김재현 강신헌 2008-02 7028 https://aurora.ajou.ac.kr/handle/2018.oak/4510 학위논문(석사)--아주대학교 일반대학원 :전자공학과,2008. 2 스캐닝 웜은 자기 스스로 복제가 가능하며 네트워크를 통해 짧은 시간 안에 아주 넓은 범위에 걸쳐서 전파되므로 그 피해가 크다. 특히 스캐닝 웜은 관리자가 미처 대응하기 전에 빠른 속도로 네트워크에 전파되므로 실시간으로 스캐닝 웜을 탐지하고 대응할 수 있는 시스템이 필요하다. 스캐닝 웜의 탐지를 위해 많은 연구가 진행되고 있으나 대부분의 연구가 패킷 헤더 정보를 이용하는 방법에 중점을 두고 있으며, 이 방법은 네트워크의 모든 패킷을 검사해야하므로 비효율적이며 탐지시간이 오래 걸린다는 단점이 있다. 따라서 본 논문에서는 스캐닝 웜의 트래픽 특성을 분석하여 정상 트래픽과 스캐닝 웜 트래픽을 구분할 수 있는 탐지 기법을 제안한다. 네트워크 트래픽량과 그 미분값에 대한 variance를 구하여 트래픽 특성을 분석하는 방법을 제시하고, 정상 트래픽과 이상 트래픽 특성의 차이점를 분석하여 스캐닝 웜을 탐지하는 기법을 제안한다. 실제 네트워크에서 측정한 정상 트래픽과 여기에 시뮬레이터로 생성한 웜 트래픽을 더한 트래픽에 대해 제안한 기법과 기존의 탐지기법을 적용하여 성능을 비교분석하였다. 성능 분석 결과 기존의 탐지기법에 비하여 제안한 탐지기법의 정확도와 탐지속도가 향상되었음을 확인하였다. 제안한 탐지 기법은 네트워크 트래픽량만을 분석하므로 모든 패킷의 헤더를 검사하는 방식에 비해 효율적인 탐지가 가능하여 탐지 속도를 높일 수 있다. 또한 트래픽량의 통계적 특성을 분석하여 스캐닝 웜을 탐지하므로 기존의 탐지기법에 비해 탐지 정확도를 높일 수 있었다. 제1장 서론 = 1 제2장 스캐닝 웜 특성 = 4 2.1 스캐닝 웜 트래픽 특성 = 4 2.2 관련 연구 = 7 가. 패킷 페이로드 분석 방식 = 7 나. 패킷헤더 분석 방식 = 7 다. 트래픽 특성 분석 방식 = 8 제3장 트래픽 특성 분석을 통한 스캐닝 웜 탐지 기법 = 9 3.1 트래픽량의 Variance = 10 3.2 트래픽량의 미분값의 variance = 11 3.3 트래픽량의 평균 미분값의 variance = 11 3.4 트래픽량의 평균미분값에 평균트래픽량을 곱한 값의 variance = 12 제4장 성능 분석 = 14 4.1 시뮬레이션 환경 = 14 4.2 정상 트래픽 측정 데이터 = 16 4.3 성능 분석 결과 = 17 제5장 결론 = 37 참고문헌 = 38 Abstract = 41 kor The Graduate School, Ajou University 아주대학교 논문은 저작권에 의해 보호받습니다. 네트워크 트래픽 특성의 분석을 통한 스캐닝 웜 탐지 기법 Kang, Shin-Hun Thesis 아주대학교 일반대학원 Kang, Shin-Hun 일반대학원 전자공학과 2008. 2 Master http://dcoll.ajou.ac.kr:9080/dcollection/jsp/common/DcLoOrgPer.jsp?sItemId=000000007028 네트워크 트래픽 스캐닝 웜탐지 Scanning worms send packets with randomly generated addresses to find vulnerable hosts that are susceptible to infection. Since propagation speed is faster than human reaction, scanning worms increase network traffic load and result in severe network congestion. Therefore an early detection system which can automatically detect scanning worms is needed to protect network from those attacks. Although many studies are conducted to detect scanning worms, most of them are focusing on the method using packet header information. The method using packet header information has high accuracy, but the detection delay is long since it must examine the header information of all packets entering or leaving the network. Therefore, we proposed an algorithm to detect scanning worms using network traffic characteristics such as var, dvar, dmvar, and dmmvar of the network traffic volume. We applied proposed algorithm to the traffics which are generated by computer simulation and measured from real networks. The proposed algorithm not only reduced detection delay but also improved detection accuracy compared with existing algorithms.