The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Policy of packet dropping for enhancing IDS performance

IDS의 성능 향상을 위한 패킷 폐기 방안

  • 문종욱 (아주대학교 대학원 전자공학과) ;
  • 김종수 (아주대학교 대학원 전자공학과) ;
  • 정기현 (아주대학교 전자공학부) ;
  • 임강빈 (아주대학교 정보통신전문대학원) ;
  • 주민규 ((주) 뉴어텍) ;
  • 최경희 (아주대학교 정보 및 컴퓨터 공학부)
  • Published : 2002.08.01
Download PDF
⟨ Previous Next ⟩

Abstract

Although many researches on IDS (Intrusion Detection System) have been performed, the most of them are limited to the algorithm of detection software. However, even an IDS with superior algorithm can not detect intrusion, if it loses packets which nay have a clue of intrusions. In this paper, we suggest an efficient wav to improve the performance of IDS by reducing packet losses occurred due to hardware limitation and abundant processing overhead introduced by massive detection software itself. The reduction in packet losses is achieved by dropping hacking-free packets. The result shows that this decrease of packet losses leads an IDS to improve the detection rate of real attack.

침입탐지시스템에 대해 많은 연구가 이루어지고 있지만 이들 연구는 침입탐지시스템내의 탐지 소프트웨어의 알고리즘에만 국한되어 있다. 하지만, 침입탐지시스템의 탐지 알고리즘이 우수하더라도 침입에 해당하는 단서인 패킷을 손실하게 되면 해당 침입을 탐지해내지 못하게 된다. 본 논문에서는 침입 탐지 시스템의 하드웨어적인 한계와 탐지 소프트웨어의 거대화에 따른 시스템 부하로 인해서 자연히 발생하게 되는 패킷 손실을 줄이기 위해서 탐지 시스템에 불필요한 패킷으로 분류될 수 있는 패킷을 미리 폐기함으로써 얻을 수 있는 탐지 시스템의 성능 향상을 다룬다. 실험 결과에 따르면 제안한 방법에 의해서 패킷 손실인 줄어들어 실제 공격에 대한 탐지율이 개선되었다.

Keywords

References

  1. http://www.certcc.or.kr/
  2. R. Heady, G. Luger, A. Maccabe, and M. Servilla, 'The architecture of a network level intrusion detection system,' Technical Report, Department of Computer Science, University of New Mexico, August, 1990
  3. S. Kumar, 'Classification and Detection of Computer Intrusions,' PhD thesis, Purdue University, West Lafayette, IN 47907, pp.38-61, 1995
  4. Sally Floyd, Van Jacobson, 'Random Early Detection Gateways for Congestion Avoidance,' IEEE/ACM Transactions on Networking, 1993 https://doi.org/10.1109/90.251892
  5. M. Christiansen, K. Jeffay, D. Ott, and F. Donelson Smith, 'Tuning RED for web traffic,' In ACM SIGCOMM2000, pp.4-12, August, 2000
  6. B. Braden, D. Clark, j. Crowcroft, B. Davie, S. Deering, D. Estrin, S. Floyd, V. Jacobson, G. Minshall, C. Partridge, L. Peterson, K. Ramakrishnan, S. Shenker, j. Wroclawski, L. Zhang, 'Recommendations on Queue Management and Congestion Avoidance in the Internet,' RFC2309, 1998
  7. Andrew McRae, 'A Infrastructure for Deterministic Packet Classification,' AUUG national conference, September, 1999
  8. Charles D. Cranor, R. Gopalakrishnan, Peter Z. Onufryk, 'Architectural consideration for CPU and network interface integration,' In IEEE Micro, pp.18-19, January-February, 2000 https://doi.org/10.1109/40.820048
  9. S. McCanne and V. Jacobson, 'The BSD Packet Filter : A New Architecture for Userlevel Packet Capture,' In Proceedings of the 1993 Winter USENIX Conference, San-Diego, CA, pp.1-3, January, 1993
  10. W. R. Stevens, 'TCP/IP Illustrated, volume The Protocols of Professional Computing Series,' Addison-Wesley, Vol.1, 1994
  11. 'NSFNET backbone traffic distribution by service,' April, 1995. This document is avail-able at ftp://nic.merit.edu/ nsfnet/statistics/1995/nsf-9504-ports.gz
  12. K. Thompson, G. J. Miller, and R. Wilder, 'Wide-Area Internet Traffic Patterns and Characteristics,' IEEE/ACM Transactions on Networking, pp.10-23, November, 1997 https://doi.org/10.1109/65.642356
  13. http://www.snort.org/docsAsapaper.txt
  14. http://www.acme.com/software/http_load/
  15. http://manimac.itd.nrl.navy.mil/MGEN/