한국정보과학회논문지:컴퓨팅의 실제 및 레터 (Journal of KIISE:Computing Practices and Letters)

한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지

알려지지 않은 악성 이동 코드에 대한 거시적 대응

Macroscopic Treatment to Unknown Malicious Mobile Codes

  • 이강산 ((주)콘델라 R&D 연구소) ;
  • 김철민 ((주)시스온칩 부설연구소) ;
  • 이성욱 (신구대학 인터넷정보과) ;
  • 홍만표 (아주대학교 정보및컴퓨터공학부)
  • 발행 : 2006.12.15
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 자동화된 공격기법에 의한 인프라 피해 사례가 급증하면서 효율적 대응 기법에 대한 연구가 활발히 진행되고 있다. 특히, 패킷을 통한 네트워크 서비스의 취약성을 공격하는 웜의 전파 메커니즘은 빠른 전파 속도로 인해 네트워크 대역폭 및 노드 가용성에 심각한 피해를 일으키고 있다. 이전 웜 탐지 기법들은 주로 시그너처 기반의 미시적 접근방식이 주를 이루었으나 높은 오탐지율과 조기탐지의 한계로 인해 최근에는 웜 전파의 특징에 기인한 거시적 접근 방식이 각광을 받고 있다. 본 논문에서는 패킷 마킹을 통해 웜 행동 사이클과 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 모델을 제안한다. 제안하는 웜 탐지 모델은 기존 모델들이 지닌 확장성의 한계를 분산된 호스트들의 협업적 대응으로 해결할 수 있을 뿐만 아니라, 웜 탐지에 필수적인 감염 정보만을 처리함으로써 개별 호스트의 프로세싱 오버헤드를 감소시킬 수 있다. 그리고 본 논문에서 제안하는 탐지 모델 적용 시 조기 탐지 결과로 인해 웜의 감염 속도가 시간의 경과에 따라 감소되는 현상과 호스트 간의 협업적 대응에 의해 전체 호스트의 면역성이 증가되는 현상을 시뮬레이션을 통해 증명하였다.

Recently, many researches on detecting and responding worms due to the fatal infrastructural damages explosively damaged by automated attack tools, particularly worms. Network service vulnerability exploiting worms have high propagation velocity, exhaust network bandwidth and even disrupt the Internet. Previous worm researches focused on signature-based approaches however these days, approaches based on behavioral features of worms are more highlighted because of their low false positive rate and the attainability of early detection. In this paper, we propose a Distributed Worm Detection Model based on packet marking. The proposed model detects Worm Cycle and Infection Chain among which the behavior features of worms. Moreover, it supports high scalability and feasibility because of its distributed reacting mechanism and low processing overhead. We virtually implement worm propagation environment and evaluate the effectiveness of detecting and responding worm propagation.

키워드

참고문헌

  1. Nicholas Weaver, Vern Paxson, Stuart Staniford and Robert Cunningham, A taxonomy of computer worms, In WORM'03 October 27, 2003, ACM,Whshington, DC, USA https://doi.org/10.1145/948187.948190
  2. Stuart E. Schechter, jaeyeon jung and Arthur W. Berger, Fast Detection of Scanning Worm Infections, Recent Advances in Intrusion Detection, $7^{th}$ International Symposium, RAID 2004, Sophia Antipolis, France, September 15-17, 2004
  3. Shigang Chen and Yong Tang, Slowing down Internet worms, In Proceedings of The $24^{th}$ International Conference on Distributed Computing System (ICDCS'04), March 2004, IEEE, Tokyo, Japan https://doi.org/10.1109/ICDCS.2004.1281596
  4. Kim, H.A and Karp, B., Autograph: Toward Automated, Distributed Worm Signature Detection, in the Proceedings of the 13th Usenix Security Symposium (Security 2004), San Diego, CA, August, 2004
  5. Sumeet Singh, Cristian Estan, George Varghese and Stefan Savage, Automated Worm Fingerprinting, Proceedings of the ACM/USENIX Symposium on Operating System Design and Implementation, San Francisco, CA, December 2004
  6. Nicholas Weaver, Stuart Staniford and Vern Paxson, Very Fast Containment of Scanning Worms, Proceedings of the 13th Usenix Security Conference, 2004
  7. Yinglian Xie, Sekar, V., Maltz, D. A, Reiter, M. K. and Hui Zhang, Worm Origin Identification Using Random Moonwalks, Security and Privacy, 2005, IEEE Symposium https://doi.org/10.1109/SP.2005.23
  8. Al-Hammadi, Y. and Leckie, C., Anomaly Detection for Internet Worms, Integrated Network Management, 2005, IM 2005, 2005 $9^{th}$ IFIP/IEEE Intermational Symposium https://doi.org/10.1109/INM.2005.1440779
  9. Cholmin Kim, Seong-uck Lee andManpyo Hong, Macroscopic Treatment to Polymorphic E-mail Based Viruses, LNCS 3045(Springer-Verlag), Computational Science and Its Applications - ICCSA 2004, pp.867-876, 2004, 5
  10. Zesheng Chen, Lixin Gao and Kevin Kwiat, Modeling the spread of active worms, In IEEE INFOCOM 2003, IEEE, April 2003
  11. Heeran Lim and Manpyo Hong, Effective Packet Marking Approach to Defend against DDoS Attack, Computational Science and Its Applications, ICCSA 2004, International Conference, Assisi, Italy, May 14-17, 2004
  12. A. Perrig, D. song and A Yaar, Pi: A Path Identification Mechanism to Defend against DDoS Attacks, In Proceedings of the 2003 Security and Privacy Symposium, May 2003