[논문]패킷 필터링을 사용한 네트워크 보안 시뮬레이션

김태헌; 이원영; 김형종; 김홍근; 조대호

문제 정의

있다. 본 연구에서는 네트워크 보안의 대표적인 침입 차단 시스템의 패킷 필터 및 네트워크 구성요소들을 모델링하였다. 각 모델은 DEVS 모델을 참조한 MODSIM HI 기반의 기본 모델(Basic Model)과 결합 모델(Compound Model)의 두 가지 유형으로 정의하였다.
본 연구의 목표는 패킷 필터에 다양한 보안정책을 적용하여, 보안 시스템 성능과 보안 성능향상을 검증하는 것이다. 본 연구의 범위는 네트워크 보안의 대표적인 침입 차단 시스템을 분석하고 보안 정책을 적용할 수 있도록 모델링하는 것, 그리고 최근의 대표적인 공격과 추상화한 모델들로 구성된 시뮬레이션 환경을 구축하는 것이다.
검증하는 것이다. 본 연구의 범위는 네트워크 보안의 대표적인 침입 차단 시스템을 분석하고 보안 정책을 적용할 수 있도록 모델링하는 것, 그리고 최근의 대표적인 공격과 추상화한 모델들로 구성된 시뮬레이션 환경을 구축하는 것이다.
본 연구의 의의는 침입 차단 시스템의 분석 및 성능 검증을 통하여 보안 효율을 향상할 수 있다는 점이다. 또 향후 보안 시스템 모델링 및 네트워크 보안 시뮬레이션 연구의 기초 자료가 될 것이다.

가설 설정

둘째, 모듈 개념을 사용하여 시스템을 표현하고, 이를 프로그램에 그대로 반영하기 용이하도록 모듈화 구조를 제공한다. 셋째, 객체 지향 프로그래밍 언어이다. 넷째, 시뮬레이션의 여러 형태 중 연속된 시간상에서 이산적으로 사건(event: 시스템의 상태를 변화시키는 일)이 발생되는 시스템을 시뮬레이션 하는데 적합하다.

제안 방법

SYN flooding 공격과 Smurf 공격에 대해, [표 3]과 같은 패킷 필터 모델에서의 적용 가능 정책과, [표 4]와 같은 시나리오를 구성하였다.
본 연구에서는 네트워크 보안의 대표적인 침입 차단 시스템의 패킷 필터 및 네트워크 구성요소들을 모델링하였다. 각 모델은 DEVS 모델을 참조한 MODSIM HI 기반의 기본 모델(Basic Model)과 결합 모델(Compound Model)의 두 가지 유형으로 정의하였다. 기본모델은 독립적인 기능을 수행하는 단위 모델을 표현하고, 결합 모델은 여러 개의 모델이 연동되어 상위 레벨의 시스템을 표현한다.
시나리오를 구성하여 실행하였다. 공격 및 정상 패킷은 각 공격에 따른 8가지씩의 패킷 유형을 균일 분포로 발생하였으며, 패킷의 발생 시간 간격(inter-arrival time)은 네트워크에서의 일반적인 패킷의 흐름을 나타내는 지수 분포를 사용하였다[13]. 측정 시간은 시뮬레이션 실행 전 모델에서의 파일럿 수행을 통하여 얻은 적정수준의 값인 단위 시간 600000을 사용하였다.
차단 시스템을 분석하였다. 둘째, 분석된 내용을 바탕으로 침입 차단 시스템의 대표적 기능인 패킷 필터링을 모델링하였다. 셋째, 최근의 두드러진 공격 형태인 서비스 거부 공격에 대해 다양한 보안 정책들을 분석 및 적용하여 시뮬레이션을 실행하였다.
모델링 대상 시스템으로는 시뮬레이션 대상 네트워크 환경을 고려하여, 네트워크 보안에 있어서 대표적인 침입 차단 시스템의 패킷 필터로 정하였다. 침입 차단 시스템은 외부 네트워크의 침입에 대해 내부 네트워크를 보호하기 위한 네트워크 구성요소 중의 하나로서, 외부의 불법 사용자의 침입으로부터 내부의 전산자원을 보호하기 위한 정책 적용을 지원하는 하드웨어와 소프트웨어를 말한다[6, 8].
동적 패킷 필터링은 필터링 규칙이 입력되는 패킷에 의해 동적으로 정해지고, 네트워크 계층의 헤더를 포함한 상위 모든 계층의 정보를 고려하여 필터링을 수행한다. 보안정책에 따라 요구되는 관찰 대상 정보를 추출하여 동적 상태 테이블Dynamic State Table) 에유지하고, 이 테이블을 근거로 연속되는 패킷들의 연관성을 고려하여 필터링을 수행한다[9, 10].
본 시뮬레이션은 두 가지 공격에 대하여, 패킷 필터 모델에, 총 8개의 보안 정책을 조합한 7 개의 시나리오를 구성하여 실행하였다. 공격 및 정상 패킷은 각 공격에 따른 8가지씩의 패킷 유형을 균일 분포로 발생하였으며, 패킷의 발생 시간 간격(inter-arrival time)은 네트워크에서의 일반적인 패킷의 흐름을 나타내는 지수 분포를 사용하였다[13].
본 연구를 통하여 달성한 내용으로는, 첫째, 침입 차단 시스템을 분석하였다. 둘째, 분석된 내용을 바탕으로 침입 차단 시스템의 대표적 기능인 패킷 필터링을 모델링하였다.
본 연구에서는 이산 사건 모델링 기법을 이용하여 복잡한 네트워크 구조를 계층적으로 명확하게 표현하고, 네트워크 구성원의 동적 특성을 객체지향 개념에 따라 독립적이고 재사용이 용이하게 표현하기 위한, 구조적베이스(Structural Base)와 동적 베이스(Behavioral Base)를 이용하여 표현한다.
둘째, 분석된 내용을 바탕으로 침입 차단 시스템의 대표적 기능인 패킷 필터링을 모델링하였다. 셋째, 최근의 두드러진 공격 형태인 서비스 거부 공격에 대해 다양한 보안 정책들을 분석 및 적용하여 시뮬레이션을 실행하였다. 본 연구의 시뮬레이션 실행을 통하여, 패킷 필터링 기능에 있어서 과거의 단순 패킷 필터링에서 진일보한 Stateful Inspection의 우수한 성능을 검증하였다.
기본모델은 독립적인 기능을 수행하는 단위 모델을 표현하고, 결합 모델은 여러 개의 모델이 연동되어 상위 레벨의 시스템을 표현한다. 시뮬레이션을 위한 모델링과 그래픽 기능이 강력한 MODSIM Ⅲ를 기반으로 모델들을 비롯한 시뮬레이션 환경을 구현하였다. 대상 네트워크 환경에서 사용한 공격은 서비스 거부 공격 형태인 SYN flooding 공격과 Smurf 공격을 발생하였다.
연속적인 시간상에서 발생되는 이산 사건을 처리하는 시스템을 시뮬레이션하기 위해 이론적으로 정립된 모델링 방법론인 DEVS(Discrete EVent system Specifications) 형식론[3, 4]을 참조하여 [표2]와 같이 MODSIM m 기반의 기본모델(Basic Model)과 결합모델(Compound Model) 의 두 가지 유형으로 정의하였다.
대상 네트워크 환경에서 사용한 공격은 서비스 거부 공격 형태인 SYN flooding 공격과 Smurf 공격을 발생하였다. 이 공격들에 대하여, 패킷 필터 모델에 다양한 보안정책을 적용하여 시뮬레이션을 실행하였다. 본연구에서의 시뮬레이션을 통하여, 과거의 단순 패킷 필터링에서 진일보한 Stateful Inspection 의 우수한 보안 성능과, 보안 정책의 강도를 점점 높였을 때 보안 성능이 향상되는 점을 검증하였다.

대상 데이터

시뮬레이션을 위한 모델링과 그래픽 기능이 강력한 MODSIM Ⅲ를 기반으로 모델들을 비롯한 시뮬레이션 환경을 구현하였다. 대상 네트워크 환경에서 사용한 공격은 서비스 거부 공격 형태인 SYN flooding 공격과 Smurf 공격을 발생하였다. 이 공격들에 대하여, 패킷 필터 모델에 다양한 보안정책을 적용하여 시뮬레이션을 실행하였다.
본 연구에서는 (그림 3)과 같은 네트워크 구조와 서비스 거부 공격 형태인 SYN flooding 공격과 Smurf 공격을 사용하예1, 6, 7], 대상 네트워크 환경을 구성하였다. SYN flooding 공격은 많은 수의 반연결(half-open) TCP 연결을 시도 (SYN 패킷 전송)하여 상대 호스트의 연결 대기 큐를 가득 채움으로써 정상적인 TCP 서비스 연결을 거부되게 한다.

이론/모형

SYN flooding 공격과 Smurf 공격에 대한 패킷 필터 모델에서의 시뮬레이션 측정 지표는 False Negative와 False Positive를 사용하였다. (그림 8)에서 알 수 있듯이, 정적 패킷 필터링 기능을 사용했을 때 높은 False Negative와 False Positive가 동적 패킷 필터링 기능을 사용함으로써 떨어지는 것을 알 수 있고, 정책을 누진 적용할수록 False Negative가 떨어지는 것을 알 수 있다.

성능/효과

사용하였다. (그림 8)에서 알 수 있듯이, 정적 패킷 필터링 기능을 사용했을 때 높은 False Negative와 False Positive가 동적 패킷 필터링 기능을 사용함으로써 떨어지는 것을 알 수 있고, 정책을 누진 적용할수록 False Negative가 떨어지는 것을 알 수 있다.
셋째, 객체 지향 프로그래밍 언어이다. 넷째, 시뮬레이션의 여러 형태 중 연속된 시간상에서 이산적으로 사건(event: 시스템의 상태를 변화시키는 일)이 발생되는 시스템을 시뮬레이션 하는데 적합하다. 다섯째, 애니메이션 기능으로 시뮬레이션의 과정 및 결과를 움직이는 그래픽 객체들을 통해 관찰할 수 있어, 모델 검증 및 시뮬레이션 확인 작업을 용이하게 한다.
넷째, 시뮬레이션의 여러 형태 중 연속된 시간상에서 이산적으로 사건(event: 시스템의 상태를 변화시키는 일)이 발생되는 시스템을 시뮬레이션 하는데 적합하다. 다섯째, 애니메이션 기능으로 시뮬레이션의 과정 및 결과를 움직이는 그래픽 객체들을 통해 관찰할 수 있어, 모델 검증 및 시뮬레이션 확인 작업을 용이하게 한다. 여섯째, MODSIM이외의 프로그래밍 언어 (C/C++) 코드를 추가할 수 있도록 지원한다.
첫째, MODSIMe 범용 시뮬레이션 언어로 대상 시스템을 특정 도메인으로 제한하지 않기 때문에 어떤 시스템도 모델링이 가능하다. 둘째, 모듈 개념을 사용하여 시스템을 표현하고, 이를 프로그램에 그대로 반영하기 용이하도록 모듈화 구조를 제공한다. 셋째, 객체 지향 프로그래밍 언어이다.
둘째, 하나의 보안 시스템에, 보안 정책을 누적 적용했을 때 즉, 보안 강도를 높였을 때 보안성능이 훨씬 높다는 것을 검증할 수 있었다.
본 연구의 시뮬레이션 실행을 통하여, 패킷 필터링 기능에 있어서 과거의 단순 패킷 필터링에서 진일보한 Stateful Inspection의 우수한 성능을 검증하였다. 또, 보안 정책을 점점 강화할수록 보안 성능이 향상되는 점을 검증하였다.
셋째, 최근의 두드러진 공격 형태인 서비스 거부 공격에 대해 다양한 보안 정책들을 분석 및 적용하여 시뮬레이션을 실행하였다. 본 연구의 시뮬레이션 실행을 통하여, 패킷 필터링 기능에 있어서 과거의 단순 패킷 필터링에서 진일보한 Stateful Inspection의 우수한 성능을 검증하였다. 또, 보안 정책을 점점 강화할수록 보안 성능이 향상되는 점을 검증하였다.
이 공격들에 대하여, 패킷 필터 모델에 다양한 보안정책을 적용하여 시뮬레이션을 실행하였다. 본연구에서의 시뮬레이션을 통하여, 과거의 단순 패킷 필터링에서 진일보한 Stateful Inspection 의 우수한 보안 성능과, 보안 정책의 강도를 점점 높였을 때 보안 성능이 향상되는 점을 검증하였다.
첫째, 패킷 필터링 기능 사용에 있어서, 정적패킷 필터링만 사용할 때 보다 동적 패킷 필터링 인 Stateful Inspection 기능을 추가 사용할 때휠씬 뛰어난 보안 성능을 발휘한다는 것을 검증하였다.

후속연구

또 향후 보안 시스템 모델링 및 네트워크 보안 시뮬레이션 연구의 기초 자료가 될 것이다. 그리고, 네트워크 보안 환경을 그래픽 유저 인터페이스로 편집함으로써 다양한 환경을 구성하여 시뮬레이션을 실행할 수 있는, 동적인 네트워크 보안 시뮬레이터 개발의 초석이 될 것으로 기대된다. 따라서, 향후 연구 과제로는 보안 시스템 모델링의 확장과 시뮬레이션에의 적용, 그리고 네트워크 보안 환경을 동적으로 구성할 수 있는 시뮬레이터 개발 진행이 필요할 것으로 판단된다.
그리고, 네트워크 보안 환경을 그래픽 유저 인터페이스로 편집함으로써 다양한 환경을 구성하여 시뮬레이션을 실행할 수 있는, 동적인 네트워크 보안 시뮬레이터 개발의 초석이 될 것으로 기대된다. 따라서, 향후 연구 과제로는 보안 시스템 모델링의 확장과 시뮬레이션에의 적용, 그리고 네트워크 보안 환경을 동적으로 구성할 수 있는 시뮬레이터 개발 진행이 필요할 것으로 판단된다.
점이다. 또 향후 보안 시스템 모델링 및 네트워크 보안 시뮬레이션 연구의 기초 자료가 될 것이다. 그리고, 네트워크 보안 환경을 그래픽 유저 인터페이스로 편집함으로써 다양한 환경을 구성하여 시뮬레이션을 실행할 수 있는, 동적인 네트워크 보안 시뮬레이터 개발의 초석이 될 것으로 기대된다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 패킷 필터링을 사용한 네트워크 보안 시뮬레이션
Simulation of Network Security with Packet Filtering System 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 패킷 필터링을 사용한 네트워크 보안 시뮬레이션 Simulation of Network Security with Packet Filtering System 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 패킷 필터링을 사용한 네트워크 보안 시뮬레이션
Simulation of Network Security with Packet Filtering System 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper