Skip to main content
QUICK REVIEW

[논문 리뷰] Entropy based Anomaly Detection System to Prevent DDoS Attacks in Cloud

A. S. Syed Navaz, V. Sangeetha|arXiv (Cornell University)|2013. 08. 28.
Network Security and Intrusion Detection참고 문헌 1인용 수 30
한 줄 요약

이 논문은 클라우드 환경에서 DDoS 공격을 방지하기 위해 침입 탐지 시스템과 통합된 엔트로피 기반 이상 탐지 시스템을 제안한다. 현장 및 클라우드 측 네트워크 계층에서 트래픽 엔트로피를 분석함으로써 정상 행동에서의 이탈을 식별하고, 임계값을 초과하는 엔트로피 값을 가지는 사용자를 잠재적 침입자로 표시함으로써 시그니처 기반 방법을 넘어서 제로데이 및 슬리프티 공격을 더 잘 탐지할 수 있도록 한다.

ABSTRACT

Cloud Computing is a recent computing model provides consistent access to wide area distributed resources. It revolutionized the IT world with its services provision infrastructure, less maintenance cost, data and service availability assurance, rapid accessibility and scalability. Grid and Cloud Computing Intrusion Detection System detects encrypted node communication and find the hidden attack trial which inspects and detects those attacks that network based and host based cant identify. It incorporates Knowledge and behavior analysis to identify specific intrusions. Signature based IDS monitor the packets in the network and identifies those threats by matching with database but It fails to detect those attacks that are not included in database. Signature based IDS will perform poor capturing in large volume of anomalies. Another problem is that Cloud Service Provider hides the attack that is caused by intruder, due to distributed nature cloud environment has high possibility for vulnerable resources. By impersonating legitimate users, the intruders can use a services abundant resources maliciously. In Proposed System we combine few concepts which are available with new intrusion detection techniques. Here to merge Entropy based System with Anomaly detection System for providing multilevel Distributed Denial of Service. This is done in two steps: First, Users are allowed to pass through router in network site in that it incorporates Detection Algorithm and detects for legitimate user. Second, again it pass through router placed in cloud site in that it incorporates confirmation Algorithm and checks for threshold value, if its beyond the threshold value it considered as legitimate user, else its an intruder found in environment.

연구 동기 및 목표

  • 클라우드 환경에서 알려지지 않은 또는 제로데이 DDoS 공격을 탐지하는 데에 한계가 있는 시그니처 기반 침입 탐지 시스템(IPS)의 문제점을 해결하기 위해.
  • 분산 거부 서비스(DDoS) 공격을 시사하는 비정상적인 트래픽 패턴을 식별하기 위해 엔트로피 기반 분석을 활용하기 위해.
  • 현장 및 클라우드 라우터에서 이중 단계 검증 프로세스를 구현함으로써 탐지 정확도를 향상시키기 위해.
  • 엔트로피 임계값을 통해 행동적 이탈을 모니터링함으로써 가짜 경고를 줄이고 슬리프티 공격을 개선된 방식으로 탐지하기 위해.
  • 엔트로피 분석과 이상 탐지 기반의 다수 레벨 방어 메커니즘을 결합하여 클라우드 보안을 강화하기 위해.

제안 방법

  • 시스템은 현장 라우터에서 네트워크 트래픽의 무작위성을 측정하기 위해 엔트로피 계산을 사용하여 잠재적 이상을 식별한다.
  • 합법적인 사용자는 엔트로피 기반 탐지로 정상 행동임이 확인된 후 첫 번째 라우터를 통과할 수 있다.
  • 그 후, 클라우드 측 라우터에서 확인 알고리즘을 사용하여 엔트로피가 사전 정의된 임계값을 초과하는지 재검토한다.
  • 엔트로피 값이 임계값을 초과하면 사용자는 침입자로 분류되고, 그렇지 않으면 합법적인 사용자로 간주된다.
  • 기존의 네트워크 기반 또는 호스트 기반 IDS로는 식별할 수 없는 공격을 탐지하기 위해 지식 기반 분석과 행동 모델링을 결합한다.
  • 이중 레이어 아키텍처는 유일하게 낮은 엔트로피(예측 가능함)를 가지는 트래픽 패턴을 가진 사용자만 접근을 허용함으로써 자원 고갈 위험을 줄인다.

실험 결과

연구 질문

  • RQ1엔트로피 기반 분석이 클라우드 환경에서 DDoS 공격을 시사하는 비정상적인 트래픽 패턴을 효과적으로 탐지할 수 있는가?
  • RQ2엔트로피와 이상 탐지 기반의 통합이 시그니처 기반 시스템과 비교해 제로데이 및 알려지지 않은 공격을 어떻게 향상시킬 수 있는가?
  • RQ3가짜 경고와 악성 행동 탐지 사이의 최적의 균형을 확보하기 위해 엔트로피의 임계값은 얼마여야 하는가?
  • RQ4현장 및 클라우드 측에서의 이중 단계 탐지 메커니즘이 사용자가 과도한 클라우드 자원을 소비하기 전에 침입자를 효과적으로 식별할 수 있는가?
  • RQ5엔트로피 기반 탐지가 클라우드 환경에서 합법적인 사용자를 위장한 공격으로 인한 자원 고갈 위험을 어느 정도 완화할 수 있는가?

주요 결과

  • 제안된 시스템은 시그니처 데이터베이스에 존재하지 않는 공격이라도 엔트로피 분석을 통해 비정상적인 트래픽 패턴을 식별함으로써 DDoS 공격을 성공적으로 탐지한다.
  • 먼저 현장 라우터에서, 그리고 나서 클라우드 측 라우터에서 이루어지는 이중 단계 탐지 프로세스는 탐지 정확도를 향상시키고 가짜 경고를 줄인다.
  • 정의된 임계값을 초과하는 높은 엔트로피 값을 가지는 사용자는 잠재적 침입자로 표시되며, 자원 고갈과 같은 악성 행동를 시사한다.
  • 시스템은 클라우드 환경의 분산성으로 인해 클라우드 서비스 제공자가 공격을 숨길 수 있는 위험을 효과적으로 완화한다.
  • 엔트로피와 이상 탐지 기반의 통합은 기존의 시그니처 기반 IDS보다 새로운 또는 제로데이 DDoS 공격을 더 잘 탐지한다.
  • 이 방법은 기존의 네트워크 기반 또는 호스트 기반 침입 탐지 시스템을 회피하는 슬리프티 공격을 탐지함으로써 클라우드 환경의 보안을 향상시킨다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.