• 한국컴퓨터정보학회논문지
• /
• 제17권5호
• /
• pp.33-40
• /
• 2012

본 논문은 HTTP Outbound Traffic의 감시를 통해 다양한 웹 공격의 침입 경로에 대응하고, 학습 효율성을 높여 변종 또는 새로운 기법을 이용한 비정상 행위에 대한 오탐을 낮춘 기법을 제안한다. 제안 기법은 HMM(Hidden Markov Model)을 적용하여 HTML 문서속의 태그와 자바스크립트의 학습을 통한 정상 행위 모델을 생성한 후, HTTP Outbound Traffic속의 정보를 정상 행위 모델과 비교하여 웹 공격을 탐지한다. 실제 침입된 환경에서의 검증 분석을 통해, 제안기법이 웹 공격에 대해 0.0001%의 오탐율과 96%의 우수한 탐지능력을 보임을 제시한다.

• 정보화연구
• /
• 제10권1호
• /
• pp.101-111
• /
• 2013

오늘날 인터넷의 발달과 더불어 다양한 스마트 기기들의 증가로 인하여 많은 양의 트래픽이 발생하고 있다. 특히 기존의 데스크탑 이외의 다양한 모바일 기기와 스마트 디바이스에서는 HTTP 기반의 응용 트래픽이 많이 증가하고 있다. 이렇게 증가하는 모바일 트래픽은 인터넷에 망 과부하, 웹보안과 같은 다양한 문제들을 발생시키고 있다. 인터넷 망의 과부하 및 보안 문제를 해결하기 위해서는 우선적으로 응용의 정확한 탐지가 필요하다. 이를 위하여 전통적으로는 잘 알려진 포트 기반의 분석 방법이 사용되었다. 그러나 과도한 트래픽을 발생시켜 방화벽이나 IDS 장비에서 포트를 제한한 P2P 응용 프로그램들이 포트를 변경하여 사용하기 때문에 포트 기반의 분석은 정확성이 떨어진다. 이를 보안하기 위하여 제안된 시그니쳐 기반의 분석 방법의 경우 잘 알려진 포트 기반 분석 방법에 비해 비교적 높은 분석률과 정확성을 가지지만 분석에 필요한 시그니쳐를 생성해야 하는 오버헤드를 가지고 있다. 또한 기존의 시그니쳐에 생성에 관한 연구는 각각의 응용에 대해 분류하고 분석하지만 HTTP를 이용하는 트래픽에 대해서는 프로토콜 레벨의 분석만 가능할 뿐 HTTP를 전송 프로토콜로 사용하는 응용 프로그램의 분류와 같은 깊이 있는 분석이 이루어지지 않고 있다. 본 논문에서는 HTTP 헤더의 반정형적인 특성을 바탕으로 HTTP 기반 응용을 정확히 탐지하기 위한 시그니쳐 생성 방법에 대하여 제시하고 있다. 이를 학내망 트래픽에 실제 적용함으로써 본 논문의 타당성을 보인다.

• 한국컴퓨터산업학회논문지
• /
• 제6권5호
• /
• pp.715-724
• /
• 2005

최근 들어 폐쇄 환경에서 동작하던 많은 주요 시스템들이 웹 서비스를 제공하면서 호스트는 물론 제공되는 웹기반의 서비스들이 쉽게 공격의 주요 대상이 되고 있다. 뿐만 아니라 웹 컨텐츠나 어플리케이션의 다양성은 새로운 공격 기술을 개발하는 원인이 되기도 한다. 반면 기존의 오용기반 탐지 기법으로는 공격 기술의 발전 속도를 따라가지 못할 뿐더러 새로운 보안 위협을 처리하는 능력이 없다. 따라서 기존의 공격 유형과 함께 새롭게 개발되는 공격과 침입을 탐지하고 대처할 수 있는 기술이 연구되고 개발되고 있다. 본 논문에서는 HTTP 트래픽 패턴과 패킷 정보를 분석하여 HTTP 트래픽 모델에서의 비정상 행위 발생을 실험하였으며, 그 실험 결과를 적용하여 비정상행위를 탐지 가능한 HTTP 트래픽 모델을 설계하고 구현하였다.

• Journal of Communications and Networks
• /
• 제18권5호
• /
• pp.826-836
• /
• 2016

Increase of hypertext transfer protocol (HTTP)-based video popularity causes that broadband and Internet service providers' links transmit mainly multimedia content. Network planning, traffic engineering or congestion control requires understanding of the statistical properties of network traffic; therefore, it is desirable to investigate the characteristic of traffic traces generated, among others, by systems which employ adaptive bit-rate streaming. In our work, we investigate traffic originating from 120 client-server pairs, situated in an emulated laboratory environment, and multiplexed onto a single network link. We show that the structure of the traffic is distinct from the structure generated by first and second generation of HTTP video systems, and furthermore, not similar to the structure of general Internet traffic. The obtained traffic exhibits negative correlations, anti-persistence, and its distribution function is skewed to the right. Furthermore, we show that the traffic generated by clients employing the same or similar play-out strategies is positively correlated and synchronised (clustered), whereas traffic originated from different play-out strategies shows negative or no correlations.

• 인터넷정보학회논문지
• /
• 제5권4호
• /
• pp.63-76
• /
• 2004

통신망을 효율적으로 설계하고 운영하기 위하여 통신망에 대한 구체적인 시뮬레이션이 필요하며 이에 관한 연구가 현재 활발히 이루어지고_ 있다. 본 논문에서는 시뮬레이션 시 요구되는 트래픽 모델을 수립하기 위하여 실제 수집된 트래픽 자료를 이용하여 HTTP 요구 수준에서 웹 트래픽을 모델링 한다. 그리고 또한 현재 논란이 되고 있는 인터넷 트래픽의 통계적인 특성이 포아송 과정을 따르는지 아니면 자기유사한(self-similar) 특성을 보이는지를 웹 트래픽의 특성 분석을 통해 알아보았다. 본 연구의 결과로 트래픽은 하나의 함수로 모델링 할 수 없었으며 특정 구간에서는 하나의 함수로, 그리고 다른 구간에서는 다른 함수로 모델링 될 수 있다는 사실을 알 수 있었으며, 그 모델링이 다르게 되는 영역은 HTTP서버의 특성에 따라서 달라진다는 것을 알 수 있었다. 이러한 결과를 본 연구와 관련된 통신망 시뮬레이터(NetDAS)의 웹 트래픽 생성기의 설계 및 구현에 이용할 수 있도록 하였다.

• IEIE Transactions on Smart Processing and Computing
• /
• 제5권2호
• /
• pp.94-99
• /
• 2016

Application layer attacks have for years posed an ever-serious threat to network security, since they always come after a technically legitimate connection has been established. In recent years, cyber criminals have turned to fully exploiting the web as a medium of communication to launch a variety of forbidden or illicit activities by spreading malicious automated software (auto-ware) such as adware, spyware, or bots. When this malicious auto-ware infects a network, it will act like a robot, mimic normal behavior of web access, and bypass the network firewall or intrusion detection system. Besides that, in a private and large network, with huge Hypertext Transfer Protocol (HTTP) traffic generated each day, communication behavior identification and classification of auto-ware is a challenge. In this paper, based on a previous study, analysis of auto-ware communication behavior, and with the addition of new features, a method for classification of HTTP auto-ware communication is proposed. For that, a Not Only Structured Query Language (NoSQL) database is applied to handle large volumes of unstructured HTTP requests captured every day. The method is tested with real HTTP traffic data collected through a proxy server of a private network, providing good results in the classification and detection of suspicious auto-ware web access.

• 한국컴퓨터정보학회논문지
• /
• 제14권9호
• /
• pp.47-54
• /
• 2009

웹을 통해 유포되는 악성코드는 다양한 해킹 기법과 혼합되어 진화되고 있지만, 이의 탐지 기법은 해킹 기술의 발전과 신종 악성코드에 제대로 대응하지 못하고 있는 실정이다. 본 논문에서는 악성코드와 이의 유포 특성의 분석에 따라 탐지 시스템이 갖추어야 할 요구사항을 정의하고, 이를 기반으로 HTTP Outbound Traffic을 감시하여 악성코드의 유포를 실시간으로 탐지하는 개선된 탐지 기법을 제안한다. 제안 기법에서는 악성코드를 유포하는 것으로 입증된 HTML 태그와 자바스크립트 코드를 시그니쳐로 IDS에 설정한다. 실제 침입된 환경에서의 검증 분석을 통해 제안 기법이 기존 기법에 비해 요구 사항의 만족에 우수하고 악성코드에 대한 높은 탐지율을 보임을 제시한다.

• 정보보호학회논문지
• /
• 제22권4호
• /
• pp.809-817
• /
• 2012

OSI 7계층 DDoS 공격 기법중 하나인 HTTP POST DDoS 공격은 서버의 자원을 고갈시켜 정상적인 서비스를 방해하는 서비스 거부 공격 기법이다. 이 공격은 적은 양의 공격 트래픽만으로도 효과적인 공격이 가능하며 정상적인 TCP 연결을 이용하고 있어 정상적인 사용자 트래픽과 공격 트래픽을 구분하는 것이 어렵다. 본 논문에서는 HTTP POST DDoS 공격에 대한 대응 방안으로 비정상 HTTP POST 트래픽 탐지 알고리즘과 HTTP POST 페이지별 Content-Length 제한기법을 제안한다. 제안한 방안은 HTTP POST 공격도구인 r-u-dead-yet과 자체 개발한 공격 도구를 이용하여 HTTP POST DDoS 공격을 오탐 없이 탐지 대응하였음을 보여주었다.

• 정보처리학회논문지C
• /
• 제9C권4호
• /
• pp.605-614
• /
• 2002

웹서버가 처리하는 웹 트래픽 양이 폭발적으로 증가하고, 다양한 형태의 웹 서비스에 대한 웹서버의 성능 개선이 요구되고 있다. 이를 위해, HTTP 트래픽의 특성에 대한 분석과 웹서버의 적절한 튜닝이 요구되고 있지만 이에 대한 연구는 아직 미진한 상태이다. 특히, 현재 대부분의 어플리케이션이 HTTP 1.0에 기반하여 구현되고 있음에도 불구하고, 대부분의 연구들이 HTP 1.0에 기반하여 성능 분석이 이루어진 반면 HTTP 1.1에 대한 모델링과 성능분석은 거의 이루어지지 못하였다. 따라서, 본 논문에서는 Persistent connection을 지원하는 HTTP 1.1 프로토콜을 기반으로 하여 서버내의 세부 하드웨어 특성 등을 고려하여, 웹서버가 사용자의 요청을 받아들이면서부터 서비스를 마칠 때까지의 과정을 Tandem 네트워크 큐잉 모델을 사용하여 해석적인 웹서버 모델을 제안한다. 그리고, HTTP 1.0에 대한 HTTP 1.1의 개선된 점과 과부하 하에서의 문제점 등을 분석하고, 웹 서버에 요청하는 파일크기, 파일전송 사이의 OFF 시간, 요청빈도, 요청시간에 대한 지역성과 같은 HTTP 트래픽에 대한 특성을 분석한다. 제안된 모델은 실제 웹서버에서 웹 서비스 요청율의 변화에 따른 서버의 처리량에 대한 비교를 통해 검증하였다. 또, HTTP 1.1 기반의 웹서버에 있어서, TCP 요청 대기큐 크기와 HTTP 쓰레드의 개수 및 네트워크 버퍼 크기와의 상관 관계에 따른 웹서버의 성능분석을 하였다.

• 한국통신학회논문지
• /
• 제36권5B호
• /
• pp.443-450
• /
• 2011

현대인의 삶에서 인터넷은 다양한 정보를 제공하는 필수 요소가 되었다. 이에 따라 네트워크 트래픽은 폭발적으로 증가하였고, 효율적 네트워크 관리를 위해 네트워크 트래픽 분석의 중요성이 강조되고 있다. 네트워크 트래픽 분석 방법 중 시그니쳐 기반의 분석 방법론이 많이 사용되고 있으며, 이는 다양한 응용의 증가로 시그니쳐의 탐색 공간 증가에 따라 실시간 트래픽 분석에 문제점이 나타나고 있다. 운영체제 정보를 활용하면 해당 운영체제에서 사용되는 응용의 시그니쳐만을 검색하도록 함으로써 앞선 문제점을 해결할 수 있다. 본 논문에서는 실시간 트래픽 분석을 위한 효과적인 운영체제 판별 방법을 제안한다. 본 논문에서 제안하는 운영체제 판별 방법은 실시간 트래픽 분석에 적합한 가볍고 빠른 수동형 방법을 사용하였으며, 기존 수동형 방법이 가지는 분석률과 정확성이 낮은 문제를 해결하였다. 분석률을 향상시키기 위해 입력데이터를 확장시켰으며, 운영체제 판별을 위한 시그니쳐를 HTTP의 User-Agent를 이용하여 생성함으로써 다양한 운영체제에 대한 시그니쳐를 추출하였다. 또한 기존 패킷 기반의 분석을 플로우 단위의 분석으로 변경함으로써 정확성을 향상시켰다.