Proceedings of the Korea Information Processing Society Conference (한국정보처리학회:학술대회논문집)
- 2008.05a
- /
- Pages.935-938
- /
- 2008
- /
- 2005-0011(pISSN)
- /
- 2671-7298(eISSN)
DOI QR Code
Traffic Flooding Attack Detection using SNMP MIB
SNMP MIB 기반 트래픽 폭주공격 탐지
-
Park, Jun-Sang
(Dept. of Computer and Information Science, Korea Univ)
;
-
Park, Dai-Hee
(Dept. of Computer and Information Science, Korea Univ)
;
-
Kim, Myung-Sup
(Dept. of Computer and Information Science, Korea Univ)
- Published : 2008.05.16
Abstract
DoS/DDoS 공격과 웜 공격으로 대표되는 트래픽 폭주 공격은 그 특성상 사전 차단이 어렵기 때문에 빠르고 정확한 탐지는 공격 탐지 시스템이 갖추어야 할 필수요건이다. 기존의 SNMP MIB 기반 트래픽 폭주공격 탐지 방법은 1 분 이상의 탐지 시간을 요구하였다. 본 논문은 SNMP MIB 객체의 상관 관계를 이용한 빠른 트래픽 폭주 공격 탐지 알고리즘을 제안한다. 또한 빠른 탐지 시간으로 발생되는 시스템의 부하와 탐지 트래픽을 최소화하는 방안도 함께 제시한다. 공격 탐지 방법은 3 단계로 구성되는데, 1 단계에서는 MIB 정보의 갱신주기를 바탕으로 탐지 시점을 결정하고, 2 단계에서는 MIB 정보간의 상관 관계를 이용하여 공격의 징후를 판단하고, 3 단계에서는 프로토콜 별 상세 분석을 통하여 공격 탐지뿐만 아니라 공격 유형까지 판단한다. 따라서 빠르고 정확하게 공격을 탐지할 수 있고, 공격 유형을 분류해 낼 수 있어 신속한 대처가 가능해 질 수있다.