버퍼 오버플로우 웜 고속 필터링을 위한 네트워크 프로세서의 Bloom Filter 활용

A Bloom Filter Application of Network Processor for High-Speed Filtering Buffer-Overflow Worm

  • 김익균 (한국전자통신연구원, 정보보호연구단) ;
  • 오진태 (한국전자통신연구원, 정보보호연구단) ;
  • 장종수 (한국전자통신연구원, 정보보호연구단) ;
  • 손승원 (한국전자통신연구원, 정보보호연구단) ;
  • 한기준 (경북대학교 컴퓨터공학과)
  • 발행 : 2006.07.01

초록

컨텐츠를 기반으로 인터넷 웜등의 유해 패킷을 네트워크에서 차단하는 기술은 탐지의 정확도와 네트워크 성능의 한계 극복 이라는 두 가지 문제에 초점이 맞추어져 있다. 특히 멀티 기가비트 성능을 기본으로 하는 현재의 전달 네트워크에서 고속으로 웜 트래픽을 차단하는 능력이 주요 이슈로 대두되고 있다. 본 논문은 라우터 혹은 방화벽과 같은 통신 및 보안 장비에 주요 기술로 사용되는 네트워크 프로세서 환경에서 멀티 기가비트 수준으로 고속 원 필터링이 가능한 구현 구조를 제안한다. 고속 원 필터링을 위한 설계의 특징으로는 네트워크 프로세서가 가지는 내부 레지스터와 메모리의 자원 한계점을 극복하기 위하여 Bloom Filter를 활용하였고, 특히 버퍼 오버플로우 기법을 이용하는 웹들에 대해 단순 패턴매칭 뿐만 아니라, 유해 코드의 길이 검사를 수용할 수 있는 구조로 시그너처 관리가 확장 가능하도록 설계되었다. 설계된 고속 웜-필터링 구조를 기가비트 이더넷 인터페이스를 가진 Intel IXP 네트워크 프로세서 플랫폼에서 마이크로 코드형태로 구현하였고, 알려진 원들이 포함된 트래픽을 사용하여 그 성능을 분석하였다.

Network solutions for protecting against worm attacks that complement partial end system patch deployment is a pressing problem. In the content-based worm filtering, the challenges focus on the detection accuracy and its performance enhancement problem. We present a worm filter architecture using the bloom filter for deployment at high-speed transit points on the Internet, including firewalls and gateways. Content-based packet filtering at multi-gigabit line rates, in general, is a challenging problem due to the signature explosion problem that curtails performance. We show that for worm malware, in particular, buffer overflow worms which comprise a large segment of recent outbreaks, scalable -- accurate, cut-through, and extensible -- filtering performance is feasible. We demonstrate the efficacy of the design by implementing it on an Intel IXP network processor platform with gigabit interfaces. We benchmark the worm filter network appliance on a suite of current/past worms, showing multi-gigabit line speed filtering prowess with minimal footprint on end-to-end network performance.

키워드

참고문헌

  1. J. W. Lockwood, 'Evolvable Internet Hardware Platforms', Evolvable Hardware Workshop, Long Beach, CA, USA, July 12-14, 2001, pp. 271-279 https://doi.org/10.1109/EH.2001.937971
  2. B. Bloom. Space/time trade-offs in hash coding with allowable errors, Communication of the ACM 13(7):422-426, July 1970 https://doi.org/10.1145/362686.362692
  3. Andrei Broder, Michael Mitzenmacherz, 'Network Applications of Bloom Filter : Survey', In 40th Conference on Communication, Control, and Computing, 2002
  4. L. Fan, P. Cao, J. Almeida, and A. Z. Broder. Summary cache: a scalable wide-area Web cache sharing protocol. IEEE/ACM Transac-tions on Networking, 8(3):281-293, 2000 https://doi.org/10.1109/90.851975
  5. S. C. Rhea and J. Kubiatowicz. In Proc. of INFOCOM-02, June 2002 https://doi.org/10.1109/INFCOM.2002.1019375
  6. A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer. Hash-Based IP traceback. In Proceedings of the ACM SIGCOMM 2001 Conference (SIGCOMM-01), volume 31:4 of Computer Communication Review, August 2001 https://doi.org/10.1145/383059.383060
  7. S. Dharmapurikar and P. Krishnamurthy and T. Sproull and J. Lockwood, Deep packet inspection using parallel Bloom filters, in Hot Interconnects, (Stanford, CA), pp. 44-51, Aug. 2003
  8. International Organization for Standardization Information Processing Systems. Data Communication High-Level Data Link Control Procedure. Frame Structure. ISO 3309, Oct, 1984
  9. T. Toth and C. Krugel, Accurate buffer overflow detection via abstract payload execution. In RAID, pages 274-291; 2002
  10. R. Chinchani and E. van den Berg. A fast static analysis approach to detect exploit code inside network flows. In RAID 2005
  11. O. Kolesnikov and W. Lee. Advanced poly-morphic worms : Evading IDS by blending in with normal traffic. Technical report, Georgia Tech, 2004
  12. M. Roesch. SNORT-lightweight intrusion detec-tion for networks. In Proceedings of the 13th Systems Administration Conference, 1999
  13. J, Coit, S. Staniford, and J.McAlemey. Towards faster string matching for intrusion detection or exceeding the speed of snort. In Proceedings of DISCEX II, June 2001 https://doi.org/10.1109/DISCEX.2001.932231
  14. R. Sidhu and V. K. Prasanna. Fast Regular Expression Matching using FPGAs. In IEEE Symposium on Field-Programmable Custom ComputingMachines (FCCM), Rohnert Park, CA, USA, Apr. 2001
  15. R. Fanklin, D. Caraver, and B. Hutchings. Assisting network intrusion detection with reconfigurable hardware. In Proceedings from Field Programmable Custom Computing Machines, 2002 https://doi.org/10.1109/FPGA.2002.1106666
  16. J. Gustafson. Re-evaluating Amdahl's law. Communications of the ACM, 31(5), 532--533, May 1988 https://doi.org/10.1145/42411.42415
  17. V. Paxson, Bro: A System for Detecting Network Intruders in Real-Time, Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999 https://doi.org/10.1016/S1389-1286(99)00112-7
  18. E. Chien, and P. Szor, 'Blended Attacks Exploits, Vulnerabilities and. Buffer-Overflow Techniques in Computer Viruses,' In Proc. of Virus. Bulletin Conf, 2002
  19. S. Bradner, J. McQuaid, 'Benchmarking Metho-dology for Network Interconnect Devices', IETF, RFC2544, 1999