Journal of the Korea Society of Computer and Information (한국컴퓨터정보학회논문지)

Korean Society of Computer Information (한국컴퓨터정보학회)
권호 표지
DOI QR코드

DOI QR Code

Efficient Attack Traffic Detection Method for Reducing False Alarms

False Alarm 감축을 위한 효율적인 공격 트래픽 탐지 기법

  • 최일준 (충북대학교 전기전자컴퓨터공학부) ;
  • 추병균 (충주대학교 컴퓨터공학과) ;
  • 오창석 (충북대학교 전기전자컴퓨터공학부)
  • Published : 2009.05.31
Download PDF
⟨ Previous Next ⟩

Abstract

The development of IT technology, Internet popularity is increasing geometrically. However, as its side effect, the intrusion behaviors such as information leakage for key system and infringement of computation network etc are also increasing fast. The attack traffic detection method which is suggested in this study utilizes the Snort, traditional NIDS, filters the packet with false positive among the detected attack traffics using Nmap information. Then, it performs the secondary filtering using nessus vulnerability information and finally performs correlation analysis considering appropriateness of management system, severity of signature and security hole so that it could reduce false positive alarm message as well as minimize the errors from false positive and as a result, it raised the overall attack detection results.

IT의 발전으로 많은 컴퓨터 사용자들이 인터넷 사용을 생활화하고 있다. HTML 기술을 이용한 웹 기술의 발전은 현대인들의 정보를 빠르고 쉽게 공유할 수 있도록 하고 있으며, 그 이용이 기하급수적으로 증가하고 있는 추세이다. 그러나 그에 따른 부작용으로 중요 시스템에 대한 정보 유출, 전산망 침해 등과 같은 침입 행위 또한 빠른 속도로 증가하고 있다. 이에 본 논문에서 제안하는 공격 트래픽 탐지 기법은 전통적인 네트워크기반 공개 침입탐지시스템인 Snort 탐지한 공격 트래픽 중 false positive 가능성이 있는 패킷을 Nmap 정보를 이용하여 필터링하고, nessus 취약점 정보를 이용하여 2차 필터링을 실시한 후, 운영체제의 적합성, 시그너처 위험도, 보안 취약점을 고려하여 상관성 분석을 최종적으로 실시하여 false positive 경고 메시지를 줄이고 false positive에 의한 오류를 최소화하여 전체적인 공격 탐지 결과를 높였다.

Keywords

References

  1. OWASP. vulnerability, http://www.owasp.org/index.php./OWASP:About.
  2. S. Kumar, "Classification and Detection of Computer Intrusion", Department of Computer Sciences, Purdue University, PhD Dissertation, Coast TR 95-08, 1995.
  3. A. Valdes and K. Skinner, "Probabilistic alert correlation", RAID 2001, pp. 54-68, 2001.
  4. Jonatan Gomez, Fabio Gonzakez, Dipankar Dasgupta, "An Immuno-Fuzzy Approach to Anomaly Detection" in Proc. IEEE, 2003.
  5. Snort Signature Database, http://www.snort.org/snort-db/sid.html?sid=112.
  6. 신현준, 최일준, 추병균, 오창석 "웹 트래픽 분석을 통한 유해 트래픽 탐지", 한국컴퓨터정보학회 논문지, 제12권 제2호, 221-229쪽, 2007년 5월.
  7. 장문수, 오창석 "트래픽 분석에 의한 웹 어플리케이션 공격 방지", 한국컴퓨터정보학회 논문지, 제13권 제3호, 139-146쪽, 2008년 5월.
  8. 한순재, "상관성을 이용한 웹 기반의 침입탐지 트래픽 분석", 충북대학교 대학원, 석사학위논문 2004년 2월.
  9. 최일준, 구경옥, "상관성을 이용한 웹 공격 탐지 기법", 한국엔터테인먼트산업학회 2008년 춘계학술대회 논문집, 70-73쪽 2008년 5월.
  10. 홍성민, 최일준, 추병균, 오창석, "사용자 인증과 파라미터 암호화를 이용한 웹 공격 차단 알고리즘", 한국엔터테인먼트산업학회 논문지, 제1권, 제1호, 54-59쪽, 2007년 12월.
  11. A. Valdes and K. Skinner, "Probabilistic alert correlation", RAID 2001: pp. 54-68, 2001.
  12. H. Debar and A. Wespi, "Aggregation and correlation of intrusion-detection alerts", In Recent Advances in Intrusion Detection, 2001.
  13. P. Ning and Y. Cui, "An intrusion alert correlator based on prerequisites of intrusion", North Carolina State University, January 2002.
  14. C. Schuba, I. Krsul, M. Kuhn, E. Spafford, A. Sundaram, D. Zamboni, "Analysis of a Denial of Service Attack on TCP", Proc. of the IEEE Symp, on Security and Privacy: pp. 208-223, 1997.
  15. R. Stone, "An IP Overlay Network for Tracing DoS Floods", in Proc. 2000 USENIX Security Symp. 2000.
  16. D. Dittrich, "Distributed Denial of Service Attacks/tools Resource Page" University of Wasington, 2000.