한국통신학회논문지 (The Journal of Korean Institute of Communications and Information Sciences)

  • 제35권3B호
  • /
  • Pages.431-439
  • /
  • 2010
  • /
  • 1226-4717(pISSN)
  • /
  • 2287-3880(eISSN)
한국통신학회 (The Korean Institute of Commucations and Information Sciences)
권호 표지

인터넷 웜 공격으로부터 서버를 보호하기 위한 악성 프로세스 제어 시스템

A Malicious Process Control System for Protecting Servers from Internet Worm Attacks

  • 투고 : 2009.09.11
  • 심사 : 2010.02.04
  • 발행 : 2010.03.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

탐지룰을 기반으로 하는 보안 시스템들은 신종 인터넷 웜에 대응할 수 없다는 문제가 있다. 본 논문에서는 탐지룰을 사용하지 않고 인터넷 웜 공격으로부터 서버를 보호하는 악성 프로세스 및 실행파일 제거 시스템을 제안한다. 제안 시스템은 보호대상서버와 동일한 서비스 프로그램을 구동하면서 인터넷 웜에 의한 멀티캐스팅 공격을 탐지하는 제어서버와 제어서버의 지시에 따라 보호대상서버에 생성된 악성 프로세스와 악성 실행파일을 제거하는 에이전트로 구성된다. 제안 시스템은 탐지룰을 사용하지 않기 때문에 신종 인터넷 웜에 효과적으로 대응할 수 있으며, 기존의 보안 시스템들과 통합될 경우 보안을 더욱 강화할 수 있다.

The security systems using signatures cannot protect servers from new types of Internet worms. To protect servers from Internet worms, this paper proposes a system removing malicious processes and executable files without using signatures. The proposed system consists of control servers which offer the same services as those on protected servers, and agents which are installed on the protected servers. When a control server detects multicasting attacks of Internet worm, it sends information about the attacks to an agent. The agent kills malicious processes and removes executable files with this information. Because the proposed system do not use signatures, it can respond to new types of Internet worms effectively. When the proposed system is integrated with legacy security systems, the security of the protected server will be further enhanced.

키워드

참고문헌

  1. 고준상, 김봉한, 이재광, "LCSeq를 이용한 변형 웜 시그너쳐 생성 엔진 구현", 한국콘텐츠학회논문지, 제 7권, 제 11호, pp.94-101, 2007.
  2. 오진태, 김대원, 김익균, 장종수, 전용희, "고속 정적 분석 방법을 이용한 폴리모픽 웜 탐지", 한국정보보호학회논문지, 제19권, 제4호, pp.29-39, 2009.
  3. 김익수, 조혁, 김명호, "스캔 기반의 인터넷 웜 공격 탐지 및 탐지룰 생성 시스템 설계 및 구현", 한국정보처리학회논문지, 제 12-C권, 제2호, pp.191-200, 2005.
  4. 강신헌, 김재현, "네트워크 트래픽 특성 분석을 통한 스캐닝 웜 탐지 기법", 한국정보과학회논문지, 제35권, 제6호, pp.474-481, 2008.
  5. 황유동, 박동규, 유승엽, 임황빈, 장종수, 오진태, "자기 복제 성질을 이용한 웜 탐지 기법에 대한 연구", 한국통신학회논문지, 제34권, 제6호, pp.169-178, 2009.
  6. L. Spitzer, Honeypots: Tracking Hackers, Addison-Wesley, 2002.
  7. L. Spitzer, Honeypot Farms, http://www.securityfocus.com/infocus/1720, 2003.
  8. Know Your Enemy: Honeynets, http://old.honeynet.org/papers/honeynet/, 2005.
  9. C. Hoepers, K. Steding-Jessen, L. Cordeiro, and M. Chaves, "A National Early Warning Capability Based on a Network of Distributed Honeypots," 17th Annual FIRST Conference on Computer Security Incident Handling, 2005.
  10. X. Jiang, D. Xu, and Y. Wang, "Collapsar: A VM-based Honeyfarm and Reverse Honeyfarm Architecture for Network Attack Capture and Detention," Journal of Parallel and Distributed Computing, Vol.66, No.9, pp.1165-1180, 2006. https://doi.org/10.1016/j.jpdc.2006.04.012
  11. H. Artail, H. Safa, M. Sraj, I. Kuwatly, and Z. Al-Masri, "A Hybrid Honeypot Framework for Improving Intrusion Detection Systems in Protecting Organizational Networks," Computers & Security, Vol.25, No.4, pp.274-288, 2006. https://doi.org/10.1016/j.cose.2006.02.009
  12. 김익수, 김명호, "사용되지 않는 포트를 이용하여 해커를 허니팟으로 리다이렉트하는 시스템 설계 및 구현", 한국정보보호학회논문지, 제16권, 제 5호, pp.15-24, 2006.
  13. http://www.cert.org/advisories/CA-2002-27.html
  14. MS08-067 악성코드 분석, 한국정보보호진흥원, 2008
  15. U. Lindqvist and P. Porras, "Detecting Computer and Network Misuse through the Production-based Expert System Toolset(P-BEST)," Proceedings of the 1999 IEEE Symposium on Security and Privacy, pp.146-161, 1999.
  16. S. Stolfo, S. Hershkop, L. Bui, R. Ferster, and K. Wang, "Anomaly Detection in Computer Security and an Application to File System Accesses," ISMIS 2005, pp.14-28, 2005.
  17. C. Michael and A. Ghosh, "Simple, State-based Approaches to Program-based Anomaly Detection," ACM Transactions on Information and System Security, Vol.5, Issue 3, pp.203-237, 2002. https://doi.org/10.1145/545186.545187
  18. M. Roesch, "Snort - Lightweight Intrusion Detection for Networks," Proc. of LISA '99: 13th Systems Administration Conference, Nov. 1999.