統計的性質を利用したDDoS攻撃のフィルタリング手法

摘要

DDoS（Distributed Denial of Service）攻撃は，各地に分散された多数のノードから，大量の不正トラヒックを攻撃対象とするサーバに送りつけることにより，ユーザに対するサービス提供を不可能にする不正アクセスの一つである．DDoSによる攻撃トラヒックの判別·破棄は一般的に困難なものであるが，インターネットの信頼性·安全性を脅かす一因であり，その対策はますます重要となっている．これまでにも，過去観測された攻撃パターン中の特徴を用いる方法や，攻撃パケットのビットレートの異常性を基にDDoS攻撃の検出を行う手法などが提案されているが，完全な問題の解決には至っていない．そこで本研究ではDDoS攻撃が発生していない時点におけるパケットの到着間隔分布および観測によって得られるパケット属性値の分布を用い，DDoS攻撃である事後確率の評価を行うことによってパケットの破棄を行うフィルタリング方式を提案する．シミュレーション結果より，提案手法は攻撃パケットの到着レートが低い場合においても，攻撃パケットだけを破棄することが可能であることがわかった．