Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

GENESIS: An Automatic Signature-generating Method for Detecting Internet Disk P2P Application Traffic

GENESIS: Internet Disk P2P 트래픽 탐지를 위한 시그너춰 자동 생성 방안

  • 이병준 (한국전자통신연구원 NCP기술팀) ;
  • 윤승현 (한국전자통신연구원 NCP기술팀) ;
  • 이영석 (충남대학교 전기정보통신공학부 컴퓨터)
  • Published : 2007.08.15
Download PDF
⟨ Previous Next ⟩

Abstract

Due to the bandwidth-consuming characteristics of the heavy-hitter P2P applications, it has become critical to have the capability of pinpointing and mitigating P2P traffic. Traditional port-based classification scheme is no more adequate for this purpose because of newer P2P applications, which incorporating port-hopping techniques or disguising themselves as HTTP-based Internet disk services. Alternatively, packet filtering scheme based on payload signatures suggests more practical and accurate solution for this problem. Moreover, it can be easily deployed on existing IDSes. However, it is significantly difficult to maintain up-to-date signatures of P2P applications. Hence, the automatic signature generation method is essential and will be useful for successful signature-based traffic identification. In this paper, we suggest an automatic signature generation method for Internet disk P2P applications and provide an experimental results on CNU campus network.

다량의 네트워크 대역폭을 소모하는 P2P 응용 프로그램 트래픽을 차단하기 위해, 학내망 혹은 기업망의 방화벽에는 상례적으로 P2P 트래픽 차단 규칙들이 등록되고 있다. 하지만 포트 번호만을 사용하는 단순한 차단 규칙들은 'Port Hopping' 등의 기법으로 방화벽을 우회하거나, HTTP 기반 인터넷 디스크 서비스 등으로 위장된 P2P 응용의 트래픽은 차단해 내지 못한다. 이러한 트래픽을 올바르게 식별하고 차단하기 위해서는 페이로드 시그너춰(payload signature) 기반의 패킷 식별 방법을 사용하여야 하며, 현재 상당수의 IDS 시스템들이 이를 지원한다. 하지만 이 방법은 정확도가 높고 간단하게 적용될 수 있는 반면, 시그너춰를 찾는 작업 자체의 난이도가 높아서 시그너춰의 목록을 최신 상태로 유지하는 것이 어렵다. 그러므로 이 방법이 효율적으로 운용되기 위해서는 패킷의 페이로드(payload)로부터 시그너춰를 자동 추출하는 방안이 필요하다. 본 논문에서는 인터넷 디스크 형태로 서비스되는 P2P 응용 프로그램의 시그너춰를 자동 추출하는 방안을 소개하고, 해당 방안을 충남대학교 학내망에 적용한 사례를 보인다.

Keywords

References

  1. S. Sen, O. Spatscheck, and D. Wang, ' Accurate, Scalable In-Network Identification of P2P Traffic Using Application Signatures,' WWW, 2004
  2. P. Haffnet, S. Sen, O. Spatscheck, and D. Wang, 'ACAS: Automated Construction of Application Signatures,' ACM SIGCOMM, 2005
  3. S. Singh, C. Estan, G. Varghese, and S. Savage, ' Automated Worm Fingerprinting,' OSDI, 2004
  4. J. Newsome, B. Karp, and D. Song, 'Polygraph: Automatically Generating Signatures for Polymorphic Worms,' IEEE Symposium on Security and Privacy, 2005
  5. H. Kim and B. Karp, 'Autograph: Toward Automated, Distributed Worm Signature Detection,' 13th USENIX Security Symposium, 2004
  6. T. Karagiannis, A. Broido, M. Faloutsos, and K. C. Claffy, 'Transport Layer Identification of P2P Traffic,' ACM Internet Measurement Conference, 2004
  7. T. Karagiannis, K. Papagiannaki, and M. Faloutsos, 'BLINC: Multilevel Traffic Classification in the Dark,' ACM SIGCOMM, 2005
  8. M. Roughan, S. Sen, O. Spatscheck, and N. Duffield,' Class-of-Service Mapping for QoS: A Statistical Signature-based Approach to IP Traffic Classification,' ACM Internet Measurement Conference, 2004
  9. W. Moore and D. Zuev, 'Internet Traffic Classification Using Bayesian Analysis Techniques,' ACM SIGMETRICS, 2005
  10. T. Choi, S. Yoon, H. Chung, J. Park, B. Lee, S. Yoon, and T. Jeong, ' Flow-based Applicationaware Internet Traffic Monitoring and Field Trial Experiences,' APNOMS, 2005
  11. Luca Deri, ' Open Source VoIP Traffic Monitoring,' SANE 2006