Detection of Network Attack Symptoms Based on the Traffic Measurement on Highspeed Internet Backbone Links

고속 인터넷 백본 링크상에서의 트래픽 측정에 의한 네트워크 공격 징후 탐지 방법

In this paper, we propose a novel traffic measurement based detection of network attack symptoms on high speed Internet backbone links. In order to do so, we characterize the traffic patterns from the normal and the network attacks appeared on Internet backbone links, and we derive two efficient measures for representing the network attack symptoms at aggregate traffic level. The two measures are the power spectrum and the ratio of packet counts to traffic volume of the aggregate traffic. And, we propose a new methodology to detect networks attack symptoms by measuring those traffic measures. Experimental results show that the proposed scheme can detect the network attack symptoms very exactly and quickly. Unlike existing methods based on Individual packets or flows, since the proposed method is operated on the aggregate traffic level. the computational complexity can be significantly reduced and applicable to high speed Internet backbone links.

본 논문에서는, 고속의 인터넷 백본 링크상에서 네트워크 공격의 징후를 트래픽 측정에 의하여 탐지해 내기 위한 방법을 제안한다. 이를 위하여, 인터넷 백본상에서 나타나는 정상 및 공격 트래픽의 패턴을 분석하였고. 이러한 트래픽 특성을 활용하여 네트워크 공격 감지를 위한 두가지 트래픽 척도를 도출하였다. 이들은 평균 파워 스펙트럼과 패킷수 대 트래픽양 비율이다. 그리고, 이들 트래픽 척도들을 집합된 트래픽 수준에서 측정함으로써 네트워크 공격 징후 감지를 위한 방법론을 제안한다. 실험 결과는 제안된 방법이 네트워크 공격 징후를 매우 잘 감지해내고 있음을 보여준다. 제안된 방법은 개별 플로우 또는 개별 패킷들에 기반을 둔 기존의 방법들과 달리, 집합된 트래픽 수준에서 운영되므로 계산의 복잡성을 현저히 줄일수있다.