[논문]종단간의 유사 연결 패턴을 갖는 정상 서버 활동과 공격의 구분 및 탐지 방법

장범환

doi:10.13089/jkiisc.2012.22.6.1315

종단간의 유사 연결 패턴을 갖는 정상 서버 활동과 공격의 구분 및 탐지 방법
A Method for Detection and Classification of Normal Server Activities and Attacks Composed of Similar Connection Patterns 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.6, 2012년, pp.1315 - 1324

장범환 (호원대학교)

초록
AI-Helper

보안 이벤트 시각화 기법은 기존의 시각화 기술을 네트워크 보안 분야에 적용한 형태로써 네트워크 보안과 관련있는 이벤트를 사용하여 네트워크의 트래픽 흐름과 보안 상황을 쉽고 빠르게 분석 및 탐지하는 기술이다. 특히 종단간의 연결 이벤트인 세션을 시각화하여 네트워크 이상 상황을 탐지하는 기술은 상대적으로 패킷 감시 기법에서 발생하는 오버헤드를 줄일 수 있고 알려지지 않은 공격 패턴들은 쉽게 탐지할 수 있어서 좋은 해결책이 되고 있다. 하지만, 서버들의 정상 활동과 네트워크 공격이 종단간의 유사한 연결 패턴을 가질 경우 세션 기반의 시각화 기법들은 공격 상황과 정상 상황을 구분하는 기능이 매우 취약하다. 따라서 본 논문에서는 세션 기반 시각화 기법에서 서버들의 정상 활동과 네트워크 공격 상황을 상세하게 구분할 수 있는 IP 주소 분할 표시 분석 방법 및 포트 특성 분석 방법을 제안하고자 한다. 제안하는 세션 기반의 공격 시각화 탐지 방법은 다른 공격 탐지 방법들과는 의존성이 없기 때문에 기존의 다양한 네트워크 공격 분석 및 탐지에 활용될 수 있고, 또한 네트워크 관리자에게는 현재 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단할 수 있도록 도움을 준다.

Abstract ▼ AI-Helper

Security visualization is a form of the data visualization techniques in the field of network security by using security-related events so that it is quickly and easily to understand network traffic flow and security situation. In particular, the security visualization that detects the abnormal situation of network visualizing connections between two endpoints is a novel approach to detect unknown attack patterns and to reduce monitoring overhead in packets monitoring technique. However, the session-based visualization doesn't notice a difference between normal traffic and attacks that they are composed of similar connection pattern. Therefore, in this paper, we propose an efficient session-based visualization method for analyzing and detecting between normal server activities and attacks by using the IP address splitting and port attributes analysis. The proposed method can actually be used to detect and analyze the network security with the existing security tools because there is no dependence on other security monitoring methods. And also, it is helpful for network administrator to rapidly analyze the security status of managed network.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

하지만, 기존 보안시스템의 오탐율이 문제인 것과 동일하게 대부분의 세션기반 시각화 기법들은 공격 상황과 정상 서버의 활동을 구분하는 기능이 취약하다. 따라서 본 논문에서는 종단간의 세션 이벤트를 시각화하는 방법에 있어서 정상 서버 활동과 공격 상황을 구분할 수 있는 상세 분석 방법을 제안하고자 한다.
일례로, DNS 서버와 Web 서버의 경우 다수의 클라이언트 호스트들이 서버와 접속하기 때문에 전체 세션 모습은 서버로 수렴하는 DDoS 공격과 매우 유사하다. 따라서, 본 논문에서는 VisMon을 비롯한 세션 기반의 시각화 공격 탐지 방법에 있어서 정상 서버의 활동과 공격 상황을 구분하여 탐지하기 위한 IP 주소 분할 표시 방법과 포트 특성 분석 방법을 제안한다. 이를 위해 분석 대상이 되는 세션 그룹을 생성하는 방법과 그룹화된 세션이 공격으로 인해 인위적으로 생성되었는지를 IP주소와 포트를 평가하여 탐지하고자 한다.

네트워크 관리자는 침입탐지시스템, 방화벽 등의 보안 장비에서 발생하는 보안이벤트를 통하여 네트워크에서 이상 현상이 발생하였는지를 인지한 후, 이상 현상이 실제 네트워크의 보안 위협인지를 판단하기 위해서 보안이벤트와 관련된 트래픽을 검색하고 분석하는 등의 일련의 작업을 수행한다. 본 논문에서는 네트워크 보안 상황 분석에 소요되는 시간을 줄일 수 있는 세션 기반의 보안 이벤트 시각화 기법을 소개하였고, 정상 서버와 공격 현상을 정교하게 구분할 수 있는 IP 주소 분할 표시 분석 및 포트 특성 분석 방법에 대해 제안하였다. 이는 세션들을 군집화하여 분석 대상이 되는 세션 그룹들을 찾아내고, 해당 세션 그룹이 자연발생적인 IP주소 및 포트의 특성을 갖고 있는 지를 검사하는 방법이다.

제안 방법

IP 주소 분할 표시 분석과 함께 이벤트 그룹이 정상 세션 그룹인지 아닌지를 검출하기 위해 포트 특성 분석을 사용한다. 포트 특성 분석은 이벤트 그룹 내의 spt와 dpt의 구성이 정상적인지를 판별하는 것으로써 포트 번호의 연속성(continuety)과 발생빈도의 균등성(uniformity)을 검사하는 방법이다.

분석 대상 이벤트 그룹이 선정된 후에는 그것이 정상적인 세션 그룹인지 아니면, 비정상 세션 그룹인지에 대한 분석을 수행한다. 분석은 그룹 내 각 세션들의 IP주소가 비정상적인 모습을 보이고 있는 지를 찾아내는 방법인데, [그림 1]과 같이 병렬좌표 분할 표시와 원형좌표 분할 표시를 통해 이루어진다.

분석 대상이 되는 세션 그룹을 생성하기 위해서 세션 이벤트의 5-tuple을 이용하여 프로토콜별로 1차 군집화하고, 남은 4개의 요소(근원지주소:sip, 근원지포트:spt, 목적지포트:dpt, 목적지주소:dip) 중에서 2개 또는 3개의 요소를 선택 및 조합(combination) 하여 이벤트 그룹을 생성한다. 예를 들면, 근원지주소와 근원지포트를 선택하여 조합한다는 것은 전체 세션 이벤트 집합에서 동일한 근원지주소와 동일한 근원지 포트를 갖는 세션들을 그룹화한다는 의미이다.

따라서, 본 논문에서는 VisMon을 비롯한 세션 기반의 시각화 공격 탐지 방법에 있어서 정상 서버의 활동과 공격 상황을 구분하여 탐지하기 위한 IP 주소 분할 표시 방법과 포트 특성 분석 방법을 제안한다. 이를 위해 분석 대상이 되는 세션 그룹을 생성하는 방법과 그룹화된 세션이 공격으로 인해 인위적으로 생성되었는지를 IP주소와 포트를 평가하여 탐지하고자 한다.

대상 데이터

네트워크 공격 분석 실험을 위해서 실제 운용되고 있는 한국과학기술정보연구원의 라우터(KREONET 과 미국의 StarTap 구간)에서 수집한 netflow 이벤트를 사용하였다. 실험 데이터에는 UDP 1434 포트를 이용한 Slammer Worm 공격을 비롯하여 각종 스캐닝 공격들이 포함되어 있으며, 본 논문의 식 (1) 과 (2)에 따른 [sip, spt, *, *] 군집화 방법을 사용 하여 분석 대상 세션들을 선정하였다.
네트워크 공격 분석 실험을 위해서 실제 운용되고 있는 한국과학기술정보연구원의 라우터(KREONET 과 미국의 StarTap 구간)에서 수집한 netflow 이벤트를 사용하였다. 실험 데이터에는 UDP 1434 포트를 이용한 Slammer Worm 공격을 비롯하여 각종 스캐닝 공격들이 포함되어 있으며, 본 논문의 식 (1) 과 (2)에 따른 [sip, spt, *, *] 군집화 방법을 사용 하여 분석 대상 세션들을 선정하였다. IP 주소 분할 표시 분석에 의해 검출된 Slammer Worm 공격과 Host Scan 공격은 [그림 4]와 같다[1].

이론/모형

하지만, 세션 정보를 발생 시키는 대부분의 장비들이 세션들을 샘플링하여 전송하기 때문에 직선 모양이 일정하지 않고 군데군데 끊어지는 현상이 발생한다. 따라서, 허프변환(Hough Transform)을 사용하여 직선의 길이를 측정한다. [그림 3]은 끊어진 직선에서의 허프변환 수행 결과를 나타낸 것이다.

성능/효과

허프변환은 직선방정식을 극좌표방정식으로 변형한 후 직선을 검출하는 방식으로써 직선의 방향은 탐지할 수 있지만, 직선의 시작과 끝을 알 수 없어 정확한 패턴의 길이를 검출할 수가 없다. 따라서 검출된 직선에 대해 각도가 -45˚~45˚일 때와 45˚~135˚ 일 때를 구분하여 각 열별로 허프공간으로 변형한 뒤, 해당 직선의 기울기와 절편 값에 해당하는 점에서 만나는 직선의 위치가 시작좌표이고, 그 점과 만나는 직선이 끝나는 위치가 직선의 끝 좌표가 되므로 정확하게 패턴을 검출 할 수 있다.

해당 이벤트 그룹의 IP주소를 분할하여 표시한다는 것은 이미 그 그룹이 수렴 또는 발산 형태를 갖기 때문이고, 여기서는 해당 이벤트 그룹이 정상 세션 그룹인지 아니면 비정상 세션 그룹인지를 검출하기 위함이다. 분할된 IP주소 이외의 마지막 병렬 Y축인 IP주소 세션 개수 값(cnt)은 정상 서버일 경우에는 접속횟수가 다양하여 랜덤하지만, 호스트 스캔과 네트워크 스캔 공격일 경우에는 스캐닝을 반복 수행한 특정 횟수 값으로 수렴하는 형태를 보이고, 웜이나 DDoS일 경우에는 1(종단간의 연결세션이 1회)과 같이 매우 작은 값으로 수렴하는 형태를 보인다.

제안하는 방법은 세션기반 시각화 기법의 단점인종단간의 유사 세션 패턴일 경우 이들을 구분하여 분석할 수 없는 문제점을 개선할 수 있는 것으로써, 실험 결과에서 보는 바와 같이 정상 서버들의 활동과 네트워크 공격 상황(네트워크 스캐닝, 호스트 스캐닝, 인터넷 웜, DoS, DDoS 공격 등)을 정확하게 구분하여 탐지할 수 있다. 또한, 제안하는 방법은 독립적인 모듈 형태로 구현가능하기 때문에 기존의 다른 공격 탐지 방법들과 병행적으로 함께 운영하거나 또는 보안관리 시스템의 공격 탐지 모듈 형태로 추가하여 운영할 수도 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	네트워크 공격 탐지 중 서비스를 구성하는 IP 패킷 자체를 감시하는 방법으로 무엇을 파악할 수 있는가?	네트워크 공격 탐지는 네트워크 상의 각종 서비스 들을 감시하여 비정상 서비스 또는 비정상 행위들을 찾아내는 것으로써 서비스를 구성하는 IP 패킷 자체를 감시하는 방법과 종단간의 연결인 세션을 감시하는 방법이 있다[1]. 전자에서는 통신이 출발지와 목적지 간의 패킷 교환을 통해 이루어지므로 패킷을 감시하고 분석하여 어떤 악의적인 내용을 포함하고 있는지 그리고 알려진 공격 패턴들 중에 어떤 것을 포함하고 있는 지를 파악할 수 있다[2,3]. 이런 패킷 감시 방법은 IDS(Intrusion Detection System) 또는 IPS (Intrusion Prevention System)와 같이 전통적인 보안시스템들과 네트워크 분석 시스템들에 많이 사용되는 방법이다.
	대표적인 시각화 기반 보안상황인지 기술에는 무엇이 있는가?	대표적인 시각화 기반 보안상황인지 기술에는 NVisionIP[17], VisFlowConnect-IP[18], PortVis[19], VisCat[1][3] 등이 있다. NVisionIP는 B클 래스 네트워크의 서브넷을 가로축으로, 호스트를 세로 축으로 설정하여 호스트에서 사용하는 유일한 포트의 수를 화면상에 표현하는 Galaxy View, 네트워크 관리자에서 선택된 서브넷의 호스트의 특정 포트별 플로우 수를 표현하는 Small Multiple View, 한 호스트에서 송·수신되는 포트별 트래픽의 양을 표현하는 Machine View 화면으로 구성된다.
	네트워크 이벤트 시각화 기술은 무엇인가?	네트워크 이벤트 시각화 기술은 네트워크에서 발생 하는 이벤트로부터 특성 정보를 추출한 후, 정보 시각화(Information Visualization) 기법을 사용하여 2차원 또는 3차원 공간상에 이벤트의 내용과 상황을 표현하는 기법이다. 이는 그래픽 요소를 활용하여 데이터가 정보로서 의미가 생성되도록 형상화하는 것으로써 방대한 양의 이벤트들을 직관적으로 분석하는데 매우 유용한 방법이다.

참고문헌 (20)

Beom-Hwan Chang and Chi-Yoon Jeong, "An Efficient Network Attack Visualization using Security Quad and Cube," ETRI Journal, vol. 33 no 5, pp. 770-779, Oct. 2011.
장범환, 나중찬, 장종수, "보안 이벤트 시각화를 이용한 보안 상황 인지 기술," 정보보호학회지, 16(2), pp. 18-25, 2006년 8월.

원문보기 상세보기
정치윤, 손선경, 장범환, 나중찬, "시각화 기반의 효율적인 네트워크 보안 상황 분석 방법," 한국정보보호학회 논문지, 19(3), pp. 107-117, 2009년 6월.
A. Giani, I.G.D. Souza, V. Berk, and G. CybenkoI, "Attribution and Aggregation of Network Flows for Security Analysis," Proceedings of the 2006 CERT FloCon Workshop, pp. 1-4, Oct. 2006.
E.W. Bethel, S. Campbell, E. Dart, K. Stockinger, and K. Wu, "Accelerating Network Traffic Analytics Using Query- Driven Visualization," Proceedings of the 2006 IEEE Symposium on Visual Analytics Science and Technology, pp. 115-122, Oct. 2006.
Y. Hu, "Adaptive Flow Aggregation-A New Solution for Robust Flow Monitoring under Security Attacks," Proceedings of the 10th IEEE/IFIP on Network Operations and Management Symposium, pp. 424-435, Apr. 2006.
E.L. Malecot, M. Kohara, Y. Hori, and K. Sakurai, "Interactively Combining 2D and 3D Visualization for Network Traffic Monitoring," Proceedings of the 3rd International Workshop on Visualization for Computer Security, pp. 123-127, Nov. 2006.
A. Oline and D. Reiners, "Exploring Three-Dimensional Visualization for Intrusion Detection," Proceedings of the IEEE Workshop on Visualization for Computer Security, pp. 113-120, Oct. 2005.
H. Koike and K. Ohno, "Snortview: Visualization system of snort logs," Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security, pp. 143-147, Oct. 2004.
K. Abdullah, C. Lee, G. Conti, J. Copeland, and J. Stasko, "IDS RainStorm: Visualizing IDS Alarms," Proceedings of the IEEE Workshop on Visualization for Computer Security, pp. 1-7, Oct. 2005.
P Ren, Y. Gao, Z. Li, Y. Chen, and B. Watson, "IDGraphs: Intrusion Detection and Analysis Using Histographs," Proceedings of the IEEE Workshop on Visualization for Computer Security, pp. 39-46, Oct. 2005.
R. Erbacher, K. Christensen, and A. Sundberg, "Designing Visualization Capabilities for IDS Challenges," Proceedings of the IEEE Workshop on Visualization for Computer Security, pp. 121-128, Oct. 2005.
S. Lau, "The Spinning Cube of Potential Doom," Communications of the ACM, vol. 47, no. 6, pp. 25-26, Jun. 2004.

상세보기
G. Conti, and K. Abdullah, "Passive Visual Fingerprinting of Network Attack Tools," Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security, pp. 45-54, Oct. 2004.
R. Ball, G.A. Fink, and C. North, "Home-Centric Visualization of Network Traffic for Security Administration," Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security, pp. 55-64, Oct. 2004.
S. Krasser, G. Conti, J. Grizzard, J. Gribschaw, and H. Owen, "Real-Time and Forensic Network Data Analysis Using Animated and Coordinated Visualization," Proceedings of the 2005 IEEE Workshop on Information Assurance Workshop, pp. 42-49, Jun. 2005.
K. Lakkaraju, W. Yurcik, and A.J. Lee, "NVisionIP: Netflow Visualizations of System State for Security Situational Awareness," Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security, pp. 65-72, Oct. 2004.
X. Yin, W. Yurcik, and A. Slagell, "The Design of VisFlowConnect-IP: A Link Analysis System for IP Security Situational Awareness," Proceedings of the 3rd IEEE International Workshop on Information Assurance, pp. 141-153, Mar. 2005.
J. McPherson, K. Ma, P. Krystosk, T. Bartoletti, and M. Christensen, "PortVis: A Tool for Port-Based Detection of Security Events," Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security, pp. 73-81, Oct. 2004.
A. Wagner and B. Plattner, "Entropy Based Worm and Anomaly Detection in Fast IP Networks," Proceedings of the 14th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprise, pp. 172-177, Jun. 2005.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증