• 한국정보기술응용학회:학술대회논문집
• /
• 한국정보기술응용학회 2005년도 6th 2005 International Conference on Computers, Communications and System
• /
• pp.161-164
• /
• 2005

As the power of influence of the Internet grows steadily, attacks against the Internet can cause enormous monetary damages nowadays. A worm can not only replicate itself like a virus but also propagate itself across the Internet. So it infects vulnerable hosts in the Internet and then downgrades the overall performance of the Internet or makes the Internet not to work. To response this, worm detection and prevention technologies are developed. The worm detection technologies are classified into two categories, host based detection and network based detection. Host based detection methods are a method which checks the files that worms make, a method which checks the integrity of the file systems and so on. Network based detection methods are a misuse detection method which compares traffic payloads with worm signatures and anomaly detection methods which check inbound/outbound scan rates, ICMP host/port unreachable message rates, and TCP RST packet rates. However, single detection methods like the aforementioned can't response worms' attacks effectively because worms attack the Internet in the distributed fashion. In this paper, we propose a design of distributed worm detection system to overcome the inefficiency. Existing distributed network intrusion detection systems cooperate with each other only with their own information. Unlike this, in our proposed system, a worm detection system on a network in which worms select targets and a worm detection system on a network in which worms propagate themselves cooperate with each other with the direction-aware information in terms of worm's lifecycle. The direction-aware information includes the moving direction of worms and the service port attacked by worms. In this way, we can not only reduce false positive rate of the system but also prevent worms from propagating themselves across the Internet through dispersing the confirmed worm signature.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제14권5호
• /
• pp.517-521
• /
• 2008

웜은 사람의 개입 없이 취약점이 존재하는 네트워크 서비스에 대한 공격을 시행하고 사용자가 원치 않는 패킷을 복사 및 전파하는 악성코드이다. 기존의 웜 탐지 기법은 주로 시그너쳐 기반의 방식이 주를 이루었으나 조기탐지의 한계로 인해 최근에는 웜 전파의 행동 특성을 감지하는 방식이 각광 받고 있다. 본 논문에서는 웜 행동 주기와 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 및 방지 방법을 제안하고, 제안된 탐지 및 방지 모델 적용 시 웜의 감염 속도가 감소되는 현상을 시뮬레이션을 통해 증명한다. 제안하는 웜 탐지모델은 규모가 큰 시그너쳐 데이타베이스가 필요하지 않을 뿐더러 컴퓨팅 파워가 비교적 적게 소요되므로, 개인용 컴퓨터 뿐 아니라 유비쿼터스와 모바일 환경과 같이 개별 기기가 낮은 컴퓨팅 파워를 가지는 상황에도 적합하다.

• 정보처리학회논문지C
• /
• 제12C권6호
• /
• pp.847-854
• /
• 2005

인터넷 웜(worm)의 전파속도는 매우 빠르기 때문에, 발생초기에 웜의 전파를 탐지하여 막지 못하면 큰 피해를 초래 할 수 있다. 새로운 세션에 대한 연결요청을 일정 비율이하로 제한함으로써 웜의 발생여부를 탐지하는 바이러스 쓰로틀링(virus throttling)[6, 7]은 대표적인 웜 조기탐지 기술 중의 하나이다. 대부분의 기존 기술은 지연 큐 관리에 있어서 동일한 수신 IP 주소들을 개별적으로 처리함으로써 웜 탐지의 오판 가능성을 증가시켰고, 지연 큐가 가득 찼을 때에만 웜이 발생했다고 판단하는 단순 판단 기법을 사용했다. 본 논문은 지연 큐에서 동일 수신 IP 주소들을 하나의 연결 리스트로 묶어 별도로 관리함으로써 동일 수신 IP들을 중복하여 지연 큐에 저장하지 않는 이차원 지연 규 관리방안을 제안한다. 개선된 바이러스 쓰로틀링은 지연 큐 길이 산정 시동일 수신 IP 주소들을 중복하여 계산하지 않기 때문에 웜 탐지 오류를 줄일 수 있다. 그리고 동일한 크기의 지연 큐를 가지고도 웜 탐지시간을 줄이고 웜 패킷 전송 수를 줄일 수 있는 가중치 평균 큐 길이 기반의 새로운 웜 탐지 알고리즘을 제안한다. 지연 큐 길이 산정 시 현재의 큐 길이 뿐 아니라 과거의 큐 길이를 반영하는 방법이 웜의 발생 가능성을 사전에 예측하여 기존 기법보다 빠르게 웜을 탐지할 수 있음을 실험을 통해 확인하였다.

• 한국정보과학회논문지:정보통신
• /
• 제34권3호
• /
• pp.186-192
• /
• 2007

인터넷 웜 조기 탐지 기법의 대표적인 기술 중 하나인 바이러스 쓰로틀링[5, 6]은 호스트에서 생성되는 접속 요청 패킷을 지연시킴으로써 인터넷 웜의 전파를 줄이는 방법이다. 그러나 기존 바이러스 쓰로틀링은 웜의 발생 시기를 판단하는데 있어서 지연된 접속 요청 패킷의 개수만을 이용한다. 이 때문에 낮은 비율로 웜 패킷을 생성시키는 인터넷웜의 경우에는 웜 탐지 시간이 느린 단점을 가지고 있다. 본 논문에서는 이러한 단점을 해결하기 위해서 지연 큐 길이의 가중치 평균(Weighted Average Queue Length)를 구하고, 그것의 성향을 반영하여 웜 탐지 시간을 단축하고자 한다. 뿐만 아니라 본 논문에서 제안한 알고리즘은 지연큐 변화 성향 반영으로 생길 수 있는 웜 탐지의 오판 가능성을 낮추도록 설계되었다. 그리고 실제 실험을 통해서 본 논문에서 제안한 알고리즘의 성능을 평가한다.

• 정보처리학회논문지C
• /
• 제13C권5호
• /
• pp.559-566
• /
• 2006

연결요청(connection request) 패킷의 전송비율을 일정 비율 이하로 제한함으로써 월 발생을 탐지하는 바이러스 쓰로틀링(virus throttling)은 대표적인 웜 조기 탐지 기술 중의 하나이다. 기존 바이러스 쓰로틀링은 비율 제한기의 주기를 고정시키고 지연 큐 길이를 감시하여 웜 발생 여부를 판단한다. 본 논문에서는 가중치 평균 지연 큐 길이를 적용하여 비율 제한기의 주기를 자율적으로 조절하는 알고리즘을 제안하고, 가중치 평균 지연 큐 길이에 따른 다양한 주기결정 기법을 제시한다. 실험결과 제안 알고리즘은 웜 탐지시간에는 크게 영향을 미치지 않으면서도 연결설정 지연시간을 단축하여 사용자가 느끼는 불편함을 줄여 줄 수 있음을 확인하였다.

• 융합보안논문지
• /
• 제6권4호
• /
• pp.75-82
• /
• 2006

인터넷 웜은 1.25 인터넷 대란의 경우에서도 알 수 있듯이 네트워크를 마비시키고, 정보를 유출하는 등 여러 가지 피해를 준다. 본 논문에서는 이를 예방하기 위하여 자신의 PC에서 인터넷 웜을 탐지하고 자동 대응을 수행할 수 있는 방안을 제시하였다. 인터넷 웜의 특징인 트래픽 기반 네트워크 스캐닝을 탐지하여 이에 대한 대응을 수행하며, 웜에 감염된 프로세스를 중단시키고, 해당 트래픽이 외부로 유출되는 것을 방지하며, 웜에 감염된 실행파일을 고립시키고 특정위치에 이동함으로써, 사후에 웜에 대한 조사를 원활히 수행할 수 있도록 구성하였다. 이런 방식은 알려지지 않은 웜의 탐지에도 유용하며, 이를 통해 안정적인 네트워크 운영이 가능할 것이다.

• 한국인터넷방송통신학회논문지
• /
• 제13권1호
• /
• pp.71-76
• /
• 2013

웜이란 시스템의 취약점을 탐색하고 취약한 시스템을 공격하여 훼손시키는 독립형 프로그램으로서, 네트워크를 통하여 자신을 복제하고 확산한다. 본 논문에서는 웜 탐지 및 차단 방법을 연구하였다. 먼저 가상 시뮬레이션 테스트베드인 Deterlab 환경에서 Codered II 웜 트래픽을 발생시켰다. 이 트래픽을 Earlybird를 이용하여 의심스러운 부분을 식별한 후, Wireshark를 통해 분석하여 Snort 규칙을 작성하였다. 다음으로 Codered II 웜 트래픽에, 앞에서 작성된 Snort 규칙을 적용함으로써, 생성된 로그 파일의 확인을 통해, 정상적으로 웜 탐지가 이루어짐을 확인할 수 있었다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제15권9호
• /
• pp.675-684
• /
• 2009

인터넷 웜은 분산 서비스 거부 공격 등을 통해 트래픽 장애를 유발하므로 인터넷 인프라를 사용 불능으로 만들 수 있고, 침입 기능을 갖고 있어 중요 서버를 장악하여 개인의 정보를 유출시키는 등 치명적인 피해를 일으키고 있다. 그러나 이러한 인터넷 웜을 탐지하여 대응하는 기존의 기법은 웜의 지역화된 특징만을 이용하거나 이미 알려진 웜에만 대응 가능한 단점을 지니고 있다. 본 논문에서는 알려지지 않은 웜을 상대적으로 빠른 시점에 탐지하기 위해 웜의 거시적 행위 특성을 추출하여 탐지하는 기법을 제안 한다. 이를 위해 원의 거시적인 행위를 논리적으로 정의하고, IP 패킷 환경에서 호스트간 직접적으로 전파 되는 웜을 탐지하는 기법을 제시하며, 이 기법이 실제 적용 되었을 때 웜 확신의 억제 효과를 시뮬레이션을 통해 보인다. IP 패킷 환경은 응답 시간에 대해 민감하므로 제안된 기법이 구현되었을 때 요구하는 시간을 측정하여 제시하고, 이를 통해 상대적으로 큰 오버헤드 없이 제안된 기법이 구현될 수 있음을 보인다.

• 전자공학회논문지CI
• /
• 제47권5호
• /
• pp.67-74
• /
• 2010

최근에는 일반적인 웜의 확산 특성을 분석하여 이를 이용해 웜으로 의심되는 트래픽을 사전에 차단하는 방법이 활발히 연구되고 있다. 그러나 아직 구체적인 모델링 방법에 대한 명확한 기준이 없으며, 급변하는 웜의 특성을 반영한 사전 탐지가 쉽지 않은 실정이다. 이에 본 논문에서는 현재 제시되어 있는 웜의 탐지 모델들을 분석하였고, 웜의 확산 과정에 있어서 새로운 감염대상을 찾기 위한 스캐닝 방법이 가장 주요한 요소임을 확인하였다. 이를 바탕으로, Lovgate, Blaster, Sasser 3가지 웜의 확산 과정시 스캐닝 방법을 분석하였고, 분석한 내용을 바탕으로 각각의 프로파일을 구축하였다. 구축된 스캐닝 프로파일 기법을 적용한 웜의 탐지 모델을 시뮬레이션 함으로써 실제 웜의 확산 과정을 예측해 본다. 또한 제안 기법의 검증을 위해 실제 테스트 베드를 구축하고 제안 모델을 적용하여 탐지 가능성을 확인하였다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제12권6호
• /
• pp.339-348
• /
• 2006

최근 자동화된 공격기법에 의한 인프라 피해 사례가 급증하면서 효율적 대응 기법에 대한 연구가 활발히 진행되고 있다. 특히, 패킷을 통한 네트워크 서비스의 취약성을 공격하는 웜의 전파 메커니즘은 빠른 전파 속도로 인해 네트워크 대역폭 및 노드 가용성에 심각한 피해를 일으키고 있다. 이전 웜 탐지 기법들은 주로 시그너처 기반의 미시적 접근방식이 주를 이루었으나 높은 오탐지율과 조기탐지의 한계로 인해 최근에는 웜 전파의 특징에 기인한 거시적 접근 방식이 각광을 받고 있다. 본 논문에서는 패킷 마킹을 통해 웜 행동 사이클과 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 모델을 제안한다. 제안하는 웜 탐지 모델은 기존 모델들이 지닌 확장성의 한계를 분산된 호스트들의 협업적 대응으로 해결할 수 있을 뿐만 아니라, 웜 탐지에 필수적인 감염 정보만을 처리함으로써 개별 호스트의 프로세싱 오버헤드를 감소시킬 수 있다. 그리고 본 논문에서 제안하는 탐지 모델 적용 시 조기 탐지 결과로 인해 웜의 감염 속도가 시간의 경과에 따라 감소되는 현상과 호스트 간의 협업적 대응에 의해 전체 호스트의 면역성이 증가되는 현상을 시뮬레이션을 통해 증명하였다.