Journal of the Korea Society for Simulation (한국시뮬레이션학회논문지)

The Korea Society for Simulation (한국시뮬레이션학회)
권호 표지
DOI QR코드

DOI QR Code

DoS/DDoS attacks Detection Algorithm and System using Packet Counting

패킷 카운팅을 이용한 DoS/DDoS 공격 탐지 알고리즘 및 이를 이용한 시스템

  • 김태원 (한양대학교 전자컴퓨터통신공학과) ;
  • 정재일 (한양대학교 전자컴퓨터통신공학과) ;
  • 이주영 (서경대학교 전자공학과)
  • Received : 2010.10.11
  • Accepted : 2010.12.12
  • Published : 2010.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Currently, by using the Internet, We can do varius things such as Web surfing, email, on-line shopping, stock trading on your home or office. However, as being out of the concept of security from the beginning, it is the big social issues that malicious user intrudes into the system through the network, on purpose to steal personal information or to paralyze system. In addition, network intrusion by ordinary people using network attack tools is bringing about big worries, so that the need for effective and powerful intrusion detection system becomes very important issue in our Internet environment. However, it is very difficult to prevent this attack perfectly. In this paper we proposed the algorithm for the detection of DoS attacks, and developed attack detection tools. Through learning in a normal state on Step 1, we calculate thresholds, the number of packets that are coming to each port, the median and the average utilization of each port on Step 2. And we propose values to determine how to attack detection on Step 3. By programing proposed attack detection algorithm and by testing the results, we can see that the difference between the median of packet mounts for unit interval and the average utilization of each port number is effective in detecting attacks. Also, without the need to look into the network data, we can easily be implemented by only using the number of packets to detect attacks.

인터넷은 이제 일상생활에서 떼어놓을 수 없는 생활의 일부가 되었다. 그러나 인터넷은 애초에 보안의 개념 없이 만들어졌기 때문에 악의적인 사용자가 네트워크를 통해 시스템에 침투하여 시스템을 마비시키거나 개인정보를 탈취하는 문제들이 커다란 사회적 이슈가 되고 있다. 또한 최근 평범한 일반 사람들도 네트워크 공격 툴 사용으로 인한 DoS 공격이 가능해짐에 따라 인터넷 환경에서 큰 위협을 주고 있다. 그러므로 효율적이고 강력한 공격 탐지 시스템이 인터넷 환경에서 매우 중요하게 되었다. 그러나 이러한 공격을 완벽하게 막아내는 것은 매우 어려운 일이다. 본 논문에서는 DoS 공격의 탐지를 위한 알고리즘을 제안하고, 이를 이용한 공격탐지도구를 제시한다. 먼저 정상상태에서의 학습단계를 거쳐서, 학습된 임계치 허용량, 각 포트로 유입되는 패킷의 개수, 중간값 그리고 각 포트별 평균사용률을 계산하고, 이 값을 바탕으로 공격탐지가 이루어지는 3단계 판별 방법을 제안하였다. 제안한 방법에 맞는 공격 탐지 도구를 제작하여 실험을 하였으며, 그 결과 각 포트별 평균사용률과 단위 시간당 패킷량 중간값의 차이와 학습된 임계치 허용량의 비교는 공격 탐지에 효율적임을 알 수 있다. 또한 네트워크 데이터를 들여다 볼 필요 없이, 패킷의 개수만을 이용하여 공격을 탐지함으로써 간단히 구현할 수 있음을 알 수 있다.

Keywords

References

  1. Xin Xu, Xuening Wang, "An adaptive network intrusion detection method based on PCA and support vector machines", ADMA 2005, LNAI 3584, pp. 696-703, 2005.
  2. Biswanath Mukherjee, L Todd Heberlein, Karl Levitt, "Network Intrusion Detection", IEEE Network, Volume 8, Issue 3, pp. 26-41, May 1995.
  3. Felix Lau, stuart H. Rubin, Michael H. Smith, Ljiljana Trajkovic, "Distributed Denial of Service Attacks", 2000 IEEE International Conference on Systems, Man and Cybernetics, Volume:, pp. 2275-2280, 3, 2000.
  4. G Carl, G Kesidis, RR Brooks, S Rai, "Denial of service attack detection techniques", IEEE Internet Computing, pp. 82-89 January 2006.
  5. J Charzinski "HTTP/TCP connection and flow characteristics", Performance Evaluation, pp. 149-162, 2000.
  6. H Sengar, D Wijesekera, H Wang, S Jajodia "VoIP Intrusion Detection Through Interacting Protocol State Machines" Dependable Systems and Networks, 2006. DSN 2006.