Cardinality is Not Enough: Super Host Detection via Segmented Cardinality Estimation

Die Studie stellt SegSketch vor, einen speichereffizienten Ansatz zur Segmentierung der Kardinalitätsschätzung, der durch die Analyse von IP-Präfixen die Genauigkeit bei der Erkennung von Super-Hosts im Vergleich zu bestehenden Methoden erheblich verbessert.

Das Wesentliche

Das große Problem: Der „Super-Host" im Internet

Stellen Sie sich das Internet wie eine riesige, chaotische Stadt vor. In dieser Stadt gibt es zwei Arten von „Super-Bürgern":

1. Die Guten: Ein riesiger Supermarkt oder eine Bibliothek, die jeden Tag Tausende von verschiedenen Leuten aus der ganzen Stadt empfängt. Das ist normal.
2. Die Bösen: Ein Hacker, der versucht, Tausende von Computern in einer einzigen kleinen Straße zu infizieren, oder ein Botnetz, das von einer einzigen Straße aus die ganze Stadt angreift.

Das Ziel der Forscher ist es, die Bösen sofort zu erkennen, bevor sie Schaden anrichten. Das Problem: Wie unterscheidet man den bösen Hacker von dem harmlosen Supermarkt, wenn beide Tausende von Verbindungen haben?

Der alte Ansatz: Nur die Anzahl zählt (und das ist falsch)

Bisherige Methoden (die sogenannten „Sketches") funktionieren wie ein Zähler an der Stadttür.

• Wenn ein Bürger 1.000 verschiedene Leute begrüßt, zählt der Zähler auf 1.000 hoch.
• Wenn der Zähler einen bestimmten Wert überschreitet, wird der Bürger als „Verdächtiger Super-Bürger" markiert.

Der Fehler dabei:
Der harmlose Supermarkt begrüßt 1.000 Leute aus ganz verschiedenen Stadtteilen (verschiedene Netzwerke). Der böse Hacker begrüßt 1.000 Leute, die alle in derselben kleinen Straße wohnen (demselben Subnetz).
Für den alten Zähler ist das egal: Beide haben 1.000 Verbindungen. Der Supermarkt wird fälschlicherweise als Hacker verdächtigt (falscher Alarm), während der Hacker, der sich in einer kleinen Gruppe versteckt, manchmal durchrutscht oder schwerer zu finden ist.

Die neue Lösung: SegSketch – Der „Straßen-Experte"

Die Forscher von der Central South University haben eine neue Methode namens SegSketch entwickelt. Statt nur zu zählen, wie viele Leute kommen, schaut SegSketch genau hin, woher sie kommen.

Hier ist, wie SegSketch funktioniert, mit einer einfachen Analogie:

1. Die „Halbierte-Segment"-Suche (Das Rätselraten)

Stellen Sie sich vor, Sie versuchen herauszufinden, in welchem Stadtteil ein Gast wohnt, ohne ihm direkt zu fragen. Sie haben eine Liste mit Adressen, aber Sie können nicht alles auf einmal speichern.

SegSketch nutzt einen Trick namens „Halbierte-Segment-Hashing".

• Es nimmt die IP-Adresse (die Hausnummer) und teilt sie in kleine Abschnitte auf (wie Silben in einem Wort).
• Es prüft den ersten Abschnitt: Kommen alle Gäste aus demselben Viertel? Wenn ja, geht es zum nächsten Abschnitt.
• Wenn die Gäste aus unterschiedlichen Vierteln kommen, stoppt die Suche dort.

Das Bild: Stellen Sie sich einen Detektiv vor, der nicht jede einzelne Adresse auswendig lernt, sondern nur merkt: „Ah, alle diese 100 Leute kommen aus der Hauptstraße, aber nicht aus der Nebenstraße." So kann er den gemeinsamen Nenner (das Subnetz) finden, ohne den ganzen riesigen Stadtplan im Kopf zu haben.

2. Die „Subnetz-Karte" (Die eigentliche Zählung)

Sobald SegSketch weiß, dass die 1.000 Verbindungen alle aus demselben kleinen Stadtteil (Subnetz) kommen, zählt er nicht mehr die einzelnen Leute, sondern schaut, wie viele einzigartige Häuser in diesem Stadtteil besucht wurden.

• Der Supermarkt: Kommt aus der ganzen Stadt. Seine „Subnetz-Karte" ist riesig und unübersichtlich.
• Der Hacker: Kommt aus einem winzigen Dorf. Seine „Subnetz-Karte" ist vollgestopft mit Verbindungen zu fast jedem Haus in diesem Dorf.

SegSketch erkennt: „Aha! Dieser Hacker hat fast das ganze Dorf infiziert!" und schlägt Alarm. Der Supermarkt wird ignoriert, weil seine Verbindungen so weit verstreut sind, dass kein einzelner Stadtteil überlastet wirkt.

Warum ist das so genial?

1. Platzsparend: Frühere Methoden, die versuchen, alle Stadtteile gleichzeitig zu überwachen, brauchen riesige Speicher (wie eine Bibliothek voller Bücher). SegSketch ist wie ein kleiner Notizblock, der nur das Wesentliche notiert. Es passt sogar auf kleine Computerchips in Netzwerk-Switches.
2. Schnell: Es muss nicht jedes Detail prüfen, sondern nutzt den cleveren „Halbierte-Segment"-Trick, um schnell zu erkennen, ob etwas verdächtig ist.
3. Genau: In Tests hat SegSketch gezeigt, dass es viel besser darin ist, echte Hacker zu finden und unschuldige Supermärkte in Ruhe zu lassen. Es war bis zu 8-mal genauer als die besten bisherigen Methoden, besonders wenn wenig Speicherplatz zur Verfügung stand.

Zusammenfassung in einem Satz

Statt blind zu zählen, wie viele Leute jemand trifft, schaut SegSketch genau hin, ob diese Leute alle aus demselben kleinen Dorf kommen – und schlägt so Alarm, wenn ein Hacker ein ganzes Dorf infiziert, während er harmlose Großhändler, die mit der ganzen Welt handeln, in Ruhe lässt.

Technische Zusammenfassung

Titel: Cardinality is Not Enough: Super Host Detection via Segmented Cardinality Estimation

Autoren: Yilin Zhao et al. (Central South University, University of Edinburgh, Guangxi University)
Veröffentlicht: WWW '26, Dubai

---

1. Problemstellung

Die genaue Erkennung von „Super Hosts" (Super-Spreader und Super-Empfänger) ist entscheidend zur Abwehr von Web-Angriffen wie IP-Scanning, Spam-Verteilung und DDoS-Attacken.

• Herausforderung: Bestehende skizzenbasierte (sketch-based) Ansätze schätzen die Flow-Kardinalität (Anzahl eindeutiger Verbindungen) basierend auf vollständigen IP-Adressen.
• Das Kernproblem: Diese Methoden ignorieren die Netzwerktopologie. Ein bösartiger Super Host verbindet sich oft mit vielen Zielen innerhalb desselben Subnetzes (z. B. bei Botnetzen oder Scans im lokalen Netz). Ein harmloser Server (z. B. ein DNS-Resolver) kann hingegen eine hohe Kardinalität aufweisen, indem er Verbindungen zu vielen unterschiedlichen Subnetzen herstellt.
• Folge: Herkömmliche Methoden können diese beiden Fälle nicht unterscheiden, was zu hohen False-Positive-Raten und geringer Detektionsgenauigkeit führt.
• Limitierung bestehender Lösungen: Hierarchische Ansätze, die Subnetze berücksichtigen, benötigen eine massive Speicherkapazität (Memory Overhead), da sie für alle möglichen IP-Präfixlängen (z. B. /8, /16, /24) separate Schichten benötigen, was sie für ressourcenbeschränkte Netzwerkgeräte unpraktisch macht.

2. Methodik: SegSketch

Die Autoren schlagen SegSketch vor, eine speichereffiziente Skizze, die die Kardinalitätsschätzung mit einer segmentierten Hashing-Strategie kombiniert, um Super Hosts basierend auf gemeinsamen IP-Präfixen zu identifizieren.

A. Datenstruktur

SegSketch besteht aus $r$ Zeilen mit jeweils $c$ Buckets. Jeder Bucket enthält:

1. Host-Key: Identifiziert die Quelle oder das Ziel.
2. Subnet-Bitmap: Dient zur Inferenz der Länge des gemeinsamen IP-Präfixes.
3. Host-Bitmap: Dient zur Schätzung der Kardinalität innerhalb des ermittelten Subnetzes (unter Verwendung von Linear Counting).

B. Kerninnovation: Halved-Segment Hashing (Halbierte Segment-Hashing)

Da die Subnetzlänge im Voraus unbekannt ist, verwendet SegSketch eine leichte Strategie, um die Länge des gemeinsamen Präfixes dynamisch zu inferieren:

• Die IP-Adresse wird in Segmente fester Länge $G$ (z. B. 8 Bit) unterteilt.
• Ein 2-Wert-Hash wird auf jedes Segment angewendet.
• Rekursiver Prozess:
  • Wenn das Hash-Ergebnis für ein Segment über alle Pakete gleich ist, wird nur die entsprechende Hälfte des Subnet-Bitmaps markiert (das Präfix ist in diesem Segment identisch).
  • Wenn die Hash-Ergebnisse variieren, werden beide Hälften markiert (das Präfix bricht hier auf).
• Dieser Prozess stoppt, sobald ein Segment unterschiedliche Hashes aufweist. Das Ergebnis ist eine Schätzung der gemeinsamen Präfixlänge (z. B. zwischen 16 und 24 Bit), ohne dass eine vollständige hierarchische Struktur benötigt wird.

C. Kardinalitätsschätzung im Subnetz

Sobald die Präfixlänge inferiert wurde:

1. Der Rest der IP-Adresse wird als Host-Adresse behandelt.
2. Die Host-Adressen werden in die Host-Bitmap gehasht.
3. Die Anzahl der eindeutigen Verbindungen innerhalb dieses Subnetzes wird mit dem Linear Counting-Algorithmus geschätzt ($b \cdot \ln(b/z)$).
4. Schwellenwert: Ein Host wird als Super Host gemeldet, wenn die geschätzte Subnet-Kardinalität einen dynamischen Schwellenwert $T(p)$ überschreitet, der von der inferierten Präfixlänge $p$ abhängt.

3. Wichtige Beiträge

1. SegSketch-Entwurf: Ein neuer, speichereffizienter Sketch, der Kardinalitätsschätzung mit Halved-Segment Hashing integriert, um Super Hosts mit hohem Subnet-Anteil zu erkennen.
2. Theoretische Analyse: Die Autoren haben ein mathematisches Modell zur Fehlergrenze der Subnet-Kardinalitätsschätzung entwickelt. Sie beweisen, dass das Hashen nur der Host-Adressen (innerhalb des Subnetzes) einen geringeren Fehler aufweist als das Hashen ganzer IP-Adressen.
3. Implementierung und Hardware-Deployment:
   • Implementierung in C++ für die Auswertung.
   • Deployment auf einem programmierbaren P4-Switch (Barefoot Tofino Architektur).
   • Extrem geringer Speicherverbrauch: Benötigt nur 1,77 % des SRAM auf dem Switch.

4. Ergebnisse

Die Evaluation erfolgte auf realen Datensätzen (UNSW-NB15, MAWI2016, CAIDA2016) im Vergleich zu State-of-the-Art-Lösungen (SpreadSketch, Couper, RHHH).

• Genauigkeit (F1-Score):
  • SegSketch übertrifft die Konkurrenz signifikant, insbesondere bei kleinen Speicherbudgets (32 KB).
  • Verbesserung des F1-Scores um bis zu 8,04-fach im Vergleich zu SpreadSketch und 2,77-fach gegenüber RHHH bei der Erkennung von Super Receivern.
  • Deutliche Reduktion der Average Relative Error (ARE) um bis zu 87 %.
• Speichereffizienz:
  • Im Gegensatz zu hierarchischen Ansätzen (RHHH), die bei begrenztem Speicher an Genauigkeit verlieren, bleibt SegSketch stabil.
  • Auf dem P4-Switch verbraucht SegSketch weniger Ressourcen (Hash Units, SRAM, TCAM, Stateful ALU) als alle Vergleichslösungen.
• Durchsatz:
  • SegSketch erreicht einen Durchsatz von bis zu 28 Millionen Paketen pro Sekunde (Mpps), was es für Hochgeschwindigkeitsnetzwerke geeignet macht.
• Robustheit:
  • Die Methode bleibt auch bei variierenden Verhältnissen von Super Hosts zu normalen Hosts (bis zu 1:20) stabil und robust.

5. Bedeutung und Fazit

Das Paper zeigt auf, dass die reine Betrachtung der Flow-Kardinalität (Anzahl eindeutiger IPs) für die Anomalieerkennung nicht ausreicht. Die Integration von Subnetz-Informationen ist entscheidend, um bösartige Aktivitäten (die oft lokalisiert sind) von legitimen, hochvernetzten Diensten zu unterscheiden.

SegSketch löst das Dilemma zwischen Genauigkeit und Speicherverbrauch durch eine innovative, nicht-hierarchische Methode zur Inferenz von IP-Präfixen. Die erfolgreiche Implementierung auf einem P4-Switch demonstriert die praktische Anwendbarkeit in Echtzeit-Netzwerkumgebungen und bietet einen neuen Standard für die effiziente Erkennung von Super Hosts bei begrenzten Hardware-Ressourcen.