Skip to main content
QUICK REVIEW

[논문 리뷰] Mitigating Link-flooding Attacks With Active Link Obfuscation.

Qian Wang, Feng Xiao|arXiv (Cornell University)|2017. 03. 28.
Network Security and Intrusion Detection인용 수 4
한 줄 요약

이 논문은 링크-플러딩 공격(LFA)에 대응하는 능동적 대응 기법인 Linkbait를 제안한다. Linkbait는 악성 공격자에게 위조된 링크맵을 제공함으로써 네트워크 구조를 가로막아 실제 타겟 링크를 숨기고, 위조된 링크(도구)를 공격자에게 유도함으로써 공격을 효과적으로 차단한다. 동적 링크 재라우팅과 SVM 기반 봇 탐지 기술을 융합함으로써, 사전에 봇을 식별할 필요 없이 불필요한 트래픽을 줄이고 정상 흐름을 보호한다.

ABSTRACT

Link-flooding attack (LFA) has emerged as a serious threat to Internet which cuts off connections between legitimate hosts and targeted servers by flooding only a few links (e.g., target links). Several mechanisms have been proposed to mitigate LFA, however, they can only mitigate LFA passively after target links have been compromised by adversaries. Based on the fact that adversaries rely on network linkmap to launch LFA, in this paper, we propose an active LFA mitigation mechanism, called Linkbait, that actively mitigates LFA by providing a fake linkmap to adversaries. Inspired by Moving Target Defense (MTD), we propose a link obfuscation algorithm in Linkbait that selectively reroutes detecting flows to hide target links from adversaries and mislead them to consider some bait links as target links. By providing the faked linkmap to adversaries, Linkbait can actively mitigate LFA even without identifying bots and does not affect flows from legitimate hosts. In order to further reduce the junk traffic generated by adversaries from entering the network, we propose a bot detection algorithm in Linkbait that extracts unique traffic patterns from LFA and leverages Support Vector Machine to accurately distinguish bots from legitimate hosts. Finally, we evaluate the feasibility of implementing Linkbait in real Internet, and evaluate its performance by using both a real-world testbed and large-scale simulations. The analyses and experiments results demonstrate the effectiveness of Linkbait.

연구 동기 및 목표

  • 특정 네트워크 링크를 과도하게 공격함으로써 정상 통신을 방해하는 링크-플러딩 공격(LFA)의 증가하는 위협을 해결한다.
  • 타겟 링크가 이미 손상된 후에야 대응하는 수동적 LFA 방어 기법의 한계를 극복한다.
  • 네트워크 구조를 가로막는 기술을 통해 악성 공격자가 실제 타겟 링크를 숨기고 사전에 탐지 가능하도록 능동적 방어 기법을 개발한다.
  • 유일한 LFA 유발 트래픽 패턴을 기반으로 봇을 탐지함으로써 악성 소스에서 유입되는 불필요한 트래픽을 최소화한다.
  • 정상 호스트 트래픽은 영향을 받지 않도록 하면서도 악성 트래픽은 오도하고 제한한다.

제안 방법

  • 실제 타겟 링크를 숨기고 공격자를 가짜(도구) 링크로 유도하기 위해 탐지 흐름을 선택적으로 재라우팅하는 링크 가로막기 알고리즘을 설계한다.
  • 탐지 흐름을 통해 네트워크 구조 변화를 감지하고, 탐색에 반응하여 동적으로 네트워크 구조를 변경함으로써 악성 공격자에게 실제 타겟인 것처럼 보이게 하는 위조 링크맵을 구성한다.
  • 유일한 LFA 유발 트래픽 패턴을 기반으로 악성 트래픽을 식별하기 위해 서포트 벡터 머신(SVM)을 사용하는 봇 탐지 모듈을 통합한다.
  • 탐지 흐름을 사용하여 네트워크 구조 변화를 감지하고 실시간으로 가로막기 전략을 조정함으로써 유연한 적응성을 확보한다.
  • 능동적 가로막기와 봇 탐지를 융합하여 네트워크에 유입되는 불필요한 트래픽의 양을 줄이고 방어 체계의 내구성을 향상시킨다.
  • 실세계 테스트베드와 대규모 시뮬레이션 환경에서 Linkbait를 구현하고 평가하여 실용성과 성능을 검증한다.

실험 결과

연구 질문

  • RQ1능동적 방어 기법은 실제 타겟 링크가 손상되기 전에 링크-플러딩 공격을 효과적으로 완화할 수 있는가?
  • RQ2위조 링크맵은 얼마나 효과적으로 악성 공격자를 실제 타겟 대신 도구 링크로 오도할 수 있는가?
  • RQ3사전에 서명 정보를 알지 못해도, 트래픽 패턴 분석과 SVM을 융합해 LFA 봇을 얼마나 정확하게 탐지할 수 있는가?
  • RQ4실제 네트워크 환경에서 제안된 가로막기 및 탐지 기법의 성능 오버헤드와 확장성은 어떠한가?
  • RQ5능동적 가로막기와 봇 탐지의 통합은 전체 불필요한 트래픽을 얼마나 줄이고 정상 흐름을 보호하는가?

주요 결과

  • Linkbait는 설득력 있는 위조 링크맵을 제공함으로써 악성 공격자가 도구 링크를 공격하도록 효과적으로 유도하여 실제 타겟 링크에 미치는 영향을 크게 줄였다.
  • SVM 기반 봇 탐지 알고리즘이 고유한 LFA 유발 트래픽 패턴을 식별함으로써 악성 트래픽과 정상 흐름을 정확히 구분했다.
  • 능동적 가로막기와 봇 탐지의 융합은 네트워크에 유입되는 불필요한 트래픽을 줄여 전체 네트워크의 내구성을 향상시켰다.
  • 실세계 테스트베드와 대규모 시뮬레이션 평가를 통해 Linkbait가 정상 호스트의 연결성을 유지하면서도 LFA를 효과적으로 완화하는 것으로 확인되었다.
  • Linkbait는 봇 인프라의 사전 식별이 필요 없이 작동하므로 알려지지 않은 또는 제로데이 LFA 변종에 대비한 사전 방어가 가능하다.
  • 정상 트래픽에 대한 성능 오버헤드가 최소화되어 실제 인터넷 환경에서의 실용적 구현이 가능하다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.