$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

블룸필터를 이용한 아웃바운드 트래픽 모니터링 방안 연구
Study on Outbound Traffic Monitoring with Bloom Filter 원문보기

디지털콘텐츠학회 논문지 = Journal of Digital Contents Society, v.19 no.2, 2018년, pp.327 - 334  

강성중 (고려대학교 빅데이터응용및보안학과) ,  김형중 (고려대학교 빅데이터응용및보안학과)

초록
AI-Helper 아이콘AI-Helper

PC가 악성코드에 감염되면 C&C서버와 통신하며 공격자의 명령에 따라 내부 네트워크에 확산, 정보획득 등의 과정을 거쳐 최종적인 악성행위를 하게 된다. 기업은 외부로부터의 공격을 사전에 차단하는데 중점을 두고 있으나 APT공격을 목적으로 한 악성코드는 어떤 형대로든 내부로 유입된다. 이때 피해의 확산을 방지하기 위하여 악성코드에 감염되어 C&C서버와 통신을 시도하는 PC를 찾아내는 내부 모니터링이 필요하다. 본 논문에서 수많은 패킷들의 목적지IP가 블랙리스트 IP인지 여부를 빠르고 효과적으로 대조하기 위한 블룸필터를 이용한 목적지 IP 모니터링 방안을 제시한다.

Abstract AI-Helper 아이콘AI-Helper

When a PC is infected with a malicious code, it communicates with the control and command (C&C) server and, by the attacker's instructions, spreads to the internal network and acquires information. The company focuses on preventing attacks from the outside in advance, but malicious codes aiming at A...

주제어

#내부관제   #APT공격   #블룸필터   #블랙리스트   #패킷모니터링  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 연구는 블룸필터를 이용하여 입력 받는 목적지 IP를 사전에 정의된 블랙리스트와 화이트리스트 DB에서 찾아 블랙리스트로 통신하는 패킷은 차단하고 그렇지 않는 경우 정상적인 서비스를 제공하는 모형을 제안한다. 이때, 블룸필터가 가지고 있는 오탐지에 의한 차단의 경우를 최소화하기 위하여 블랙리스트 필터에서 블랙리스트로 판정된 IP 들을 다시 화이트리스트 필터로 걸러내는 방안을 제시하며 그 개념도는 <그림 3>과 같다.
  • 실험은 블랙리스트, 화이트리스트, 검색대상 IP 각각의 원소 집합 중 100개씩 뽑아내는 경우(Case 1), 약 1/4씩을 뽑아내는 경우(Case 2), 약 1/2씩을 뽑아내는 경우(Case 3), 전체를 대상으로 검색하는 경우(Case 4)를 테스트 한다. 시스템에서 처리하는 검색 리스트와 입력 받는 목적지 IP의 크기에 따른 성능 변화를 확인하기 위한 실험이다.

가설 설정

  • 다음은 시스템의 블랙리스트의 개수와 화이트리스트가 고정되어 있고 검색하는 입력 값만 계속 늘어나는 가정의 실험한다. 블랙리스트 개수와 화이트리스트 개수는 본 연구에 사용되는 데이터 전부인 블랙리스트 24,269개, 화이트리스트 890개 모두 사용하며, 검색대상 IP만 12,000개, 24,000개, 36,000개, 48,000개로 12,000단위로 변화시키며 실험하였고, 그 결과는 <그림 6>과 같다.
  • 우선 블룸필터를 이용하지 않은, 통상의 방법으로 검색하는 것은 블랙리스트 IP 24,269개와 검색 대상 IP를 1:1로 대조하므로 이 결과에는 오류가 없고 입력 받는 목적지 IP 값의 블랙리스트 포함여부를 100% 필터링한다고 가정한다. 이때 결과는 총 49개의 블랙리스트를 검색해 찾아냈고, 그 리스트는 <표 1> 과 같다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
APT란 무엇인가? APT란 과거 단순하게 하드디스크를 파괴한다거나, 특정 파일을 유출한다거나 하는 악성코드와 달리 외부 C&C 서버를 통하여 잠행적이고 지속적으로 특정 목표를 달성하기까지 시스템 내의 취약점을 공격하거나 네트워크 내의 다른 시스템을 경유로 목표시스템을 공격하는 등 고급화(advanced)되고 진화된 해킹 기법이다.
블룸필터는 어떤 구조인가? 블룸필터[8]란 어떤 원소가 집합에 속하는지 여부를 검사하는데 사용하는 확률적 자료구조로 1970년 Burton Howard Bloom에 의해 고안되었다. 블룸필터는 사전에 특정 그룹의 원소들의 해시 값을 계산한 후 각 해시 값에 대응하는 비트를 1로 설정해 놓고, 검색하는 원소의 해시 값과 비교하여 모든 비트가 1인 경우 검색하는 값은 그룹에 속한다고 판단하는 통계적 특성의 자료구조이다.
내부 네트워크의 지능형지속공격에 대한 보안의 한계점은 무엇인가? 그러나 최근 랜섬웨어(Ransomware) 등 보다 정교한 악성코드를 이용한 “지능형지속공격”(APT, Advanced Persistent Threat)이 빈번하게 발생하여 이를 탐지하고 차단하기 위한 보안시스템까지 등장하고 있다[1]. 그러나 내부 네트워크 인프라는 네트워크 관문, 서버, PC로 고정된 방역구조를 가지고 있고, 이러한 구조는 차단 Zone을 한정시킴으로서 이미 침입한 내부 네트워크에 유통된 악성코드를 차단하지 못한다[2].
질의응답 정보가 도움이 되었나요?

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

GOLD

오픈액세스 학술지에 출판된 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로