• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권1호
• /
• pp.484-510
• /
• 2017

Network security is rapidly developing, but so are attack methods. Network worms are one of the most widely used attack methods and have are able to propagate quickly. As an active defense approach to network worms, the honeynet technique has long been limited by the closed architecture of traditional network devices. In this paper, we propose a closed loop defense system of worms based on a Software-Defined Networking (SDN) technology, called Worm-Hunter. The flexibility of SDN in network building is introduced to structure the network infrastructures of Worm-Hunter. By using well-designed flow tables, Worm-Hunter is able to easily deploy different honeynet systems with different network structures and dynamically. When anomalous traffic is detected by the analyzer in Worm-Hunter, it can be redirected into the honeynet and then safely analyzed. Throughout the process, attackers will not be aware that they are caught, and all of the attack behavior is recorded in the system for further analysis. Finally, we verify the system via experiments. The experiments show that Worm-Hunter is able to build multiple honeynet systems on one physical platform. Meanwhile, all of the honeynet systems with the same topology operate without interference.

• 정보보호학회논문지
• /
• 제18권1호
• /
• pp.89-102
• /
• 2008

현재 나날이 인터넷 웜의 종류 및 피해가 증가하는 상황에서 웜 공격에 대한 연구의 필요성이 증가하고 있다. 시뮬레이션은 인터넷 웜을 연구하는 데 가장 많이 사용하는 방법 중의 하나인데, 일반적으로 대규모 네트워크상에서 동작하는 웜을 시뮬레이션하기 위해서는 비용 및 시간의 문제가 발생한다. 이러한 문제를 해결하기 위해 모델링 네트워크를 사용한 시뮬레이션 방법도 많이 사용되는데, 모델링 네트워크 시뮬레이션 방법은 개별 웜을 효과적으로 적용하기 힘들다는 문제가 존재한다. 이에 본 논문에서는 대규모 인터넷 웜 시뮬레이션을 효과적으로 수행할 수 있도록 하는 웜 공격의 표현 기법과 표현된 웜 공격을 시뮬레이션 적용시킬 수 있는 매핑 기법을 제안하였다. 본 논문에서 제안하는 웜 공격의 표현 및 시뮬레이터로의 매핑 기법을 통하여 개별 웜을 좀 더 세밀히 표현할 수 있게 된다. 따라서 웜 공격 시뮬레이션 시, 모델링 네트워크 시뮬레이션의 특징인 빠른 수행 시간을 가짐과 동시에 개별 웡 공격을 세밀히 표현할 수 있게 된다.

• 정보처리학회논문지C
• /
• 제11C권7호
• /
• pp.993-998
• /
• 2004

웜 바이러스 및 분산서비스거부 공격의 등장으로 침해사고의 공격대상 및 피해범위는 특정 시스템이나 서비스에서 벗어나 네트워크 자체의 장애 및 마비로 확대되고 있다. 이러한 공격 형태는 가장 강력하고 빈번하게 발생하고 있으며, 특히 공격의 경유지로 이용될 인터넷서비스제공자들은 심각한 피해를 입을 수 있다. 그러나 이러한 웜 바이러스 및 분산서비스거부 공격의 빠른 전파속도로 인해 다수의 시스템에서 동시에 발생하는 것이 일반적인 반면에 네트워크 차원의 대응은 네트워크 관리자에 의한 수동적으로 이루어져 대응 속도가 느리고 전체 발생량을 처리할 수 없는 형편이다. 이에 따라 본 논문에서는 원 바이러스 및 분산서비스거부 공격 발생 여부 및 공격자(공격자 IP 주소)를 자동으로 탐지 할 수 있는 방안을 제시한다.

• 한국콘텐츠학회논문지
• /
• 제5권5호
• /
• pp.172-181
• /
• 2005

유해 트래픽의 최근 유형은 트래픽 폭주 공격에서 더 발전되어 웜, 봇과 같이 다양화, 지능화, 은닉화, 자동화되어 기존의 방법으로는 탐지하기 어렵다. SNMP 기반의 추이 분석 방법은 인터넷 사용의 큰 비중을 차지하고 있는 정상적인 P2P(메신저, 파일 공유) 및 기타 응용 프로그램 사용 시 유해 트래픽으로 분류하는 문제점과, 웜 및 봇과 같은 발전된 유해 트래픽을 분석해내지 못하는 큰 취약점을 가지고 있다. 제안한 방법은 프로토콜 추이 및 포트 트래픽 분석 방법을 적용하였다. 발생된 트래픽을 프로토콜, well-known포트, P2P포트, 기존 공격 포트, 특정 포트로 분류하고 이상 가중치를 적용하며, 실험 결과 P2P 트래픽 분석, 웜 및 봇 탐지, 트래픽 폭주 공격 등을 효과적으로 검출 할 수 있었다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제3권1호
• /
• pp.96-107
• /
• 2009

Worm attacks can greatly distort network performance, and countering infections can exact a heavy toll on economic and technical resources. Worm modeling helps us to better understand the spread and propagation of worms through a network, and combining effective types of mitigation techniques helps prevent and mitigate the effects of worm attacks. In this paper, we propose a mathematical model which combines both dynamic quarantine and passive benign worms. This Passive Worm Dynamic Quarantine (PWDQ) model departs from previous models in that infected hosts will be recovered either by passive benign worms or quarantine measure. Computer simulation shows that the performance of our proposed model is significantly better than existing models, in terms of decreasing the number of infectious hosts and reducing the worm propagation speed.

• 한국산학기술학회논문지
• /
• 제7권6호
• /
• pp.1206-1213
• /
• 2006

자기 전파하는 웜들의 속도가 사람이 대응하는 속도 보다 매우 빠르기 때문에 zero-day 웜들을 봉쇄하기 위해서는 웜 시그니쳐의 빠른 검출과 자동생성이 필수적이다. 본 논문에서는 웜 공격에 대응 할 수 있는 시그니쳐 자동생성 방법을 제안하고, 제안한 방법의 프로토타입을 구현하여 DHT 기반 네트워크에 적용하여 웜 시그니쳐를 생성함으로써 제안한 방법의 유효성을 보이도록 한다.

• 한국콘텐츠학회:학술대회논문집
• /
• 한국콘텐츠학회 2004년도 춘계 종합학술대회 논문집
• /
• pp.268-272
• /
• 2004

최근 해킹공격은 네트워크의 트래픽 폭주공격인 DDos공격이나 웜해킹으로 공격 트래픽을 추출하는 기술이 미흡한 상태이다. 본 논문에서는 SNMP를 이용하여 트래픽을 수집하여 정상으로 간주되는 트래픽이 발생했을 때 경우, 트래픽 분석 유예 타이머 구동하여 트래픽부하를 줄여 처리효율을 높이고자 한다.

• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2005년도 6th 2005 International Conference on Computers, Communications and System
• /
• pp.161-164
• /
• 2005

As the power of influence of the Internet grows steadily, attacks against the Internet can cause enormous monetary damages nowadays. A worm can not only replicate itself like a virus but also propagate itself across the Internet. So it infects vulnerable hosts in the Internet and then downgrades the overall performance of the Internet or makes the Internet not to work. To response this, worm detection and prevention technologies are developed. The worm detection technologies are classified into two categories, host based detection and network based detection. Host based detection methods are a method which checks the files that worms make, a method which checks the integrity of the file systems and so on. Network based detection methods are a misuse detection method which compares traffic payloads with worm signatures and anomaly detection methods which check inbound/outbound scan rates, ICMP host/port unreachable message rates, and TCP RST packet rates. However, single detection methods like the aforementioned can't response worms' attacks effectively because worms attack the Internet in the distributed fashion. In this paper, we propose a design of distributed worm detection system to overcome the inefficiency. Existing distributed network intrusion detection systems cooperate with each other only with their own information. Unlike this, in our proposed system, a worm detection system on a network in which worms select targets and a worm detection system on a network in which worms propagate themselves cooperate with each other with the direction-aware information in terms of worm's lifecycle. The direction-aware information includes the moving direction of worms and the service port attacked by worms. In this way, we can not only reduce false positive rate of the system but also prevent worms from propagating themselves across the Internet through dispersing the confirmed worm signature.

• Journal of Information Processing Systems
• /
• 제5권1호
• /
• pp.33-40
• /
• 2009

Ever since the network-based malicious code commonly known as a 'worm' surfaced in the early part of the 1980's, its prevalence has grown more and more. The RCS (Random Constant Spreading) worm has become a dominant, malicious virus in recent computer networking circles. The worm retards the availability of an overall network by exhausting resources such as CPU capacity, network peripherals and transfer bandwidth, causing damage to an uninfected system as well as an infected system. The generation and spreading cycle of these worms progress rapidly. The existing studies to counter malicious code have studied the Microscopic Model for detecting worm generation based on some specific pattern or sign of attack, thus preventing its spread by countering the worm directly on detection. However, due to zero-day threat actualization, rapid spreading of the RCS worm and reduction of survival time, securing a security model to ensure the survivability of the network became an urgent problem that the existing solution-oriented security measures did not address. This paper analyzes the recently studied efficient dynamic network. Essentially, this paper suggests a model that dynamically controls the RCS worm using the characteristics of Power-Law and depth distribution of the delivery node, which is commonly seen in preferential growth networks. Moreover, we suggest a model that dynamically controls the spread of the worm using information about the depth distribution of delivery. We also verified via simulation that the load for each node was minimized at an optimal depth to effectively restrain the spread of the worm.

• 한국국방경영분석학회지
• /
• 제33권2호
• /
• pp.115-127
• /
• 2007

육군은 실시간으로 지휘통제 정보를 공유하는 전장정보체계의 구성을 위해 육군전술지휘정보체계(ATCIS : Army Tactical Command Information System)를 개발하였다. 이러한 ATCIS 체계는 공개키 및 암호화 장비를 이용하여 무결성, 비밀성은 충분히 충족시키지만, zero day attack을 이용한 새로운 방법의 DDoS(Distributed Denial of service)공격 등 가용성에 대해서는 무결성, 비밀성만큼의 안전성이 확보되지 못한 실정이다. 따라서 본 논문에서는 네트워크 시뮬레이터인 NS-2(3)에서 제공하는 DN-AN 모델을 이용하여 웜 피해평가를 위한 시뮬레이션을 구현하였다. 또한, 도출된 결과를 통해 ATCIS에서의 웜 취약점을 분석하고, 대응방안을 제안한다.