[2026-01-25] A Survey on Slow DDoS Attack Detection Techniques

🦥 본문

Type of Slow Attacks

Slow HTTP DDoS

TCP, UDP 연결을 수립한 후 아주 적은 양의 바이트를 보내거나 읽음으로써 수립된 모든 연결을 유지하려고 시도

• Slow Read

  

  1. 공격자가 웹 서버에 큰 데이터를 요청
  2. 공격자가 웹 서버에 매우 작은 크기의 TCP window를 알림
     • 0 바이트의 TCP window를 알리는 경우, 웹 서버가 클라이언트의 응답 수신 가능 상태를 무기한 기다릴 수도 있지만, Time-OUT 매커니즘과 Zero byte window 탐지 매커니즘으로 탐지되기 쉬움.
     • 탐지 매커니즘을 회피하지만, DDoS 상황을 유발할 수 있을 만큼의 작은 바이트 양을 사용.
  3. 웹 서버의 버퍼를 발송 대기 중인 응답들로 가득 채움

• Slow POST (R-U-Dead-Yet (RUDY) or 슬로우 바디(slow body))

  

  1. 공격자가 POST method의 Content-header를 통해 큰 Content-length를 웹 서버에 예고
  2. 공격자가 timeout 값보다 짧은 간격으로 소량의 데이터를 서버에 보냄
  3. 웹 서버는 지정된 길이의 데이터를 받을 때까지 기다려 자원을 소모

  웹 서버에 대해 여러 개의 유사한 연결을 생성하고 동일한 데이터 전송 방법을 시작하여 DDoS 유발

• Slow GET (슬로우 헤더(slow header) or 슬로로리스(slowloris))

  

  정상적인 상황에서 헤더는 두 개의 CRLF(Carriage-Return Line-Feed) 문자(“\r\n\r\n”)로 구성되며, 이는 웹 서버에 헤더의 끝과 본문의 시작을 알려 서버가 요청 처리를 시작. 헤더 요청에서 단일 CRLF 문자는 한 줄의 끝과 다른 줄의 시작을 의미.

  1. 연결을 수립한 후 웹 서버에 정상적인 GET 요청을 보냄
  2. 서버가 헤더를 받을 준비가 되었다는 신호인 200 OK 메시지를 보냄
  3. 공격자가 두 개의 CRLF 문자를 전송하지 않고 헤더를 여러 조각으로 나누어 보냄.
  4. 서버는 헤더 요청이 완료되기를 무기한 기다리며 연결을 열어둠
  5. 연결 제한 수치에 도달하게 되면, 정당한 클라이언트가 보내는 연결 요청이 거부

• Slow TCAM

  

  스위치는 새로운 플로우(flow)가 도착할 때마다 컨트롤러로부터 받은 모든 플로우 규칙을 저장하는 TCAM(Ternary Content Addressable Memory)을 유지. 하지만 TCAM은 1,500개에서 3,000개의 플로우 규칙 항목을 저장할 수 있을 정도로 그 용량이 제한적

  1. 스위치에 새로운 플로우를 보내 플로우 규칙을 설치하도록 유도
  2. 비활성 플로우 규칙 타임아웃 값보다 짧은 간격으로 소량의 데이터를 보내어 규칙 유지
  3. 스위치의 TCAM의 최대 허용 용량까지 채움
  4. 기존 규칙은 활성화된 상태이기 때문에, 정당한 트래픽의 새로운 플로우들이 폐기.

Detection methods

ML

[13] : slow POST 및 slowloris의 DoS 공격을 탐지.

• 5-NN, 나이브 베이즈(Naïve Bayes), 다층 퍼셉트론(MLP), 서포트 벡터 머신(SVM), JRIP, 랜덤 포레스트(Random forest), C4.5 Decision Trees, 로지스틱 회귀 방법 사용

→ NetFlow 특징 세트를 사용하여 RF 방식이 가장 뛰어난 성능을 보여줌

• 한계 : 단일 근원지에서 발생하는 DoS 공격을 사용한 것이므로, 분산되고 동적인 DDoS 공격에 대한 탐지 X

[17] : Slow HTTP 탐지

• 랜덤 포레스트, KNN, 로지스틱 회귀, SVM, Decision Trees, 심층 신경망(DNN) 등 6가지 분류기를 사용

→ KNN과 Decision Trees가 높은 탐지율 기록

• 한계 : 불균형 데이터셋을 사용했을 때 KNN의 탐지 시간은 61.21초. 실시간 탐지 불가.

[8] : SDN 네트워크에서 slow read 공격을 탐지

• Full Packet Captures 대신, 8가지 분류기와 함께 Netflow 사용.

→ RF가 가장 뛰어난 성능을 보여줌

• 한계 : slow read에 대한 공격만 조사

[18] : HTTPS 내에서 slowloris 및 slow POST 탐지

• 단일 연결 클러스터링(single linkage clustering), k-평균(k-means), 퍼지 c-평균(fuzzy c-means), 자기 조직화 지도(SOM), DBSCAN 사용.

→ 비지도 학습 k-means가 성능이 뛰어남

[19] : Slow POST 탐지

• k가 5인 k-최근접 이웃(5-NN)과 두 가지 형태의 C4.5 의사결정 나무(C4.5D 및 C4.5N)가 사용
• 앙상블 특징 선택 방식을 통해 특징 선택

→ 7개의 feature 선택이 가장 좋은 성능을 기록

• 한계 : 클러스터링 알고리즘이 더 많은 양의 정상 트래픽을 악성으로 분류

[12] : 클라우드 환경에서 slow read 공격을 탐지

• 랜덤 포레스트(random forest) 알고리즘을 사용.
• 사전 가지치기(Pre-pruning)를 수행하면 미탐율 증가, 정확도 감소

→ 랜덤 포레스트에서 트리의 사전 가지치기를 사용하는 것은 나무의 성장을 통해 솔루션이 적절하게 개발되지 못하게 만듦. 트리의 개수(탐지율)과 계산 비용 사이의 균형을 맞추는 것이 중요

[20] : Slow HTTP 공격 탐지

• HTTP 요청 횟수(HTTP count)와 델타 시간(패킷 간 시간 간격)을 주요 특징(feature)으로 사용
• 나이브 베이즈, 나이브 베이즈 다항식, 다층 퍼셉트론, 랜덤 포레스트, 로지스틱 회귀, 그리고 방사 기정 함수 네트워크(RBFN) 머신러닝 분류기 사용

→ 나이브 베이즈 다항식이 가장 좋은 성능을 기록

Time Series

[21] : slow POST, 헤더 및 리드 DoS 공격을 탐지

• 비매개변수 CUSUM 알고리즘 사용. 관찰된 값들의 분포 변화를 탐지
• 선택적 플로우 샘플링을 통해 큰 플로우가 아닌 작은 플로우를 선택하여 높은 탐지율 기록

[22] : 진행 중인 공격보다 공격의 시작 시점이 더 탐지

• 신호를 주파수 영역으로 변환하기 위해 이산 푸리에 변환(Discrete Fourier Transform)이 사용
• 공격자가 사용하는 봇의 대기 시간에 따라 탐지 가능성에 큰 영향을 미침
  • 공격자가 고정된 대기 시간을 사용할 때 (주파수에서 패턴이 뚜렷해짐), 탐지율이 높음
  • 공격 시작 시점에 연결 요청으로 서버를 Flooding 시킬 때 탐지율이 높음
• 한계 : 대기 시간이 무작위인 경우 탐지가 어려움

[23]

• 시계열을 랜덤 성분과 추세 성분으로 분리하는 시계열 분해 기법을 사용
• 각각에 누적 합계(CUSUM) 기술과 이중 자기상관 기술을 적용
• 한계 : 오탐율이 4.3% 미탐율이 9.8%

Probabilistic with Distance-based Similarity Metric

[24] : Slow attack 탐지

• 유클리드 거리 유사도 계산을 위해 로그 파일 분석 사용

[25]

• 헬린저 거리(Hellinger distance)를 통해 확률 분포 사이의 거리를 측정
• 한계 : 정상 트래픽과 유사한 확률 분포를 가진 패킷을 생성하면 우회 가능

[26] : Slow DoS 탐지

• 카이 제곱 통계 사용하여 트래픽의 빈도가 정상 빈도와 얼마나 차이나는 지 검증
• 한계 : 간격 시간이 늘어나면 재현율이 향상되지만 높은 오탐율 유발, 줄이면 재현율이 떨어지고 오탐율은 개선

Performance Model

[11] : Slow HTTP DDoS 탐지

• 패킷 간 도착 시간과 window 크기 분석.
• slowloris와 RUDY 공격의 평균값이 유사 → 공격이 유사

[15] : OpenStack 클라우드 플랫폼에서의 슬로우 HTTP DDoS 공격 탐지/완화

• 동작 흐름
  1. 패킷 사전 모니터링 모듈이 패킷의 동작을 식별
  2. 분류기 영역(classifier zone) 모듈로 전달
  3. 모든 클라이언트는 허용 목록에 배치
  4. HTTP 요청 간의 지연 시간이 계산된 네트워크 지연 시간의 5배를 초과하면 해당 클라이언트를 차단 목록 영역으로 배치
     • 평균 네트워크 지연 시간은 클라이언트에 5번의 핑(ping)을 보내 계산
     • 평균 응답 시간은 클라이언트가 핑 메시지에 응답하는 시간을 계산
     • 5배 기준은 애플리케이션의 처리 시간을 고려
     • 0바이트의 TCP 윈도우를 빈번하게 알리는 행위는 모니터링되어 차단 목록에 배치
     • 타임아웃 값의 80%가 경과했을 때 웹 서버로 전송되는 POST 또는 GET 요청은 공격자로 간주되어 차단 목록에 배치

[27] : SDN 네트워크에서 Slow attack 탐지

• 웹 서버의 개방된 연결 수가 처리 중인 동시 연결의 예정된 임계값을 초과 불완전한 HTTP 요청이 발생하면 슬로우 공격으로 탐지.

[16] : Slow TCAM 탐지

• TCAM이 가득 차서 새로운 규칙을 설치할 수 없을 때, TABLE FULL 메시지를 통해 탐지
• 한계 : Slow TCAM 발생 이후 탐지

[28] : Slowloris 공격 탐지 및 완화

• 역방향 프록시를 통해 서버의 스트레스를 측정하여 탐지.
• 역방향 프록시는 요청이 완료될 때까지 원래 서버를 대신하여 요청을 처리.

[29] : Slow DDoS 탐지

• CPU 사용률, 시간, 작업량, 디스크 사용률, 시간, 대기 시간 등을 사용하여 공격을 나타내는 baseline을 형성
• 한계 : baseline을 언제 수립해야 하는지에 대한 딜레마, 적절한 임계값 선택하는 것이 어려움

ML : 성능은 효과적이나, 오버헤드 발생

성능 모델 및 시계열 기술 : feature가 쉽게 추출되고 빠르게 탐지 되며 자원을 절약할 수 있지만, ML에 비해 성능이 뒤쳐짐

거리 기반 유사도 기술 & 확률 기반 기술 : 눈에 띄는 결과 X

Conclusion

Limitation

Slow DDoS에 대한 연구 부족

• 표준 데이터셋 부족
• slowHTTPTest, slowloris.py, OWASP switchblade 등과 같은 도구를 사용하여공격을 시뮬레이션함으로써 자체 데이터셋을 만드는 데 의존

ML 파라미터 조정에 대한 탐구 필요

Slow TCAM의 예방적 탐지 필요