HTTP GET Flooding 공격에 대한 다단계 탐지 기법

Multi-level detection scheme for HTTP GET Flooding attack

본 연구에서는 HTTP GET Flooding DDoS 공격에 대한 효과적인 응용계층 기반 대응책을 수립하는데 필요한 기초 자료를 제공하고자, 단순한 패턴 매칭과 저용량 연산을 요구하는 새로운 다단계 탐지기법을 제안하고자 한다. 먼저 기존의 대응 방식들이 가지고 있는 정상적인 HTTP GET 패킷도 무분별하게 차단될 수 있는 한계를 제거하고자 ‘웹 서비스 연결 대비 트래픽 부하량‘을 탐지 기능의 시작점으로 두었다. 다음으로 HTTP GET 요청들의 ‘동일한 순서번호 중복 검사’ 그리고 ‘동적 콘텐츠 요청 비교’에 의한 비정상 트래픽 선별 제거 기능을 제안하였다. 제안된 기법이 기존의 방식보다 성능면에서 우수함을 보이기 위해 웹 서비스 특성 기반 성능 평가 지표인 ‘서비스 접속률’과 ‘콘텐츠 완성률’을 사용하였다. 시험을 통해 제안한 다단계 기법이 정상 사용자가 실제 느끼는 웹서비스 가용성의 정도를 크게 높여 주었기에 본 연구결과는 HTTP GET Flooding DDoS 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다.

This paper proposes a method of establishing an effective application-based countermeasure against distributed denial-of-service (DDoS) attacks utilizing HTTP GET flooding. We propose a new multi-level detection scheme that requires simple pattern matching and low-volume computation. First of all, traffic load versus web service connection is the starting point of the detection function in order to eliminate the limitation that the normal HTTP GET packet of the existing countermeasures may be blocked indiscriminately. Next, we proposed a function to remove the abnormal traffic filtering by the same sequence number duplication check and dynamic content request comparison of HTTP GET requests. Since the proposed multi-phase scheme greatly improves the degree of availability of web services that the normal user actually feels, this study is expected to greatly contribute to the identification and response of HTTP GET Flooding DDoS attacks.