• 한국콘텐츠학회논문지
• /
• 제6권12호
• /
• pp.155-162
• /
• 2006

Code Red와 같은 인터넷 웜이 얼마나 심각하게 우리들 일상생활에 영향을 미쳤는지 잘 알려져 있다. 오늘날 인터넷의 고속화와 함께 이러한 웜의 피해는 단기간 내에 발생할 것이 자명하다. 따라서 이러한 웜에 대항하기 위해서 웜의 전파 특성을 분석하는 것이 무엇보다 중요하다. 본 논문에서는 컴퓨터 시뮬레이션을 통해 Code Red 웜의 전파 특성을 분석한다. 특히 Code Red웜 감염 호스트 수에 관한 기존 시뮬레이션 연구 결과가 관측된 자료와 매칭되지 않음을 보이고 이를 해결하기 위해 개선된 시뮬레이션 환경을 제시하였다. 또한 웜에 대한 초기 대응과 감염에 따른 대응이 웜의 전파 속도 변화에 어떠한 영향을 미치는지 그 결과를 보였다.

• 한국정보통신학회논문지
• /
• 제12권1호
• /
• pp.81-86
• /
• 2008

최근 빠른 속도로 확산되는 Code Red Worm, Slammer Worm과 같은 인터넷웜은 인터넷에 서 주요한 위협이 되고 있다. 이러한 인터넷 웜을 막기 위해서는 웜의 확산 방식과 웜 확산에 영향을 끼치는 인터넷 환경을 이해하는 것이 필수적이다. 본 논문은 인터넷 환경에 따른 웜 확산의 정확한 모델링을 그 목표로 한다. 이를 위하여 다양한 실험을 통하여 주소 체계와 인터넷 속도에 따른 웜 확산의 양상을 분석한다.

• Kyungpook Mathematical Journal
• /
• 제56권4호
• /
• pp.1191-1205
• /
• 2016

The emergence of various Internet worms, including the stand-alone Code Red worm that caused a distributed denial of service (DDoS), has prompted many studies on their propagation speed to minimize potential damages. Many studies, however, assume the same probabilities for initially infected nodes to infect each node during their propagation, which do not reflect accurate Internet worm propagation modelling. Thus, this paper analyzes how Internet worm propagation speed varies according to the number of vulnerable hosts directly connected to infected hosts as well as the link costs between infected and vulnerable hosts. A mathematical model based on centrality theory is proposed to analyze and simulate the effects of degree centrality values and closeness centrality values representing the connectivity of nodes in a large-scale network environment on Internet worm propagation speed.

• 한국콘텐츠학회논문지
• /
• 제7권11호
• /
• pp.94-101
• /
• 2007

본 논문에서는 알려지지 않은 변형 웜을 탐지하기 위한 방법을 제안한다. 그 방법으로, 페이로드 영역에서 시그니쳐 생성 방안들을 패턴인식 알고리즘으로 연구되었던 Suffix Tree중에서 Longest Common Subsequence(LCSeq) 기법을 이용하여 새로운 시그니쳐를 자동적으로 생성할 수 있는 프로그램을 설계하여 구현하였다. 테스트를 통해 코드레드 웜과 님다 웜의 변종을 검출하는 과정을 보여주고 기존 snort의 시그니쳐와 LCSeq를 이용해 생성된 시그니쳐를 비교 평가하였다.

• 한국정보과학회논문지:정보통신
• /
• 제35권6호
• /
• pp.474-481
• /
• 2008

스캐닝 웜은 자기 스스로 복제가 가능하며 네트워크를 통해서 짧은 시간 안에 아주 넓은 범위에 걸쳐 전파되므로 네트워크의 부하를 증가시켜 심각한 네트워크 혼잡현상을 일으킨다. 따라서 실시간으로 스캐닝 웜을 탐지하기 위해 많은 연구가 진행되고 있으나 대부분의 연구가 패킷 헤더 정보를 이용하는 방법에 중점을 두고 있으며, 이 방법은 네트워크의 모든 패킷을 검사해야 하므로 비효율적이며 탐지시간이 오래 걸린다는 단점이 있다. 따라서 본 논문에서는 네트워크 트래픽량, 트래픽량의 미분값, 트래픽량의 평균 미분값, 트래픽량의 평균 미분값과 평균 트래픽량의 곱에 대한 variance를 통해 스캐닝 웜을 탐지하는 기법을 제안한다. 실제 네트워크에서 측정한 정상 트래픽과 시뮬레이터로 생성한 웜 트래픽에 대해 성능을 분석한 결과, 기존의 탐지기법으로는 탐지되지 않는 코드레드와 슬래머를 제안한 탐지기법으로 탐지할 수 있었다. 또한 탐지속도를 측정한 결과 웜 발생초기에 모두 탐지가 되었는데, 슬래머는 발생 후 4초만에 탐지되었으며, 코드레드와 위티는 발생한지 11초만에 탐지되었다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.173-181
• /
• 2008

최근 웜에 의한 사이버 위협이 증가함에 따라 웜의 확산 특성을 분석하기 위한 전파 모델이 연구되고 있다. 대표적인 예로 수학적 모델링 기법인 Epidemic(SI), KM(Kermack-MeKendrick), Two-Factor, AAWP(Analytical Active Worm Propagation)등의 모델 기법들이 제시되었다. 하지만, 기존 모델 방법들은 대부분 코드레드와 같은 네트워크를 대상으로 하는 랜덤 스캐닝 기법에 대해서만 모델링이 가능하다. 또한 거시적인 분석만 가능하고 특정 위협에 대해 예측하는데 한계점을 가지고 있다. 따라서 본 논문에서는 과거의 위협 발생 데이터를 근거로 하여 Mass SQL Injection 같은 사이버위협에 적용 가능한 마코브 체인(markov chain) 기반 예측 방법을 제시한다. 이를 통하여 각 위협별 발생 확률 및 발생빈도를 예측할 수 있다.

• 정보보호학회논문지
• /
• 제17권3호
• /
• pp.43-53
• /
• 2007

인터넷에 대한 의존도가 증가하면서 인터넷 웜에 대한 연구의 필요성이 증가하게 되었다. 인터넷 웜을 연구하는 데 가장 많이 사용하는 방법 중의 하나는 시뮬레이션인데, 대규모 네트워크상에서 동작하는 웜을 시뮬레이션 하는 데에는 성능, 확장성 등의 문제가 발생한다. 이에 본 논문에서는 대규모 인터넷 웜, 특히 RCS(Random Constant Spreading) 특성을 갖는 웜을 시뮬레이션 할 때 발생하는 문제점을 줄여, 효율적인 시뮬레이션이 가능하도록 하는 hybrid 모델링 방법을 제안하였다. 본 논문에서 제안하는 hybrid모델은 epidemic모델과 유체 모델을 사용한 모델링 네트워크와 패킷 네트워크의 연동을 통하여 시뮬레이션을 수행하도록 하였으며, 이로 인하여 일반적인 모델링 기법의 장점인 빠른 수행 시간을 가짐과 동시에 패킷 네트워크를 이용하여 동적으로 인자값을 업데이트할 수 있게 되었다. 또한, 한 번의 시뮬레이션을 통해 모델링 네트워크로부터 거시적인 정보와 패킷 네트워크로부터 세부적인 정보를 모두 얻을 수 있다. 그리고 본 논문에서는 RCS 특성을 가지는 웜의 한 종류인 코드레드 웜에 대한 실험을 수행하여 hybrid 모델의 적합성을 보여주었다.

• 한국통신학회논문지
• /
• 제37권3B호
• /
• pp.212-218
• /
• 2012

인터넷 웜은 컴퓨터 네트워크를 이용하여 자기 자신을 자동으로 복제해서 전파하는 프로그램이다. 컴퓨터간의 네트워크 연결이 증가함에 따라 인터넷 웜은 급격해 확산되었고 큰 위협으로 남아있다. 코드 레드, 님다, 슬레머 같은 인터넷 웜의 특성과 이들의 활동을 억제하는 방법을 찾기 위해서 웜이 전파되는 특성을 연구하려는 많은 시도가 있었다. 네트워크 특징들이 인터넷 웜 전파에 미치는 영향은 모델의 간단성과 유사성 때문에 주로 의학계에서 사용되는 전염병 전파 모델을 이용하여 모델링이 되었다. 이런 의학계 모델링은 널리 사용되면서 여러 개선된 모델들이 다양하게 제안되었다. 우리는 이전의 제안된 모델들의 문제점을 분석한 후 통계적 방법을 사용하여 정확도를 높이는 새로운 방법의 웜 전파 모델링을 제안한다.

• 전자통신동향분석
• /
• 제20권1호통권91호
• /
• pp.9-16
• /
• 2005

최초의 인터넷 웜(worm)으로 불리는 Morris 웜이 1988년 11월에 발표된 이래로 현재까지 많은 웜 공격이 발생되고 또 발표되어 왔다. 초기의 웜은 작은 규모의 네트워크에서 퍼지는 정도였으며, 실질적인 피해를 주는 경우는 거의 없었다. 그러나 2001년 CodeRed 웜은 인터넷에 연결된 많은 컴퓨터들을 순식간에 감염시켜 많은 피해를 발생시켰으며 그 이후 2003년 1월에 발생한 Slammer 웜은 10분이라는 짧은시간안에 75,000여 대 이상의 호스트를 감염시키고 네트워크 자체를 마비시켰다. 특히 Slammer 웜은 국내에서 더욱 유명하다. 명절 구정과 맞물려 호황을 누리던 인터넷 쇼핑 몰, 은행 거래 등을 일시에 마비시켜 버리면서 경제적으로도 막대한 피해를 우리에게 주었다. 이런 웜을 막기 위해서 많은 보안 업체들이나서고 있으나, 아직은 사전에 웜의 피해를 막을만한 확실한 대답을 얻지 못하고 있다. 본 문서에서는 현재 웜의 발생 초기 단계를 탐지하고 이를 피해가 커지기 이전에 막기 위한 연구들을 설명할 것이다.

• 정보처리학회논문지C
• /
• 제12C권5호
• /
• pp.633-642
• /
• 2005

유비쿼터스 컴퓨팅 시스템은 하나 이상의 컴퓨터가 네트워크로 상호 연결된 프로세서 시스템이다. 하지만, 기존의 보안 유지 방법은 정성적 탐지 및 대응책으로 공격이 발생한 이후 대응에만 치중하여 능동적 차원의 보안 유지 방법에 대한 연구가 부족하다. 따라서, 본 논문은 정량적인 분석을 통해 범용적 인프라의 개선뿐만 아니라 특정 인프라 공격에 대해서 탐지 및 데응할 수 있는 방법에 대해 제안한다. 이를 위해 시스템의 고정적 요소 정보, 임의의 요소 정보, 공격 유형 모델링을 근간으로 시스템의 보안성을 정량적으로 분석할 수 있도록 생존성에 대한 정의 및 모델링 기법을 사용하였다. 그리고 제안한 기법의 검증을 위해 TCP-SYN 공격과 Code-Red 웜 공격에 대한 생존성 분석을 수행하였다.