repository
대규모 네트워크에서의 웜 시뮬레이션을 위한 공격표현 및 모델링
- Alternative Title
- Cheol Won Lee
- Author(s)
- 이철원
- Alternative Author(s)
- Cheol Won Lee
- Advisor
- 김동규
- Department
- 일반대학원 컴퓨터공학과
- Publisher
- The Graduate School, Ajou University
- Publication Year
- 2009-08
- Language
- kor
- Abstract
- 오늘 날 인터넷은 우리 일상생활에 필요한 다양한 서비스를 제공할 뿐 아니라 기업 및 공공기관의 업무처리를 위한 필수적 도구로 자리 잡고 있다. 그러나 인터넷 웜이나 분산 서비스거부 공격 등 사이버 공격이 천문학적인 피해를 야기하고 있고, 이를 방지하기 위해 다양한 방어 기법에 대한 연구가 진행되고 있다. 인터넷 웜은 컴퓨터 바이러스와는 달리 독립적인 자기복제가 가능한 성질이 있어 매우 빠른 속도로 전파되는 속성이 있으며, 짧은 시간에 대규모 네트워크 전체에 영향을 미친다. 인터넷 웜의 종류가 다양해지고, 그 피해가 빠르게 증가하는 상황을 고려할 때, 웜 공격을 방어하기 위한 연구의 필요성이 증가하고 있다. 네트워크에 공격이 가해졌을 때 네트워크나 시스템이 받는 영향이나 사이버전에서 사용되는 공격들의 특징이 어떠한가를 연구하기 위해서는 실제 현실의 네트워크에서 웜 공격을 감행하고 이때 발생하는 트래픽 특성을 관찰하고 분석하는 것이 가장 정확하지만, 사이버 공격은 인터넷 서비스 지연이나 마비 등을 유발 시켜 실제 네트워크가 피해를 입을 수 있다. 따라서 실제 네트워크에서 인터넷 웜을 실험하는 것은 불가능 한 일이다. 대신 많은 경제적 및 시간적 비용을 요구하는 시뮬레이션을 이용한다. 이러한 비용 문제를 해결하기 위해 모델링 네트워크를 사용한 시뮬레이션 방법이 많이 사용된다. 이 방법은 수학적인 모델을 사용하므로 대규모 네트워크를 해석하기 편한 장점을 가지는 반면, 실제 현상에서 발생하는 다양한 변화를 고려하기가 힘들다. 또한, 변종이 많은 웜의 특성상 하나의 모델로 여러 종류의 웜을 효과적으로 시뮬레이션하기 힘들다. 본 논문에서는 대규모 인터넷 웜 시뮬레이션을 효과적으로 수행하기 위한 웜 공격의 표현 기법 및 표현된 웜 공격을 시뮬레이션에 적용하기 위한 맵핑 기법을 제안하였다. 또한, 표현된 웜 공격 시나리오를 Hybrid 모델링 방법에 적용한 시뮬레이션 기법도 제안하였다. 제안하는 웜 공격의 표현 및 시뮬레이터 맵핑 기법은 개별 웜을 상세히 표현할 수 있다. 또한, 유사한 동작을 그룹으로 묶어 표현할 수 있어 다양한 웜을 보다 간단명료하게 표현할 수 있다. 본 논문에서는 패킷 네트워크와 연동모델을 함께 사용하는 Hybrid 모델을 통해 현실에 가까운 가상 네트워크를 구현하는 방안을 제시하였다. 패킷 네트워크는 기존 큐잉 모델을 적용한 패킷 단위 네트워크 시뮬레이터를 이용하여 소규모 네트워크를 직접 시뮬레이션 할 수 있도록 한 가상 네트워크며, 연동모델은 Fluid 모델과 Epidemic 모델의 해석적 모델링 기법을 이용하여 실제로는 거의 만들 수 없는 수십만 노드를 지니는 대규모 네트워크에서의 웜 전파 현상을 시뮬레이션 할 수 있도록 한 네트워크 모델이다. 제안한 방법은 hybrid 모델을 SSFNet 기반의 시뮬레이터를 이용하여 구현 하였으며, 시뮬레이션의 결과가 실제 네트워크상의 전파 현상과 유사한 결과를 얻을 수 있음을 입증하였다. 예를 들면, 시뮬레이션 상의 웜 전파 지연은 Code Red v2 웜과 SQL Slammer 웜의 실제 전파 현상과 매우 유사함을 보인다. 이 때, 패킷 네트워크와 연동모델간의 파라미터 업데이트 메커니즘을 적용하여 정확도 향상을 기하였다.
- Alternative Abstract
- In these days, the Internet has provided various valuable services to our lives and become a compulsory tool for enterprises and public institutions. But cyber attacks such as Internet worm and DDOS introduce enormous losses and thus various studies for the defense methods to protect resources from the attacks have been performing. In contrast to other computer viruses, Internet worm spreads vary quickly due to the capability of self duplication and affects network in a short time. Considering that various new Internet worms have been emerged and the loss by the worms has increased fast, it is urgent to study on worm defense methods. Even though it is best to perform worm attack on real network and monitor the traffic characteristics for studying the affect of network and computer system against cyber attack, and the characteristic of attack used in cyber war. Cyber attack may introduce Internet service delay and make computer system down, resulting in damage to the network. Thus it is very hard to simulate the affect in real network. Instead, simulation is frequently used in spite of the fact that it requires enormous economic and time cost. To resolve the cost problem, network model is frequently used for mimicking real network in the simulation. The method has a merit to simulate large network in a handy manner but it is hard to reflect the various change in real attack. And also it is not easy to effectively simulate various worms with a single model. This dissertation proposes a unique worm attack description method suitable to efficiently simulating large network and a method that maps the described worm attack. And a simulation technique is also proposed that applies the described worm attack scenario to hybrid modeling method. The proposed worm attack description method and mapping method are able to describe a worm in detail. And also it is possible for the methods to describe various worms in an easy and clear way, binding similar actions in a group. This dissertation also suggests a proposal to build cyber network which is close to real network, using hybrid model that combines packet network model and cooperative model. A packet network model is a network model that can simulate small network using a packet network simulator hiring traditional queuing model. A cooperative model is one that uses analytical models such as fluid model and epidemic model, and that makes it easy to simulate worm propagation in large network with hundred thousands of nodes, which is almost impossible to build in real world. The proposed methods have been implemented using a hybrid model and a simulator based on SSFNet. Simulations prove that the outcomes are close to those in real network. For example, the propagation delays are very close to that of Code Red V2 worm and SQL Slammer worm. In the simulations, a parameter update mechanism between network model and cooperative model improves the accuracy.
- Fulltext
- Appears in Collections:
- Graduate School of Ajou University > Department of Computer Engineering > 3. Theses(Master)
- Files in This Item:
- There are no files associated with this item.
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
-
- License
- STATISTICS
- Total Visit :2,967,083
- Total Download :1,696
- Today View :13,469
