Skip to main content
QUICK REVIEW

[논문 리뷰] An ISP Level Solution to Combat DDoS Attacks using Combined Statistical Based Approach

Brij B. Gupta, Manoj Misra|arXiv (Cornell University)|2012. 03. 12.
Network Security and Intrusion Detection참고 문헌 32인용 수 44
한 줄 요약

이 논문은 통계적 지표인 볼륨과 플로우를 조합하고, 십자시그마 및 내성 인자 방법을 활용한 동적 임계값 설정을 통해 정확도를 향상시키는 ISP 수준의 DDoS 탐지 프레임워크를 제안한다. NS-2 시뮬레이션에서 평가된 시스템은 고정 임계값을 사용하는 전통적인 볼륨 기반 접근 방식에 비해 다양한 공격 시나리오에서 자동화된 제로 머신 수와 공격 강도가 다양할 경우에도 거짓 경고와 누락을 줄이며 성능을 뛰어나게 한다.

ABSTRACT

Disruption from service caused by DDoS attacks is an immense threat to Internet today. These attacks can disrupt the availability of Internet services completely, by eating either computational or communication resources through sheer volume of packets sent from distributed locations in a coordinated manner or graceful degradation of network performance by sending attack traffic at low rate. In this paper, we describe a novel framework that deals with the detection of variety of DDoS attacks by monitoring propagation of abrupt traffic changes inside ISP Domain and then characterizes flows that carry attack traffic. Two statistical metrics namely, Volume and Flow are used as parameters to detect DDoS attacks. Effectiveness of an anomaly based detection and characterization system highly depends on accuracy of threshold value settings. Inaccurate threshold values cause a large number of false positives and negatives. Therefore, in our scheme, Six-Sigma and varying tolerance factor methods are used to identify threshold values accurately and dynamically for various statistical metrics. NS-2 network simulator on Linux platform is used as simulation testbed to validate effectiveness of proposed approach. Different attack scenarios are implemented by varying total number of zombie machines and at different attack strengths. The comparison with volume-based approach clearly indicates the supremacy of our proposed system.

연구 동기 및 목표

  • 자원 고갈 또는 저속도 성능 저하로 인해 인터넷 서비스 가용성이 손상되는 DDoS 공격의 증가하는 위협을 해결하기 위해.
  • ISP 도메인 내에서 고속도 및 저속도 DDoS 공격 모두에 효과적인 이상 탐지 시스템을 개발하기 위해.
  • 고정된 값이 아닌 통계적 방법을 활용해 동적으로 임계값을 설정함으로써 탐지 정확도를 향상시키기 위해.
  • 갑작스러운 트래픽 변화를 모니터링하고 볼륨 및 플로우 지표를 적용하여 공격 플로우를 특성화하기 위해.

제안 방법

  • 프레임워크는 ISP 도메인 내에서 갑작스러운 트래픽 변화를 모니터링하여 잠재적인 DDoS 활동을 탐지한다.
  • 이상 탐지에 두 가지 통계적 지표인 볼륨(총 데이터 전송률)과 플로우(활성 연결 수)를 사용한다.
  • 각 지표에 대해 동적이고 데이터 기반의 임계값을 계산하기 위해 십자시그마 및 변동 내성 인자 방법을 적용한다.
  • 정상 트래픽 변동에 적응하기 위해 임계값을 지속적으로 갱신함으로써 거짓 경고와 누락을 최소화한다.
  • 통계적으로 유도된 정상 행동에서의 편차를 기반으로 플로우를 악성으로 분류한다.
  • 다양한 수의 제로 머신과 공격 강도를 가진 DDoS 시나리오를 시뮬레이션하기 위해 리눅스 환경의 NS-2 네트워크 시뮬레이터를 사용한다.

실험 결과

연구 질문

  • RQ1통계적 트래픽 분석을 통해 ISP 네트워크 도메인 내에서 저속도 및 고속도 변형을 포함한 다양한 DDoS 공격을 탐지할 수 있는 ISP 수준의 시스템은 어떻게 설계할 수 있는가?
  • RQ2실시간으로 ISP 네트워크 도메인 내에서 DDoS 이상을 식별하는 데 가장 효과적인 통계적 지표는 무엇인가?
  • RQ3이상 기반 DDoS 탐지에서 정적 임계값에 비해 동적 임계값 설정이 탐지 정확도를 어떻게 향상시킬 수 있는가?
  • RQ4볼륨과 플로우 지표의 조합 방식이 DDoS 탐지에서 거짓 경고와 누락을 얼마나 줄일 수 있는가?
  • RQ5다른 수의 손상된 호스트와 공격 강도를 가진 다양한 공격 조건에서 제안된 시스템은 어떻게 성능을 발휘하는가?

주요 결과

  • 십자시그마 및 내성 인자 방법을 기반으로 한 동적 임계값 설정을 통해 제안된 시스템은 거짓 경고와 누락을 크게 줄였다.
  • 볼륨과 플로우 지표의 조합은 볼륨 중심 접근 방식에 비해 고속도 및 저속도 DDoS 공격을 더 효과적으로 탐지할 수 있도록 했다.
  • 시뮬레이션 결과, 다양한 제로 머신 수와 공격 강도를 가진 여러 공격 시나리오에서 탐지 정확도가 향상됨을 확인했다.
  • 동적 임계값 설정 메커니즘은 정상 트래픽 패턴에 적응하여 높은 탐지 민감도를 유지하면서도 거짓 경고를 유발하지 않았다.
  • 볼륨 기반 탐지에 비해 제안된 프레임워크는 공격 트래픽을 더 높은 정밀도와 재현율로 식별하는 데 뛰어난 성능을 보였다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.