We propose a lightweight method to identify DoS attacks and their onsets. Our method can identify SYN flood, ICMP flood, port scan, and host scan, based on the idea of BLINC’s host behavior analysis. The procedure has two steps. First we create attack graphlets by examining unique flow behaviors. Secondly, we identify an attack flow by matching flow records to the pre-defined graphlets. The advantage of our method is that it can identify all occurrences and all hosts associated with attack activities without relying on packet payload, packet inter-arrival time, or size of individual packets. Moreover, it can effectively detect anomalous behaviors in the network if the flow behaviors are similar to DoS attacks. In addition, our method can perform near real- time detection, within one minute interval, with low false alarms.
We are in the process of developing graphlets for other types of DoS and DDoS attacks, such as Smurf, Trinoo, TFN/TFN2K, and Stacheldraht [2], [13], [14]. We also plan to compare our performance with a de-facto IDS, such as Snort [3]. In addition, we plan to improve our method to be more real-time and to distinguish between DoS and applications with similar traffic behaviors, such as P2P file sharing.
เรานำเสนอวิธีการที่มีน้ำหนักเบาเพื่อระบุการโจมตี และผู้ป่วยของพวกเขา วิธีที่เราสามารถระบุ ; น้ำท่วม ICMP , น้ำท่วม , สแกนพอร์ต , และโฮสต์สแกน ตามความคิดของ blinc การวิเคราะห์พฤติกรรมของโฮสต์ ขั้นตอนสองขั้นตอน ครั้งแรกที่เราสร้าง graphlets โจมตีโดยการตรวจสอบพฤติกรรมการไหลที่ไม่ซ้ำกัน ประการที่สอง เราระบุการโจมตีของระเบียนที่ตรงกันกับฟอร์มการ graphlets .ประโยชน์ของวิธีนี้ก็คือว่ามันสามารถระบุเหตุการณ์ทั้งหมด และโฮสต์ทั้งหมดที่เกี่ยวข้องกับกิจกรรมโจมตีโดยไม่พึ่ง packet payload แพ็กเก็ตเตอร์ เวลาที่เดินทางมาถึง หรือขนาดของแพ็กเก็ตแต่ละ นอกจากนี้อย่างมีประสิทธิภาพสามารถตรวจจับพฤติกรรมผิดปกติในเครือข่ายถ้าพฤติกรรมการไหลคล้ายกับการโจมตี DOS นอกจากนี้ วิธีการของเราสามารถดำเนินการใกล้เวลาจริงการตรวจสอบภายในช่วงเวลา 1 นาที กับการเตือนที่ผิดพลาดน้อย
เราอยู่ในกระบวนการของการพัฒนา graphlets สำหรับประเภทอื่น ๆของ DOS และการโจมตี DDoS เช่น Smurf , trinoo tfn / tfn2k , และ stacheldraht [ 2 ] , [ 13 ] , [ 14 ] เราวางแผนเพื่อเปรียบเทียบประสิทธิภาพกับพฤตินัย รหัส เช่น Snort [ 3 ] นอกจากนี้เราวางแผนที่จะปรับปรุงวิธีการของเราเป็นแบบเรียลไทม์ และแยกแยะระหว่าง DOS กับพฤติกรรมการจราจรและการใช้งานที่คล้ายกัน เช่น
P2P ไฟล์ร่วมกัน
การแปล กรุณารอสักครู่..