종단간의 유사 연결 패턴을 갖는 정상 서버 활동과 공격의 구분 및 탐지 방법

Vol. 22, No. 6, pp. 1315-1324, 12월. 2012
10.13089/JKIISC.2012.22.6.1315, Full Text:
Keywords: Network Security, Security visualization, Network attack detection
Abstract

보안 이벤트 시각화 기법은 기존의 시각화 기술을 네트워크 보안 분야에 적용한 형태로써 네트워크 보안과 관련있는 이벤트를 사용하여 네트워크의 트래픽 흐름과 보안 상황을 쉽고 빠르게 분석 및 탐지하는 기술이다. 특히 종단간의 연결 이벤트인 세션을 시각화하여 네트워크 이상 상황을 탐지하는 기술은 상대적으로 패킷 감시 기법에서 발생하는 오버헤드를 줄일 수 있고 알려지지 않은 공격 패턴들은 쉽게 탐지할 수 있어서 좋은 해결책이 되고 있다. 하지만, 서버들의 정상 활동과 네트워크 공격이 종단간의 유사한 연결 패턴을 가질 경우 세션 기반의 시각화 기법들은 공격 상황과 정상 상황을 구분하는 기능이 매우 취약하다. 따라서 본 논문에서는 세션 기반 시각화 기법에서 서버들의 정상 활동과 네트워크 공격 상황을 상세하게 구분할 수 있는 IP 주소 분할 표시 분석 방법 및 포트 특성 분석 방법을 제안하고자 한다. 제안하는 세션 기반의 공격 시각화 탐지 방법은 다른 공격 탐지 방법들과는 의존성이 없기 때문에 기존의 다양한 네트워크 공격 분석 및 탐지에 활용될 수 있고, 또한 네트워크 관리자에게는 현재 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단할 수 있도록 도움을 준다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
B. Chang, "A Method for Detection and Classification of Normal Server Activities and Attacks Composed of Similar Connection Patterns," Journal of The Korea Institute of Information Security and Cryptology, vol. 22, no. 6, pp. 1315-1324, 2012. DOI: 10.13089/JKIISC.2012.22.6.1315.

[ACM Style]
Beom-Hwan Chang. 2012. A Method for Detection and Classification of Normal Server Activities and Attacks Composed of Similar Connection Patterns. Journal of The Korea Institute of Information Security and Cryptology, 22, 6, (2012), 1315-1324. DOI: 10.13089/JKIISC.2012.22.6.1315.