SYN 패킷 Port Pattern 기반의 NAT 내부 호스트 식별 및 DDoS/DoS 공격 탐지 알고리즘에 관한 연구 = A Study on NATted Host Identification and DDoS/DoS Attack Detection Algorithm based on Port Patterns of SYN Packets
저자
발행사항
성남: 경원대학교 일반대학원, 2011
학위논문사항
학위논문(석사)-- 경원대학교 일반대학원: 전자계산학과 2011. 8
발행연도
2011
작성언어
한국어
주제어
DDC
004 판사항(21)
발행국(도시)
경기도
형태사항
95p; 26cm.
소장기관
인터넷의 발달로 인하여 인터넷 사용자가 증가하였고 그로 인해 최근 IPv4의 부족 문제로 IPv6가 제안되었지만, 현실적인 문제들로 인하여 활성화되지 않고 있다. 이러한 문제를 해결하기 위해 NAT(Network Address Translation)가 제안되었으며, 가정이나 사무실에서는 적은 비용으로 여러 호스트에서 인터넷을 사용하기 위하여 NAT 공유기를 많이 사용하고 있다.
ISP(Internet Service Provider) 입장에서는 NAT를 통해 많은 호스트들이 연결되어 트래픽을 증가시킬 수 있다는 문제를 가지게 되었고, 내부 사설 주소를 외부로부터 보호하는 기능을 제공하여 NAT에 연결된 네트워크의 토폴로지를 숨김으로써 관리자의 네트워크 접근 통제를 우회하거나, 해커들로 하여금 공인 IP 주소 공간에서 자신의 존재를 숨기기 위한 수단으로 사용되어 NAT 내부 호스트에서 DDoS/DoS 등의 공격 발생시 정확한 근원지 파악 및 대응이 어려워지고 있다.
본 논문에서는 NAT 내부 호스트를 탐지하기 위하여 제안된 선행 연구의 문제점 및 한계점을 분석하고, SYN 패킷의 Port 패턴을 활용한 NAT 내부 호스트 탐지 알고리즘을 제안하여 실험 결과를 비교 분석한다.
제안하는 알고리즘인 NHDI(NATted Host Detection and Identification Algorithm)는 SYN 패킷의 도착 순서에 따라 헤더 정보(Source IP, Source Port, IP ID)를 추출하고, Port Pattern을 식별하여 그룹핑을 함으로써 해당 IP 주소의 NAT 여부를 판단하고 NAT 내부 호스트를 식별한다. 식별된 호스트 그룹을 기반으로 향후 ISP 차원에서의 NAT 내부 호스트 관리 및 공격 발생시 대응이 가능하다. 또한 DDoS/DoS 탐지 및 대응 알고리즘으로 확장하여 NAT 내부 호스트에서 발생한 DDoS/DoS 공격 탐지 및 대응이 가능하도록 한다.
지금까지 선행 연구된 알고리즘의 경우 패킷의 제한적인 일부 헤더 정보만을 활용하거나 모든 패킷의 정보를 활용하기 때문에 계산량 및 정확도 부분에서 문제점이 있지만, 본 논문에서 제안하는 알고리즘은 선택적으로 패킷 정보를 활용함으로써 계산량은 줄이고 정확도는 높이는 두 가지 부분 모두 만족시키고 있다.
제안하는 알고리즘 검증을 위해 다양한 NAT 환경에서 기존 알고리즘과 비교 실험하여 그 결과를 나타내고, 추가적으로 제안하는 알고리즘으로 식별된 호스트 그룹을 기반으로 DDoS/DoS 공격 탐지 실험을 수행하여 그 결과를 보인다. 실험 결과를 바탕으로 제안하는 알고리즘을 이용하여 NAT 내부 호스트 탐지 및 식별 및 DDoS/DoS 공격 탐지 및 대응이 가능하다는 것을 증명한다.
IPv6 was spotlighted as a solution for the IPv4 address exhaustion as internet usage has been increasing, however, it’s not being commercialized widely due to many realistic reasons. To solve this problem, NAT(Network Address Translation) has been suggested and NAT routers are being widely used at homes and offices in order to use more internet devices with less money.
As for an ISP(Internet Service Provider), data traffic would be increased since there might be lots of unknown hosts behind a NAT and ISPs have difficulties in detecting and responding to DDoS/DoS attacks from NATted hosts because NAT hides network topologies of inner hosts and sidesteps access controls of network administrators and it’s also used for hiding their IP addresses by hackers.
In this paper, we analyze the uppermost limits and problems of past studies on NAT detection and then, suggest a new algorithm using Port patterns of SYN packets.
NHDI(NATted Host Detection and Identification Algorithm) that we propose extracts header information (Source IP, Source Port, IP ID) from the packets according to the arrival sequence of SYN packets, groups them by analyzing port patterns, and detects and identifies a NATted host. Based on identified host groups, ISPs would be able to control NATted hosts and respond to attacks. Also, this can be extended to a DDos/DoS Detection and Response Algorithm which is able to detect and respond to intrusions from the host behind the NAT.
Because existing algorithms restrictively use header information in data packets or process entire packets in a data stream, those algorithms have low accuracy and the huge amount of calculation. Our suggested algorithm, however, selectively uses packet information so it reduces calculation, but increases accuracy at the same time.
We’ve experimented with our algorithm in various NAT settings so that we could compare it with the other existing algorithms and we also performed DDoS/DoS Attack Detection Tests with the host groups identified and classified by this algorithm. With the test results, we proved that our suggested algorithm had better performance in NATted Host Detection and DDoS/DoS Intrusion Detection and Response.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)