| Item type |
SIG Technical Reports(1) |
| 公開日 |
2016-02-25 |
| タイトル |
|
|
タイトル |
パケット連続到着時間を判定基準とした攻撃検知方式の評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Evaluation of the attack detection method based on duration of continuous packet arrival |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
攻撃対策 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
日本電信電話株式会社ネットワークサービスシステム研究所 |
| 著者所属 |
|
|
|
日本電信電話株式会社ネットワークサービスシステム研究所 |
| 著者所属 |
|
|
|
日本電信電話株式会社ネットワークサービスシステム研究所 |
| 著者所属 |
|
|
|
日本電信電話株式会社ネットワークサービスシステム研究所 |
| 著者所属 |
|
|
|
日本電信電話株式会社ネットワークサービスシステム研究所 |
| 著者所属 |
|
|
|
日本電信電話株式会社セキュアプラットフォーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTTNetwork Service System Labs |
| 著者所属(英) |
|
|
|
en |
|
|
NTTNetwork Service System Labs |
| 著者所属(英) |
|
|
|
en |
|
|
NTTNetwork Service System Labs |
| 著者所属(英) |
|
|
|
en |
|
|
NTTNetwork Service System Labs |
| 著者所属(英) |
|
|
|
en |
|
|
NTTNetwork Service System Labs |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Labs |
| 著者名 |
林, 裕平
西山, 聡史
鈴木, 昭徳
阪井, 勝彦
工藤, 伊知郎
神谷, 和憲
|
| 著者名(英) |
Yuhei, Hayashi
Satoshi, Nishiyama
Akinori, Suzuki
Katsuhiko, Sakai
Ichiro, Kudo
Kazunori, Kamiya
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,アプリケーションを対象とした DDoS 攻撃が増加している.網で DDoS 攻撃検知を行う上では通信を詳細分析可能なセキュリティ装置の利用が一般的であるが,単位通信量あたりのコストが高いためセキュリティ装置に引込まれる通信量を減らすことが経済的に望ましい.具体的には一次検知として転送装置とサーバで攻撃被疑フローを決定し,二次検知として当該フローのみをセキュリティ装置に引込み詳細分析をする二段検知を行うことで,セキュリティ装置に引込まれる通信量を減らせる.一方,従来の二段検知では通信量を判定基準として一次検知を行うため,当該攻撃が低通信量で発生した場合に一次検知ができない課題があった.本稿では実通信データを用いてクライアントからサーバへのフローのパケット連続到着時間に通常時と攻撃時で差があることを確認した.この事実に基づき,当該攻撃が低通信量で発生した場合でも検知可能とすることを目的に,パケット連続到着時間を判定基準した一次検知方式を提案する.提案方式と従来方式との定性的な比較評価により提案方式の有効性を示し,提案方式の入力パラメタの変化による攻鑿見逃し率の変化に関して考察を行った. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Application layer DDoS attacks occur frequently. In order to detect the attacks in network, a security appliance with Deep Packet Inspection capability is deployed. Since it costs much to apply Deep Packet Inspection for every traffic flow, it is practical to deploy 2-stage detection model: 1st-stage finds suspicious traffic flows and extradites only the suspicious flows to the security appliance, and then 2nd-stage executes detailed analysis. However, the conventional methods in the 1st-stage could fail to find low-volume application DDoS attacks since it only calculates the amount of traffic. In this paper, we propose a new 1st-stage detection method based on continuous packet arrival duration. We show the fact that there is a distinct difference in duration of continuous packet arrival between normal traffic and attack traffic. We describe how this insight is applied to the proposed method and discuss the effectiveness of the method by qualitative evaluation comparing with the conventional method. We also discuss the variation of undetected rate by parameter setting. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2016-SPT-17,
号 10,
p. 1-6,
発行日 2016-02-25
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT16017010.pdf (1.3 MB)
