View : 998 Download: 0

Availability Protection Mechanisms for Network Resources on Ubiquitous Environment

Title
Availability Protection Mechanisms for Network Resources on Ubiquitous Environment
Other Titles
유비쿼터스 환경에서 네트워크 자원에 대한 가용성 보호 메커니즘
Authors
김미희
Issue Date
2007
Department/Major
대학원 컴퓨터학과
Publisher
이화여자대학교 대학원
Degree
Doctor
Abstract
With the increase of recent national support and worldwide interest for ubiquitous environment, its importance is highlighted. Due to the characteristics of ubiquitous network, security researches show up as a core factor for successfully realization. On the other hand, as the serious damage on wired networks caused by DoS(Denial of Service )/DDoS(Distributed DoS) attacks increases and the first DDoS attack tool toward mobile phones emerges, the availability protection importance for network resources grows larger not only at wired network but also at mobile network. However, the conventional researches are insufficient except them on wired network, the direct application of the existing mechanisms on wired network to other networks is improper, and especially the availability protection research on converged network is wholly lacking. In this thesis, we select broadband wired network, mobile network and sensor network as representative networks on ubiquitous environment, propose the proper availability protection mechanisms on each network through analyzing the characteristics of each network and the vulnerabilities of existing mechanisms. Moreover, we present the converged defense architecture with the parts working in coordination of each defense system on converged environment. We summarize our results as follows: Firstly, we propose a fast detection and identification mechanism of attack agents by monitoring addresses and their change rate, in order to minimize the damage of attack as a source side approach. The experiments results on real networks show that our mechanism provides the speedy detection and exact identification. As another defense mechanism, we present a detection architecture against DDoS attack using combined data mining for selecting important attributes and modeling traffic patterns. It generates traffic models using NetFlow that provides flow information, because DDoS attacks mostly increase the number of flows within a short time. Thus the proposed architecture makes it possible to monitor broadband traffic at middle routers with the traffic models for the real-time detection. Furthermore, various experiments with attack tools and traffic on real network show that our architecture can provide the outstanding performance against existing attacks and the detection possibility against the novel attacks. Secondly, we analyze the most conspicuous characteristics for DDoS attacks on mobile network, wireless environment and the movement possibility of attack agents, and propose a proactive defense with due regard to them. It includes the detection and identification method in our mechanism for wired network, and adds the layer2 isolation of attack packets and notification to moving possible neighbors for attack agents. Through simulation, we analyze the influence on attack and prove the possibility of a speedy and proactive defense. Especially, the results show that layer2 isolation decreases the effect of attack, and notification minimizes the damage of attack by mobile nodes. Thirdly, at first we introduce a key management on hierarchical sensor network as one of basic security mechanisms. Using multiple regression, the management nodes need not store keys except them for re-distribution, and can calculate them easily using key information from nodes, as needed. To overcome the weakness of centralized management, the role of key management is partially distributed to aggregators as well as a sink. The proposed scheme is based on the key pre-distribution, but provides the key re-distribution method for key freshness, node redeployment, and node movement. With communication/computation/memory overhead analysis, we show that the proposed scheme can be applied efficiently in hierarchical sensor network compared with other key managements. Also, security analysis exhibits the good performance from the resilience against node capture and implementation results shows realization possibility. On sensor networks with this key management, we also propose a tiny detection mechanism against DDoS attack. Taking account of the low capacity and energy of nodes, and lots of nodes, it provides low processing by approximate entropy estimator using key information, and supports the scalability. Also we consider the mobility of nodes, thus it provides the overlapped detection method. Our simulation results indicate that this hierarchical defense is a feasible method against not only concentrated attack agents but distributed attack agents, being especially promising for accurate decision through overlapped detection even in frequent handoffs of mobile attack agents. Lastly, on converged environment, we analyze the possibility of various converged attacks, which victims and attack agents are located at the different networks, thus we present a capacity-aware defense architecture using overlay, interconnecting defense systems at each network. It provides the speedy notification of attack detection to nodes of other networks in the converged attack case as well as an uppermost defense system, and the detour of the normal packets for the minimization of damage before fundamentally excluding attack agents. Various simulation results indicate the speedy detection notification and the decrease of influence on normal traffic for attack, as we pursue.;유비쿼터스 환경에 대한 국가적 지원이 증대 되고, 전세계적인 관심이 증가하면서 그 중요성이 더욱 부각되고 있다. 이러한 유비쿼터스 네트워크의 특성상 보안에 대한 연구는 성공적인 실현을 위한 핵심 요소로 등장하고 있다. 한편 유선 네트워크에서의 분산 서비스거부 공격에 대한 피해사례가 증가하고 핸드폰에 대한 공격 툴이 출현하면서, 유선 네트워크뿐만 아니라 이동 네트워크에서도 네트워크 자원에 대한 가용성 보호 연구의 중요성이 증대되었다. 그러나 이에 대한 대부분의 연구는 유선 네트워크를 제외하고는 미비한 실정이고, 유선 네트워크에서 제안된 방법을 다른 네트워크에 직접적으로 적용하기에 부적합하며, 특히 통합 네트워크를 위한 가용성 보호 연구는 전무한 상태이다. 본 논문에서는 유비쿼터스 환경을 구성하는 대표적 네트워크로서 광대역 유선 네트워크, 이동 네트워크, 센서 네트워크로 선정하고, 이러한 네트워크의 특징과 기존 메커니즘의 취약성 분석을 통해 각 네트워크에 적합한 가용성 보호 방법을 제시하였다. 또한 이들 네트워크로 통합 환경이 구성되었을 때, 각 대응 시스템 간의 유기적인 협동을 통해 성공적인 보안 운영·관리를 가능하게 해 주는 통합 대응 구조를 제안하였다. 본 논문의 연구 결과를 요약하면 다음과 같다. 첫째, 광대역 유선 네트워크에서는 공격의 피해를 최소화 하고자 공격 에이전트의 근원지 네트워크에서 분산 에이전트를 통해 패킷의 주소 정보와 그 변화율 감시를 통한 빠른 탐지 방법과 공격 에이전트 추적 메커니즘을 제안하였다. 이 메커니즘의 구현과 실제 네트워크에서의 실험을 통해 높은 탐지율과 추적의 정확성을 입증할 수 있었다. 또 하나의 메커니즘으로 트래픽 모델링을 통해 중간 라우터에서 광대역 트래픽 감시를 가능하게 하는 결합된 데이터 마이닝 기법을 제안하였다. 서비스거부 공격의 특징 중에 하나인 플로우 수의 급격한 증가에 대비하여, 많은 전처리 과정 없이 플로우 기반의 통계 정보를 제공하는 NetFlow를 이용하여 데이터를 수집하고, 모델링에 중요한 속성 추출과 트래픽 모델링을 위하여 이에 적합한 두 데이터 마이닝 기법을 결합하여 사용하였다. 이 방법 또한 실제 네트워크의 트래픽과 공격 툴의 실험을 통해 최신의 분산 서비스거부 공격 유형을 잘 분류해 내고, 기존 공격의 변형이나 새로운 공격에도 탐지 가능함을 보여 주었다. 둘째, 이동 네트워크에서는 공격자도 이동할 수 있다는 가능성과 무선 환경이라는 두 가지 특징에 대비하여 분산 서비스거부 공격에 대비한 선대응 메커니즘을 제안하였다. 이는 유선 네트워크에서 제안한 탐지 및 추적 방법을 포함하여, 2계층에서의 공격 패킷 차단 및 이동 노드에 의한 공격을 탐지 시, 그 노드가 이동 가능한 지역의 이웃 라우터에게 공지하는 과정을 포함한다. 시뮬레이션을 통해 공격의 영향을 분석하고, 제안한 메커니즘의 빠른 선대응에 대한 가능성을 입증하였다. 특히 2계층 패킷 차단에 의해 공격의 영향이 확연히 줄었고, 공지에 의해 이동 노드에 의한 공격의 영향을 최소화 할 수 있음을 보여 주었다. 셋째, 센서 네트워크에서는 우선 기본 보안 메커니즘 중에 하나인 키 관리 메커니즘을 제안하였다. 이는 다중 회귀 모델을 이용하여 키 관리 노드가 전혀 키를 저장하지 않고, 노드에서 제공하는 키 정보를 이용하여 키를 계산하는 새로운 구조의 방법으로써, 키 관리 역할의 일부를 분산시켜 중앙 키 관리 노드의 위협을 줄이는 구조이다. 또한 제안된 키 관리는 키 선분배를 기본으로 키의 신규성 제공 및 노드의 재분배, 이동에 대비한 키의 재분배 방법을 제공한다. 통신·계산·메모리 오버헤드 분석을 통해 본 메커니즘의 우수성을 보였고, 보안 분석을 통해 노드 캡쳐에 높은 저항성을 보였으며, 구현을 통한 다양한 실험으로 그 실현 가능성을 입증하였다. 또 하나의 연구 결과로서 제안된 키 관리를 기본으로 네트워크를 구성하였을 때 분산 서비스거부 공격에 대응할 수 있는 경량화된 탐지 메커니즘을 제안하였다. 이 탐지 메커니즘은 노드의 낮은 처리 성능과 에너지를 고려하여 대응 처리의 경량화를 위해 키 관리에 사용되는 키 정보를 이용한 유사 엔트로피 계산에 의한 공격 탐지를 수행하고, 많은 노드 수를 고려하여 범위성을 지원하며, 이동 노드를 고려하여 오버랩 탐지 방법을 포함하고 있다. 시뮬레이션 결과는 본 탐지 메커니즘이 공격자의 잦은 이동에도 정확한 탐지가 가능한 방법임을 보여 주었다. 또한 공격 에이전트들의 구성이 분산 또는 집중되어도, 또는 이동에 의한 공격에도 높은 탐지율을 제공함을 입증하였다. 마지막으로 각 네트워크가 통합된 환경에서 공격자와 피해자 노드가 다른 네트워크에 존재하는 통합 공격의 가능성을 분석하고, 탐지 노드의 다양한 처리 능력을 고려하여 각 네트워크의 대응 시스템을 연결시켜 줄 수 있는 오버레이를 이용한 통합 대응 구조를 제안하였다. 이 대응 구조는 공격 에이전트를 완전히 차단하기 전까지 정상 트래픽을 피해 지역을 우회시킴으로써 공격의 영향을 최소화 시키고, 탐지 공지 메시지와 같은 제어 트래픽을 우회시켜 빠른 대응을 가능하게 하며, 필요 시 타 네트워크의 대응 시스템으로 탐지에 대한 정보를 전달할 수 있는 우회 경로를 제공해 준다. 이는 다양한 환경에서의 시뮬레이션을 통해 목적했던 탐지 메시지의 빠른 전달과 정상 트래픽에 대한 공격 피해의 감소를 증명하였다.
Fulltext
Show the fulltext
Appears in Collections:
일반대학원 > 컴퓨터공학과 > Theses_Ph.D
Files in This Item:
There are no files associated with this item.
Export
RIS (EndNote)
XLS (Excel)
XML


qrcode

BROWSE