• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1007-1010
• /
• 2004

본 논문에서는 분산 서비스거부 공격(DDoS)이 발생할 때 네트워크 트래픽의 특성을 분석하기 위해서 트래픽 비율분석법(TRA: Traffic Rate Analysis)을 제안하고 트래픽 비율분석법을 통해서 분석된 다양한 유형의 DDoS 공격의 특성을 기계학습(Machine Learning)을 이용해서 DDoS 공격의 탐지규칙을 생성하고 그 성능을 측정하였다. 트래픽 비율분석법은 감시대상 네트워크 트래픽에서 특정한 유형의 트래픽의 발생비율을 나타내며 TCP flag rate 와 Protocol rate 로 구분된다. 트래픽 비율분석법을 적용한 결과 각각의 DDoS 공격 유형에 따라서 매우 독특한 특성을 가짐을 발견하였다. 그리고, 분석된 데이터를 대상으로 세 개의 기계학습 방법(C4.5, CN2, Na?ve Bayesian Classifier)을 이용해서 DDoS 공격의 탐지규칙을 생성하여 DDoS 공격의 탐지에 적용했다. 실험결과, 본 논문에서 제안된 트래픽 비율분석법과 기계학습을 통한 DDoS 공격의 탐지방법은 매우 높은 수준의 성능을 나타냈다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.1307-1310
• /
• 2005

본 연구에서는 보다 효율적인 트래픽 분산과 안정적인 망을 제공할 수 있도록 하기 위하여, 인터넷 ISP 트래픽을 분석하였다. 이를 위하여, 국내 ISP 중 하나인 드림라인에서 발생하는 인터넷 트래픽을 시간별, 지역별로 분석하였으며, 특정 지역에서 장애가 발생한 경우 유연한 대처를 위하여 망에서 준비하여야 하는 트래픽 비율을 분석하였다.

• The KIPS Transactions:PartC
• /
• v.11C no.6 s.95
• /
• pp.711-718
• /
• 2004

Packet sampling is the techniques to collect a part of the packets through network and analyze the characteristicsof the traffic for managing the network and keeping security. This paper presents a study on the sampling techniques applied to DDoS traffic and on the characteristics of the sampled traffic to detect DDoS attack efficiently and improve traffic analysis capacity. Three famous sampling techniques are evaluated with different sampling rates on various DDoS traffics. To analyze traffic characteristics, one of the DDoS attack detection method. Traffic Rate Analysis (TRA) is used. Simulation results verify that using sampling techniques preserve the traffic characteristics of DDoS and do not significantly reduce the detection accuracy.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.11a
• /
• pp.1230-1233
• /
• 2007

DDoS 공격은 인터넷 환경에서 네트워크나 개인 호스트를 위협하는 대표적인 공격 트래픽이다. DDoS 공격은 간단한 Tool 로 공격이 가능하면서 네트워크 기반 구조에 큰 피해를 입힐 수 있기 때문에 그 심각성이 크다. DDoS 공격의 효과적인 방어와 대응을 위해서는 DDoS 공격 트래픽에 대한 정확한 분석과 탐지가 선행되어야 한다. 본 논문에서는 DDoS 공격 징후를 신속하게 탐지해 낼 수 있는 효율적인 트래픽 비율 분석법(ETAM)을 제안하고, ETAM 기법을 통해 공격을 빠르고 신속하게 탐지할 수 있음을 보인다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.1
• /
• pp.55-63
• /
• 2006

Recently, there is much abnormal traffic driven by several worms, such as Nimda, Code Red, SQL Stammer, and so on, making badly severe damage to networks. Meanwhile, diverse prevention schemes for defeating abnormal traffic have been studied in the academic and commercial worlds. In this paper, we present the structure of a stepwise intrusion prevention system that is designed with the feature of putting limitation on the network bandwidth of each network traffic and dropping abnormal traffic, and then compare the proposed scheme with a pre-existing scheme, which is a True/False based an anomaly prevention scheme for several worm-patterns. There are two criteria for comparison of the schemes, which are Normal Traffic Rate (NTR) and False Positive Rate (FPR). Assuming that the abnormal traffic rate of a specific network is $\beta$ during a predefined time window, it is known that the average NTR of our stepwise intrusion prevention scheme increases by the factor of (1+$\beta$)/2 than that of True/False based anomaly prevention scheme and the average FPR of our scheme decrease by the factor of (1+$\beta$)/2.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.521-524
• /
• 2006

인터넷 사용의 급증과 함께 Code-Red나 Slammer와 같은 웜이 급격히 확산 되고 있으며 네트워크를 통해 스스로 전파되면서 네트워크 자원을 고갈시킴으로써 문제가 더욱 심각해지고 있다. 이에 따라 웜을 탐지하기 위한 많은 방법들이 제시되었다. 본 논문에서는 DoS 탐지를 위해 고안 된 트래픽 비율 분석법을 이용하여 정상 네트워크와 웜이 발생 시키는 스캐닝 관련 행위에 대한 패킷 비율을 비교하였다. 이 방법을 통해 네트워크 내에서 웜에 감염된 호스트를 찾아내고 오탐지율을 최소화하는 방법과 웜 전파 행위를 탐지해 내는 방법에 대해서 제안한다. 또한 실제 네트워크에서 수집된 트래픽으로부터 웜의 특성을 분석해 본 결과 최근 웜들의 전파방식을 분석 할 수 있었다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.25 no.12B
• /
• pp.1988-1995
• /
• 2000

ATM 망에서 제공되고 있는 음성, 영상, 데이터와 같은 다양한 서비스는 사용자의 만족도를 수용할 수 있어야 한다는 것을 전제조건으로 한다. 이러한 기본적인 요구사항을 충족시키기 위해서는 노드대 노드간의 자원관리와 오류제어 및 다양한 트래픽의 특성을 고려한 전송 순서의 결정에 해당하는 스케줄링 방법이 요구되어 진다. 본 논문에서는 이러한 기술 요소 중에서 트래픽 설정 단계에서 제공되는 트래픽 특성 및 QoS(Quality of Service) 정보를 바탕으로 교환 노드에서 발생되는 전달 지연 시간에 적응적인 스케줄링 방식을 제시하였다. 이 방식은 멀티미디어 서비스와 같이 혼합된 트래픽 특성을 갖는 구조에서 트래픽 구성비율에 따라 적용되는 지연 여유치를 매우 융통성 있고 효과적으로 조절할 수 있다. 성능분석을 위하여 기존의 스케줄링 방식인 WFQ (Weighted Fair Queueing) 방식과 제안한 스케줄링 방식의 수학적인 분석을 수행하였으며 이 두 방식의 결과식을 비교하여 교환노드에서의 평균 지연과 셀 처리에 관한 성능을 분석하였다. 그리고 수학적 분석에 대한 검증으로는 Simulation tool ARENA 3.0을 이용하여 제안한 알고리즘의 Worst case와 기존의 알고리즘의 성능을 비교하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.581-585
• /
• 2006

네트워크 환경의 발달과 더불어 DDoS 공격이나 웜 공격이 증대되고 있다. 다양한 공격의 증가뿐만 아니라 최근에는 공격이 발생하면 급속히 피해가 확산된다. 피해 속도가 빨라지는 이유 중의 하나는 피해 시스템이 공격자가 되기 때문이다. 그러나 만약 피해 시스템이 또 다른 공격 시스템이 되는 것을 차단할 수 있다면, 공격이 확산되는 속도를 늦출 수 있다. 본 논문에서는 감염된 시스템이 비정상적으로 많은 트래픽을 발생시키는 것을 탐지하기 위하여 특정 주소를 갖는 시스템으로 일정 기간 동안 들어오고 나간 인바운드 패킷과 아웃바운드 패킷의 양을 비율로 나타내어 트래픽 흐름을 분석한다. 그리고 B-클래스 네트워크에서 추출한 트래픽 샘플데이터를 이용하여 트래픽 흐름을 분석하여 감염된 시스템을 탐지할 수 있음을 보인다.

• Proceedings of the Korea Society for Simulation Conference
• /
• 1997.04a
• /
• pp.66-71
• /
• 1997

생존 트래픽 비율로만 정의되는 기존의 생존도는 통신 재난시 트래픽의 상대적 중 요도와 복구기간에 대한 생존도를 적절히 반영하지 못한다. 따라서 트래픽의 상대적 중요도 에 따라 트래픽을 복구함으로써 재난의 사회적 영향을 최소화하고 복구기간을 반영하는 새 로운 평가척도로서 재난영향 평가척도를 제시한다. DCS 전송망에 대해 제시한 재난 영향 평가척도 및 기존의 생존도를 계산하기 위하여 통신재난 시나리오 분석 시스템을 이용한다. 통신재난 시나리오 분석 시스템[1]은 장애발생, 복구방법 및 복구과정 관련 시나리오등으로 구성되므로 DCS 전송망에 대한 생존도 계산이 가능하다. 통신재난 시나리오 분석 시스템을 이용하여 다양한 전송망에 대해 얻은 재난영향 평가척도 결과 및 기존 생존도 결과를 비교 하였다.

• Journal of the Institute of Electronics Engineers of Korea TC
• /
• v.43 no.7 s.349
• /
• pp.84-92
• /
• 2006

To defeat abnormal traffic driven by DoS (Denial-of-Service) or DDoS (Distributed DoS), there has been a variety of researches or studies in a few decades. In this paper, we present the results of theoretical performance analysis between attack prevention schemes and attack mitigation schemes. The former is a scheme that prevents abnormal incoming traffic from forwarding into a specific network based on filtering rules, and the latter is a scheme that makes some perimeter or intermediate routers, which exist on the traffic forwarding path, prevent abnormal traffic based on their own abnormal traffic information, or that mitigates abnormal traffic by using quality-of-service mechanisms at the gateway of the target network. The aspects of theoretical performance analysis are defined as the transit rates of either normal traffic or false-positive traffic after an attack detection routine processes its job, and we also present the concrete network bandwidth rates to control incoming traffic.