• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1007-1010
• /
• 2004

본 논문에서는 분산 서비스거부 공격(DDoS)이 발생할 때 네트워크 트래픽의 특성을 분석하기 위해서 트래픽 비율분석법(TRA: Traffic Rate Analysis)을 제안하고 트래픽 비율분석법을 통해서 분석된 다양한 유형의 DDoS 공격의 특성을 기계학습(Machine Learning)을 이용해서 DDoS 공격의 탐지규칙을 생성하고 그 성능을 측정하였다. 트래픽 비율분석법은 감시대상 네트워크 트래픽에서 특정한 유형의 트래픽의 발생비율을 나타내며 TCP flag rate 와 Protocol rate 로 구분된다. 트래픽 비율분석법을 적용한 결과 각각의 DDoS 공격 유형에 따라서 매우 독특한 특성을 가짐을 발견하였다. 그리고, 분석된 데이터를 대상으로 세 개의 기계학습 방법(C4.5, CN2, Na?ve Bayesian Classifier)을 이용해서 DDoS 공격의 탐지규칙을 생성하여 DDoS 공격의 탐지에 적용했다. 실험결과, 본 논문에서 제안된 트래픽 비율분석법과 기계학습을 통한 DDoS 공격의 탐지방법은 매우 높은 수준의 성능을 나타냈다.

• The Journal of the Korea Contents Association
• /
• v.4 no.1
• /
• pp.49-55
• /
• 2004

DDoS is an attack type that interfere with normal service by running out network bandwidth, process throughput, and system resource. It can be recognized intuitively by network slowdown and connection impossibility state, but it is necessary to detect DDoS attack by exact and quantitative analysis. In this paper, the exact and efficient DDoS attack detection system which is able to detect traffic flooding by MIB information, and attack traffic by packet analysis is proposed and realized.

• Journal of the Korea Society for Simulation
• /
• v.19 no.4
• /
• pp.139-149
• /
• 2010

Internet was designed for network scalability and best-effort service which makes all hosts connected to Internet to be vulnerable against attack. Many papers have been proposed about attack detection algorithms against the attack using IP spoofing and DoS/DDoS attack. Purpose of DoS/DDoS attack is achieved in short period after the attack begins. Therefore, DoS/DDoS attack should be detected as soon as possible. Attack detection algorithms using false alarm rates consist of the false negative rate and the false positive rate. Moreover, they are important metrics to evaluate the attack detections. In this paper, we analyze the performance of the attack detection algorithms using the impact of false negative rate and false positive rate variation to the normal traffic and the attack traffic by simulations. As the result of this, we find that the number of passed attack packets is in the proportion to the false negative rate and the number of passed normal packets is in the inverse proportion to the false positive rate. We also analyze the limits of attack detection due to the relation between the false negative rate and the false positive rate. Finally, we propose a solution to minimize the limits of attack detection algorithms by defining the network state using the ratio between the number of packets classified as attack packets and the number of packets classified as normal packets. We find the performance of attack detection algorithm is improved by passing the packets classified as attacks.

• Proceedings of the KAIS Fall Conference
• /
• 2004.06a
• /
• pp.155-157
• /
• 2004

본 논문에서는 최근의 가장 대표적인 해킹 방법인 DDoS 공격도구들을 분석하고, DDoS 공격에 대한 기존에 제시된 대응방안들을 검토하여 보다 적절한 대응을 할 수 있는 DDoS 공격 탐지 및 대응 시스템을 설계한다. 제안된 시스템은 탐지 모듈에서 탐지된 공격에 대해 관리자에게 보고하여 적절한 대응을 하고 침입으로 판정되는 패킷들에 대해서는 필터링을 실시하여 네트워크 레벨에서 필터링하고 차단할 수 있는 장점을 살릴 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.11a
• /
• pp.1230-1233
• /
• 2007

DDoS 공격은 인터넷 환경에서 네트워크나 개인 호스트를 위협하는 대표적인 공격 트래픽이다. DDoS 공격은 간단한 Tool 로 공격이 가능하면서 네트워크 기반 구조에 큰 피해를 입힐 수 있기 때문에 그 심각성이 크다. DDoS 공격의 효과적인 방어와 대응을 위해서는 DDoS 공격 트래픽에 대한 정확한 분석과 탐지가 선행되어야 한다. 본 논문에서는 DDoS 공격 징후를 신속하게 탐지해 낼 수 있는 효율적인 트래픽 비율 분석법(ETAM)을 제안하고, ETAM 기법을 통해 공격을 빠르고 신속하게 탐지할 수 있음을 보인다.

• Journal of Korea Multimedia Society
• /
• v.16 no.6
• /
• pp.678-688
• /
• 2013

Different Different from a single attack, in DDoS Attacks, the botnets that are distributed on network initiate attacks against the target server simultaneously. In such cases, it is difficult to take an action while denying the access of packets that are regarded as DDoS since normal user's convenience should also be considered at the target server. Taking these considerations into account, the DDoS botnet detection system that can reduce the strain on the target server by detecting DDoS attacks on each user network basis, and then lets the network administrator to take actions that reduce overall scale of botnets, has been implemented in this study. The DDoS botnet detection system proposed by this study implemented the program which detects attacks based on the database composed of faults and abnormalities collected through analyzation of hourly attack traffics. The presence of attack was then determined using the threshold of current traffic calculated with the standard deviation and the mean number of packets. By converting botnet-based detection method centering around the servers that become the targets of attacks to the network based detection, it was possible to contemplate aggressive defense concept against DDoS attacks. With such measure, the network administrator can cut large scale traffics of which could be referred as the differences between DDoS and DoS attacks, in advance mitigating the scale of botnets. Furthermore, we expect to have an effect that can considerably reduce the strain imposed on the target servers and the network loads of routers in WAN communications if the traffic attacks can be blocked beforehand in the network communications under the router equipment level.

• The KIPS Transactions:PartC
• /
• v.11C no.6 s.95
• /
• pp.711-718
• /
• 2004

Packet sampling is the techniques to collect a part of the packets through network and analyze the characteristicsof the traffic for managing the network and keeping security. This paper presents a study on the sampling techniques applied to DDoS traffic and on the characteristics of the sampled traffic to detect DDoS attack efficiently and improve traffic analysis capacity. Three famous sampling techniques are evaluated with different sampling rates on various DDoS traffics. To analyze traffic characteristics, one of the DDoS attack detection method. Traffic Rate Analysis (TRA) is used. Simulation results verify that using sampling techniques preserve the traffic characteristics of DDoS and do not significantly reduce the detection accuracy.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.362-365
• /
• 2015

DDoS 공격의 빈도와 규모가 계속 증가하고 있으며 그에 따른 피해와 파급도 커지고 있다. 최근 동향에서 봇넷을 이용한 패킷 플루딩 공격이 여전히 상위 공격순위를 차지하고 있다. 공격유형으로는 TCP SYN, UDP fragment 및 SSDP 플루딩 공격 등이 여전히 강세를 보이고 있다. 이러한 공격들은 source IP가 변조된 악의적인 패킷을 대량으로 발생시켜서 공격대상 네트워크 인프라를 마비시킨다. DDoS 공격 탐지를 위해서는 내부로 유입되는 초당 패킷수와 사용자와 서버간의 연결이 네트워크 플로우수의 변화를 관측하는 것이 필요하며 방어를 위해 트래픽 제어 기술이 필요하다. 이에 본 논문에서는 네트워크 서비스 분석 및 제어 기술인 DPI/QoS 솔루션을 이용한 플로우 기반의 DDoS 탐지 및 방어 시스템을 제안한다. 네트워크 모니터링과 제어를 위하여 사용하던 DPI/QoS 솔루션에 DDoS 탐지 및 방어기능을 추가함으로써 효율성 및 경제성에서 강점을 가질 것으로 기대한다.

• Convergence Security Journal
• /
• v.11 no.6
• /
• pp.25-30
• /
• 2011

MANET has a weak construction in security more because it is consisted of only moving nodes and doesn't have central management system. The DDoS attack is a serious attack among these attacks which threaten wireless network. The DDoS attack has various object and trick and become intelligent. In this paper, we propose the technique to raise DDoS detection rate by classifying abnormal traffic pattern. Cluster head performs sentinel agent after nodes which compose MANET are made into cluster. The decision tree is applied to detect abnormal traffic pattern after the sentinel agent collects all traffics and it judges traffic pattern and detects attack also. We confirm high attack detection rate of proposed detection technique in this study through experimentation.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06c
• /
• pp.283-285
• /
• 2012

2009년 7.7 DDoS 공격을 기점으로 DDOS 공격에 HTTP-GET 프로토콜이 공격에 주로 사용되고 있다. 본 논문에서는 클라이언트에서 개인사용자의 웹 브라우징 패턴을 분석함으로써 HTTP-GET 공격을 탐지하는 방법을 제안한다. 웹 브라우징 패턴 분석에는 Markov Model을 사용하여 사용자의 정상적인 행동패턴을 계산하고, 공격을 탐지하는데 사용한다. 제안한 방법은 클라이언트에서 개인사용자에 대한 개별적인 웹 브라우징 패턴을 분석하기 때문에 서버에서보다 계산량이 적으며, 클라이언트 레벨에서 DDoS 공격을 조기에 탐지/차단함으로써 서버에서의 DDoS 공격 탐지에 의한 부하를 줄일 수 있다.