The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Implementation of a System to Detect Intrusion and Generate Detection Rule against Scan-based Internet Worms

스캔 기반의 인터넷 웜 공격 탐지 및 탐지룰 생성 시스템 설계 및 구현

  • 김익수 (숭실대학교 대학원 컴퓨터학과) ;
  • 조혁 (숭실대학교 대학원 컴퓨터학과) ;
  • 김명호 (숭실대학교 컴퓨터학과)
  • Published : 2005.04.01
Download PDF
⟨ Previous Next ⟩

Abstract

The brilliant achievements in computers and the internet technology make it easy for users to get useful information. But at the same time, the damages caused by intrusions and denial of service attacks are getting more worse. Specially because denial of service attacks by internet worm incapacitate computers and networks, we should draw up a disposal plan against it. So far many rule-based intrusion detection systems have been developed, but these have the limits of these ability to detect new internet worms. In this paper, we propose a system to detect intrusion and generate detection rule against scan-based internet worm, paying attention to the fact that internet worms scan network to infect hosts. The system detects internet worms using detection rule. And if it detects traffic causing by a new scan-based internet worm, it generates new detection nile using traffic information that is gathered. Therefore it can response to new internet worms early. Because the system gathers packet payload, when it is being necessary only, it can reduce system's overhead and disk space that is required.

컴퓨터와 인터넷의 발달로 컴퓨터 사용자들은 유용한 정보를 쉽게 얻을 수 있게 되었다. 그러나 동시에, 시스템 불법 침입과 서비스 거부 공격에 의한 피해는 심각한 수준에 이르렀다. 특히 인터넷 웜을 통한 서비스 거부 공격은 컴퓨터와 네트워크 서비스를 무력화 시킬 수 있기 때문에 이에 대한 대처방안이 시급하다 할 수 있다. 지금까지 많은 침입 탐지 시스템들이 탐지룰을 기반으로 공격을 탐지해왔지만, 새롭게 등장하는 인터넷 월을 탐지하는데 한계가 있다. 본 논문에서는 인터넷 웜이 여러 호스트들을 감염시키기 위해 네트워크 스캔 작업을 한다는 점에 착안하여, 스캔 기반의 인터넷 웜 공격을 효과적으로 탐지하기 위한 침입 탐지 및 탐지룰 생성 시스템을 제안한다. 제안된 시스템은 탐지룰을 기반으로 인터넷 월 공격을 탐지하며, 탐지룰에 존재하지 않는 인터넷 웜에 의한 트래픽이 유입될 경우, 수집된 트래픽 정보를 통해 새로운 탐지룰을 생성하기 때문에 신종 인터넷 웜에 신속히 대응할 수 있다. 그리고 필요할 때만 패킷 데이터를 수집하기 때문에 시스템 부하와 디스크 사용량을 줄일 수 있다.

Keywords

References

  1. 한국정보보호진흥원, '2004년 04월 해킹바이러스 통계 및 분석 월보', 2004
  2. 전완근, 류성철, 김승철, 'MS-SQL 서버 웜-슬래머 공격 테스트 및 사고 대응', 2003
  3. http://www.cert.org/advisories/CA-2002-27.html
  4. 정현철, 'Sscan 분석 보고서', 1999
  5. http://www.nessus.org
  6. 전 숙, 'Nmap 네트워크 점검 도구 및 보안 스캐너'
  7. 이현우, 이상엽, 정현철, 정윤종, 임채호, 'Analysis of Large Scale Network Vulnerability Scan Attacks and Implementation of the Scan-Detection tool', 1999
  8. MartinRoesch, 'Snort-Lightweight Intrusion Detection for Networks,' Proc. of LISA '99: 13th Systems Administration Conference, Nov., 1999
  9. 정현철, 변대용, '트래픽 분석을 통한 서비스 거부 공격 추적', 2003
  10. 박현미, 오은숙, 이동련, 'IP 네트워크 scanning 기법', 2002
  11. Fyodor, 'The Art of Port Scanning,' Phrack Magazine Volume 7 Issue 51, 1997
  12. Dfir Arkin, 'ICMP Usage in Scanning,' 2001
  13. Joseph Reves, Sonia Panchen, 'Traffic Monitoring with Packet-Based Sampling for Defense against Security Threats'
  14. P. Phaal, S. Panchen, N. McKee, 'InMon Corporations's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks,' InMon Corp, Sep., 2001
  15. Guo Xiaobing, Qian Depei, Liu Min, Zhang Ran, Xu Bin, 'Detection and Protection against Network Scanning: IEDP,' Proc. of the 2001 IEEE International Conference on Computer Networks and Mobile Computing, pp.487-493, Oct., 2001 https://doi.org/10.1109/ICCNMC.2001.962637
  16. http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
  17. http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html
  18. R. Russell and A. Machie, 'Code Red Worm,' Tech. Rep, Incident Analysis, SecurityFocus, Aug. 2001
  19. A. Machie, J. Roculan, R. Russell, and M. V. Velzen, 'Nimda Worm Analysis,' Tech. Rep, Incident Analysis, SecurityFocus, Sept., 2001
  20. 홍석범, '시스템 및 네트워크 모니터링을 통한 보안 강화', 오늘과 내일 넷센터
  21. Stephen Northcutt, Judy Novak, 'Network Intrusion Detection An Analyst's Handbook', 2nd Ed., New Riders, 2000
  22. http://www.securitymap.net
  23. http://packetstormsecurity.org