The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Implementation of an SNMP-Based Traffic Flooding Attack Detection System

SNMP 기반의 실시간 트래픽 폭주 공격 탐지 시스템 설계 및 구현

  • 박준상 (고려대학교 컴퓨터정보학과) ;
  • 김성윤 (고려대학교 컴퓨터정보학과) ;
  • 박대희 (고려대학교 컴퓨터정보학과) ;
  • 최미정 (강원대학교 컴퓨터과학과) ;
  • 김명섭 (고려대학교 컴퓨터정보학과)
  • Published : 2009.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, as traffic flooding attacks such as DoS/DDoS and Internet Worm have posed devastating threats to network services, rapid detection and proper response mechanisms are the major concern for secure and reliable network services. However, most of the current Intrusion Detection Systems (IDSs) focus on detail analysis of packet data, which results in late detection and a high system burden to cope with high-speed network traffic. In this paper we propose an SNMP-based lightweight and fast detection algorithm for traffic flooding attacks, which minimizes the processing and network overhead of the detection system, minimizes the detection time, and provides high detection rate. The attack detection algorithm consists of three consecutive stages. The first stage determines the detection timing using the update interval of SNMP MIB. The second stage analyzes attack symptoms based on correlations of MIB data. The third stage determines whether an attack occurs or not and figure out the attack type in case of attack.

DoS/DDoS공격과 웜 공격으로 대표되는 트래픽 폭주 공격은 그 특성상 사전 차단이 어렵기 때문에 정확하고 빠른 탐지에 의한 대처는 공격 탐지 시스템이 갖추어야 할 필수요건이다. 본 논문에서는 SNMP MIB의 다양한 상관관계 분석을 통해 빠르고 정확한 탐지 알고리즘을 제안하고, 이를 적용한 실시간 탐지 시스템을 구현하였다. 공격 탐지 방법은 SNMP MIB의 갱신 주기를 이용하여 공격 탐지 시점을 결정하는 단계와 수신된 패킷의 상위 계층 전달률, 수신된 패킷에 대한 응답률, 그리고 폐기된 패킷 개수와 같은MIB 정보간의 상관 관계를 이용하여 공격의 징후를 판단하는 단계, 프로토콜 별 상세 분석을 통하여 공격 유무 탐지 및 공격 유형 분류를 수행하는 단계로 구성된다. 제안한 탐지 방법은 빠른 탐지로 발생되는 시스템 부하와 관리를 위한 소비 트래픽의 증가 문제를 효율적으로 해결하여 다수의 탐지 대상 시스템의 관리가 가능하며, 빠르고 정확하게 공격의 유무를 탐지하고 공격 유형을 분류해 낼 수 있어 공격에 대한 신속한 대처가 가능해 질 수 있다.

Keywords

References

  1. Myung-Sup Kim, Hun-Jeong Kang, Seong-Cheol Hong, Seung-Hwa Chung, and James W. Hong, “A Flow-based Method for Abnormal Network Traffic Detection,” Proc. of NOMS 2004, Seoul, Korea, Apr. 19-23, pp.559-612, 2004 https://doi.org/10.1109/NOMS.2004.1317747
  2. E. Duarte, Jr., A. L. dos Santos, “Network Fault Management Based on SNMP Agent Groups,” Proc. of ICDCSW 2001, pp.51 https://doi.org/10.1109/CDCS.2001.918686
  3. IETF RFC 1213 “Management Information Base for Network Management of TCP/Ip-Based Internets: MIB-II,” http://www.rfc-editor.org/rfc/rfc1213.txt
  4. Dae-Sung Yoo, Chang-Suk Oh, “Traffic Gathering and Analysis Algorithm for Attack Detection,” KoCon 2004 Spring Integrated conference, Vol.4, 2004, pp.33-43
  5. “Distributed Denial of Service (DDoS) Attacks/tools”, http://staff.washington.edu/dittrich/misc/ddos/
  6. Jun Li, Constantine Manikopoulos, “Early Statistical Anomaly Intrusion Detection of DoS Attacks Using MIB Traffic Parameters,” Proc. of the IEEE WIA 2003, West Point, NY, Jun. 2003, pp53-59 https://doi.org/10.1109/SMCSIA.2003.1232401
  7. GasparyL.P, Sanchez.R.N, Antunes.D.W, Meneghetti.E “A SNMP-based platform for distributed stateful intrusion detection in enterprise network,” IEEE Journal on Selected Areas in Communications, Oct. 2005, Vol.23, pp.1973-1982 https://doi.org/10.1109/JSAC.2005.854116
  8. Cabrera. J.B.D. Lewis.L, Xinzhou. Qin, Wenke.Lee, Prasanth.R.K. Ravichandran.B, Mehra.R.K, “Proactive detection of distributed denial of service attacks using MIB traffic variables-a feasibility study” Integrated Network Management Proceedings IEEE/IFIP International Symposium 2001, pp606-622 https://doi.org/10.1109/INM.2001.918069
  9. Qiang Xue, Lin-Lin Guo, Ji-Zhou Sun “The design of a distributed network intrusion detection system IA-NIDS,” Proc. of the International Conference on Machine Learning and Cybernetics 2003, Vol.4, Nov. 2-5, 2003, pp.2305-2308 https://doi.org/10.1109/ICMLC.2003.1259892
  10. Patric carlsson, Markus Fiedler, Kurt Tutschku, Stefan Chevul and Arne A. Nilsson “Obtaining Reliable Bit Rate measurements in SNMP-Managed Networks,” ITC Specialist Seminar, Wurzburg, pp.114-123, 2002

Cited by

  1. Utilizing OpenFlow and sFlow to Detect and Mitigate SYN Flooding Attack vol.17, pp.8, 2014, https://doi.org/10.9717/kmms.2014.17.8.988