The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

Simulation and Analysis of Slammer Worm Propagation With Automatic Quarantine

자동 격리를 감안한 슬래머 웜 전파과정에 대한 모의실험 및 분석

  • 임재명 (한국항공대학교 정보통신공학과 대학원) ;
  • 정한균 (한국항공대학교 정보통신공학과) ;
  • 윤종호 (한국항공대학교 항공전자정보 통신공학부)
  • Published : 2007.08.31
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we have analyzed a simulation model of Slammer worm propagation process which caused serious disruptions on the Internet in the year of 2003 by using NS-2. Previously we had presented and analyzed Abstract Network to Abstract Network(AN-AN) model being modified from the Detailed Network to Abstract Network(DN-AN) of NS-2. However, packet analysis in AN-AN model had a problem of taking 240 hours to simulate the initial 300 seconds of infection. We have reduced the AN-AN model to save the simulation time and analyzed total 3.5 hours of the network congestions within 107 hours. Moreover, we have derived optimal quarantine rate of 0.0022 considering service outage of network devices caused by the heavy infected traffics, which was not taken into consideration in previous works. As the result of simulation, Although the inbound traffic at the Korean international gateway was back in normal conditions at 4,787 second, due to the revese direction saturation was maintained until 12,600 seconds, the service outage was persisted for 3.5 hours.

본 논문에서는 2003년 전 세계의 인터넷망에서의 심각한 소통 장애를 일으켰던 슬래머 웜 보안공격의 전파 전과정을 NS-2를 이용한 시뮬레이터로 분석하였다. 기존 연구에서는 Detailed Network-Abstract Network(DN-AN) 모델 기반의 Abstract Network-Abstract Network(AN-AN)모델을 이용한 분석이 수행되었다. 이러한 AN-AN모델은 패킷 레벨까지 정확한 분석이 가능하지만, 초기 300초의 감염구간을 모의실험 하는데 240시간이 소요되는 시간상 문제점이 있었다. 본 논문에서는 이러한 문제점을 해결하기 위한 축소된 모델링 기법을 제시하여 모의실험에 필요한 소요시간을 단축함으로써 소통 장애가 일어난 3.5시간을 107시간에 분석할 수 있었다. 아울러 기존 분석에서는 감염 호스트가 인위적인 치료나 격리 조치가 있을 때까지는 모두 동작하는 것으로 가정하였지만, 슬래머의 과도한 감염 트래픽으로 중계 라우터의 동작이 중지되는 현상에 의해 해당 장비가 감염과정에서 자연적으로 격리되는 격리율 0.00022도 함께 고려하였다. 모의실험 결과, 국제관문국의 국외$\Longrightarrow$국내방향은 4,787초에 정상 상태로 돌아온 반면, 국내$\Longrightarrow$국외방향이 3.5시간동안 포화가 되어 소통 장애가 지속됨을 알 수 있었다.

Keywords

References

  1. 'Analysis of the Sapphire Worm.' A joint effort of CAIDA, ICSI, Silicon Defense, UC Berkeley EECS and UC San Diego, 2003
  2. David Moore, et al., 'The Spread of the Sapphire/ Slammer Worm.' available at http://www.caida.org/ publications/ papers/2003/sapphire/sapphire.html
  3. David Moore, et al., 'Inside the slammer worm,' IEEE Magazine of Security and Privacy, pp. 33-39, July/ Aug. 2003
  4. '정보통신망 침해사고 조사결과,' 정보통신망 침해 사고 합동조사단, 2003. 2
  5. C.C.Zou, W.Gong, and D.Towsley, 'Worm Propagation Modeling and Analysis under Dynamic Quarantine Defense,' WORM'03, Washington, 2003. ACM 1- 58113-785-0/03/0010, October 27, 2003
  6. Stefan Misslinger, 'Internet Worm Propagation,' Technische University Munchen, 2003
  7. C.Onwubiko et al., 'An Improved Worm Mitigation Model for Evaluating the Spread of Aggressive Network Worms,' Serbia & Montenegro, Belagrade, Nov, 2005
  8. Kevin Fall, Kannan Varadhan, 'The ns Manual'
  9. 정보통신부, 유.무선 통신서비스 가입자 현황 (2003년1월)
  10. 주요국내외정보화현황(2004년)
  11. 임재명, 윤종호, '슬래머 웜 전파과정 분석을 위 한 네트워크 모델링 및 시뮬레이터 구현', 통신 공학회지, 2007. Vol.32
  12. 2003 한국인터넷백서, 한국전산원
  13. S. Staniford, V. Paxson, N. Weaver, 'How to 0wn the internetin your spare time,' Proceedings of the 11th USENIX Security Symposium (Security '02), 2002