[논문]IP 스푸핑 공격 발생 시 유클리드 거리 기반의 트레이스 백 분석시간 개선 모델

유양; 백현철; 박재흥; 김상복

IP 스푸핑 공격 발생 시 유클리드 거리 기반의 트레이스 백 분석시간 개선 모델
An Improved Model Design for Traceback Analysis Time Based on Euclidean Distance to IP Spoofing Attack 원문보기

융합보안논문지 = Convergence security journal, v.17 no.5, 2017년, pp.11 - 18

유양 (경상대학교 컴퓨터과학과) , 백현철 (경남도립남해대학 스마트융합정보과) , 박재흥 (경상대학교 컴퓨터과학과) , 김상복 (경상대학교 컴퓨터과학과)

초록
AI-Helper

오늘날 컴퓨터를 이용한 정보교환 방식은 다양하게 변화하고 있으며, 이를 이용한 불법적인 공격은 더욱 증가하고 있다. 특히 IP 스푸핑 공격은 그 특성상 DDoS 공격과 같은 자원고갈 공격을 수반하기 때문에 정확하고 빠른 탐지가 요구된다. IP 스푸핑 공격을 탐지하는 기존 방식에는 접속을 요청한 클라이언트의 트레이스 백 경로 정보를 서버에서 미리 보유하고 있는 정상적인 경로 정보와 비교하는 방식을 사용하고 있다. 그렇지만 이러한 공격 탐지 방식은 경로상에 존재하는 모든 라우터들의 IP 정보를 순차적으로 단순 비교하는 방식을 사용하기 때문에 빠르게 변화하는 공격을 탐지하고 대응하기에는 시간적 어려움이 존재한다. 본 논문에서는 이러한 문제를 개선하기 위하여 먼저 경로상에 존재하는 모든 라우터들의 IP에 해당하는 좌표값을 유클리드 거리 계산을 통하여 도출해 놓고, 이를 기반으로 트레이스 백 정보를 분석하여 공격 탐지를 위한 분석횟수를 개선할 수 있었다.

Abstract ▼ AI-Helper

Now the ways in which information is exchanged by computers are changing, a variety of this information exchange method also requires corresponding change of responding to an illegal attack. Among these illegal attacks, the IP spoofing attack refers to the attack whose process are accompanied by DDoS attack and resource exhaustion attack. The way to detect an IP spoofing attack is by using traceback information. The basic traceback information analysis method is implemented by comparing and analyzing the normal router information from client with routing information existing in routing path on the server. There fore, Such an attack detection method use all routing IP information on the path in a sequential comparison. It's difficulty to responding with rapidly changing attacks in time. In this paper, all IP addresses on the path to compute in a coordinate manner. Based on this, it was possible to analyze the traceback information to improve the number of traceback required for attack detection.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

그 다음 4장에서는 유클리드 거리 계산을 통하여 도출한 좌표를 기반으로 기존의 트레이스 백 정보의 분석시간과 유클리드 거리 값을 이용한 분석시간을 비교하였다. 마지막 결론 부분은 트레이스 백 정보의 비교 분석 과정에서 요구되는 파라메터들에 대한 언급과 향후 이용 가능성에 대하여 논하였다.
그렇지만 이러한 네트워크 환경의 변화는 네트워크를 이용한 공격 기법의 다변화도 가져 올 것이다. 본 연구는 빠르고 다양하게 변하고 있는 공격 형태에 능동적이고 신속한 대응을 할 수 있도록 분석 횟수의 감소를 통하여 공격 탐지에 대한 시간을 개선한 연구이다.
그렇지만 이러한 비교 방식은 트레이스 백 정보를 이진수나 십진수 형태로 비교하기 때문에 홉수가 증가하면 할수록 비교 과정에 많은 시간을 낭비하게 된다. 이에 따라 본 논문은 이를 개선하기 위해 유클리드 거리 계산을 통하여 이러한 부분을 개선하였다.

가설 설정

즉, 공격자가 IP 스푸핑 공격을 시도하여 기존의 정상적인 트레이스 백 정보와 상이한 결과를 나타내는 과정을 보이는 것으로 가정할 수 있다. 그러므로 트레이스 백 정보의 분석 과정에서 상이한 정보를 신속하게 탐지를 하는 것이 공격 대응 시간을 단축할 수 있다.

제안 방법

2장에서 본 논문의 관련 연구를 살펴보고, 3장에서는 트레이스 백 정보를 이용한 유클리드 거리 좌표를 생성하는 과정을 보였다. 그 다음 4장에서는 유클리드 거리 계산을 통하여 도출한 좌표를 기반으로 기존의 트레이스 백 정보의 분석시간과 유클리드 거리 값을 이용한 분석시간을 비교하였다. 마지막 결론 부분은 트레이스 백 정보의 비교 분석 과정에서 요구되는 파라메터들에 대한 언급과 향후 이용 가능성에 대하여 논하였다.
본 논문에서 제안하고 있는 분석시간 개선 모델은 일반적인 네트워크 상황에서 발생하는 과정을 기반으로 하였으며, 그 처리 과정은 (그림 2)와 같다.
본 논문에서는 이들 좌표 값들을 사전에 구축해 두고, 접근이 발생하면 트레이스 백을 실시하여 신속한 비교 분석 과정을 수행할 수 있도록 하였다.
또한 각 홉의 IP 정보는 비교분석을 위하여 2진수, 10진수 형태로 수집되어 저장 할 수 있다. 본 논문에서는 이러한 IP 정 보를 비교 분석하기 위하여 강력한 비교병합 프로그램인 울트라컴페어 프로페셔널을 이용하여 (그림 7), (그림 8), (그림 9)로 나타내었다.
본 논문에서는 트레이스 백 과정에서 생성되는 라우터들의 IP 정보를 유클리드 거리로 계산하고 그 결과를 분석 비교 값으로 이용하였다.
유클리드 거리는 두 점 사이의 거리 계산이 필요할 경우 일반적으로 사용하는 방법이다. 본 논문에서는 트레이스 백에 의하여 생성되는 경유 라우터들의 IP 정보를 각각 두 개의 쌍으로 조합하여 유클리드 좌표값으로 생성하여 분석 수행 자료로 사용하였다. 아울러 유클리드 좌표 값을 계산하기 위하여 유클리드 거리에 대응하는 직교 좌표계의 두 점이 필요하다.
본 논문은 이러한 공격을 탐지하는데 있어 분석과정에 필요한 시간 단축과 빠른 대응을 위하여 유클리드 거리 값 계산을 통한 좌표 값을 이용하고 있다. 즉, 해당 좌표 값들은 송/수신 경로상에 존재하는 각 홉들의 IP 정보를 쌍으로 묶은 후 이를 유클리드 거 리 값으로 계산해 낸 정보라고 할 수 있다.
그 다음 해당 접속자가 기존 분석 데이터베이스에 존재하는 IP 사용자이면 트레이스 백 정보의 분석 과정을 수행한다. 이러한 분석 과정은 미리 트레이스 백을 수행하여 획득한 경로상에 존재하는 라우터들의 IP 정보를 기반으로 유클리드 거리 좌표 값으로 구축해 놓은 정보를 이용하여 수행한다.

대상 데이터

본 논문의 실험을 위한 트레이스 백 정보 획득은 본 연구자의 컴퓨터를 출발지로 하고 국내 임의 지역의 서버를 목적지로 하여 해당 정보를 (그림 3), (그 림 4)와 같이 획득하였다. (그림 3), (그림 4)의 트레이스 백 정보를 분석해 보면, 동일한 출발지 IP를 이용한 접근이 발생했지만 경로상에 존재하는 라우터의 IP 정보가 동일하지 않다는 것을 알 수 있다.
본 논문의 유클리드 거리 좌표는 정상적인 경로상에 존재하는 라우터들이 보유하고 있는 IP 정보를 각 두 개씩 짝을 지어 거리 좌표로 사용하였다. 그 다음 이들 좌표 값을 기반으로 정상적인 사용자 판정 정보로 사용하여 분석시간을 개선할 수 있었다.

이론/모형

본 논문에서는 접속자에 대한 트레이스 백 정보 분석과 관련하여 분석시간의 개선을 위하여 유클리드 거리 좌표 값을 이용하고 있다. 또한 각 홉의 IP 정보는 비교분석을 위하여 2진수, 10진수 형태로 수집되어 저장 할 수 있다.
본 논문은 클라우드 환경에서 정상적인 사용자 분석 시간을 개선하기 위하여 수학적 유클리드 거리 계산식을 이용하였다.

성능/효과

(그림 10)은 접근을 시도한 시스템으로 트레이스 백을 수행하여 획득한 각 홉의 정보를 2진수, 10진수 형태로 수집한 것과, 본 논문에서 주장하는 유클리드 거리 좌표 값을 이용하여 그 비교 과정을 그래프로 나타낸 것이다. 그 결과 일반적인 트레이스 백 정보 를 수집하여 비교 분석을 수행하는 경우보다 유클리드 거리 값을 계산한 후 해당 좌표 값을 비교하는 과정이 분석에 필요한 횟수를 감소시킬 수 있다는 것을 알 수 있었다. 이상의 내용은 다음 <표 1>과 같다.
본 논문에서는 유클리드 거리 값 계산 결과를 기반으로 비교 분석을 수행하기 때문에 기존의 분석 시간을 단축할 수 있었다.

후속연구

(그림 5)는 트레이스 백 정보를 이용하여 경유 라우터들의 IP 정보를 유클리드 거리 값으로 나타낸 것이다. 이는 향후 접속자들의 트레이스 백 정보를 획득하여 이를 유클리드 거리값으로 분석한 후 상호 비교분석 과정에 사용하기 위한 자료이다.
향후 연구 과제로 공격 탐지에 필요한 일반화가 가능한 파라메터들의 정확한 분석을 통하여 효율적인 공격 탐지가 가능한 데이터베이스 구축이 필요하다고 본다.

질의응답

핵심어	질문	논문에서 추출한 답변
	IP 스푸핑 공격이란?	특히 고도의 불법적인 접근 방법을 숙지하고 있는 공격자들은 주로 IP 스푸핑 공격을 시도한다. IP 스푸핑 공격이란 클라우드를 구성하는 상호 신뢰호스트의 정보를 이용하여 클라우드 내의 다른 신뢰호스트를 불 법적으로 공격하는 기술이다. 그러므로 클라우드 환경에서는 상호 신뢰호스트의 IP를 이용한 불법적인 공격 유형이 더욱 증가할 수 있다[6-7].
	IP 스푸핑 공격에 대한 기존 탐지 방식에는 트레이스 백 정보를 비교하여 정상적인 접근 여부를 판정하는 방식을 사용하는데, 이 방식에 대해 설명하라.	IP 스푸핑 공격에 대한 기존 탐지 방식에는 트레이스 백 정보를 비교하여 정상적인 접근 여부를 판정하는 방식을 사용하고 있다. 기존의 트레이스 백 분석 과정은 송/수신자 사이에 접속 요청 발생시 경유하는 라우터들의 정보를 실시간 비교 분석한 후 적절 한 대응 과정을 수행하는 방식이다. 그렇지만 단순 트레이스 백 정보를 분석하는 과정은 경유하는 라우터들의 IP 정보를 모두 비교하기 때문에 이에 대한 오버헤드를 초래할 수 있다[8-10].
	일반적으로 사용하는 불법적인 접근에 대한 보안 기법에는 무엇이 있나?	불법적인 접근에 대한 보안 기법에는 특정 패턴을 비교 분석하여 불법적인 접근을 탐지 해 내는 기법과 OTP를 이용한 재인증 기법, 정상적인 사용자 외에는 원문을 볼 수 없도록 하는 암호화 기법을 일반적으로 사용하고 있다[3-5]. 하지만 이러한 개별 보안 기법들은 빅 데이터 서비스를 수행하는 새로운 네트 워크 환경에는 많은 취약점을 보이고 있다.

참고문헌 (15)

Telecommunication Technology Association 2008. Botnat trend and respond technology present, TTA Journal, 118(Special Report) : 58-65.
J.z. Li, and X.M. Liu An important aspectt of big data : Data usability, School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, pp. 1147-1162, 2013.
R-W. Huang, X-L. Gui, S. Yu, and W. Zhuang, Privacy-Preserving Computable Encryption Scheme of Cloud Computing, Chinese Journal of Computers, Vol. 34, No. 12, pp. 2391-2402, 2011.
Lee, A (1999). Guideline for Implementing Cryptography in the Federal Government. Nist SP 800-21.112.
Gueron, S. (2008). Advanced Encryption Standard (AES) Instructions Set. White paper of Inter.
X-F. Meng, and X-B. Ci, Data management : Concepts, techniques and challenges, School of Information, Renmin University of China, Beijing 100872, pp. 146-169, 2013.
J.H. Sun, and K.J. Kim, Cloud Computing in the Vulerability Analysis for Personal Information Security, Journal of Information and Security, Vol. 10, No. 4, pp. 77-82, 2010.
H-D. Lee, H-T. Ha, H-C Baek, C-G. Kim, and S-B. Kim, Efficient detction and defence model against IP spoofing attack through cooperation of trusted hosts, Journal of the Korea Institute of Information and Communication Engineering, Vol. 24, No. 12, pp. 2649-2656, 2012.
Y-T. Mu, H-C. Baek, J-Y. Choi, W-C. Jeong, and S-B. Kim, A Proposal of a Defence Model for the Abnormal Data Collection using Trace Back Information in Big Data Environments, Journal of the Korea Institute of Information and Communication Engineering, Vol. 10, No. 2, pp. 153-162, 2015.
Joon Heo, Detecting Abnormal SIP (Session Initiation Protocol) Traffic using Statistical Distribution Estimation. Journal of KISS : Software and Applications 38(11), 2011.11, 606-612.
Shin, Y. H. Lim, G. H and Im, E. G. 2009. A Research on the possibility of ARPspoofing attack in SCADA System Based on TCP/IP environment. Convergence security journal, 9(3) : 9-17.
M-H Kim, H-C Beak, S-W Hong and J-H Park, 2015. An Encrypted Service Data Model for Using Illegal Applications of the Government Civil Affairs Service under Big Data Environments, Convergence security journal, 15(7) : 31-38.
Woochan Hong, Kwangwoo Lee, Seungjoo Kim and Dongho Won. Vulnerabilities Andlysis of the OTP Implemented on a PC, DOI; 10.3745/KIPSTC. 2010.17C.4.361.
Shuang Li, Seog Geun Kang, Design of 3-Dimensional Cross-Lattice Signal Constellations with Increased Compactness. Journal of the Korea Institute of Information and Communication Engineering, Vol.20, No.4 : 715-720 Apr. 2016.

원문보기 상세보기
M-S Kim, J-H Kim, J-H Wo, L-S Lee and B-H Kim, A function of a variety of distance in accordance with the definition of a regular polygon. The Korean Soc. Math. Ed. Proceedings of the 47th National Meeting of Math. Ed. November 4-5, 2011, 259-268.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증