스캔 기반의 인터넷 웜 공격 탐지 및 탐지룰 생성 시스템 설계 및 구현

Abstract

컴퓨터와 인터넷의 발달로 컴퓨터 사용자들은 유용한 정보를 쉽게 얻을 수 있게 되었다. 그러나 동시에, 시스템 불법 침입과 서비스 거부 공격에 의한 피해는 심각한 수준에 이르렀다. 특히 인터넷 웜을 통한 서비스 거부 공격은 컴퓨터와 네트워크 서비스를 무력화 시킬 수 있기 때문에 이에 대한 대처방안이 시급하다 할 수 있다. 지금까지 많은 침입 탐지 시스템들이 탐지룰을 기반으로 공격을 탐지해왔지만, 새롭게 등장하는 인터넷 월을 탐지하는데 한계가 있다. 본 논문에서는 인터넷 웜이 여러 호스트들을 감염시키기 위해 네트워크 스캔 작업을 한다는 점에 착안하여, 스캔 기반의 인터넷 웜 공격을 효과적으로 탐지하기 위한 침입 탐지 및 탐지룰 생성 시스템을 제안한다. 제안된 시스템은 탐지룰을 기반으로 인터넷 월 공격을 탐지하며, 탐지룰에 존재하지 않는 인터넷 웜에 의한 트래픽이 유입될 경우, 수집된 트래픽 정보를 통해 새로운 탐지룰을 생성하기 때문에 신종 인터넷 웜에 신속히 대응할 수 있다. 그리고 필요할 때만 패킷 데이터를 수집하기 때문에 시스템 부하와 디스크 사용량을 줄일 수 있다. The brilliant achievements in computers and the internet technology make it easy for users to get useful information. But at the same time, the damages caused by intrusions and denial of service attacks are getting more worse. Specially because denial of service attacks by internet worm incapacitate computers and networks, we should draw up a disposal plan against it. So far many rule-based intrusion detection systems have been developed, but these have the limits of these ability to detect new internet worms. In this paper, we propose a system to detect intrusion and generate detection rule against scan-based internet worm, paying attention to the fact that internet worms scan network to infect hosts. The system detects internet worms using detection rule. And if it detects traffic causing by a new scan-based internet worm, it generates new detection nile using traffic information that is gathered. Therefore it can response to new internet worms early. Because the system gathers packet payload, when it is being necessary only, it can reduce system's overhead and disk space that is required.