Skip to main content
QUICK REVIEW

[論文レビュー] Entropy based Anomaly Detection System to Prevent DDoS Attacks in Cloud

A. S. Syed Navaz, V. Sangeetha|arXiv (Cornell University)|Aug 28, 2013
Network Security and Intrusion Detection参考文献 1被引用数 30
ひとこと要約

本稿では、クラウド環境におけるDDoS攻撃を防止するために、インシデント検出と統合されたエントロピーに基づく異常検出システムを提案する。トラフィックのエントロピーをオンプレミスおよびクラウド側の2つのネットワーク層で分析することで、正常な挙動からの逸脱を特定し、しきい値を超えるエントロピー値を示すユーザーを潜在的な侵入者として特定する。これにより、シグネチャベースの手法を超えてゼロデイ攻撃やステルス攻撃の検出が向上する。

ABSTRACT

Cloud Computing is a recent computing model provides consistent access to wide area distributed resources. It revolutionized the IT world with its services provision infrastructure, less maintenance cost, data and service availability assurance, rapid accessibility and scalability. Grid and Cloud Computing Intrusion Detection System detects encrypted node communication and find the hidden attack trial which inspects and detects those attacks that network based and host based cant identify. It incorporates Knowledge and behavior analysis to identify specific intrusions. Signature based IDS monitor the packets in the network and identifies those threats by matching with database but It fails to detect those attacks that are not included in database. Signature based IDS will perform poor capturing in large volume of anomalies. Another problem is that Cloud Service Provider hides the attack that is caused by intruder, due to distributed nature cloud environment has high possibility for vulnerable resources. By impersonating legitimate users, the intruders can use a services abundant resources maliciously. In Proposed System we combine few concepts which are available with new intrusion detection techniques. Here to merge Entropy based System with Anomaly detection System for providing multilevel Distributed Denial of Service. This is done in two steps: First, Users are allowed to pass through router in network site in that it incorporates Detection Algorithm and detects for legitimate user. Second, again it pass through router placed in cloud site in that it incorporates confirmation Algorithm and checks for threshold value, if its beyond the threshold value it considered as legitimate user, else its an intruder found in environment.

研究の動機と目的

  • クラウド環境における未知またはゼロデイ攻撃のシグネチャベースのインシデント検出システム(IDS)の限界を是正すること。
  • 分散型サービス拒否(DDoS)攻撃を示す異常なトラフィックパターンを特定するため、エントロピーに基づく分析を活用すること。
  • オンプレミスルーターおよびクラウドルーターでの二段階の検証プロセスを実装することで、検出精度を向上させること。
  • エントロピーしきい値を用いた挙動の逸脱をモニタリングすることで、誤検出を低減し、ステルス攻撃の検出を向上させること。
  • エントロピー分析と異常検出を組み合わせたマルチレベル防御メカニズムを提供し、クラウドセキュリティを強化すること。

提案手法

  • システムは、オンプレミスルーターでのネットワークトラフィックのランダム性を測定するエントロピー計算を用い、潜在的な異常を特定する。
  • 正当なユーザーは、エントロピーに基づく検出によって正常な挙動が確認された後、最初のルーターを通過できる。
  • その後、トラフィックはクラウド側のルーターで再評価され、確認アルゴリズムがエントロピーが事前に定義されたしきい値を超えるかどうかをチェックする。
  • エントロピー値がしきい値を超える場合、ユーザーは侵入者と分類される。それ以外の場合は、正当なユーザーとみなされる。
  • 従来のネットワークベースまたはホストベースのIDSでは特定できない攻撃を検出するために、知識ベース分析と行動モデリングを組み合わせる。
  • 二重層アーキテクチャにより、一貫性があり、エントロピーが低い(予測可能な)トラフィックパターンを持つユーザーのみがアクセスを許可され、リソース枯渇のリスクが低減される。

実験結果

リサーチクエスチョン

  • RQ1エントロピーに基づく分析は、クラウド環境におけるDDoS攻撃を示す異常なトラフィックパターンを効果的に検出できるか?
  • RQ2エントロピーと異常検出を組み合わせることで、シグネチャベースのシステムと比較して、ゼロデイ攻撃や未知の攻撃の検出がどの程度向上するか?
  • RQ3誤検出と悪意ある挙動の検出の両者に最適なバランスを保つために、エントロピーのどのしきい値が適切か?
  • RQ4オンプレミスおよびクラウド側の二段階検出メカニズムは、リソースを過剰に消費する前に侵入者を効果的に特定できるか?
  • RQ5エントロピーに基づく検出は、クラウド環境の分散性から生じる攻撃の隠蔽を防ぐために、どの程度リソース枯渇のリスクを低減できるか?

主な発見

  • 提案されたシステムは、シグネチャデータベースに存在しない攻撃であっても、エントロピー分析による異常なトラフィックパターンの特定によってDDoS攻撃を効果的に検出できた。
  • 最初にオンプレミスルーターで、次にクラウド側ルーターで実施する二段階の検出プロセスにより、検出精度が向上し、誤検出が低減された。
  • 定義されたしきい値を超える高いエントロピー値を示すユーザーは、リソース枯渇などの悪意ある挙動を示す潜在的侵入者としてフラグが立てられた。
  • システムは、クラウド環境の分散性から生じる攻撃の隠蔽を防ぐために、クラウドサービスプロバイダーによる攻撃の隠蔽リスクを効果的に低減した。
  • エントロピーと異常検出を組み合わせることで、従来のシグネチャベースのIDSよりも、新しいまたはゼロデイ攻撃のDDoS攻撃検出において優れた性能を示した。
  • 本手法により、従来のネットワークベースおよびホストベースのインシデント検出システムが回避するステルス攻撃を検出できるようになり、クラウド環境におけるセキュリティが強化された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。