Design of a Trigger Mechanism Utilizing Riemannian Manifold Metric for Two-Stage DDoS Attack Detection

DDoS攻撃がますます複雑化してきたため，高度な検知システムが求められ，それによって計算リソースの需要も高まっている．そのため，トリガー機構を備えた二段階の検知が提案された．しかしながら，先行研究には，トリガー閾値の更新頻度が低くて，利用される特徴も限られていることによって，二段階目の検知アルゴリズムがまだ頻繁的に呼ばれているなど問題がある．近年の関連研究から，インターネットトラフィックデータがリマン多様体で，リマン多様体上のスカラー計量「功（ワーク）」がトラフィックデータの特性を記述するために使用できることが分かった．本研究では，DDoS攻撃の二段階検知システムの新しいトリガー機構の提案，構築およびその性能の実証を行う．主には，リマン多様体の概念を利用しで特徴の定義と導入，トリガーで閾値の感度を動的な調整のためのネガティブフィードバック制御を用いる．CICDDoS2019データベースを用いて新しい提案の性能を実証した結果から，良い検知性能を維持しながら，二段階目の検知アルゴリズムの呼び出し回数が大幅に減少したことが分かった．

Due to the increasing complexity of DDoS attacks, there is a growing demand for advanced detection systems, which in turn has led to an increased need for computational resources. As a result, a two-stage detection approach with a triggering mechanism has been proposed. However, previous research has highlighted issues such as infrequent updates of trigger thresholds and limited feature utilization, leading to frequent calls to the second-stage detection algorithm. Recent studies have revealed that internet traffic data can be represented as a Riemannian manifold, and the scalar metric 'work' on this manifold can be employed to describe the characteristics of traffic data. In this study, we propose, construct, and demonstrate a novel triggering mechanism for a two-stage DDoS detection system. The research primarily focuses on utilizing the concept of a Riemannian manifold for defining and introducing features, and employs negative feedback control for dynamically adjusting threshold sensitivity in the trigger. Through the results of performance validation using the CICDDoS2019 database, it was found that the proposed approach maintains good detection performance while significantly reducing the number of calls to the second-stage detection algorithm.