2024-03-29T23:34:51Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:001784782024-03-29T05:26:34Z01164:06389:09100:09101
高速パケットマッチング機能を活用したバースト状態継続時間測定による低レート攻撃検知法Low rate attack detection method based on duration of burst state by using quick packet matching functionjpnNetwork Securityhttp://id.nii.ac.jp/1001/00178390/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=178478&item_no=1&attribute_id=1&file_no=1Copyright (c) 2017 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG.日本電信電話株式会社NTTネットワークサービスシステム研究所日本電信電話株式会社NTTネットワークサービスシステム研究所日本電信電話株式会社NTTネットワークサービスシステム研究所日本電信電話株式会社NTTネットワークサービスシステム研究所林, 裕平Jia, Yong Zhen西山, 聡史三澤, 明網での DoS 攻撃検知の従来方式である sFlow 等のフローモニタリング技術は,低い通信レートでも脅威となる Web サーバを対象としたフラッデイング攻撃が低い通信レートで発生した際に,攻撃検知できない課題があった.この課題に対し本稿では,通常ユーザの HTTP 通信のバースト特性を分析した上で,一般のルータが持つ TCAM 等の高速なパケットマッチング機能を活用したバースト状態継続時間測定による攻撃検知方式を提案する.更に本稿では,攻撃発生時に方式が検知しない確率を意味する偽陰性率の観点で,実機による各方式の比較評価を行った結果についても述べる.評価の結果,15kpps の背景通信がある中で 100pps から 1kpps の通信レートで攻撃が発生した際でも,提案方式は従来方式に比べて偽陰性率が低減するだけでなく確実に検知することが確認できた.A conventional flow monitoring technology such as sFlow cannot detect low-rate flooding attacks against Web servers, which is threat even if its traffic rate is low. To solve the problem, we carry out a burst characteristic analysis of normal users' HTTP traffic and propose a DoS detection method based on the characteristic by using a quickly packet-matching fiinction of the general router. Furthermore, we carry out a comparative evaluation between both methods in terms of false negative rate using actual equipment. The result shows our proposed method is superior to the conventional method even if the attack rate is as low as from 100 pps to I kpps under the condition which includes a background traffic rate is 15 kpps. Furthermore, the proposed method can certainly detect the attack under the condition. As a result, our proposed method is useful for detection of flooding attacks against Web servers.AA12628305研究報告セキュリティ心理学とトラスト(SPT)2017-SPT-2228162017-03-062188-86712017-03-03