[논문]싱크홀 라우터 기반 IP 추적 시스템 설계 및 구현

이형우

doi:10.5762/kais.2009.10.10.2733

[국내논문] 싱크홀 라우터 기반 IP 추적 시스템 설계 및 구현
Design and Implementation of Sinkhole Router based IP Tracing System 원문보기

한국산학기술학회논문지 = Journal of the Korea Academia-Industrial cooperation Society, v.10 no.10, 2009년, pp.2733 - 2740

초록
AI-Helper

최근 All-IP 네트워크 환경이 구축되면서 다양한 형태의 트래픽이 송수신되고 있으며, 이와 더불어 악의적 공격이 급증하고 있어 이에 대한 능동적 대응 방안이 제시되어야 한다. 기존 연구로는 SPIE 시스템을 통해 일방향 해쉬함수와 Bloom Filter 방식을 적용한 라우터 중심 패킷 경로 추적 기법이 제시되었으나, DDoS 공격이 발생할 경우 이를 능동적으로 차단하면서 공격 근원지를 효율적으로 추적하기에는 문제점이 있다. 따라서 본 연구에서는 기존 SPIE 및 Sinkhole 기반 라우터 기법의 장단점에 대한 분석을 통해 두 방식의 장점을 결합하여 All-IP 네트워크 환경에 적합한 IP 추적 방식을 설계하고 이를 구현하였다. 본 연구에서 제시한 기법은 기존의 Sinkhole 방식과 유사하게 공격 패킷에 대한 수집/모니터링 기능을 제공하면서도 추적 패킷 Manager 시스템을 기반으로 공격 패킷에 대한 판단 및 수집/제어기능을 제공하여 성능 향상과 함께 DDoS 공격에 대한 능동적 대응이 가능하였다.

Abstract ▼ AI-Helper

An advanced and proactive response mechanism against diverse attacks on All-IP network should be proposed for enhance its security and reliability on open network. There are two main research works related to this study. First one is the SPIE system with hash function on Bloom filter and second one is the Sinkhole routing mechanism using BGP protocol for verifying its transmission path. In this study, we proposed an advanced IP Tracing mechanism based on Bloom filter and Sinkhole routing mechanism. Proposed mechanism has a Manager module for controlling the regional router with using packet monitoring and filtering mechanism to trace and find the attack packet's real transmission path. Additionally, proposed mechanism provides advanced packet aggregation and monitoring/control module based on existing Sinkhole routing method. Therefore, we can provide an optimized one in All-IP network by combining the strength on existing two mechanisms. And the Tracing performance also can be enhanced compared with previously suggested mechanism.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 연구에서는 기존의 SPIE 시스템에서 사용하는 Bloom Filter 기반 추적 기법 기법의 문제점을 개선하기 위해 Sinkhole 라우터 기반 트래픽 분석 기법을 적용한 IP 추적 기법을 제시하였다. 본 연구에서 제시한 기법은 기존 SPIE 시스템의 문제점을 해결하면서 Sinkhole 라우터와 연계한 추적 방법으로 최근 급증하고 있는 DDoS 공격에 능동적으로 대응할 수 있는 방법을 제시할 수 있었다.
따라서 본 연구에서는 기존의 SPIE 시스템에서 사용하는 Bloom Filter 기반 추적 기법 기법의 문제점을 개선하기 위해 Sinkhole 라우터 기반 트래픽 분석 기법을 적용한 IP 추적 기법을 제시하였다. 본 연구에서 제시한 기법은 기존 SPIE 시스템의 문제점을 해결하면서 Sinkhole 라우터와 연계한 추적 방법으로 최근 급증하고 있는 DDoS 공격에 능동적으로 대응할 수 있는 방법을 제시할 수 있었다.
하지만 아직까지 Sinkhole 라우터 방식을 적용한 추적 방식은 제시되고 있지 않다. 따라서 본 연구에서는 기존의 SPIE 시스템에서 제시한 Bloom Filter 기반 IP 추적 방법의 단점을 보완하면서 DDoS 공격 대응에 능동적인 기능을 제공하는 Sinkhole 라우터 기반 방식을 결합하여 보다 개선된 IP 추적 기법을 제시하고자 한다.
최근 All-IP 네트워크 환경이 구축되면서 다양한 형태 의 트래픽이 송수신되고 있으며, 이와 더불어 다양한 형태의 공격이 급증하고 있어 이에 대한 능동적 대응 방안이 제시되어야 한다. 이에 본 연구에서는 All-IP 네트워크 환경을 중심으로 DDoS 공격 등이 발생하였을 경우 공격 근원지 정보를 추적할 수 있는 기술에 대해 연구하였다.
따라서 본 연구에서는 기존 SPIE 및 Sinkhole 기반 라우터 기법의 장단점에 대한 분석을 통해 두 방식을 결합하여 All-IP 네트워크 환경에 적합한 방식으로 개선하였으며, 이를 통해 공격 추적 기능을 개선하고자 하였다. 제안한 기법에서는 특정 네트워크를 관리하는 Manager 시스템을 두어 패킷에 대한 관리 및 모니터링 기능을 제공하며 공격 발생시 Sinkhole 라우터로 해당 패킷을 전달하는 기능을 제공한다.

제안 방법

본 연구에서 제시하는 방식은 기존 SPIE 시스템과 Sinkhole 라우터 방식의 장단점을 비교 분석하여 최적의 해결 방안을 제시하였다. 그림 6과 같이 라우터를 중심으로 패킷에 대한 공격 발생시 Sinkhole 라우터로 해당 패킷에 대한 정보를 전송하고 공격 추적 정보를 생성/관리 하는 구조를 설계하였다.
본 연구에서 제시하는 방식은 기존 SPIE 시스템과 Sinkhole 라우터 방식의 장단점을 비교 분석하여 최적의 해결 방안을 제시하였다. 그림 6과 같이 라우터를 중심으로 패킷에 대한 공격 발생시 Sinkhole 라우터로 해당 패킷에 대한 정보를 전송하고 공격 추적 정보를 생성/관리 하는 구조를 설계하였다.
Bloom Filter인 경우 전체적인 크기는 해쉬 함수의 출력 비트 크기에 영향을 받기 때문에, 일반적으로 저장용량 및 Bloom Filter의 크기를 생각한다면 일반적으로 32 비트 정도가 적절하다. 따라서 본 연구에서는 기존에 암호학적으로 안전하다고 알려진 SHA-256 함수를 이용하면서 Folding 방식을 이용하여 최종적으로 32비트 값의 해쉬 값을 계산하도록 하였다.
본 연구를 통해 개발된 시스템은 리눅스 환경에서 ‘IP Queue’를 이용하여 패킷을 추출하며, 추출된 패킷에서 필요한 바이트를 ‘SHA-256’알고리즘을 이용한 해쉬 함수를 적용하여 해쉬 값을 생성한다.
각 라우터가 속한 네트워크 내 설정된 Sinkhole 라우터에 대한 정보를 가지고 있으면서 공격 패킷에 대해 전송하는 기능을 수행하며 Bloom Filter 값을 저장하기 위한 구조도 설정되어 있다. 또한, 위에서 제시한 Bloom Filter 생성 구조를 이용하여 각각의 라우터에서는 개별 패킷에 대해 해쉬 함수를 적용하여 자신의 필터 구조 내에 기록하게 되며, 부가적인 정보에 대해서는 Sinkhole 라우터로 전송하여 공격 경로 등을 판별하게 하는 구조를 제안하였다.
본 연구에서 제안한 Manager 시스템은 기본적으로 네트워크 그룹에서의 라우터 관리 기능을 한다. 자신이 관리하는 라우터들 안에서 Sinkhole 라우터를 설정하고 모든 라우터들의 정보를 유지, 갱신, 관리를 한다.
본 연구를 통해 개발된 시스템은 리눅스 환경에서 ‘IP Queue’를 이용하여 패킷을 추출하며, 추출된 패킷에서 필요한 바이트를 ‘SHA-256’알고리즘을 이용한 해쉬 함수를 적용하여 해쉬 값을 생성한다. 파일시스템에 생성된 Bloom Filter에 생성된 해쉬 값을 기록하고 패킷의 처리를 진행한다. 그림 13과 같이 라우터에 들어오는 패킷은 모두 ‘IP Queue’에 쌓이게 된다.
따라서 본 연구에서는 기존 SPIE 및 Sinkhole 기반 라우터 기법의 장단점에 대한 분석을 통해 두 방식을 결합하여 All-IP 네트워크 환경에 적합한 방식으로 개선하였으며, 이를 통해 공격 추적 기능을 개선하고자 하였다. 제안한 기법에서는 특정 네트워크를 관리하는 Manager 시스템을 두어 패킷에 대한 관리 및 모니터링 기능을 제공하며 공격 발생시 Sinkhole 라우터로 해당 패킷을 전달하는 기능을 제공한다.
본 연구에서 제시한 개선된 추적 기법인 경우 기존 SPIE 시스템보다 간편하고 최소화된 메모리 구조를 이용하여 Bloom Filter 정보를 저장할 수 있으면서도 효율적인 공격자 추적 기능을 제공한다. 또한 본 연구에서 제시한 기법인 경우 기존의 Sinkhole 방식과 유사하게 공격 패킷에 대한 수집/모니터링 기능을 제공하면서도 Manager 시스템을 기반으로 공격 패킷에 대한 판단 및 수집/제어 기능을 제공한다.

이론/모형

SPIE 시스템은 IP 추적 기능을 제공하기 위해 Bloom Filter 기반 해쉬 기술을 이용한다. SPIE 시스템에서는 라우터에서 최근에 포워딩한 트래픽에 대한 패킷 Digest 정보를 DGA(Data Generation Agents) 시스템 내부에 Bloom Filter 형태로 저장 관리한다.

성능/효과

이 설정은 ICMP unreachable 메시지를 기록하도록 하는 명령으로, ACL이 설정된 라우터의 터미널 모니터링을 통해 unreachable 패킷이 발송되는 근원지를 찾을 수 있다. unreachable 패킷이 발송된 인터페이스가 공격 트래픽이 유입되고 있는 지점이며, 이 인터페이스에 연결되어져 있는 네트워크에서 공격 트래픽이 생성되는 근원지라는 것을 확인할 수 있다.
본 연구에서 제시한 개선된 추적 기법인 경우 기존 SPIE 시스템보다 간편하고 최소화된 메모리 구조를 이용하여 Bloom Filter 정보를 저장할 수 있으면서도 효율적인 공격자 추적 기능을 제공한다. 또한 본 연구에서 제시한 기법인 경우 기존의 Sinkhole 방식과 유사하게 공격 패킷에 대한 수집/모니터링 기능을 제공하면서도 Manager 시스템을 기반으로 공격 패킷에 대한 판단 및 수집/제어 기능을 제공한다.
따라서 본 연구에서 제시한 기법은 기존 기법의 장단점에 대한 분석을 통해 두 방식을 결합하여 All-IP 네트워크 환경에 적합한 방식으로 개선하였으며, 이를 통해 공격 추적 기능을 개선할 수 있었다.

후속연구

하지만 기존의 Sinkhole 라우팅 기반 대응 방식은 추적 근원지에 대한 정보까지는 제공하지 못하며 네트워크 전체에 대한 관리 및 공격이 발생하였을 경우 공격 패킷에 대한 근거자료 등을 제공하지 못한다는 문제점이 있다. 따라서 SPIE 시스템에서 제공하는 Bloom Filter를 적용하여 보다 효율적이면서도 성능이 개선된 추적 기법을 제공할 필요가 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	Bloom Filter는 어떤 과정으로 동작하는가?	Bloom Filter는 초기화, 입력, 그리고 검색의 세 가지 과정으로 동작한다. 초기화 과정에서는 m 비트의 열을 모두 0으로 초기화를 한다.
	Bloom Filter의 장단점은 무엇인가?	SPIE 시스템에서는 Bloom Filter를 사용함으로써 라우 터를 지나가는 패킷의 정보를 저장하게 된다. Bloom Filter는 시스템의 저장 공간을 최소화 할 수 있다는 큰 장점이 있지만, False positive 라는 단점이 있다. SPIE 시 스템에서 발생하는 False Positive는 DGA의 Bloom Filter 에서 공격 패킷이 라우터를 지나가지 않았는데도 지나갔 다고 판단하는 경우이다.
	모든 라우터들이 자신이 처리한 모든 패킷들에 대한 정 보를 기록하는 방법의 문제점은 무엇인가?	그리고 추적하고 자 하는 패킷에 대한 정보를 각각의 라우터에게 질의하 고 라우터 내에 일치하는 정보가 있다면 질의가 시작된 처음 시스템으로 응답을 함으로서 패킷이 거친 경로를 추적할 수 있다. 하지만 이 방법은 라우터의 리소스 낭비 와 프로세스 오버헤드가 발생 하는 문제가 있다. 이러한 문제를 해결하기 위해서 Bloom Filter를 사용 할 경우 각각의 라우터에서 기록해야 할 패킷 정보를 Bloom Filter로서 저장하고 추적하고자 하는 패킷에 대한 질의가 왔을 때 단순히 Bloom Filter를 검색하여 존재 여 부를 판단하기 때문에 IP 추적 모듈에 적용시 라우터의 리소스 사용량과 프로세스 오버헤드를 줄일 수 있는 이 점이 있다.

참고문헌 (14)

B. Bloom, "Space/Time Tradeoffs in Hash Coding with Allowable Errors," Cmmunications of the ACM 13(7) pp.422-426, 1970.

상세보기
A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer, "Hash-Based IP Traceback," ACM SIGCOMM Computer Communication Review (Proceedings of the 2001 SIGCOMM Conference) 31(4), pp.3-14, 2001.
Andrei Broder and Michael Mitzenmacher, "Network Applications of Bloom Filters: A Survey," Internet Mathematics Vol. 1, No. 4: 485-509, 2003.
S. Savage, D. Wetherall, A. Karlin, and T. Anderson, "Network support for IP traceback," ACM/IEEE Transactions on Networking, 9(3), pp.226-239, 2001.

상세보기
Andrey Belenky, Nirwan Ansari, "On IP Traceback," IEEE Communication Magazine, pp.142-153, July, 2003.

상세보기
Victor Oppleman, "Network Defense Applications using IP Sinkholes," http://vostrom.com/get/netdef_en.pdf
Chen Kai, Hu Xiaoxin, Hao Ruibing, "DDoS Scouter : A Simple IP Traceback Scheme," http://blrc.edu.cn/blrcweb/publication/kc1.pdf
Udaya Kiran Tupakula12 and Vijay Varadharajan, "Tracing DDoS Floods: An Automated Approach, Journal of Network and Systems Management, Vol. 12, No. 1, pp.111-135, March 2004

상세보기
A. Yaar, A. Perrig, and D. X. Song, "FIT: Fast internet traceback," In Proceedings of IEEE INFOCOM, Miami, FL, Mar. 2005.
Hong-bin Yim and Jae-il Jung, "IP Traceback Algorithm for DoS/DDoS Attack," APNOMS 2006, LNCS 4238, pp. 558-61, 2006.
Byungryong Kim, "Efficient Technique for Fast IP Traceback," CDVE 2006, LNCS 4101, pp. 211 -218, 2006.
김태욱, 성경상, 오해석, "효율적 키 관리 방식 적용을 통한 전자문서 암호화에 관한 연구," 한국산학기술학회논문지, Vol.10, No.5, pp.1000-1008, 2009. 5.

원문보기 상세보기
정민경; 신승수; 한군희; 오상영, "스마트카드를 이용한 원격 시스템 사용자 인증 프로토콜," 한국산학기술학회논문지, Vol.10, No.3, pp.572-578, 2009. 3.

원문보기 상세보기
이영민; 노영섭; 조용갑; 오삼권; 황희융 , "SIP 프록시 서버의 부하 최소화를 위한 분산 처리," 한국산학기술학회논문지, Vol.9, No.4, pp.929-935, 2008. 8.

원문보기 상세보기

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증