A Solution for Timing Gap Problems on Network Intrusion Detection Systems

네트워크 침입 탐지 시스템에서의 시차 문제 해결 방안

This paper proposes a method to reduce the timing gap which causes a type of attack to a network-based intrusion detection system. For this, an intrusion defection system is used in order to measure the round trip tin to the destination system, and the measured round trip time is used for estimation of packet's real arrival time to destination. Socket programings are used on the LAN environments to evaluate the performance of the proposed method. The test results show that an estimation method which uses the latest round trip time has the best performance, and the timing gap can be significantly reduced with small overheads.

본 논문에서는 네트워크 침입 탐지 시스템의 취약점 중 하나인 패킷 검출 시간 차이에 기인한 공격의 발생 가능성을 줄일 수 있는 방법을 제시하였다. 이런 종류의 공격 가능성을 줄이기 위하여 네트워크 기반 침입 탐지 시스템과 목적지 시스템간에 왕복 지연을 측정한 후 지연을 고려하여 패킷의 목적지 시스템 도착 예정 시간을 추정하는 방법을 제시하였다. 제시된 방법의 성능을 측정하기 위해 LAN상에서 소켓 프로그래밍을 이용하여 성능을 평가하였으며, 성능 평가 결과 시스템과 네트워크에 부담이 되지 않을 정도의 오버헤더만 있으면 패킷 검출 시차를 상당 부분 줄일 수 있음을 보여 준다. 특히, 가장 최근에 계산한 지연을 이용하는 최근 추정 방법이 가장 좋은 성능을 가짐을 알 수 있다.