SIP 이동성 및 세션 설정 형태를 고려한 효과적인 SIP 플러딩 공격 탐지 및 대응 방법

김진희,신승훈,노병희 한국차세대컴퓨팅학회 2015 한국차세대컴퓨팅학회 논문지 Vol.11 No.6

SIP(Session Initiation Protocol)는 인터넷 전화 등 많은 응용 서비스의 세션을 관리하는 응용 계층 프로토콜로사용되고 있다. SIP는 다른 프로토콜들처럼 공격에 노출되어 있는데, 플러딩 공격은 가장 위협이 큰 공격이라고 할수 있다. 기존의 방법들은 고정 세션 정보를 사용하여 SIP 플러딩 공격을 탐지하고 대응하고 있다. 그러나 이들 방법들은 다양한 세션 설정 특성을 반영하지 못하여 정상 사용자들로부터의 메시지를 공격으로 간주하여 처리하는 문제가 발생할 수 있다. 본 논문에서는 SIP 이동성과 세션 설정 패턴을 고려한 효과적인 SIP 플러딩 공격 탐지 및 대응 방법을 제안한다. 이를 위하여, 다중 블룸필터를 사용하여 SIP 이동성과 세션 설정 패턴을 판별하는 방법을 제안한다. 이로부터 버퍼 스케줄링을 적용하여 우선순위에 따라 메시지 제어를 통해 플러딩 공격을 차단한다. 실험 결과는 제안 방법이 공격 중에도 정상적인 메시지들에 대하여 서비스가 가능하고, 공격 메시지들도 효과적으로 차단하고제어함을 보여준다. SIP(Session Initiation Protocol)is an application layer protocol to manage sessions for various application services such as Internet telephony. Similar with other conventional Internet protocols, SIP has been faced with various attacks. Among those attacks, flooding attacks are one of the most dangerous attacks on SIP-based applications. Existing schemes utilized fixed information of sessions, so they have severe problem that they treat normal messages as attack ones. In this paper, we propose a method to detect and countermeasure against SIP flooding attacks by considering SIP mobilities and session establishment patterns. The proposed method adapts multiple Bloom filters to classify the SIP mobilities and session setup patterns. Then, flooding attacks are dropped according to the priority message control by applying the scheduling buffer. The experimental results show that the proposed method can provide effective services for normal messages during attacks, and block and control the attack messages effectively.

애드 혹 네트워크에서 링크밀도기반 클러스터 구축을 이용한 효율적인 플러딩

이재현,권경희,Lee, Jae-Hyun,Kwon, Kyung-Hee 한국정보처리학회 2007 정보처리학회논문지 C : 정보통신,정보보안 Vol.14 No.7

Although flooding has the disadvantages like a transmission of duplicated packets and a packet collision, it has been used frequently to find a path between a source and a sink node in a wireless ad hoc network. Clustering is one of the techniques that have been proposed to overcome those disadvantages. In this paper, we propose a new flooding mechanism in ad hoc networks using cluster formation based on the link density which means the number of neighbors within a node's radio reach. To reduce traffic overhead in the cluster is to make the number of non-flooding nodes as large as possible. Therefore, a node with the most links in a cluster will be elected as cluster header. This method will reduce the network traffic overhead with a reliable network performance. Simulation results using NS2 show that cluster formation based on the link density can reduce redundant flooding without loss of network performance. 플러딩 방식은 중복 패킷 전송 과 패킷 충돌 같은 근본적인 문제점을 가지고 있으면서도 무선 애드 혹 네트워크에서 임의의 싱크 노드에 대한 경로를 찾기 위해 자주 사용된다. 플러딩 방식이 가지고 있는 이러한 문제점을 개선하기 위한 방법들 중의 하나로 클러스터 플러딩 기법이 제안되어 사용되고 있다. 본 논문에서는 임의의 노드로부터 통신범위 안에 있는 노드들의 수인 노드들의 밀집도 이용하여 헤더를 선출하는 밀도기반 클러스터 플러딩 기법을 제안한다. 네트워크에서 발생하는 중복 패킷전송 및 패킷충돌과 같은 추가비용을 감소하는 방법은 플러딩을 하지 않는 비 플러딩(non-flooding) 노드를 가능한 한 많이 만드는 것이고, 이를 위해서는 가능한 많은 노드들을 멤버로 가지고 있는 클러스터 헤더를 선출하는 것이다. 제안한 방식은 신뢰할 수 있는 네트워크를 유지하고, 네트워크 트래픽의 효율성을 증가시킬 것이다. 본 논문에서는 NS2를 이용한 시뮬레이션을 통하여 기존의 클러스터 방식에 비해 밀도 기반 클러스터가 비 플러딩 노드의 수를 증가시켜 네트워크의 성능저하 없이 네트워크 트래픽의 효율성이 향상되는 것을 확인한다.

무선 센서 네트워크에서 자식 노드 수와 잔여 에너지를 고려한 싱크 중심 플러딩 메커니즘

김승남,정영준 강원대학교 정보통신연구소 2011 정보통신논문지 Vol.15 No.-

무선 센서 네트워크의 수명과 성능 향상을 위해 데이터 중심 라우팅을 위한 Directed Diffusion 및 데이터 전 송시 에너지 소모를 줄이기 위한 동적 확률적 플러딩 알고리즘 둥의 연구가 진행중이다. 본 논문에서는 센서 네트워크를 구성하는 센서의 낮은 처리능력과 저전력의 특성을 고려한 싱크 중심의 플러딩 메커니즘을 제안 한다. 제안 방법에서는 센서에 비해 강력한 기능을 가진 싱크 노드가 센서들의 자식 노드와 잔여에너지 둥의 정보를 수집하고 이를 바탕으로 센서 노드들의 질의 전송을 위한 플러딩을 직접 제어한다. 센서 노드들은 싱 크 노드로부터의 질의 메시지에 포함되어 있는 플러딩 여부에 따라 플러딩을 수행하기 때문에 낮은 처리능력 에 관계없이 플러딩에 필요한 에너지 소모를 줄일 수 있다.

카운팅 블룸 필터를 사용한 화이트리스트 사용자에의한 SIP DDoS 공격 탐지 및 대응 기법

김진희,구본승,노병희 한국차세대컴퓨팅학회 2015 한국차세대컴퓨팅학회 논문지 Vol.11 No.5

SIP(Session Initiation Protocol)는 멀티미디어 세션을 관리하는 응용계층 프로토콜로서, 인터넷 전화 등 많은응용서비스에서 활용되고 있다. SIP 대상 공격들 중 플러딩 공격은 가장 위협이 큰 공격이라고 할 수 있다. 이를해결하기 위하여 제안된 화이트리스트 기반의 탐지 및 대응 방법들은 화이트리스트에 없는 비정상 사용자로 부터의공격을 탐지하고 차단하는 것이 가능하지만, 정상 사용자로 위장하여 화이트리스트에 등록한 후에 플러딩 공격할 시에는 대응할 수 없다. 본 논문에서는 화이트리스트에 속한 사용자들로부터 발생되는 메시지를 대상으로 카운팅 블룸필터를 적용하여 정상 사용자에 의한 악의적인 플러딩 공격을 탐지하고, 이에 대응하는 방법을 제안한다. 실험 결과는 기존 방법에서는 화이트리스트에 속한 사용자로 부터의 공격을 탐지하지 못하나, 제안방법은 이를 효과적으로 탐지하고 대응함을 보여준다. SIP(Session Initiation Protocol) is an application layer protocol to manage multimedia sessions, and has been utilized for various application services such as Internet telephony. Flooding attacks are one of the most dangerous attacks on SIP-based applications. To solve the problem, the whitelist-based schemes can detect and countermeasure against attacks from abnormal users. However, they can’t react against attacks by legitimate users who have been registered in the whitelist. In this paper, we propose a method to detect and countermeasure flooding attacks from legitimate users listed in the whitelist by applying counting Bloom filters to messages from them. Experimental results show that existing whitelist-based schemes can’t detect flooding attacks from users listed in the whitelist, while the proposed method can detect and countermeasure against those attacks very effectively.

SDN을 위한 샘플링 기반 네트워크 플러딩 공격 탐지/방어 시스템

이윤기,김승욱,부 둑 티엡,김경백,Lee, Yungee,Kim, Seung-uk,Vu Duc, Tiep,Kim, Kyungbaek 한국스마트미디어학회 2015 스마트미디어저널 Vol.4 No.4

최근 SDN은 데이터센터 네트워크로 활발히 사용되고 있으며, 그 사용범위를 점진적으로 늘려나가고 있다. 이러한 새로운 네트워크 환경 변화와 함께, 네트워크 보안시스템을 SDN 환경 상에서 구축하는 연구들이 진행되고 있다. 특히 OpenFlow Switch의 포트를 통과하는 패킷들을 지속적으로 관찰함으로써 네트워크 플러딩 공격 등을 탐지하기 위한 시스템들이 제안되었다. 하지만 다수의 스위치를 중앙집중형 컨트롤러에서 관리하는 SDN의 특성상 지속적인 네트워크 트래픽 관찰은 상당한 오버헤드로 작용할 수 있다. 이 논문에서는 이러한 지속적인 네트워크 트래픽 관찰에 따른 오버헤드를 줄이면서도 네트워크 플러딩 공격을 효과적으로 탐지 및 방어 할 수 있는, 샘플링 기반 네트워크 플러딩 공격 탐지 및 방어 시스템을 제안한다. 제안된 시스템은 네트워크 트래픽을 주어진 샘플링 조건에 맞추어 주기적으로 관찰하고, 샘플링 패킷들을 분석하여 네트워크 플러딩 공격을 탐지하며, 탐지된 공격을 OpenFlow Switch의 플로우 엔트리관리를 통해 능동적으로 차단하다. 네트워크 트래픽 샘플링을 위해 sFlow agent를 활용하고, 샘플링된 패킷 정보를 소프트웨어적으로 분석하여 공격을 탐지하기 위해 오픈소스 기반 IDS인 snort을 사용하였다. 탐지된 공격의 자동화된 방어 기작의 구현을 위해 OpenDaylight SDN 컨트롤러용 어플리케이션을 개발하여 적용하였다. 제안된 시스템은 OVS (Open Virtual Switch)를 활용한 로컬 테스트베드 상에서 그 동작을 검증하였고, 다양한 샘플링 조건에 따른 제안된 시스템의 성능 및 오버헤드를 분석하였다. Recently, SDN is actively used as datacenter networks and gradually increase its applied areas. Along with this change of networking environment, research of deploying network security systems on SDN becomes highlighted. Especially, systems for detecting network flooding attacks by monitoring every packets through ports of OpenFlow switches have been proposed. However, because of the centralized management of a SDN controller which manage multiple switches, it may be substantial overhead that the attack detection system continuously monitors all the flows. In this paper, a sampling based network flooding attack detection and prevention system is proposed to reduce the overhead of monitoring packets and to achieve reasonable functionality of attack detection and prevention. The proposed system periodically takes sample packets of network flows with the given sampling conditions, analyzes the sampled packets to detect network flooding attacks, and block the attack flows actively by managing the flow entries in OpenFlow switches. As network traffic sampler, sFlow agent is used, and snort, an opensource IDS, is used to detect network flooding attack from the sampled packets. For active prevention of the detected attacks, an OpenDaylight application is developed and applied. The proposed system is evaluated on the local testbed composed with multiple OVSes (Open Virtual Switch), and the performance and overhead of the proposed system under various sampling condition is analyzed.

무선 센서 네트워크의 데이터 전송 특성을 고려한 효율적인 플러딩 기법

안상현,임유진,김만희,Ahn, Sang-Hyun,Lim, Yu-Jin,Kim, Mahn-Hee 한국정보처리학회 2009 정보처리학회논문지 C : 정보통신,정보보안 Vol.16 No.2

In the wireless sensor network, flooding is required for the dissemination of queries and event announcements. The simple flooding causes the implosion and the overlap problems, so the simple flooding may result in the reduced network lifetime. Therefore, in this paper, we propose the flooding overlay structure (FOS) so that the overhead caused by flooding can be reduced. We propose two variants of FOS mechanisms, the centralized FOS (CFOS) and the distributed FOS (DFOS). In CFOS, the sink collects the network topology information and selects forwarding nodes based on that information. On the other hand, DFOS allows each sensor node to decide whether to act as a forwarding node or not based on its local information. For the performance evaluation of our proposed mechanisms, we carry out NS-2 based simulations and compare ours with the simple flooding and the gossiping. The simulation results indicate that the proposed FOS mechanisms outperform the simple flooding in terms of the network lifetime and the gossiping in terms of the data delivery ratio. 무선 센서 네트워크에서는 질의 분배(dissemination)나 이벤트 광고를 위해 플러딩이 요구된다. Simple(또는 blind) 플러딩은 폭주(implosion) 문제와 겹침(overlap) 문제를 야기하며, 따라서 simple 플러딩은 센서 네트워크의 수명을 감소시킬 수 있다. 따라서 본 논문에서는 플러딩 오버헤드를 줄이기 위해 플러딩 오버레이 구조(Flooding Overlay Structure; FOS)를 제안한다. 두 종류의 FOS 기법인 중앙형 FOS(Centralized FOS; CFOS)와 분산형 FOS(Distributed FOS; DFOS)를 제안하며, CFOS에서는 싱크가 네트워크 토폴로지 정보를 수집해서 그 정보를 기반으로 포워딩 노드를 선택하는 반면, DFOS에서는 각 센서 노드가 자신의 로컬 정보를 기반으로 자신이 브로드캐스트 패킷의 포워딩에 참여할지 여부를 결정한다. 제안한 FOS 기법들의 성능 분석을 위해 NS-2 기반의 시뮬레이션을 수행했으며, FOS 기법들과 simple 플러딩 및 gossiping의 성능을 비교했다. 시뮬레이션 결과, 제안한 FOS 기법들이 네트워크 수명 측면에서 simple 플러딩보다, 데이터 전달율 측면에서 gossiping보다 우수함을 알 수 있었다.

PEM 단위 연료전지 가시화 셀을 이용한 당량비 변화에 따른 플러딩 현상에 관한 연구

남기훈(Ki Hoon Nam),변재기(Jae Ki Byun),최영돈(Young Don Choi) 대한기계학회 2012 大韓機械學會論文集B Vol.36 No.6

본 논문은 고분자 전해질 연료전지 공기극 유로 내부에서 당량비에 따라 발생하는 플러딩 현상을 가시화를 통해 확인하고, 전류 변화에 따른 물의 운송 특성에 관한 연구를 수행하였다. 공기극 당량비는 1.5, 2.0, 연료극 당량비는 1.5로 고정하여 실험을 수행하였다. 연료전지 공기측 당량비 2.0로 공급하였을 때 1.5와 비교하여 짧은 시간에 물이 생성되기 시작하였으며, 플러딩 영역이 빠르게 생성되는 결과가 나타났다. 또한, 공기극 당량비 1.5로 유지하는 경우 플러딩 영역 이후에 건조화 7.8A 이후 구간에서 건조화가 진행되며, 8A 이후구간에서 건조화가 시작되는 공기극 당량비 2.0에서 작동하는 연료전지와 비교하여 넓은 영역에서 물 생성이 활발하게 이루어져 MEA의 내구성과 수소이온전도도가 우수한 결과를 확인하였다. The objective of this paper is to demonstrate the cathode channel flooding effects at different stoichiometries in proton exchange membrane (PEM) fuel cells by using visualization techniques. The phenomena of liquid water formation and removal caused by current variations were also examined experimentally. Tests were conducted at cathode stoichiometries of 1.5 and 2.0, and the anode stoichiometry was fixed at 1.5. It is found that at an air-side stoichiometry of 2.0, liquid water begins to form and the flooding occurs faster than at an air-side stoichiometry of 1.5. Also, when the air-side stoichiometry of 1.5 is maintained, the dry-out phenomena is observed in the dry-out area 7.8 A following the field of flooding. Thus, a stoichiometry of 1.5 produced better performance in terms of membrane electrode assembly (MEA) durability and hydrogen ion conductivity than did a stoichiometry of 2.0, in which dry-out occurs beyond 8A.

IPTV 접속망에서의 IGMP 플러딩 공격 효과 감소 기법 (pp.998-1002)

김성진(SungJin Kim),김유나(Yuna Kim),김종(Jong Kim) 한국정보과학회 2009 정보과학회 컴퓨팅의 실제 논문지 Vol.15 No.12

IPTV 서비스는 주로 여러 수신자에게 채널 전송이 효과적인 멀티캐스트 네트워크를 기반으로 제공된다. 수신자 측에 인접한 접속망에서는 IGMP(인터넷 그룹 관리 프로토콜)가 쓰이는데, 이는 수신자가 특정 채널 전송 중인 멀티캐스트 그룹에 가입하고 탈퇴할 수 있는 기능을 지원한다. 하지만 접속망 내부의 악의적인 공격자는 IGMP 메시지를 이용하여 정상적인 수신자의 서비스 이용에 장애를 줄 수 있다. 공격자는 IGMP 메시지를 위조하여 정상적인 수신자의 채널을 가로채거나 다수의 채널을 요청하여 접속망의 대역폭을 낭비시킬 수 있다. 또한 말단 라우터에 대량의 IGMP 메시지를 보내어 라우터의 자원을 소모하는 공격을 가할 수 있다. 메시지 위조를 방지하기 위한 대책으로 패킷 수준의 인증 기법을 도입할 수 있는데 이것은 말단 라우터에 추가적인 프로세싱 오버헤드를 발생시키므로, IGMP 플러딩 공격에 더욱 취약해질 우려가 있다. 따라서 본 논문에서는 IGMP 플러딩 공격 효과를 감소시킬 수 있도록, IGMP 패킷 속성 인증이 가능한 두 단계 인증 기법을 제안한다. In IPTV multicast architecture, the IGMP (Internet Group Management Protocol) is used for access networks. This protocol supports the functionality of join or leave for a specific multicast channel group. But, malicious attackers can disturb legitimate users being served appropriately. By using spoofed IGMP messages, attackers can hi-jack the premium channel, wasting bandwidth and exhausting the IGMP router's resources. To prevent the message spoofing, we can introduce the packet-level authentication methods. But, it causes the additional processing overhead to an IGMP processing router, so that the router is more susceptible to the flooding attacks. In this paper, we propose the two-level authentication scheme in order to mitigate the IGMP flooding attack.

무선 센서 네트워크에서 자식 노드 수와 형제 노드 수에 따른 동적 확률기반 플러딩 알고리즘

정효철,유영환,Jeong, Hyo-Cheol,Yoo, Young-Hwan 한국정보처리학회 2010 정보처리학회논문지 C : 정보통신,정보보안 Vol.17 No.6

플러딩은 무선 네트워크에서 모든 노드들에게 패킷을 전달하는 가장 간단한 방법이다. 하지만, 기본적인 플러딩은 모든 노드가 브로드캐스트 패킷을 한 번씩 전송을 하게 되고, 결과적으로 브로드캐스트 폭풍(broadcast storm) 문제를 일으킨다. 이는 네트워크 자원 및 에너지를 심각하게 낭비시키는 결과를 초래한다. 특히, 무선 센서 네트워크에서는 노드들은 제한된 배터리에 의해 전력을 공급받기 때문에 전력은 가장 중요한 자원 중의 하나이다. 다시 말해, 기본적인 플러딩은 많은 중복 패킷을 생성하기 때문에 전력 소비가 많고, 무선 센서 네트워크의 수명을 단축시키게 된다. 이 브로드캐스트 폭풍 문제를 해결하기 위해서 본 논문에서는 이웃 노드 정보를 이용하여 자식 노드 수와 형제 노드 수에 따른 동적인 확률적 플러딩 기법을 제안한다. 시뮬레이션 결과에서 제안 알고리즘은 기존의 기법들과 비교하여 패킷 발생 수는 유사하게 유지하면서 적은 노드 수에 대해서도 높은 전달율을 보인다. The flooding is the simplest and effective way to disseminate a packet to all nodes in a wireless sensor network (WSN). However, basic flooding makes all nodes transmit the packet at least once, resulting in the broadcast storm problem in a serious case, in turn network resources become severely wasted. Particularly, power is one of the most valuable resources of WSNs as nodes are powered by battery, then the waste of energy by the basic flooding lessens the lifetime of WSNs. In order to solve the broadcast storm problem, this paper proposes a dynamic probabilistic flooding that utilizes the neighbor information like the number of child and sibling nodes. Simulation results show that the proposed method achieves a higher packet delivery ratio with the similar number of duplicate packets as compared to existing schemes.

애드-혹 네트워크에서 트래픽 감소를 위한 플러딩 알고리즘

김동호 사단법인 인문사회과학기술융합학회 2019 예술인문사회융합멀티미디어논문지 Vol.9 No.9

A wireless ad hoc network is a network in which autonomous nodes communicate with each other wirelessly and are distributed. In wireless ad hoc networks, such factors as frequent disconnections due to mobility may lead to lower throughput compared to wired networks. In particular, routing protocols are using flooding to transmit data to all nodes whose location is unknown. While flooding has the advantage of being easy to implement in a simple way, it has a serious impact on network performance due to a broadcast storm problem. In order to minimize the flooding problem, it is necessary to minimize the number of packets traveling on the network unnecessarily. In this paper, we propose a frequency - based flooding algorithm with improved dominant pruning. The proposed algorithm generates a minimum size forward list with topology based neighbor node information using frequency - based greedy set cover algorithm to minimize packet redundancy transmission of neighbor nodes. We propose a hop-count-constrained flooding scheme to prevent routes that are too far from the shortest path to the destination. We show that the proposed algorithm improves the performance compared to the dominant-pruning through performance analysis. 무선 애드-혹 네트워크는 자율적인 노드들이 서로 무선으로 통신하며 분산 관리되는 네트워크이다. 무선 애드-혹 네트워크에서 이동성으로 인한 빈번한 연결 단절과 같은 요인으로 유선 네트워크와 비교하여 처리량 저하를 경험할 수 있다. 특히, 라우팅 프로토콜들이 위치를 알 수 없는 모든 노드들에게 데이터를 전송하는 플러딩을 사용하고 있다. 플러딩은 간단한 방식으로 구현하기 쉬운 장점이 있는 반면에 브로드캐스트 스톰 문제로 네트워크 성능에 심각한 영향을 준다. 플러딩 문제를 최소화시키기 위하여 쓸데없이 네트워크상에 돌아다니는 패킷을 최소화시킬 필요가 있다. 본 논문에서는 도미넌트 프루닝을 개선한 빈도수 기반 플러딩 알고리즘을 제안한다. 제안한 알고리즘은 이웃 노드들의 패킷 중복 전송을 최소화하기 위하여 빈도수 기반 개선된 탐욕 집합피복 알고리즘을 이용하여 토폴러지 기반 이웃 노드의 정보로 최소 크기의 포워드 리스트를 생성한다. 목적지까지 최단 거리의 경로에서 너무 멀어진 경로를 방지하기 위하여 홉 수 제한 플러딩을 제안한다. 제안한 알고리즘이 성능 분석을 통해 도미넌트 프루닝과 비교하여 성능을 최대 79% 개선시키고 있음 보여주고 있다.