Skip to main content
QUICK REVIEW

[論文レビュー] An ISP Level Solution to Combat DDoS Attacks using Combined Statistical Based Approach

Brij B. Gupta, Manoj Misra|arXiv (Cornell University)|Mar 12, 2012
Network Security and Intrusion Detection参考文献 32被引用数 44
ひとこと要約

本稿では、統計的指標(ボリュームおよびフロー)を組み合わせ、シックスシグマおよび許容係数法による動的しきい値設定を用いるISPレベルのDDoS検出フレームワークを提案する。NS-2シミュレーションで評価した結果、ゾンビ数や攻撃強度が異なる多様な攻撃シナリオにおいて、従来のボリュームベースの手法に比べ、誤検出および見逃しを低減し、精度が向上した。

ABSTRACT

Disruption from service caused by DDoS attacks is an immense threat to Internet today. These attacks can disrupt the availability of Internet services completely, by eating either computational or communication resources through sheer volume of packets sent from distributed locations in a coordinated manner or graceful degradation of network performance by sending attack traffic at low rate. In this paper, we describe a novel framework that deals with the detection of variety of DDoS attacks by monitoring propagation of abrupt traffic changes inside ISP Domain and then characterizes flows that carry attack traffic. Two statistical metrics namely, Volume and Flow are used as parameters to detect DDoS attacks. Effectiveness of an anomaly based detection and characterization system highly depends on accuracy of threshold value settings. Inaccurate threshold values cause a large number of false positives and negatives. Therefore, in our scheme, Six-Sigma and varying tolerance factor methods are used to identify threshold values accurately and dynamically for various statistical metrics. NS-2 network simulator on Linux platform is used as simulation testbed to validate effectiveness of proposed approach. Different attack scenarios are implemented by varying total number of zombie machines and at different attack strengths. The comparison with volume-based approach clearly indicates the supremacy of our proposed system.

研究の動機と目的

  • リソース枯渇または低レート劣化によってインターネットサービスの可用性が損なわれるDDoS攻撃の増加する脅威に対処すること。
  • ISPドメイン内において、高ボリュームおよび低レート攻撃の両方に効果的な異常検出システムを構築すること。
  • 固定値ではなく統計的手法を用いて動的にしきい値を設定することで、検出精度を向上させること。
  • 急激なトラフィック変化の監視とボリュームおよびフロー指標の適用により、攻撃フローを特定・特徴付けること。

提案手法

  • フレームワークは、ISPドメイン内での急激なトラフィック変化を監視し、潜在的なDDoS活動を検出する。
  • 2つの統計的指標、すなわちボリューム(合計データレート)およびフロー(アクティブな接続数)を用いて異常を検出する。
  • シックスシグマおよび変動する許容係数法を用いて、各指標の動的でデータ駆動型のしきい値を計算する。
  • しきい値は正常なトラフィックの変動に適応するために継続的に更新され、誤検出および見逃しを最小限に抑える。
  • 統計的に導かれた正常行動からの逸脱に基づいて、フローを悪意あるものと分類する。
  • Linux上でのNS-2ネットワークシミュレータを用い、ゾンビマシンの数や攻撃強度が異なるさまざまなDDoSシナリオをエミュレートする。

実験結果

リサーチクエスチョン

  • RQ1統計的トラフィック解析を用いて、ISPネットワークドメイン内で低レートおよび高ボリュームの両方のDDoS攻撃を検出できるISPレベルのシステムは、どのように実現できるか?
  • RQ2リアルタイムでのISPネットワークドメイン内におけるDDoS異常を特定するうえで、最も効果的な統計的指標は何か?
  • RQ3動的しきい値設定は、異常ベースのDDoS検出において固定しきい値と比較して、検出精度をどのように向上させるか?
  • RQ4ボリュームとフローの組み合わせ指標アプローチは、DDoS検出における誤検出および見逃しをどの程度低減できるか?
  • RQ5異なる数のハイジャックホストおよび攻撃強度を想定した条件下で、提案されたシステムの性能はどの程度か?

主な発見

  • シックスシグマおよび許容係数法を用いた動的しきい値設定により、誤検出および見逃しを顕著に低減した。
  • ボリュームとフローの組み合わせ指標は、ボリュームのみの手法に比べ、高レートおよび低レート攻撃の両方をより効果的に検出可能である。
  • シミュレーション結果から、ゾンビマシン数や攻撃強度が異なる複数の攻撃シナリオにおいて、検出精度が向上したことが示された。
  • 動的しきい値設定メカニズムは、正常なトラフィックパターンに適応し、誤報を引き起こさずに高い検出感度を維持した。
  • ボリュームベースの検出に比べ、提案されたフレームワークは、攻撃トラフィックをより高い正確性(precision)と再現率(recall)で同定できることを示した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。