[논문]IDS의 성능 향상을 위한 패킷 폐기 방안

문종욱; 김종수; 정기현; 임강빈; 주민규; 최경희

doi:10.3745/kipstc.2002.9c.4.473

문제 정의

침입 차단시스템은 실제 침입에 대응해 차단 등의 행동을 취하여 보호를 하는 현실에서의 경비원과 역할로 비유를 한다면 침입 탐지시스템은 침입에 대한 감사 기록을 남겨 놓을 수 있는 현실에서의 보안카메라의 역할을 한다고 볼 수 있다. 본 논문에서는 이처럼 인터넷 보안 분야에서 중요하게 대두되고 있는 침입 탐지시스템의 패킷 처리능력 향상 방안에 대해 연구하고 실험한 내용을 제시한다.
본 논문에서는 침입 탐지시스템의 성능에 대한 문제점 개선을 위해서 네트워크 부하의 감소가 보장되고 불법 침입도 유해 정보도 아닌 내부 서버의 실제 웹 내용을 담은 패킷의 폐기를 제안하였다. 실험 결과를 기반으로 해서 다음과 같이 결론을 지을 수 있다.
본 논문에서는 패킷 필터링의 부하의 영향을 최소화하기 위해서 필터 엔진이 커널 내에 있는 BSD 계열의 운영체 제인 FreeBSD에서 실험을 하였다. FreeBSD의 경우 필터 엔진이 커널에 내부에 있지만 결국 침입 탐지시스템 내에서 필터링을 처리해야 하므로 그로 인해서 생기는 시스템 자원의 소모가 생겼다.
그리고 이러한 방식은 packet tap 자체는 적은 오버헤드를 가져야 하고 그것은 침입 탐지 시스템이 관심이 있는 패킷만을 잡아낼 수 있어야 한다. 본 논문은 이와 반대로 침입 탐지시스템이 관심이 없는 패킷에 대한 분류를 하여 그 패킷들을 폐기하여 탐지시스템에 전달하지 않도록 한다. 본 논문에서 제안하는 방법은 Packet Tap을 사용하는 방법에 비해 비교의 회수가 작기 때문에 고속의 처리가 가능하다.
본 실험에서는 침입의 가능성이 없는 검증 받은 내부의 웹 서버로부터 나가는 웹의 실제 내용을 담은 패킷을 미연에 폐기를 함으로써 보다 침입 탐지시스템에 유용한 패킷의 수신율을 높임으로써 네트워크 부하가 큰 곳에 위치된 침입탐지시스템의 탐지 능력이 향상되는 것을 확인하고자 하는 것이 목표이다.
본 장에서는 침입 탐지 시스템의 성능 문제를 침입 탐지 시스템의 구조적인 관점과 자체적인 관점에서 기술하고 제안된 패킷 폐기를 통해서 성능 향상을 얻을 수 있음을 살펴본다. 침입 탐지 시스템의 성능은 실제 탐지 소프트웨어의 알고리즘에 따라 많이 좌우되지만 또한 하드웨어로부터 상위 소프트웨어로 이어지는 구조의 효율적 디자인에 의해 서도 많은 차이가 난다.
이러한 침입 탐지 시스템의 하드웨어적인 한계와 탐지 소프트웨어의 거대화에 따른. 시스템 부하로 인해서 자연히 발생하게 되는 비정상적인 패킷 손실을 줄이기 위해서 탐지 시스템에 불필요한 패킷으로 분류될 수 있는 패킷을 미리 폐기하는 기법을 제안하고 이를 통해서 얻을 수 있는 탐지 시스템의 성능 개선 결과에 대해서 논한다.
(그림 5)은 탐지시스템의 네트워크 인터페이스에서 패킷의 전체 수신량을 보여준다. 이는 제안하는 패킷 폐기를 위해서 사용된 필터 엔진의 사용 여부가 인터페이스에서의 수신량에 미치는 영향을 고찰하기 위함이다. 먼저 고정 부하가 가장 낮은 1.
본 연구에서의 실험은 커널에서 패킷 필터링이 가능한 BSD 계열의 FreeBSD 운영체제에서 일반에게 공개된 가벼운 규칙 기반의 침입 탐지시스템인 snort를 패킷 손실측정이 가능하도록 수정하여서 본 논문에서 제안한 패킷 폐기를 적용한 snort가 그렇지 않은 snort보다 성능이 향상됨을 보인다. 이러한 성능이 향상됨을 보이기 위해서 전술한 성능 측정지 표로써의 패킷 손실량을 본 실험에 도입을 하였다. 본 실험에서는 의도적인 패킷 폐기로 인한 성능 향상을 확인할 뿐 아니라 침입 탐지시스템의 성능이 규칙의 적용에 snort에서 룰을 적용할 때와 그렇지 않을 때의 성능 차이를 비교하고 snort에서 감사자료를 남길 때와 아닐 때의 성능 차이를 비교한다.
탐지시스템의 패킷 처리 능력을 측정한다. 이러한 패킷 처리 능력 향상이 실제 탐지 능력의 향상으로 이어지는지를 확인하기 위해 본 실험에서는 실제 해킹 패킷을 보냄으로써 해당 해킹에 대한 탐지율을 측정한다.

가설 설정

본 실험에서 D에서 UDP와 HTTP가 동시에 생성되어 E 침입 탐지시스템과 F 웹 서버로 전달된다. 그리고 F 웹 서버의 웹 내용은 검증이 되었다고 가정을 한다. 즉 이 서버로부터 실제 외부 사용자에게로 나가는 패킷 중 연결 설정 정보를 지니지 않은 패킷은 불법 침입 정보가 아니므로 E 침입 탐지시스템에서 해당 패킷을 폐기가 가능하다.
탐지 소프트웨어가 많은 침입 패턴을 검색할 수 있다고 하더라도 침입에 해당하는 단서를 손실하게 되면 해당 침입을 탐지해내지 못 한다. 이러한 관점에서 본 논문에서는 침입 탐지시스템에서의 성능 향상과 패킷 손실량이 밀접한 관계가 있다고 가정한다. 그래서 먼저 패킷 손실량 측정하여서 기존의 snort와 제안하는 알고리즘을 적용한 수정된 snort의 HTTP 패킷의 부하 정도에 따른.

제안 방법

(그림 6)은 TCP 패킷을 점차적으로 증가시켜가면서 의도된 HTTP 패킷 폐기가 이루어짐을 확인하기 위해 TCP 패킷 수신량을 측정하였다. 고정부하가 4.
Teardrop과 같은 IP 패킷 조각 재조합의 함수의 구현 오류를 이용한 공격은 침입 탐지시스템에서 매 패킷마다 탐지를 할 수 있는 반면 SYN Flooding과 같은 서비스 거부형 공격의 경우 대부분의 침입탐지시스템은 일정 시간 동안에 들어온 패킷의 량을 가지고 판별을 한다. 그래서 본 논문에서는 공격 패킷 개수와 탐지된 회수가 동일해서 탐지율을 측정하기 편리한 Teardrop 공격을 이용해서 실험을 하였다.
이들 도구들을 이용한 실험을 위한 네트워크 환경은 (그림 3)에서 보는 것과 같다. 네트워크 세그먼트 구분을 위해서 PC 기반의 라우터를 두었다. 본 실험이 제대로 이루어지기 위해서는 외부에서(A 라우터 좌측의 B 허브를 통해 공유하는 망) 내부로(A 라우터의 우측의 C 허브를 통해 공유하는 망) 또는 그 반대로의 트래픽의 대역폭에 큰 제한이 없어야 한다.
(그림 8)은 배경 잡음 트래픽과 웹 트래픽을 1 : 1로 유지하면서 측정된 결과이다. 네트워크 이용률을 증가시키며 매번 1000개의 teardrop 공격을 하여서 제안한 패킷 폐기 알고리즘을 적용한 snort와 기존의 snort에서 측정한 침입 탐지율을 측정하여 도식화하였다. 그림에서 알 수 있듯이 제안한 알고리즘을 적용한 snort에서 측정된 침입 탐지율이 더욱 높다.
본 논문은 이와 반대로 침입 탐지시스템이 관심이 없는 패킷에 대한 분류를 하여 그 패킷들을 폐기하여 탐지시스템에 전달하지 않도록 한다. 본 논문에서 제안하는 방법은 Packet Tap을 사용하는 방법에 비해 비교의 회수가 작기 때문에 고속의 처리가 가능하다. 또한 새로운 해킹 기법이 등장하게 되면 Packet Tap을 사용하는 경우는 항상 룰의 변경이 이루어져야 하는 반면 제안하는 방법은 상대적으로 변경의 여지가 작다.
본 논문에서는 앞으로 침曾 탐지 시스템의 성능 또는 기능에 문제가 없이 폐기가 가능한 항목에 대해 고찰을 한 다음 그 중 성능 측면에서 향상의 가능성이 가장 기대되는 항목인 HTML 패킷 폐기로 인한 성능 향상이 이루어짐을 실험을 통해서 측정을 하고 그 결과를 분석한다.
이러한 성능이 향상됨을 보이기 위해서 전술한 성능 측정지 표로써의 패킷 손실량을 본 실험에 도입을 하였다. 본 실험에서는 의도적인 패킷 폐기로 인한 성능 향상을 확인할 뿐 아니라 침입 탐지시스템의 성능이 규칙의 적용에 snort에서 룰을 적용할 때와 그렇지 않을 때의 성능 차이를 비교하고 snort에서 감사자료를 남길 때와 아닐 때의 성능 차이를 비교한다.
제안한 알고리즘에 의해서 침입 탐지시스템의 패킷 처리 능력이 향상되는 것을 확인하는 실험은 모두 10초간 수행이 되었으며 총 10회의 실험을 한 후 순간적인 통신망 부하의 이상 변화에 의한 영향을 줄이기 위해 최대치와 최저치를 제외한 나머지의 8개의 실험치의 평균값으로 결과를 표시하였다. 실험에서 네트워크 부하의 조절을 위해서 UDP를 고정부하로 사용하고 TCP를 변동 부하로 사용을 하였다. 실험에서 사용한 UDP 패킷은 네트워크 부하 조절의 용도일 뿐 아니라 해킹의 여지가 있는 패킷으로 간주를 한다.
즉 침입의 가능성 유무를 구분한다. 이 실험에서는 두 가지 프로토콜의 패킷만을 사용하는데 하나는 웹 페이지 요청으로 인한 HTTP 패킷(TCP 패킷)이고 나머지 하나는 UDP 패킷이다. 사실 TCP 패킷 전체가 본 논문에서 제안한 해킹과 무관한 패킷인 VHP인 것은 아니지만 실험의 편의를 위해서 TCP 전체를 해킹과 상관없는 패킷으로 규정을 한다.
하지만 시스템의 성능의 한계를 넘어서는 범위 내에서는 의도적인 패킷 폐기를 한 시스템과 그렇지 않은 시스템의 성능의 차이가 나지 않았다. 이러한 패킷 처리 능력의 확대가 실제 공격에 대한 침입 탐지율을 향상시키고 있음을 teardrop 공격을 시도하여서 확인하였다.
그래서 먼저 패킷 손실량 측정하여서 기존의 snort와 제안하는 알고리즘을 적용한 수정된 snort의 HTTP 패킷의 부하 정도에 따른. 탐지시스템의 패킷 처리 능력을 측정한다. 이러한 패킷 처리 능력 향상이 실제 탐지 능력의 향상으로 이어지는지를 확인하기 위해 본 실험에서는 실제 해킹 패킷을 보냄으로써 해당 해킹에 대한 탐지율을 측정한다.
이처럼 기존의 침입 탐지 시스템은 범용 하드웨어 시스템의 한계로 인해 망의 네트워크 부하가 클 때, 특히 작은 크기의 패킷이 burst하게 들어 올 때 어쩔 수 없는 패킷 손실과 커널 내에서 다른 처리의 우선순위에 밀려서 일어나는 libpcap의 자체적인 손실은 침입 탐지 시스템에 있어서는 가장 치명적인 침입의 패턴의 일부를 잃어버리는 결과를 낳는다. 하지만 본 논문에서 제안하는 방법인 침입 탐지 시스 템에게 필요성이 떨어지는 패킷을 미연에 폐기하는 방식을 적용하면 버려진 양에 비례해서 시스템 부하가 줄어들므로 보다 중요한 패킷의 수집 확률이 높아지게 되는 것이다.

성능/효과

이는 제안하는 패킷 폐기를 위해서 사용된 필터 엔진의 사용 여부가 인터페이스에서의 수신량에 미치는 영향을 고찰하기 위함이다. 먼저 고정 부하가 가장 낮은 1.4M인 경우를 보면 제안한 알고리즘을 적용한 snort에서 측정한 “w/o HTTP" 그래프의 인터페이스에서 수신량이 기존의 snort에서 측정한 “w/ HTTP" 그래프보다 떨어짐을 알 수 있다. 이것은 매 패킷마다 패킷 필터링을 위한 비교 연산이 수행되기 때문에 그 비교 연산을 수행한 시간에 비례해서 인터페이스에서의 패킷 수신율이 떨어지는 것이다.
그러므로 TCP 패킷이 많아질수록 제안한 알고리즘을 적용한 탐지시스템은 불필요하게 처리할 패킷량이 상대적으로 줄어든다. 결국 본 논문에서 UDP를 고정하고서 TCP를 증가시켜가며 실험하는 이유는 침입의 증거량을 일단 일정하게 한 다음 잡음 패킷이 증가할 때 잡음 패킷 중 확실히 침입의 여지가 없는 패킷으로 판단되는 패킷을 미리 폐기하는 경우가 보다 침입의 증거를 많이 수집할 수 있음을 보이는 것이다.
즉 이 TCP 패킷은 제안하는 알고리즘에 의해 일부가 폐기가 된다. 그러므로 TCP 패킷이 많아질수록 제안한 알고리즘을 적용한 탐지시스템은 불필요하게 처리할 패킷량이 상대적으로 줄어든다. 결국 본 논문에서 UDP를 고정하고서 TCP를 증가시켜가며 실험하는 이유는 침입의 증거량을 일단 일정하게 한 다음 잡음 패킷이 증가할 때 잡음 패킷 중 확실히 침입의 여지가 없는 패킷으로 판단되는 패킷을 미리 폐기하는 경우가 보다 침입의 증거를 많이 수집할 수 있음을 보이는 것이다.
먼저 제안하는 알고리즘을 적용한 경우에 의심의 여지가 많은 패킷의 수신율이 향상됨을 보여서 침입 탐지시스템의 성능 향상 가능성을 보인다. 다음으로 높은 네트워크 부하를 걸고 내부의 서버에 해킹을 할 때 제안한 알고리즘을 적용한 탐지시스템의 침입 탐지율이 실제적으로 향상됨을 보인다.
둘째, 동시다발적으로 일어나는 모든 불법 행동을 관리하기 위해서 침입 탐지 시스템은 이상적으로는 무한대의 세션을 관리를 해야 한다. 실질적으로는 메모리의 제한과 하드웨어 또는 운영체제의 한계로 인해서 세션의 양이 제한된다.
즉 앞선 실험을 통해서 보여준 탐지시스템의 패킷 처리 능력의 향상으로 침입의 가능성이 많은 패킷에 시스템의 자원이 많이 할애되어서 나온 결과로 해석이 된다. 또한 네트워크의 이용률이 증가함에 따라 제안한 알고리즘을 적용한 snort에서 측정한 탐지율과 기존의 snort에서 측정한 탐지율의 차이가 커짐을 알 수 있다. 이것은 HTTP 패킷의 량이 많아짐에 따라 제안한 알고리즘이 적용된 snort의 경우에 보다 많은 패킷이 미연에 폐기될 수 있어서 그만큼의 여분의 처리 시간을 벌게 되어서 차이가 커지는 것이다.
본 논문에서는 크게 두 가지 실험을 하고 있다. 먼저 제안하는 알고리즘을 적용한 경우에 의심의 여지가 많은 패킷의 수신율이 향상됨을 보여서 침입 탐지시스템의 성능 향상 가능성을 보인다. 다음으로 높은 네트워크 부하를 걸고 내부의 서버에 해킹을 할 때 제안한 알고리즘을 적용한 탐지시스템의 침입 탐지율이 실제적으로 향상됨을 보인다.
그뿐 아니라 이러한 TCP 연결 설정 때의 패킷들은 SYN Flooding이나 ACK Storm과 같은 DDOS에서 사용되는 해킹의 주된 요소로써 웹 서버를 공격하는 용 도로 많이 사용되므로 IDS에게 꼭 넘겨줘야 한다. 본 논문에서 제안한 해킹과 무관한 패킷인 VHP는 이러한 TCP 연결 설정 패킷을 담고 있지 않음을 (그림 2)에서 확인할 수 있다.
보다 침입의 가능성이 많은 패킷 분석에 침입 탐지시스템의 자원이 할애 되었다는 사실은 (그림 7)를 통해서 알 수 있다. 본 논문에서는 해킹의 여지가 있는 패킷으로 UDP 패 킷으로 설정을 하였는데 (그림 7)에서 고정부하가 1.4M일 때 필터링을 적용한 쪽이 UDP의 손실이 거의 일어나지 않는 것에 비해서 필터링을 하지 않은 쪽은 UDP의 손실이 상당히 많음을 알 수 있다.
그림에서 D는 배경 잡음 패킷과 HTTP 패킷을 생성하고 또한 실제 공격 패킷도 생성한다. 본 실험에서 D에서 UDP와 HTTP가 동시에 생성되어 E 침입 탐지시스템과 F 웹 서버로 전달된다. 그리고 F 웹 서버의 웹 내용은 검증이 되었다고 가정을 한다.
본 연구에서의 실험은 커널에서 패킷 필터링이 가능한 BSD 계열의 FreeBSD 운영체제에서 일반에게 공개된 가벼운 규칙 기반의 침입 탐지시스템인 snort를 패킷 손실측정이 가능하도록 수정하여서 본 논문에서 제안한 패킷 폐기를 적용한 snort가 그렇지 않은 snort보다 성능이 향상됨을 보인다. 이러한 성능이 향상됨을 보이기 위해서 전술한 성능 측정지 표로써의 패킷 손실량을 본 실험에 도입을 하였다.
제안한 알고리즘에 의해서 침입 탐지시스템의 패킷 처리 능력이 향상되는 것을 확인하는 실험은 모두 10초간 수행이 되었으며 총 10회의 실험을 한 후 순간적인 통신망 부하의 이상 변화에 의한 영향을 줄이기 위해 최대치와 최저치를 제외한 나머지의 8개의 실험치의 평균값으로 결과를 표시하였다. 실험에서 네트워크 부하의 조절을 위해서 UDP를 고정부하로 사용하고 TCP를 변동 부하로 사용을 하였다.
이러한 부하로 인한 손실의 무한 반복 속에서 본 논문이 제안하는 의도적 패킷 폐기로 인한 이득이 상실되어 버린다. 즉 이미 과부하가 걸린 시스템의 경우는 본 논문에서 제안하는 의도적 패킷 폐기가 큰 효율을 발휘할 수 없다. 이것은 탐지 소프트웨어가 동작하고 있는 시스템의 사양(CPU 속도, 캐시의 크기, 메모리 크기)에 의해 제한되는 부분이라 볼 수 있다.
실험 결과를 기반으로 해서 다음과 같이 결론을 지을 수 있다. 필터링 엔진 사용 여부에 따른 침입탐지시스템의 성능에 대한 결과는 네트워크의 부하가 시스템의 성능의 한계를 넘어서지 않는 범위 내에서는 예측대로 제안한 의도적인 패킷 폐기(필터링 엔진을 사용하는 경우)를 한 시스템이 그로 인한 시스템의 성능 이득으로 보다 침입의 여지가 많은 패킷의 처리에 할애가 가능해져서 불법의 소지가 많은 패킷의 손실이 작았다. 하지만 시스템의 성능의 한계를 넘어서는 범위 내에서는 의도적인 패킷 폐기를 한 시스템과 그렇지 않은 시스템의 성능의 차이가 나지 않았다.

후속연구

하지만 실험을 통해 시스템 자원 소모로 인해 생긴 인터페이스에서의 손실이 만회가 되고 있음을 보였다. 결국 본 논문에서 제안한 패킷 폐기 알고리즘을 별도의 임베디드 시스템으로 구현을 하게 되면 필터링을 위한 시스템 자원 소모를 줄일 수 있을 뿐 아니라 침입탐지 시스템에 전달되는 네트워크 부하도 줄일 수 있어서 보다 효율적일 것으로 예상된다.
하지만 앞으로의 결과는 인터페이스에서 상대적인 손실의 차이를 충분히만 회함을 보여준다. 그리고 본 논문에서 제안하는 알고리즘을 별도의 임베디드 시스템에 구축을 하면 이러한 인터페이스에서의 손실은 없어질 것이다.
그리고 침입 탐지 소프트웨어의 자체적인 무거움으로 인해서 발생하는 패킷 손실은 탐지 소프트웨어가 인지는 하지만 처리 성능의 한계로 버려야 하는 경우이다. 이 경우에도 본 논문에서 제안하는 패킷 폐기 정책을 적용하면 현저한 성능 향상을 기대할 수 있다. 왜냐하면 침입과 무관한 패킷이 폐기되지 않고 탐지 소프트웨어까지 올라왔을 때 침입의 유형과 유해 정보에 관련된 데이터베이스를 뒤지는 등의 일련의 처리 과정을 모두 거친 후에야 패킷을 폐기하므로 미리 버려주게 되면 그러한 불필요한 처리를 보다 중요한 패킷에게 할애를 해 줄 수 있기 때문이다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

IDS의 성능 향상을 위한 패킷 폐기 방안
Policy of packet dropping for enhancing IDS performance 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

성능/효과

후속연구

참고문헌 (15)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

IDS의 성능 향상을 위한 패킷 폐기 방안 Policy of packet dropping for enhancing IDS performance 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

성능/효과

후속연구

참고문헌 (15)

이 논문을 인용한 문헌

저자의 다른 논문 :

문종욱 (2) 김종수 (2) 정기현 (76) 최경희 (78)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

IDS의 성능 향상을 위한 패킷 폐기 방안
Policy of packet dropping for enhancing IDS performance 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper