Slow HTTP DDoS 攻撃の高速検知法の提案

Slow HTTP DDoS 攻撃は，ウェブサーバに対して多数のリクエストを低レートで送信し，コネクション継続時間を引き延ばして，サーバのコネクションプールを飽和させることで正当なクライアントのアクセスを妨害する．単位時間に発生するトラフィック量が少ないため，トラフィック量監視による検知は困難である．さらに，リクエスト送信レート，送信タイミングやコネクション継続時間を制御して，検知を困難にする工夫も行われている．これまでに提案されている既存の対策手法は，攻撃のパケット特徴量を統計的に閾値処理するため，識別判定，切断処理までに最短でも約20秒を要していた．そこで，HTTP通信の各フローごとの状態推移を経路上で観測し，その継続時間とアイドル時間が閾値を超えた未完了のフローを切断する対策手法を提案する．実攻撃のキャプチャデータを用いて検知実験を行った結果，攻撃開始から平均10秒で検知，切断することができ，この際の識別精度のF1_Scoreは0.986，誤検知率は0.0096となった．

A Slow HTTP DDoS attack involves sending a large number of requests to a web server at a low rate, thereby prolonging the connection time to saturate the server's connection pool and disrupt legitimate client access. Owing to the low traffic volume generated per unit time, detecting such attacks through traffic monitoring is challenging. Moreover, attackers employ techniques that make detection even more difficult, such as controlling request rates, timing, and connection duration. Existing mitigation methods rely on statistical thresholding of the packet features of the attack, which typically takes at least 20 s for identification and disconnection processing. To address this issue, we propose a new approach that observes the state transitions of each flow in the HTTP communication path. This method identifies and terminates incomplete flows that exceed predefined thresholds for their duration and idle times. We conducted detection experiments using captured attack data, and achieved detection and termination within 10 s in average of the start of the attack. The proposed approach demonstrated high accuracy, with an F1_Score of 0.986 and a false positive rate of 0.0096.