The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

The Design and Implementation of High Performance Intrusion Prevention Algorithm based on Signature Hashing

시그너처 해싱 기반 고성능 침입방지 알고리즘 설계 및 구현

  • 왕정석 (숭실대학교 전자공학과) ;
  • 정윤재 (숭실대학교 전자공학과 대학원) ;
  • 권희웅 (숭실대학교 전자공학과) ;
  • 정규식 (숭실대학교 정보통신전자공학부) ;
  • 곽후근 (숭실대학교 전자공학과 대학원)
  • Published : 2007.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

IPS(Intrusion Prevention Systems), which is installed in inline mode in a network, protects network from outside attacks by inspecting the incoming/outgoing packets and sessions, and dropping the packet or closing the sessions if an attack is detected in the packet. In the signature based filtering, the payload of a packet passing through IPS is matched with some attack patterns called signatures and dropped if matched. As the number of signatures increases, the time required for the pattern matching for a packet increases accordingly so that it becomes difficult to develop a high performance US working without packet delay. In this paper, we propose a high performance IPS based on signature hashing to make the pattern matching time independent of the number of signatures. We implemented the proposed scheme in a Linux kernel module in a PC and tested it using worm generator, packet generator and network performance measure instrument called smart bit. Experimental results show that the performance of existing method is degraded as the number of signatures increases whereas the performance of the proposed scheme is not degraded.

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. IPS에서 주로 사용되는 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다. 제안한 방식을 리눅스 커널 모듈 형태로 PC에서 구현하였고 월 발생기, 패킷발생기, 스마트비트라는 네트워크 성능 측정기를 이용하여 시험하였다. 실험결과에 의하면 기존 방식에서는 시그너처 개수가 증가함에 따라 성능이 저하되었지만 본 논문에서 제안한 방식은 성능이 저하되지 않았다.

Keywords

References

  1. 정보흠, '침입방지시스템 기술 현황 및 전망', 주간기술동향 통권 1098호, June. 2003
  2. X. Zhang, C.Li, and W.Zheng, 'Intrusion Prevention System Design', Proceedings of the Fourth International Conference on Computer and Information Technology, Sep., 2004 https://doi.org/10.1109/CIT.2004.1357226
  3. M. Gokhale, D. Dubois, A. Dubois, M. Boorman, S. Poole, and V. Hogsett, 'Granidt: Towards Gigabit Rate Network Intrusion Detection Technology', The 12th International Conference on Field-Programmable Logic and Applications, Sep., 2002 https://doi.org/10.1007/3-540-46117-5
  4. Y.H. Cho, S. Navab, and W. H. Mangione-Smith, 'Specialized Hardware for Deep Network Packet Filtering', The International Conferene on Field Programmable Logic and Applications, Sep., 2002 https://doi.org/10.1007/3-540-46117-5_48
  5. I. Sourdis and D.Pnevmatikatos, 'Fast, Lage-Scale String Match for a 10Gbps FPGA-based Network Intrusion Detection System', The 13th International Conference on Field Programmable Logic and Application, Sep., 2003 https://doi.org/10.1007/b12007
  6. I. Sourdis and D.Pnevmatikatos, 'Pre-decoded CAMs for Efficient and High-Speed NIDS Pattern Matching', The 12th Annual IEEE Symposium on Field Programmable Custom Computing Machines, Apr., 2004 https://doi.org/10.1109/FCCM.2004.46
  7. Netfilter, http://www.netfilter.org
  8. A. Aho, M. Corasick, 'Efficient string matching: an aid to biliographic search', Comm. ACM. 18:333-40, 1975 https://doi.org/10.1145/360825.360855
  9. S. Dharmapurikar, P.Krishnamurthy, T.Sproull, and J.W. Lockwood, 'Deep Packet Inspection Using Parallel Bloom Filters', The International Symposium on High Performance Interconnects (HotI), Aug., 2003
  10. Snort. http://www.snort.org/
  11. 김선일, '네트워크 침입방지 시스템을 위한 고속 패턴 매칭 가속 시스템', 정보처리학회논문지 A, 제12-A권 제2호, Apr., 2005
  12. J. Lockwood, 'Fast and Scalable Pattern Matching for Content Filtering', Architectures for Networking and Communication System(ANCS), Oct., 2005 https://doi.org/10.1109/ANCS.2005.4675278
  13. J. Moscola, J. Lockwood, R. P. Loui, and M. Pachos, 'Implementation of a Content-Scanning Module for an Internet Firewall', The 11th Annual IEEE Symposium on Field-Programmable Custom Computing Machines, Apr., 2003
  14. 전용희, '침입방지시스템(IPS)의 기술 분석 및 성능평가 방안', 정보보호학회지, 제15권, 제2호, Apr., 2005
  15. An NSS Group Report V 1.0, 'Intrusion Prevention Systems(IPS), Group Test', NSS, Jan., 2004
  16. Smartbits, http://www.spirentcom.com/

Cited by

  1. An Improved Signature Hashing Algorithm for High Performance Network Intrusion Prevention System vol.16C, pp.4, 2009, https://doi.org/10.3745/KIPSTC.2009.16-C.4.449