Simulation and Analysis of Slammer Worm Propagation With Automatic Quarantine

In this paper, we have analyzed a simulation model of Slammer worm propagation process which caused serious disruptions on the Internet in the year of 2003 by using NS-2. Previously we had presented and analyzed Abstract Network to Abstract Network(AN-AN) model being modified from the Detailed Network to Abstract Network(DN-AN) of NS-2. However, packet analysis in AN-AN model had a problem of taking 240 hours to simulate the initial 300 seconds of infection. We have reduced the AN-AN model to save the simulation time and analyzed total 3.5 hours of the network congestions within 107 hours. Moreover, we have derived optimal quarantine rate of 0.0022 considering service outage of network devices caused by the heavy infected traffics, which was not taken into consideration in previous works. As the result of simulation, Although the inbound traffic at the Korean international gateway was back in normal conditions at 4,787 second, due to the revese direction saturation was maintained until 12,600 seconds, the service outage was persisted for 3.5 hours.

자동 격리를 감안한 슬래머 웜 전파과정에 대한 모의실험 및 분석

본 논문에서는 2003년 전 세계의 인터넷망에서의 심각한 소통 장애를 일으켰던 슬래머 웜 보안공격의 전파 전과정을 NS-2를 이용한 시뮬레이터로 분석하였다. 기존 연구에서는 Detailed Network-Abstract Network(DN-AN) 모델 기반의 Abstract Network-Abstract Network(AN-AN)모델을 이용한 분석이 수행되었다. 이러한 AN-AN모델은 패킷 레벨까지 정확한 분석이 가능하지만, 초기 300초의 감염구간을 모의실험 하는데 240시간이 소요되는 시간상 문제점이 있었다. 본 논문에서는 이러한 문제점을 해결하기 위한 축소된 모델링 기법을 제시하여 모의실험에 필요한 소요시간을 단축함으로써 소통 장애가 일어난 3.5시간을 107시간에 분석할 수 있었다. 아울러 기존 분석에서는 감염 호스트가 인위적인 치료나 격리 조치가 있을 때까지는 모두 동작하는 것으로 가정하였지만, 슬래머의 과도한 감염 트래픽으로 중계 라우터의 동작이 중지되는 현상에 의해 해당 장비가 감염과정에서 자연적으로 격리되는 격리율 0.00022도 함께 고려하였다. 모의실험 결과, 국제관문국의 국외$\Longrightarrow$국내방향은 4,787초에 정상 상태로 돌아온 반면, 국내$\Longrightarrow$국외방향이 3.5시간동안 포화가 되어 소통 장애가 지속됨을 알 수 있었다.