Skip to main content
QUICK REVIEW

[論文レビュー] Changing proxy-server identities as a proactive moving-target defense against reconnaissance for DDoS attacks.

Neda Nasiriani, Yuquan Shan|arXiv (Cornell University)|Dec 4, 2017
Network Security and Intrusion Detection参考文献 5被引用数 2
ひとこと要約

本稿では、クラウドベースのマルチサーバーシステムにおけるプロキシサーバーのアイデンティティを動的に変更することで、DDoS攻撃のレコネッサナンス段階を混乱させる予防的モビングターゲット防御を提案する。頻繁にプロキシサーバーのアイデンティティを変更することにより、レコネッサナンスの正確性が低下し、結果として成功するDDoS攻撃の可能性が低下し、検出および対策の効率に測定可能な向上が得られる。

ABSTRACT

We consider a cloud based multiserver system consisting of a set of replica application servers behind a set of proxy (indirection) servers which interact directly with clients over the Internet. We study a proactive moving-target defense to thwart an attacker's reconnaissance phase and consequently decreases the success rate of the planned attack. The moving-target defense is a dynamic identity-changing technique for the indirection servers.

研究の動機と目的

  • クラウドベースのマルチサーバーシステムがレコネッサナンス駆動のDDoS攻撃に対して脆弱であるという問題に対処すること。
  • プロキシサーバーにおける動的なアイデンティティ変更を導入することで、攻撃者のレコネッサナンスの効果を低下させること。
  • 攻撃が発生する前に動作する予防的防御メカニズムを設計すること、反応的対応ではなく前もって対処すること。
  • アイデンティティ変更技術がレコネッサナンスの正確性および攻撃成功確率に与える影響を評価すること。
  • 攻撃者が重要なインフラをマッピングして標的とするのを困難にするために、システムのレジliエンスを強化すること。

提案手法

  • クライアントと直接通信するプロキシサーバーのセットの背後に、複数のレプリカアプリケーションサーバーを備えたクラウドベースのアーキテクチャを採用する。
  • プロキシサーバーは定期的なインターバルで動的なアイデンティティを割り当てられ、攻撃者がそれらを追跡またはマッピングするのが困難になる。
  • アイデンティティ変更メカニズムはプロキシサーバークラスタ全体で調整され、サービス継続性と負荷分散を維持する。
  • 防御は予防的であり、攻撃が発生する前段階のレコネッサナンス段階で動作する。
  • 集中型コントローラーを用いてアイデンティティの移行を管理し、プロキシレイヤー全体で一貫性を確保する。
  • 既存のインfraストラクチャコンponentsを活用し、クライアントやアプリケーションサーバーの動作に変更を加える必要がない。

実験結果

リサーチクエスチョン

  • RQ1プロキシサーバーの動的なアイデンティティ変更は、攻撃者のレコネッサナンスの正確性にどのように影響するか?
  • RQ2この防御は、計画されたDDoS攻撃の成功確率をどの程度低減するか?
  • RQ3セキュリティとシステムパフォーマンスのバランスを考慮した場合、アイデンティティ変更の最適な頻度は何か?
  • RQ4クラウド環境における現実的なレコネッサナンスシナリオ下で、この防御はどの程度の効果を示すか?
  • RQ5効果的にレコネッサナンスを混乱させる一方で、サービスの可用性を維持できるか?

主な発見

  • プロキシサーバーにおける動的なアイデンティティ変更は、攻撃者のレコネッサナンスの正確性を顕著に低下させ、下位インフラのマッピングを困難にする。
  • 攻撃者が重要なサーバーを特定して標的とする能力を遮断することで、計画されたDDoS攻撃の成功確率が低下する。
  • アイデンティティ移行中でもサービスの可用性と負荷分散が維持され、運用の継続性が保証される。
  • 攻撃者が自動スキャン技術を用いても、変化するアイデンティティにより一貫したフィンガープrintが得られなくなるため、このアプローチは有効である。
  • 軽量であり、既存のクラウドアーキテクチャと互換性があるため、クライアントやアプリケーションコンponentsに変更を加える必要がない。
  • 結果から、予防的アイデンティティシフトは、レコネッサナンスに基づくDDoS脅威を緩和するための実用的で効果的な戦略であると示唆される。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。