A Detection Mechanism of Portscan Attacks based on Fuzzy Logic for an Abnormal Traffic Control Framework

비정상 트래픽 제어 프레임워크를 위한 퍼지로직 기반의 포트스캔 공격 탐지기법

  • Kim, Jae-Kwang (School of Info. and Comm. Eng., Sungkyunkwan University) ;
  • Kim, Ka-Eul (School of Info. and Comm. Eng., Sungkyunkwan University) ;
  • Ko, Kwang-Sun (School of Info. and Comm. Eng., Sungkyunkwan University) ;
  • Kang, Yong-Hyeog (Dep. of Business Administration, Far East University) ;
  • Eom, Young-Ik (School of Info. and Comm. Eng., Sungkyunkwan University)
  • 김재광 (성균관대학교 정보통신공학부) ;
  • 김가을 (성균관대학교 정보통신공학부) ;
  • 고광선 (성균관대학교 정보통신공학부) ;
  • 강용혁 (극동대학교 경영학부) ;
  • 엄영익 (성균관대학교 정보통신공학부)
  • Published : 2005.05.13

Abstract

비정상 행위에 대한 true/false 방식의 공격 탐지 및 대응방법은 높은 오탐지율(false-positive)을 나타내기 때문에 이를 대체할 새로운 공격 탐지방법과 공격 대응방법이 연구되고 있다. 대표적인 연구로는 트래픽 제어 기술을 이용한 단계적 대응방법으로, 이 기술은 비정상 트래픽에 대해 단계적으로 대응함으로써 공격의 오탐지로 인하여 정상 서비스를 이용하는 트래픽이 차단되지 않도록 하는 기술이다. 비정상 트래픽 중 포트스캔 공격은 네트워크 기반 공격을 위해 공격대상 호스트의 서비스 포트를 찾아내는 공격으로 이 공격을 탐지하기 위해서는 일정 시간동안 특정 호스트의 특정 포트에 보내지는 패킷 수를 모니터링 하여 임계치와 비교하는 방식의 true/false 방식의 공격 탐지방법이 주로 사용되었다. 비정상 트래픽 제어 프레임워크(Abnormal Traffic Control Framework)는 true/false 방식의 공격 탐지방법을 이용하여 공격이 탐지되었을 때, 처음에는 트래픽 제어로 대응하고 같은 공격이 재차 탐지되었을때, 차단하여 기존의 true-false 방식의 공격 탐지 및 대응방법이 가지는 높은 오탐지율을 낮춘다. 하지만 포트스캔 공격의 특성상, 공격이 탐지된 후 바로 차단하지 못하였을 경우, 이미 공격자가 원하는 모든 정보를 유출하게 되는 문제가 있다. 본 논문에서는 기존의 True/False 방식의 포트스캔 공격 탐지방법에 퍼지 로직 개념을 추가하여 공격 탐지의 정확성을 높이고 기존의 탐지방법을 이용하였을 때보다 신속한 트래픽 제어 및 차단을 할 수 있는 방법을 제안한다.

Keywords