flows and extradites only the suspicious flows to the security appliance, and then 2nd-stage executes detailed analysis. However, the conventional methods in the 1st-stage could fail to find low-volume application DDoS attacks since it only calculates the amount of traffic.
In this paper, we propose a new 1st-stage detection method based on continuous packet arrival duration. We show the fact that there is a distinct difference in duration of continuous packet arrival between normal traffic and attack traffic. We describe how this insight is applied to the proposed method and discuss the effectiveness of the method by qualitative evaluation comparing with the conventional method. We also discuss the variation of undetected rate by parameter setting. |
キーワード |
(和) |
DDoS攻撃 / 攻撃検知 / HTTP GET Flooding / パケットカウント / 検知精度 / 低通信量攻撃 / / |
(英) |
DDoS attack / Attack detection / HTTP GET Flooding / Packet counting / Detection accuracy / Low volume attacks / / |
文献情報 |
信学技報, vol. 115, no. 488, ICSS2015-56, pp. 53-58, 2016年3月. |
資料番号 |
ICSS2015-56 |
発行日 |
2016-02-25 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2015-56 |