Ⅰ. 서론
지난 1.25 인터넷 대란에서 보여주듯이 웜에 의한 공격이 성공하였을 경우, 대규모의 트래픽이 단시간 동안 발생하기 때문에 공격 대상 네트워크는 순식간에 비정상적인 상태에 도달하게 된다(1). 이러한 웜은 1988년 Morris 웜이 처음 등장한 이후, 지금까지 Code Red, Nimda, 그리고 SQL Slammer 등과 같은 수많은 웜이 지속적으로 등장하고 있으며, 사회경제적으로 많은 피해를 주고 있다"-5).
본 논문에서는 웜에 의해서 단시간 동안 발생한 대량의 비정상 트래픽을 차단하기 위하여, 패턴 기반 비정상행위탐지 방식의 이원적 (True/False) 대응기법 (이하 이원적 대응 기법)과 해당 트래픽의 네트워크 대역폭을 조절하는 방식의 단계적 대응 기법을 이론적으로 비교하고자 한다. 비교 기준은 네트워크를 통과하는 정상 트래픽 비율과 오탐지 트래픽 비율로 하며, 본 논문에서 오탐지 트래픽 비율은 False-Positive Rate (FPR)만으로 제한한다. 따라서 본 논문에서는 비정상 트래픽 탐지를 위해 사용되는 비정상 트래픽 탐지 루틴의 알고리즘과 이의 효율성에 대해서는 언급하지 않는다.
본 논문에서 이원적 대응 기법과 단계적 대응 기법 간 이론적 비교를 실시한 이유는 다음과 같다.
. 웜에 효과적인 대응 기법은 어떠한 방식으로 동작해야 하는가? : 최초 웜 발생 후 짧은 시간 동안에 많은 호스트들을 감염시키는 웜에 대응하기 위해서는 정상 행위에 해당하는 패턴을 기반으로 한 비정상행위탐지 방식의 이원적 대응 기법이 일반적으로 사용된다. 이 경우 공격 여부를 판단하기 위해서 사용하는 정상 행위에 대한 패턴은 통계적 방식, 인공지능 방식 등과 같이 다양한 방식을 기반으로 만들어질 수 있으며, 네트워크로 유입되는 비정상 트래픽이 패턴과 일치하는지의 여부에 따라서 비정상 여부를 판단한다. 그러나 이러한 방식은 정상 행위 여부를 탐지하는 비정상 트래픽 탐지 루틴의 잘못된 판단으로 인하여 상당한 양의 정상 트래픽이 오 탐지되어 차단될 가능성이 존재한다.
■ 단계적 대응 기법은 이원적 대응 기법보다 효과적인가? : 정상 행위 여부를 탐지하는 비정상 트래픽 탐지 루틴의 잘못된 판단으로 인하여 차단된 정상 트래픽을 복원시킬 수 있는 단순한 방법으로 비정상 트래픽으로 정확히 판단될 경우에만 해당 트래픽을 차단하도록 하는 기법을 생각할 수 있다. 비정상 트래픽 여부를 확인하기 위하여 특정 네트워크로 유입되는 트래픽에 대해 비정상 트래픽 탐지 루틴을 다수 통과시키도록 함으로써 가장 높은 확률로 비정상 트래픽임을 판단하기 전까지는 모든 트래픽을 '단지 의심되는 비정상 트래픽'으로 판단하는 것이다. 이렇게 함으로써 정상 트래픽이 오탐지되어 비정상트래픽으로 차단되는 비율을 낮출 수 있다. 본 논문에서는 이러한 방식으로 동작하는 대응 기법을 단계적 대응 기법이라고 정의하고, 이원적대응 기법과 이론적으로 비교하고자 한다.
본 논문의 구성은 다음과 같다. 2장에서는 관련 연구를 설명하고, 3장에서는 네트워크 대역폭을 조절하는 방식의 단계적 대응 기법에 대하여 설명한 후, 이에 기반한 단계적 대응 시스템 설계 내용을 보인다. 4장에서는 본 논문에서 보여주고자 하는 이원적대응 기법과 단계적 대응 기법 간 이론적 비교 내용을 보이고, 마지막 5장에서는 결론을 제시한다.
Ⅱ. 관련 연구
본 장에서는 일반적으로 이원적 대응 기법이 가지는 정상 트래픽의 오탐지 비율을 낮추기 위해 사용되는 대표적인 단계적 대응 기법 두 가지에 대해 간략히 설명하도록 한다. 하나는 인터넷 상에 존재하는 라우터를 이용한 기법이고, 나머지 하나는 서비스 품질보장 기술을 이용한 기법이다 S4).
전자의 경우 Rocky K. C. Chang가 제시한 기법⑹으로 분산서비스거부 공격에 대응하기 위하여 비정상 트래픽을 전송하는 근원지와 공격대상 호스트 사이에 존재하는 각각의 라우터들에서 비정상 트래픽을 차단하는 방식이다. 이는 대량의 비정상 트래픽을 보내는 근원은 깔때기의 맨 상단에 위치하고, 최종공격대상 호스트는 깔때기의 맨 하단에 도착하기 때문에 분산된 지역에서 전송된 비정상 트래픽은 최종공격대상 호스트에 도착할 때에는 동시에 많은 양의 비정상 트래분산 서비스 거부기에 분산서비스거부 공격이 가능하다고 이야기한다. 이를 방지하기 위해서는 비정상 트래픽을 전송하는 근원지에 위치한 라우터에서부터 최종 공격대상 호스트 전에 위치한 라우터까지 단계적으로 비정상 트래픽에 해당하는 트래픽을 차단함으로써 점진적으로 증대되는 분산 서비스 거부 공격을 차단할 수 있다고 이야기하고 있다.
후자의 경우 Frank Kargl", 이 제시한 기법으로 분산 서비스 거부 공격으로부터 웹서버를 보호하기 위하여 공격 가능성이 있는 트래픽이 통과하는 네트워크 대역폭을 점차적으로 낮춤으로써 최종적으로 방화벽에서 해당 트래픽을 차단하는 방식으로 동작한다. 이에 사용된 서비스 품질보장 기술은 리눅스에서 지원하는 다양한 서비스 품질보장 기술⑻ 중에서 Class Based Queuing (CBQ) 를 사용흐! 였다. 이러한 기법으로 실험 환경을 구성하고 실험결과를 보임으로써 분산서비스거부 공격 중에도 효과적으로 정상 서비스를 제공할 수 있다고 설명한다.
위에서 설명한 두 가지 기법들은 모두 저자의 생각과 실험 결과만을 제시하고 있을 뿐, 왜 좋은지에 대한 설명과 구체적으로 어떠한 조건에서 가장 좋은 효과적인지에 대한 근거는 제시하지 못하였다. 이에 본 논문에서는 단계적 대응 기법을 이론적으로 정의하여 이원적 대응 기법과 비교하고, 가장 효과적인 조건을 제시함으로써 웜과 같은 대량의 비정상 트래픽을 발생시키는 공격에서 단계적 대응 기법이 효과적임을 보이도록 한다.
Ⅲ. 단계적 대응 기법 및 시스템
본 장에서는 본 논문에서 사용되는 단계적 대응기법, 비정상 트래픽, 그리고 네트워크 트래픽이라는 세 가지 개념에 대해서 상세히 설명하고, 웜에 의해발생된 비정상 트래픽을 효과적으로 대응할 수 있는 네트워크 대역폭 조절 방식의 단계적 대응 시스템 설계 내용을 보인다.
1. 단계적 대응 기법
단계적 대응 기법이란 특정 네트워크로 유입되는 트래픽에 대해 비정상 트래픽 여부를 확인하기 위하여 비정상 트래픽 탐지 루틴을 다수 통과하도록 함으로써, 해당 트래픽이 비정상 트래픽일 가능성이 가장 높았을 경우에 비정상 트래픽으로 판단하는 기법으로 정의한다. H5.的 즉, 비정상 트래픽일 가능성이 가장 높은 트래픽을 비정상 트래픽으로 판단하여 차단하기 전까지는 모든 트래픽을 '단지 의심되는 비정상 트래픽'으로써 해당 네트워크를 통과하도록 하는 기법이다. 이러한 기법이 동작하기 위해서는 세 가지 전제조건이 필요하다. (1) 비정상 트래픽 탐지 루틴은 매우 짧은 시간동안에 해당 트래픽의 비정상 여부를 판단할 수 있어야 한다. 이는 비정상 트래픽 탐지 루틴을 다수 통과시키는 동안 웜에 의한 피해가 발생하지 않아야 하기 때문이다. (2) 최종적으로 차단되어야 하는 비정상 트래픽으로 판단되기 전까지 해당 트래픽은 정상 트래픽처럼 해당 네트워크를 이용하도록 한다. 이는, 최종적으로 비정상 트래픽으로 판단되기 전까지 해당 트래픽은 정상 트래픽으로 복원될 가능성이 존재하기 때문이다. (3) 비정상 트래픽 탐지 루틴을 통과하는 회수를 최소화한다. 이는 시스템에 과도한 부하를 주지 않도록 하기 위해서일 뿐만 아니라, 웜에 의한 피해가 발생하지 않도록 하기 위함이다.
위에서 언급한 세 가지 전제조건을 기반으로 비정상 트래픽에 대해 단계적 대응을 실시하는 방식은 다음과 같다. 먼저 시스템이 운영되는 동안 정상 트래픽과 비정상 트래픽이 각각 통과할 수 있는 네트워크대역폭을 고정 할당한 다음, 정상 트래픽이 비정상트래픽 탐지 루틴에 의해서 비정상 트래픽으로 의심되었을 경우에는 해당 트래픽의 대역폭을- 조절하여 비정상 트래픽이 통과하도록 지정된 네트워크 대역폭을 이용하도록 하며, 이미 비정상 트래픽으로 의심되어 대역폭이 조절된 트래픽이 다시 비정상 트래픽 탐지 루틴에 의해서 비정상으로 판단되었을 경우에는 해당 트래픽을 차단한다. 만일 이미 네트워크 대역폭이 조절되었던 트래픽이 비정상 탐지 루틴에 의해서 잘못된 판단으로 결정되었을 경우에는 정상 트래픽용 네트워크 고정 대역폭을 이용할 수 있도록 해당 트래픽의 대역폭을 조절한다. 이러한 단계적 대응 기법의 동작 방식에 대한 네트워크 트래픽 상태 전이도는 그림 1과 같다.
특정 네트워크를 통과하는 트래픽이 가질 수 있는 상태로는 정상 트래픽이 통과할 수 있는 정상우선순위큐 (Normal-priority Queue) 상태, 비정상으로 의심되는 트래픽이 통과할 수 있는 비정상우선순위 큐 (Abnormal-priority Queue) 상태, 그리고 비정상트래픽으로 판단되었을 경우에 적용되는 차단 (Drop) 상태가 있다. 정상 우선순위 큐를 통과하는 트래픽 중에서 비정상 트래픽 시그너처와 일치하는 트래픽이 존재할 경우에는 바로 차단 상태로 전이된다.
그림 1. 네트워크 트래픽 상태 전이도
2. 비정상 트래픽 및 네트워크 트래픽
본 논문에서는 비정상 트래픽이란 네트워크에 존재하는 트래픽 중에서 웜에 의해단시간 동안안 발생하는 대량의 트래픽으로 정의하며, 일반적으로 정상적인 사용자의 네트워크 트래픽 이외의 모든 네트워크 트래픽을 의미한다. 이러한 비정상 트래픽이 가지는 특징으로서는 크게 아래와 같이 세 가지가 있다.
. 주소 위장 기법을 사용하여 공격자의 IP 주소를 위장한다.
. 취약 호스트들에 대한 공격을 먼저 실시하여 주공격에 필요한 조건을 형성한다.
. 단시간 동안 대량의 비정상 트래픽이 발생하도록 한다.
위에서 언급한 비정상 트래픽이 가지는 세 가지 특징 중에서 본 논문에서는 세 번째 특징만을 가지는 트래픽만을 고려하고자 한다. 그 이유로는 트래픽의 주소 위장 여부를 확인할 수 있는 다양한 연구가 수행되고 있으나, 다양한 웜 종류별로 주소가 위장된 비정상 트래픽 비율을 정확히 예측하기 어렵고, 주공격이 발생하기 전에 이뤄지는 취약 호스트들에 대한 공격은 비교적 긴 시간이 소요되며, 이에 대한 성공률을 확인할 수 없기 때문이다. 따라서 본 논문에서 비정상 트래픽이 가지는 특징 중에서 세 번째 특징인 단시간 동안 대량의 비정상트래픽이 발생하는 경우에 한해서만 단계적 대응 기법을 적용할 수 있다.
또한 일반적으로 네트워크 트래픽이라 함은 연속시간 관점에서 패킷의 흐름을 의미하지만. 트래픽을 분석하기 위해서는 일정 시간 동안의 트래픽을 대상으로 분석하는 것이 편리하기 때문에, 본 논문에서는 네트워크 트래픽이란 이산시간 관점에서 패킷의 흐름으로 정의한다. 또한 임의의 시각 2에 비정상 트래픽탐지 루틴이 r 동안 동작하고, S + 1에 비정상 트래픽 탐지 루틴이 다시 T 동안 동작한다는 전제하에서 비교 분석을 실시한다.
3. 단계적 대응 시스템
단계적 대응 기법이 적용된 단계적 대응 시스템구조도 는 그. 림 2와 같다. 단계적 대응 시스템은 보호하고자 하는 네트워크 또는 시스템 앞단에 설치되거나 네트워크 진입지점에 설치될 수 있기 때문에 네트워크 대역폭의 성능을 저하시키지 않도록 동작하여야 한다.
단계적 대응 시스.템은 크게 세 가지 모듈로 구성되어 있다. 각 모듈은 규칙 테이블 및 분류기(rule table & classifier), 분석 맟 대응기(analyzer & preventer), 그리고 여] 약/정상/비정상 우선순위 큐 (reserve d/normal/abnormal-priority queue)이다. 트래픽이 도착하면 먼저 분류기에서 규칙 테이블에 정의된 규칙들을 기반으로 해당 트래픽을 필터링하거나 우선순위 큐로 통과하도록 하며, 정의된 규칙이 없거나 정상 우선순위 큐를 통과하는 트래픽의 경우에는 해당 트래픽의 비정상 유무를 분석하기 위하여 트래픽 정보를 분석 및 대응기로 전달한다. 트래픽 정보를 전달받은 분석 및 대응기는 비정상 우선순위 큐를 통과하는 트래픽이 다시 비정상으로 판단되었을 경우에는 필터링 규칙을, 정상 우선순위 큐를 통과하는 트래픽이 비정상으로 의심되었을 경우에는 서비스품질보장 규칙을 생성하여 규칙 테이블에 저장하는 방식으로 동작한다. 이 경우 분석 및 대응기가 트래픽의 비정상 유무를 판단하는 기준은 보안 관리자가 설정한 보안 정책에 따르며, 우선순위 큐들도 보안 관리자가 사전에 설정한 정보를 참조하여 동작한다. 단계적 대응 시스템의 각 모듈이 수행하는 기능은 표 1과 같다.
표 1. 단계적 대응 시스템 구성 모듈 구분
그림 2에서 보인 단계적 대응 시스템을 구성하는 세 가지 모듈인 규칙 테이블 및 분류기. 분석 및 대응기, 그리고 예약/정상/비정상 우선순위 큐을 구현할 경우 다음과 같은 특성을 고려할 수 있다.
그림 2. 단계적 대응 시스템 구조도
. 규칙 테이블 및 분류기
규칙 테이블은 '분석 및 대응기'에서 생성한 필터링 규칙 및 큐잉 규칙을 보관하고 있으며, 시스템이 운영됨에 따라 증가하는 규칙들을 기반으로 T 마다 네트워크로 유입되는 트래픽을 효과적으로 처리하기 위해서 분류는 효과적인 규칙 매칭 알고리즘을 가져야 한다. 또한 단계적 대응 기법이 OSI 7계층의 네트워크 계층 정보를 기반으로 동작할 경우에는 출발지와 도착지 IP 주소를 기반으로 분류기가 동작하여야 하며, 상위계층의 정보를 기반으로 트래픽의 비정상 유무를 탐지할 경우에도 네트워크 계층에서 상위 계층의 정보를 한꺼번에 확인할 수 있는 구조를 가져야 한다.
. 분석 및 대응기
단계적 대응 기법은 임의의 시각 Z에 통과하는 트래픽 정보를 기반으로 好1와 好2를 통과하는 트래픽에 대응하는 방식으로 동작하기 때문에 '분석 및 대응기'는 丁 동안 비정상 유무를 판단할 수 있어야 하며, I, i + 1, 그리고 i + 2 시각에 특정 트래픽들에 대한 분석과 판단 및 대응을 동시에 처리하기 위해서는 트래픽의 상태정보를 보관하고 있어야 한다. 또한, t 동안 통과하는 트래픽을 특정 저장 공간에 보관 시켜 트래픽의 흐름을 정지시키는 것보다는 통과시키면서 분석 및 대응하는 것이 해당 네트워크를 보다 효율적으로 운영하는 방법일 것이다.
. 예약/정상/비정상 우선순위 큐
예약/정상/비정상 우선순위 큐는 그림 1과 2의 내용을 기반으로 다음과 같이 구성할 수 있다. 먼저 예약 우선순위 큐는 '분석 및 대응기'가 비정상적으로 동작하여 정상 우선순위 큐가 정상적인 서비스를 제공하지 못할 경우에도 최소한의 서비스를 제공하기 위한 용도로 사용된다. 이를 위하여 최소한의 단계적 대응 시스템에 의해 보호되고 있는 네트워크 또는 시스템을 제어할 수 있는 최소한의 네트워크 트래픽만 보장하면 된다. 또한, 정상 우선순위 큐는 전체 네트워크 대역폭의 절반 이상을 차지하도록 구성할 수 있지만, 이는 단계적 대응 시스템을 구현하는 방식에 따라서 정상 우선순위 큐가 차지하는 네트워크 대역폭의 비율이 달라질 수 있으며, 적용하고자 하는 네트워크의 특성에 의해서도 달라질 수 있다. 이에 대한 구체적인 내용에 대해서는 본 논문에서 설명하지 않기로 한다.
Ⅳ. 이원적 대응 기법과 단계적 대응 기법 간 비교
본 장에서는 정상 트래픽 비율과 오탐지 트래픽 비율을 기준으로 이원적 대응 기법과 단계적 대응 기법과의 비교 내용을 보이고자 한다. 분석을 위해 사용된 트래픽에 대한 정의는 표 2와 같다.
표 2. 정상 트래픽, 비 정상 트래픽, 그리고 오탐지 트래픽에 대한 정의
표 2에서 보이는 바와 같이 고정된 네트워크 대역폭 TVBW에서 t 동안 특정 네트워크를 통과하는 전체트래픽은 彳(수식 전개의 편의를 위하여 NBW=Tt 로 정의함), 정상 사용자들의 트래픽 합을 此, 彳에서 州를 제외한 부분을 & 라고 정의한다. 이 경우 N、 와 4가 가질 수 있는 값의 범위는 각각 ", 4〕이다. 오탐지된 트래픽 当는 E = 1)를 만족한다. 따라서 임의의 시각 罗에 네트워크를 최대로 통과할 수 있는 트래픽은 4=乩 + (1—(OMpM 1)을 만족한다. 본 논문에서는 특정 네트워크에서의 정상 트래픽 비율과 오탐지 트래픽 비율 N, Fi을 각각 ;9, = 琴 와 Q = 〒로 표현한다.
1. 정상 트래픽 비율
비정상 트래픽 탐지 루틴이 T 동안 해당 네트워크로 유입되는 트래픽에 대하여 비정상 트래픽 여부에 대한 판단을 실시한 경우, 각각 电( 彳에서 & 이 차지하는 트래픽 비율)와 &(彳에서 4에 해당하는 트래픽 비율)의 비율로 존재한다. 따라서 丁 동안 彳에서 Nit 그리고 名가 존재하는 비율은 각각 N[=<" Ai = (l-p)Z?;, 그리고 #=鸿와 같다. 임의의 시각 寸에 통과하는 트래픽에 대해서 이원적대응 기법을 적용할 경우, 각각의 트래픽이 차지하는 비율은 표 3과 같다.
표 3. 이원적 대응 기법을 적용하였을 경우, 임의의 시각
표 3에서 寸+ 1에 4+1과 &+1이 0이 되는 이유는 비정상 트래픽 탐지 루틴이 동작하여 해당 트래픽을 모두 차단하였기 때문이다. 이에 반하여 단계적 대응 기법을 적용할 경우, r 동안 해당 네트워크로 유입되는 트래픽의 네트워크 대역폭을 각각 a (彳에서 川에 할당된 네트워크 대역폭 비율)와 仞4에서 4 에 할당된 네트워크 대역폭 비율)의 비율로 각각 할당하면, t 동안 此와 & 가 존재하는 비율은 각각 해당 트래픽에게 할당된 네트워크 대역폭 비율인 a와 0이다. (단, a와 月는 대응이 시작되기 전에 정적으로 설정되는 값이기 때문에 a”3 = o歸 ;险(0<S)을유지한다.) 임의의 시각 腥1] 통과하는 트래픽들에 대해서 비정상 트래픽 탐지 루틴이 동작하여 단계적 대응을 실시할 경우. 각각의 트래픽이 차지하는 비율은 그림 3 및 표 4와 같다.
표 4. 단계적 대응 기법을 적용하였을 경우, 임의의 시각 i, i+1, 그리고 W+2에 존재하는 트래픽별 비율 (a)
그림 3과 표 4에서 4에 단계적 대응을 실시한 후 C + 1에 다시 단계적 대응을 실시하는 2단계 단계적 대응 기법을 적용할 경우를 보이며, 寸 + 2에 4+2와 §+2가 0이 되는 이유는 표 3과 같다. 표 3과 4를 기준으로 이원적 대응 기법과 단계적 대응 기법을 적용할 경우에 대해 정상 트래픽 비율을 비교하면 다음과 같다. 전자의 경우, 임의의 시각 *에서 모두 Ⅲ의 비율은 %이므로 정상 트래픽 비율(4)은 수식 1과 같다.
그림 3. 단계적 대응 기법을 적용하였을 경우, 임의의 시각 I, i+1. 그리고 汁2에 존재하는 트래픽별 비율(b)
#(1)
그러나 단계적 대응의 경우 평균 정상 트래픽 비율 3)은 수식 2와 같다.
#(2)
수식 2에서 a를 기준으로 정리하면 정상 트래픽 1 Q Q 2 2 o 비율은 P=-;(a —?)2+ 븡 (OMaMl)을 만족한다. 수식 1과 2를 그래프로 표현하면 그림 4와 같다. 그림 4에서 보이는 바와 같이 임의의 시각 z.에 비정상 트래픽 탐지 루틴이 동작하여 탐지 순간의 트래픽별 대역폭을 차지하는 비율을 기반으로 비교하였을 때, 전체적으로 단계적 대응 기법을 적용한 경우 a 에 상관없이 0가 높음을 알 수 있다. 또한 (1)과(2) 간에 가장 큰 차이를 보이는 a를 확인하면 a = 0.5 (半 =-a+§)가 됨을 확인할 수 있다. 이는 aa 2 단계적 대응 기법을 사용할 경우, 임의의 抑서는 이원적 대응 기법과 동일한 정상 트래픽 비율을 가진다. 그러나 4+1에서 비정상 트래픽 P 중 비정상 트래픽 탐지 루틴에 의해서 정상 트래픽으로 판단된 만큼 정상 트래픽 비율은 증가하기 때문에 평균 정상 트래픽 비율은 号纟 만큼 증가한다.
그림 4. 이원적 대응 기법을 적용한 경우(1)와 단계적 대응기법을 적용한 경우 (2)에서 a에 대한 정상트래픽 비율(P)
2. 오탐지 트래픽 비율
표 3과 4를 기준으로 오탐지 트래픽 비율을 비교하면 다음과 같다. 이원적 대응 기법을 적용할 경우. 임의의 시각 /에서 名의 비율은 p/3.이므로 오 탐지 비율 (脂은 수식 3과 같다.
#(3)
그러나 단계적 대응 기법을 적용한 경우 평균 오탐지 트래픽 비율 (0) 은 수식 4와 같다.
#(4)
수식 4에서 Q를 기준으로 정리하면 오탐지 트래픽 비율은厌+仞(OM0M1)을 만족한다. 수식 3과 4를 그래프로 표현하면 그림 5와 같다.
그림 5. 이원적 대응 기법을 적용한 경우 (3)와 단계적 대응 기법을 적용한 경우 (4)에서 에 대한 오 탐지트래픽 비율 (。)
그림 5에서 보이는 바와 같이 임의의 시각 洲 비정상 트래픽 탐지 루틴이 동작하여 탐지 순간의 트래픽별 대역폭을 차지하는 비율을 기반으로 비교하였을 때, 단계적 대응 기법을 적용할 경우 전체적으로 0에 상관없이。가 낮음을 알 수 있다. 또한 (3)과 (4) 간에 가장 큰 차이를 보이는 0를 확인하면 P에 상관없이 (3 = 0.5 (卷=小+东)가 됨을 확인할 수 있다. 이는 단계적 대응 기법을 사용할 경우, 임의의 *에서는 이원적 대응 기법과 동일한 오탐지 트래픽 비율을 가지지만, 2 + 1에서 비정상 트래픽 0 중에서 비정상트래픽 탐지 루틴에 의해 탐지되는 오탐지 트래픽 비율은 0俨이 되기 때문에 평균 오탐지 트래픽 비율은 亨만큼 감소한다.
Ⅴ. 결론
본 논문에서는 웜과 같은 악의적인 프로그램에 의해서 단시간동안 발생한 대량의 비정상 트래픽에 대응하기 위한 기법 중에서 트래픽 필터링 기반의 비정상행위 탐지 방식으로 동작하는 대응 기법과 네트워크 대역폭을 조절하는 방식의 단계적 대응 기법을 이론적으로 비교하였다. 비교 기준은 네트워크를 통과하는 정상 트래픽 비율과 오탐지 트래픽 비율로 하였으며, 임의의 시간 동안 전체 네트워크 트래픽에서 비정상 트래픽이 차지하는 비율을 라고 할 경우, 단계적 대응 기법의 평균 정상 트래픽 비율은 (1+月)/2 만큼 증가하고, 평균 오탐지 트래픽 비율은 (1+仞/2 만큼 감소한다.
이러한 단계적 대응기법을 이용하여 단계적 대응 시스템을 구성할 경우, 크게 규칙 테이블 및 분류기, 분석 및 대응기, 그리고 예약/정상/비정상 우선순위 큐로 구분하여 설계할 수 있다. 규칙 테이블 및 분류기는 실시간으로 네트워크로 유입되는 트래픽을 규칙 테이블과 비교하기 위한 효율적인 규칙 매핑 알고리즘을 사용해야 하고, 단시간 동안 대량의 트래픽을 발생시키는 웜의 특성을 감안하여 분석기 및 대응기를설계하여야 한다. 또한, 최악의 경우 최소한의 서비스를 제공하기 위한 예약 우선순위 큐와 전체 네트워크 대역폭의 절반 이상을 차지홍}는 정상 우선순위 큐를 고려하여 단계적 대응시스템을 설계할 수 있다.
References
- S. Stamford, V. Paxson, and N. Weaver, 'How to Own the Internet in Your Spare Time.' Proc. of the 11th USENIX Security Symposium (Security '02). pp 149-167, Aug. 2002
- R. Russell and A. Machie, 'Code Red II Worm,' Technical Report, Incident Analysis, SecurityFocus, Aug. 2001
- A Machie. J. Roculan, R. Russell, and M. V. Velzen. 'Nimda Worm Analysis.' Technical Report, Incident Analysis, SecurityFocus, Sep. 2001
- CERT/CC, 'CERT Advisory CA-2001-26 Nimda Worm,' http://www.cert.org/ad visories/ CA-2001-26.html, Sept. 2001
- D. Song, R. Malan, and R. Stone. 'A Snapshot of Global Internet Worm Activity,' Technical Report, Arbor Networks, Nov. 2001
- R. K. C. Chang, 'Defending against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial.' IEEE Communications Magazine, Vol. 40, No. 10. pp, 42-51, oct. 2002
- F. Kargl. J. Maier, and M. Weber, 'Protecting Web Servers from Distributed Denial of Service Attacks,' Proc. of the 10th international conference on World Wide Web, pp. 514-524, May 2001
- Linux Advanced Routing HOWTO, http://www.linuxdoc.org/
- 전용희, '침입방지시스템(IPS)의 기술 분석 및 성능평가 방안,' 정보보호학회지 Vol. 15, No. 2, pp. 63-73. 2005
- 조태남, 이상호, '(2,4)-트리를 이용한 그룹키 관리,' 정보보호학회논문지 Vol. 11, No. 4, pp. 64-77, 2001
- 박영호, 이경현, '이동네크워크 환경에서 그룹키 관리구조,' 정보보호학회논문지 Vol. 12, No. 2, pp. 77-89, 2002
- 권정옥, 황정연, 김현정, 이동훈, 임종인, '일방향 함수와 XOR을 이용한 효율적인 그룹키 관리 프로토콜: ELKH,' 정보보호학회논문지 Vol. 12, No. 6, pp 93-112, 2002
- 이상원, 천정희, 김용대, 'Pairing을 이용한 트리 기반 그룹키 합의 프로토콜,' 정보보호학회논문지 Vol. 13, No. 3, pp. 101-110, 2003
- 박영희, 정병천, 이윤호, 김희열, 이재원, 윤현수, 'Diffie-Hellman 키 교환을 이용한 확장성을 가진 계층적 그룹키 설정 프롵콜,' 정보봏학회논문지 Vol. 13, No. 5, pp. 3-15. 2003
- K. Ko, E. Cho, T. Lee, Y. Kang, and Y. I. Eom, 'The Abnormal Traffic Control Framework based on QoS Mechanisms,' Lecture Notes in Computer Science 3280, pp. 167-175, Oct. 2004 https://doi.org/10.1007/978-3-540-30182-0_18
- J. Kim, K. Ko, Y. Kang and Y. I. Eom, 'Stepwise Intrusion Prevention based on Abnormal Traffic Control Framework.' Proc. of the 4th International Conference on Asian Language Processing and Information Technology (ALPIT 2005), pp. 77-82, Jun. 2005