선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 이러한 과정으로 인해 탐지하는데 많은 시간이 걸리며 유해 트래픽이 발생되는 과도기적 시점에서는 유해 트래 픽을 탐지해내지 못했다. 이에 본 논문에서는 시간의 단 축과 탐지율을 높인 SNMP 기반의 트래픽 추이 분석 방 법을 제안하였다.
제안 방법
- ICMP Flooding 공격을 행한 후에 본 논문에서 제안한 알고리즘에 의해 공격 트래픽을 분석하였다. 그림 21은 일주 트래픽 추이 분석 결과로서 기준선보다 많은 트래 픽이 발생되고 있는 것을 확인할 수 있다.
- 본 논문에서 제안한 알고리즘의 실험을 위해 사용된 실험 환경은 일반 사용자들 그룹과 공격 그룹 그리고 관 리 대상 시스템과 관리 시스템으로 구성되었다. TCP Flooding 공격, UDP Flooding 공격 그리고 ICMP Flooding 공격을 행한 후에 기존의 방법과 본 논문에서 제안한 알고리즘을 통해 얻어진 결과값을 비교하였다.
- TCP Flooding 공격을 행한 후에 본 논문에서 제안한 알고리즘에 의해 공격 트래픽을 분석하였다.
- UDP Flooding 공격을 행한 후에 본 논문에서 제안한 알고리즘에 의해 공격 트래픽을 분석하였다. 그림 18은 일주 트래픽 추이 분석 결과로서 기준선보다 많은 트래 픽이 발생되고 있는 것을 확인할 수 있으며, 이상 가중치 값은 1을 부여한다.
- 최근에는 이러한 문제점들을 악용한 트래 픽 폭주 공격에 의해 많은 피해를 보고 있으며, 이로 인 해 트래픽 분석의 중요성이 날로 증대되고 있다.[1] 기존 의 SNMP를 이용한 트래픽 분석 방법은 MIB 객체를 통 해 트래픽을 수집하고, 분석에 있어 현재 값과 이전 값의 차이를 임계치에 적용하여 유해 트래픽을 분석하였다. 이러한 과정으로 인해 탐지하는데 많은 시간이 걸리며 유해 트래픽이 발생되는 과도기적 시점에서는 유해 트래 픽을 탐지해내지 못했다.
- 일주 트래픽 추이 분석이란 대상 시스템에서 발생되는 하루 동안의 트래픽의 흐름을 예측하여 예측된 값과 현 재 발생되는 트래픽을 비교하여 이상 징후를 분석하는 방법이다.[6] 본 논문에서는 ipInReceives 객체를 통해 관리하고자 하는 시스템으로 입력되는 트래픽을 지속적 으로 분석하였다. 각 날짜별로 일분 단위로 트래픽을 수 집한 후 한 달 동안 수집된 트래픽에 대해서 모든 트래픽 을 수용할 수 있는 기준값을 설정하게 된다.
- 또한, 최근 웜의 확산성을 이용해 단기간에 트래픽 폭 주 공격이 이루어진다는 점에서 기존의 방법으로는 유해 트래픽을 분석하는데 있어 시간이 많이 걸린다는 한계가 있다. 따라서 본 논문에서는 기존의 SNMPMIB를 이용 한 트래픽 분석 방법에 트래픽 추이 분석과 프로토콜별 트래픽 분석을 같이 적용하여 트래픽 분석에 있어 임계 치에 의존적인 문제점을 보완하고, 트래픽 분석에 필요 한 시간의 단축과 유해 트래픽를 정상 트래픽으로 잘못 분석하는 단점을 보완하였다.
- 본 논문에서는 기존의 임계치로 인한 문제점을 해결하 기 위해 일주 트래픽 추이 분석, 프로토콜별 추이 분석 그리고 특정 MIB에 의한 분석 방법을 중첩적으로 사용 하였다. 각 분석 방법에 대한 내용은 다음과 같다.
- 본 논문에서는 유해 트래픽을 분석함에 있어 탐지 시 간의 향상과 탐지율을 높이기 위해 일주 트래픽 추이 분 석, 프로토콜별 트래픽 발생 추이 분석 그리고 특정 MIB 객체에 의한 트래픽 발생 분석 방법을 중첩하여 사용하 였다. 각 분석 방법마다 이상 가중치를 설정하여 값이 2 이상인 경우 유해 트래픽으로 분석해 내는 방법으로 실 험을 통해 기존의 방법보다 정확하고 빠른 분석 결과를 확인할 수 있었다.
- 수집된 각 ME 객체에 대한 트래픽 양은 로그값으로 저장된 임계치를 적용하여 유해 트래픽 여부를 분석하게 된다. 이때 사용되는 분석 방법은 실험을 통해 선정된 공 격에 반응하는 MOB 객체에서의 트래픽 발생이 임계치 안에서 일정하게 발생되는지를 통해서 분석하게 된다.
- 위의 세 가지 분석 방법을 통해 얻어진 이상 가중치의 총합을 통해 최종적으로 유해 트래픽 유무를 분석한다. 이때 이상 가중치 총합이 2 또는 3일 경우 유해 트래픽으 로 분류하게 되며 그 외의 경우에는 정상 트래픽으로 분 류하게 된다.
대상 데이터
- 본 논문에서 제안한 알고리즘의 실험을 위해 사용된 실험 환경은 일반 사용자들 그룹과 공격 그룹 그리고 관 리 대상 시스템과 관리 시스템으로 구성되었다. TCP Flooding 공격, UDP Flooding 공격 그리고 ICMP Flooding 공격을 행한 후에 기존의 방법과 본 논문에서 제안한 알고리즘을 통해 얻어진 결과값을 비교하였다.
데이터처리
- 이로 인해 이상 가중치 값 은 1을 부여한다. 위의 각 분석 결과를 통한 최종 분석 결과는 표 3과 같으며 총 이상 가중치 값이 2로 현재 발 생되는 트래픽에 대해서 유해 트래픽으로 분석하였다.
성능/효과
- 본 논문에서는 유해 트래픽을 분석함에 있어 탐지 시 간의 향상과 탐지율을 높이기 위해 일주 트래픽 추이 분 석, 프로토콜별 트래픽 발생 추이 분석 그리고 특정 MIB 객체에 의한 트래픽 발생 분석 방법을 중첩하여 사용하 였다. 각 분석 방법마다 이상 가중치를 설정하여 값이 2 이상인 경우 유해 트래픽으로 분석해 내는 방법으로 실 험을 통해 기존의 방법보다 정확하고 빠른 분석 결과를 확인할 수 있었다.
- 각 분석 방법에서 모두 기준량과 비교하여 상이하게 트래픽이 발생되고 있는 것을 확인할 수 있다. 이를 통한 이상 가중치 결과는 표 7과 같다.
- 본 논문에서 제안한 알고리즘을 기존의 SNMP를 이용 한 방법과 비교한 결과는 표 4와 같다. 기존 방법에서는 임계치 적용에 의해 초기 트래픽을 분석해내지 못했지만 본 논문에서 제안한 알고리즘을 통해 일분 단위로 정확 하게 분석해 낼 수 있었다.
- 기존의 SNMP를 이용한 분석 방법과 비교하여 기존 방법에서 분석해내지 못했던 초기 유해 트래픽에 대해 정확하게 분석했으며, 시간을 1분대로 크게 향상시킬 수 있었다. 이를 통해 트래픽 폭주 공격에 대해 빠른 분석을 할 수 있었다.
후속연구
- 이를 통해 트래픽 폭주 공격에 대해 빠른 분석을 할 수 있었다. 향후 변동하는 네트워크의 특성에 적응하 기 위해 추이 분석에 사용되는 기준 데이터의 업데이트 와 포트별 추이 분석 방법을 추가하면 여 러 공격에 대해 서 정확하게 탐지할 수 있을 것으로 생각된다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.