KR102212316B1 - 네트워크 노드의 주소할당방법 - Google Patents

네트워크 노드의 주소할당방법 Download PDF

Info

Publication number
KR102212316B1
KR102212316B1 KR1020190111276A KR20190111276A KR102212316B1 KR 102212316 B1 KR102212316 B1 KR 102212316B1 KR 1020190111276 A KR1020190111276 A KR 1020190111276A KR 20190111276 A KR20190111276 A KR 20190111276A KR 102212316 B1 KR102212316 B1 KR 102212316B1
Authority
KR
South Korea
Prior art keywords
node
network
address
attack
importance
Prior art date
Application number
KR1020190111276A
Other languages
English (en)
Inventor
임혁
윤승현
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR1020190111276A priority Critical patent/KR102212316B1/ko
Priority to PCT/KR2020/011725 priority patent/WO2021049806A1/ko
Application granted granted Critical
Publication of KR102212316B1 publication Critical patent/KR102212316B1/ko

Links

Images

Classifications

    • H04L61/20
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/6022
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 네트워크 노드의 주소할당방법은, 네트워크에 대하여 공격 그래프를 제공하는 것; 상기 공격 그래프의 악용가능성(explotability)를 분석하는 것; 및 네트워크에 포함되는 노드 중에서 셔플링 대상이 되는 노드를 선정하여, 셔플링 대상이 되는 노드에 새로운 주소를 할당하는 것이 포함된다. 본 발명에 따르면, 공격 그래프 상의 특정 노드에 대한 셔플링이 수행됨으로써, 최소자원을 활용하여 네트워크의 보안성을 높일 수 있다.

Description

네트워크 노드의 주소할당방법{An address allocation method for a node in a network}
본 발명은 네트워크 노드의 주소할당방법에 관한 것이다. 바람직하게는, 소프트웨어 정의 네트워크에 기반하여 네트워크에 놓이는 노드에 대한 가상 주소(virtual address)를 할당하는 방법에 관한 것이다.
근래들어, 해킹 등에 대응하는 능동적 방어 기술로서 MTD(Moving Target Defense) 기술이 소개되고 있다.
상기 MTD 기술은, 사이버 공격의 대상이 되는 시스템(보호대상)의 주요 속성을 능동적으로 변화시킴으로써, 공격자의 분석 복잡도와 공격목표 선정의 불확실성을 증폭시켜 공격의 준비, 및 시도를 사전에 방지하는 능동적 사전 보안 기술이다.
한편, 소프트웨어 정의 네트워크(SDN: Software Defined Network) 기술이 알려져있다. 상기 소프트웨어 정의 네트워크는, 개방형 API를 통해 네트워크의 트래픽 전달 동작을, 소프트웨어 기반 컨트롤러에서 제어/관리하는 접근방식이다. 트래픽 경로를 지정하는 컨트롤 플레인과 트래픽 전송을 수행하는 데이터 플레인이 분리되어 있는 것을 그 특징으로 한다.
상기 소프트웨어 정의 네트워크에 상기 MTD기술이 적용됨으로써, 네트워크의 물리적인 자원을 더 자유롭고 효율적으로 사용할 수 있고, 네트워크를 해킹 등으로 부터 원활하게 방어할 수 있다.
상기 소프트웨어 정의 네트워크에 기반하여 MTD기술이 적용되는 기술로는, [D. C. MacFarland et al.,“The SDN shuffle: Creating a moving-target defense using host-based software-defined networking,” in ACM Workshop on Moving Target Defense, 2015, pp. 37-41]이 제안된 바가 있다.
상기 기술은, 소프트웨어 정의 네트워트에 대하여 무작위적으로 MTD기술이 적용되기 때문에, 네트워크의 자원이 낭비되고, 사용자의 요구에 적절히 대응할 수 없는 문제점이 있다.
D. C. MacFarland et al.,"The SDN shuffle: Creating a moving-target defense using host-based software-defined networking," in ACM Workshop on Moving Target Defense, 2015, pp. 37-41
본 발명은 상기되는 배경하에서 제안되는 것으로서, 외부 공격에 취약한 네트워크 노드에 대하여 집중적으로 MTD기술이 적용되는 네트워크 노드의 주소할당방법을 제안한다.
본 발명은 외부 공격에 취약한 경로 상의 네트워크 노드를 정확히 알아낼 수 있는 네트워크 노드의 주소할당방법을 제안한다.
본 발명은 시스템의 부하에 대응하여, 오버헤드(overhead)를 제어할 수 있는 네트워크 노드의 주소할당방법을 제안한다.
본 발명에 따른 네트워크 노드의 주소할당방법은, 네트워크에 대하여 공격 그래프를 제공하는 것; 상기 공격 그래프의 악용가능성(explotability)를 분석하는 것; 및 네트워크에 포함되는 노드 중에서 셔플링 대상이 되는 노드를 선정하여, 셔플링 대상이 되는 노드에 새로운 주소를 할당하는 것이 포함된다. 본 발명에 따르면, 공격 그래프 상의 특정 노드에 대한 셔플링이 수행됨으로써, 최소자원을 활용하여 네트워크의 보안성을 높일 수 있다.
상기 공격 그래프를 분석하는 것, 상기 악용가능성을 분석하는 것, 및 셔플링 대상 노드를 선정하여 새로운 주소를 할당하는 것은, 소정의 주기로 반복될 수 있다. 이에 따르면, 네트워크에 새로운 노드가 추가되거나, 삭제되는 것에 대응하여 적응적으로 네트워크의 보안성을 유지할 수 있다.
상기 공격 그래프는, 네트워크 토폴로지와 관련되는 네트워크 연결성에 관련되는 제 1 레이어; 상기 네트워크 외부의 원격 노드에 공개되는 취약점(vulnerability)에 관련되는 제 2 레이어; 및 상기 원격 노드에 공개되지 않고, 상기 네트워크 내부의 내부 노드에 대해서만 공개되는 취약점에 관련되는 제 3 레이어를 이용하여 제공되는 다단계 공격 그래프로 제공될 수 있다. 이에 따르면, 다양한 네트워크의 공격 그래프를 더 정확하게 제공하여 외부로부터의 공격경로를 정확하게 알 수 있다.
상기 악용 가능성의 분석은, 상기 각 레이어의 취약점(vulnerability)를 분석하여 제공될 수 있다. 이에 따르면, 더 정확하게 외부노드가 침입하는 경로 및 경로상의 취약성이 높은 노드를 알아낼 있다.
상기 셔플링 대상이 되는 노드의 선정은, 높은 자산 중요도를 가지는 노드로부터 시작하여 상기 공격 그래프를 역방향으로 추적하는 역방향 공격경로예측기법에 의해서 공격경로를 예측하는 것; 및 상기 공격경로에 포함되는 노드 중에서, 높은 자산 중요도를 가지는 노드를 선정하는 것이 포함된다. 이에 따르면, 공격 가능성이 높은 공격경로를 선택적으로 제공할 수 있기 때문에, 복잡도가 낮아지고 시스템의 자원을 더 효율적으로 사용할 수 있다.
상기 공격 경로는 어느 하나의 노드에 대하여 적어도 하나가 제공되도록 함으로써, 어느 하나의 노드는 공격 경로상에 포함될 수 있고, 어느 하나의 노드에 대하여 다수의 공격경로가 제공될 수 있다.
상기 자산 중요도는, 노드의 역할에 근거하는 역할 중요도로 평가될 수 있다. 이 경우에는, 노드의 역할에 근거하여 네트워크의 역할에 대응하여 침입자의 침입가능성이 높은 노드를 더 적극적으로 보호할 수 있다.
상기 자산 중요도는, 어느 노드가 인접하는 노드에 미치는 영향에 근거하는 영향 중요도로 평가될 수 있다. 이 경우에는, 노드의 역할 뿐만 아니라, 어느 노드가 네트워크의 다른 노드에 미치는 영향을 함께 고려하기 때문에, 노드의 자산 중요도가 더 정확하게 평가될 수 있다.
상기 새로운 주소는 SDN 환경에서 제공되는 가상 주소로 제공됨으로써, SDN환경에서 더 적응적으로 사용될 수 있다.
상기 가상 주소는 MAC 주소이고, 상기 MAC 주소를 할당하기 위하여, SDN 컨트롤러는 상기 MAC 주소가 포함되는 플로우 룰을 상기 셔플링 대상이 되는 노드와 대응되는 스위치로 전달할 수 있다. 이에 따르면, 셔플링 대상이 되는 노드의 가상 MAC 주소를 원활히 이용할 수 있다.
상기 가상 주소는 가상 IP 주소이고, 상기 가상 IP 주소를 할당하기 위하여, SDN 컨트롤러는, DNS서버로부터 셔플링 대상이 되는 노드의 실제 IP 주소를 입수하는 것; 및 상기 가상 IP 주소와 상기 실제 IP 주소가 매칭되는 플로우 룰을 셔플링되는 노드와 대응되는 스위치로 전달하는 것을 수행할 수 있다. 이에 따르면, 셔플링 대상이 되는 노드의 가상 IP 주소를 원활히 이용할 수 있다.
본 발명에 따르면, 위부공격에 대하여 취약하고, 네트워크의 기능에 있어서 중요한 노드를 집중적으로 방어하여 최대의 네트워크 시스템 효율을 얻어낼 수 있다.
본 발명은 취약한 경로 상의 네트워크 노드를 정확히 알아낼 수 있어서, 침입자로부터 시스템을 더욱 안정적으로 보호할 수 있다.
본 발명은 시스템의 부하에 대응할 수 있기 때문에, 사용자가 느끼는 서비스 품질의 저하가 없이 네트워크의 자원을 충분히 활용할 수 있다.
도 1은 실시예에 따른 네트워크 노드의 주소할당방법을 설명하는 흐름도.
도 2는 네트워크 토폴로지의 예를 보이는 도면.
도 3은 도 2의 네트워크에 대한 다단계 공격 그래프를 예시하는 도면.
도 4는 역방향 공격경로예측을 예시하는 도면.
도 5는 네트워크 각 노드의 사용자 특권 노출될 가능성, 역할 중요도, 및 영향 중요도를 보이는 도면.
도 6은 MAC 주소를 셔플링하는 것을 설명하는 도면.
도 7은 IP 주소를 셔플링하는 것을 설명하는 도면.
이하에서는 도면을 참조하여 본 발명의 구체적인 실시예를 상세하게 설명한다. 다만, 본 발명의 사상은 이하에 제시되는 실시예에 제한되지 아니하고, 본 발명의 사상을 이해하는 당업자는 동일한 사상의 범위 내에 포함되는 다른 실시예를 구성요소의 부가, 변경, 삭제, 및 추가 등에 의해서 용이하게 제안할 수 있을 것이나, 이 또한 본 발명 사상의 범위 내에 포함된다고 할 것이다.
도 1은 실시예에 따른 네트워크 노드의 주소할당방법을 설명하는 흐름도이다. 도 1을 참조하여 실시예에 따른 네트워크 노드의 주소할당방법을 간단히 설명한다.
도 1에 제시되는 실시예에 따르면, 네트워크 노드의 주소를 할당하기 위하여, 먼저 현재 시점에서 네트워크를 분석한다(S1).
상기 네트워크 노드의 주소를 할당하는 것은, 각 네트워크 노드에 기존에 할당되어 있는 주소를 셔플링(shuffling)하기 위한 것 일 수 있다.
상기 네트워크 분석을 통하여, 적어도 네트워크 토폴로지가 분석될 수 있다.
상기 노드에는, 워크 스테이션, 데이터 베이스 서버, 파이어월, 및 침입감지시스템(IDS:intrusion detection system) 등이 포함될 수 있다.
상기 노드에는, 컴퓨터, 및 IOT 기기 등이 포함될 수 있다. 상기 노드에는, MAC주소, IP주소, 및 포트주소 중에서 적어도 하나를 가지는 네트워크에 접속되는 모든 기기를 포함할 수 있다.
실시예에서, 상기 노드는 네트워크에서 주소가 할당되어 소정의 역할을 수행할 수 있는 기기로서, 네트워크 호스트를 바람직하게 지칭할 수 있다. 다만, 네트워크에 제공되어 주소를 가지는 모든 기기는 본 발명에서 말하는 노드에 포함될 수 있다.
상기 네트워크 토폴로지가 분석된 다음에는, 분석된 네트워크에 대한 다단계 공격 그래프를 제공할 수 있다(S2). 상기 공격 그래프(AG:Attack Graph)는, 침입자가 네트워크의 외부로부터 타겟팅하는 노드로 침입하는 경로를 정의할 수 있다.
상기 공격 그래프는 각 노드의 특징과 형태에 따라서, 공격의 단계 별로 구분되는 각 레이어에 대하여 개별적으로 서로 다른 방법으로 제작될 수 있다. 예를 들어, 세 레이어로 구분되어, 제 1 레이어는 네트워크 연결성(network connectivity), 제 2 레이어는 원격 취약점(remote vulnerability), 및 제 3 레이어는 지역 취약점(local vulnerability)으로 구분될 수 있다. 상기 각 레이어의 구체적인 작용에 대해서는 후술한다.
상기 다단계 공격 그래프가 제공됨으로써, 네트워크 상의 공격경로를 더 정확하게 알아낼 수 있다.
이후에는 각 공격 그래프의 악용 가능성(exploitability)를 분석한다(S3). 상기 악용 가능성의 분석은 상기 각 레이어별로 수행될 수 있다.
이후에는 셔플링 대상이 되는 노드를 적어도 하나 선정한다(S4). 상기 셔플링 대상 노드를 선정하기 위하여, 다음과 같은 판정 중의 적어도 하나가 구체적으로 수행될 수 있다.
첫째, 침입자가 외부에서 목표로 하는 노드로의 침입경로를 예측하는 것, 이때 예측방향은 역방향 공격 경로 예측(Backward attack path prediction)이 수행될 수 있다. 둘째, 다수의 노드 중에서 역할에 근거한 중요성(role-based criticality)이 큰 노드를 선정할 수 있다. 셋째, 다수의 노드 중에서 영향력에 근거한 중요성(influence-based criticality)이 큰 노드를 선정할 수 있다.
여기서 상기 셔플링 대상이 되는 노드는 네트워크 상에서 적어도 하나일 수 있다.
이후에, 셔플링 대상이 되는 노드에 주소를 할당할 수 있다(S5). 이때 상기 셔플링 대상이 되는 노드의 주소는, 원래 주소와는 다른 새로운 주소를 할당하는 것일 수 있다. 이때 상기 셔플링 대상이 되는 노드의 주소는 실제 주소(real address)는 변경이 없고, 가상 주소(virtual address)가 새로이 주어지거나 변경되는 것일 수 있다.
상기 네트워크 노드의 주소할당방법은, 일정의 주기로 계속해서 수행될 수 있다. 이에 따르면 노드의 추가 또는 삭제 등에 의해서 네트워크 토폴로지가 변경되더라도, 시스템의 지속적인 보안유지가 가능할 수 있다.
이하에서는 상기 네트워크 노드의 주소할당방법의 각 단계를 더 구체적으로 설명한다.
이미 설명한 바와 같이, 실시예에 따르는 네트워크 노드의 주소할당방법에서는 네트워크를 분석단계(S1)가 먼저 수행된다.
도 2는 예시로서 분석된 네트워크 토폴로지를 나타낸다.
도 2를 참조하면, 네트워크에는 워크 스테이션(2), 웹 서버(3), 및 DB서버(4)가 포함된다. 상기 워크 스테이션(2), 웹 서버(3), 및 DB서버(4)는, 스위치(11)(12)(13)(14)에 의해서 연결될 수 있다. 상기 네트워크에는, 파이어월(21)(22)이 제공되어, 외부에서 네트워크의 내부로 진입하는 것을 차단하거나(21이 수행), 중요한 노드, 예를 들어 DB서버(4)를 별도로 보호할 수 있다(22가 수행). 상기 네트워크에는 침입감지시스템(5)이 더 포함될 수 있다.
상기 네트워크로 침입자(1)가 공격하는 것을 가정할 수 있다.
상기 네트워크에는, SDN 컨트롤러(도 6, 도 7에 표시)가 더 제공될 수 있다. 상기 SDN 컨트롤로는 각 노드의 실제 IP주소와 실제 MAC주소와 실제 포트주소, 및 이에 대응하는 가상 IP주소와 가상 MAC주소와 가상 포트주소에 대한 정보를 가질 수 있다. 다른 노드들은 가상주소만을 알고 가상주소만을 사용하여 서로 통신할 수 있다. 물론, 스위치 등에는 플로우 룰을 이용하여 주소관련 정보를 전달해 둘 수 있다.
다음으로, 분석된 상기 네트워크에 대하여 다단계 공격 그래프를 제공한다(S2). 도 3은 도 2의 네트워크에 대한 다단계 공격 그래프를 예시한다.
침입자의 공격은 주로, 타겟의 취약점(vulnerability)을 분석하여 식별하는 것, 취약구성요소과 공격목표를 식별하는 것, 및 데이터 탈취의 순으로 이루어질 수 있다.
이와 같이, 침입자는 네트워크 노드의 취약점(vulnerability)를 통하여 네트워크로 침입한다. 상기 취약점은 외부의 침입에 대한 약점을 말하는 것으로서, 예시적으로 미국정부소유의 국립 취약점 데이터베이스(NVD:National Vulnerability DB)의 데이터 베이스를 활용할 수 있다 상기 국립 취약점 데이터베이스에서는, 정보보안 취약점 표준코드(CVE: Common Vulnerabilities & Exposures)에 따라서 평가된 정보보안 평가시스템(CVSS: Common Vulnerabilities Scoring system)을 공개한다.
상기 정보보안 평가시스템은, 상기 정보보안 취약점 표준코드에 따라서 각 노드를 평가하여 1 에서 10까지의 평가결과를 제공한다. 상기 평가결과는 해당하는 노드가 외부침입에 취약한 정도를 의미할 수 있다.
표 1은 도 1 및 도 2에 제시되는 네트워크의 평가결과를 예시한다.
Node(host) Vul. CVE ID Cause of vulnerability CVSS score
N1(h1) v1 CVE-2002-1644 Remote shell 6.5
v2 CVE-2007-5616 Privilege escalation 7.2
v3 CVE-2006-2421 Buffer overflow 6.5
v4 CVE-2007-5616 Privilege escalation 7.2
N2(h2) v5 CVE-2015-4108 Remote code exec. 6.8
v6 CVE-2018-9843 Remote code exec. 9.8
v7 CVE-2008-2384 SQL injection 7.5
v8 CVE-2017-6516 Privilege escalation 7.2
N3(h3) v9 CVE-2007-6304 Denial-of-Service(Dos) 5.0
v10 CVE-2008-3234 Remote shell 6.5
v11 CVE-2001-1180 Privilege escalation 7.2
상기 표 1을 참조하면, 상기 네트워크의 각 노드의 취약점이 상기 국립 취약점 데이터베이스에 근거하여 파악될 수 있다.
예시로서, 침입자는 상기 DB서버(4)(N3(h3))의 데이터를 탈취하기 위하여, CVE2001-1180의 취약점을 악용할 수 있다. 이는 네트워크 침입의 주된 공격은 데이터의 탈취 또는 조작이기 때문이다. 이하의 설명에서는 상기 DB서버(4)(N3(h3))를 공격하는 것으로 예시한다.
한편, 본 설명에서 N은 노드의 약자이고 h는 호스트의 약자를 의미한다.
상기 표 1에 제시되는 바와 같이, 각 노드는 적어도 하나 이상의 취약점을 가지고 있다. 침입자는 각 노드의 취약점을 최대한 조합하여, 목표에 이를 수 있다. 이를 위하여 실시예에서는 각 노드의 취약점을 다단계, 예시로서 세 단계로 구분한다.
각 단계는 레이어(계층)로 이루어질 수 있다.
더 구체적으로는, 상기 제 1 레이어(L1)는 네트워크 연결성(network connectivity)에 관한 레이어이다. 이 레이어는 네트워크 토폴로지(예를 들어, 파이어월 구성)에 의해서 결정될 수 있다. 상기 제 1 레이어는 정보의 접근가능성으로 판단될 수 있다. 예를 들어, 도 2 및 도 3을 참조하면, 워크스테이션(N1)(2)과 웹서버(N2)(3)는 외부노드(Hex)이고, DB서버(N3)(4)는 내부노트(Hin)로 구분할 수 있다.
여기서, 상기 외부노드는 침입자가 네트워크의 외부로부터 네트워크 내부로 진입하는 것 차단하는 제 1 파이어월(21)을 통하여 접근할 수 있다. 침입자는 상기 제 1 파이어월(21)을 통과한 다음에도 상기 내부노드로는 직접 접근할 수 없다. 상기 제 2 파이어월(22)를 통과하여야만 하기 때문이다. 즉, 침입자가 외부노드와 내부노드에 접근할 수 있는 가능성은 서로 다르다.
상기 제 2 레이어(L2)는 원격 취약점(remote vulnerability)에 관한 레이어이다. 이 레이어는, 네트워크 포함되는 노드에 직접 접속할 수 있도록, 원격 노드에 공개되어 있는 취약점을 지칭한다. 이 레이어에 포함되는 취약점은, 네트워크에 포함되지 않는 원격 노드가, 허가없이 악용될 수 있는 취약점을 의미한다. 예를 들어, 도 3 및 표 1을 참조하면, 워크스테이션(N1)(2)은 세 개의 취약점(v1, v2, 및 v3)을 가질 수 있다. 이때, 상기 세 개 취약점의 특징에 따라서 침입자가 통과하여야 하는 경로는 정해질 수 있다. 예를 들어, 취약점 v1을 성공적으로 악용한 침입자는 v2를 거쳐야지만 워크스테이션(N1)(2)의 사용자 특권(user privilege)를 얻을 수 있다.
상기 제 3 레이어(L3)는 지역 취약점(local vulnerability)에 관한 레이어이다. 이 레이어는 해당 취약점을 가지고 있는 노드의 내부에서만 공개되는 취약점이다. 따라서, 침입자는 먼저 목표로 하는 노드의 사용자 특권(user privilege)을 얻어야만, 해당 노드의 루트 취약점(root privilege)을 악용할 수 있다.
침입자는 각 취약점을 통하여 목표에 이를 수 있다. 침입자는 어느 공격경로를 통과하여 목표에 이를 수 있다. 침입자는 사전에 네트워크에 대한 지식이 없고, 균일하고 랜덤하게 다음 취약점을 이용하는 것으로 가정한다.
상기 다단계 공격 그래프가 제공됨으로써, 네트워크 상의 공격경로를 더 정확하게 알아낼 수 있다.
이후에는 각 공격 그래프의 악용 가능성(exploitability)의 분석단계(S3)가 수행된다.
각 공격 그래프의 악용 가능성은 상기 레이어 별로 수행될 수 있다.
먼저, 네트워크 연결성(network connectivity)에 대한 제 1 레이어의 악용 가능성에 대하여 설명한다.
상기 제 1 레이어의 악용 가능성은 수학식 1로 주어질 수 있다.
Figure 112019092439595-pat00001
여기서, Vr(h)는 네트워크로 접근할 수 있는 노드(h)의 취약점을 의미한다. 예시되는, 네트워크는 h1과 h2 두 개의 노드가 상기 외부노드(Hex)로서 제공될 수 있다. 결국 Sv(hi)는 외부에서 네트워크로 접근할 수 있는 노드(h)의 취약점의 합이 될 수 있다.
다음으로, 원격 취약점(remote vulnerability)에 대한 제 2 레이어의 악용 가능성에 대하여 설명한다.
먼저 특정 노드의 사용자 특권 악용가능성(user privilege exploitability)(PUE)는 수학식 2로 주어질 수 있다.
Figure 112019092439595-pat00002
여기서, APV(v, U(hj))는 취약점 v로부터 호스트 hj의 사용자 특권(user privilege)에 이르는 모든 가능 공격 경로에 존재하는 취약점 세트를 의미한다. Pe(u)는 상기 취약점 세트(APV(v, U(hj)))에 놓이는 취약점(u)의 악용가능성을 의미한다.
예를 들어, 도 3을 참조하면, 노드 h1는 원격으로 접근 가능한 v1, v2, 및 v3 세 개의 취약점을 가지고, 취약점의 악용 가능성 Pe(u)는 Pe(v1)Pe(v2)+Pe(v2)+Pe(v3)가 될 수 있다.
결국, 노드 hj의 사용자 특권(user privilege)이 성공적으로 노출될 가능성, PUC(hj)는 수학식 3과 같이 구하여질 수 있다.
Figure 112019092439595-pat00003
여기서,
Figure 112019092439595-pat00004
는 다음번 희생 노드 hj를 선택하는 노드 h의 가능성으로서, 1/Sv(h)로 주어질 수 있다.
상기 노드 hj의 사용자 특권(user privilege)이 성공적으로 노출될 가능성(PUC)은 예시되는 네트워크에 대하여 도 5에 제시되어 있다.
다음으로, 지역 취약점(local vulnerability)에 대한 제 3 레이어의 악용 가능성에 대하여 설명한다.
노드 hi의 루트 특권이 노출될 가능성 PR(hi)는 수학식 4로 주어질 수 있다.
Figure 112019092439595-pat00005
여기서, Vrt(hi)는 노드 hi의 루트 특권과 연관되는(associated) 취약점들의 세트이다. APV(v, R(hj))는 취약점 v로부터 노드 hj의 루트 특권에 이르는 모든 가능 공격 경로에 존재하는 취약점 세트를 의미한다.
수학식 3과 수학식 4에 각 가능성은 각 공격 단계별로 축적될 수 있다. 축적된 가능성(probability)은, 침입자가 최종 목표에 이를 수 있는 각 가능성을 지시할 수 있다.
이후에는 셔플링 대상이 되는 적어도 하나인 노드의 선정단계(S4)가 수행될 수 있다.
상기 셔플링 대상 노드를 선정하기 위하여, 첫째, 침입자가 목표로 하는 노드로의 침입경로를 예측하는 것이 필요하다. 이때 예측방향은 역방향 공격 경로 예측(Backward attack path prediction)이 수행될 수 있다.
상기 공격 경로의 예측방향을 알아내기 위하여, 우선 고려할 수 있는 것은 전사서치(brute-force search)이다. 그러나 전사서치는 가능한 모든 경우를 검색하는 것으로 많은 자원이 낭비되고, 복잡도(complecity)가 증가하는 문제가 있다.
이러한 문제를 감안하여, 실시예에서는 역방향 공격경로예측(BAP: Backward Attack Path prediction)기법을 적용할 수 있다. 상기 역방향 공격경로예측기법은, 공격 경로의 마지막 노드로부터 역방향으로 추적하고, 뿐만 아니라 높은 자산 중요도(Assset criticality)를 가지고 가장 취약한 노드를 찾는 기법이다.
도 4는 역방향 공격경로예측을 예시하는 도면이다.
도 4를 참조하여, 높은 자산 중요도를 가지는 노드 중에서 h9가 먼저 선정된다고 예를 든다. 상기 역방향 공격경로예측기법에 따르면, h9의 역방향으로, 사용자 특권(user privilege)이 성공적으로 노출될 가능성(PUC(hj))가 가장 큰 노드는 h6이다. 따라서, h9 이전 노드로는 h6이 선정될 수 있다. 여기서, 상기 h9는 높은 자산 중요도를 가지는 노드일 수 있다.
마찬가지 방법으로서, h6에 대하여 역방향 공격경로예측기법을 다시 적용하면, h4가 될 수 있다. h9에 대하여 전체적으로 예측된 공격 경로는, h2 -> h4 -> h6 -> h9가 될 수 있다.
상기 자산 중요도는 뒤에 더 상세하게 설명된다.
상기 역방향 공격경로예측기법에 의해서 예측되는 공격 경로는, 상기 자산 중요도가 일정한 수치(ρ) 이상인 노드에 대하여 수행될 수 있다.
상기 역방향 공격경로예측기법은 의해서 예측되는 공격 경로는, 상기 자산 중요도가 높은 어느 하나의 노드에 대하여 k개가 제공될 수 있다. 여기서 k개의 선정은, 상기 사용자 특권(user privilege)이 성공적으로 노출될 가능성(PUC(hj))의 합산이 큰 경로를 선정할 수 있다. 바람직하게, 상기 k는 1로 설정될 수 있다.
결국, 역방향 공격예측기법에 의해서 발생할 수 있는 공격 경로는, 상기 자산 중요도의 임계치, 및 공격 경로의 개수 설정에 대응하여 다수 개가 제공될 수 있다.
상기 자산 중요도에 대하여 설명한다.
먼저, 자산 중요도는, 네트워크 노드 중에서 중요도가 큰 정도를 의미할 수 있다. 상기 자산 중요도를 나타내기 위한 한 방법으로서, 실시예는 다수의 노드 중에서 역할에 근거한 중요성(role-based criticality)이 큰 노드를 선정할 수 있다. 즉 특정 노드의 역할이, 네트워크의 역할에 비추어 중요한 경우에 이를 자산 중요도가 높은 노드로 선정할 수 있다.
상기 역할에 근거한 중요성을 예를 들어 설명한다. 네트워크가 클라우드 데이터 센터의 경우에는, 다른 가상머신(VM: Virtual Machine)보다는 DB 서버의 자산 중요도가 높은 것으로 판단할 수 있다. 이를 반영하여, 도 5에서는 다른 노드 중에서, DB서버에 해당하는 h8, h9, h10의 중요도를 각각 8, 10, 6으로 설정할 수 있다.
상기 자산 중요도(Asset Criticality)를 상기 역할 중요도(RC: Role Criticality)를 매트릭스로 예시한 내용이 도 5에 도시되어 있다.
상기 자산 중요도를 상기 역할 중요도로 나타내는 경우에는, 특정 노드가 다른 노드에 미치는 영향이 무시될 수 있다. 예를 들어, 특정 노드는 상기 역할 중요도가 낮더라도 많은 노드의 공격 경로에 참여할 수 있다. 이 경우에는 상기 특정 노드는 다른 노드에 미치는 영향이 큼에도 불구하고 무시될수 있다.
이와 같은 문제를 개선하기 위하여, 다수의 노드 중에서 영향력에 근거한 중요성(influence-based criticality)이 큰 노드를 자산 중요도가 높은 노드로 선정할 수 있다. 상기 영향력은 어느 노드가 인접하는 노드에 미치는 영향이 큰 정도를 의미한다고 할 수 있다. 이를 영향 중요도(IC: Influence criticality)로 정의하고, 수학식 5로 나타낼 수 있다.
Figure 112019092439595-pat00006
여기서, IC는 상기 영향 중요도를 의미하고, RC는 역할 중요도를 의미하고, PR은 수학식 4에 제시되는 노드 hi의 루트 특권이 노출될 가능성이다.
상기 영향 중요도는 상기 역할 중요도가 고려된 값이라는 것을 알 수 있다.
도 4 및 도 5의 경우에 상기 영향 중요도가 각각 계산될 수 있다. 예를 들어, ICh2는 3.9로서 다른 노드에 비하여 높게 산출되는 것을 알 수 있다. 이는 h2 노드는 두 개의 경로가 지나가기 때문이다.
셔플링 대상이 되는 노드는 상기 역할 중요도 및 상기 영향 중요도를 근거하여 선정될 수 있다.
수학식 6은 상기 역할 중요도를 근거로 하여 셔플링 대상이 되는 노드를 선정하는 것을 보인다.
Figure 112019092439595-pat00007
여기서, FRC는 주어진 네트워크의 모든 노드에 대하여 수행될 때 1이 된다. AG는 상기 역방향 예측경로기법에 의해서 결정된 노드 들의 세트이다. RC는 역할 중요도를 나타낸다.
Figure 112019092439595-pat00008
여기서, FRC는 주어진 네트워크의 모든 노드에 대하여 수행될 때 1이 된다. AG는 상기 역방향 예측경로기법에 의해서 결정된 노드 들의 세트이다. IC는 영향 중요도를 나타낸다.
상기 수학식 6 또는 상기 수학식 7에 따르면, 소정의 시간 Ts를 주기로, 적어도 하나의 노드는, 네트워크를 셔플하는 셔플링 대상 노드로 선정될 수 있다. 상기 역할 중요도 또는 상기 영향 중요도가 높은 노드가 선정될 수 있다.
이 경우에, 상기 영향 중요도는, 상기 역할 중요도에 비하여 더 많은 요인을 포함하고 넓은 의미의 자산 중요도를 평가하는 값이라는 것을 알 수 있다.
이후에, 셔플링 대상이 되는 노드의 주소를 할당할 수 있다(S5).
셔플링 대상이 되는 노드의 주소가 재할당됨으로써, 네트워크의 전체 구성이 셔플될 수 있다. 이때 상기 셔플링 대상이 되는 노드의 주소는, 원래 주소와는 다른 새로운 주소를 재할당하는 것일 수 있다. 이때, SDN의 환경에서, 상기 셔플링 대상이 되는 노드의 주소는, SDN컨트롤러에 의해서, 실제 주소(real address)는 변경이 없고, 가상 주소(virtual address)가 변경되는 것일 수 있다.
셔플리 대상이 되는 노드의 주소로는, IP주소, MAC주소, 및 포트주소 중의 어느 하나가 포함될 수 있다.
도 6은 MAC 주소를 셔플링하는 것을 설명하는 도면이다.
도 6을 참조하면, 노드 A가 ARP(Address Resolution Protocol)를 이용하여 노드 B의 MAC 주소를 요청한다. 상기 요청에 따라서, SDN 컨트롤러는 노드 B로부터 실제 MAC 주소를 제공 받는다. 이때, 상기 SDN 컨트롤러는 노드 B의 MAC 주소를 모르는 경우일 수 있다.
상기 노드 B의 실제 MAC 주소를 받은 SDN 컨트롤러는, 상기 노드 B의 실제MAC 주소와 셔플링된 가상 MAC 주소를 매칭할 수 있다.
이후에, 상기 SDN 컨트롤러는, 매칭된 주소를 이용하여 SDN의 규칙에 따른 플로우 룰(flow rule)을 새로이 작정하고, 노드 B와 대응되는 스위치 2에 수정된 플로우 룰을 전달할 수 있다. 상기 SDN 컨트롤러는, 노드 A로는 노드 B의 가상 MAC주소를 전달할 수 있다. 상기 수정된 플로우 룰에는 실제 MAC 주소와 가상 MAC 주소가 매칭되어 있을 수 있다.
이후에, 상기 노드 A는 직접 노드 B로 패킷을 보낼 수 있다. 이때 상기 노드 B의 주소는, 수정된 플로우 룰에 따라서, 가상 MAC 주소로서 식별될 수 있다.
셔플링 대상이 되는 노드가 노드 B인 경우에 도 6에 제시되는 방법에 따라서, 새로운 가상 MAC 주소가 할당될 수 있다.
도 7은 IP 주소를 셔플링하는 것을 설명하는 도면이다.
도 7을 참조하면, 노드 A가 노드 B의 IP 주소를 요청한다. 상기 요청에 따라서, SDN 컨트롤러는 DNS서버(Domain Nmae Server)로부터 노드 B의 실제 IP 주소를 제공 받는다.
상기 노드 B의 실제 IP 주소를 받은 SDN 컨트롤러는, 상기 노드 B의 실제 IP 주소와 셔플링된 가상 IP 주소를 매칭할 수 있다.
이후에, 상기 SDN 컨트롤러는, SDN의 규칙에 따른 플로우 룰(flow rule)을 수정하고, 노드 B에 연결되는 스위치 2에는 수정된 플로우 룰을 전달하고, 노드 A로는 노드 B의 가상 IP주소를 전달할 수 있다. 상기 수정된 플로우 룰에는 실제 IP 주소와 가상 IP 주소가 매칭되어 있을 수 있다.
이후에, 상기 노드 A는 직접 노드 B로 패킷을 보낼 수 있다. 이때 상기 노드 B의 주소는, 수정된 플로우 룰에 따라서, 가상 IP 주소로써 식별될 수 있다.
셔플링 대상이 되는 노드가 노드 B인 경우에 도 7에 제시되는 방법에 따라서, 새로운 가상 IP 주소가 할당될 수 있다.
실시예에 따르면, 네트워크의 각 노드를 사전에 분석하여 능동적으로 시스템을 보호할 수 있고, 새로운 노드가 추가되더라 지속적으로 시스템의 보안성능을 높일 수 있고, 종래 파이어월 및 IDS기술과 함께 중복하여 사용되어 보안효율을 더욱 높일 수 있는 장점이 있다.
본 발명은, 기업의 데이터 센터망, 클라우드 서비스를 제공하려는 기업 망, 및 캠퍼스 네트워크에 적용될 수 있다. 특히, 다양한 기존의 SDN 기반의 네트워크 망에 적용됨으로써 보안성을 높일 수 있을 것으로 기대된다.
2: 워크 스테이션
3: 웹 서버
4: DB 서버
21, 22: 파이어월

Claims (11)

  1. 네트워크에 대하여 공격 그래프를 제공하는 것;
    상기 공격 그래프의 악용가능성(explotability)를 분석하는 것; 및
    네트워크에 포함되는 노드 중에서 셔플링 대상이 되는 노드를 선정하여, 셔플링 대상이 되는 노드에 새로운 주소를 할당하는 것이 포함되고,
    상기 셔플링 대상이 되는 노드의 선정은,
    높은 자산 중요도를 가지는 노드로부터 시작하여 상기 공격 그래프를 역방향으로 추적하는 역방향 공격경로예측기법에 의해서 공격경로를 예측하는 것; 및
    상기 공격경로에 포함되는 노드 중에서, 높은 자산 중요도를 가지는 노드를 선정하는 것이 포함되고,
    상기 역방향 공격경로예측기법은, 상기 공격경로의 마지막 노드로부터 역방향으로 추적하는 네트워크 노드의 주소할당방법.
  2. 제 1 항에 있어서,
    상기 공격 그래프를 분석하는 것, 상기 악용가능성을 분석하는 것, 및 셔플링 대상 노드를 선정하여 새로운 주소를 할당하는 것은,
    소정의 주기로 반복되는 네트워크 노드의 주소할당방법.
  3. 제 1 항에 있어서,
    상기 공격 그래프는,
    네트워크 토폴로지와 관련되는 네트워크 연결성에 관련되는 제 1 레이어;
    상기 네트워크 외부의 원격 노드에 공개되는 취약점(vulnerability)에 관련되는 제 2 레이어; 및
    상기 원격 노드에 공개되지 않고, 상기 네트워크 내부의 내부 노드에 대해서만 공개되는 취약점에 관련되는 제 3 레이어를 이용하여 제공되는
    다단계 공격 그래프인, 네트워크 노드의 주소할당방법.
  4. 제 3 항에 있어서,
    상기 악용 가능성의 분석은,
    상기 각 레이어의 취약점(vulnerability)를 분석하여 제공되는 네트워크 노드의 주소할당방법.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 공격 경로는 어느 하나의 노드에 대하여 적어도 하나가 제공되는 네트워크 노드의 주소할당방법.
  7. 제 1 항에 있어서,
    상기 자산 중요도는, 노드의 역할에 근거하는 역할 중요도인 네트워크 노드의 주소할당방법.
  8. 제 1 항에 있어서,
    상기 자산 중요도는, 어느 노드가 인접하는 노드에 미치는 영향에 근거하는 영향 중요도인 네트워크 노드의 주소할당방법.
  9. 제 1 항에 있어서,
    상기 새로운 주소는 SDN 환경에서 제공되는 가상 주소인 네트워크 노드의 주소할당방법.
  10. 제 9 항에 있어서,
    상기 가상 주소는 MAC 주소이고, 상기 MAC 주소를 할당하기 위하여,
    SDN 컨트롤러는 상기 MAC 주소가 포함되는 플로우 룰을 상기 셔플링 대상이 되는 노드와 대응되는 스위치로 전달하는 네트워크 노드의 주소할당방법.
  11. 제 9 항에 있어서,
    상기 가상 주소는 가상 IP 주소이고, 상기 가상 IP 주소를 할당하기 위하여,
    SDN 컨트롤러는,
    DNS서버로부터 셔플링 대상이 되는 노드의 실제 IP 주소를 입수하는 것; 및
    상기 가상 IP 주소와 상기 실제 IP 주소가 매칭되는 플로우 룰을 셔플링되는 노드와 대응되는 스위치로 전달하는 것을 수행하는 네트워크 노드의 주소할당방법.
KR1020190111276A 2019-09-09 2019-09-09 네트워크 노드의 주소할당방법 KR102212316B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020190111276A KR102212316B1 (ko) 2019-09-09 2019-09-09 네트워크 노드의 주소할당방법
PCT/KR2020/011725 WO2021049806A1 (ko) 2019-09-09 2020-09-01 네트워크 노드의 주소할당방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190111276A KR102212316B1 (ko) 2019-09-09 2019-09-09 네트워크 노드의 주소할당방법

Publications (1)

Publication Number Publication Date
KR102212316B1 true KR102212316B1 (ko) 2021-02-05

Family

ID=74558790

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190111276A KR102212316B1 (ko) 2019-09-09 2019-09-09 네트워크 노드의 주소할당방법

Country Status (2)

Country Link
KR (1) KR102212316B1 (ko)
WO (1) WO2021049806A1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
D. C. MacFarland et al.,"The SDN shuffle: Creating a moving-target defense using host-based software-defined networking," in ACM Workshop on Moving Target Defense, 2015, pp. 37-41
Sailik Sengupta et al., "A Survey of Moving Target Defenses for Network Security" (2019.05.02.)* *

Also Published As

Publication number Publication date
WO2021049806A1 (ko) 2021-03-18

Similar Documents

Publication Publication Date Title
US10764320B2 (en) Structuring data and pre-compiled exception list engines and internet protocol threat prevention
US10097577B2 (en) Predicting and preventing an attacker's next actions in a breached network
Prokofiev et al. A method to detect Internet of Things botnets
Yoon et al. Attack graph-based moving target defense in software-defined networks
US9160761B2 (en) Selection of a countermeasure
US8561188B1 (en) Command and control channel detection with query string signature
US20150052520A1 (en) Method and apparatus for virtual machine trust isolation in a cloud environment
US10135785B2 (en) Network security system to intercept inline domain name system requests
Clark et al. A game-theoretic approach to IP address randomization in decoy-based cyber defense
US11290484B2 (en) Bot characteristic detection method and apparatus
Wang et al. Random domain name and address mutation (RDAM) for thwarting reconnaissance attacks
Satheesh et al. Certain improvements to Location aided packet marking and DDoS attacks in internet
Kesavamoorthy et al. Classification of DDoS attacks–A survey
Prasad et al. Defending arp spoofing-based mitm attack using machine learning and device profiling
CN111865876B (zh) 网络的访问控制方法和设备
KR102212316B1 (ko) 네트워크 노드의 주소할당방법
Baumeister et al. Using randomized routing to counter routing table insertion attack on Freenet
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
KR101812732B1 (ko) 보안 장치 및 이의 동작 방법
KR102184757B1 (ko) 네트워크 은닉 시스템 및 방법
Atiyah et al. A traffic tracking algorithm for a fast detection of active network sources
KR100419472B1 (ko) 침입통제시스템
Ingle et al. NIDSV: Network based Intrusion Detection and counter-measure excerption in virtual environment using AODV protocol
Kumar et al. Malicious Lateral Movement in 5G Core With Network Slicing And Its Detection
Chin A Reputation Score Driven E-Mail Mitigation System

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant