The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

Efficient Bloom Filter Based Destination Address Monitoring Scheme for DDoS Attack Detection

DDoS 공격 탐지를 위한 확장된 블룸 필터 기반의 효율적인 목적지 주소 모니터링 기법

  • 유경민 (전북대학교 영상정보신기술연구소) ;
  • 심상헌 (전북대학교 영상정보신기술연구소) ;
  • 한경은 (전북대학교 영상정보신기술연구소) ;
  • 소원호 (순천대학교 컴퓨터교육과) ;
  • 김영선 (한국전자통신연구원) ;
  • 김영천 (전북대학교 영상정보신기술연구소)
  • Published : 2008.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, DDoS (Distributed Denial of Service) attack has emerged as one of the major threats and it's main characteristic is to send flood of data packets toward a specific victim. Thus, several attack detection schemes which monitor the destination IP address of packets have been suggested. The existing Bloom Filter based attack detection scheme is simple and can support real-time monitoring. However, since this scheme monitors the separate fields of destination IP address independently, wrong detection is comparatively high. In this paper, in order to solve this drawback, an efficient Bloom Filter based destination address monitoring scheme is proposed, which monitors not only separate fields but also relationship among separate fields. In the results of simulation, the proposed monitoring scheme outperforms the existing Bloom Filter based detection scheme. Also, to improve the correctness of detection, multi-layerd structure is proposed and the correctness of result is improved according to the number of layers and extra tables.

최근 DDoS(Distributed Denial of Service) 공격이 네트워크 주요 위협요소로 부각되고 있다. 이들 공격은 주로 특정 victim에 다량의 패킷을 전송하는 특징을 가지기 때문에 발생 패킷들의 목적지 IP 주소를 모니터링하여 공격을 탐지하는 기법들이 제안되었다. 기존의 블룸 필터 탐지 기법은 구조가 간단하고 실시간 탐지가 가능한 장점을 갖지만 목적지 IP 주소의 세부 주소를 독립적으로 모니터링하므로 오탐지율이 높은 문제점을 가진다. 이러한 문제점을 해결하기 위하여 본 논문에서는 목적지 주소의 세부 주소 간 연관성을 정의하여 모니터링하는 확장된 블룸 필터 기반의 효율적인 목적지 주소 모니터링 기법을 제안한다. 제안한 기법에서는 세부 주소를 모니터링하는 테이블뿐만 아니라 세부 주소 간 연관성을 모니터링하는 추가 테이블을 유지한다. 시뮬레이션을 통한 성능 평가 결과 제안한 기법은 기존의 블룸 필터 탐지 기법보다 낮은 오탐지율을 보였다. 또한 공격 탐지 정확성 향상을 위하여 다층의 모니터링 구조를 제안하였으며, 층수와 추가 테이블의 수의 변화에 따라 정확도를 높일 수 있었다.

Keywords

References

  1. S. Abdelsayed , D. Glimsholt , C. Leckie , S. Ryan, "An Efficient Filter for Denial-of-Service Bandwidth Attacks," Proc. of GLOBECOM '03, Vol. 3, pp. 1353-1357, Dec. 2003
  2. 김영선, "BcN의 기술적 이슈와 전망," 한국정보통신기술협회, 2005년 8월 4일
  3. M. Thomer and P. Massimiliano , "MULTOPS: A Data-structure for Bandwidth Attack Detection," Proc. of the 10th USENIX Security Symposium, vol. 10, pp. 23-38, August 2001
  4. Y. K. Chan, H. W. Chan et al., "IDR: An Intrusion Detection Router for Defending against Distributed Denial-of-Service (DDoS) Attacks," Proc. of the 7th International Symposium on Parallel Architectures, Algorithms and Networks, pp. 581-586, May 2004
  5. F. L. Schnaxkenberg. D. Balupari. R. Kindred, "Statistical Approaches to DDoS Attack Detection and Response," Proc. of DARPA Information Survivability Conference and Exposition, vol. 1, pp. 303-314, April 2003
  6. G. Zhang and M. Parashar, "Cooperative Defense against Network Attacks," Proc. of WOSIS' 05, ICEIS 2005, INSTICC Press, pp. 113-122, May 2005