DOI QR코드

DOI QR Code

근거리 통신망에서의 DDoS 봇넷 탐지 시스템 구현

Implementation Of DDoS Botnet Detection System On Local Area Network

  • 허준호 (부경대학교 컴퓨터공학과) ;
  • 홍명호 (부경대학교 컴퓨터멀티미디어공학 전공) ;
  • 이정민 (부경대학교 컴퓨터멀티미디어공학 전공) ;
  • 서경룡 (부경대학교 컴퓨터공학과)
  • 투고 : 2013.01.29
  • 심사 : 2013.03.27
  • 발행 : 2013.06.30

초록

단일 공격과 달리 DDoS 공격들은 네트워크에 분산된 봇넷이 동시에 타겟 서버에 공격을 개시한다. 이 경우 타겟 서버에서는 정상적인 사용자의 편의를 고려해야 하기 때문에 DDoS로 간주되는 패킷에 대하여 접속거부 조치를 취하기 어려운 점이 있다. 이를 고려하여 본 논문에서는 사용자 네트워크단위로 DDoS 공격을 탐지하고 네트워크 관리자가 조치를 취할 수 있도록 하여 전체적으로 봇넷의 규모를 줄여서 타겟 서버의 부담을 줄일 수 있는 DDoS 봇넷 탐지 시스템을 구현 하였다. 본 논문에서 제안한 DDoS 봇넷 탐지 시스템은 공격 트래픽의 시간 단위 흐름을 분석하고 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지 하도록 프로그램을 구현하였다. 그리고 패킷들의 평균개수와 표준편차를 이용하여 현재 트래픽의 임계치(Threshold)를 계산하고 이 임계치를 이용하여 DDoS 공격 여부를 판단하였다. 공격의 대상이 되는 서버를 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS 봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있었다. 따라서 DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다. 또한, 라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 얻을 수 있을 것으로 기대한다.

Different Different from a single attack, in DDoS Attacks, the botnets that are distributed on network initiate attacks against the target server simultaneously. In such cases, it is difficult to take an action while denying the access of packets that are regarded as DDoS since normal user's convenience should also be considered at the target server. Taking these considerations into account, the DDoS botnet detection system that can reduce the strain on the target server by detecting DDoS attacks on each user network basis, and then lets the network administrator to take actions that reduce overall scale of botnets, has been implemented in this study. The DDoS botnet detection system proposed by this study implemented the program which detects attacks based on the database composed of faults and abnormalities collected through analyzation of hourly attack traffics. The presence of attack was then determined using the threshold of current traffic calculated with the standard deviation and the mean number of packets. By converting botnet-based detection method centering around the servers that become the targets of attacks to the network based detection, it was possible to contemplate aggressive defense concept against DDoS attacks. With such measure, the network administrator can cut large scale traffics of which could be referred as the differences between DDoS and DoS attacks, in advance mitigating the scale of botnets. Furthermore, we expect to have an effect that can considerably reduce the strain imposed on the target servers and the network loads of routers in WAN communications if the traffic attacks can be blocked beforehand in the network communications under the router equipment level.

키워드

참고문헌

  1. MIT Lincoln Lab, 1999 DARPA Intrusion Detection Scenario Specific Datasets, LINCOLN LABORATORY, 1999.
  2. MIT Lincoln Lab, 2000 DARPA Intrusion Detection Scenario Specific Datasets, LINCOLN LABORATORY, 2000.
  3. H. Debar, M Dacier, and A Wespi, "A Revised Taxonomy for Intrusion-Detection Systems," Annals of Telecommunications, 55(7-8), pp. 361-378, 2000.
  4. Haiqin Liu, Yan Sun, and Min Sik Kim, "Fine-Grained DDoS Detection Scheme Based on Bidirectional Count Sketch," IEEE Computer Communications and Networks (ICCCN) , pp. 1-6, 2011.
  5. J. Frank, "Artificial Intelligence and Intrusion Detection: Current and Future Directions," Proc. the 17th National Computer Security Conference, pp. 1-11, 1994.
  6. HS. Javitz and A. Valdes, "The Sriides Statistical Anomaly Detector," Research in Security and Privacy, 1991. Proceedings., 1991 IEEE Computer Society Symposium on, pp. 316-326, 1991.
  7. PA. Porras and PG. Neumann, "Emerald: Event Monitoring Enabling Responses to Anomalous Live Disturbances," Proc. the National Information Systems Security Conference, pp. 1-13, 1997.
  8. V. Paxson, "Bro: A System for Detecting Network Intruders in Real-Time," 7th Annual USENIX Security Symposium, pp. 2435-2463, 1998.
  9. H.R. Zeidanloo and A.A. Manaf, "Botnet Detection by Monitoring Similar Communication Patterns," International Journal of Computer Science and Information Security, Vol. 7, No. 3, pp. 36-45, 2010.
  10. J. Markoff, Russian gang hijacking PCs in vast scheme, http://www.nytimes.com/2008/08/06/ technology/06hack.html, The New York Times, 2008.
  11. http://netresearch.ics.uci.edu/kfujii/Jpcap/doc/download, "Jcap download"
  12. http://alyac.altools.co.kr/Main/Default.aspx, "Alyac"
  13. http://www.symantec.com,"Semantec"
  14. http://kr.ahnlab.com/b2b/securityinfo/html/renewasecreport,"Anlab news report"
  15. http://www.ad-spider.com/spyware, "Adspider"
  16. http://www.nprotect.com/v6/service, "nprotect"
  17. 신동진, 양해술, "유출트래픽 분석기반의 칩입 탐지시스템 설계 및 구현," 한국콘텐츠학회논문지, 제9권, 제4호, pp. 131-141, 2009. https://doi.org/10.5392/JKCA.2009.9.4.131
  18. 김기현, 조용환, 김광훈, "네트워크 탐지 정보를 이용한 좀비 PC 대응시스템," 한국엔터테인먼트산업학회 2011 춘계학술대회 논문집, pp. 186-194, 2011.
  19. 윤성열, 하도윤, 정현철, 박선천, "SIP 환경에서의 DDoS 공격 탐지를 위한 확장된 TRW 알고리즘 검증," 멀티미디어학회논문지, 제13권, 제4호, pp. 594-600, 2010.

피인용 문헌

  1. Design and Implementation of the Basic Technology for Solitary Senior Citizen's Lonely Death Monitor ing System using PLC vol.18, pp.6, 2015, https://doi.org/10.9717/kmms.2015.18.6.742
  2. A Case Study of the Base Technology for the Smart Grid Security: Focusing on a Performance Improvement of the Basic Algorithm for the DDoS Attacks Detection Using CUDA vol.19, pp.2, 2016, https://doi.org/10.9717/kmms.2016.19.2.411
  3. 안전한 웹 서버 환경을 위한 시큐어코딩 도구, 웹쉘 탐지도구 간의 상호연동 시스템 설계 vol.11, pp.4, 2015, https://doi.org/10.17662/ksdim.2015.11.4.081