Journal of Korea Multimedia Society (한국멀티미디어학회논문지)

Korea Multimedia Society (한국멀티미디어학회)
권호 표지

Verification of Extended TRW Algorithm for DDoS Detection in SIP Environment

SIP 환경에서의 DDoS 공격 탐지를 위한 확장된 TRW 알고리즘 검증

  • 윤성열 (경원대학교 전자계산학) ;
  • 하도윤 (한국인터넷진흥원 융합보호R&D팀) ;
  • 정현철 (한국인터넷진흥원 융합보호R&D팀) ;
  • 박석천 (경원대학교 IT대학)
  • Received : 2009.11.30
  • Accepted : 2000.12.24
  • Published : 2010.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Many studies are DDoS in Internet network, but the study is the fact that is not enough in a voice network. Therefore, we designed the extended TRW algorithm that was a DDoS attack traffic detection algorithm for the voice network which used an IP data network to solve upper problems in this article and evaluated it. The algorithm that is proposed in this paper analyzes TRW algorithm to detect existing DDoS attack in Internet network and, design connection and end connection to apply to a voice network, define probability function to count this. For inspect the algorithm, Set a threshold and using NS-2 Simulator. We measured detection rate by an attack traffic type and detection time by attack speed. At the result of evaluation 4.3 seconds for detection when transmitted INVITE attack packets per 0.1 seconds and 89.6% performance because detected 13,453 packet with attack at 15,000 time when transmitted attack packet.

인터넷 망에서의 서비스 거부 공격에 대해서는 많은 연구가 진행 중이지만 음성망에서는 그 연구가 미흡한 실정이다. 따라서 본 논문에서는 위의 문제점을 해결하기 위해 IP 데이터망을 사용하는 음성망을 대상으로 한 DDoS 공격 트래픽 탐지 알고리즘인 확장된 TRW 알고리즘을 설계하고 평가하였다. 본 논문에서 제안한 알고리즘은 기존 DDoS 공격을 인터넷 망에서 탐지하는 TRW 알고리즘을 분석하고, 이를 음성망에 적용하기 위해 연결 과정과 연결 종료 과정을 설계하며, 이를 카운트하는 확률 함수를 정의하였다. 제안한 알고리즘을 검증하기 위해 임계치를 설정하고, NS-2 시뮬레이터를 이용하였다. 공격 트래픽 종류에 따른 탐지율을 측정하였으며, 공격 패킷의 공격속도에 따른 탐지 시간을 측정하였다. 평가 결과 0.1초당 1개의 INVITE 공격 패킷을 송신하였을 때 이를 탐지하기 위한 시간으로 4.3초가 소요되었고, 각기 다른 15,000개의 공격 패킷을 송신하였을 때 13,453개를 공격으로 판단하였기 때문에 전체 공격에 대한 탐지율로 89.6%의 성능을 확인할 수 있었다.

Keywords

Acknowledgement

Grant : SIP기반 응용서비스 보호를 위한 침입대응기술 개발

Supported by : 한국산업기술평가관리원

References

  1. 유경민, 심상헌, 한경은, 소원호, 김영선, 김영천, "DDoS 공격 탐지를 위한 확장된 블룸 필터 기반의 효율적인 목적지 주소 모니터링 기법", 한국통신학회, 한국통신학회논문지 제33권 제3호(네트워크 및 서비스), pp. 152-158, 2008. 3.
  2. 전용희, 장종수, 오진태, "DDoS 공격 및 대응 기법 분류", 정보보호학회, 정보보호학회지 제19권 제3호, pp. 46-57, 2009. 6.
  3. J.Y. Jung, S. Schechter, and Arthur W. Berger, "Fast Detection of Scanning Worm Infections," RAID 2004, Sophia Antipolis French, Sep. 2004.
  4. Xuan Chen and John Heidemann, "Detecting Early Worm Propagation through Packet Matching," ISI Tech Report 2004-585, Feb. 2004.
  5. Cliff Changchun Zou, Weibo Gong, and Don Towsly, "Worm Propagation Modeling and Analysis under Dynamic Quarantine Defense," ACM WORMS '03, Washington DC, USA, Oct. 2003.
  6. 최재덕, 정태운, 정수환, 김영한, "SIP 기반의 VoIP 보안 시스템 구현". 한국통신학회, 한국통신학회논문지 제29권 9B호, pp. 799-807, 2004. 9.
  7. 최경호, 임을규, "SIP Call Singaling을 위한 사용자 인증 기법", 한국정보과학회, 한국정보과학회 2008 종합학술대회 논문집 제35권 제1호 (D), pp. 110-115, 2008. 6.
  8. 김미희, 나현정, 채기준, 방효찬, 나중찬, "분산 서비스거부 공격 탐지를 위한 데이터 마이닝 기법", 한국정보과학회, 한국정보과학회논문지, 정보통신 제32권 제3호, pp. 279-290, 2005. 6.
  9. Paul J, Criscuolo, "Distributed Denial of Service-Trin00, Tribe Flood Network, Tribe Flood Network 2000, and Stacheldraht," CIAC-2319, Feb. 2000.
  10. 조제경, 이형우, 박영준, "IAD 기반 패킷 마킹과 유무선 트래픽 분류를 통한 무선 DDoS 공격 탐지 및 차단 기법", 한국콘텐츠학회, 한국콘텐츠학회논문지 제8권 제6호, pp. 54-65, 2008. 6.