한국정보과학회논문지:정보통신 (Journal of KIISE:Information Networking)

한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지

포트 스캐닝 기법 기반의 공격을 탐지하기 위한 실시간 스캔 탐지 시스템 구현

A Real Time Scan Detection System against Attacks based on Port Scanning Techniques

  • 송중석 (한국항공대학교 정보통신공학과) ;
  • 권용진 (한국항공대학교 전자.정보통신.컴퓨터공학부)
  • 발행 : 2004.04.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

포트 스캐닝 탐지 시스템은 “False Positive”(실제 공격이 아닌데 공격이라고 탐지, 오탐지)와 “False Negative”(실제 공격인데 공격이 아니라고 탐지, 미탐지)가 낮아야 하는 등의 시스템 성능에 관한 요구사항과, 해당 탐지 시스템을 활용한 보안관리가 용이해야 하는 등의 사용자 친화적인 요구사항을 만족할 필요가 있다. 그러나 공개되어 있는 실시간 스캔 탐지 시스템은 False Positive가 높고 다양한 스캔 기법에 대한 탐지가 잘 이루어지지 않고 있다. 또한 실시간 스캔 탐지 시스템의 대부분이 명령어 기반으로 이루어져 있기 때문에 이률 활용하여 시스템 보안 관리를 수행하는데 많은 어려움이 있다. 따라서 본 논문에서는 새로운 필터 룰 집합의 적용에 의해 포트 스캐닝 기법 기반의 다양한 공격을 탐지 할 수 있고, 공격자의 행동 패턴으로부터 유도된 ABP-Rule의 적용에 의해 False Positive를 최소화할 수 있는 실시간 스캔 탐지 시스템(TkRTSD)을 제안한다. 또한 Tcl/Tk를 이용하여 GUI환경을 구축함으로써 사용자가 쉽게 보안관리를 할 수 있는 사용자 친화적인 탐지 시스템을 제안한다.

Port scanning detection systems should rather satisfy a certain level of the requirement for system performance like a low rate of “False Positive” and “False Negative”, and requirement for convenience for users to be easy to manage the system security with detection systems. However, public domain Real Time Scan Detection Systems have high rate of false detection and have difficulty in detecting various scanning techniques. In addition, as current real time scan detection systems are based on command interface, the systems are poor at user interface and thus it is difficult to apply them to the system security management. Hence, we propose TkRTSD(Tcl/Tk Real Time Scan Detection System) that is able to detect various scan attacks based on port scanning techniques by applying a set of new filter rules, and minimize the rate of False Positive by applying proposed ABP-Rules derived from attacker's behavioral patterns. Also a GUI environment for TkRTSD is implemented by using Tcl/Tk for user's convenience of managing network security.

키워드

참고문헌

  1. http://security.xmecca.com/AnalyzingNmap.pdf
  2. Martin freiss, 'Protecting Networks with SATAN,' O'REILLY, 1998
  3. http://www.nessus.org/
  4. Kim Sang-Jung, 'An analysis report of the Mscan,' Technical Report of the Korea Information Security Agency(KISA), 1998
  5. Chung Hyun-Chul, 'An analysis report of the Sscan,' Technical Report of KISA, 1999
  6. J. K. Ousterhout, Tcl and the Tk Toolkit, Addison-Wesley Professional Computing Series (1994)
  7. Guo Xiaobing, Qian Depei, Liu Min, Zhang Ran, Xu Bin, 'Detection and Protection against Network Scanning: IEDP,' Proc. of the 2003 IEEE International Conference on Computer Networks and Mobile Computing, pp. 487-493, 16-19 Oct. 2001 https://doi.org/10.1109/ICCNMC.2001.962637
  8. Fyodor, 'The Art of Port Scanning' Phrack Magazine Volume 7, Issue 51, article 11 of 17, 1997
  9. Park Hyun-Mi, Oh Eun-Suk, Lee Dong-Ryun, 'Technique of IP Network Scanning,' Technical Report of KISA, 2002
  10. Lee Hyun-Woo, Lee Sang-Yeop, Chung Hyun-Chul, Chung Yoon-Jong, Lim Chae-Ho, 'Pattern analysis and detection tools against scan attack to network vulnerability,' WISC, 1999
  11. http://www.ccrtcc.or.kr/
  12. Martin Roesch, 'Snort-Lightweight Intrusion Detection for Networks,' Proc. of LISA '99: 13th Systems Administration Conference, Seattle, Washington, USA, November 7-12, 1999
  13. http://www.snort.org/
  14. Hoagland, J.A, Staniford, S, 'Viewing IDS alerts: lessons from SnortSnarf,' Proc. of the 2001 IEEE DISCEX '01 on DARPA Information Survivability Conference & Exposition II, pp. 374-386, 12-14 June 2001 https://doi.org/10.1109/DISCEX.2001.932232
  15. David Sarmanian, 'Deploying PortSentry-A Simple and Free Barrier From Inside Hackers,' http://www.giac.org/practical/gsec/David_Sarmanian_GSEC.pdf
  16. http://www.psionic.com/
  17. S. McCanne, C. Leres and V. Jacobson, Libpcap, available via anonymous ftp to ftp.ee.lbl.gov, 1994