Journal of the Institute of Electronics Engineers of Korea TC (대한전자공학회논문지TC)

The Institute of Electronics and Information Engineers (대한전자공학회)
권호 표지

Performance Evaluation of Scaling based Dynamic Time Warping Algorithms for the Detection of Low-rate TCP Attacks

Low-rate TCP 공격 탐지를 위한 스케일링 기반 DTW 알고리즘의 성능 분석

  • So, Won-Ho (Dept. of Computer Education, Sunchon National University) ;
  • Shim, Sang-Heon (Dept. of Computer Engineering, Chonbuk National University) ;
  • Yoo, Kyoung-Min (Dept. of Computer Engineering, Chonbuk National University) ;
  • Kim, Young-Chon (Dept. of Computer Engineering, Chonbuk National University)
  • 소원호 (순천대학교 컴퓨터교육과) ;
  • 심상헌 (전북대학교 컴퓨터공학과) ;
  • 유경민 (전북대학교 컴퓨터공학과) ;
  • 김영천 (전북대학교 컴퓨터공학과)
  • Published : 2007.03.25
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, low-rate TCP attack as one of shrew attacks is considered and the scaling based dynamic time warping (S-DTW) algorithm is introduced. The low-rate TCP attack can not be detected by the detection method for the previous flooding DoS/DDoS (Denial of Service/Distirbuted Denial of Service) attacks due to its low average traffic rate. It, however, is a periodic short burst that exploits the homogeneity of the minimum retransmission timeout (RTO) of TCP flows and then some pattern matching mechanisms have been proposed to detect it among legitimate input flows. A DTW mechanism as one of detection approaches has proposed to detect attack input stream consisting of many legitimate or attack flows, and shown a depending method as well. This approach, however, has a problem that legitimate input stream may be caught as an attack one. In addition, it is difficult to decide a threshold for separation between the legitimate and the malicious. Thus, the causes of this problem are analyzed through simulation and the scaling by maximum auto-correlation value is executed before computing the DTW. We also discuss the results on applying various scaling approaches and using standard deviation of input streams monitored.

본 논문에서는 최근 새롭게 발견된 low-rate TCP (LRT) 공격과 이 공격을 감지하기 위한 DTW (Dynamic Time Warping) 알고리즘을 분석하고 공격 검출에 대한 성능 향상을 위한 스케일링 기반 DTW (Scaling based DTW; S-DTW) 알고리즘을 소개한다. Low-rate TCP 공격은 대용량 트래픽을 사용한 기존 서비스 거부 공격과는 다르게 공격 트래픽의 평균 트래픽 양이 적어서 기존 DoS 공격에 대한 감지 방식으로는 검출되지 않는다. 그러나 LRT 공격은 주기적이고 짧은 버스트 트래픽으로 TCP 연결의 최소 재전송 타임아웃 (Retransmission Timeout; RTO)에 대한 취약성을 공격하기 때문에 패턴 매칭으로 공격 감지가 가능하다. 기존 메커니즘에 의한 감지 기법은 공격 패턴의 입력 샘플 템플릿을 기준으로 입력 트래픽이 정상 트래픽인지 또는 공격 트래픽인지를 판별한다. 이 과정에서 입력 트래픽의 특성에 따라서 DTW 알고리즘은 정상 트래픽을 공격 트래픽으로 오판하는 문제점을 갖는다. 따라서 본 논문에서는 이러한 오판을 줄이기 위하여 기존 DTW 알고리즘의 전처리 과정인 자기상관 (auto-correlation) 처리를 분석하여 오판을 규명한다. 또한 스케일링 기반으로 자기상관 처리 결과를 수정하여 공격 트래픽과 정상 트래픽의 특성의 차이를 증가시킴으로써 DTW 알고리즘에 의한 공격 감지 능력을 향상시킨다 마지막으로 다양한 스케일링 방식과 표준편차에 의한 트래픽 분석 방법도 논의된다.

Keywords

References

  1. 김영선, 'BcN의 기술적 이슈와 전망,' 한국정보통신기술협회, 2005
  2. A. Kuzmanovic and E. Knightly, 'Low-rate TCP-targeted denial of service attacks,' In Proc. ACM SIGCOMM, Karlsruhe, Germany, August 2003
  3. G. Yang, M. Gerla, and M. Y. Sanadidi, 'Randomization: Defense against Low-Rate TCP-targeted Denial-of-Service Attacks,' in Proc. IEEE Symposium on Computers and Communications, July 2004, pp. 345-350
  4. A. Shevtekar, K. Anantharam, and N. Ansari, 'Low Rate TCP Denial-of-Service Attack Detection at Edge Routers,' IEEE Communications Letters, Vol. 9, No. 4, April 2005
  5. Y. Chen, K. Hwang, 'Collaborative detection and filtering of shrew DDoS attacks using spectral analysis,' J. Parallel Distributed Computing, Vol. 66, 2006, pp.1137-151 https://doi.org/10.1016/j.jpdc.2006.04.007
  6. H. Sun, J. C. S. Lui, and D. K. Y. Yau, 'Defending Against Low-rate TCP Attacks: Dynamic Detection and Protection,' in Proc IEEE Conference on Network Protocols (ICNP2004), Oct. 2004, pp. 196-205
  7. W. H. So, S. H. Shim, K. M. Yoo, B. J. Oh, Y. S. Kim, Y. C. Kim, 'Scaling based Dynamic Time Warping Algorithm for the Detection of Low-rate TCP Attack,' Proceedings of IEEK Fall Conf. 2006, Hanyang Univ., Korea, Nov. 2006 (in Korean)