• The KIPS Transactions:PartC
• /
• v.13C no.5 s.108
• /
• pp.559-566
• /
• 2006

Virus throttling technique, one of many early worm detection techniques, detects the Internet worm propagation by limiting the connect requests within a certain ratio. The typical virus throttling detects worm occurrence by monitoring the length of delay queue with the fixed period of rate limiter. In this paper, we propose an algorithm that controls the period of rate limiter autonomically by utilizing the weighted average delay queue length and suggest various period determination policies that use the weighted average delay queue length as an input parameter. Through deep experiments, it is verified that the proposed technique is able to lessen inconvenience of users by reducing the connection delay time with haying just little effect on worm detection time.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.570-574
• /
• 2006

인터넷 보급에 따라 웜에 의한 피해가 꾸준히 이어지고 있다. 인터넷 웜을 방어하기 위해서는 웜에 대한 연구가 이루어 져야하는데 웜을 연구하기 위해 대규모 네트워크를 구성하여 연구하기에는 어려움이 따르게 된다. 그래서 실제 네트워크를 구성하는 대신 시뮬레이션을 이용한 연구가 이루어지게 되었는데 시뮬레이션이라 할지라도 대규모 네트워크를 시뮬레이션 하는 것은 여러 문제점이 존재하게 된다. 그래서 본 논문에서는 대규모 네트워크를 시뮬레이션 하기위해 네트워크 모델링 시뮬레이션 방법을 기본으로 한 패킷 네트워크를 이용한 네트워크 모델링 시뮬레이션 방법에 대해 제안을 하였다. 이 방법을 기존의 대규모 네트워크 시뮬레이션의 문제를 패킷 네트워크와 모델링 네트워크가 서로 보완을 하여 해결하도록 구성되어 있다. 그리고 제안한 방법을 이용하여 웜의 전파를 실험한 시뮬레이션을 수행해 보았다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.515-520
• /
• 2006

다형성 웜은 새로운 감염시도 때마다. 그 형태가 계속 변형되기 때문에 시그너처 기반의 탐지 기법으로는 탐지될 수 없다. 또한 이러한 다형성 웜은 주로 공개된 다형성 엔진을 이용하여 쉽게 자동적으로 생성할 수 있다. 본 연구에서는 네트워크 트래픽에 포함된 실행코드의 명령어 분포를 분석하여, 다형성 웜을 포함한 트래픽을 탐지하는 기법을 제시한다. 또한 제안하는 시스템의 성능을 모의 실험을 통해 평가한 결과, 다형성 엔진으로 생성된 웜은 전부 탐지되고 약 0.0286%의 낮은 오탐지율을 보인다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.35 no.3B
• /
• pp.431-439
• /
• 2010

The security systems using signatures cannot protect servers from new types of Internet worms. To protect servers from Internet worms, this paper proposes a system removing malicious processes and executable files without using signatures. The proposed system consists of control servers which offer the same services as those on protected servers, and agents which are installed on the protected servers. When a control server detects multicasting attacks of Internet worm, it sends information about the attacks to an agent. The agent kills malicious processes and removes executable files with this information. Because the proposed system do not use signatures, it can respond to new types of Internet worms effectively. When the proposed system is integrated with legacy security systems, the security of the protected server will be further enhanced.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.3
• /
• pp.53-64
• /
• 2006

Worm analysis report currently produced by anti-virus companies closely resemble those of virus report and do not properly characterize the specific attributes of worms. In this paper, we propose formalized presentation method based on time-based behavioral sequences to more accurately characterize worms. we define a format based on the behavior and communication patterns that occur between an infected host and a target host. we also propose a method for presently worm analysis data with that format. We also compare our framework with analysis data provided by Symantec.

• Review of KIISC
• /
• v.18 no.1
• /
• pp.82-87
• /
• 2008

현재의 정보보호시스템은 시그니처가 알려지지 않은 공격에 대하여 효과적인 대응 기법을 제공하지 못하고 있다. 그러나 앞으로 알려지지 않은 취약성을 이용하는 제로-데이 웜이 실제적으로 큰 위협이 될 전망이다. 그러므로 비록 알려지지 않은 공격에 대하여도 탐지하고 차단할 수 있는 능력을 가진 시스템이 요구된다. 본 논문에서는 제로-데이 웜 공격에 대응 할 수 있는 ZASMIN 시스템의 구조를 제안하고, 주요 기능 및 요구사항, 시그니처 분배 프레임워크에 대하여 기술하고자 한다.

• Proceedings of the Korea Information Assurance Society Conference
• /
• 2004.05a
• /
• pp.181-185
• /
• 2004

In these days, many reports noticed that the Internet worms spread out and have done considerable damage to all over the world network within a few days. The worms, which is infected from various route such as e-mail, can spread very fast with common property, self replication. But, there is not prepare for the way effectively to interrupt internet worm. Therefore, to prevent our network resource, internet hosts and user clients, the systemic categorization and automatic defense mechanism is required in the Internet worm research. Hence, in this paper, we describe internet worm propagation and defense model.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10e
• /
• pp.292-294
• /
• 2002

인터넷 사용의 급증과 함께 Code-Red나 Nimda와 같은 서비스 거부 공격형 웜 바이러스가 급격히 확산되고 있으며 이로 인한 피해가 급증하고 있다. 이러한 웜 바이러스 대부분 일정 패턴의 HTTP 요청을 가지고 있으며 이러한 HTTP 요청 패턴을 확인하면 현재 감염된 클라이언트를 확인 할 수 있다. 그러나 새로운 웜 바이러스의 출현 시에는 기존에 분석한 요청 패턴만으로는 감염된 클라이언트의 확인이 불가능하다. 따라서 본 논문에서는 프락시 서버를 이용하여 실시간으로 바이러스 패턴을 분석하여 그 HTTP 요청 패턴과, 감염된 클라이언트 정보를 관리자에게 전송하며 자동으로 해당 클라이언트 및 해당 패턴에 대한 요청을 차단하여 바이러스의 확산을 막는 시스템을 제안한다.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.7 no.6
• /
• pp.1206-1213
• /
• 2006

Fast detection and automatic generation of worm signatures are essential to contain zero-day worms because the speed of self-propagating worms is too fast for humans to respond. In this paper, we propose an automatic signature generation method against worm's attack, and show the effectiveness of the proposed method by implementing it and appling it to the DHT based network and generating the worm signatures for it.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.32 no.5B
• /
• pp.277-285
• /
• 2007

In this paper, we present a simulation model of Slammer worm propagation process which caused serious disruptions on Internet in the you of 2003 and analyze the process of Slammer by using NS-2. Recently introduced NS-2 modeling called "Detailed Network-Abstract Network Model" had enabled packet level analysis. However, it had deficiency of accommodating only small sized network. By extending the NS-2 DN-AN model to AN-AN model (Abstract Network-Abstract Network model), it is effectively simulated that the whole process from the initial infection to the total network congestion on hourly basis not only for the Korean network but also for the rest of the world networks. Furthermore, the progress of the propagation from Korean network to the other country was also simulated through the AN-AN model. 8,848 hosts in Korean network were infected in 290 second and 66,152 overseas hosts were infected in 308 second. Moreover, the scanning traffics of the worm at the Korean international gateway saturated the total bandwidth in 154 seconds for the inbound traffic and in 135 seconds for the outbound one.