NetFlow 데이터를 이용한 실시간 네트워크 트래픽 어노멀리 검출 기법

강구홍,장종수,김기영,Kang Koo-Hong,Jang Jong-Soo,Kim Ki-Young 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.11 No.1

최근 알려지지 않은 공격(unknown attack)으로부터 네트워크를 보호하기 위한 네트워크 트래픽 어노멀리(anomaly) 검출에 대한 관심이 고조되고 있다. 본 논문에서는 캠퍼스 네트워크의 보드라우터(border router)의 NetFlow 데이터로 제공되는 초당비트수(bits per second)와 초당플로수(flows per second)의 상관관계를 단순회귀분석을 통하여 새로운 어노멀리 검출 기법을 제시하였다. 새로이 제안된 기법을 검증하기 위해 실지 캠퍼스 네트워크에 적용하였으며 그 결과론 Holt-Winters seasonal(HWS) 알고리즘과 비교하였다. 특히, 제안된 기법은 기존 RRDtool에 통합시켜 실시간 검출이 가능하도록 설계하였다. Recently, it has been sharply increased the interests to detect the network traffic anomalies to help protect the computer network from unknown attacks. In this paper, we propose a new anomaly detection scheme using the simple linear regression analysis for the exported LetFlow data, such as bits per second and flows per second, from a border router at a campus network. In order to verify the proposed scheme, we apply it to a real campus network and compare the results with the Holt-Winters seasonal algorithm. In particular, we integrate it into the RRDtooi for detecting the anomalies in real time.

네트워크 트래픽 분포 엔트로피를 이용한 비정상행위 탐지 방법

강구홍,오진태,장종수,Kang Koo-Hong,Oh Jin-Tae,Jang Jong-Soo 한국정보처리학회 2006 정보처리학회논문지 C : 정보통신,정보보안 Vol.13 No.3

악의적인 네트워크 트래픽은 흔히 공격의 성질을 구체적으로 알지 않고서도 평상시 트래픽과 구별된다. 본 논문에서는 네트워크 인바운드 트래픽 분포를 이용해 네트워크 트래픽 비정상행위를 탐지하는 방법을 제시한다. 이를 위해 먼저 실제 캠퍼스 네트워크의 트래픽 특성을 프로토콜, 패킷 길이, 목적지 IP/포트 주소, TTL 값, TCP SYN 패킷, 그리고 프래그멘트 패킷 분포 등을 통해 조사하였다. 이렇게 구해진 다양한 베이스라인 트래픽 분포로부터 엔트로피를 계산하고 이를 기준으로 비정상행위를 탐지하는 방법을 제시하였다. 특히 본 논문에서는 잘 알려진 서비스거부공격을 실제 캠퍼스 네트워크를 대상으로 실시하였고 그 결과를 제시함으로서 제안된 기법의 타당성을 검증하였다. Hostile network traffic is often different from normal traffic in ways that can be distinguished without knowing the exact nature of the attack. In this paper, we propose a new anomaly detection method using inbound network traffic distributions. For this purpose, we first characterize the traffic of a real campus network by the distributions of IP protocols, packet length, destination IP/port addresses, TTL value, TCP SYN packet, and fragment packet. And then we introduce the concept of entropy to transform the obtained baseline traffic distributions into manageable values. Finally, we can detect the anomalies by the difference of entropies between the current and baseline distributions. In particular, we apply the well-known denial-of-service attacks to a real campus network and show the experimental results.

ATM 노드를 위한 WCSFQ-유사 공간 우선순위 정책의 성능분석

강구홍,Kang, Koo-Hong 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.12 No.5

ATM과 IP 망에서 혼잡발생시 높은 우선순위를 가진 패킷은 낮은 우선순위를 가진 패킷에 비해 영향을 적게 받도록 설계되어야 한다. 이러한 문제 해결을 위해, 본 논문에서는 기존 If 망에서 사용되는 가중치 CSFQ(Weighted Core-Stateless Fair Queueing)를 ATM 노드의 공간 우선순위(space priority) 정책에 적용하였다. 성능분석을 위해 임계치(threshold)를 갖는 MMPP/D/1/K 큐잉모델의 트래픽 클래스별 셀 손실률을 유도하고 그 결과를 논하였다. 분석결과를 통해 가중치 CSFQ 기법이 ATM 혹은 IP 노드에서 차별화된 서비스 제공에 매우 유용함을 보였다. In ATM and W networks, high Priority Packets should be selectively favored over low Priority Packets in case of congestion. For this purpose, we introduce a space priority policy for ATM nodes in this paper which is very similar to the weighted core-stateless fair queueing(WCSFQ) in IP nodes. We also analyze the loss probabilities for different classes of cells for MMPP/D/1/K with a threshold level, and discuss the numerical results. The numerical results illustrate that the WCSFQ scheme can be used to support the differentiated services in ATM or IP nodes.

IEEE 802.11g ERP-OFDM 파라미터 기준 DCF 처리율 분석

강구홍(Koo Hong Kang) 한국산업정보학회 2011 한국산업정보학회논문지 Vol.16 No.2

지난 수년간 IEEE 802.11 DCF 처리율 분석에 대한 연구가 진행되어 왔다. 그러나 이들 연구 결과들은 IEEE 802.11g 물리계층 ERP-OFDM 파라미터를 정확히 반영하고 있지 않아 오늘날 대부분이 사용하고 있는 무선랜 802.11g의 처리율 분석을 기존 결과를 이용해 예측할 수밖에 없다. 특히, 이러한 단순 예측은 실제 운영 중인 무선랜 환경에서는 다른 결과를 가져올 수도 있다. 따라서 본 논문에서는 운영 중인 무선랜 환경에서 IEEE 802.11g ERP-OFDM 물리계층 파라미터를 직접 측정하고 이를 기준으로 포화상태 트래픽 조건하에서 802.11 DCF 처리율을 분석하였다. 또한 FTP 서비스를 이용한 실제 트래픽을 발생시켜 운영 중인 무선랜에서 측정한 DCF 처리율과 이들 분석적 모델 분석결과와의 차이를 확인함으로써 포화상태를 가정한 DCF 처리율 분석 모델의 적용 가능성을 확인하였다. A lot of works on the throughput analysis of the IEEE 802.11 DCF have been studied since last few years. However, we should predict the throughput of the IEEE 802.11g that we mostly use today because the existing numerical results do not consider exactly the IEEE 802.11g with the physical layer ERP-OFDM parameters. In particular, we might have different results in the working WLAN s compared with the simple predictions of the throughput using the previous results. In this paper, we directly monitor the ERP-OFDM physical layer parameters on the operating WLANs, and then analyze the saturated DCF throughput with the well-known analytic model. Moreover, we measure the bandwidth utilization on the real WLANs working with FTP services, and then compare them with the analytic results. According to the experiment results, we confirm the usefulness of the analytic models which assume the saturated traffic sources.

웹페이지 내 인라인 오브젝트 액세스 행위 및 NetFlow 정보를 활용한 HTTP-GET Flood 공격 검출

강구홍(Koo-Hong Kang) 한국컴퓨터정보학회 2016 韓國컴퓨터情報學會論文誌 Vol.21 No.7

Nowadays, distributed denial of service (DDoS) attacks on web sites reward attackers financially or politically because our daily lifes tightly depends on web services such as on-line banking, e-mail, and e-commerce. One of DDoS attacks to web servers is called HTTP-GET flood attack which is becoming more serious. Most existing techniques are running on the application layer because these attack packets use legitimate network protocols and HTTP payloads; that is, network-level intrusion detection systems cannot distinguish legitimate HTTP-GET requests and malicious requests. In this paper, we propose a practical detection technique against HTTP-GET flood attacks, based on the access behavior of inline objects in a webpage using NetFlow data. In particular, our proposed scheme is working on the network layer without any application-specific deep packet inspections. We implement the proposed detection technique and evaluate the ability of attack detection on a simple test environment using NetBot attacker. Moreover, we also show that our approach must be applicable to real field by showing the test profile captured on a well-known e-commerce site. The results show that our technique can detect the HTTP-GET flood attack effectively.

NetFlow 데이터를 이용한 실시간 네트워크 트래픽 어노멀리 검출 기법

강구홍 ( Koo Hong Kang ),장종수 ( Jong Soo Jang ),김기영 ( Ki Young Kim ) 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.12 No.1

Recently, it has been sharply increased the interests to detect the network traffic anomalies to help protect the computer network from unknown attacks. In this paper, we propose a new anomaly detection scheme using the simple linear regression analysis for the exported NetFlow data, such as bits per second and flows per second, from a border router at a campus network. In order to verify the proposed scheme, we apply it to a real campus network and compare the results with the Holt-Winters seasonal algorithm. In particular, we integrate in into the RRDtool for detecting the anomalies in real time.

리눅스 서버에서 인터렉티브 서비스 Stepping Stone 자가진단을 위한 brute-force 기법

강구홍(Koo-Hong Kang) 한국컴퓨터정보학회 2015 韓國컴퓨터情報學會論文誌 Vol.20 No.5

인터넷을 통해 악의적으로 접근하는 공격자들은 자신의 노출을 최대한 감추기 위해 중간 호스트(소위, stepping stone으로 불림)를 경유한다. 본 논문에서는 텔넷, SSH, 그리고 rlogin 등 인터렉티브 서비스를 이용하여 리눅스 서버에 접근하여 다시 이러한 인터렉티브 서비스를 이용하여 다른 컴퓨터로 원격 접속을 시도하는 행위를 brute-force한 방법으로 검출하는 기법을 제안한다. 제안된 기법은 인터렉티브 서비스 데몬(Daemon) 프로세스의 시스템 콜(system call)을 감시하여 stepping stone 여부를 진단하기 때문에 ssh 접속과 같은 암호화 연결에서 대해서도 완벽한 검출 결과를 제공할 수 있다. 본 논문에서는 ptrace 시스템 콜과 간단한 쉘 스크립트를 작성하여 제안된 기법을 CentOS 6.5 64비트 환경에서 실질적으로 구현하였다. 마지막으로 몇몇 실험 시나리오를 대상으로 실시한 현장 운영을 통해 제안된 brute-force 기법을 검증하였다. In order to hide their identities, intruders on the Internet often attack targets indirectly by staging their attacks through intermediate hosts known as stepping stones. In this paper, we propose a brute-force technique to detect the stepping stone behavior on a Linux server where some shell processes remotely logged into using interactive services are trying to connect other hosts using the same interactive services such as Telnet, Secure Shell, and rlogin. The proposed scheme can provide an absolute solution even for the encrypted connections using SSH because it traces the system calls of all processes concerned with the interactive service daemon and their child processes. We also implement the proposed technique on a CentOS 6.5 x86_64 environment by the ptrace system call and a simple shell script using strace utility. Finally the experimental results show that the proposed scheme works perfectly under test scenarios.

경량화 프로세스 추적을 통한 중요 데이터 유출 방지

강구홍(Koo-Hong Kang) 한국콘텐츠학회 2009 한국콘텐츠학회논문지 Vol.9 No.5

컴퓨터와 개인 휴대 단말장치 사용의 대중화와 함께 이들 장치들을 이용한 개인정보 혹은 사업상 중요데이터를 처리하고 저장하는 행위도 따라 증가하게 되었다. 따라서 이들 장치로부터 사용자의 허락 없이 중요 데이터가 자신의 장치로부터 빠져나가는 행위가 일어나서는 안 된다. 본 논문에서는 중요 파일과 관련된 파일 오픈 시스템 콜을 호출하는 프로세스를 일정시간 추적하여 네트워킹 인터페이스를 통해 이들 중요 데이터가 빠져 나가는 것을 방지하는 간단한 방법을 제시하였다. 제안된 방법은 기존 인증 혹은 암호화를 이용한 방법과 비교해 해킹 기술 발전과 하드웨어 및 소프트웨어의 새로운 취약점 발견과 무관하게 안정적으로 동작하는 이점이 있다. 특히, 본 논문에서는 리눅스 환경의 사용자와 커널 영역에서 제안된 알고리즘을 직접 구현하여 타당성을 검증하였다. As the usage of computers and mobile handsets is popularized, the processing and storing of private and business data are increased. Hence we note that these sensitive data should never be transferred out of these personal devices without user's permission. In this paper, we propose a simple method to prevent transferring the sensitive data out of personal computing devices through their networking interfaces. The proposed method determines which processes invoke open system call related to the sensitive data, and then traces them within a specific duration. The proposed scheme has advantage over the existing ones using authentication or encryption because it could be still working well independent upon the new attack technologies or the latest vulnerabilities of hardware and software. In order to verify the proposed algorithm, we test it by implementing the necessary codes at the user and kernel spaces of Linux.

Analysis of Threat Model and Requirements in Network-based Moving Target Defense

Koo-Hong Kang(강구홍),Tae-Keun Park(박태근),Dae-Sung Moon(문대성) 한국컴퓨터정보학회 2017 韓國컴퓨터情報學會論文誌 Vol.22 No.10

Reconnaissance is performed gathering information from a series of scanning probes where the objective is to identify attributes of target hosts. Network reconnaissance of IP addresses and ports is prerequisite to various cyber attacks. In order to increase the attacker’s workload and to break the attack kill chain, a few proactive techniques based on the network-based moving target defense (NMTD) paradigm, referred to as IP address mutation/randomization, have been presented. However, there are no commercial or trial systems deployed in real networks. In this paper, we propose a threat model and the request for requirements for developing NMTD techniques. For this purpose, we first examine the challenging problems in the NMTD mechanisms that were proposed for the legacy TCP/IP network. Secondly, we present a threat model in terms of attacker’s intelligence, the intended information scope, and the attacker’s location. Lastly, we provide seven basic requirements to develop an NMTD mechanism for the legacy TCP/IP network: 1) end-host address mutation, 2) post tracking, 3) address mutation unit, 4) service transparency, 5) name and address access, 6) adaptive defense, and 7) controller operation. We believe that this paper gives some insight into how to design and implement a new NMTD mechanism that would be deployable in real network.

정보통신 기술을 이용한 물리보안 위협 계수기 구현 전략

강구홍(Koo-Hong Kang) 한국컴퓨터정보학회 2014 韓國컴퓨터情報學會論文誌 Vol.19 No.7

정보보안 (인터넷 혹은 사이버) 위협 레벨을 공지하기 위해 많은 정보보안 회사들은 위협 계수기(Threat Meter)를 개발하였다. 본 논문에서는 물리보안 장치들이 지능화되고 네트워크를 통해 감시 및 제어가 가능함에 따라 물리보안의 현재 위협 수준을 결정하는 물리보안 위협 계수기(PSTM: Physical Security Threat Meter)를 제안한다. 따라서 PSTM은 정보보안에서 사용하는 위협 계수기와 유사하다. 이러한 목적을 위해 물리보안 이벤트를 분석하고 가중치를 결정하였으며 복수의 보안이벤트 발생에 따른 이벤트 간 시간 연관성 영향을 고려하였다. 또한 위협 레벨을 결정하기 위한 기준 값 설정 방법과 이들 기준 값을 이용한 실용적인 PSTM을 제안하였다. 특히 출입문 제어기와 CCTV(비디오 분석기 포함)로 구성된 실험환경에서 PSTM을 제작하기 위한 구체적인 블록도와 구현과정을 보임으로써 제안된 기법이 실현 가능함을 보였다. 마지막으로 몇몇 실험 시나리오를 대상으로 실시한 시뮬레이션 결과를 통해 제안된 PSTM이 물리보안 위협레벨을 적절히 공지함을 검증하였다. In order to publicly notify the information security (Internet or Cyber) threat level, the security companies have developed the Threat Meters. As the physical security devices are getting more intelligent and can be monitored and managed through networks, we propose a physical security threat meter (PSTM) to determine the current threat level of physical security; that is a very similar compared with the one of information security. For this purpose, we investigate and prioritize the physical security events, and consider the impact of temporal correlation among multiple security events. We also present how to determine the threshold values of threat levels, and then propose a practical PSTM using the threshold based decision. In particular, we show that the proposed scheme is fully implementable through showing the block diagram in detail and the whole implementation processes with the access controller and CCTV+video analyzer system. Finally the simulation results show that the proposed PSTM works perfectly under some test scenarios.