パケット連続到着時間を判定基準とした攻撃検知方式の評価

林 裕平; 西山 聡史; 鈴木 昭徳; 阪井 勝彦; 工藤 伊知郎; 神谷 和憲

講演名	2016-03-03 パケット連続到着時間を判定基準とした攻撃検知方式の評価林裕平(NTT), 西山聡史(NTT), 鈴木昭徳(NTT), 阪井勝彦(NTT), 工藤伊知郎(NTT), 神谷和憲(NTT),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	近年，アプリケーションを対象としたDDoS攻撃が増加している．網でDDoS攻撃検知を行う上では通信を詳細分析可能なセキュリティ装置の利用が一般的であるが，単位通信量あたりのコストが高いためセキュリティ装置に引込まれる通信量を減らすことが経済的に望ましい．具体的には一次検知として転送装置とサーバで攻撃被疑フローを決定し，二次検知として当該フローのみをセキュリティ装置に引込み詳細分析をする二段検知を行うことで，セキュリティ装置に引込まれる通信量を減らせる．一方，従来の二段検知では通信量を判定基準として一次検知を行うため，当該攻撃が低通信量で発生した場合に一次検知ができない課題があった．本稿では実通信データを用いてクライアントからサーバへのフローのパケット連続到着時間に通常時と攻撃時で差があることを確認した．この事実に基づき，当該攻撃が低通信量で発生した場合でも検知可能とすることを目的に，パケット連続到着時間を判定基準した一次検知方式を提案する．提案方式と従来方式との定性的な比較評価により提案方式の有効性を示し，提案方式の入力パラメタの変化による攻撃見逃し率の変化に関して考察を行った．
抄録(英)	Application layer DDoS attacks occur frequently. In order to detect the attacks in network, a security appliance with Deep Packet Inspection capability is deployed. Since it costs much to apply Deep Packet Inspection for every traffic flow, it is practical to deploy 2-stage detection model: 1st-stage finds suspicious traffic flows and extradites only the suspicious flows to the security appliance, and then 2nd-stage executes detailed analysis. However, the conventional methods in the 1st-stage could fail to find low-volume application DDoS attacks since it only calculates the amount of traffic. In this paper, we propose a new 1st-stage detection method based on continuous packet arrival duration. We show the fact that there is a distinct difference in duration of continuous packet arrival between normal traffic and attack traffic. We describe how this insight is applied to the proposed method and discuss the effectiveness of the method by qualitative evaluation comparing with the conventional method. We also discuss the variation of undetected rate by parameter setting.
キーワード(和)	DDoS攻撃 / 攻撃検知 / HTTP GET Flooding / パケットカウント / 検知精度 / 低通信量攻撃
キーワード(英)	DDoS attack / Attack detection / HTTP GET Flooding / Packet counting / Detection accuracy / Low volume attacks
資料番号	ICSS2015-56
発行日	2016-02-25 (ICSS)

研究会情報
研究会	ICSS / IPSJ-SPT
開催期間	2016/3/3(から2日開催)
開催地（和）	京都大学学術情報メディアセンター南館
開催地（英）	Academic Center for Computing and Media Studies, Kyoto University
テーマ（和）	情報通信システムセキュリティ、一般
テーマ（英）	Information and Communication System Security, etc.
委員長氏名（和）	三宅優(KDDI研)
委員長氏名（英）	Yutaka Miyake(KDDI R&D Labs.)
副委員長氏名（和）	西出隆志(筑波大) / 白石善明(神戸大)
副委員長氏名（英）	Takashi Nishide(Univ. of Tsukuba) / Yoshiaki Shiraishi(Kobe Univ.)
幹事氏名（和）	植田武(三菱電機) / 高倉弘喜(NII)
幹事氏名（英）	Takeshi Ueda(Mitsubishi Electric) / Hiroki Takakura(NII)
幹事補佐氏名（和）	吉岡克成(横浜国大) / 神谷和憲(NTT)
幹事補佐氏名（英）	Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT)

講演論文情報詳細
申込み研究会	Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust
本文の言語	JPN
タイトル（和）	パケット連続到着時間を判定基準とした攻撃検知方式の評価
サブタイトル（和）
タイトル（英）	Evaluation of the attack detection method based on duration of continuous packet arrival
サブタイトル（和）
キーワード(1)（和/英）	DDoS攻撃 / DDoS attack
キーワード(2)（和/英）	攻撃検知 / Attack detection
キーワード(3)（和/英）	HTTP GET Flooding / HTTP GET Flooding
キーワード(4)（和/英）	パケットカウント / Packet counting
キーワード(5)（和/英）	検知精度 / Detection accuracy
キーワード(6)（和/英）	低通信量攻撃 / Low volume attacks
第 1 著者氏名（和/英）	林裕平 / Yuhei Hayashi
第 1 著者所属（和/英）	日本電信電話株式会社(略称：NTT) Nippon Telegraph and Telephone corporation(略称：NTT)
第 2 著者氏名（和/英）	西山聡史 / Satoshi Nishiyama
第 2 著者所属（和/英）	日本電信電話株式会社(略称：NTT) Nippon Telegraph and Telephone corporation(略称：NTT)
第 3 著者氏名（和/英）	鈴木昭徳 / Akinori Suzuki
第 3 著者所属（和/英）	日本電信電話株式会社(略称：NTT) Nippon Telegraph and Telephone corporation(略称：NTT)
第 4 著者氏名（和/英）	阪井勝彦 / Katsuhiko Sakai
第 4 著者所属（和/英）	日本電信電話株式会社(略称：NTT) Nippon Telegraph and Telephone corporation(略称：NTT)
第 5 著者氏名（和/英）	工藤伊知郎 / Ichiro Kudo
第 5 著者所属（和/英）	日本電信電話株式会社(略称：NTT) Nippon Telegraph and Telephone corporation(略称：NTT)
第 6 著者氏名（和/英）	神谷和憲 / Kazunori Kamiya
第 6 著者所属（和/英）	日本電信電話株式会社(略称：NTT) Nippon Telegraph and Telephone corporation(略称：NTT)
発表年月日	2016-03-03
資料番号	ICSS2015-56
巻番号（vol）	vol.115
号番号（no）	ICSS-488
ページ範囲	pp.53-58(ICSS),
ページ数	6
発行日	2016-02-25 (ICSS)