WEKO3
アイテム
Slow HTTP DDoS 攻撃の高速検知法の提案
https://ipsj.ixsq.nii.ac.jp/records/228690
https://ipsj.ixsq.nii.ac.jp/records/228690bd7646a4-4806-4b2f-8d16-885db36570fc
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2023077.pdf (740.2 kB)
2025年10月23日からダウンロード可能です。
|
Copyright (c) 2023 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2023-10-23 | |||||||||
| タイトル | ||||||||||
| タイトル | Slow HTTP DDoS 攻撃の高速検知法の提案 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | High-Speed Detection Method for Slow HTTP DDoS Attacks | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | Slow HTTP DDoS,HTTP通信,TCPコネクション | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 防衛大学校理工学研究科情報数理専攻 | ||||||||||
| 著者所属 | ||||||||||
| 防衛大学校電気情報学群情報工学科 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Department of Information and Mathematical Sciences, Graduate School of Science and Engineering, National Defense Academy of Japan | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Department of Informatics, College of Electrical and Computer Engineering, National Defense Academy of Japan | ||||||||||
| 著者名 |
ダウ, アイン ジュン
× ダウ, アイン ジュン
× 中村, 康弘
|
|||||||||
| 著者名(英) |
Anh, Dung Dau
× Anh, Dung Dau
× Yasuhiro, Nakamura
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | Slow HTTP DDoS 攻撃は,ウェブサーバに対して多数のリクエストを低レートで送信し,コネクション継続時間を引き延ばして,サーバのコネクションプールを飽和させることで正当なクライアントのアクセスを妨害する.単位時間に発生するトラフィック量が少ないため,トラフィック量監視による検知は困難である.さらに,リクエスト送信レート,送信タイミングやコネクション継続時間を制御して,検知を困難にする工夫も行われている.これまでに提案されている既存の対策手法は,攻撃のパケット特徴量を統計的に閾値処理するため,識別判定,切断処理までに最短でも約20秒を要していた.そこで,HTTP通信の各フローごとの状態推移を経路上で観測し,その継続時間とアイドル時間が閾値を超えた未完了のフローを切断する対策手法を提案する.実攻撃のキャプチャデータを用いて検知実験を行った結果,攻撃開始から平均10秒で検知,切断することができ,この際の識別精度のF1_Scoreは0.986,誤検知率は0.0096となった. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | A Slow HTTP DDoS attack involves sending a large number of requests to a web server at a low rate, thereby prolonging the connection time to saturate the server's connection pool and disrupt legitimate client access. Owing to the low traffic volume generated per unit time, detecting such attacks through traffic monitoring is challenging. Moreover, attackers employ techniques that make detection even more difficult, such as controlling request rates, timing, and connection duration. Existing mitigation methods rely on statistical thresholding of the packet features of the attack, which typically takes at least 20 s for identification and disconnection processing. To address this issue, we propose a new approach that observes the state transitions of each flow in the HTTP communication path. This method identifies and terminates incomplete flows that exceed predefined thresholds for their duration and idle times. We conducted detection experiments using captured attack data, and achieved detection and termination within 10 s in average of the start of the attack. The proposed approach demonstrated high accuracy, with an F1_Score of 0.986 and a false positive rate of 0.0096. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集 p. 561-566, 発行日 2023-10-23 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
