전자공학회논문지CI (Journal of the Institute of Electronics Engineers of Korea CI)

대한전자공학회 (The Institute of Electronics and Information Engineers)
권호 표지

스캐닝 트래픽의 프로파일링을 통한 인터넷 웜 확산 모델링 기법

An Approach for Worm Propagation Modeling using Scanning Traffic Profiling

  • 투고 : 2010.03.07
  • 발행 : 2010.09.25
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근에는 일반적인 웜의 확산 특성을 분석하여 이를 이용해 웜으로 의심되는 트래픽을 사전에 차단하는 방법이 활발히 연구되고 있다. 그러나 아직 구체적인 모델링 방법에 대한 명확한 기준이 없으며, 급변하는 웜의 특성을 반영한 사전 탐지가 쉽지 않은 실정이다. 이에 본 논문에서는 현재 제시되어 있는 웜의 탐지 모델들을 분석하였고, 웜의 확산 과정에 있어서 새로운 감염대상을 찾기 위한 스캐닝 방법이 가장 주요한 요소임을 확인하였다. 이를 바탕으로, Lovgate, Blaster, Sasser 3가지 웜의 확산 과정시 스캐닝 방법을 분석하였고, 분석한 내용을 바탕으로 각각의 프로파일을 구축하였다. 구축된 스캐닝 프로파일 기법을 적용한 웜의 탐지 모델을 시뮬레이션 함으로써 실제 웜의 확산 과정을 예측해 본다. 또한 제안 기법의 검증을 위해 실제 테스트 베드를 구축하고 제안 모델을 적용하여 탐지 가능성을 확인하였다.

Recently, the early detection and prevention of worm research is mainly studying based on the analysis of generalized worm propagation property. However, it is not easy to do Worm early detection with its attributes because the modeling method for Worm propagation is vague and not specified yet. Worm scanning method is exceedingly effect to Worm propagation process. This paper describes a modeling method and its simulations to estimate various worm growth patterns and their corresponding propagation algorithms. It also tests and varies the impact of various improvements, starting from a trivial simulation of worm propagation and the underlying network infrastructure. It attempts to determine the theoretical maximum propagation speed of worms and how it can be achieved. Moreover, we present the feasibility of the proposed model based on real testbed for verification.

키워드

참고문헌

  1. Gorman, Siobhan and Ramstad, Evan. "Cyber Blitz Hits U.S., Korea." The Wall Street Journal 9 Jul 2009: A1.
  2. 김익균외 4명, 버퍼 오버플로우 웜 고속 필터링을 위한 네트워크 프로세서의 Bloom Filter 활용, 전자공학회논문지-TC 전자공학회논문지 제43권 TC편 제7호, 2006. 7, pp. 93-103
  3. 김성기외 3명, DDoS 공격에 대응하는 분산 네트워크 보안관리 기법, 전자공학회논문지-TC 전자공학회논문지 제43권 TC편 제7호, 2006. 7, pp. 72-83
  4. D. M. Kienzle, M. C. Elder, "Recent Worms: A Survey and Trends", WORM'03 of the ACM, October 2003.
  5. Harsha Talkad, "Survey of Worm Traffic Simuator: Course project for Security and Privacy in Computing", Csci, 8980-002, 2003.
  6. Simulating Network Worms, NWS by Bruce Ediger, http://www.users.qwest.net/~eballen1/nws
  7. SSF.App.Worm, A Network Worm Modeling Package, http://www.csdartmouth.edu/~mili/research/ssf/worm/index.html
  8. C. C. Zou, W. Gong, D. Towsly, "Worm Propagation Modeling and Analysis under Dynamic Quarantine Defense", WORM'03 of the ACM, October 2003.
  9. D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, N. Weaver, "Inside the Slammer Worm", IEEE Security and Privacy, 4(1), pp. 33-39, July-August 2003.
  10. Jeffrey O. Kephart and Steve R. White, "Measuring and Modeling Computer Virus Prevalence", Proceedings of the 1999 IEEE Computer Society Symposium on Research in Security and Privacy, pp.2-14, May 1993
  11. George F. Riley, "Simulating Internet Worms", 12th IEEE International Symposium MASCOT, pp. 268-274, October 2004.
  12. symantec, symantec technical report, http://securityresponse.symantec.com/avcenter/venc/data/w32.- blaster.worm.html
  13. CAIDA, CAIDA Technical Report, "The Spread of the Sapphire/Slammer Worm", http:///www.caida.org/outreach/papers/2003/sapphire/
  14. Cliff C. Zou, Don Towsley, and Weibo Gong, "On the Performance of Internet Worm Scanning Strategies", Journal of Performance Evaluation (extended from Umass ECE Technical Report TR-03-CSE-07, November 2003.