Darknet Traffic Analysis by Focusing on The Stability of Traffic
Article Sidebar
Main Article Content
บทคัดย่อ
Darknet is reachable but unused IP address space. Since legitimate hosts will generally have no reason to send packets to darknet, most of the packets seen in darknet are results of attacks, experiments or errors. Thus, darknet traffic analysis is a good candidate to understand the activities of attackers, worms, and infected hosts in the Internet. In this paper, we analyse darknet traffic by focusing on traffic stability. The concept of traffic stability is that the relative volume of dominant traffic components do not change drastically. We hypothesize that though the volume of darknet traffic is orders of magnitude smaller than Internet traffic, the stability principle holds and that the instabilities in traffic indicate the occurrence of some events in darknet. We categorize packets in darknet based on values of the fields in the packet header and calculate the volume of dominant components. We analysed two datasets of darknet traffic and found several significant instabilities. We analysed the causes of the instabilities and characteristics of the corresponding packet categories. Some of the detected events could be correlated with known and recorded network events. The analysis results show that traffic stability is a useful concept even for darknet traffic analysis.
Article Details
นโยบายการรับบทความ
กองบรรณาธิการวารสารสถาบันเทคโนโลยีไทย-ญี่ปุ่น มีความยินดีรับบทความจากอาจารย์ นักศึกษา และผู้ทรงคุณวุฒิในสาขาบริหารธุรกิจและภาษา ที่เขียนเป็นภาษาไทยหรือภาษาอังกฤษ ซึ่งผลงานวิชาการที่ส่งมาขอตีพิมพ์ต้องไม่เคยเผยแพร่ในสิ่งพิมพ์อื่นใดมาก่อน และต้องไม่อยู่ในระหว่างการพิจารณาของวารสารอื่นที่นำส่ง ดังนั้นผู้สนใจที่จะร่วมเผยแพร่ผลงานและความรู้ที่ศึกษามาสามารถนำส่งบทความได้ที่กองบรรณาธิการเพื่อเสนอต่อคณะกรรมการกลั่นกรองบทความพิจารณาจัดพิมพ์ในวารสารต่อไป ทั้งนี้บทความที่สามารถเผยแพร่ได้ประกอบด้วยบทความวิจัย ผู้สนใจสามารถศึกษาและจัดเตรียมบทความจากคำแนะนำสำหรับผู้เขียนบทความ
การละเมิดลิขสิทธิ์ถือเป็นความรับผิดชอบของผู้ส่งบทความโดยตรง บทความที่ได้รับการตีพิมพ์ต้องผ่านการพิจารณากลั่นกรองคุณภาพจากผู้ทรงคุณวุฒิและได้รับความเห็นชอบจาก กองบรรณาธิการ
ข้อความที่ปรากฏภายในบทความของแต่ละบทความที่ตีพิมพ์ในวารสารวิชาการเล่มนี้ เป็น ความคิดเห็นส่วนตัวของผู้เขียนแต่ละท่าน ไม่เกี่ยวข้องกับสถาบันเทคโนโลยีไทย-ญี่ปุ่น และคณาจารย์ท่านอื่น ๆ ในสถาบัน แต่อย่างใด ความรับผิดชอบด้านเนื้อหาและการตรวจร่างบทความแต่ละบทความเป็นของผู้เขียนแต่ละท่าน หากมีความผิดพลาดใด ๆ ผู้เขียนแต่ละท่านจะต้องรับผิดชอบบทความของตนเองแต่ผู้เดียว
กองบรรณาธิการขอสงวนสิทธิ์มิให้นำเนื้อหา ทัศนะ หรือข้อคิดเห็นใด ๆ ของบทความในวารสารวิชาการ สถาบันเทคโนโลยีไทย-ญี่ปุ่น ไปเผยแพร่ก่อนได้รับอนุญาตจากผู้นิพนธ์อย่างเป็นลายลักษณ์อักษร ผลงานที่ได้รับการตีพิมพ์ถือเป็นลิขสิทธิ์ของวารสารสถาบันเทคโนโลยีไทย-ญี่ปุ่น
หากต้องการสอบถามข้อมูลเพิ่มเติมที่
- กองบรรณาธิการ วารสารสถาบันเทคโนโลยีไทย-ญี่ปุ่น
- ฝ่ายวิจัยและนวัตกรรม สถาบันเทคโนโลยีไทย-ญี่ปุ่น
เลขที่ 1771/1 สถาบันเทคโนโลยีไทย-ญี่ปุ่น ซอยพัฒนาการ 37-39 ถนนพัฒนาการ แขวงสวนหลวง เขตสวนหลวง กรุงเทพมหานคร 10250 ติดต่อกับคุณพิมพ์รต พิพัฒนกุล (02) 763-2752 , คุณอาริสา จิระเวชถาวร (02) 763-2600 Ext. 2704 Fax. (02) 763-2754 หรือ E-mail: JBAL@tni.ac.th
References
“JPCERT/CC Incident Handing Report,” Japan Computer Emergency Response Team Coorditional Center, JPCERT-IR-2015-04, Jul.–Sep. 2015.
A. Shimoda, T. Mori, and S. Goto, “Extended Darknet: Multi-Dimensional Internet Threat Monitoring System,” IEICE Transactions on Communications, vol. E95-B, no. 6, pp. 1915–1923, 2012.
L. Miao, W. Ding, and H. Zhu, “Extracting Internet Background Radiation from raw traffic using greynet,” in 2012 18th IEEE International Conference on Networks (ICON), 2012, pp. 370–375.
“TSUBAME Info,” Japan Computer Emergency Response Team Coordination Center, 2015.
“Quarterly Report,” Japan Computer Emergency Response Team Coordination Center, 2015.
“National Research and Development Institute of Information and Communications technology, NICT Cyber security Laboratory,” 2014. [Online]. Available: https://www. nicter. jp/nw_public/scripts/index.php#nicter.
D. Inoue, M. Eto, K. Suzuki, M. Suzuki, and K. Nakao, “DAEDALUS-VIZ: Novel Real-time 3D Visualization for Darknet Monitoring-based Alert System,” in Proceedings of the Ninth International Symposium on Visualization for Cyber Security, New York, NY, USA, 2012, pp. 72–79.
“The UCSD Network Telescope,” Center for Applied Internet Data Analysis, 2015. [Online]. Available:https:// www. caida. org/projects/network_telescope/.
Z. Zhang, B. Wang, and J. Lan, “Identifying elephant Flows in internet backbone traffic with bloom filters and LR U,” Computer Communications, vol. 61, pp. 70–78, May 2015.
“Team Cymru Darknet Project,” Team Cymru, 2014. [Online]. Available: https://www.team-cymru.org/darknet.html.
D. Moore, C. Shannon, G. M. Voelker, and S. Savage, “Network Telescopes: Technical Report,” CS2004-0795, 2004.
S. Mizoguchi, Y. Fukushima, Y. Kasahara, Y. Hori, and K. Sakurai, “Darknet Monitoring on Real-Operated Networks,” in Proceedings of the 2010 International Conference on Broadband, Wireless Computing, Communication and Applications, Washington, DC, USA, 2010, pp. 278–285.
M. Bailey, E. Cooke, F. Jahanian, and A. Myrick, “Practical Dark net Measurement,” in 40th Annual Conference on Information Sciences and Systems, 2006, pp. 1496–1501.
A. Shimoda, T. Mori, and S. Goto, “Extended Darknet: Multi-Dimensional Internet Threat Monitoring System,” IEICE Transactions on Communications, vol. 95, pp. 1915–1923, 2012.
C. Rossow, “Amplification Hell: Revisiting Network Protocols for DDoS Abuse.” NDSS Symposium, 22-Feb-2014.
“JPCERT/CC Internet Threat Monitoring Report,” Japan Computer Emergency Response Team Coordination Center, JPCERT-IA-2015-01, Dec. 2014.