Journal of Internet Computing and Services (인터넷정보학회논문지)

Korean Society for Internet Information (한국인터넷정보학회)
권호 표지

HWbF(Hit and WLC based Firewall) Design using HIT technique for the parallel-processing and WLC(Weight Least Connection) technique for load balancing

병렬처리 HIT 기법과 로드밸런싱 WLC기법이 적용된 HWbF(Hit and WLC based Firewall) 설계

  • 이병관 (관동대학교 컴퓨터학과) ;
  • 권동혁 (관동대학교 대학원 전자계산공학과) ;
  • 정은희 (강원대학교 지역경제학과)
  • Published : 2009.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

This paper proposes HWbF(Hit and WLC based Firewall) design which consists of an PFS(Packet Filter Station) and APS(Application Proxy Station). PFS is designed to reduce bottleneck and to prevent the transmission delay of them by distributing packets with PLB(Packet Load Balancing) module, and APS is designed to manage a proxy cash server by using PCSLB(Proxy Cash Server Load Balancing) module and to detect a DoS attack with packet traffic quantity. Therefore, the proposed HWbF in this paper prevents packet transmission delay that was a drawback in an existing Firewall, diminishes bottleneck, and then increases the processing speed of the packet. Also, as HWbF reduce the 50% and 25% of the respective DoS attack error detection rate(TCP) about average value and the fixed critical value to 38% and 17%. with the proposed expression by manipulating the critical value according to the packet traffic quantity, it not only improve the detection of DoS attack traffic but also diminishes the overload of a proxy cash server.

본 논문에서 설계한 HWbF(Hit and WLC based Firewall)은 PFS(Packet Filter Station)과 APS(Application Proxy Station)으로 구성된다. PFS는 로드 밸런싱을 이용한 PLB(Packet Load Balancing) 모듈을 이용해 패킷들을 분산시켜 패킷 전송 지연을 방지하고 병목현상을 줄이도록 설계하였고 APS는 로드 밸런싱을 이용한 PCSLB(Proxy Cash Server Load Balancing)모듈을 이용해 효율적인 프록시 캐쉬 서버를 관리하고, 패킷 트래픽량을 이용해 DoS 공격을 탐지하도록 설계하였다. 따라서, 본 논문에서 설계한 HWbF는 기존이 방화벽의 단점이었던 패킷 전송 지연을 방지하고 병목현상을 줄여 패킷 처리속도를 향상시킨다. 또한, 패킷 트래픽 임계값을 패킷 트래픽 량에 따라 자동 조절함으로써 기존의 평균값과 고정 임계치에 대한 각각의 DoS 공격 오탐지율(TCP)이 50%와 25%에서 제안한 수식에 의해 각각 38%와 17%으로 감소시켜, DoS 공격 트패픽의 탐지능력을 향상시킬 뿐만 아니라 프록시 캐쉬 서버의 부하도 줄인다.

Keywords

References

  1. 이병관, 정은희, “인터넷 보안”, 남두도서, 2004
  2. 강유, 정수현, “강유의 해킹&보안 노하우”, 에이콘, 2003
  3. W. Zhang, “Linux Virtual Sever for Scalable Network Services”, Ottawa Linux Symposium, 2000. http://www.linuxvirtualserver.org/lvs.pdf
  4. Y. M. Teo, R. Ayani, “Comparison of Load Balancing Strategies on Cluster-based Web Server”, Transaction of the Society for Modeling and Simulation, 2001.
  5. 한국정보보호진흥원, “IPv6 보안 기술 해설서”, Oct. 2005
  6. 이종엽, 윤미선, 이훈, “DoS 공격의 유형 분석 및 탐지 방법”, KNOM Review, Vol. 6, No.2, pp21-32, Feb. 2004
  7. 송병학, 홍충선, “향상된 통계기반 분산 서비스 거부(DDoS) 공격 탐지 시스템”, 한국정보처리학회 춘계학술발표대회논문집, 제13권 제1호, 2006.5.
  8. 노광민, “리눅스에서 pcap library를 사용하여 패킷을 잡아보기 v.03", 리눅스 한글 문서 프로젝트, 2000.9.14
  9. 전용희, “홈 네트워크 보안 관련 기술”, 한국통신학회, 2004.3
  10. 윤미진, “네트워크 이용율에 기반한 DoS 트래픽 탐지 기법”, 석사 학위 논문, 조선대학교,2004
  11. 정은희, 최은실, 이병관, “IPSec 프로토콜 성능 향상과 LSNAPT 설계에 관한 연구”, 한국인터넷정보학회논문지, 제5권 6호, pp.45-58, 2004.12.
  12. L. Graber, “Denial-of-Service Attacks Rip the Internet”, IEEE Computer(p.12-17), April 2000.
  13. CERT Advisory CA-96.21, “TCP SYN Flooding and IP Spoofing Attacks”, September 24. 1996
  14. William Cheswick & Steven Bellovin, "Firewalls and Internet Security", 1994
  15. 권동혁, 장재열, 이병관, “DoS 공격의 효율적인 탐지와 처리속도 향상을 위한 CLB(Cashing and Load Balancing)”, 한국인터넷정보학회 추계학술발표대회, 제 7권 제 2호, pp.149-153, 2006.11.
  16. 이철호, 최경희, 정기현, 노상욱, “웹서버에 대한 DDoS 공격의 네트워크 트래픽 분석”, 한국 정보처리학회 논문지, 10-C(3), pp.253-263,2003.06.