http://citeseer.nj.nec.com/wang03analysis.html
Ju Wang, Andrew A. Chien
@misc{ wang-analysis,
author = "Ju Wang and Andrew A. Chien",
title = "An Analysis of Using Overlay Networks to Resist Distributed
Denial-of-Service
Attacks",
url = "citeseer.nj.nec.com/wang03analysis.html" }
security, availability, Denial-of-Service attack, overlay network, modeling
Overlayを元にした、ProxyがDoSからInternet上のホストを守ってきた。 でも、これに対する正式な解析はなされてこなかった。
そこで、攻撃モデルとシステムモデルの二つに基づいて、解析を行った。
攻撃には二種類ある。資源枯渇と機密漏洩だ。本論文の分析モデルは、資源回復 とシステム再構築に使えるだろう。
我々の結論は
1) 侵入検知をトリガーにする回復は、資源枯渇型攻撃には通用しない 2) 侵入のtrue-positive rate検知は、検知速度の点でよい 3) random proxy migrationのような再構築手法は攻撃側からまもるのによい 4) overlay なトポロジーはcriticalだ。密結合なトポロジは攻撃に対する安全 性を低下させる
DoSはInfrastructure level攻撃あるいはApplication Level攻撃に分類される。
SOS(Secure Overlay4)などが、IP ネットワーク上の資源を抽象化して、Proxy Networkの下におしこめて隠す、という提案をしている。
こういうネットワークだと、アタッカーがProxy Network上のアプリケーション を攻撃したとしても、実際のIPネットワーク上のホストを移動してしまえば守れ る。十分に大きければ、攻撃者はどこに移動したか分からない。
本論文はこういう攻撃をさけるための、networkのRe-configureを対象としてい る。
Proxy Network では、アプリケーションはProxy Network上のノードで動いてい るようにみえる。実際には、IPネットワークのHostで動いている。そのmapping を知っている人じゃないと通信できない。
ノードにはInternal Proxy(実際に動作をするノード)とEdge Proxy(Internalに 入るためのノード)の二種類ある。EdgeのIP 上のHostは公開されているが、 Internalは公開されていない。アプリケーションと通信するためには、Edgeから 入る。
攻撃には二種類ある。
システム再構築のほうは、mappingを変えることでマイグレートする。だから、 Network Topology自体は変化しない。
攻撃は全てのEdge Proxyにはこないとすると、問題は下の二つ。
Random resetが資源枯渇に対抗するためにはいい。(fig.6 and 7)
True Positive rateが検知速度の面で効果的にでるため、これを目安に選ぶといい。
広範囲(5hopとか)に移動するというポリシーであれば、random migrationは効果 がある。
密結合なトポロジはProxy Networkの安全性を低下させる。
-4 Kaheromytis, A.D., V.Misra, and D.Rubenstein, SOS: Secure Overlay Services. in ACM SIGCOMM'02 2002. Pittsburgh, PA: ACM