인터넷 웜 확산 억제를 위한 거시적 관점의 프레임워크

Abstract

인터넷 웜은 분산 서비스 거부 공격 등을 통해 트래픽 장애를 유발 하므로 인터넷 인프라를 사용 불능으로 만들 수 있고, 침입 기능을 갖고 있어 중요 서버를 장악하여 개인의 정보를 유출시키는 등 치명적인 피해를 보이고 있다. 그러나 이러한 인터넷 웜을 탐지 하여 대응 하는 기존의 기법은 웜의 지역화 된 특징만을 이용하거나 이미 알려진 웜에만 대응 가능한 단점을 지니고 있다. 본 논문에서는 알려지지 않은 웜을 상대적으로 빠른 시점에 탐지하기 위해 웜의 거시적 행위 특성을 추출하여 탐지 하는 기법을 제안한다. 이를 위해 웜의 거시적인 행위를 논리적으로 정의 하고, 거시적 행위를 탐지할 수 있는 두 가지 실제 환경에서 웜을 탐지하는 기법을 제시한다. 본 논문에서 제시 하는 두 가지 기법은 다음과 같다. 첫째, 전자 우편 환경에서 이를 통해 전파되는 웜을 탐지 하는 기법을 제시한다. 둘째, IP 패킷 환경에서 호스트간 직접적으로 전파되는 웜을 탐지 하는 기법을 제시한다. 전자 우편 환경에서 웜을 탐지 하는 기법에서는 웜의 탐지가 가능하도록 전자 우편 서버를 향상 시키는 방법을 제시하며, IP 패킷 환경에서는 호스트와 게이트웨이를 향상 시키는 방법을 제시한다. 본 논문에서는 이 기법이 실제 적용 되었을 때 웜 확산의 억제 효과를 시뮬레이션을 통해 보인다. 시뮬레이션 환경은 전자 우편 환경과 IP 네트워크를 논리적으로 비슷하게 나타낼 수 있도록 하였다. 시뮬레이션 결과는 제안된 기법이 설치된 비율에 따라 웜 확산의 억제 정도가 다름을 보여준다. 한편 IP 패킷 환경은 응답 시간에 대해 민감하므로 제안된 기법이 구현 되었을 때 요구하는 시간을 측정하여 제시한다. 이를 통해 상대적으로 큰 오버헤드 없이 제안된 기법이 구현될 수 있음을 보인다.