Lightweight detection of DoS attacks

การตรวจจับการจู่โจมประเภท DoS (Denial of Service)

Name: Sirikarn Pukkawanna

LCSH: Computer networks -- Security measures

LCSH: Computer security

Abstract: Denial of Service (DoS) attacks have continued to evolve and they impact the availability of Internet infrastructure. Many researchers in the field of network security and system survivability have been developing mechanisms to detect DoS attacks. By doing so they hope to maximize accurate detections (true-positive) and minimize non-justified detections (false-positive). This research proposes a lightweight method to identify DoS attacks by analyzing host behavior. Our method is based on the concept of BLINd Classification or BLINC: no access to packet payload, no knowledge of port numbers, and no additional information other than what current flow collectors provide. Rather than using pre-defined signatures or rules as in typical Intrusion Detection Systems, BLINC maps packets into graphlets of each attack pattern. In this work we create six types of graphlets for the following DoS attack patterns: TCP SYN flood, UDP flood, ICMP flood, Smurf, port scan, and host scan. The results show that our method can identify all occurrences and all hosts associated with attack activities.

Abstract: การจู่โจมในเครือข่ายชนิด Denial of Service (DoS) นับว่าเป็นการจู่โจมประเภทหนึ่ง ที่เกิดขึ้นเป็นประจำทุกวันบนเครือข่ายอินเทอร์เน็ต และมีแนวโน้มการพัฒนาเทคนิคการจู่โจม ประเภทนี้อย่างต่อเนื่อง เนื่องจากการจู่โจมประเภทนี้นับว่ามีความรุนแรง และทำให้เกิดความ เสียหายต่อระบบเครือข่ายเป็นอย่างมาก ดังนั้นการตรวจจับการจู่โจมประเภท DoS ที่เกิดขึ้นบน เครือข่าย นับว่าเป็นงานที่สำคัญอย่างยิ่งของผู้ดูแลระบบเครือข่าย (Network administrator) การจู่โจมประเภท DoS จะมีจุดประสงค์หลักคือ ระงับการให้บริการ หรือการใช้บริการของ เครื่องเป้าหมาย (Victim) ตัวอย่างเช่น ผู้โจมตี (Attacker) พยายามเผาผลาญแบนด์วิดธ์ (Bandwidth) อย่างเต็มที่ เพื่อไม่ให้ผู้อื่นสามารถใช้งานเครือข่ายได้ตามปกติ หรือผู้โจมตีพยายาม ทำให้เครื่องเป้าหมายที่ถูกโจมตี ไม่มีทรัพยากรเหลือเพียงพอที่จะให้บริการผู้ใช้ได้ เป็นต้น ตัวอย่างเทคนิคการจู่โจมประเภท DoS ที่นิยมใช้กันอย่างแพร่หลาย ได้แก่ TCP SYN flood, UDP flood, ICMP flood, Smurf, port scan, และ host scan เป็นต้น ดังนั้นเราได้นำเสนอเทคนิคการตรวจจับการจู่โจมประเภท DoS เทคนิคนี้อาศัยการวิเคราะห์ พฤติกรรมการติดต่อสื่อสารกันระหว่างเครื่องภายในเครือข่าย แทนที่การวิเคราะห์จากหมายเลข พอร์ต (Port number) หรือเข้าถึงข้อมูลผู้ใช้ภายในแพ็คเก็ต (Packet payload) เหมือนกับ ซอฟต์แวร์สำหรับตรวจจับการจู่โจมทั่วไป (Intrusion Detection System, IDS) งานวิจัยนี้ ได้นำเสนอรูปแบบของพฤติกรรมการจู่โจมประเภท DoS ทั้งหมด 6 ชนิด ได้แก่ TCP SYN flood, UDP flood, ICMP flood, Smurf, port scan, และ host scan เพื่อใช้ใน การระบุการจู่โจมที่เกิดขึ้นภายในเครือข่าย จากผลการทดลองพบว่า เทคนิคดังกล่าว สามารถ ตรวจจับและระบุการจู่โจมประเภท DoS ที่เกิดขึ้นภายในเครือข่ายได้อย่างครบถ้วน และถูกต้อง แม่นยำ

Mahidol University

Address: NAKHONPATHOM

Email: liwww@mahidol.ac.th

Name: Vasaka Visoottiviseth

Role: Thesis Advisors

Created: 2008

Modified: 2553-06-22

Issued: 2010-06-14

วิทยานิพนธ์/Thesis

application/pdf

CallNumber: TH S619L 2008

eng

DegreeName: Master of Science

Level: Master's Degree

Descipline: Computer Science

Grantor: Mahidol University

©copyrights Mahidol University

ลำดับที่.	ชื่อแฟ้มข้อมูล	ขนาดแฟ้มข้อมูล	จำนวนเข้าถึง	วัน-เวลาเข้าถึงล่าสุด
1	4836585.pdf	3.48 MB	59	2023-03-12 11:01:16

ใช้เวลา

0.321258 วินาที