바이러스 감속기의 가변 비율 제한기를 위한 자율적 주기 결정

Autonomic Period Determination for Variable Rate Limiter of Virus Throttling

  • 심재홍 (조선대학교 컴퓨터공학부 및 BK21 사업팀) ;
  • 손장완 (조선대학교 디자인학부)
  • 발행 : 2007.01.31

초록

바이러스 감속기(virus throttling)은 연결요청 패킷의 전송비율을 일정 비율 이하로 제한함으로써 웜을 탐지하는 대표적인 조기 웜 탐지 기술 중의 하나이다. 기존 바이러스 감속기 연구에서는 웜 탐지시간에는 크게 영향을 미치지 않으면서도 연결설정 지연시간을 단축시키기 위해 가중치 평균 지연 큐 길이를 적용하여 비율 제한기의 주기를 자율적으로 조절하였다. 기존 연구에서는 비율 제한기의 최소주기를 고정하고 또한 주기 값을 감소시키다가 다시 증가시키기 시작하는 반환점도 미리 고정하였다. 그러나 이러한 두 성능결정 요소는 웜 탐지시간과 연결 설정 지연에 서로 다른 영향을 미친다. 따라서 본 논문에서는 가변 비율 제한기의 최소주기와 반환점이 어떤 영향을 미치는지 실험을 통해 분석하고, 상황에 따라 이들 성능결정 요소들의 값을 결정할 수 있는 방안을 제시하고자 한다. 제안된 방법은 성능결정 요소를 고정시킨 기존 방법보다는 웜 탐지시간이나 연결설정 지연시간 단축에 더 효율적이라는 사실을 실험을 통해 확인하였다.

Virus throttling technique, one of many early worm detection techniques, detects Internet worm propagation by limiting connect requests within a certain ratio. The typical virus throttling controls the period of rate limiter autonomically by utilizing weighted average delay queue length to reduce connection delay time without hanving a large effect on worm detection time. In the existing virus throttling research, a minimum period of variable rate limiter is fired and a turning point which is a point that the period of rate limiter has been being decreased and starts to be increased is also fixed. However, these two performance factors have different effects on worm detection time and connection delay. In this paper, we analyze the effect of minimum period and turning point of variable rate limiter, and then propose an algorithm which determines values of performance factors by referencing current traffic pattern. Through deep experiments, it is verified that the proposed technique is more efficient in respect of reducing worm detection time and connection delay than the existing virus throttling which fixed the performance factors.

키워드

참고문헌

  1. CERT, 'CERT Advisory CA-2001-26 Nimda Worm', http://www.cert.org/advisories/CA-2001-26.html, Sept 2001
  2. CERT Advisory CA-2003-04: 'MS-SQL Server Worm,' http://www.cert.org/advisories/CA-2003-04.html, Jan 2003
  3. CERT, 'CERT Advisory CA-2001-08 Code Red Worm Exploiting Buffer Overflow in IIS Indexing Service DLL,' http://www.cert.org/incident_notes/IN-2001-08.html, July 2001
  4. CERT Advisory CA-2001-09:, 'Cord Red II: Another Worm Exploiting Buffer Overflow,' IIS Indexing Service DLL, http://www.cert.org/incident_notes/IN-2001-09.html, Aug 2001
  5. CERT, 'CERT Advisory CA-2000-04 Love Letter Worm', http://www.cert.org/advisories/CA-2000-04.html, May 2002
  6. Matthew M. Williamson, 'Throttling Viruses: Restricting propagation to defeat malicious mobile code,' proc. of the 18th Annual Computer Security Applications Conference, Dec 2002
  7. J.Twycross and M. M. Williamson, 'Implementing and testing a virus throttle,' Proc. of the 12th USENIX Security Symposium, pp. 285-294, Aug 2003
  8. X. Qin, D. Dagon, G. Gu, and W. Lee, 'Worm detection using local networks, 'Technical report, College of Computing, Georgia Tech., Feb 2004
  9. J. Jung, V. Paxson, A. W. Berger, and H. Balakrishnan, 'Fast port-scan detection using sequential hypothesis testing,' Proc. of the IEEE Symposium on Security and Privacy, May 2004
  10. J. Jung, S. E. Schechter, and A. W. Berger, 'Fast Detection of Scanning Worm Infections,' Proc. of 7th International Symposium on Recent Advances in Intrusion Detection (RAID), Sophia Antipolis, French Riviera, France. Sept 2004
  11. C. C. Zou, W. Gong, and D. Towsley, 'Worm Propagation Modeling and Analysis under Dynamic Quarantine Defense,' ACM CCS Workshop on Rapid Malcode (WORM'03), Washington DC, Oct 2003
  12. C. Zou, L. Gao, W. Gong, D. Towsley, 'Monitoring and early warning for Internet worms,' ACM Conference on Computer and Communications Security, Washington, DC, Oct 2003
  13. 심재홍, 김장복, 최경희, 정기현, 'Virus Throttling의 웜 탐지오판 감소 및 탐지시간 단축,' 정보처리학회논문지 C, 제12-C권, 제6호, pp. 847-854, Oct 2005 https://doi.org/10.3745/KIPSTC.2005.12C.6.847
  14. J. Kim, J. Shim, G. Jung, and K. Choi, 'Reducing Worm Detection Time and False Alarm in Virus Throttling,' LNAI, Vol. 3802, pp. 297-302, Dec 2005
  15. 심재홍, '바이러스 쓰로틀링의 연결설정 지연 단축,' 한국멀티미디어학회 2006 춘계학술발표대회 논문집, pp. 405-408, May 2006