Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Data Mining Approaches for DDoS Attack Detection

분산 서비스거부 공격 탐지를 위한 데이터 마이닝 기법

  • 김미희 (이화여자대학교 컴퓨터학과) ;
  • 나현정 (삼성전자 네트워크사업부 연구원) ;
  • 채기준 (이화여자대학교 컴퓨터학과) ;
  • 방효찬 (한국전자통신연구원) ;
  • 나중찬 (한국전자통신연구원)
  • Published : 2005.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, as the serious damage caused by DDoS attacks increases, the rapid detection and the proper response mechanisms are urgent. However, existing security mechanisms do not effectively defend against these attacks, or the defense capability of some mechanisms is only limited to specific DDoS attacks. In this paper, we propose a detection architecture against DDoS attack using data mining technology that can classify the latest types of DDoS attack, and can detect the modification of existing attacks as well as the novel attacks. This architecture consists of a Misuse Detection Module modeling to classify the existing attacks, and an Anomaly Detection Module modeling to detect the novel attacks. And it utilizes the off-line generated models in order to detect the DDoS attack using the real-time traffic. We gathered the NetFlow data generated at an access router of our network in order to model the real network traffic and test it. The NetFlow provides the useful flow-based statistical information without tremendous preprocessing. Also, we mounted the well-known DDoS attack tools to gather the attack traffic. And then, our experimental results show that our approach can provide the outstanding performance against existing attacks, and provide the possibility of detection against the novel attack.

최근 분산 서비스거부 공격에 대한 피해사례가 증가하면서 빠른 탐지와 적절한 대응 메커니즘에 대한 필요성이 대두되었다. 그러나 지금까지 제안된 기존 보안 메커니즘은 이러한 공격들에 대해 충분한 대응책을 제공하지 못하고, 일부 공격에만 유효하거나 공격의 일부 변형에도 취약점을 갖고 있다. 그러므로 본 논문에서는 최신의 분산 서비스거부 공격 유형 잘 분류해 낼 수 있고, 기존 공격의 변형이나 새로운 공격에도 탐지 가능하도록 데이타 마이닝 기법을 이용한 탐지 구조를 제안한다. 이 탐지 구조는 이미 발견된 공격을 유형별로 분류할 수 있도록 모델링하는 오용탐지모듈과, 공격의 일반적인 특성을 이용 하여 새로운 유형의 공격을 발견할 수 있도록 모델링하는 이상탐지모듈로 구성되어 있다. 이렇게 오프라인으로 생성된 탐지 모델을 통해 실시간 트래픽 데이타를 이용한 탐지 구조를 갖고 있다. 본 논문에서는 실제 네트워크의 상황을 잘 반영시켜 모델링을 하고 시험하기 위해 실제 네트워크에서 사용중인 액세스 라우터에서 NetFlow 데이타를 수집하여 이용하였다. NetFlow는 많은 전처리 과정 없이 플로우 기반의 통계 정보를 제공하므로 분산 서비스거부 공격 분석에 유용한 정보를 제공한다. 또한 공격 트래픽을 수집하기 위하여 잘 알려진 공격 툴을 이용하여 실제 공격 트래픽에 대한 해당 액세스 라우터에서의 공격 NetFlow 데이타를 수집하였다. 시험 결과, 이러한 트래픽을 이용하여 두가지 데이타 마이닝 기법을 결합한오용탐지모듈의 높은 탐지율을 얻을 수 있었고, 새로운 공격에 대한 이상탐지모듈의 탐지 가능성을 입증할 수 있었다., 10kg/10a 파종에서 바랭이, 명아주, 별꽃, 12kg/10a 파종에서는 명아주, 바랭이, 새포아풀 순위였다. 이상의 시험결과를 볼 때, 제주지역에서의 Creeping bent-grass의 적정 파종량은 10kg/10a으로 판단된다.$\cdot$하순에 조파하는 것이 바람직할 것으로 판단된다.d real time PCR을 이용하여 DBP 유전자를 증폭하는 새로운 방법으로 말라리아를 Semi-quantitative 하게 검출할 수 있음을 보였다.C로 확인 결과 retention time 3.36에 single peak를 나타내 단일 물질임을 확인할 수 있었다. 분리된 활성물질을 GC-MS(m/z)로 분석한 결과 m/z 222에서 base peak로 나타났으며 이 spectrum으로 NIST library 검색을 실시 한 결과, $C_{12}H_{14}O_4$의 diethyl phtalate로 시사되었다. C-NMR과 1H-NMR을 실시한 결과 참비름에서 분리한 물질은 구조식 $C_{12}H_{14}O_6$인 diethyl phtalate로 동정되었다. 특히 노인인구의 비율이 높은 읍면지역 및 섬지역의 음주문화는 주로 식사를 하면서 반주로 마시는 경우가 많아 음주가 일상화 되어 있다고할 수 있다. 따라서 음주로 인한 질병 예방이나 치료를 목적으로 건강식품을 섭취한다는 인식은 하지 않고 있다. 본 연구결과 통영시에 포함되어 있는 읍면 및 섬지역은 노령화가 가속화되고 있으며,도시의 생활권에서 벗어나 의료혜택을 충분히 받지 못하는 열악한 환경에 놓여 있는 실정 이다

Keywords

References

  1. Remote Network Monitoring (rmonmib), http://www.ietf.org/html.charters/rmonrnib-charter.html
  2. Wenke Lee, Salvatore J. Stolfo, 'Data Mining Approaches for Intrusion Detection,' Proc. of the 7th USENIX Security Symposium, pp. 79-94, Jan. 1998
  3. Joao B. D. Cabrera, Lundy Lewis, Xinzhou Qin, Wenke Lee, Ravi K. Prasanth, B. Ravichandran, Raman K Mehra, 'Proactive Detection of Distributed Denial of Service Attacks using MIB Traffic Variables,' Proc. of ICNP 2002 https://doi.org/10.1109/INM.2001.918069
  4. P. PhaaI, S. Panchen, N. McKee, 'InMon Corporation's sFlow : A Method for Monitoring Traffic in Switched and Routed Networks,' RFC 3176, 2001
  5. Paul J. Criscuolo, 'Distributed Denial of Service - Trin00, Tribe Flood Network, Tribe Flood Network 2000, and Stacheldraht,' CIAC-2319, Feb. 2000
  6. Jelena Mirkovic, Gregory Prier, Peter Reiher, 'Attacking DDoS at the Source,' Proc. of ICNP 2002
  7. Laura Feinstein, Dan Schnackenberg, Ravindra Balupari, Darrell Kindred, 'Statistical Approaches to DDoS Attack Detection and Response,' Proc. of The DARPA Information Survivability Conference and Exposition, 2003
  8. Anup K. Ghosh, Aaron Schwartzbard, 'A Study in using Neural Networks for Anomaly and Misuse Detection,' Proc. of the 8th USENIX Security Symposium, Washington, D.C., USA, Aug. 1999
  9. Susan C. Lee, David V. Heinbuch, 'Training a Neural-Network Based Intrusion Detector to Recognize Novel Attacks,' Proc. of the 2000 IEEE Workshop on Information Assurance and Security United States Military Academy, West Point, NY, 6-7 Jun. 2000
  10. Howard F. Lipson, 'Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues,' Special Report, CMU/SEI-2002-SR-009, Nov. 2002
  11. 이형우, 'DDos 해킹 공격 근원지 역추적 기술', 정보보호학회지, 13권 5호, 2003년 10월
  12. P. Ferguson and D. Senie, 'Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,' IETF RFC2827, May 2000
  13. Heather L. Flanagan, 'Egress filtering-keeping the Internet safe from your systems,' http://www.giac.org/practical/gsec/Heather_Flanagan_GSEC.pdf
  14. Kihong Park, Heego Lee, 'On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets,' Proc. of ACM SGOMM, pp. 15-26, 2001 https://doi.org/10.1145/964723.383061
  15. Cheng Jin, Haining Wang, Kang G. Shin, 'Hop-Count Filtering: An Effective Defense Against Spoofed Traffic,' Proc. of the 10th ACM Conference on Computer and Communication Security, 2003
  16. Tao Peng, Chris Leckie, Rao Kotagiri, 'Protection from Distributed Denial of Service Attacks Using History-based IP Filtering,' ICC 2003 https://doi.org/10.1109/ICC.2003.1204223
  17. Jiawei Ban, Micheline KarrJrer, 'Data Mining: Concepts and Techniques,' Morgan Kaufmann Publisher