電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
技報オンライン
‥‥ (ESS/通ソ/エレソ/ISS)
技報アーカイブ
‥‥ (エレソ/通ソ)
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2019-05-24 09:25
3-tupleフロー中の5-tupleフロー数による低帯域L3, L4 DDoS検知特徴量
林 裕平NTT)・鈴木彦文信州大)・西岡孟朗NTT
技報オンラインサービス実施中
抄録 (和) 近年,L3, L4のプロトコルを悪用し,パルス状にDDoSを行う高度な攻撃が新たに観測されている.この攻撃は短時間の攻撃を繰り返し行うため,観測される攻撃通信帯域の時間平均が小さい値として観測される場合がある.一方,ネットワークにはルータ等の転送装置が既に広く配置されており,NetFlow等から得られる通信フローの情報を用いて最新のDDoS攻撃を検知できれば,DDoS対策の水準を経済的かつ迅速に向上させることができる.そのような中,フロー情報から通信帯域を計算し,それを機械学習と組み合わせることで,DDoS攻撃の検知を行う従来研究が存在する.しかし,これらの手法は攻撃通信の帯域が小さく,通常通信の帯域と有意な差が現れない場合は,攻撃検知が難しい課題がある.
本研究では従来研究の課題解決のため,低帯域のL3, L4 DDoS攻撃を検知可能とする特徴量とその高速な計算手法を提案する.当該特徴量は (src_ip, dst_ip, dst_port)で定義される3-tuple flow中に存在する5-tuple flow数の分布が通常通信と攻撃通信で異なる考察に基づく.また,信州大学のネットワークに対し攻撃ツールを用いて低帯域な攻撃を行いつつ取得したトラヒックデータと,WIDEが公開しているトラヒックデータに対し当該特徴量を計算し,Local Outline Filter (LOF)と組み合わせた際の攻撃検知精度の評価を実施した.評価の結果,提案特徴量は偽陰性率及び偽陽性率を低く抑えつつ攻撃検知が可能であることが解った. 
(英) Recently, new sophisticated attacks such as pulse-wave DDoS has been observed. The DDoS attack repeats short duration attacks, so the time-averaged bandwidth of the attack traffic can be observed as low rate. On the other hand, routers are already deployed in their network and it can send traffic flow information by using NetFlow etc. Level of DDoS countermeasure can be raised economically and quickly if the attacks can be detected by the flow information. Some researchers proposed to detect DDoS attack by calculating bandwidth from the flow information and collaborating it and machine learning. However, in a case where the bandwidth of attack is low so there is no significant difference between attack traffic and normal traffic in terms of bandwidth, the conventional approach is not effective.
To make up for the disadvantage of the conventional method, we propose a new feature value and its fast calculation method for detection low-bandwidth L3, L4 DDoS attacks. This feature value is based on a consideration that the number of 5-tuple flows existing in 3-tuple flow defined by (src_ip, dst_ip, dst_port) differs between normal traffic and attack traffic. In addition, we evaluated attack detection accuracy when our proposed feature value and Local Outline Filter (LOF) collaborate. Under the evaluation, we used the dataset obtained by carrying out attacks on the Shinshu University network. We also used the dataset obtained at the transit link of WIDE. The evaluation results show that the proposed feature value is effective to detect low-bandwidth L3, L4 attack while suppressing false negative and false positive
キーワード (和) DDoS / 検知 / 低帯域 / NetFlow / sFlow / 機械学習 / /  
(英) DDoS / Detection / Low-bandwidth / NetFlow / sFlow / Machine Learning / /  
文献情報 信学技報, vol. 119, no. 52, ICM2019-5, pp. 65-70, 2019年5月.
資料番号 ICM2019-5 
発行日 2019-05-16 (ICM) 
ISSN Print edition: ISSN 0913-5685  Online edition: ISSN 2432-6380

研究会情報
研究会 ICM IPSJ-CSEC IPSJ-IOT  
開催期間 2019-05-23 - 2019-05-24 
開催地(和) 大阪大学 豊中キャンパス 大阪大学会館 
開催地(英)  
テーマ(和) サービス管理,運用管理技術,セキュリティ管理,一般 
テーマ(英)  
講演論文情報の詳細
申込み研究会 ICM 
会議コード 2019-05-ICM-CSEC-IOT 
本文の言語 日本語 
タイトル(和) 3-tupleフロー中の5-tupleフロー数による低帯域L3, L4 DDoS検知特徴量 
サブタイトル(和)  
タイトル(英) Feature Value for Low-Bandwidth L3, L4 DDoS Detection based on Number of 5-tuple Flows in 3-tuple Flow 
サブタイトル(英)  
キーワード(1)(和/英) DDoS / DDoS  
キーワード(2)(和/英) 検知 / Detection  
キーワード(3)(和/英) 低帯域 / Low-bandwidth  
キーワード(4)(和/英) NetFlow / NetFlow  
キーワード(5)(和/英) sFlow / sFlow  
キーワード(6)(和/英) 機械学習 / Machine Learning  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 林 裕平 / Yuhei Hayashi / ハヤシ ユウヘイ
第1著者 所属(和/英) 日本電信電話 (略称: NTT)
Nippon Telegraph and Telephone Corporation (略称: NTT)
第2著者 氏名(和/英/ヨミ) 鈴木 彦文 / Hikofumi Suzuki / スズキ ヒコフミ
第2著者 所属(和/英) 信州大学 (略称: 信州大)
Shinshu University (略称: Shindai)
第3著者 氏名(和/英/ヨミ) 西岡 孟朗 / Takeaki Nishioka / ニシオカ タケアキ
第3著者 所属(和/英) 日本電信電話 (略称: NTT)
Nippon Telegraph and Telephone Corporation (略称: NTT)
第4著者 氏名(和/英/ヨミ) / /
第4著者 所属(和/英) (略称: )
(略称: )
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者
発表日時 2019-05-24 09:25:00 
発表時間 25 
申込先研究会 ICM 
資料番号 IEICE-ICM2019-5 
巻番号(vol) IEICE-119 
号番号(no) no.52 
ページ範囲 pp.65-70 
ページ数 IEICE-6 
発行日 IEICE-ICM-2019-05-16 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会