The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

Spark-based Network Log Analysis Aystem for Detecting Network Attack Pattern Using Snort

Snort를 이용한 비정형 네트워크 공격패턴 탐지를 수행하는 Spark 기반 네트워크 로그 분석 시스템

  • 백나은 (전북대학교 컴퓨터공학과) ;
  • 신재환 (전북대학교 컴퓨터공학과) ;
  • 장진수 (전북대학교 컴퓨터공학과) ;
  • 장재우 (전북대학교 IT정보공학과)
  • Received : 2018.02.23
  • Accepted : 2018.03.28
  • Published : 2018.04.28
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, network technology has been used in various fields due to development of network technology. However, there has been an increase in the number of attacks targeting public institutions and companies by exploiting the evolving network technology. Meanwhile, the existing network intrusion detection system takes much time to process logs as the amount of network log increases. Therefore, in this paper, we propose a Spark-based network log analysis system that detects unstructured network attack pattern. by using Snort. The proposed system extracts and analyzes the elements required for network attack pattern detection from large amount of network log data. For the analysis, we propose a rule to detect network attack patterns for Port Scanning, Host Scanning, DDoS, and worm activity, and can detect real attack pattern well by applying it to real log data. Finally, we show from our performance evaluation that the proposed Spark-based log analysis system is more than two times better on log data processing performance than the Hadoop-based system.

최근 네트워크 기술의 발달로 인해 다양한 분야에서 네트워크 기술이 사용되고 있다. 그러나 발전하는 네트워크 기술을 악용하여 공공기관, 기업 등을 대상으로 하는 공격 사례가 증가하였다. 한편 기존 네트워크 침입 탐지 시스템은 네트워크 로그의 양이 증가함에 따라 로그를 처리하는데 많은 시간이 소요된다. 따라서 본 논문에서는 Snort를 이용한 비정형 네트워크 공격패턴 탐지를 수행하는 Spark 기반의 네트워크 로그 분석 시스템을 제안한다. 제안하는 시스템은 대용량의 네트워크 로그 데이터에서 네트워크 공격 패턴탐지를 위해 필요한 요소를 추출하여 분석한다. 분석을 위해 Port Scanning, Host Scanning, DDoS, Worm 활동에 대해 네트워크 공격 패턴을 탐지하는 규칙을 제시하였으며, 이를 실제 로그 데이터에 적용하여 실제 공격 패턴 탐지를 잘 수행함을 보인다. 마지막으로 성능평가를 통해 제안하는 Spark 기반 로그분석 시스템이 Hadoop 기반 시스템에 비해 로그 데이터 처리 성능이 2배 이상 우수함을 보인다.

Keywords

References

  1. J. J. Cheon and T. Y. Choe, "Distributed processing of snort alert log using hadoop," International Journal of Engineering and Technology, Vol.5, No.3, pp.2685-2690, 2013.
  2. Anna Sperotto, Gregor Schaffrath, Ramin Sadre, Cristian Morariu, Aiko Pras, and Burkhard Stiller, "An overview of ip flow-based intrusion detection," IEEE Communications Surveys and Tutorials, Vol.12, No.3, pp.343-356, 2010. https://doi.org/10.1109/SURV.2010.032210.00054
  3. 이동건, 김휘강, 김은진, "RGB Palette를 이용한 보안 로그 시각화 및 보안 위협 인식," 정보보호학회논문지, 제25권, 제1호, pp.61-73, 2015. https://doi.org/10.13089/JKIISC.2015.25.1.61
  4. 장진수, 신재환, 장재우, "MapReduce 환경에서 네트워크 공격 탐지를 위한 실시간 로그 분석 시스템 개발," 한국정보처리학회 추계학술발표대회, 2017.
  5. https://hadoop.apache.org/, 2018.1.5.
  6. https://www.snort.org/, 2018.1.5
  7. http://spark.apache.org/, 2018.1.5
  8. https://oisf.net/suricata/, 2018.1.5
  9. https://www.bro.org/, 2018.1.5
  10. P. G. Prathibha and E. D. Dileesh, "Design of a hybrid intrusion detection system using snort and hadoop," International Journal of Computer Applications, Vol.73, No.10, 2013.
  11. Khamphakdee, Nattawat, Nunnapus Benjamas, and Saiyan Saiyod, "Improving intrusion detection system based on snort rules for network probe attack detection," Information and Communication Technology (ICoICT), 2014 2nd International Conference On. IEEE, 2014.
  12. Matei Zaharia, Mosharaf Chowdhury, Tathagata Das, Ankur Dave, Justin Ma, Murphy McCauley, Michael J. Franklin, Scott Shenker, and Ion Stoica, "Resilient distributed datasets: A fault-tolerant abstractVion for in-memory cluster computing," Proceedings of the 9th USENIX conference on Networked Systems Design and Implementation, USENIX Association, 2012.
  13. Matei Zaharia, Mosharaf Chowdhury, Michael J. Franklin, Scott Shenker, and Ion Stoica, "Spark: Cluster computing with working sets," HotCloud, Vol.10, No.10, p.95, 2010.
  14. 최대수, 문길종, 김용민, 노봉남, "MapReduce 를 이용한 대용량 보안 로그 분석," 한국정보기술학회논문지, 제9권, 제8호, pp.125-132, 2011.
  15. Jian Zhang, Pin Liu, Jianbiao He, and Yawei Zhang, "A Hadoop Based Analysis and Detection Model for IP Spoofing Typed DDoS Attack," Trustcom/BigDataSE/I​ SPA, 2016 IEEE. IEEE, 2016.
  16. https://www.r-project.org/, 2018.1.5.
  17. http://www.vacommunity.org/VASTChallenge 2012, 2018.1.5
  18. Cook, Kristin, et al. "VAST Challenge 2012: Visual analytics for big data." Visual Analytics Science and Technology (VAST), 2012 IEEE Conference on. IEEE, 2012.
  19. http://www.hping.org/, 2018.1.5