• 정보처리학회논문지C
• /
• 제13C권5호
• /
• pp.559-566
• /
• 2006

연결요청(connection request) 패킷의 전송비율을 일정 비율 이하로 제한함으로써 월 발생을 탐지하는 바이러스 쓰로틀링(virus throttling)은 대표적인 웜 조기 탐지 기술 중의 하나이다. 기존 바이러스 쓰로틀링은 비율 제한기의 주기를 고정시키고 지연 큐 길이를 감시하여 웜 발생 여부를 판단한다. 본 논문에서는 가중치 평균 지연 큐 길이를 적용하여 비율 제한기의 주기를 자율적으로 조절하는 알고리즘을 제안하고, 가중치 평균 지연 큐 길이에 따른 다양한 주기결정 기법을 제시한다. 실험결과 제안 알고리즘은 웜 탐지시간에는 크게 영향을 미치지 않으면서도 연결설정 지연시간을 단축하여 사용자가 느끼는 불편함을 줄여 줄 수 있음을 확인하였다.

• 정보처리학회논문지C
• /
• 제13C권7호
• /
• pp.821-830
• /
• 2006

전 세계적으로 큰 피해를 주는 웜을 탐지하고 필터링 하는 것은 인터넷 보안에서 큰 이슈중의 하나이다. 웜을 탐지하는 하나의 방법으로서 리눅스 넷필터 커널 모듈이 사용된다. 웜을 탐지하는 기본 동작으로서 스트링 매칭은 네트웍 상으로 들어오는 패킷을 미리 정의된 웜 시그니쳐(Signature, 패턴)와 비교하는 것이다. 웜은 하나의 패킷 혹은 2개(혹은 그 이상의) 연속된 패킷에 나타난다. 이때, 웜의 일부분은 첫 번째 패킷에 있고 나머지 부분은 연속된 패킷 안에 있다. 웜 패턴의 최대 길이가 1024 바이트를 넘지 않는다고 가정하면, 2048 바이트의 길이를 가지는 2개의 연속된 패킷에 대해서 스트링 매칭을 수행해야만 한다. 이렇게 하기 위해, 리눅스 넷필터는 버퍼에 이전 패킷을 저장하고 버퍼링된 패킷과 현재의 패킷을 조합한 2048 바이트 크기의 스트링에 대해 매칭을 수행한다. 웜 탐지 시스템에서 다루어야 하는 동시 연결 개수의 수가 늘어날수록 버퍼(메모리)의 총 크기가 증가하고 스트링 매칭 속도가 감소하게 된다. 이에 본 논문에서는 메모리 버퍼 크기를 줄이고 스트링 매칭의 속도를 증가시키는 버퍼를 이용하지 않는 스트링 매칭 방식을 제안한다. 제안된 방식은 이전 패킷과 시그니쳐(Signature)의 부분 매칭 결과만을 저장하고 이전 패킷을 버퍼링하지 않는다. 부분 매칭 정보는 연속된 패킷에서 웜을 탐지하는데 사용된다. 제안된 방식은 리눅스 넷필터 모듈을 수정하여 구현하였고, 기존 리눅스 넷필터 모듈과 비교하였다. 실험 결과는 기존 방식에 비해 25%의 적은 메모리 사용량 및 54%의 속도 향상을 가짐을 확인하였다.

• 정보처리학회논문지C
• /
• 제12C권6호
• /
• pp.839-846
• /
• 2005

최근 정보기술의 발달로 통신, 방송, 인터넷 등의 모든 서비스들이 하나의 네트워크로 통합되는 광대역 통합망이 등장하게 되었다. 그러나 이에 대한 역기능으로 다양한 위협이 등장하고 있으며, 그 중 인터넷 웜과 같은 악성 코드는 국가 기간망을 뒤흔드는 혼란을 초래할 수 있다. 본 논문은 고성능 네트워크 환경에서 웜 확산에 대한 정확한 예측을 그 목표로 한다. 이를 위해 인터넷 쉽게 적용 가능한 확산 모델을 살펴보고, 여러 인터넷 웜을 적용하여 인터넷 환경에서 동작 방식을 분석한다. 제안 모델은 웜 확산 단계와 대응 단계에 따른 영향을 분석하여 인터넷 웜의 확산 규모와 속도를 보다 정확하게 예측할 수 있다. 본 논문의 결과는 광대역 통합 네트워크와 같은 고성능 네트워크에도 적용할 수 있다.

• 한국통신학회논문지
• /
• 제35권3B호
• /
• pp.431-439
• /
• 2010

탐지룰을 기반으로 하는 보안 시스템들은 신종 인터넷 웜에 대응할 수 없다는 문제가 있다. 본 논문에서는 탐지룰을 사용하지 않고 인터넷 웜 공격으로부터 서버를 보호하는 악성 프로세스 및 실행파일 제거 시스템을 제안한다. 제안 시스템은 보호대상서버와 동일한 서비스 프로그램을 구동하면서 인터넷 웜에 의한 멀티캐스팅 공격을 탐지하는 제어서버와 제어서버의 지시에 따라 보호대상서버에 생성된 악성 프로세스와 악성 실행파일을 제거하는 에이전트로 구성된다. 제안 시스템은 탐지룰을 사용하지 않기 때문에 신종 인터넷 웜에 효과적으로 대응할 수 있으며, 기존의 보안 시스템들과 통합될 경우 보안을 더욱 강화할 수 있다.

• 정보처리학회논문지C
• /
• 제12C권6호
• /
• pp.847-854
• /
• 2005

인터넷 웜(worm)의 전파속도는 매우 빠르기 때문에, 발생초기에 웜의 전파를 탐지하여 막지 못하면 큰 피해를 초래 할 수 있다. 새로운 세션에 대한 연결요청을 일정 비율이하로 제한함으로써 웜의 발생여부를 탐지하는 바이러스 쓰로틀링(virus throttling)[6, 7]은 대표적인 웜 조기탐지 기술 중의 하나이다. 대부분의 기존 기술은 지연 큐 관리에 있어서 동일한 수신 IP 주소들을 개별적으로 처리함으로써 웜 탐지의 오판 가능성을 증가시켰고, 지연 큐가 가득 찼을 때에만 웜이 발생했다고 판단하는 단순 판단 기법을 사용했다. 본 논문은 지연 큐에서 동일 수신 IP 주소들을 하나의 연결 리스트로 묶어 별도로 관리함으로써 동일 수신 IP들을 중복하여 지연 큐에 저장하지 않는 이차원 지연 규 관리방안을 제안한다. 개선된 바이러스 쓰로틀링은 지연 큐 길이 산정 시동일 수신 IP 주소들을 중복하여 계산하지 않기 때문에 웜 탐지 오류를 줄일 수 있다. 그리고 동일한 크기의 지연 큐를 가지고도 웜 탐지시간을 줄이고 웜 패킷 전송 수를 줄일 수 있는 가중치 평균 큐 길이 기반의 새로운 웜 탐지 알고리즘을 제안한다. 지연 큐 길이 산정 시 현재의 큐 길이 뿐 아니라 과거의 큐 길이를 반영하는 방법이 웜의 발생 가능성을 사전에 예측하여 기존 기법보다 빠르게 웜을 탐지할 수 있음을 실험을 통해 확인하였다.

• 한국산학기술학회논문지
• /
• 제7권6호
• /
• pp.1206-1213
• /
• 2006

자기 전파하는 웜들의 속도가 사람이 대응하는 속도 보다 매우 빠르기 때문에 zero-day 웜들을 봉쇄하기 위해서는 웜 시그니쳐의 빠른 검출과 자동생성이 필수적이다. 본 논문에서는 웜 공격에 대응 할 수 있는 시그니쳐 자동생성 방법을 제안하고, 제안한 방법의 프로토타입을 구현하여 DHT 기반 네트워크에 적용하여 웜 시그니쳐를 생성함으로써 제안한 방법의 유효성을 보이도록 한다.

• 정보처리학회논문지C
• /
• 제12C권2호
• /
• pp.191-200
• /
• 2005

컴퓨터와 인터넷의 발달로 컴퓨터 사용자들은 유용한 정보를 쉽게 얻을 수 있게 되었다. 그러나 동시에, 시스템 불법 침입과 서비스 거부 공격에 의한 피해는 심각한 수준에 이르렀다. 특히 인터넷 웜을 통한 서비스 거부 공격은 컴퓨터와 네트워크 서비스를 무력화 시킬 수 있기 때문에 이에 대한 대처방안이 시급하다 할 수 있다. 지금까지 많은 침입 탐지 시스템들이 탐지룰을 기반으로 공격을 탐지해왔지만, 새롭게 등장하는 인터넷 월을 탐지하는데 한계가 있다. 본 논문에서는 인터넷 웜이 여러 호스트들을 감염시키기 위해 네트워크 스캔 작업을 한다는 점에 착안하여, 스캔 기반의 인터넷 웜 공격을 효과적으로 탐지하기 위한 침입 탐지 및 탐지룰 생성 시스템을 제안한다. 제안된 시스템은 탐지룰을 기반으로 인터넷 월 공격을 탐지하며, 탐지룰에 존재하지 않는 인터넷 웜에 의한 트래픽이 유입될 경우, 수집된 트래픽 정보를 통해 새로운 탐지룰을 생성하기 때문에 신종 인터넷 웜에 신속히 대응할 수 있다. 그리고 필요할 때만 패킷 데이터를 수집하기 때문에 시스템 부하와 디스크 사용량을 줄일 수 있다.

• 한국인터넷방송통신학회논문지
• /
• 제13권1호
• /
• pp.71-76
• /
• 2013

웜이란 시스템의 취약점을 탐색하고 취약한 시스템을 공격하여 훼손시키는 독립형 프로그램으로서, 네트워크를 통하여 자신을 복제하고 확산한다. 본 논문에서는 웜 탐지 및 차단 방법을 연구하였다. 먼저 가상 시뮬레이션 테스트베드인 Deterlab 환경에서 Codered II 웜 트래픽을 발생시켰다. 이 트래픽을 Earlybird를 이용하여 의심스러운 부분을 식별한 후, Wireshark를 통해 분석하여 Snort 규칙을 작성하였다. 다음으로 Codered II 웜 트래픽에, 앞에서 작성된 Snort 규칙을 적용함으로써, 생성된 로그 파일의 확인을 통해, 정상적으로 웜 탐지가 이루어짐을 확인할 수 있었다.

• 전자공학회논문지CI
• /
• 제47권5호
• /
• pp.67-74
• /
• 2010

최근에는 일반적인 웜의 확산 특성을 분석하여 이를 이용해 웜으로 의심되는 트래픽을 사전에 차단하는 방법이 활발히 연구되고 있다. 그러나 아직 구체적인 모델링 방법에 대한 명확한 기준이 없으며, 급변하는 웜의 특성을 반영한 사전 탐지가 쉽지 않은 실정이다. 이에 본 논문에서는 현재 제시되어 있는 웜의 탐지 모델들을 분석하였고, 웜의 확산 과정에 있어서 새로운 감염대상을 찾기 위한 스캐닝 방법이 가장 주요한 요소임을 확인하였다. 이를 바탕으로, Lovgate, Blaster, Sasser 3가지 웜의 확산 과정시 스캐닝 방법을 분석하였고, 분석한 내용을 바탕으로 각각의 프로파일을 구축하였다. 구축된 스캐닝 프로파일 기법을 적용한 웜의 탐지 모델을 시뮬레이션 함으로써 실제 웜의 확산 과정을 예측해 본다. 또한 제안 기법의 검증을 위해 실제 테스트 베드를 구축하고 제안 모델을 적용하여 탐지 가능성을 확인하였다.

• 한국정보과학회논문지:정보통신
• /
• 제36권2호
• /
• pp.69-79
• /
• 2009

오늘날의 인터넷은 일상생활에서 필수적인 요소가 되었으며, 인터넷의 이상 현상은 사회적 문제가 되고 있다. 이 때문에 인터넷 트래픽의 특성을 연구하기 위한 인터넷 측정 연구가 주목을 받고 있다. 특히 최근에는 트래픽 분산 그래프(TDG, Traffic Dispersion Graph)라는 새로운 트래픽 분석 기법이 제안되었다. TDG는 기존의 트래픽의 통계적 표현과 분석이 아닌, 그래프를 이용하여 네트워크 요소들의 상호작용을 표현하는 기법이다. 본 연구에서는 새로운 이상 탐지 기법의 패러다임과 TDG를 활용한 이상 탐지 기법을 제시한다. 기존의 이상 탐지 패러다임은 "비정상 패킷이나 플로우(Abnormal Packets or Flows)를 탐지하여 제거하자"는 것이지만, 본 연구에서는 "이상 트래픽의 근원이 되는 이상 호스트(Anomalous Hosts)를 탐지하여 이상 현상에 대응할 것"을 제안한다. 이를 위해서 TDG 클러스터링 기법(TDG Clustering Technique)을 고안하였다. 제안한 기법에 대한 실험에서 짧은 시간 안에 웜 바이러스(Worm Virus)에 감염된 호스트들을 찾아낼 수 있었고, 그 호스트들이 발생하는 이상 트래픽을 제거하여 정상적인 트래픽을 얻을 수 있었다. TDG 클러스터링 기법은 연산 속도가 빠르므로 실시간 이상 탐지에 적용될 수 있을 것으로 기대된다.