• 한국지능시스템학회논문지
• /
• 제18권5호
• /
• pp.679-684
• /
• 2008

느린 포트스캔 공격 탐지는 네트워크 보안에서 중요한 분야 중 하나이다. 본 논문에서는 퍼지 룰을 이용한 비정상 트래픽 컨트롤 프레임워크를 이용한 느린 포트스캔 공격을 탐지하고 대응하는 방법을 제안한다. 비정상 트래픽 컨트롤 프레임워크는 침입차단 시스템으로 동작하면서 의심 단계의 네트워크 트래픽을 대응하는 기능을 가진다. 본 논문에서 제안하는 방법은 공격 혹은 공격 의심 트래픽에 대해 단계적 대응을 한다. 먼저 의심 단계에 있는 트래픽에 대해 대역폭을 줄여 서비스를 하다가 최종적으로 공격으로 판명되면 트래픽을 차단한다. 본 논문에서는 제안한 방법을 프레임워크에 구축하고 실험을 통해 느린 포트스캔 공격에 효과적임을 보인다.

• 한국지능시스템학회:학술대회논문집
• /
• 한국지능시스템학회 2007년도 추계학술대회 학술발표 논문집
• /
• pp.357-361
• /
• 2007

비정상 트래픽 제어 프레임워크에 적용된 비정상 트래픽 제어 기술은 침입, 분산서비스거부 공격, 포트스캔 공격과 같은 비정상 행위의 트래픽을 제어하는 공격 대응 방법이다. 이 대응 방법은 비정상 행위에 대한 true-false 방식의 공격 대응 방법이 가지는 높은 오탐율(false-positive rate)을 낮출 수 있다는 장점이 있지만, 공격 지속시간에만 의존하여 비정상 트래픽을 판단하기 때문에, 공격에 대한 신속한 대응을 하지 못한다는 한계를 가지고 있다. 이에 본 논문에서는 비정상 트래픽 제어 프레임워크에 퍼지 로직을 적용하여 신속한 공격 대응이 가능한 포트스캔 공격 탐지 기법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 춘계학술발표대회
• /
• pp.1185-1188
• /
• 2005

비정상 행위에 대한 true/false 방식의 공격 탐지 및 대응방법은 높은 오탐지율(false-positive)을 나타내기 때문에 이를 대체할 새로운 공격 탐지방법과 공격 대응방법이 연구되고 있다. 대표적인 연구로는 트래픽 제어 기술을 이용한 단계적 대응방법으로, 이 기술은 비정상 트래픽에 대해 단계적으로 대응함으로써 공격의 오탐지로 인하여 정상 서비스를 이용하는 트래픽이 차단되지 않도록 하는 기술이다. 비정상 트래픽 중 포트스캔 공격은 네트워크 기반 공격을 위해 공격대상 호스트의 서비스 포트를 찾아내는 공격으로 이 공격을 탐지하기 위해서는 일정 시간동안 특정 호스트의 특정 포트에 보내지는 패킷 수를 모니터링 하여 임계치와 비교하는 방식의 true/false 방식의 공격 탐지방법이 주로 사용되었다. 비정상 트래픽 제어 프레임워크(Abnormal Traffic Control Framework)는 true/false 방식의 공격 탐지방법을 이용하여 공격이 탐지되었을 때, 처음에는 트래픽 제어로 대응하고 같은 공격이 재차 탐지되었을때, 차단하여 기존의 true-false 방식의 공격 탐지 및 대응방법이 가지는 높은 오탐지율을 낮춘다. 하지만 포트스캔 공격의 특성상, 공격이 탐지된 후 바로 차단하지 못하였을 경우, 이미 공격자가 원하는 모든 정보를 유출하게 되는 문제가 있다. 본 논문에서는 기존의 True/False 방식의 포트스캔 공격 탐지방법에 퍼지 로직 개념을 추가하여 공격 탐지의 정확성을 높이고 기존의 탐지방법을 이용하였을 때보다 신속한 트래픽 제어 및 차단을 할 수 있는 방법을 제안한다.

• 정보보호학회논문지
• /
• 제13권6호
• /
• pp.129-140
• /
• 2003

최근 바이러스가 날로 지능화되고 있고 해킹수법이 교묘해지면서 이에 대응하는 보안기술 또한 발전을 거듭하고 있다. 팀 주소 등을 통해 네트워크를 관리하는 방화벽과 방화벽을 뚫고 침입한 해커를 탐지해 알려주는 침입탐지시스템(IDS)에 이어 최근에는 침입을 사전에 차단한다는 측면에서 한 단계 진보한 IDS라고 볼 수 있는 침입방지시스템(IPS)이 보안기술의 새로운 패러다임으로 인식되고 있다. 그러나 현재 대부분의 침입방지시스템은 정상 트래픽과 공격트래픽을 실시간으로 오류없이 구별할 수 있는 정확성과 사후공격패턴분석 능력 등을 보장하지 못하고 기존의 침입 탐지시스템 위에 단순히 패킷 차단 기능을 추가한 과도기적 형태를 취하고 있다. 이에 본 논문에서는 침입방지시스템의 패킷 분석 능력과 공격에 대한 실시간 대응성을 높이기 위하여 netfilter 시스템을 기반으로 커널 레벨에서 동작하는 침입 탐지 프레임워크와, iptables를 이용한 패킷 필터링 기술에 CBQ 기반의 QoS 메커니즘을 적용한 비정상 트래픽 제어 기술을 제시한다. 이는 분석된 트래픽의 침입 유형에 따라 패킷의 대역폭 및 속도를 단계적으로 할당할 수 있도록 하여 보다 정확하고 능동적인 네트워크 기반의 침입 대응 기술을 구현할 수 있도록 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2005년도 춘계학술발표대회
• /
• pp.1103-1106
• /
• 2005

IPv4 프로토콜의 주소 고갈 문제를 해결하기 위하여 IPv6 프로토콜이 제안되었고 한국전산원의 발표에 의하면 2010년 이후에는 IPv6 프로토콜이 광범위하게 사용될 것이라고 한다. 이러한 IPv6 프로토콜은 IPv4 프로토콜의 단점들을 해결하기 위하여 ND(Neighbor Discovery) 메커니즘, 주소자동설정, IPsec 등의 기술을 지원하며, 특히 IPv6 프로토콜은 보안 문제를 해결하기 위해서 인증, 데이터 무결성 보호를 위한 IPsec 기술을 사용한다. 이러한 IPsec 기술은 패킷 정보를 보호하기 위한 목적으로 사용되기 때문에 불특정 다수의 사용자를 대상으로 하는 네트워크에 행해지는 분산 서비스 거부 공격과 같은 비정상 대용량 트래픽에 대한 탐지 및 차단에 어려움이 있다. 현재 IPv6 프로토콜을 지원하는 네트워크 공격 대응 기술로 IPv6 네트워크용 방화벽/침입탐지 시스템이 개발되어 제품으로 판매되고 있지만, 대용량의 비정상 트래픽 대응 기술을 탐지하고 차단하기에는 한계가 있다. 본 논문에서는 IPv6 네트워크 환경에서 이러한 대용량의 비정상 트래픽을 제어할 수 있는 프레임워크를 제시한다.