| 電子情報通信学会 研究会発表申込システム 講演論文 詳細 |
技報閲覧サービス [ログイン] 技報アーカイブ |
| トップに戻る | 前のページに戻る | [Japanese] / [English] |
| 講演抄録/キーワード | ||
| 講演名 | 2016-03-03 16:00 パケット連続到着時間を判定基準とした攻撃検知方式の評価 ○林 裕平・西山聡史・鈴木昭徳・阪井勝彦・工藤伊知郎・神谷和憲(NTT)  ICSS2015-56 |
|
| 抄録 | (和) | 近年,アプリケーションを対象としたDDoS攻撃が増加している.網でDDoS攻撃検知を行う上では通信を詳細分析可能なセキュリティ装置の利用が一般的であるが,単位通信量あたりのコストが高いためセキュリティ装置に引込まれる通信量を減らすことが経済的に望ましい.具体的には一次検知として転送装置とサーバで攻撃被疑フローを決定し,二次検知として当該フローのみをセキュリティ装置に引込み詳細分析をする二段検知を行うことで,セキュリティ装置に引込まれる通信量を減らせる.一方,従来の二段検知では通信量を判定基準として一次検知を行うため,当該攻撃が低通信量で発生した場合に一次検知ができない課題があった. 本稿では実通信データを用いてクライアントからサーバへのフローのパケット連続到着時間に通常時と攻撃時で差があることを確認した.この事実に基づき,当該攻撃が低通信量で発生した場合でも検知可能とすることを目的に,パケット連続到着時間を判定基準した一次検知方式を提案する.提案方式と従来方式との定性的な比較評価により提案方式の有効性を示し,提案方式の入力パラメタの変化による攻撃見逃し率の変化に関して考察を行った. |
| (英) | Application layer DDoS attacks occur frequently. In order to detect the attacks in network, a security appliance with Deep Packet Inspection capability is deployed. Since it costs much to apply Deep Packet Inspection for every traffic flow, it is practical to deploy 2-stage detection model: 1st-stage finds suspicious traffic flows and extradites only the suspicious flows to the security appliance, and then 2nd-stage executes detailed analysis. However, the conventional methods in the 1st-stage could fail to find low-volume application DDoS attacks since it only calculates the amount of traffic. In this paper, we propose a new 1st-stage detection method based on continuous packet arrival duration. We show the fact that there is a distinct difference in duration of continuous packet arrival between normal traffic and attack traffic. We describe how this insight is applied to the proposed method and discuss the effectiveness of the method by qualitative evaluation comparing with the conventional method. We also discuss the variation of undetected rate by parameter setting. |
|
| キーワード | (和) | DDoS攻撃 / 攻撃検知 / HTTP GET Flooding / パケットカウント / 検知精度 / 低通信量攻撃 / / |
| (英) | DDoS attack / Attack detection / HTTP GET Flooding / Packet counting / Detection accuracy / Low volume attacks / / | |
| 文献情報 | 信学技報, vol. 115, no. 488, ICSS2015-56, pp. 53-58, 2016年3月. | |
| 資料番号 | ICSS2015-56 | |
| 発行日 | 2016-02-25 (ICSS) | |
| ISSN | Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 | |
| 著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) | |
| PDFダウンロード | ICSS2015-56 |
|
| 研究会情報 | |
| 研究会 | ICSS IPSJ-SPT |
| 開催期間 | 2016-03-03 - 2016-03-04 |
| 開催地(和) | 京都大学 学術情報メディアセンター 南館 |
| 開催地(英) | Academic Center for Computing and Media Studies, Kyoto University |
| テーマ(和) | 情報通信システムセキュリティ、一般 |
| テーマ(英) | Information and Communication System Security, etc. |
| 講演論文情報の詳細 | |
| 申込み研究会 | ICSS |
| 会議コード | 2016-03-ICSS-SPT |
| 本文の言語 | 日本語 |
| タイトル(和) | パケット連続到着時間を判定基準とした攻撃検知方式の評価 |
| サブタイトル(和) | |
| タイトル(英) | Evaluation of the attack detection method based on duration of continuous packet arrival |
| サブタイトル(英) | |
| キーワード(1)(和/英) | DDoS攻撃 / DDoS attack |
| キーワード(2)(和/英) | 攻撃検知 / Attack detection |
| キーワード(3)(和/英) | HTTP GET Flooding / HTTP GET Flooding |
| キーワード(4)(和/英) | パケットカウント / Packet counting |
| キーワード(5)(和/英) | 検知精度 / Detection accuracy |
| キーワード(6)(和/英) | 低通信量攻撃 / Low volume attacks |
| キーワード(7)(和/英) | / |
| キーワード(8)(和/英) | / |
| 第1著者 氏名(和/英/ヨミ) | 林 裕平 / Yuhei Hayashi / ハヤシ ユウヘイ |
| 第1著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone corporation (略称: NTT) |
| 第2著者 氏名(和/英/ヨミ) | 西山 聡史 / Satoshi Nishiyama / ニシヤマ サトシ |
| 第2著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone corporation (略称: NTT) |
| 第3著者 氏名(和/英/ヨミ) | 鈴木 昭徳 / Akinori Suzuki / スズキ アキノリ |
| 第3著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone corporation (略称: NTT) |
| 第4著者 氏名(和/英/ヨミ) | 阪井 勝彦 / Katsuhiko Sakai / サカイ カツヒコ |
| 第4著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone corporation (略称: NTT) |
| 第5著者 氏名(和/英/ヨミ) | 工藤 伊知郎 / Ichiro Kudo / クドウ イチロウ |
| 第5著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone corporation (略称: NTT) |
| 第6著者 氏名(和/英/ヨミ) | 神谷 和憲 / Kazunori Kamiya / カミヤ カズノリ |
| 第6著者 所属(和/英) | 日本電信電話株式会社 (略称: NTT) Nippon Telegraph and Telephone corporation (略称: NTT) |
| 第7著者 氏名(和/英/ヨミ) | / / |
| 第7著者 所属(和/英) | (略称: ) (略称: ) |
| 第8著者 氏名(和/英/ヨミ) | / / |
| 第8著者 所属(和/英) | (略称: ) (略称: ) |
| 第9著者 氏名(和/英/ヨミ) | / / |
| 第9著者 所属(和/英) | (略称: ) (略称: ) |
| 第10著者 氏名(和/英/ヨミ) | / / |
| 第10著者 所属(和/英) | (略称: ) (略称: ) |
| 第11著者 氏名(和/英/ヨミ) | / / |
| 第11著者 所属(和/英) | (略称: ) (略称: ) |
| 第12著者 氏名(和/英/ヨミ) | / / |
| 第12著者 所属(和/英) | (略称: ) (略称: ) |
| 第13著者 氏名(和/英/ヨミ) | / / |
| 第13著者 所属(和/英) | (略称: ) (略称: ) |
| 第14著者 氏名(和/英/ヨミ) | / / |
| 第14著者 所属(和/英) | (略称: ) (略称: ) |
| 第15著者 氏名(和/英/ヨミ) | / / |
| 第15著者 所属(和/英) | (略称: ) (略称: ) |
| 第16著者 氏名(和/英/ヨミ) | / / |
| 第16著者 所属(和/英) | (略称: ) (略称: ) |
| 第17著者 氏名(和/英/ヨミ) | / / |
| 第17著者 所属(和/英) | (略称: ) (略称: ) |
| 第18著者 氏名(和/英/ヨミ) | / / |
| 第18著者 所属(和/英) | (略称: ) (略称: ) |
| 講演者 | 第1著者 |
| 発表日時 | 2016-03-03 16:00:00 |
| 発表時間 | 30分 |
| 申込先研究会 | ICSS |
| 資料番号 | ICSS2015-56 |
| 巻番号(vol) | vol.115 |
| 号番号(no) | no.488 |
| ページ範囲 | pp.53-58 |
| ページ数 | 6 |
| 発行日 | 2016-02-25 (ICSS) |
[研究会発表申込システムのトップページに戻る]