Distributed Denial of Service (DDoS) attacks can easily exhaust the computing and communication resources of their victim within short period of time and they deteriorate the performance of whole network as well as interrupt communication of a specific host. Therefore we propose a method for proactive detection of DDoS attacks in this paper. DDoS attacks go on with several steps. We look into these features of DDoS attacks in order to detect precursors of DDoS attacks and then select variables based on the features. After that, we perform cluster analysis for proactive detection of DDoS attacks. We experimented with 2000 DARPA Intrusion Detection Scenario Specific Data Set in order to evaluate our method. In result, the data set is divided into several detailed groups and we can analyze the network traffic of each group according to the feature of each phase. With our proposed method, we can know not only whether incoming traffic is normal or abnormal but also which phase incoming traffic corresponds to. Therefore we can detect DDoS attacks proactively. As our method needs only normalized distance in order to determine which group incoming traffic belongs to, it is very easy to implement. For this reason, our method is proper for real-time detection.

Distributed Denial of Service attack (DDoS: 분산 서비스 공격)은 특정 호스트를 손상시킬 뿐만 아니라 네트워크 전체의 성능을 저하시킬 위험이 있어 현재 인터넷 보안에 있어 중요한 이슈가 되고 있다. 이러한 DDoS 공격은 매우 많은 양의 패킷을 이용해 이루어지며, 짧은 시간 내에 대상 호스트를 마비시킬 수 있으므로 빠른 탐지가 요구된다. 이를 위해 이 논문에서는 빠른 기간 내에 DDoS 공격을 탐지하여 그 피해를 줄일 수 있도록, 군집분석을 이용해 DDoS 공격이 일어나기 전의 전조현상을 탐지하여, 이에 대비할 수 있는 탐지 방법을 제안한다. DDoS 공격의 특성을 파악하여, DDoS 공격의 단계별로 일어나는 현상을 바탕으로 출발지 IP 주소와 포트 넘버, 목적지 IP 주소와 포트 넘버, 패킷의 종류에 대한 엔트로피 값과 단위시간당 발생하는 패킷의 수, 특정 패킷들의 발생빈도를 고려한 탐지 모형을 제안하였다. 이런 탐지 모형의 평가를 위해 2000년 DARPA 자료를 실험에 사용하였으며, 그 결과 공격의 총 5 단계 중에서 3개의 단계를 구분할 수 있었다. 이를 통해 DDoS 공격이 네트워크 상에 일어나기 전에 전조현상을 감지하여 공격을 사전에 막을 수 있으며, 또한 기존의 정상과 비정상만을 알리던 침입탐지 모형과는 달리 각 변수들의 값을 통해 네트워크 트래픽의 특징을 자세히 알 수 있음을 확인하였다.