김동규 이철원 2009-08 10077 https://aurora.ajou.ac.kr/handle/2018.oak/6417 학위논문(박사)--아주대학교 일반대학원 :컴퓨터공학과,2009. 8 오늘 날 인터넷은 우리 일상생활에 필요한 다양한 서비스를 제공할 뿐 아니라 기업 및 공공기관의 업무처리를 위한 필수적 도구로 자리 잡고 있다. 그러나 인터넷 웜이나 분산 서비스거부 공격 등 사이버 공격이 천문학적인 피해를 야기하고 있고, 이를 방지하기 위해 다양한 방어 기법에 대한 연구가 진행되고 있다. 인터넷 웜은 컴퓨터 바이러스와는 달리 독립적인 자기복제가 가능한 성질이 있어 매우 빠른 속도로 전파되는 속성이 있으며, 짧은 시간에 대규모 네트워크 전체에 영향을 미친다. 인터넷 웜의 종류가 다양해지고, 그 피해가 빠르게 증가하는 상황을 고려할 때, 웜 공격을 방어하기 위한 연구의 필요성이 증가하고 있다. 네트워크에 공격이 가해졌을 때 네트워크나 시스템이 받는 영향이나 사이버전에서 사용되는 공격들의 특징이 어떠한가를 연구하기 위해서는 실제 현실의 네트워크에서 웜 공격을 감행하고 이때 발생하는 트래픽 특성을 관찰하고 분석하는 것이 가장 정확하지만, 사이버 공격은 인터넷 서비스 지연이나 마비 등을 유발 시켜 실제 네트워크가 피해를 입을 수 있다. 따라서 실제 네트워크에서 인터넷 웜을 실험하는 것은 불가능 한 일이다. 대신 많은 경제적 및 시간적 비용을 요구하는 시뮬레이션을 이용한다. 이러한 비용 문제를 해결하기 위해 모델링 네트워크를 사용한 시뮬레이션 방법이 많이 사용된다. 이 방법은 수학적인 모델을 사용하므로 대규모 네트워크를 해석하기 편한 장점을 가지는 반면, 실제 현상에서 발생하는 다양한 변화를 고려하기가 힘들다. 또한, 변종이 많은 웜의 특성상 하나의 모델로 여러 종류의 웜을 효과적으로 시뮬레이션하기 힘들다. 본 논문에서는 대규모 인터넷 웜 시뮬레이션을 효과적으로 수행하기 위한 웜 공격의 표현 기법 및 표현된 웜 공격을 시뮬레이션에 적용하기 위한 맵핑 기법을 제안하였다. 또한, 표현된 웜 공격 시나리오를 Hybrid 모델링 방법에 적용한 시뮬레이션 기법도 제안하였다. 제안하는 웜 공격의 표현 및 시뮬레이터 맵핑 기법은 개별 웜을 상세히 표현할 수 있다. 또한, 유사한 동작을 그룹으로 묶어 표현할 수 있어 다양한 웜을 보다 간단명료하게 표현할 수 있다. 본 논문에서는 패킷 네트워크와 연동모델을 함께 사용하는 Hybrid 모델을 통해 현실에 가까운 가상 네트워크를 구현하는 방안을 제시하였다. 패킷 네트워크는 기존 큐잉 모델을 적용한 패킷 단위 네트워크 시뮬레이터를 이용하여 소규모 네트워크를 직접 시뮬레이션 할 수 있도록 한 가상 네트워크며, 연동모델은 Fluid 모델과 Epidemic 모델의 해석적 모델링 기법을 이용하여 실제로는 거의 만들 수 없는 수십만 노드를 지니는 대규모 네트워크에서의 웜 전파 현상을 시뮬레이션 할 수 있도록 한 네트워크 모델이다. 제안한 방법은 hybrid 모델을 SSFNet 기반의 시뮬레이터를 이용하여 구현 하였으며, 시뮬레이션의 결과가 실제 네트워크상의 전파 현상과 유사한 결과를 얻을 수 있음을 입증하였다. 예를 들면, 시뮬레이션 상의 웜 전파 지연은 Code Red v2 웜과 SQL Slammer 웜의 실제 전파 현상과 매우 유사함을 보인다. 이 때, 패킷 네트워크와 연동모델간의 파라미터 업데이트 메커니즘을 적용하여 정확도 향상을 기하였다. 제 1 장 서 론 ......................................................... 1 제 1 절 연구목적 및 필요성 ....................................... 2 제 1 항 연구목적 .................................................... 2 제 2 항 연구의 필요성 ............................................. 3 제 3 항 국내·외 연구 현황 ........................................ 9 제 4 항 연구의 중요성 ............................................ 10 제 2 절 연구 내용 및 방법 ........................................ 11 제 2 장 관련연구 ..................................................... 16 제 1 절 공격 표현 ................................................... 16 제 2 절 네트워크 모델링 .......................................... 20 제 3 절 Hybrid 네트워크 시뮬레이션 .......................... 23 제 3 장 웜 공격 모델링 ............................................ 29 제 1 절 HSTG를 이용한 웜 공격 표현 ......................... 29 제 2 절 공격 맵핑 기법 ............................................ 34 제 1 항 상태 전이 그래프 작성 ................................. 34 제 2 항 맵핑 모듈 생성/탐색 .................................... 35 제 3 항 파라미터 설정 및 수행 .................................. 36 제 4 장 Hybrid 모델링 .............................................. 37 제 1 절 Hybrid모델 .................................................. 37 제 2 절 연동모델 ..................................................... 38 제 1 항 Epidemic 모델을 이용한 말단(leaf) 노드 모델링 38 제 2 항 유체모델을 이용한 백본 네트워크 모델링 ......... 39 제 3 항 유체모델과 Epidemic모델의 연동 .................. 44 제 3 절 연동모델과 패킷 네트워크의 상호작용 .............. 45 제 1 항 패킷 네트워크 ............................................. 45 제 2 항 연동모델과 패킷 네트워크의 정보교환 ............. 46 제 5 장 Hybrid 모델 웜 시뮬레이터 구현 ...................... 48 제 1 절 시뮬레이션 시스템 ........................................ 48 제 2 절 유체모델 및 Epidemic모델 구현 ...................... 49 제 1 항 유체 모델 구현 ............................................ 49 제 2 항 Epidemic 모델 구현 ..................................... 52 제 3 절 Epidemic 모델과 유체 모델의 연동구현 ............ 53 제 1 항 Epidemic 모델과 유체 모델의 연동 모델 필요성 53 제 2 항 parameterClass를 이용한 정보 교환방법 ......... 54 제 3 항 연동 모델의 동작 흐름 .................................. 56 제 4 절 패킷 네트워크의 구현 .................................... 58 제 1 항 패킷 네트워크 노드의 구현 분석 ..................... 58 제 2 항 네트워크 토폴로지 구성 ................................ 66 제 5 절 연동모델과 패킷 네트워크의 연동 구현 ............. 69 제 1 항 연동모델과 패킷 네트워크의 상호작용 구현 ...... 69 제 6 절 SSFNet상에서의 Hybrid 모델 동작 흐름 ........... 78 제 6 장 실험 결과 ...................................................... 79 제 1 절 시뮬레이션 환경 ............................................ 79 제 2 절 연동모델 시뮬레이션 ...................................... 80 제 1 항 시뮬레이션 결과 ........................................... 80 제 2 항 시뮬레이션 결과 분석 .................................... 82 제 3 절 패킷 네트워크 시뮬레이션 ............................... 85 제 4 절 패킷 네트워크와 연동 모델의 정보 교환 ............. 89 제 1 항 β값 적용 결과 분석 ....................................... 89 제 2 항 γ값 적용 결과 분석 ....................................... 91 제 5 절 시뮬레이션의 검증 ......................................... 92 제 1 항 랜덤변수 조정을 통한 정확도 향상 ................... 92 제 2 항 Code-red Worm v2 전파현상과의 비교 ............. 95 제 7 장 결 론 .......................................................... 96 참 고 문 헌 .............................................................. 98 ABSTRACT ............................................................. 101|그림 1. 연도별 국내 해킹 피해 접수 건수 ...................... 4 그림 2. 연도별 국내 인터넷 웜·바이러스 피해 신고 건수 .. 6 그림 3. 인터넷 웜 바이러스의 전파와 피해 .................... 7 그림 4. 네트워크 구성 예 .......................................... 12 그림 5. 연동 파라미터 검증 과정 ................................ 14 그림 6. 공격 트리 모델의 예 ...................................... 17 그림 7. Petri-net의 예 .............................................. 18 그림 8. STAT의 예 .................................................. 19 그림 9. Epidemic 모델을 사용한 시뮬레이션 시 네트워크 구성도 ......................................................................... 22 그림 10. 대규모 네트워크 구성을 위한 데이터 흐름도 ..... 24 그림 11. 모델링된 대규모 네트워크 구성도 ................... 26 그림 12. 수정된 대규모 네트워크를 위한 DFD ............... 28 그림 13. 상태 전이 그래프를 이용한 공격 표현의 예 ....... 30 그림 14. HSTG를 이용한 공격 표현의 예 ...................... 30 그림 15. 가중치가 부여된 HSTG의 예 .......................... 33 그림 16. Code-red worm I & II의 그래프 ..................... 35 그림 17. Slammer Worm의 추가 그래프 ...................... 35 그림 18. 제안된 Hybrid 모델의 네트워크 개념도 ............ 38 그림 19. 네트워크 구성 예와 간소화된 모델 .................. 43 그림 20. 유체모델과 Epidemic모델의 정보 교환 ........... 44 그림 21. 연동모델과 패킷네트워크의 상호작용 .............. 46 그림 22. 시뮬레이션 구조 .......................................... 48 그림 23. 유체 모델의 동작 흐름도 ............................... 51 그림 24. 연동 모델의 동작 흐름 .................................. 57 그림 25. 노드 구성법 ................................................ 59 그림 26. tcpClient의 동작 흐름 ................................... 64 그림 27. tcpServer의 동작 흐름 .................................. 66 그림 28. 200개의 노드를 가지는 네트워크 구조 .............. 67 그림 29. 100개의 노드를 가지는 네트워크 구조 ............. 68 그림 30. 20개의 노드를 가지는 네트워크 구조 ............... 68 그림 31. 4개의 노드를 가지는 네트워크 구조 ................. 69 그림 32. 구간 나누기의 예 ......................................... 72 그림 33. γ값의 구간 나누기 ...................................... 76 그림 34. 연동 모델에서 패킷 네트워크로 패킷 전송 구조 77 그림 35. 전체적인 시뮬레이션 구조 ............................ 78 그림 36. Inbound traffic의 그래프 .............................. 82 그림 37. Outbound traffic의 그래프 ............................ 83 그림 38. Drop rate의 그래프 ...................................... 83 그림 39. 시간 당 감염 노드의 수 ................................. 84 그림 40. 200 노드 네트워크의 시간별 감염 노드 수 ......... 86 그림 41. 패킷 네트워크의 치료 현상 그래프 .................. 88 그림 42. 시간당 감염 그래프 ...................................... 89 그림 43. 웜 전파속도 변화에 따른 시간당 감염 그래프 .... 91 그림 44. 시간당 치료 그래프 ..................................... 92 그림 45. Seed를 다양하게 변화를 준 그래프 ................ 93 그림 46. 평균값 추가 그래프 ..................................... 94 그림 47. 10개의 그래프의 평균 그래프 ........................ 94 그림 48. Code-red worm v2 시뮬레이션 결과 ............... 95|표 1. 주요 해킹 기법 분류 ........................................ 4 표 2. 침해 사고 주요지표 현황 .................................. 5 표 3. 인터넷 웜・바이러스 종류별 신고 현황 ................ 6 표 4. Nimda 웜 바이러스 감염 원리 .......................... 7 표 5. SQL Slammer 웜 바이러스 감염원리 ................. 8 표 6. 공격 표현 기법의 비교 .................................... 19 표 7. 패킷 네트워크에서 연동모델로 제공되는 정보 ..... 47 표 8. 유체모델의 Java 클래스와 기능 설명 ................. 50 표 9. Epidemic 모델을 위한 Java 클래스 및 기능 설명 52 표 10. 기존 testTCP의 클래스 및 기능 ...................... 60 표 11. 패킷 네트워크의 구간 별 감염률 ..................... 73 표 12. 연동모델에서의 구간 별 감염률 ...................... 73 표 13. 시뮬레이션을 위한 컴퓨터 환경 ...................... 79 표 14. 시뮬레이션 네트워크 초기 설정 ...................... 79 표 15. 패킷 네트워크 적용 시와 비적용 시의 β값 차이 90 kor The Graduate School, Ajou University 아주대학교 논문은 저작권에 의해 보호받습니다. 대규모 네트워크에서의 웜 시뮬레이션을 위한 공격표현 및 모델링 Cheol Won Lee Thesis 아주대학교 일반대학원 Cheol Won Lee 일반대학원 컴퓨터공학과 2009. 8 Master http://dcoll.ajou.ac.kr:9080/dcollection/jsp/common/DcLoOrgPer.jsp?sItemId=000000010077 인터넷 웜 웜 표현 네트워크 모델링 시뮬레이터 In these days, the Internet has provided various valuable services to our lives and become a compulsory tool for enterprises and public institutions. But cyber attacks such as Internet worm and DDOS introduce enormous losses and thus various studies for the defense methods to protect resources from the attacks have been performing. In contrast to other computer viruses, Internet worm spreads vary quickly due to the capability of self duplication and affects network in a short time. Considering that various new Internet worms have been emerged and the loss by the worms has increased fast, it is urgent to study on worm defense methods. Even though it is best to perform worm attack on real network and monitor the traffic characteristics for studying the affect of network and computer system against cyber attack, and the characteristic of attack used in cyber war. Cyber attack may introduce Internet service delay and make computer system down, resulting in damage to the network. Thus it is very hard to simulate the affect in real network. Instead, simulation is frequently used in spite of the fact that it requires enormous economic and time cost. To resolve the cost problem, network model is frequently used for mimicking real network in the simulation. The method has a merit to simulate large network in a handy manner but it is hard to reflect the various change in real attack. And also it is not easy to effectively simulate various worms with a single model. This dissertation proposes a unique worm attack description method suitable to efficiently simulating large network and a method that maps the described worm attack. And a simulation technique is also proposed that applies the described worm attack scenario to hybrid modeling method. The proposed worm attack description method and mapping method are able to describe a worm in detail. And also it is possible for the methods to describe various worms in an easy and clear way, binding similar actions in a group. This dissertation also suggests a proposal to build cyber network which is close to real network, using hybrid model that combines packet network model and cooperative model. A packet network model is a network model that can simulate small network using a packet network simulator hiring traditional queuing model. A cooperative model is one that uses analytical models such as fluid model and epidemic model, and that makes it easy to simulate worm propagation in large network with hundred thousands of nodes, which is almost impossible to build in real world. The proposed methods have been implemented using a hybrid model and a simulator based on SSFNet. Simulations prove that the outcomes are close to those in real network. For example, the propagation delays are very close to that of Code Red V2 worm and SQL Slammer worm. In the simulations, a parameter update mechanism between network model and cooperative model improves the accuracy.