[논문]NS를 이용한 시나리오기반 공격 시뮬레이터 설계 및 구현

최향창; 노봉남; 이형효

NS를 이용한 시나리오기반 공격 시뮬레이터 설계 및 구현
Design and Implementation of Scenario-based Attack Simulator using NS 원문보기

인터넷정보학회논문지 = Journal of Korean Society for Internet Information, v.7 no.5, 2006년, pp.59 - 69

최향창 (전남대학교 시스템보안연구센터) , 노봉남 (전남대학교 컴퓨터정보학부) , 이형효 (원광대학교 정보.전자상거래학부)

초록
AI-Helper

일반적으로 네트워크 공격은 단위 공격이 혼합된 시나리오 형태이다. 시나리오 공격은 광범위한 네트워크 환경에서 이루어지기 때문에 공격 범위가 분명하지 않아 공격과 관련 없어 보이는 불분명한 패킷들까지 분석이 요구된다. 이는 공격에 무관한 패킷들까지 분석에 가담시켜 공격 패턴 탐지를 보다 어렵게 하는 요인이다. 본 논문은 시나리오를 갖는 공격에서 공격에 관련된 패킷 분류를 돕는 공격 시나리오 시뮬레이션 시스템을 설계하고 구현한다. 제안된 시스템은 분석대상 네트워크를 시뮬레이터의 가상환경으로 복제하고, 시나리오에 기반을 둔 공격 행위가 포함된 TCPDUMP패킷을 복제된 가상환경에서 시뮬레이션 할 수 있다. 이 시스템은 보안 관리자들이 공격 시나리오 패턴분석에 유용하게 활용할 수 있을 것이다.

Abstract ▼ AI-Helper

Generally, network attacks are based on a scenario composed of a series of single-attacks, scenario attacks are launched over a wide network environment and their targets are not apparent. it is required to analyze entire packets captured on the network. This method makes it difficult to detect accurate patterns of attacks because it unnecessarily analyzes even packets unrelated to attacks. In this paper, we design and implement a simulation system for attacks scenario, which helps packet classification connected with attacks. The proposed system constitutes a target network for analysis in a virtual simulation environment, and it simulates dumping TCPDUMP packets including scenario attacks under the constructed virtual environment, We believe that our proposed simulation system will be a useful tool when security administrators perform the analysis of patterns of attack scenarios.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

하지만 제안된 시스템을 위해서는시뮬레이션 네트워크 위상이나 시스템 입력 포맷, TCPDUMP 등과 같은 많은 사전 지식을 필요로한다. 다음 연구에서는, 네트워크 위상을 자동으로 설계하여 네트워크 분석자의 참여를 줄여 시스템의 편의성을 높이고, 시나리오기반 침입탐지시스템과의 연계를 통해 시나리오 공격에 대응할수 있는 시스템으로 발전시키고자 한다.
본 논문은 시나리오 공격 분석의 패턴 추출을손쉽게 하기위해 공격관련 패킷 분류를 돕는 공격 시나리오 시뮬레이션 시스템을 설계하고 구현한다. 이 시스템은 분석대상 네트워크를 가상환경으로 복제하고, 복제된 환경에서 시나리오에 기반을 둔 공격 행위를 포함하는 TCPDUMP[7] 패킷을 처리하여 패킷 흐름을 시각화 할 수 있다.
본 논문의 2장은 네트워크 시뮬레이테6]에서 TCPDUMP 패킷을 시뮬레이션 할 수 있도록 확장하기 위해 NS-2[6] 시뮬레이터를 분석하고, DARPA [1, 2]에서 제공하는 다양한 공격 시나리오를 분석한다. 3장은 제안하는 공격 시나리오 시뮬레이션 시스템을 설계하고, 4장은 설계한 모듈을 구현한다.

제안 방법

이후 확보한 컴퓨터를 이용하여 다중의 세션을 맺고 공격의 최종목표가 되는 시스템의 중간도구로서 다양하게 활용하는 공격 시나리오다. SnmpGet 시나리오는 보안으로 취약한 라우터를 검색하여 이 라우터를 제어하는데 사용되는 비밀번호를 해킹한 후에 해당 라우터를 경유하는 패킷들을 수집하여 분석한다. 이때 수집된 정보는 사용자가 웹사이트나 FTP, Telnet, E-Mail 서비스에 접속하기 위해 필요한 ID와 비밀번호가 있을 수 있다.
흐름에 따라 순차적으로 기록한다. 각 이벤트는 속성을 가지고 있으며 이 속성에 기반을 두어 네트워크 토폴로지(topology)와 각 토폴로지에 대한 패킷의 흐름을 시뮬레이션 한다[6]. NAM 애니메이터에서 시뮬레이션 가능한 NAM 트레이스 파일은 네트워크 토폴로지에서 필요한 속성을 정의하는 헤더(header)부분과 패킷의 흐름을 묘사하는 바디 (body) 부분으로 구성된다[9].
본 논문에서는 보안 관리자나 네트워크 관리자가 분산 서비스 거부공격과 같은 침입행위를 쉽게 판별할 수 있도록 네트워크 시뮬레이터의 일종인 NS-2의 NAM을 통해 TCPDUMP 네트워크 패킷을 시뮬레이션 하는 시스템을 제안하고 이를 이용해 DARPA의 2000년도 DDoS 데이터 셋[2]을 시뮬레이션 했다.
시스템은 3장의 설계에 기반을 두어 c, pascal 언어로 구현하였다. 구현된 결과를 테스트 하기위해 2장에서 분석된 DDoS 공격 시나리오를 시뮬레이션 한다.
NAM 애니메이터에서 시뮬레이션 가능한 NAM 트레이스 파일은 네트워크 토폴로지에서 필요한 속성을 정의하는 헤더(header)부분과 패킷의 흐름을 묘사하는 바디 (body) 부분으로 구성된다[9]. 우리는 NS-2 시뮬레이터를 활용하여 공격행위를 포함하는 TCPDUMP를 NAM에서 시뮬레이션 할 수 있는 시스템을 설계하고 구현한다.
9]. 우리는 이러한 문제를 개선하여 공격 패킷이 포함된 TCPDUMP를 NS-2에서 시뮬레이션 할 수 있도록 지원하는 시스템을 개발한다.
예를 들어 DARPA의 DDoS 데이터 셋[7]은 크게 DMZ 영역과 내부 (inside) 영역으로 이루어져 있다. 이 각각의 DDoS 덤프(dump)파일의 내용에서 IP를 추출하고 그에따라 클래스 형태로의 분할을 수행했다. C 클래스 형태로 그룹화 하면 크게 7개의 서브 클래스를 얻을 수 있다.
감지했다. 이후 (그림 1)과 같이 사전분석된 DDoS 시나리오를 기준으로 각 단계별로패킷들을 클러스터링(clustering) 했다. (그림 19)는이후 분석된 DDoS의 특성을 보인다.

대상 데이터

구현하였다. 구현된 결과를 테스트 하기위해 2장에서 분석된 DDoS 공격 시나리오를 시뮬레이션 한다.
우리는 DARPA의데이터 셋을 분석해 몇몇 시나리오 공격을 추출하였다. 이중 분석된 시나리오는 HttpTunnel, MutiHop, SnmpGet, RootKit, DDoS 이다.

성능/효과

이 시스템은 분석대상 네트워크를 가상환경으로 복제하고, 복제된 환경에서 시나리오에 기반을 둔 공격 행위를 포함하는 TCPDUMP[7] 패킷을 처리하여 패킷 흐름을 시각화 할 수 있다. 따라서 분석자는 광범위한 분석 자료를 제안된 시스템으로부터 시뮬레이션 하여 공격 시나리오 과정을 시각적으로 분석함으로써 공격의 패턴 추출에 유용하게 활용 할 수 있다.
우리가 제안한 도구를 이용해 보안 관리자는공격이 포함된 TCPDUMP를 분석하여 쉽게 DDoS 공격으로 감지했다. 이후 (그림 1)과 같이 사전분석된 DDoS 시나리오를 기준으로 각 단계별로패킷들을 클러스터링(clustering) 했다.
단계 2(Step 2)는 Probe공격을 받은 IP를 발견할 수 있다. 즉 이 호스트가 DDoS의 공격에 가담시킬 응용을 설치할 타겟으로 SunRPC/udp 포트인 111번을 공격받았음을 보인다. 단계 3(Step 3)은 Breaking 공격이며 단계 2와 유사하다.

후속연구

단계 5(Step 5)는 DDoS 공격의 개시로 INSIDE와 DMZ에서 공격대상 호스트에 초당 6000개 이상의 패킷 범람(packet flooding) 의 특징을 보인다. 위와 같이 분석된 결과는 DDoS 시나리오를 탐지하는데 충분한 특성으로활용될 수 있을 것이다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

NS를 이용한 시나리오기반 공격 시뮬레이터 설계 및 구현
Design and Implementation of Scenario-based Attack Simulator using NS 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

NS를 이용한 시나리오기반 공격 시뮬레이터 설계 및 구현 Design and Implementation of Scenario-based Attack Simulator using NS 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

최향창 (6) 노봉남 (88) 이형효 (18)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

NS를 이용한 시나리오기반 공격 시뮬레이터 설계 및 구현
Design and Implementation of Scenario-based Attack Simulator using NS 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper