• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.1025-1028
• /
• 2001

인터넷의 확산과 이용자의 급증으로 웜바이러스에 대한 문제가 최근에 크게 대두되고 있다. 스크립트 형 웜바이러스의 경우 제작이 쉬워 누구나 몇 시간의 학습을 통하여 바이러스를 제작찬 수 있다. 이러한 문제의 심각성은 최근 7개월 동안의 바이러스 통계에서도 나타나는데 전체 바이러스 중 평균 22.5%를 차지하고 있다. 이러한 웜바이러스를 차단하기 위해서 여러 가지 방법들이 사용되고 있으나 E-mail로 급속하게 퍼지는 웜바이러스의 확산을 차단하기 위해서 네트워크 기반의 시스템 보호방법이 요구되어지고 있다. 이에 본 논문에서는 알려지지 않은 웜바이러스로부터 내부 네트워크를 방어하기 위한 면역시스템을 제안한다. 자동화된 면역 시스템은 분산된 각각의 웜바이러스 탐지 시스템들이 새로운 바이러스 정보를 동적으로 공유할 수 있도록 하여 새로운 바이러스로부터 해당 시스템과 그 시스템이 속해 있는 내부 네트워크를 바이러스로부터 보호할 수 있도록 한다.

• Proceedings of the Korea Information Assurance Society Conference
• /
• 2004.05a
• /
• pp.175-180
• /
• 2004

In early 2003, a worm called Sobig was found. Later, many of its variations were found, and win32.Sobig.F caused the most serious problems. This kind of simply modified worms (including those caused by the 'war' between Netsky vs. Beagle Worm) will be expected to cause many more problems. In this paper, we analyze the Sobig Worm and its variations. We, further, design a method that can expect future directions of modifications. We believe this will prevent serious loss such as we experienced on Jan 25.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.17 no.5
• /
• pp.1154-1159
• /
• 2013

Now we are facing various threats as side effects against the growth of smartphone markets. Malicious codes such as mobile worms may bring about disclosures of personal information and confusions to upset a national wireless backbone. In this paper, we examine the existed spreading models and try to describe the correct spread of mobile worms on smartphones. We also analyze the spreading effects, and simulate bluetooth, MMS and Wi-Fi worms by various experiments.

• The KIPS Transactions:PartC
• /
• v.13C no.7 s.110
• /
• pp.821-830
• /
• 2006

As internet worms are spread out worldwide, the detection and filtering of worms becomes one of hot issues in the internet security. As one of implementation methods to detect worms, the Linux Netfilter kernel module can be used. Its basic operation for worm detection is a string matching where coming packet(s) on the network is/are compared with predefined worm signatures(patterns). A worm can appear in a packet or in two (or more) succeeding packets where some part of worm is in the first packet and its remaining part is in its succeeding packet(s). Assuming that the maximum length of a worm pattern is less than 1024 bytes, we need to perform a string matching up to two succeeding packets of 2048 bytes. To do so, Linux Netfilter keeps the previous packet in buffer and performs matching with a combined 2048 byte string of the buffered packet and current packet. As the number of concurrent connections to be handled in the worm detection system increases, the total size of buffer (memory) increases and string matching speed becomes low In this paper, to reduce the memory buffer size and get higher speed of string matching, we propose a string matching scheme without using buffer. The proposed scheme keeps the partial matching result of the previous packet with signatures and has no buffering for previous packet. The partial matching information is used to detect a worm in the two succeeding packets. We implemented the proposed scheme by modifying the Linux Netfilter. Then we compared the modified Linux Netfilter module with the original Linux Netfilter module. Experimental results show that the proposed scheme has 25% lower memory usage and 54% higher speed compared to the original scheme.

• The KIPS Transactions:PartC
• /
• v.12C no.6 s.102
• /
• pp.847-854
• /
• 2005

Since the propagation speed of the Internet worms is quite fast, worm detection in early propagation stage is very important for reducing the damage. Virus throttling technique, one of many early worm detection techniques, detects the Internet worm propagation by limiting the connection requests within a certain ratio.[6, 7] The typical throttling technique increases the possibility of false detection by treating destination IP addresses independently in their delay queue managements. In addition, it uses a simple decision strategy that determines a worn intrusion if the delay queue is overflown. This paper proposes a two dimensional delay queue management technique in which the sessions with the same destination IP are linked and thus a IP is not stored more than once. The virus throttling technique with the proposed delay queue management can reduce the possibility of false worm detection, compared with the typical throttling since the proposed technique never counts the number of a IP more than once when it chicks the length of delay queue. Moreover, this paper proposes a worm detection algorithm based on weighted average queue length for reducing worm detection time and the number of worm packets, without increasing the length of delay queue. Through deep experiments, it is verified that the proposed technique taking account of the length of past delay queue as well as current delay queue forecasts the worn propagation earlier than the typical iuぉ throttling techniques do.

• Korea Information Processing Society Review
• /
• v.10 no.2
• /
• pp.58-63
• /
• 2003

본 고에서는 1.25 인터넷 대란과 같은 버퍼오버플로우를 이용해 침투하는 인터넷 웜 및 DOS (Denial of Service) 공격을 Secure OS(보안운영체제), IDS(Intrusion Detection System : 침입탐지시스템), Scanner(취약성진단도구), Firewall(침입차단시스템)의 지능형 상호연동 스킴을 이용해, 근본적인 대응이 가능한 지능형 다단계 정보보호체계를 제시하였다. 본 고에서 제시한 정보보호대응책은 고도로 지능화하고 있는 인터넷 웜 및 DoS(Denial of Service 서비스거부) 공격을 미연에 예방하고, 실시간으로 대응할 수 있는 시스템이 될 것이다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.32 no.5B
• /
• pp.277-285
• /
• 2007

In this paper, we present a simulation model of Slammer worm propagation process which caused serious disruptions on Internet in the you of 2003 and analyze the process of Slammer by using NS-2. Recently introduced NS-2 modeling called "Detailed Network-Abstract Network Model" had enabled packet level analysis. However, it had deficiency of accommodating only small sized network. By extending the NS-2 DN-AN model to AN-AN model (Abstract Network-Abstract Network model), it is effectively simulated that the whole process from the initial infection to the total network congestion on hourly basis not only for the Korean network but also for the rest of the world networks. Furthermore, the progress of the propagation from Korean network to the other country was also simulated through the AN-AN model. 8,848 hosts in Korean network were infected in 290 second and 66,152 overseas hosts were infected in 308 second. Moreover, the scanning traffics of the worm at the Korean international gateway saturated the total bandwidth in 154 seconds for the inbound traffic and in 135 seconds for the outbound one.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.796-798
• /
• 2003

바이러스로 시작된 악성 코드는 웜이라는 형태로 발전하였다. 인터넷 망의 고속화와 확장에 의해 웜의 전파 속도와 감염 범위는 증가하였지만, 아직까지 웜을 차단할 수 있는 획기적인 방법은 개발되지 않았고, 웜에 의한 피해는 갈수록 치명적인 결과를 낳고 있다. 본고에서는 Bloom Filter［1］를 이용한 content filtering 방법을 제안한다. 실험을 통해, 이미 알려진 웜에 대한 Bloom Filter의 성능을 검증하였으며, 알려지지 않은 웜에 대한 Bloom Filter의 적용 방법도 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.570-574
• /
• 2006

인터넷 보급에 따라 웜에 의한 피해가 꾸준히 이어지고 있다. 인터넷 웜을 방어하기 위해서는 웜에 대한 연구가 이루어 져야하는데 웜을 연구하기 위해 대규모 네트워크를 구성하여 연구하기에는 어려움이 따르게 된다. 그래서 실제 네트워크를 구성하는 대신 시뮬레이션을 이용한 연구가 이루어지게 되었는데 시뮬레이션이라 할지라도 대규모 네트워크를 시뮬레이션 하는 것은 여러 문제점이 존재하게 된다. 그래서 본 논문에서는 대규모 네트워크를 시뮬레이션 하기위해 네트워크 모델링 시뮬레이션 방법을 기본으로 한 패킷 네트워크를 이용한 네트워크 모델링 시뮬레이션 방법에 대해 제안을 하였다. 이 방법을 기존의 대규모 네트워크 시뮬레이션의 문제를 패킷 네트워크와 모델링 네트워크가 서로 보완을 하여 해결하도록 구성되어 있다. 그리고 제안한 방법을 이용하여 웜의 전파를 실험한 시뮬레이션을 수행해 보았다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.16-18
• /
• 2005

2003년 1.25 대란을 통해 우리나라와 같이 초고속 인터넷망의 인프라를 갖춘 국가는 웜에 의한 DDoS공격 등에 취약하다는 것이 입증되었다. 이러한 취약성을 극복하기 위해서는 웜의 공격에 대해 웜 코드 자체에 대한 세부적인 분석과 전파 특성을 관찰하는 것이 중요하다. 하지만 웜의 전파 특성이나 취약점을 확인할 수 있는 방법으로는 소스코드 디어셈블러, 웜이 전파된 후 감염된 호스트들을 분석하는 방법이외에는 타당한 기법들이 제시되지 않고 있다. 웜 코드를 실제 네트워크 환경에서 테스트하기 위한 환경을 구축하기 위해서는 많은 시간과 비용이 소요되며 , 제도나 법률에 반하는 비현실적인 방법이라 할 수 있다. 이에 본 논문에서는 심각한 피해를 유발할 수 있는 치명적인 웜들의 시뮬레이션을 통해 웜의 전파 과정에서 발생하는 트래픽을 분석, 확인할 수 있는 시뮬레이터를 제시하고자 한다.