The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Performance Analysis of Packet Sampling Mechanisms for DDoS Attack Detection

DDoS 공격 탐지를 위한 패킷 샘플링 기법들의 성능 분석

  • 강길수 (아주대학교 정보통신전문대학원 정보통신과) ;
  • 이준희 (아주대학교 정보통신전문대학원 정보통신과) ;
  • 최경희 (아주대학교 정보통신전문대학원) ;
  • 정기현 (아주대학교 전자공학부) ;
  • 심재홍 (조선대학교 인터넷소프트웨어공학부)
  • Published : 2004.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

Packet sampling is the techniques to collect a part of the packets through network and analyze the characteristicsof the traffic for managing the network and keeping security. This paper presents a study on the sampling techniques applied to DDoS traffic and on the characteristics of the sampled traffic to detect DDoS attack efficiently and improve traffic analysis capacity. Three famous sampling techniques are evaluated with different sampling rates on various DDoS traffics. To analyze traffic characteristics, one of the DDoS attack detection method. Traffic Rate Analysis (TRA) is used. Simulation results verify that using sampling techniques preserve the traffic characteristics of DDoS and do not significantly reduce the detection accuracy.

일반적으로 패킷 샘플링은 네트워크의 관리 및 보안 등의 목적으로 네트워크를 통과하는 패킷들 중 일부만을 수집하여 분석하는 기법이다. 본 논문에서는 분산 서비스 거부(DDoS) 공격을 효율적으로 탐지하고 트래픽 분석 성능을 높이기 위해, DDoS 공격 탐지 기술에 다양한 패킷 샘플링 기법들을 적용하고 이들이 DDoS 탐지 성능에 어떠한 영향을 미치는지 비교 분석한다. 트래픽 특성 분석을 위해 DDoS 탐지 기법의 하나인 기존의 트래픽 비율 분석법을 사용하여 실험하였다. 실험 결과 DDoS 공격 탐지를 위한 패킷 샘플링 기법의 사용은 모든 패킷을 조사하지 않고도 기존의 트래픽 비율 분석법과 비슷한 성능을 보이는 것을 확인할 수 있었으며, DDoS 공격 탐지의 정확성을 유지하면서도 분석 트래픽양을 현저히 줄인 수 있었다.

Keywords

References

  1. Cheolho Lee, Sanguk Noh, Kyunghee Choi and Gihyun Jung, 'Characterizing DDoS Attacks with Traffic Rate Analysis,' In Proceedings of the International Conference e-Society, Vol.1, pp.81-88, Lisbon, Portugal, June, 2003
  2. Cristian Estan and George Varghese, 'New Directions in Traffic Measurement and Accounting,' ACM SIGCOMM Internet Measurement Workshop 2001, San Francisco, CA, Nov., 2001
  3. InMon Corp., 'Using sFlow and InMon Traffic Server for Intrusion Detection and other Security Applications,' 2001, see : http://www.sflow.org/SamplingforSecurity.pdf
  4. Jelena Mirkovic, Janice Martin and Peter Reiher. 'A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms,' Computer Science Department, University of California, Los Angeles, Technical Report No.020018, 2002
  5. Joseph Reves and Sonia Panchen, 'Traffic Monitoring with Packet-Based Sampling for Defense against Security Threats,' Passive & Active Measurement Workshop, Colorado, USA, Mar., 2002
  6. Kimberly C. Claffy, George C. Polyzox, and Hans-Werner Braun, 'Application of Sampling Methodologies to Network Traffic Characterization,' Computer Communication Review, Vol.23, No.4, pp.194-203, Oct., 1993, appeared in Proceedings ACM SIGCOMM '93, San Fracisco, CA, pp. 13-17, Sep., 1993 https://doi.org/10.1145/166237.166256
  7. Nick Duffield, Carsten Lund and Mikkel Thorup, 'Properties and Prediction of Flow Statistics from Sampled Packet Streams,' ACM SIGCOMM Internet Measurement Workshop 2002, Marseille, France, Nov., 2002 https://doi.org/10.1145/637201.637225
  8. Symantec Security Response TFN2K, see : http://securityresponse.symantec.com/avcenter/venc/ data/tfn2k.html