초록
웜이란 시스템의 취약점을 탐색하고 취약한 시스템을 공격하여 훼손시키는 독립형 프로그램으로서, 네트워크를 통하여 자신을 복제하고 확산한다. 본 논문에서는 웜 탐지 및 차단 방법을 연구하였다. 먼저 가상 시뮬레이션 테스트베드인 Deterlab 환경에서 Codered II 웜 트래픽을 발생시켰다. 이 트래픽을 Earlybird를 이용하여 의심스러운 부분을 식별한 후, Wireshark를 통해 분석하여 Snort 규칙을 작성하였다. 다음으로 Codered II 웜 트래픽에, 앞에서 작성된 Snort 규칙을 적용함으로써, 생성된 로그 파일의 확인을 통해, 정상적으로 웜 탐지가 이루어짐을 확인할 수 있었다.
A computer worm is a standalone malware computer program that probes and exploits vulnerabilities of systems. It replicates and spreads itself to other computers via networks. In this paper, we study how to detect and prevent worms. First, we generated Codered II traffic on the emulated testbed called Deterlab. Then we identified dubious parts using Earlybird and wrote down Snort rules using Wireshark. Finally, by applying the Snort rules to the traffic, we could confirmed that worm detection was successfully done.