KR101902654B1 - Method for detecting smart worm propagation vulnerability and program therefor - Google Patents

Method for detecting smart worm propagation vulnerability and program therefor Download PDF

Info

Publication number
KR101902654B1
KR101902654B1 KR1020160178033A KR20160178033A KR101902654B1 KR 101902654 B1 KR101902654 B1 KR 101902654B1 KR 1020160178033 A KR1020160178033 A KR 1020160178033A KR 20160178033 A KR20160178033 A KR 20160178033A KR 101902654 B1 KR101902654 B1 KR 101902654B1
Authority
KR
South Korea
Prior art keywords
worm
propagation
vulnerability
worm propagation
packet loss
Prior art date
Application number
KR1020160178033A
Other languages
Korean (ko)
Other versions
KR20180074192A (en
Inventor
호준원
권예지
임수빈
장재원
최미리
Original Assignee
서울여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울여자대학교 산학협력단 filed Critical 서울여자대학교 산학협력단
Priority to KR1020160178033A priority Critical patent/KR101902654B1/en
Publication of KR20180074192A publication Critical patent/KR20180074192A/en
Application granted granted Critical
Publication of KR101902654B1 publication Critical patent/KR101902654B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 예에 따른 웜 전파 취약점 진단 방법은 웜 전파 취약점 진단 시스템이, 패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계; 상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함한다.A method for diagnosing a worm propagation vulnerability according to an exemplary embodiment of the present invention includes the steps of: checking a frequency of occurrence of a packet loss or a worm detection; Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And diagnosing the worm propagation vulnerability according to the detection result of the success or failure of the worm propagation attack.

Description

지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램{METHOD FOR DETECTING SMART WORM PROPAGATION VULNERABILITY AND PROGRAM THEREFOR}METHOD FOR DETECTING SMART WORM PROPAGATION VULNERABILITY AND PROGRAM THEREFOR [0002]

본 발명은 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램에 관한 것으로, 더 구체적으로는 단순 수리적 모델에만 의존하는 것이 아닌 실제적인 지능형 IoT 웜 전파 취약점을 진단하기 위한 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램에 관한 것이다.The present invention relates to a method of diagnosing an intelligent worm propagation vulnerability and a program implementing the intelligent worm propagation vulnerability. More specifically, the present invention relates to a method of diagnosing an intelligent worm propagation vulnerability to diagnose an actual intelligent IoT worm propagation vulnerability, It is about a program.

웜(worm)은 스스로 전파하는 능력이 있는 악성코드이다. 일단 하나의 기기가 웜에 감염되면, 감염대상이 되는 다른 기기들을 선택해서 웜을 전파시킨다. 웜이 기존의 악성코드와 다른 점은 스스로 전파할 수 있는 능력 때문에 빠르게 전체 네트워크를 공격자의 제어 아래에 만들 수 있다는 점이다. 그러므로 웜 전파 취약점을 이해하고 진단하는 것은 웜 전파를 탐지, 차단하여 전체 네트워크가 정상적으로 동작하게 하는데 필수적이다.A worm is a malicious code capable of spreading itself. Once a device is infected with a worm, it selects other infected devices and propagates the worm. The difference between a worm and an existing malware is that it allows the entire network to be created under the attacker's control quickly because of its ability to propagate itself. Therefore, understanding and diagnosing a worm propagation vulnerability is essential for detecting and blocking worm propagation so that the entire network operates normally.

기존 인터넷과 무선 네트워크에서 악성 웜 관련 연구는 10년 이상 진행되어 웜 전파 취약점 진단에 관해서는 몇가지 방법들이 제안되고 있다.The research on malicious worms in the existing Internet and wireless networks has been conducted for more than 10 years, and several methods have been proposed for the diagnosis of worm propagation vulnerability.

지능형 웜은 네트워크 트래픽이나 탐지 시스템의 동작 여부에 따라 지능적으로 웜 전파속도를 조절하는데, 기존 제안되는 방법들은 이 부분을 다루지 않아 문제점이 있다.Intelligent worms intelligently adjust worm propagation speed according to network traffic or detection system operation. However, existing methods do not address this problem.

관련특허문헌: 한국등록번호 10-1283565 Related patent literature: Korean Registration No. 10-1283565

본 발명의 목적은 사물인터넷 환경에서 실제적인 지능형 웜 전파 취약점 진단을 하는 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램을 제공하려는 것이다.An object of the present invention is to provide a method for diagnosing an intelligent worm propagation vulnerability that diagnoses an actual intelligent worm propagation vulnerability in an object Internet environment and a program implementing the intelligent worm propagation vulnerability diagnosis method.

본 발명의 일 실시예에 따른 웜 전파 취약점 진단 방법은 웜 전파 취약점 진단 시스템이, 패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계; 상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함할 수 있다.The method for diagnosing a worm propagation vulnerability according to an embodiment of the present invention includes the steps of: checking a frequency of occurrence of a packet loss or a worm detection; Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And diagnosing the worm propagation vulnerability according to the detection result of the success or failure of the worm propagation attack.

또한 상기 웜 전파 속도를 제어하는 단계는, 패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮추도록 제어하는 단계에 해당할 수 있다.The step of controlling the propagation speed of the worm may correspond to a step of increasing the propagation speed of the worm when a small amount of packet loss occurs and a control of decreasing the propagation speed of worm when a large amount of packet loss occurs.

또한 상기 웜 전파 속도를 제어하는 단계는, 웜 탐지 실패가 기 설정된 값 이상 발생하거나, 탐지가 이루어지지 않을 경우에는 웜 전파 속도를 높이도록 제어하는 단계에 해당할 수 있다.The step of controlling the propagation speed of the worm may correspond to the step of controlling the worm propagation speed so as to increase the worm propagation speed when the worm detection failure occurs more than a preset value or when the detection is not performed.

또한 상기 웜 전파 취약점을 진단하는 단계는, 웜 전파 속도의 조절, 탐지 기법의 설정 조절, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단하는 단계에 해당할 수 있다.In addition, the step of diagnosing the worm propagation vulnerability includes steps of adjusting the propagation speed of the worm, adjusting the setting of the detection technique, and adjusting the occurrence of packet loss by adjusting the amount of network traffic, .

또한 상기 체크하는 단계 이전에, 웜 전파 방식에 관한 설정을 random 방식, hop-by-hop 방식, target list 방식을 선택하여 세팅하는 단계; 및 세팅된 방식에 따라 웜 전파를 수행하는 단계;를 포함하며, 상기 random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, 상기 hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, 상기 target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식에 해당할 수 있다.Selecting a random method, a hop-by-hop method, and a target list method on the setting of the worm propagation method before the step of checking; And performing a worm propagation according to a set method, wherein the random method is a method of arbitrarily selecting and propagating devices to be worm propagated, and the hop-by-hop method is a method of propagating worm propagation The target list method can correspond to a method in which worm propagation is performed by designating a target device for worm propagation.

본 발명의 일 실시예에 따른 웜 전파 취약점 진단 방법은 웜 전파 취약점 진단 시스템이, 제1항의 웜 전파 취약점 진단 방법을 제1 타입으로 설정하는 단계; 및 아래 수학식에 따라 네트워크 트래픽을 감지하여 감지 결과에 따라 웜 전파 취약점을 진단하는 웜 전파 취약점 진단 방법을 제2 타입으로 설정하는 단계;를 포함할 수 있다.The method of diagnosing a worm propagation vulnerability according to an embodiment of the present invention includes the steps of: setting a worm propagation vulnerability diagnostic method of the first aspect as a first type; And setting a worm propagation vulnerability diagnostic method for diagnosing a worm propagation vulnerability according to the detection result to a second type by detecting network traffic according to the following equation.

<수학식>&Lt; Equation &

Figure 112016126826196-pat00001
Figure 112016126826196-pat00001

여기서, ψ는 페어와이즈(pairwise) 감염 속도,

Figure 112016126826196-pat00002
는 0번째 타임슬롯에서 s번째 타임슬롯까지 감염되어야할 대상 노드들의 개수, N은 전체 노드 수이다.Here, ψ represents the rate of pairwise infection,
Figure 112016126826196-pat00002
Is the number of target nodes to be infected from the 0th time slot to the s &lt; th &gt; time slot, and N is the total number of nodes.

본 발명에 따른 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램에 의하면, 사물인터넷 환경에서 실제적인 지능형 웜 전파 취약점 진단을 수행할 수 있는 효과를 가진다. According to the intelligent worm propagation vulnerability diagnosis method and the program implementing the intelligent worm propagation vulnerability detection method according to the present invention, it is possible to perform an actual intelligent worm propagation vulnerability diagnosis in the Internet environment of objects.

도 1은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템을 나타내는 블록도이다.
도 2는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템의 처리를 설명하기 위한 도면이다.
도 3 내지 도 5는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법을 나타내는 흐름도이다.
도 6은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법에 따른 진단 기기를 보여주는 도면이다.1 is a block diagram illustrating an intelligent worm propagation vulnerability diagnostic system in accordance with an embodiment of the present invention.
2 is a view for explaining a process of the intelligent worm propagation vulnerability diagnosis system according to an embodiment of the present invention.
3 to 5 are flowcharts illustrating an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention.
6 is a diagram illustrating a diagnostic device according to an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention.

본 명세서 또는 출원에 개시되어 있는 본 발명의 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다.Specific structural and functional descriptions of the embodiments of the present invention disclosed herein are for illustrative purposes only and are not to be construed as limitations of the scope of the present invention. And should not be construed as limited to the embodiments set forth herein or in the application.

본 발명에 따른 실시예는 다양한 변경을 가할 수 있고 여러가지 형태를 가질 수 있으므로 특정실시 예들을 도면에 예시하고 본 명세서 또는 출원에 상세하게 설명하고자 한다. 그러나 이는 본 발명의 개념에 따른 실시 예를 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The embodiments according to the present invention are susceptible to various changes and may take various forms, so that specific embodiments are illustrated in the drawings and described in detail in this specification or application. It should be understood, however, that the embodiments according to the concepts of the present invention are not intended to be limited to any particular mode of disclosure, but rather all variations, equivalents, and alternatives falling within the spirit and scope of the present invention.

제1 및/또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기구성 요소들은 상기용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first and / or second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are intended to distinguish one element from another, for example, without departing from the scope of the invention in accordance with the concepts of the present invention, the first element may be termed the second element, The second component may also be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, .

반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Other expressions that describe the relationship between components, such as "between" and "between" or "neighboring to" and "directly adjacent to" should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise.

본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, the terms "comprises ", or" having ", or the like, specify that there is a stated feature, number, step, operation, , Steps, operations, components, parts, or combinations thereof, as a matter of principle.

다르게 정의되지 않는한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as ideal or overly formal in the sense of the art unless explicitly defined herein Do not.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야한다. 또한, 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference numerals as possible. Further, the detailed description of known functions and configurations that may obscure the gist of the present invention will be omitted.

한편, 본 명세서와 도면에 개시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.It should be noted that the embodiments of the present invention disclosed in the present specification and drawings are only illustrative of the present invention in order to facilitate the understanding of the present invention and are not intended to limit the scope of the present invention. It is to be understood by those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.

도 1은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템을 나타내는 블록도이다. 상기 지능형 웜 전파 취약점 진단 시스템(10)은 지능형 웜 전파 취약점 진단 장치(200)를 포함하며, 지능형 웜 전파 취약점 진단 장치(200)는 네트워크(100)를 통해 전송되는 패킷을 수집하는 것을 통해 웜 전파 취약점 진단을 수행한다.1 is a block diagram illustrating an intelligent worm propagation vulnerability diagnostic system in accordance with an embodiment of the present invention. The intelligent worm propagation vulnerability diagnosis system 10 includes an intelligent worm propagation vulnerability diagnosis apparatus 200. The intelligent worm propagation vulnerability diagnosis apparatus 200 collects packets transmitted through the network 100, Perform vulnerability diagnosis.

상기 지능형 웜 전파 취약점 진단 장치(200)는 네트워크 인터페이스(210), 웜 전파 패턴 모듈(220), 웜 타입 관리 모듈(230), 웜 생성 모듈(240), 탐지 모듈(250) 및 DB(260)를 포함한다. 여기서 상기 DB(260)는 수집되는 각종 데이터 및 정보 또는 내부에서 처리되어 가공된 각종 데이터를 저장하는 기능을 수행한다.The intelligent worm propagation vulnerability diagnosis apparatus 200 includes a network interface 210, a worm propagation pattern module 220, a worm type management module 230, a worm generation module 240, a detection module 250, . The DB 260 functions to store various data and information to be collected or various kinds of data processed and processed internally.

상기 네트워크 인터페이스(210)는 본 발명의 지능형 웜 전파 취약점 진단 장치(200)가 네트워크(100)로 부터 패킷을 수집할 수 있도록 하는 인터페이스 수단이다.The network interface 210 is an interface means for the intelligent worm propagation vulnerability diagnosis apparatus 200 of the present invention to collect packets from the network 100.

상기 웜 전파 패턴 모듈(220)은 웜 전파의 패턴, 예컨대, random 방식, hop-by-hop 방식, target list 방식과 같은 패턴을 설정하고 해당 패턴에 따른 웜 전파가 이루어지도록 제어하는 기능을 수행한다.The worm propagation pattern module 220 sets a pattern such as a worm propagation pattern, for example, a random method, a hop-by-hop method, and a target list method, and controls the worm propagation according to the pattern .

상기 웜 타입 관리 모듈(230)은 basic 타입 intelligent 타입에 따라 웜 전파 취약 진단이 이루어지도록 제어하는 기능을 수행한다.The worm type management module 230 controls the worm propagation vulnerability diagnosis based on the basic type intelligent type.

상기 웜 생성 모듈(240)은 전파가 이루어질 웜을 생성하는 기능을 수행하는데, 예컨대, 웜 전파 패턴 모듈(220)에 따른 웜 전파 패턴과 웜 타입 관리 모듈(230)에 따른 웜 전파 타입을 고려하여 웜을 생성하여 웜 전파가 이루어지도록 한다.The worm generation module 240 functions to generate a worm to be propagated. For example, considering the worm propagation pattern according to the worm propagation pattern module 220 and the worm propagation type according to the worm type management module 230, The worm is generated to propagate the worm.

상기 탐지 모듈(250)은 웜 전파 취약점을 진단하는 기능을 수행하고, 취약 기기를 탐지하는 기능을 수행한다.The detection module 250 performs a function of diagnosing a worm propagation vulnerability and detects a vulnerable device.

본 발명의 보다 구체적인 내용은 이하를 통해 설명될 것이다.More specific details of the present invention will be described below.

도 2는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템의 처리를 설명하기 위한 도면으로, 사물인터넷에서 지능형 웜 전파 취약점 진단 방법의 기본 구성을 나타낸다.FIG. 2 is a diagram for explaining the processing of the intelligent worm propagation vulnerability diagnosis system according to an exemplary embodiment of the present invention, and shows a basic configuration of an intelligent worm propagation vulnerability diagnostic method on the Internet.

웜 타입의 basic 타입의 경우, Epidemic 모델에 따른 웜 전파 취약점을 진단한다. 구체적으로, Epidemic 모델인 아래 수학식 1에 의거하여 전파되는 웜 트래픽을 감지한다.In case of worm type basic type, it diagnoses worm propagation vulnerability according to Epidemic model. Specifically, the worm traffic is propagated based on the Epidemic model (1) below.

Figure 112016126826196-pat00003
Figure 112016126826196-pat00003

여기서, ψ는 페어와이즈(pairwise) 감염 속도,

Figure 112016126826196-pat00004
는 0번째 타임슬롯에서 s번째 타임슬롯까지 감염되어야할 대상 노드들의 개수, N은 전체 노드 수이다.Here, ψ represents the rate of pairwise infection,
Figure 112016126826196-pat00004
Is the number of target nodes to be infected from the 0th time slot to the s &lt; th &gt; time slot, and N is the total number of nodes.

웜 타입의 intelligent 타입의 경우, 패킷 로스(loss) 또는 웜 탐지 발생 빈도(또는 비율), 탐지 기법의 동작여부에 따라 동적으로 조절되는 웜 전파 취약점을 진단한다. 예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮춘다. In case of intelligent type of worm type, worm propagation vulnerability that is controlled dynamically according to the frequency (or ratio) of packet loss or worm detection and the operation of detection technique is diagnosed. For example, the intelligent worm propagation vulnerability diagnosis system 10 increases the propagation speed of the worm when the packet loss is small, and decreases the propagation speed of the worm when a lot of packet loss occurs.

또한 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 탐지 실패가 많이 발생하거나, 탐지 기법이 없으면 웜 전파 속도를 높인다. 또한, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 이미 감염된 기기의 리스트들의 정보를 수집해 다시 감염시키지 않게 하고, 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단한다. 예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 전파 속도의 조절, 탐지 기법의 설정, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단한다.Also, the intelligent worm propagation vulnerability diagnosis system 10 increases the propagation speed of the worm if there are many worm detection failures or if there is no detection technique. In addition, the intelligent worm propagation vulnerability diagnosis system 10 collects information on the list of already infected devices so as not to infect them again, and diagnoses the worm propagation vulnerability according to the detection result of the success or failure of the worm propagation attack. For example, the intelligent worm propagation vulnerability diagnosis system 10 determines that there is a vulnerability if the propagation of the worm succeeds while dynamically adjusting the occurrence of packet loss by adjusting the propagation speed of the worm propagation rate, setting the detection technique, and adjusting the amount of network traffic.

웜 전파 패턴의 경우에는 random 방식, hop-by-hop 방식, target list 방식이 선택될 수 있는데, 여기서 random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식이다.In the case of a worm propagation pattern, a random method, a hop-by-hop method, and a target list method can be selected. Here, the random method is a method of randomly selecting devices to be worm propagated, Method is a method in which devices infected by worm propagation continue to set neighboring devices as infected objects and worm propagation occurs and target list method is a method in which worm propagation is performed by designating devices to be worm propagated.

웜 페이로드는 웜의 내용 타입을 설정되어 타입에 매칭되는 웜을 생성하는 부분에 해당한다. 예컨대, intelligent 타입, hop-by-bop 방식이 결합될 경우, 해당 타입에 따른 웜이 생성되어 웜 전파가 이루어지고 시스템(10)은 그에 따른 취약점 진단을 수행한다.The worm payload corresponds to the part where a content type of the worm is set to generate a worm that matches the type. For example, when the intelligent type and the hop-by-bop method are combined, a worm according to the type is generated and worm propagation is performed, and the system 10 performs the vulnerability diagnosis accordingly.

도 3 내지 도 5는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법을 나타내는 흐름도이다. 상기 지능형 웜 전파 취약점 진단 방법은 도 1에 도시된 지능형 웜 전파 취약점 진단 시스템(10)에 의해 수행된다. 3 to 5 are flowcharts illustrating an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention. The intelligent worm propagation vulnerability diagnostic method is performed by the intelligent worm propagation vulnerability diagnostic system 10 shown in Fig.

도 3을 참고하면, 도 3은 Basic 타입의 진단 방법을 설명하기 위한 흐름도로, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 상기 수학식 1에 기초하여 네트워크 트래픽을 감지하고(S10), 이후 감지 결과에 따라 웜 전파 취약점을 진단한다(S20).3, the intelligent worm propagation vulnerability diagnosis system 10 detects network traffic based on Equation (1) (S10), and then detects The worm propagation vulnerability is diagnosed according to the result (S20).

도 4를 참고하면, 도 4는 Intelligent 타입의 진단 방법을 설명하기 위한 흐름도로, 패킷 로스(loss) 또는 웜 탐지 발생 빈도(또는 비율)를 체크하고(S100), 패킷 로스(loss) 또는 웜 탐지 발생 빈도(또는 비율)의 체크 결과에 따라 전파 속도를 제어한다(S200). 4 is a flow chart for explaining an intelligent diagnosis method. Referring to FIG. 4, a packet loss or a worm detection occurrence frequency (or ratio) is checked (S100), and a packet loss or a worm detection The propagation speed is controlled according to the check result of the occurrence frequency (or ratio) (S200).

예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮추게 한다. 또한 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 탐지 실패가 많이 발생하거나, 탐지가 이루어지지 않을 경우에는 웜 전파 속도를 높인다. 또한, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 이미 감염된 기기의 리스트들의 정보를 수집해 다시 감염시키지 않게 한다.For example, the intelligent worm propagation vulnerability diagnosis system 10 increases the propagation speed of the worm when the packet loss is small, and decreases the propagation speed of the worm when the packet loss is large. Further, the intelligent worm propagation vulnerability diagnosis system 10 increases the propagation speed of the worm when the worm detection failure occurs frequently or is not detected. In addition, the intelligent worm propagation vulnerability diagnosis system 10 collects information on the list of already infected devices and does not infect them again.

이후 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단한다(S20). 예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 전파 속도의 조절, 탐지 기법의 설정, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단한다.Thereafter, the worm propagation vulnerability is diagnosed based on the detection result of the success or failure of the worm propagation attack (S20). For example, the intelligent worm propagation vulnerability diagnosis system 10 determines that there is a vulnerability if the propagation of the worm succeeds while dynamically adjusting the occurrence of packet loss by adjusting the propagation speed of the worm propagation rate, setting the detection technique, and adjusting the amount of network traffic.

도 5를 참고하면, 웜을 세팅한다(S1000). 여기서 웜의 세팅은 웜 전파 방식에 관한 설정에 해당할 수 있는데, random 방식, hop-by-hop 방식, target list 방식을 선택하여 세팅할 수 있다. 이때, random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식이다.Referring to FIG. 5, the worm is set (S1000). Here, the setting of the worm may correspond to the setting of the worm propagation method, and it can be set by selecting random method, hop-by-hop method, or target list method. In the hop-by-hop method, devices infected by worm propagation set neighboring devices to be infected and continue to propagate worms. , And the target list method is a method in which worm propagation is performed by designating a target device for worm propagation.

이후 세팅한 웜을 전파하고(S2000), 공격 성공 또는 실패를 파악한다(S3000).Then, the set worm is propagated (S2000), and the attack success or failure is recognized (S3000).

도 6은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법에 따른 진단 기기를 보여주는 도면이다. 도 6을 참고하면, 웜 전파 취약점 진단의 진행율 60%을 보여주는 화면으로, 점선 및 실선으로 표시된 기기들 중에서, 실선으로 표시된 IoT 기기들(117.7.0.1, 117.7.0.2)은 상술한 방법에 의한 판단결과 웜 전파 취약점에 노출된 것으로 시각적으로 보여진다.6 is a diagram illustrating a diagnostic device according to an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention. 6, among the devices indicated by dotted lines and solid lines, the IoT devices 117.7.0.1 and 117.7.0.2 indicated by the solid lines are screened by the above-described method, The result is a visual representation of exposure to a worm propagation vulnerability.

이상에서는 바람직한 실시 예들에 대하여 설명하였으며, 비록 특정 용어들이 사용되었으나 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위해 일반적인 의미에서 사용된 것일 뿐, 본 발명이 전술한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 기술적 사상에 바탕을 둔 다양한 실시 예가 가능함은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. It is not. That is, it is apparent to those skilled in the art that various embodiments based on the technical idea of the present invention are possible.

Claims (6)

웜 전파 취약점 진단 시스템이,
패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계;
상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및
웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함하고,
상기 웜 전파 속도를 제어하는 단계는,
웜 탐지 실패가 기 설정된 값 이상 발생하거나, 탐지가 이루어지지 않을 경우에는 웜 전파 속도를 높이도록 제어하는 단계인 웜 전파 취약점 진단 방법.Worm propagation vulnerability diagnostic system,
Checking a frequency of packet loss or worm detection occurrence;
Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And
And diagnosing the worm propagation vulnerability according to the detection result of the worm propagation attack success or failure,
The step of controlling the worm propagation speed includes:
A method for controlling the worm propagation speed so as to increase the worm propagation speed if the worm detection failure occurs at a predetermined value or is not detected. 제 1 항에 있어서,
상기 웜 전파 속도를 제어하는 단계는,
패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮추도록 제어하는 단계인 웜 전파 취약점 진단 방법.The method according to claim 1,
The step of controlling the worm propagation speed includes:
Wherein the worm propagation speed is increased when the packet loss is low and the worm propagation speed is decreased when the packet loss is large. 삭제delete 웜 전파 취약점 진단 시스템이,
패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계;
상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및
웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함하고,
상기 웜 전파 취약점을 진단하는 단계는,
웜 전파 속도의 조절, 탐지 기법의 설정 조절, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단하는 단계인 웜 전파 취약점 진단 방법.Worm propagation vulnerability diagnostic system,
Checking a frequency of packet loss or worm detection occurrence;
Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And
And diagnosing the worm propagation vulnerability according to the detection result of the worm propagation attack success or failure,
The step of diagnosing the worm propagation vulnerability includes:
Worm Propagation Vulnerability Diagnosis Method, which is a step that judges that a vulnerability exists if the propagation of a worm propagates successfully while dynamically adjusting the propagation speed of the worm, adjustment of the detection method, and control of the amount of network traffic. 웜 전파 취약점 진단 시스템이,
패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계;
상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및
웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함하고,
상기 체크하는 단계 이전에,
웜 전파 방식에 관한 설정을 random 방식, hop-by-hop 방식, target list 방식을 선택하여 세팅하는 단계; 및
세팅된 방식에 따라 웜 전파를 수행하는 단계;를 포함하며,
상기 random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, 상기 hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, 상기 target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식에 해당하는 웜 전파 취약점 진단 방법.Worm propagation vulnerability diagnostic system,
Checking a frequency of packet loss or worm detection occurrence;
Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And
And diagnosing the worm propagation vulnerability according to the detection result of the worm propagation attack success or failure,
Before the checking step,
Selecting a random mode, a hop-by-hop mode, and a target list mode according to the setting of the worm propagation method; And
And performing worm propagation according to the set method,
In the hop-by-hop method, devices infected by worm propagation set neighboring devices as infection targets and continue to propagate worms. And the target list method corresponds to a method in which a worm propagation is performed by designating a worm propagation target device. 컴퓨터와 결합되어 제 1 항, 제 4 항 및 제 5 항 중 어느 한 항에 따른 윔 전파 취약점 진단 방법을 컴퓨터로 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램.A computer program stored in a medium for causing a computer to execute a method of diagnosing a worm propagation vulnerability according to any one of claims 1, 4, and 5 in combination with a computer.
KR1020160178033A 2016-12-23 2016-12-23 Method for detecting smart worm propagation vulnerability and program therefor KR101902654B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160178033A KR101902654B1 (en) 2016-12-23 2016-12-23 Method for detecting smart worm propagation vulnerability and program therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160178033A KR101902654B1 (en) 2016-12-23 2016-12-23 Method for detecting smart worm propagation vulnerability and program therefor

Publications (2)

Publication Number Publication Date
KR20180074192A KR20180074192A (en) 2018-07-03
KR101902654B1 true KR101902654B1 (en) 2018-09-28

Family

ID=62918467

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160178033A KR101902654B1 (en) 2016-12-23 2016-12-23 Method for detecting smart worm propagation vulnerability and program therefor

Country Status (1)

Country Link
KR (1) KR101902654B1 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100862187B1 (en) * 2006-10-27 2008-10-09 한국전자통신연구원 A Method and a Device for Network-Based Internet Worm Detection With The Vulnerability Analysis and Attack Modeling

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"정보보호 예보 알고리즘 및 모델 개발", 한국정보보호진흥원, 2009.06.30.

Also Published As

Publication number Publication date
KR20180074192A (en) 2018-07-03

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10673884B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US10581874B1 (en) Malware detection system with contextual analysis
US9973531B1 (en) Shellcode detection
US9438623B1 (en) Computer exploit detection using heap spray pattern matching
RU2613535C1 (en) Method for detecting malicious software and elements
US10133863B2 (en) Zero-day discovery system
US8032937B2 (en) Method, apparatus, and computer program product for detecting computer worms in a network
Fu et al. On recognizing virtual honeypots and countermeasures
CN109194684B (en) Method and device for simulating denial of service attack and computing equipment
WO2018157626A1 (en) Threat detection method and apparatus
KR20180107789A (en) Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof
TWI553502B (en) Protection method and computer system thereof for firewall apparatus disposed to application layer
KR102559568B1 (en) Apparatus and method for security control in IoT infrastructure environment
TWI544361B (en) Protection method and computer system thereof for network interface controller
KR101902654B1 (en) Method for detecting smart worm propagation vulnerability and program therefor
KR101825911B1 (en) Worm attack modeling and simulation for data transport network having hierarchical structure
KR101587571B1 (en) protection system and method for distributed Denial of Service using learning technique
EP3338405B1 (en) System and method for detecting attacks on mobile ad hoc networks based on network flux
KR100432421B1 (en) method and recorded media for attack correlation analysis
EP3252645A1 (en) System and method of detecting malicious computer systems
Ochieng et al. A tour of the computer worm detection space
DeLaughter et al. Context Matters: Accurately Measuring the Efficacy of Denial-of-Service Mitigations
CN114556338A (en) Malware identification
EP1751651B1 (en) Method and systems for computer security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant