Design and Implementation of TCP SYN Flood DDoS Attack Detection Using Dendritic Cell Algorithm

Abstract

TCP FLOOD DDOS는 가장 흔히 사용되는 공격 중의 하나이다. DDOS는 공격력을 증가시키고 피해자가 서버를 사용할 수 없게 만들 수 있기 때문에 피해자에게 게 엄청난 영향을 미치게 된다. 최근, DDOS 및 탐지 또는 완화 기술에 대해 많은 형태의 연구가 수행되고 있다. DDOS를 탐지하는 전형적인 방법 중 하나인 돌기세포 알고리즘(Dendritic Cell Algorithm: DCA)을 사용하는 것이다. DCA는 비정상 탐지로 사용 될 수 있는 진화 알고리즘(Evolutionary Algorithm)으로 인공지능시스템의 유형이다. 또한, DCA는 네트워크 침입 탐지의 문제를 해결하도록 설계되었다. 본 논문은 인공지능시스템, 특히 돌기 세포 알고리즘을 사용하여 TCP FLOOD DDOS 탐지에 관해서 설계하고자 한다. KDD 99 침입 네트워크 데이터셋은 TCP DDOS 시스템의 유효성을 검사하는 데 사용된다. 각 데이터의 MCAV 평균을 이상 임계치로 사용하였고 그 분류의 정확성은 94.22 % 로 나타났다. 이러한 결과는 돌기 세포 알고리즘으로 네트워크 침입탐지의 이상 현상을 발견할 수 있다는 것을 나타내고 있다. MCAV는 항원의 이상에 대한 심각성으로 정의 되고, MCAV는 0과 1 사이 값을 가진다. MCAV값이 1에 가까우면 항원은 비정상적인 상태인 것이다. 수행한 실험의 결과로서, 공격자의 MCAV는 모든 시나리오에서 정상적인 클라이언트의 MCAV 보다 항상 더 높아진다. 정상적인 클라이언트의 MCAV 범위는 0과 0.14 사이 값을 가진다. 특히, 공격자의 MCAV는 0.583에서 0.7707 범위의 값을 가진다.