공격 탐지 임계값을 고려한 비상태기반 방화벽 정책 추론 방법

김현우; 권동우; 주홍택; Hyeonwoo Kim; Dongwoo Kwon; Hongtaek Ju

연구문헌

국내 논문지

홈 > 연구문헌 > 국내 논문지 > 한국인터넷정보학회 논문지

한국인터넷정보학회 논문지

Current Result Document :

한글제목(Korean Title)	공격 탐지 임계값을 고려한 비상태기반 방화벽 정책 추론 방법
영문제목(English Title)	An Inference Method of Stateless Firewall Policy Considering Attack Detection Threshold
저자(Author)	김현우 권동우 주홍택 Hyeonwoo Kim Dongwoo Kwon Hongtaek Ju
원문수록처(Citation)	VOL 16 NO. 02 PP. 0027 ~ 0040 (2015. 04)
한글내용 (Korean Abstract)	방화벽 정책 추론은 사전지식 없이 특정 네트워크로의 능동적 탐지기법을 이용한 응답 패킷 분석으로 방화벽 정책을 발견한다. 하지만, 외부에서 특정 네트워크로 추론 패킷을 어떻게 전송하는가에 따라 방화벽에 설정된 공격 탐지 임계값에 의해 네트워크 공격으로 탐지되기 때문에 무분별하게 패킷을 전송하는 방법은 유효하지 않다. 본 논문에서는 방화벽의 공격 탐지 임계값을 고려하여 네트워크 공격으로 탐지되지 않는 범위 내에서 추론 변수를 활용한 패킷 전송 알고리즘을 제안한다. 그리고 제안하는 알고리즘에 의해 전송되는 패킷이 네트워크 공격으로 탐지되는가를 검증한다. 마지막으로 우리는 실제 방화벽 정책과 추론된 정책을 비교하여 제안된 알고리즘의 정확성을 검증한 결과를 제시한다.
영문내용 (English Abstract)	Inferring firewall policy is to discover firewall policy by analyzing response packets as results of active probing without any prior information. However, a brute-force approach for generating probing packets is unavailable because the probing packets may be regarded as attack traffic and blocked by attack detection threshold of a firewall. In this paper, we propose a firewall policy inference method using an efficient probing algorithm which considers the number of source IP addresses, maximum probing packets per second and interval size of adjacent sweep lines as inference parameters to avoid detection. We then verify whether the generated probing packets are classified as network attack patterns by a firewall, and present the result of evaluation of the correctness by comparing original firewall policy with inferred firewall policy.
키워드(Keyword)	비상태기반 방화벽 정책 추론; 공격 탐지 임계값 능동 탐지 추론 변수 스윕 라인 알고리즘 Stateless Firewall Policy Inference Attack Detection Threshold Active Probing Inference Parameters Sweep-line Algorithm
파일첨부	PDF 다운로드