Microsoft PowerPoint - thesis_rone.ppt

Similar documents
<4D F736F F D20C1B6B7E6B1C75FBCAEBBE7B3EDB9AE2E646F63>

UDP Flooding Attack 공격과 방어

SLA QoS

1217 WebTrafMon II

TCP.IP.ppt

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

SMB_ICMP_UDP(huichang).PDF

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

제20회_해킹방지워크샵_(이재석)

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

歯홍원기.PDF

歯A1.1함진호.ppt

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Network seminar.key

PowerPoint 프레젠테이션

歯김병철.PDF

*****

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

ìœ€íŁ´IP( _0219).xlsx

À¯Çõ Ãâ·Â

Subnet Address Internet Network G Network Network class B networ

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

슬라이드 제목 없음

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

<4D F736F F D FB1E2BCFAB5BFC7E2BAD0BCAE2DB8F0B9D9C0CF20B3D7C6AEBFF6C5A92DC3D6BFCF2E646F6378>

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

bn2019_2

Microsoft Word - NAT_1_.doc

< FBEC8B3BBB9AE2E6169>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

DBPIA-NURIMEDIA

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

*2008년1월호진짜

°í¼®ÁÖ Ãâ·Â

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

*

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

Today s Challenge 급속도로증가하는트래픽 최근들어, 스마트폰, 태블릿 PC 등모바일단말기의증가와 VoIP, IPTV, 화상회의등 IP 기반애플리케이션의수요증가로인해네트워크상의트래픽은 예년에없던급증세를타고있습니다. 한조사기관에따르면, 2015 년까지 IP 트

thesis-shk

DBPIA-NURIMEDIA

PowerPoint 프레젠테이션

시스템을 제공한다는 특징이 있다. ONOS[4]는 성능, 확장성, 가용성을 중시하는 분산형 SDN 컨트롤러이 며 편의성 있는 Web GUI 와 SDN 컴포넌트 단위의 계층 구조를 통해 어플리케이션을 개발하고 컨트롤 러에 탑재할 수 있는 기능들을 제공한다. 하지만 ONO

歯Cablexpert제안서.PDF

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

歯Documents\심포지엄\산업경

05Çѱ۳»Áö11

Microsoft PowerPoint - ch13.ppt

Microsoft PowerPoint - secu8.pptx

통신서비스품질평가보고서 2017 Evaluation Report for the Quality of Communication Services


Switching

광운소식-68호F

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

2009년 상반기 사업계획


final_thesis

Microsoft PowerPoint - 06-IPAddress [호환 모드]

Ä¡¿ì³»ÁöÃÖÁ¾

1.LAN의 특징과 각종 방식

09오충원(613~623)

歯I-3_무선통신기반차세대망-조동호.PDF

vm-웨어-앞부속

<4D F736F F D20C3D6C1BE202D D E7420B1E2B9DD20B4DCB8BB20C8A3BDBAC6AE20BFEEBFB5C3BCC1A620C0DAB5BF20C6C7BAB02E646F63>

Microsoft PowerPoint - MobileIPv6_김재철.ppt

슬라이드 1

슬라이드 1

1장. 유닉스 시스템 프로그래밍 개요

<목 차 > 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3

본문

Assign an IP Address and Access the Video Stream - Installation Guide

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

Software Requirrment Analysis를 위한 정보 검색 기술의 응용

1 : SDN (Dongha Kim et al. : A Study of Development for High-speed Cloud Video Service using SDN based Multi Radio Access Technology Control Methods).

VZ94-한글매뉴얼


인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

Remote UI Guide

untitled

무선데이터_요금제의_가격차별화에_관한_연구v4.hwp

thesis

TOPAZ into SCADA Something Different. So, Special. 유비쿼터스 세상을 추구하는 - 신영전자통신

목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate

1?4?옥?-32

PowerPoint 프레젠테이션

PCServerMgmt7

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

歯DCS.PDF

광운소식65호출력

untitled

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

歯이시홍).PDF


example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

위해 사용된 기법에 대해 소개하고자 한다. 시각화와 자료구조를 동시에 활용하는 프로그램이 가지는 한계와 이를 극복하기 위한 시도들을 살펴봄으로서 소셜네트워크의 분석을 위한 접근 방안을 고찰해 보고자 한다. 2장에서는 실험에 사용된 인터넷 커뮤니티인 MLBPark 게시판

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

IPv6Q 현배경 > 인터넷의급속한성장 -> IP 주소의고갈 개인휴대통신장치의보급 network TV, VOD 단말기등의인터넷연결 가정용품제어장치의인터넷연결 > 새로운 IP 로의이행문제 IPv4 호스트와의호환성문제를고려하여야합 ~ IPv4 의취약점보완 QoS 지원 인증

Issue 두 가지 상대적 관점에서 검토되고 있다. 특히, 게임 중독에 대한 논의는 그 동안 이를 개인의 심리적 차원에서 접근해왔던 것에서 벗어나 청소년에 대한 사회문화 및 정보 리터러시(literacy) 교육의 방향이라든 지 나아가 게임중독과 관련한 사회구조적인 또는

Transcription:

엔터프라이즈네트워크에서인터넷웜의실시간탐지방법 포항공과대학교정보통신대학원정보통신학과 분산시스템과네트워크관리연구실 2005 년 12 월 21 일 조룡권 rone@postech.ac.kr

목차 서론 연구의필요성과목표 관련연구 인터넷웜탐지알고리즘 웜트래픽발생툴 알고리즘의검증 네트워크에서의탐지결과분석 결론 (2)

서론 (1) 인터넷웜은전파속도가빠르고네트워크의마비를일으킴 1988년 Morris 웜의탄생 2001년 CodeRed 웜의대량전파 2003년 Slammer웜의인터넷대란 인터넷웜의정의 네트워크를통해사용자의개입이없이스스로복사전파하면서취약점이있는서비스를공격하는악성코드 (3)

인터넷웜의트래픽특성 프로토클 : TCP/UDP 취약점이용 : Destination Port 스캐닝 : 순차적 / 랜덤 타겟선정 : 전역 / 부분 / 로컬 스캐닝속도 서론 (2) 탐지방법의연구동향 인터넷전역에서의탐지 Signature를이용한 IDS 시스템 엔터프라이즈네트워크에서의탐지 (4)

연구의필요성과목표 연구의필요성 : 글로벌네트워크가아닌엔터프라이즈네트워크에서실시간탐지가필요하다. Signature 에근거한방법이아닌 Traffic Behavior 에근거한탐지하는방법이필요하다. 연구의목표 : 엔터프라이즈네트워크에서실시간으로 Traffic Behavior 에근거한인터넷웜을탐지하는방법을제시한다. 연구의내용 : 엔터프라이즈네트워크에적합한 traffic behavior 에근거한실시간탐지방법을제안 탐지방법의검증을위하여인터넷웜트래픽 Generator 를개발 탐지알고리즘을검증및실제엔터프라이즈네트워크에구현하고탐지결과의분석 (5)

관련연구 (1) Signature 에의한탐지방법 Misuse IDS (signature based detection) 새로운웜에대한탐지가불가능하다. Signature 대조과정이많은처리시간을요한다. Snort, Bro Upgraded misuse IDS 2004, Bharath, Design of a System for Real-Time Worm Detection, IEEE symposium of High Performance Interconnections 2004 Signature의 Update로웜의signature확보가가능하다. 실시간탐지방법 인터넷웜이발생한후짧은시간내에탐지 짧은시간내에대량의트래픽을처리 (6)

관련연구 (2) 인터넷전역을대상으로하는탐지방법 수학적모델링방법 2003, C.C.Zou, Monitoring and Early Warning for Internet Worms, ACM Conference on Computer and Communications Security (CCS 03) 2003, Chen, Modeling the Spread of Active Worms WORM 2003 on Network Security ICMP type 3 메시지를이용한탐지방법 2002,George Bakos, Early Detection of Internet Worm Activity by Metering ICMP Destination Unreachable Messages, The International Society for Optical Engineering (SPIE) 대형보안업체의웜로그를수집하는방법 Symantec, CAIDA 같은보안관련연구단체에서전세계웜의로그를수집하여분석하는방법 (7)

관련연구 (3) 엔터프라이네트워크를대상으로하는탐지방법 Destination-Source Correlation 알고리즘 2004, Gu, Worm Detection, Early Warning and Response Based on Local Victim Information, Annual Computer Security Applications Conference (ACSAC 2004) Honey-Pot을이용한탐지방법 2004, Christian Kreibich, Jon Crowcroft, Honeycomb-Creating Intrusion Detection Signatures Using Honeypots, ACM SIGCOMM Computer Communications 2004 (8)

인터넷웜탐지알고리즘 (1) 취약점이존재하는서비스 ( 목적지포트 ) 스캐닝속도 ( 한호스트에서대량의스캐닝트래픽발생 ) Suspicious List: Scanning Rate이임계치값을넘는3-tuple flow 3-tuple flow: 같은 Destination Port, Source Host, Protocol을가지고있는패킷의집합 목적지주소의분포 ( 랜덤 / 순차적 ) Sequential Worm: 순차적 : 목적지주소가순차적이다 Random Worm: 랜덤 : 할당되지않는 IP 주소에대한스캐닝 (IANA IPv4 Allocation Table 사용 ) 높은목적지주소의분산도 해당포트의목적지주소의분산도가높다 Ingress 트래픽에서해당목적지포트의목적지주소의분산도이용 (9)

인터넷웜탐지알고리즘 (2) (10)

인터넷웜탐지알고리즘 (3) 시스템의구조 (11)

WTG 개발의필요성 웜트래픽발생툴 (1) 인터넷웜의특성파악을위해필요하다. 실제인터넷웜트래픽을확보하기어렵다. Simulate을통한방법의한계 IDS나 Firewall 의검증에필요하다. 제안한 IDS 알고리즘검증 Penetration Testing Worm Traffic Generator User Friendly GUI 인터넷웜트래픽특성패러미터선택 Parameter Aggregation 웜성격을결정하고 Thread를생성하고제어 Traffic Generation 패킷을생성하고트래픽을발생 (12)

User Friendly Interface Java Swing based 웜트래픽발생툴 (2) Major Worm 의선택 패러미터에의한선택 (13)

웜트래픽발생툴 (3) Parameter Aggregation Major Worms Slammer Worm: {UDP 1434, Global Random, Bandwidth-limited, No interval time} CodeRed: {TCP 80, Global Random, 300 or 600 packets/interval, 21s interval} Blaster: {TCP 135, Local Sequential, Up to 300 packets/interval, 20s interval} Parameters Protocol (TCP/UDP) Destination Ports Scanning Rate Scanning Property (Random/Sequential) Scanning Targets (Global/Local) Number of host infected (Thread) Traffic Generation Destination IP Generation Packet manipulation IP header /TCP/ UDP 패킷 Send Packets (RAW Socket) (14)

실험환경 Worm Detection System 알고리즘의검증 (1) Worm Traffic Generator Firewall Bridge 검증에사용된트래픽 Global-Random Scanning Traffic Global-Sequential Scanning Traffic Local Random/Sequential Scanning Traffic DPNM 연구실에구축한실험환경 (15)

알고리즘의검증 (2) Global-Random 웜트래픽의탐지 UDP-1434-Random-Global-unlimited 웜트래픽 2005년 12월 17일 12:23분 WDS 탐지결과 UDP Random 웜의목적지주소분포 300 250 두번째바이트주소 200 150 100 50 0 0 50 100 150 200 250 300 첫바이트주소 WDS 에서수집된웜트래픽 (16)

Global-Sequential 웜의탐지 알고리즘의검증 (3) TCP-SYN-Sequential-Global-20s Interval Scanning 2005년 12월 17일 1시 37분 300 Sequential Worm 의목적지주소 마지막 Octet 의값 250 200 150 100 50 WDS 에서수집된 Sequential 웜트래픽 0 1 101 201 패킷개수 (17)

알고리즘의검증 (4) Local Random/Sequential 웜트래픽탐지 2005 년 12 월 17 일 04:31, 04:33 로컬랜덤웜의 3,4 Octet 분포 4 번째 Octet 의분포 300 250 200 150 100 50 3,4 번째 Octet 의분포 300 250 200 150 100 50 로컬 Sequential 웜의목적지주소 3id Octet 4th Octet 0 0 50 100 150 200 250 300 3 번째 Octet 의분포 0 1 101 201 301 401 501 601 701 801 901 패킷의개수 (18)

네트워크에서의탐지환경 트래픽의수집과웜탐지시스템 (WDS) Optical Tap 1Gbps Optical Links Campus Network Core Switch Internet Routers Internet Worm Detection System (19)

네트워크에서의탐지결과 (1) 2005년 12월 20일 21:00에탐지된 Suspicious List 20개의 Suspicious hosts와 6개의 Suspicious ports 1개의웜에감염된호스트 (20)

네트워크에서의탐지결과 (2) 인터넷웜에감염된호스트는 UDP 5445 포트로 1965 개의순차적스캐닝패킷을발생하였다. (21)

네트워크에서의탐지결과 (3) 2005년 12월 20일 01:58에탐지된랜덤스캐닝웜 2307개의랜덤목적지주소에 8713개의스캐닝패킷을발생 (22)

결론 요약 엔터프라이즈네트워크에적합한실시간인터넷웜의탐지알고리즘을제시하고알고리즘을검증하였다. 인터넷웜트래픽 Generator를개발하였다. 인터넷웜의탐지시스템을실제로구현하여 네트워크에적용하였다. 앞으로의과제 새로운웜에대응하는방법에대한더깊은연구가필요하다. 다양한범위의엔터프라이즈네트워크에서의실험이필요하다. Ingress Network에서탐지방법의연구가더필요하다. (23)

감사합니다! (24)

2024 © docsplayer.org 개인정보보호 | 약관 | 지원