| 講演名 | 2002/12/6 プロトコル手順解析とパケット解析に基づくDDoS検知手法の提案 阿野 茂浩, 長谷川 亨, 久保田 文人, |
|---|---|
| PDFダウンロードページ | PDFダウンロードページへ |
| 抄録(和) | 本稿では、ISPのような単一のドメインに収容されたサーバに対するTCP SYN floodによるDDoS攻撃者を特定する手法を提案する。本手法は、管理対象であるISP内に分散配置された複数のモニタが、ソースアドレスを改竄したDDoSパケットをTCPの3way handshakeに基づくプロトコル手順により検出した後、DDoSパケットのISPへの侵入回線を特定しており、IDS(Intrusion Detection System)の機能とIPトレースバックの機能を組み合わせた手法となっている。このような複雑な解析手順を行う場合は、アクティブネットワーク技術を用いた、解析手順をプログラムにより記述することができるプログラマブルモニタが有効である。このため、筆者らはDDoS検知手法の提案に加えて、プログラマブルモニタを汎用のPC上に実装した場合の基本性能評価、ならびに、提案手法を記述したプログラムをプログラマブルモニタ上で動作させた場合の性能評価を行った。これにより、提案手法がプログラマブルモニタ上で性能劣化をほとんど引き起こすことなく、実現可能であることを示すとともに、提案手法に関する有効性についても論じる。 |
| 抄録(英) | Recently, the network attacks such as DDoSs (Distributed Denial of Service) have been increasing. In order to cope with the increase, many ISP (Internet Service Provider) customers introduce IDSs (Intrusion Detection Systems). However, the IDSs cannot always detect the network attacks due to dropping the packets when DDoS packets are aggregated to the customer's gigabit link. In addition, the DDoS packets block the user packets unless the ISP operator filters them at the ingress links from the exterior networks. Therefore, for ISP network management, we propose a DDoS attack and source detection system that includes the IDS function and IP trace back function. The system consists of the monitors and their manager. A monitor is deployed over every border link with the exterior IP network or ISP customer's LAN to watch the ingress traffic to the ISP network. The distributed multiple monitors can share the DDoS detection load such as capturing and analyzing the traffic; therefore they are applicable to large scale ISP networks using PC-based DDoS detection system. Furthermore, each monitor uses the trace back function to identify the DDoS packets. In this paper, we show the effectiveness of the system by supporting both functions of IDS and IP trace back through its implementation and the evaluation results. |
| キーワード(和) | トラヒックモニタ / ネットワーク管理 / DDoS / アクティブネットワーク |
| キーワード(英) | Traffic Monitor / Network Management / DDoS / Active Network |
| 資料番号 | IN2002-148 |
| 発行日 |
| 研究会情報 | |
| 研究会 | IN |
|---|---|
| 開催期間 | 2002/12/6(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information Networks (IN) |
|---|---|
| 本文の言語 | ENG |
| タイトル(和) | プロトコル手順解析とパケット解析に基づくDDoS検知手法の提案 |
| サブタイトル(和) | |
| タイトル(英) | A DDoS Detection Method based on Analysis of Protocol Sequence and Packet Header Information |
| サブタイトル(和) | |
| キーワード(1)(和/英) | トラヒックモニタ / Traffic Monitor |
| キーワード(2)(和/英) | ネットワーク管理 / Network Management |
| キーワード(3)(和/英) | DDoS / DDoS |
| キーワード(4)(和/英) | アクティブネットワーク / Active Network |
| 第 1 著者 氏名(和/英) | 阿野 茂浩 / Shigehiro ANO |
| 第 1 著者 所属(和/英) | (株)KDDI研究所 KDDI R&D Laboratories Inc. |
| 第 2 著者 氏名(和/英) | 長谷川 亨 / Toru HASEGAWA |
| 第 2 著者 所属(和/英) | (株)KDDI研究所 KDDI R&D Laboratories Inc. |
| 第 3 著者 氏名(和/英) | 久保田 文人 / Fumito KUBOTA |
| 第 3 著者 所属(和/英) | 通信総合研究所 Communications Research Laboratory |
| 発表年月日 | 2002/12/6 |
| 資料番号 | IN2002-148 |
| 巻番号(vol) | vol.102 |
| 号番号(no) | 498 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |