<4D F736F F D20C1B6B7E6B1C75FBCAEBBE7B3EDB9AE2E646F63>

Similar documents
Microsoft PowerPoint - thesis_rone.ppt

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

UDP Flooding Attack 공격과 방어

DBPIA-NURIMEDIA

1217 WebTrafMon II

歯홍원기.PDF

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

°í¼®ÁÖ Ãâ·Â

Microsoft Word - NAT_1_.doc

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

슬라이드 제목 없음

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

PowerPoint 프레젠테이션

09권오설_ok.hwp

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

0125_ 워크샵 발표자료_완성.key

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

µðÇÃÇ¥Áö±¤°í´Ü¸é

ecorp-프로젝트제안서작성실무(양식3)

V28.

DBPIA-NURIMEDIA

정보기술응용학회 발표

Microsoft PowerPoint - 06-IPAddress [호환 모드]

1. 서론 1-1 연구 배경과 목적 1-2 연구 방법과 범위 2. 클라우드 게임 서비스 2-1 클라우드 게임 서비스의 정의 2-2 클라우드 게임 서비스의 특징 2-3 클라우드 게임 서비스의 시장 현황 2-4 클라우드 게임 서비스 사례 연구 2-5 클라우드 게임 서비스에

6.24-9년 6월

인문사회과학기술융합학회

09È«¼®¿µ 5~152s

µðÇÃÇ¥Áö±¤°í´Ü¸é

05( ) CPLV12-04.hwp

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

일반적인 네트워크의 구성은 다음과 같다

45-51 ¹Ú¼ø¸¸

06_ÀÌÀçÈÆ¿Ü0926

SLA QoS

김기남_ATDC2016_160620_[키노트].key

SMB_ICMP_UDP(huichang).PDF

À¯Çõ Ãâ·Â

제20회_해킹방지워크샵_(이재석)

Software Requirrment Analysis를 위한 정보 검색 기술의 응용

03-최신데이터

디지털포렌식학회 논문양식

I

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

Oracle Apps Day_SEM

bn2019_2

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx

<313920C0CCB1E2BFF82E687770>

À±½Â¿í Ãâ·Â


Remote UI Guide

Intra_DW_Ch4.PDF

#Ȳ¿ë¼®

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

PowerPoint 프레젠테이션

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A S

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

06_±è¼öö_0323


Network seminar.key

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

TCP.IP.ppt

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,


歯최덕재.PDF

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

878 Yu Kim, Dongjae Kim 지막 용량수준까지도 멈춤 규칙이 만족되지 않아 시행이 종료되지 않는 경우에는 MTD의 추정이 불가 능하다는 단점이 있다. 최근 이 SM방법의 단점을 보완하기 위해 O Quigley 등 (1990)이 제안한 CRM(Continu

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

08년요람001~016

*****

PCServerMgmt7

Issue 두 가지 상대적 관점에서 검토되고 있다. 특히, 게임 중독에 대한 논의는 그 동안 이를 개인의 심리적 차원에서 접근해왔던 것에서 벗어나 청소년에 대한 사회문화 및 정보 리터러시(literacy) 교육의 방향이라든 지 나아가 게임중독과 관련한 사회구조적인 또는

½Éº´È¿ Ãâ·Â

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of

[ReadyToCameral]RUF¹öÆÛ(CSTA02-29).hwp

지속가능경영보고서도큐_전체

슬라이드 제목 없음

untitled

미래 서비스를 위한 스마트 클라우드 모델 수동적으로 웹에 접속을 해야만 요구에 맞는 서비스를 받을 수 있었다. 수동적인 아닌 사용자의 상황에 필요한 정보를 지능적으로 파악 하여 그에 맞는 적합한 서비스 를 제공할 수 새로운 연구 개발이 요구 되고 있다. 이를 위하여,

2017 년 6 월한국소프트웨어감정평가학회논문지제 13 권제 1 호 Abstract

<312DBACFC7D1BBE7C0CCB9F6C0FCB7C22DC0D3C1BEC0CEBFDC2E687770>

11¹Ú´ö±Ô

Microsoft PowerPoint - thesis_della_1220_final

노동경제논집 38권 4호 (전체).hwp

Journal of Educational Innovation Research 2017, Vol. 27, No. 2, pp DOI: : Researc

untitled

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

44-4대지.07이영희532~

thesis

기술 이력서 2.0

강의지침서 작성 양식

04서종철fig.6(121~131)ok

<31325FB1E8B0E6BCBA2E687770>

04-다시_고속철도61~80p

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름

03.Agile.key

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

Transcription:

엔터프라이즈네트워크에서인터넷웜의탐지방법2006조룡권

석사학위논문 엔터프라이즈네트워크에서 인터넷웜의탐지방법 조룡권 ( 赵龙权 ) 정보통신학과 ( 네트워크전공 ) 포항공과대학교정보통신대학원 2006

엔터프라이즈네트워크에서 인터넷웜의실시간탐지방법 A Real-Time Detection Method for Internet Worms on Enterprise Networks

A Real-Time Detection Method for Internet Worms on Enterprise Networks by LONGQUAN-ZHAO Department of Computer and Communications Engineering POSTECH Graduate School for Information Technology A thesis submitted to the faculty of POSTECH Graduate School for Information Technology in partial fulfillment of the requirements for the degree of Master of Engineering in the Department of Computer and Communications Engineering. Pohang, Korea December 21, 2005 Approved by Major Advisor: James Won-Ki Hong

엔터프라이즈네트워크에서 인터넷웜의탐지방법 조룡권 위논문은포항공과대학교정보통신대학원석사학 위논문으로학위논문심사위원회를통과하였음을인정 합니다. 2005 년 12 월 21 일 학위논문심사위원회위원장홍원기 ( 인 ) 위원서영주 ( 인 ) 위원송황준 ( 인 )

MCC 20042622 조룡권, LONGQUAN ZHAO, A Real-Time Detection Method for Internet Worms on Enterprise Networks, 엔터프라이즈네트워크에서인터넷웜의실시간탐지방법, Department of Computer and Communications and Engineering, 2006, 40P, Advisor: J.Won-Ki Hong, Text in Korean ABSTRACT The enterprise networks are suffering from the battle with the Internet worm. After the slammer worm s outbreak in 2003, the subject of detection Internet worm became the most important issue on the area of network security. One of most popular systems to detect internet worms are signature based IDS (intrusion detection system) on local networks. Signature based (misuse) IDS defines sets of rules with signatures and detect worms by matching the packets to the rules. This kind of IDS systems need to compare the whole packet include packet payload to the rule set so require long processing time. Another problem of signature based IDS system is that it can not detect new kind of worms because it does not have signatures of new worms. Global scope detection algorithms are the other most popular solution to detect internet worms. These kinds of algorithms are not easy to implement on local networks and are not suitable to the enterprise networks. Real-time requirement is an important factor for a worm detection system. Many real-time solutions are focused on the meaning of detecting worms in the early stage of its breakout. They seldom 1

mention about the other meaning of real-time, to minimize the processing time. In this thesis, we propose an Internet worm detection method, which is easy to implement on local networks. The proposed algorithm is traffic behavior based detection and thus can detect internet worms in real-time. To validate our algorithm, we first developed Worm Traffic Generator which could generate the scanning traffic of the Internet worms. The Generator has a very user-friendly UI so that the users could generate the worm traffic by simply clicking buttons or inputting values. We utilized this tool to generate quantity worm traces. The real time detection system which implemented by the proposed algorithm detected all kind of these worm traces. We also deployed the detection system on our campus network and analyzed the detection results. 2

목 차 1 서론...1 2 관련연구...6 2.1 SIGNATURE-BASED 탐지방법...6 2.2 실시간탐지방법...7 2.3 인터넷전역을대상으로하는탐지방법...8 2.3.1 수학적모델링방법...8 2.3.2 ICMP type 3 메시지를이용한탐지방법...9 2.3.3 기타방법...9 2.4 LOCAL NETWORK DETECTION...10 2.4.1 Destination Source Correlation(DSC) 탐지방법...10 2.4.2 Honey-Net을이용한탐지방법...11 2.5 본논문의기여...11 3 인터넷웜의탐지알고리즘과탐지시스템...13 3.1 인터넷웜의탐지알고리즘...13 3.2 인터넷웜탐지시스템의구조...17 3.2.1 패킷의수집...18 3.2.2 Flow Generator...19 3.2.3 Suspicious List Generator...19 3.2.4 Inbound Flow Analyzer...19 3.2.5 Internet Worm Detection...19 3.2.6 Worm Alarm...20 3.2.7 Web UI based Presenter...20 3.3 탐지시스템의구현...20 3.3.1 POSTECH 네트워크의구성...21 3.3.2 구현에사용된툴과방법...21 4 인터넷웜탐지알고리즘의검증...23 3

4.1 실험환경...23 4.2 실제웜코드의실행을통한실험...24 4.3 WORM TRAFFIC GENERATOR...26 4.4 GLOBAL-RANDOM 웜의탐지...28 4.5 GLOBAL-SEQUENTIAL 웜의탐지...29 4.6 LOCAL-RANDOM/SEQUENTIAL 웜의탐지...30 4.7 WORM TRAFFIC GENERATOR를통한검증의결론...32 5 POSTECH 네트워크에서탐지결과...33 5.1 탐지결과의분석...33 5.1.1 Sequential 스캐닝웜...34 5.1.2 Random 스캐닝웜...35 5.1.3 정상트래픽...36 5.2 탐지결과에관한결론...36 6 결론및향후과제...38 참고문헌...39 4

그림목차 그림 1 THE FLOWCHART OF WORM DETECTION ALGORITHM...15 그림 2 THE 3-TUPLE FLOW FORMAT...16 그림 3 알고리즘의 PSEUDO CODE...17 그림 4 탐지시스템의구조...18 그림 5 POSTECH 네트워크에서트래픽수집...21 그림 6 알고리즘의검증을위한위한실험환경...24 그림 7 WDS에서탐지한 BLASTER 트래픽...25 그림 8 WDS에서탐지된 SLAMMER WORM 웜...26 그림 9 WORM TRAFFIC GENERATOR의모듈...26 그림 10 WORM TRAFFIC GENERATOR의입력화면...28 그림 11 GLOBAL-RANDOM 웜의첫두 OCTET의분포도...29 그림 12 인터넷전역주소로의 SEQUENTIAL SCANNING...31 그림 13 로컬네트워크를타겟으로하는 RANDOM/SEQUENTIAL 웜...31 그림 14 SEQUENTIAL WORM의탐지결과...34 그림 15 RANDOM 웜의탐지결과...35 그림 16 2005년 5월13일 10:07분의전체탐지결과...36 표목차 표 1 UDP 1434포트로전체 IPV4 대역에랜덤으로스캐닝...29 표 2 TCP 445 포트 GLOBAL-SEQUENTIAL 스캐닝웜의트래픽...30 5

1 서론 인터넷이발달하고이를사용하는사용자수는계속적으로증가하면서많은네트워크서비스또한만들어지고있다. 이러한인터넷의성장과더불어다양한네트워크보안공격에대한위협들도증가하였다. 1988년 Morris[1] 웜의출현이래로인터넷웜에의한보안공격들은계속증가되어왔고, 날로그피해가심화되여가고있다. 35만9천여호스트를감염시킨 CodeRed[2] 와 10분만에 7만5천여호스트를감염시킨 Slammer[3] 웜이그대표적예로써그손실은수백만, 수천만달러에달한다. 또인터넷웜은그전파방법과수단이날로발전하여은밀하고탐지하기가갈수록어려워지고있다. 인터넷웜은 네트워크를통해사용자의개입이없이스스로복사 전파하면서취약점이있는서비스를공격하는악성코드 이다 [4]. 인터넷웜은네트워크를통하여전파됨으로전파과정에일정한트래픽특성을갖고있다. 인터넷웜의트래픽특성에대한관찰은인터넷웜을탐지하는데기초적근거를제시하여준다. 사용하는프로토클, 취약점이있는서비스검색을위한스캐닝, 스캐닝을위하여타겟을선정하는방법등은인터넷웜의트래픽특성이다. 인터넷웜은전파과정에 TCP 나 UDP 프로토클을사용한다. CodeRed, Nimda[6], Sasser[7] 그리고 Blaster[5] 등의대부분의 인터넷웜들은 TCP 프로토클을사용하였다. TCP 프로토클을 1

사용하는인터넷웜은먼저취약점이있는호스트를검색하기위하여타겟을선정하여 SYN패킷을보내는데이과정은스캐닝이다. TCP 프로토클을사용하는인터넷웜의대부분의트래픽은이과정에발생하게된다. TCP웜은가능하면많은호스트에스캐닝을하여타겟을찾아야함으로많은양의트래픽을유발하게된다. TCP와달리 UDP를사용하는인터넷웜은 SYN 패킷을보내서연결을맺는과정이필요없기때문에네트워크대역폭을최대한이용하여동시에대량의웜본체를실은스캐닝패킷을전송하게된다. 대표적인 UDP 인터넷웜은 Slammer 웜과 Witty[8] 웜이다. 두인터넷웜모두최대한이용할수있는대역폭을사용하여스캐닝동시에웜본체를발송하여웜본체의크기가작고트래픽양이크다는특징들을갖고있다. 인터넷웜은취약점이존재하는서비스나호스트혹은네트워크를타겟으로감염을시도한다. 즉취약점이존재하는포트를목표로하기때문에인터넷웜이발생시에많은패킷이특정포트에몰리는트래픽현상을보인다. 하나의인터넷웜이여러가지취약점을이용하여탐지와제어를피해가는것은 Nimda[6] 웜이출현한이래많은인터넷웜에서사용하는방법이되고있다. 인터넷웜은취약점이있는타겟을스캐닝할때, 순차적방법이거나, 랜덤방법을사용하게된다. 순차적방법이란, 어떤초기타겟의 IP 주소로부터시작한순차적인한개블록의 IP주소에대하여스캐닝하는것이다. 순차적스캐닝은타겟 IP주소가순차적으로증가하는트래픽특성을보여주고있다. Blaster는전체 2

스캐닝의 60% 의경우감염한대상호스트로부터시작한 20개의순차적 IP주소를스캐닝하였다 [9]. 다른하나의가장대표적인스캐닝방법은랜덤스캐닝으로타켓으로할 IP 범위를결정하고선정된 IP 범위내에서랜덤으로스캐닝을실행한다. SQL Slammer나 CodeRed 같은대부분의웜은 IPv4 전체대역을범위로하고랜덤 스캐닝을하였다. 이런랜덤스캐닝은존재하지않는 IP 주소나 존재하지않는호스트, 존재하지않는서비스로패킷을보내는특성을갖고있다. 랜덤스캐닝은타겟 IP 범위를조절할수있는데 ARP Routing Table에근거하여 Routing 가능한 Network 대역, IANA IP v4 Allocation Table[10] 혹은 Bogon List[11] 를참조하여존재하는범위의 IP 대역등을그범위로선정하여스캐닝하는방법도존재하지만 [12] 아직까지는이런스캐닝의기술을사용한인터넷웜이출현되지않고있다. 그원인은이런세밀한방법으로 IP범위를선정하여스캐닝하려면, 그런리스트를인터넷웜본체에실어야하고그것은결국인터넷웜의크기를늘리게되며, 나아가서는전파속도를현저히저하시키기때문이다. 인터넷웜의탐지에관한연구는인터넷웜의발생한시작부터지속적으로진행되여왔으며특히 2003년 Slammer웜의출현된이래, 네트워크보안분야에서가장중요한이슈의하나로떠올랐다. 대부분의연구활동은인터넷전체대역에대한분산된모니터링기법으로인터넷웜을조기에탐지하는방법을제시하고있다. [13,14,15,16] 이런방법의문제점은모니터링하는네트워크의범위가커서국가간, ISP간혹은대형회사간의상호협력과연동이 3

필요하다는것이다. 이런방법은로컬이나 Enterprise 네트워크에 적합하지않으며또적용할수도없다 [17]. 많은로컬이나 Enterprise 네트워크의관리자들은 IDS 시스템을도입하여인터넷웜을탐지하는데적용한다. 이런 IDS 시스템은수집한패킷의전체를 signature와비교해야하여많은처리시간을요하게되며또한새로운인터넷웜의 signature를가지고있지않아새로운웜에대응할수없다. 로컬이나 Enterprise 네트워크에적응하는알고리즘을제안한연구로는 Qin 등의연구 [18] 가있다. 이연구에서는인터넷웜이존재하지않는로컬네트워크에서새롭게나타나는웜에대한탐지에초점을두고있다. 본논문은엔터프라이즈네트워크에서실시간으로인터넷웜행위를탐지하는방법을연구하는데초점을맞춘다. 대규모네트워크가아닌엔터프라이즈네트워크를모니터링의대상으로분석하였고, 오프라인이아닌실시간탐지를목표로했으며, Payload를포함한 signature비교가아닌 IP header만의분석을하였으며, 네트워크에인터넷웜이존재하던존재하지않던내부에서인터넷웜에감염된호스트를정확하게 Identify하는데목적을두었다. 이런접근방법을통해간단하면서도정확한인터넷웜탐지알고리즘을설계하였다. 알고리즘의검증을위하여우리는인터넷웜트래픽발생툴을 4

개발하였으며이툴을사용하여다양한웜의트래픽을발생하여웜탐지알고리즘의정확하게인터넷웜을탐지하는것을검증하였다. 또한실제 Campus Network에서시스템을구현하고탐지된인터넷웜의트래픽분석을통해인터넷웜의특징을파악하였고더불어제시한탐지알고리즘을검증하였다. 제안한알고리즘에의해구현된시스템은인터넷웜을정확히탐지하였을뿐만아니라인터넷웜과비슷한트래픽특성을갖고있는정상트래픽도정확히분류한다. 본논문의구성은다음과같다. 2장에서는관련연구에대해서알아보고 3장에서는로컬네트워크에적합한알고리즘을제안하고그에맞게설계한탐지시스템의구조를설명하며 4장에서는먼저인터넷웜발생툴에대한설명과더불어이툴을사용하여알고리즘의검증결과를보여주며 5장에서는탐지시스템을실제 Campus Network에구축하여실시간으로수집된인터넷웜의탐지결과를분석하여알고리즘을검증하였으며마지막으로 6장에서는결론을짓고향후연구방향을제시한다. 5

2 관련연구 인터넷웜의탄생된이래인터넷웜의탐지에관한연구는활발히진행되어왔으며지속적으로진행되여갈것이다. 이번장에서는이런연구에관한분류를통하여우리가제안하는탐지알고리즘의목표를명확히하였다. 2.1 Signature-based 탐지방법 Intrusion Detection System(IDS) 은 Enterprise 네트워크에서가장 선호하는인터넷웜탐지시스템이다. IDS 는 misuse 탐지방법과 anomaly 탐지방법두가지가있는데 misuse 탐지방법이란네트워크에서공격성패킷의 signature를 Database나 Rule Set에저장하여네트워크트래픽에서같은 signature를갖고있는패킷들을비정상으로판단하는방법이고, anomaly 탐지방법은정상적인트래픽패턴을모델링하여그런패턴에맞지않는패킷들은 비정상으로보는방법이다. 로컬네트워크에서가장많이사용하는 방법은 misuse 탐지방법으로트래픽에 signature와매칭하는부분이존재하면그트래픽을비정상으로판단한다. 이런방법이인터넷웜의탐지에사용되였을때문제점은두가지이다. 먼저이런시스템은새로운유형의인터넷웜에대한 signature를갖고 있지않기때문에새로운웜을탐지할수가없다. 다른한가지 문제점은 signature set 과전체패킷 (header 와 payload 모두 ) 을 비교하여야하기때문에많은 Processing Time 을요하게된다. 이는 6

실시간탐지시스템에적용하기어렵다는문제점을야기하는것이다. 이런 signature based 탐지시스템의대표적인예는 Snort[27] 과 Bro[28] 를들수있다. Signature-based IDS시스템에관한최근의연구를보게되면 [19] 의 Bharath의방법이다. 이시스템은모니터링부분과 IDS부분으로나누어져있으며모니터링부분에서빈도가높게출현되는 signature가 IDS에존재하지않으면새로운 signature로 IDS에업데이트하여다음부터같은트래픽이검출될때그것을비정상으로판단할수있다. 일정하게새로운웜에대해서탐지할수있게방법이개선되였지만, 많은처리시간이수요되는문제점은개선할수가없다. 우리가이논문에서제안하는알고리즘은 traffic behavior based 탐지방법으로인터넷웜의스캐닝특성에의해서 IP 패킷의 header정보로만기가비트네트워크에서실시간으로인터넷웜을탐지할수있다. 2.2 실시간탐지방법 실시간탐지란두가지뜻을내포하고있다. 첫째는인터넷웜이발생했을때짧은시간내에그인터넷웜을탐지할수있어야하는것이고두번째는엔터프라이즈네트워크에서수집되는트래픽을즉시즉시처리하여짧은시간내에수만, 수십만개의패킷을처리할수있어야한다. 7

많은연구들이실시간탐지에대해다루어지고있지만 [16,18,20], 대부분의연구는실시간탐지의첫번째의미에만목표를하고있다. 탐지하는데걸리는처리시간에대하여언급한연구는거의찾아보기힘들다. 컴퓨터시스템이나네트워크장비의자원은제한되여있으므로짧은시간내에처리하여자원의점유시간을줄여주어야한다. 우리는 TCP SYN 패킷이나 UDP 패킷의 Header만수집하여분석함으로써전체처리시간을줄여실시간탐지를가능케하였다. 2.3 인터넷전역을대상으로하는탐지방법 인터넷웜을탐지함에있어서가장많이이루어진연구는인터넷전역을대상으로모니터링하여분석탐지하는방법이다. 인터넷전역을대상으로탐지하는시스템은일반적으로분산된여러기점의모니터링과모니터링데이터를분석하는중앙지점의탐지분석하는부분으로나누어구성된다. 모니터링시점에서수집하는데이터의종류와탐지분석기법의다름으로하여수학적모델링방법, ICMP type 3 탐지방법외각로컬네트워크의비정상트래픽을보안업체에서수집하여조기에탐지하는방법등몇가지로분류할수있다. 2.3.1 수학적모델링방법 수학적모델링기법을사용하여인터넷웜을탐지하는데가장앞서 갔던연구는 Zou [14] 의 Epidemic Model 을적용한연구이다. 취약점이존재하는호스트수, 이미감염된호스트수, 인터넷웜의 8

전파속도사이의관계가 Epidemic Model을따른다는것을관찰하였고그에기초하여전체적인인터넷을모니터링함으로써인터넷웜의조기탐지가가능하게하였다. Chen [22] 은 Analytical Active Worm Propagation(AAWP) 모델을제안함으로써랜덤스캐닝하는인터넷웜의트래픽인터넷웜의 Patching Rate, Death Rate 등을고려한탐지방법을제시하였다. 또 Jiang[12] 은여러가지앞으로발생가능한 Selective Random 스캐닝, Routable 스캐닝, Divide and Conquer 스캐닝기법 (Random Scanning의여러가지유형 ) 을관찰하고그상황을모델링함으로써탐지하는방법을제안하였다. 2.3.2 ICMP type 3 메시지를이용한탐지방법 하나의흥미로운연구는 ICMP type 3 메시지 (Destination Port or host unreachable) 를수집하여탐지하는방법이다 [20]. 이방법은전체인터넷범위에서분산된로컬네트워크들을모니터링하고각로컬네트워크에서수집된 ICMP type 3 메시지를분석하여인터넷웜을탐지한다. 인터넷웜이랜덤스캐닝을하기때문에존재하지않는호스트나서비스에패킷을전송함으로써 ICMP type 3 메시지가다량발생하는특성을이용한것이다. 2.3.3 기타방법 Symantec[23], CAIDA[24] 등대형보안업체는전세계의광범한 User 와로컬네트워크로부터비정상로그를수집하는시스템을 9

구축함으로써인터넷웜의조기탐지와경고를목표로하고있다. 이런 Global-Scope을대상으로하는탐지방법은많은국가나 ISP, 대형보안업체들의공동협력이필요하기때문에그실현에여러어려움이존재하게된다. 그리고이런탐지방법들은로컬네트워크를대상으로하였을때탐지하는 Parameter의변화같은것들이너무미세하고또동일한방법이라도로컬네트워크에서구현하기가어렵기때문에로컬네트워크에서인터넷웜을탐지하는데적용될수없다. 2.4 Local Network Detection 로컬네트워크에서인터넷웜을적시적으로탐지하는시스템을구축하는것은인터넷웜의감염원을조기에발견하고차단할수있는가장효과적인방법이다. 로컬네트워크단위의탐지시스템의구현은용이하여정형화된탐지방법을보급화한다면전체적인네트워크에서의조기탐지가가능해질것이다. 2.4.1 Destination Source Correlation(DSC) 탐지방법 [18] 에서 Qin은로컬네트워크에적합한 Destination Source Correlation 알고리즘을제안하였다. 이방법은 In-Outbound 트래픽을수집하고두가지트래픽사이의연관되는상호관계에의해인터넷웜을탐지한다. 이알고리즘은감염되지않은로컬네트워크에서아주효과적이나이미인터넷웜에감염된환경의 10

네트워크에서는그효력을발생하지못하게된다. 2.4.2 Honey-Net 을이용한탐지방법 존재하지않는 Host나서비스를실제존재하는것처럼가상화하여 Hacker나인터넷웜이해당서비스나 Host IP로스캐닝행위를할때그트래픽을수집하여비정상트래픽의특징을조기에파악하여인터넷웜의탐지에사용하는방법으로하나의서비스나호스트로실행하는것은 Honey-Pot 이고, 여러개의 Honey-Pot으로구성된시스템은Honey-Net 시스템이라고한다 [25, 21]. Honey-Pot 시스템의가장어려운점은시스템을구현하기어렵고전체로컬네트워크의 IP나서비스에대한수시로업데이트되는정보를확보하여야한다는것이다. 2.5 본논문의기여 우리는이논문에서 Global-Scope네트워크가아닌로컬네트워크를대상으로용이하고쉬운알고리즘을제안한다. 우리의알고리즘은패킷의 Payload가아닌패킷의 IP header만으로탐지의전반분석을진행하게됨으로써 Processing시간을최소화하였으며인터넷웜의대표적인스캐닝특성에의한탐지방법임으로새로운웜에대해서도탐지가가능하다. 분산된시스템이아닌 Internet Junction에서만트래픽을수집함으로시스템을용이하게구현할수있다. 제안한알고리즘은로컬네트워크상의 IP 배분현황이나실행서비스에대한 11

정보를보유할필요가없으며인터넷웜에감염되거나비감염상태 모두정확하게인터넷웜을탐지할수있다. Worm Traffic Generator를통하여인터넷웜의스캐닝패킷들을발생하였고그트래픽을 Worm Detection System이제대로탐지하는것을확인하였고, 실제캠퍼스네트워크에서구현하고인터넷웜을탐지하고수집된인터넷웜트래픽의분석을진행함으로써알고리즘을검증하였다. 12

3 인터넷웜의탐지알고리즘과탐지시스템 이번장에서는인터넷웜의알고리즘을설명하고그알고리즘에 근거하여디자인된탐지시스템을보여준다. 3.1 인터넷웜의탐지알고리즘 인터넷웜의트래픽특성에근거하여우리는탐지알고리즘을 제안하였다. 그알고리즘에대해서말하기앞서우리는먼저인터넷 웜의스캐닝특성에대해서더깊이살펴보도록한다. 인터넷웜의가장큰악영향은과다한트래픽양으로하여네트워크의마비를일으키는데있다. 이런과다한트래픽양은인터넷스캐닝단계에대부분발생한다. 때문에인터넷웜의탐지는인터넷웜의스캐닝단계에이루어져야하며스캐닝특성을기초로 하여분석되여야한다. 우리가제안하는알고리즘은인터넷웜의 스캐닝특성의분류를기초로그특성에맞는트래픽을분석함으로써인터넷웜을탐지하였다. 이용한인터넷웜의스캐닝특성에대해서논하자면, 첫째로인터넷웜은특정된 Destination Port로많은양의스캐닝패킷을발생한다는것이다. 엔터프라이즈네트워크의한개호스트가거의동시에몇백, 몇천개의패킷을내보는경우는 P2P 트래픽이나인터넷웜트래픽을제외하고는다른 Application에서는찾아볼수없다 [26]. 이런스캐닝특징에근거하여우리는인터넷웜의탐지방법을제안하였고그구제적방법은아래와같다. 먼저모니터링하는엔터프라이즈네트워크의한호스트에서한 13

특정된 Destination Port로많은양의패킷을발생하는트래픽을 Suspicious List로간주하였다. 다음으로이용한인터넷웜의스캐닝특성은 Sequential/Random Scanning이다. Sequential웜 ( 예를들면 Blaster, Scalper 등 ) 은목적지주소가순차적으로증가하는특성을갖고있으며, Random Scanning 웜 ( 대부분의웜 ) 은 Assign되지않은 Destination IP 대역에스캐닝을하는특성을갖고있다. 우리의알고리즘은앞에서찾아낸 Suspicious List에서이런특성을갖고있는트래픽을추출하여인터넷웜트래픽으로간주하였다. 마지막으로우리가이용한인터넷웜의스캐닝특성은 In-Outbound 트래픽의상호관계이다. Inbound Traffic에서도상응한 Destination Port로많이분산된 Destination IP로패킷이흘러드는특성을이용하여 P2P나정상트래픽을분류하였다. 위와같은인터넷웜의스캐닝단계에서나타내는트래픽특성을이용하여우리는효과적으로인터넷웜을탐지할수잇는알고리즘을제안한것이다. 그림 1은알고리즘의 Flowchart를보여주고있다. 그림에서 Dest_IP는목적지주소를말하며 flow는그림 2의포맷과같은 3-tuple Packet들의모음이다. Flowchart에서볼수있듯이탐지는크게두개부분으로나뉜다. 먼저 Suspicious List를생성하고다음에 Suspicious List에서인터넷웜트래픽을분류해내는것이다. Suspicious List는 Outbound Traffic의 flow 들로구성되는데여기서말하는 Flow는일정한시간내에수집된 Destination Port, Protocol, Source Host IP Address가같은패킷들의집합을말한다 [ 그림 2]. 14

그림 1 The FlowChart of Worm Detection Algorithm 한 Flow의 Packet Count가 Threshold Value를넘으면이런 Flow를 Suspicious List에추가하게된다. P2P와인터넷웜트래픽을제외한다른트래픽은발생하는 SYN패킷이일정한임계값을초과하지않는다는연구는 [26] 에서진행된바있다. Threshold값의조절로우리는 P2P나인터넷웜트래픽만으로구성된 Suspicious List를구성할수있는것이다. 모든 Flow에대해서다이런검증이끝나면 Outbound Traffic에서의전체적인 Suspicious List를얻게된다. Suspicious List가구축되면다음단계에서는이 Suspicious List에서어느 flow가인터넷웜트래픽인지를여러절차에걸쳐 15

분석한다. 처음절차는 flow 의 Destination IP Address 가 Sequential 인지를체크한다. 만약 Sequential 이라면해당 flow 는 인터넷웜 flow 로판정되고해당 Source Host 는인터넷웜에감염 그림 2 The 3-tuple Flow Format 된것으로탐지된다. Sequential 하지않다면다음절차는 Destination IP Address 중에 Unallocated IP address 가있는지를체크한다. 여기서비교하는대상은 IANA IP v4 Allocation Table[10] 로 Destination IP중에이 Table에서배정되지않은 IP를사용하는것이하나라도존재하는지를체크한다. 만약없다면이런 flow는정상적인 flow로보고다음 flow로넘어가고 Unallocated IP를사용한다면얼마나많이사용되는지를체크한다. Normal Traffic도간혹 Unallocated IP로트래픽을보낼수있으므로일정한수치이상의개수가나오는지를체크하여그이상이면인터넷웜으로판정한다. Unallocated IP 개수가일정수치이하로나오는 flow들은마지막비교절차를거쳐인터넷웜인지아닌지를판단하게된다. Inbound Traffic에서해당 flow의 Destination Port로 Destination IP의분포도를관찰하는것이다. 정상트래픽은엔터프라이즈네트워크의제한된 IP와 Connection을맺고있겠지만, 인터넷웜트래픽같은경우는그취약점이존재하는 Destination Port로 16

Distinct Destination IP의분산도가높다. Suspicious List에서 Unallocated IP를사용했던 flow에존재하는 Destination Port의 Inbound에서의 Distinct Destination IP의분산도가높으면인터넷웜으로판단한다. 분산도가낮은나머지 flow들은정상트래픽으로분류한다. Figure 2는알고리즘의 Pseudo Code이다. 알고리즘의검증은 Worm Traffic Generator를통한비교분석 ( 제4장 ), POSTECH 네트워크에서의구현 ( 제5장 ) 을통하여진행하였다. 그림 3 알고리즘의 Pseudo Code 3.2 인터넷웜탐지시스템의구조 17

알고리즘에의하여구현하는웜탐지시스템의구조는과같이여러 개의모듈과 Component 로구성되였다. 3.2.1 패킷의수집 패킷의수집은엔터프라이즈네트워크가외부인터넷과연결되는링크에서이루어진다. 네트워크링크에 Tap을물려수집하거나라우터에서미러링시키는방법을사용할수있다. 수집되는패킷은 Payload를제외한 IP Header만수집함으로써처리시간과처리량을줄인다. 양방향의트래픽을모두수집하여스캐닝성질을갖는패킷들 (TCP SYN, UDP packets) 만 Flow Generator로보낸다. 그림 4 탐지시스템의구조 18

3.2.2 Flow Generator Flow Generator에서는 Packet Capture에서수집된 Scanning Packet을일정한 Interval Time단위로 3-tuple flow를구성한다. 3-tuple flow란 Source IP Address, Destination Port, Protocol 세가지속성이같은 Interval time사이에수집된패킷들의집합정보이다. 이런세가지속성이같은 packet들의 packet count, start time, end time, Destination Host 등의정보가 flow data에저장되게된다. 이런 Flow는메모리혹은 HDD에저장된다. ( 실시간탐지를위해서는 Memory에저장되여야한다.) 3.2.3 Suspicious List Generator 이모듈은 Network Administrator 가설정한 Threshold 값을 읽어서 ( 파일이나, 데이터베이스 ) Packet Count 가 threshold 값보다큰 flow 들을 suspicious list 에저장한다. 3.2.4 Inbound Flow Analyzer Inbound Flow Analyzer는 Inbound Traffic에서각 Destination 포트로의 Destination IP의분산도를측정한다. 모든 port에대해서얼마나많은서로다른목적지주소로스캐닝패킷을뿌리는지를 Count하여그리스트를메모리에저장한다. 3.2.5 Internet Worm Detection Suspicious Flow 내의목적지주소들의구성을관찰함으로써먼저 19

그주소들이 Sequential 하게분포되였는지체크하고다음에 Unallocated IP 주소가그중에존재하는지를체크하고 Inbound Flow Analyzer 에서각포트별목적지주소분산도와비교하여 인터넷웜의트래픽을분류한다. 결과물은인터넷웜에감염된 flow 들이다. 3.2.6 Worm Alarm Internet Worm Detection에서탐지된 flow내의 Source IP, Destination Port, Time등의정보로 Administrator에이메일이나실시간 SMS를보내는모듈이다. 이모듈은 Human Intervention으로인터넷웜의전파를최소화하려는데그목적이있다. 3.2.7 Web UI based Presenter 시스템의네트워크에 Setup될때각단계에서사용할 threshold값의설정및조절등의 Network Administrator의 UI controller와인터넷웜탐지결과를보여주는 Webpage 생성하는부분이다. 임계지값이나탐지결과는 Database나 File로저장되여탐지시스템의 Main부분과상호연동된다. 3.3 탐지시스템의구현 우리는 POSTECH 네트워크에제안한구조를갖는실시간탐지시 스템을구현하였다. POSTECH 네트워크는 B 클래스네트워크로내부 에 6 천여대의호스트와서버들로구성된엔터프라이즈성격을가진 20

네트워크로서알고리즘검증에적합한네트워크이다. 3.3.1 POSTECH 네트워크의구성 그림 5와같이 POSTECH 네트워크는두개의라우터로외부네트워크에연결되였고두개의코어스위치는두개의라우터와완전 그림 5 POSTECH 네트워크에서트래픽수집 연결방식으로연결되여있다 [29]. 이 4개의연결선에 4개의 Optical tap을설치함으로써 POSTECH 네트워크에서흘러가는전체의패킷을수집한다. 수집된패킷들은웜탐지시스템에보내서인터넷웜인지를검사하게된다. 3.3.2 구현에사용된툴과방법 인터넷탐지시스템은레드헷리눅스 9.0 OS 를설치한 PC 서버에 구현되였다. 모든모듈은 C 언어로작성되였고, 사용한 Database 는 21

MySql 이다. 결과를보여주는웹페이지는 PHP 로작성되여그 결과를실시간으로확인할수있다. 22

4 인터넷웜탐지알고리즘의검증 제안한알고리즘의검증을위하여우리는연구실의스위치전면에모니터링시스템을구축하였다 [ 그림 6]. 스위치앞부분에설치된리눅스박스에서연구실의내부와밖으로흐르는패킷을모두수집하여제안한알고리즘에의해구현된 Worm Detection System(WDS) 에서탐지결과를분석하여알고리즘이인터넷웜의스캐닝트래픽을제대로탐지하는지를관찰하였다. 이런검증을위하여실험환경을구축하였고여러가지인터넷웜의트래픽을발생가능한 Worm Traffic Generator를개발하였다. Worm Traffic Generator를이용하여 Global-Random, Global-Sequential, Local-Random, Local-Global 웜의트래픽을발생하여탐지결과를분석하였다. 4.1 실험환경 실험에서사용된 Switch Hub에연결되여있는 Host수는대략 10대였고그중에한 Host는 Worm Traffic을 Generate하기위하여사용되였다. 다른 Host들은연구실에서정상적으로사용되는 Host였으며전부 Windows XP를 OS로사용하고있다. 모든내부의 Host는 Linux Box내에설치된 Bridge를통하여외부와 Connection을한다. WDS 시스템은제시한알고리즘에근거하여내부에서인터넷웜에감염된호스트를 Identify한다. Suspicious List 를생성시그임계값은 1분에 TCP SYN 200 패킷, UDP 1000 23

패킷이다. Input 은같이 Bridge 를흐르는모든패킷이고 Output 은 Suspicious List, 그리고인터넷웜에감염된 flow 들이다. 그림 6 알고리즘의검증을위한위한실험환경 Firewall은 Generate된인터넷웜스캐닝패킷이인터넷으로유출하는것을차단해준다. WDS의 False Positive의측정을위하여먼저실제인터넷웜의코드를실행시켜탐지결과를관찰하였고다양한인터넷웜트래픽을생성하기위하여자체로개발한 Worm Traffic Generator를이용하였다. 4.2 실제웜코드의실행을통한실험 연구를위하여우리는실제 Decoding 된인터넷웜의 C 코드를 확보하였고이런실제코드를컴파일실행하여인터넷웜의트래픽을 Generate 하였다. 인터넷웜의코드는정확하게인터넷웜이이용했던 24

포트를사용하는것이아니라 Slammer 웜은 UDP 1178 (1434) 포트, Blaster웜은 TCP 128 (135) 포트를사용하였다. 실험은 2005년 09월09일 17시 24분에 Blaster Worm, 23시 48분에 Slammer웜트래픽을발생하였다. WDS의탐지결과는각각 [ 그림 7, 그림 8] 와같이 Blaster Worm은 Sequential 로, Slammer웜은 Random Scanning웜으로판정하고있다. 그림 7 WDS 에서탐지한 Blaster 트래픽 우리의알고리즘은정확하게실제웜이발생한트래픽을인터넷 웜으로판정하였고내부네트워크의어떤호스트가감염되였는지를 보여주고있다. 이런실제웜의코드를확보하는데는일정한 어려움이있고다양한웜트래픽이발생시정상적으로작동하는지를검증하여야할것이다. 이런다양한인터넷웜의트래픽의발생을위하여우리는인터넷웜의트래픽발생툴 Worm Traffic Generator를디자인개발하였고이를사용하여가능한많은실험을할수있었다. 25

그림 8 WDS 에서탐지된 Slammer Worm 웜 4.3 Worm Traffic Generator 그림 9 Worm Traffic Generator 의모듈 여러가지인터넷웜의스캐닝트래픽을 Generate하기위하여우리는 Worm Traffic Generator를개발하였다. 우리가고려한 Worm Traffic Generator의요구사항은다음과같다. 1) User Friendly Interface: User 가조작하기쉽고편리해야한다. 2) Flexibility: 인터넷웜의트래픽특성패러미터로모든웜의 26

스캐닝패킷을 Generate 할수있어야한다. 3) Scalability: Unix 시스템이나윈도우시스템에다실행가능해야한다. 앞에서와같은요구사항으로디자인된 Generator의구조는그림4 와같다. GUI를통하여유저는인터넷웜의패러미터를선택하고 Parameter Aggregation을통하여원하는인터넷웜을생성하고 Traffic Generation을통하여 IP layer 패킷을생성하여 Thread를이용하여트래픽을생성한다. 인터넷웜의트래픽특성에서필요한패러미터는모두선택가능하기때문에여러가지인터넷웜트래픽을생성할수있다. 예를들면, TCP 445 포트의취약점을이용하는랜덤스캐닝웜의트래픽을 20초간격으로한번에 300패킷씩발생하고싶다면 protocol에서 TCP를선택하고 Destination Port에 445를입력하고 Interval 값을 20으로입력하고 Scanning Rate를 300으로입력하고 Scanning Policy를 Random으로선택하여 Generate시키면된다. Protocol, Destination Port, Interval, Scanning Rate, Scanning Policy 등은모두이툴에서선택가능한패러미터인것이다. 그외에도 Scanning Range, Worm Body Size, Worm Payload, Number of Infected Host등의패러미터도고려하여조작하기쉽고편리한 Worm Traffic Generator를구현하였다. 우리는구현된 Generator를이용하여 Global-Random, Global-Sequential웜, Local-Random, Local-Sequential 웜트래픽이발생할때 Worm Detection System의탐지결과를고찰하였다. 27

4.4 Global-Random 웜의탐지 2005년 12월 17일 12:37분에 Worm Traffic Generator를이용하여 Global Random Scanning 웜의스캐닝트래픽을발생하여그결과를관찰하였다. 표 1과같이 UDP 1434-Random-Unlimited speed 웜트래픽을발생시킨결과 Worm Detection System에서탐지된웜의트래픽은표 1과같다. 그림 11은이런트래픽의 Destination IP주소의분포도이다. 그림에서볼수있듯이첫두바이트 IP 주소는전역에랜덤하게분산되어있다. 그림 10 Worm Traffic Generator 의입력화면 28

표 1 UDP 1434포트로전체 IPv4 대역에랜덤으로스캐닝 Protocol Port Destination IP Source IP Source Port 17 1434 213.98.155.162 141.223.82.32 4700 17 1434 69.143.119.54 141.223.82.32 4718 17 1434 213.121.151.178 141.223.82.32 4730 17 1434 62.110.51.43 141.223.82.32 4739 17 1434 140.120.34.68 141.223.82.32 4767 17 1434 161.28.101.63 141.223.82.32 4772 17 1434 86.52.42.209 141.223.82.32 4897 17 1434 220.11.56.31 141.223.82.32 4910 17 1434 201.31.18.19 141.223.82.32 4922 UDP Random 웜의목적지주소분포 300 250 두번째바이트주소 200 150 100 50 0 0 50 100 150 200 250 300 첫바이트주소 그림 11 Global-Random 웜의첫두 Octet 의분포도 4.5 Global-Sequential 웜의탐지 29

TCP 445포트로인터넷전역으로 Sequential한웜의트래픽을발생하여 Worm Detection System에서탐지한트래픽은표 2와같이그목적지주소가순차적으로올라감을볼수있다. 인터넷전역을대상으로하는인터넷웜의트래픽은랜덤으로인터넷전역주소를 Seed로찾은후그이후의주소에 Sequential하게웜의트래픽을복사전파하고있다. 그림 12은탐지한인터넷웜트래픽의목적지주소의마지막바이트가 sequential하게증가하는것을보여준다. 표 2 TCP 445 포트 Global-Sequential 스캐닝웜의트래픽 Protocol Port Destination IP Source IP Source Port 6 445 68.92.23.55 141.223.82.32 14339 6 445 68.92.23.56 141.223.82.32 14595 6 445 68.92.23.57 141.223.82.32 14851 6 445 68.92.23.58 141.223.82.32 15107 6 445 68.92.23.59 141.223.82.32 15363 6 445 68.92.23.60 141.223.82.32 15619 6 445 68.92.23.61 141.223.82.32 15875 6 445 68.92.23.62 141.223.82.32 16131 6 445 68.92.23.63 141.223.82.32 16387 4.6 Local-Random/Sequential 웜의탐지 일부인터넷웜은로컬스캐닝을먼저실행함으로써감염속도를향상 30

300 Sequential Worm 의목적지주소 마지막 Octet 의값 250 200 150 100 50 0 1 101 201 패킷개수 그림 12 인터넷전역주소로의 Sequential Scanning 시키고있다. Blaster웜이그대표적인예이다. Worm Traffic Generator로로컬네트워크를목적지로하는 Random/Sequential한인터넷웜트래픽을발생한결과 Worm Detection System에서탐지한결과는그림 13오류! 참조원본을찾을수없습니다. 와같다. 목적지주소의 3,4번째바이트주소의 31

그림 13 로컬네트워크를타겟으로하는 Random/Sequential 웜분포는웜트래픽발생툴에서발생한것과같이랜덤혹은순차적으로변하고있다. 4.7 Worm Traffic Generator 를통한검증의결론 이장에서는먼저실제웜의코드의실행을통하여인터넷웜트래픽을확보하였고그인터넷웜의트래픽을 Worm Detection System 이효과적으로탐지함을볼수있었다. 다음에우리는다양한인터넷웜의트래픽을발생하는 Worm Traffic Generator의개발을하였으며, 이런툴을사용하여인터넷웜의탐지알고리즘을검증하는과정을설명하였다. 이런과정을통하여 TCP/UDP 웜, Global/Local 웜, Random/Sequential 웜스캐닝트래픽을 WDS가 False Positive없이잘탐지함을볼수있었다. 다음장에서우리는이런시스템을실시간으로엔터프라이즈네트워크에적용했을때탐지결과를분석한다. 32

5 POSTECH 네트워크에서탐지결과 WDS 가정상적으로인터넷웜을탐지하는지를검증하기위하여 우리는실제엔터프라이즈네트워크에 3.3 과같이알고리즘을이용한 실시간탐지시스템을구축하여그탐지결과를분석하였다. 탐지된웜트래픽의특성을분석함으로써알고리즘에의해설계된시스템이정상적으로인터넷웜을탐지하고정상트래픽을분별해내는지를알아보았다. 이과정의실험을통하여제안된알고리즘이엔터프라이즈네트워크에서인터넷웜을효과적으로탐지할수있음을검증하였다. POSTECH 네트워크에서수집되는패킷수는 1분에 300-500만개로이런패킷을빠르게처리하기위하여 Hashing을사용하였고 Database에대한조회를최소한으로줄이고메인메모리에서대부분의연산을진행하였다. 모든연산처리는 1분내에완성되여그결과가 Database에저장된다. 시스템은실시간으로작동하고웹페이지를통하여실시간으로결과를확인할수있다. 5.1 탐지결과의분석 POSTECH 네트워크에구현된탐지시스템은 2005 년 12 월 20 일 01:58 과 21:00 에각각 Random Scanning Worm, Sequential Worm 을발견하였다. 33

5.1.1 Sequential 스캐닝웜 탐지시스템은 2005년 12월 20일 21:00에 Sequential 스캐닝웜을탐지하였다. 1분동안에UDP 포트 5445로 1965개의 Sequential한 Destination IP주소로스캐닝하는인터넷웜에감염된호스트 (141.223.52.51) 를탐지함을그림 14로부터볼수있다. 전형적인 sequential scanning 특징을갖는인터넷웜이다. 그림 14 Sequential Worm 의탐지결과 34

5.1.2 Random 스캐닝웜 그림 15 Random 웜의탐지결과 그림 15와같이가장대표적인 Random Scanning 웜은 2005년 12월20일 01:58분에탐지되였다. 인터넷웜에감염된 141.223.73.61 IP 주소를갖는호스트는랜덤한 8714개의 IP 주소로스캐닝패킷을발생하였다. 목적지아이피주소의분포는 거의전체 IPv4 대역에랜덤하게분포되여있다. 세개의 Unallocated IP 로패킷을전송한것도볼수있는데정상적인 Application 에서우발적으로보낼수있는경우가아님을설명한다. 35

5.1.3 정상트래픽 그림 16 2005 년 5 월 13 일 10:07 분의전체탐지결과 그림 16 은 2005년 12월 20일 :00분의탐지결과이다. 제일윗부분에핑크로도색된행은앞에서설명한 Random Scanning Worm이고나머지포트들은 Suspicious List이다. 이중에서우리가알수있는가장대표적인 P2P Application인 E-Donkey가사용하는 TCP 4662포트를보면 1개의 Suspicious Host가 248개의패킷을 1분에 Generate한것을알수있다. 그러나인터넷웜으로판단되지않은것은이호스트는 Unallocated IP로스캐닝을하지않기때문이다. 다른포트의 Suspicious Host들도비슷하게인터넷웜에서제외되였다. 5.2 탐지결과에관한결론 POSTECH 네트워크에서구현된탐지시스템을통하여우리는 36

Random Scanning, Sequential Scanning웜, TCP/UDP웜에대하여효과적으로탐지함을볼수있었고 Suspicious List중에서 P2P 트래픽과같은정상트래픽을잘분별함을볼수있었다. 제안된알고리즘은엔터프라이즈네트워크에서효과적으로인터넷웜을탐지할수있으며이런시스템은실시간으로인터넷웜을탐지하는방안이될수있다. 제안하는인터넷웜의탐지시스템의확장은인터넷웜의조기탐지의해결책이기도하다. 37

6 결론및향후과제 우리는엔터프라이즈네트워크에알맞은인터넷웜의탐지알고리즘에대해서제안하였고그알고리즘의검증을위하여 Snort시스템과의비교분석을하였으며실제 POSTECH 네트워크에서의구현을통하여탐지결과를분석하였다. 검증을하기위하여 Worm Traffic Generator를개발하였으며이툴은향후인터넷웜의연구에도움을줄것이다. 인터넷웜의탐지알고리즘에서여러가지임계값을사용하였는데, 이런임계값의변화가인터넷웜탐지에어떤영향을미치는지에 대한연구는향후지속적으로연구되여야할과제이다. 다양한네트워크 (C 클래스네트워크혹은다른 Topology 를갖는 네트워크 ) 에서시스템을적용하여그결과를분석하는실험은 알고리즘의발전에도움을줄것이다. 그리고새로운스캐닝방법 ( 예를들면순차적목적지주소를생성할때사이의값이 1보다큰수인순차적스캐닝, 혹은순열적스캐닝 ) 을사용하는인터넷웜에대한대응에관한연구는앞으로의과제로이어진다. 38

참고문헌 [1] Charles Schmidt and Tom Darby,"The What, Why, and How of the 1988 Internet Worm, http://www.snowplow.org/tom/worm /worm.html, July 2001. [2] David Moore, Colleen Shannon, Jeffery Brown, "Code-Red: A case study on the spread and victims of an Internet worm," Proc.2nd ACM Internet Measurement Workshop, ACM Press 2002, pp273-284, 2002. [3] Moore, D, V.Paxson, S.Savage, C.Shannon, S.Staniford, N.Weaver, "Slammmer Worm Dissection: Inside the Slammer Worm," IEEE Security&Privacy, Vol.1 No.4 July-August 2003. [4] F-Secure, F-Secure Corporation Virus Glossary, http://www.f-secure.com/virus-info/glossary.shtml. [5] Symantec, http://securityresponse.symantec.com/avcenter /venc/data/w32.blaster.worm.html. [6] CERT, "CERT Advisory CA-2001-26 Nimda Worm," http://www.cert.org/advisories/ca-2001-26.html. [7] Symantec, http://securityresponse.symantec.com/avcenter/venc /data/w32.sasser.b.worm.html. [8] Symantec, http://securityresponse.symantec.com/avcenter/venc /data/w32.witty.worm.html. [9] F-Secure, http://www.f-secure.com/v-descs/scalper.shtml [10] IANA, Internet Protocol V4 Address Space, http://www.iana.org/assignments/ipv4-address-space/. [11] Bogon List, http://www.completewhois.com/bogons/. [12] J. Wu, S. Vangala, L. Gao, and K. Kwiat, An Efficient Architecture and Algorithm for Detecting Worms with Various Scan Techniques, In Proceedings of the 11th Annual Network and Distributed System Security Symposium (NDSS 04), February 2004. [13] Ajay Gupta and Daniel C. DuVarney, Using Predators to combat Worms and Viruses - a Simulation based study, Proceedings in Annual Computer Security Applications Conference, ACSAC 2004 [14] Cliff C.Zou, Lixin Gao, Weibo Gong, Don Towsley, "Monitoring and Early Warning for Internet Worms," CCS 03, Oct 27-31, 2003. [15] Vincent Berk, George. Bakos, Designing a Framework for Active Worm Detection on Global Networks, IWIA 2003, Darmstadt, Germany, March 2003, pp. 13-24. [16] Shigang Chen and Yong Tang, "Slowing Down Internet Worms," 24th International Conference on Distributed Computing Systems 39

(ICDCS'04) Hachioji, Tokyo, Japan, March 24-26, 2004, pp. 312-319. [17] Guofei Gu, Monirul Sharif, Xinzhou Qin, David Dagon,Wenke Lee and George Riley, Worm Detection, Early Warning and Response Based on Local Victim Information, Proceedings in Annual Computer Security Applications Conference, ACSAC 2004 [18] X. Qin, D. Dagon, G. Gu, and W. Lee, "Worm Detection Using Local network," Technical report, College of Computing, Georgia Tech., Feburary 2004. [19] Bharath Madhusudan and John Lockwood, Design of a System for Real-Time Worm Detection, HOTI 12, Aug. 2004. [20] George Bakos, Drs.Vincent H.Berk, "Early Detection of Internet Worm Activity by Metering ICMP Destination Unreachable Messages," 2003. [21] Christian Kreibich, Jon Crowcroft, Honeycomb-Creating Intrusion Detecton Signatures Using Honeyposts, ACM SIGCOMM Computer Commnunications Forum Volumn 34, Number 1: January 2004 [22] Z. Chen, L. Gao, K. Kwiat, "Modeling the Spread of Active Worms," WORM 2003 on Network Sevurity, April, 2003 [23] Symantec Inc., http://www.symantec.com/. [24] CAIDA, http://www.caida.org/. [25] K.G.Anagnostakis, SSidiroglou, P.Akritidis,K.Xinidis,E.Markatos, A.D.Keromytis, Detectiong Targeted Attacks Using Shadow Honeypots, Pp. 129 144 of the Proceedings 14th USENIX Security Symposium [26] T. Karagiannis, K. Papagiannaki, and M. Faloutsos,BLINC: Multilevel Traffic Classification in the Dark", ACM SIGCOMM, Philadelphia, PA, August 2005. [27] Snort, http://www.snort.org [28] Bro, http://bro-ids.org/ [29] Se-Hee Han, Myung-Sup Kim, Hong-Taek ju, and James W. Hong, The Architecture of NG-MON: A Passive Network Monitoring System, LNCS 2506, DSOM 2002, Montreal Canada, October 2002, pp. 16-27. 40

이력서 성명 : 조룡권 생년월일 : 1971 년 03 월 19 일 출생지 : 중국길림성도문시 주소 : 중국길림성연길시북산가 학력 2000.09 2003.12: 중국연변과학기술대학교컴퓨터과학과기술 (B.S.) 2004.03 2006.02: 포항공과대학교정보통신대학원정보통신학과 (M.S.) 41

학술활동 Conference Papers Long-Quan Zhao, Seong-Chul Hong, Hong-Taek Ju and James Won-Ki Hong, "A Real-Time Network Traffic Based Worm Detection System for Enterprise Networks", Proc. of APNOMS 2005 Conference, Okinawa, Japan, Sep 27-30, 2005, pp.446-457. Seong-Chul Hong, Long-Quan Zhao, Hong-Taek Ju and James W. Hong, Worm Traffic Monitoring and Infected Hosts Detection Algorithm for Local Networks IEEE IM 2005, Nice, France, May 2005. 조룡권, 주홍택, 홍원기, 주미리, 박응기, "SNMP 게이트웨이를이용한 WBEM 기반의통합관리시스템 ", Proc. of KNOM 2005 Conference, Seoul, Korea, May 26-27, 2005, pp. 151-158. Journal Papers 홍성철, 조룡권, 주홍택, 홍원기, " 엔터프라이즈네트워크에서의인터넷웜 탐지를위한방법 ", KNOM Review, Vol. 7, No. 2, December 2004, pp. 11-20. 42

연구활동 Projects 인터넷웜전파및활동에따른네트워크트래픽특성연구, 국가보안연구소 Project, 2004 고속네트워크에서응용트래픽분류를위한네트워크모니터링방법 연구, KT Project, 2005 고속네트워크에적합한트래픽감시및제어시스템개발, 산자부 Project, 2003-2005 43