Skip to main content
QUICK REVIEW

[論文レビュー] Mitigating Link-flooding Attacks With Active Link Obfuscation.

Qian Wang, Feng Xiao|arXiv (Cornell University)|Mar 28, 2017
Network Security and Intrusion Detection被引用数 4
ひとこと要約

本稿では、リンクフローディング攻撃(LFA)に対する能動的防御メカニズムであるLinkbaitを提案する。Linkbaitは、敵対者に偽のリンクマップを提供することでネットワークトポロジーを隠蔽し、敵対者を偽のリンク(ダミー)に誘導する。動的リンク再ルーティングとSVMベースのボット検出を組み合わせることで、事前のボット同定が不要な状態でジャムトラフィックを低減し、正当な通信フローを保護する。

ABSTRACT

Link-flooding attack (LFA) has emerged as a serious threat to Internet which cuts off connections between legitimate hosts and targeted servers by flooding only a few links (e.g., target links). Several mechanisms have been proposed to mitigate LFA, however, they can only mitigate LFA passively after target links have been compromised by adversaries. Based on the fact that adversaries rely on network linkmap to launch LFA, in this paper, we propose an active LFA mitigation mechanism, called Linkbait, that actively mitigates LFA by providing a fake linkmap to adversaries. Inspired by Moving Target Defense (MTD), we propose a link obfuscation algorithm in Linkbait that selectively reroutes detecting flows to hide target links from adversaries and mislead them to consider some bait links as target links. By providing the faked linkmap to adversaries, Linkbait can actively mitigate LFA even without identifying bots and does not affect flows from legitimate hosts. In order to further reduce the junk traffic generated by adversaries from entering the network, we propose a bot detection algorithm in Linkbait that extracts unique traffic patterns from LFA and leverages Support Vector Machine to accurately distinguish bots from legitimate hosts. Finally, we evaluate the feasibility of implementing Linkbait in real Internet, and evaluate its performance by using both a real-world testbed and large-scale simulations. The analyses and experiments results demonstrate the effectiveness of Linkbait.

研究の動機と目的

  • 特定のネットワークリンクを過負荷にすることで正当な通信を妨げる、増加するリンクフローディング攻撃(LFA)の脅威に対処すること。
  • 標的リンクが侵害された後にのみ反応する、受動的LFA緩和手法の限界を克服すること。
  • トポロジー隠蔽を用いて、敵対者から真正の標的リンクを事前に隠す能動的防御メカニズムを開発すること。
  • LFAに起因する特徴的なトラフィックパターンに基づいてボットを検出することで、悪意あるソースからのジャムトラフィックを最小限に抑えること。
  • 攻撃的トラフィックが誘導され制限される一方で、正当なホストトラフィックが影響を受けないよう保証すること。

提案手法

  • 真正の標的リンクを隠し、敵対者をダミー(罠)リンクに誘導するように、検出用フローを意図的に再ルーティングするリンク隠蔽アルゴリズムを設計する。
  • プローブに応じてネットワークトポロジーを動的に変更することで、ダミーのリンクマップを構築し、敵対者に罠リンクが実際の標的であるように見せかける。
  • LFAに起因する特徴的なトラフィックパターンに基づいて悪意あるトラフィックを識別するため、サポートベクターマシン(SVM)を用いたボット検出モジュールを統合する。
  • プローブフローを用いてネットワークトポロジーの変化を検出し、隠蔽戦略をリアルタイムで適応可能にする。
  • 能動的隠蔽とボット検出を統合することで、ネットワークへのジャムトラフィックの流入量を低減し、防御のレジリエンスを向上させる。
  • 実世界のテストベッドおよび大規模シミュレーションを用いてLinkbaitを実装・評価し、実用性と性能を検証する。

実験結果

リサーチクエスチョン

  • RQ1能動的防御メカニズムは、真正の標的リンクが侵害される前に、リンクフローディング攻撃を効果的に緩和できるか?
  • RQ2偽のリンクマップは、敵対者を真正の標的ではなくダミーのリンクに誘導する程度はどの程度か?
  • RQ3事前のシグネチャを知らなくても、トラフィックパターン解析とSVMを組み合わせることで、LFAボットをどの程度正確に検出できるか?
  • RQ4実際のネットワーク環境において、提案された隠蔽および検出メカニズムのパフォーマンスオーバーヘッドとスケーラビリティはどの程度か?
  • RQ5能動的隠蔽とボット検出の統合は、全体的なジャムトラフィックをどの程度低減し、正当な通信フローを保護するか?

主な発見

  • Linkbaitは、説得力のある偽のリンクマップを提供することで、敵対者をダミーのリンクに誘導し、真正の標的リンクへの影響を顕著に低減した。
  • SVMベースのボット検出アルゴリズムは、LFAに起因する特徴的なトラフィックパターンを特定することで、悪意あるトラフィックと正当な通信を正確に区別した。
  • 能動的隠蔽とボット検出の統合により、ネットワークへのジャムトラフィックの流入量が低減し、全体のネットワークレジリエンスが向上した。
  • 実世界のテストベッドおよび大規模シミュレーションによる評価から、Linkbaitは正当なホストの接続性を維持しながら、LFAを効果的に緩和することが確認された。
  • Linkbaitは、ボットインfraの事前の同定が不要であるため、未知またはゼロデイのLFA変種に対しても予防的防御が可能である。
  • 正当なトラフィックへのパフォーマンスオーバーヘッドは最小限に抑えられており、実インターネット環境における実用的導入が可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。