The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

Automatic Payload Signature Generation System

페이로드 시그니쳐 자동 생성 시스템

  • 박철신 (고려대학교 컴퓨터정보학과 네트워크 관리 연구실) ;
  • 박준상 (고려대학교 컴퓨터정보학과 네트워크 관리 연구실) ;
  • 김명섭 (고려대학교 컴퓨터정보학과 네트워크 관리 연구실)
  • Received : 2013.03.07
  • Accepted : 2013.07.23
  • Published : 2013.08.30
Download PDF
⟨ Previous Next ⟩

Abstract

Fast and accurate signature extraction is essential to improve the performance of the payload signature-based traffic analysis methods. However the slow manual process in extracting signatures make difficult to deal with the rapidly changing application in current Internet environment. Therefore, in this paper we propose a system automatically generating signatures from ground-truth traffic data. In addition, we improve the efficiency of signature extraction by recognizing the application protocol using a protocol filters and generating signatures automatically according to the application-specific protocol contents. In order to verify the validity of the system proposed in this paper, we compared the signatures automatically generated from our system with the signatures manually created for a few popular applications.

페이로드 시그니쳐 기반 분석 방법에서 정확한 시그니쳐는 분석 성능을 높이는데 있어 필수적이다. 하지만 정확한 시그니쳐를 생성하기 위한 수동생성 방법에는 한계가 있다. 따라서 이를 극복 하기 위해 페이로드 시그니쳐를 자동생성하기 위한 페이로드 시그니쳐 자동 생성 시스템을 제안한다. 또한 프로토콜 필터를 이용한 응용의 프로토콜 인식을 통해 시그니쳐 자동 생성의 효율성을 향상 시키고, 프로토콜 별 응용의 페이로드 시그니쳐를 자동 생성하여 세분화된 분석에 적용 할 수 있는 페이로드 시그니쳐 자동 생성 방법을 제안하였다. 본 논문에서 제안한 시스템의 타당성을 검증하기 위해 수동 생성 시그니쳐와 자동 생성 시그니쳐의 비교 및 프로토콜 별 자동 생성 시그니쳐를 통해 시스템의 타당성을 보였다.

Keywords

References

  1. IANA, IANA port number list, Retrieved 3, 2, 2013, from http://www.iana.org/assignments/port-numbers
  2. W. Scheirer and M. Chuah. Comparison of three sliding-window based worm signature generation schemes, Lehigh Univ. Technical Report LU-CSE-05-025, 2005.
  3. T. S. Choi, C. H. Kim, S. H. Yoon, J. S. Park, H. S. Chung, B. J. Lee, H. H. Kim, and T. S. Jeong, "Rate-based internet accounting system using application-aware traffic measurement," in Proc. APNOMS 2003, pp. 404-415, Fukuoka, Japan, Oct. 2003.
  4. J.-S. Park, J.-W. Park, S.-H. Yoon, H.-S. Lee, and M.-S. Kim, "Development of signature generation and update system for application-level traffic classification," J. KIPS, vol. 17C, no. 1, pp. 99-108, Feb. 2010. https://doi.org/10.3745/KIPSTC.2010.17C.1.099
  5. M. Ye, K. Xu, J. Wu, and H. Po. "AutoSig-automatically generating signatures for applications," in Proc. IEEE CIT '09, vol. 2, pp. 104-109, Xiamen, China, Oct. 2009.
  6. C. Mu, X.-H. Huang, X. Tian, Y. Ma, and J.-L. Qi, "Automatic traffic signature extraction based on fixed bit offset algorithm for traffic classification," J. China Univ. Posts Telecommun., vol. 18, no. 2, pp. 79-85, Dec. 2011. https://doi.org/10.1016/S1005-8885(10)60156-2
  7. G. Szabo, Z. Turanyi, L. Toka, S. Molnar, and A. Santos, "Automatic protocol signature generation framework for deep packet inspection," in Proc. ICST VALUETOOLS '11, pp. 291-299, Cachan, France, May 2011.
  8. Wireshark, Wireshark, Retrieved 3, 2, 2013, from http://www.wireshark.org/.
  9. Microsoft, Microsoft Network Monitor 3.4, Retrieved 3, 2, 2013, from http://www.microsoft.com/en-us/download/details.aspx?id=4865.
  10. TCPDUMP & LiBPCAP, LiBPCAP, Retrieved 3, 2, 2013, from http://www.tcpdump.org.
  11. WinPcap, WinPcap, Retrievd 3, 2, 2013, from http://www.winpcap.org.
  12. J.-H. Kim, S.-H. Yoon, and M.-S. Kim, "Research on traffic taxonomy for internet traffic classification," in Proc. APNOMS 2011, pp. 21-23, Taipei, Taiwan, Sep. 2011.