리눅스 넷필터 기반의 인터넷 웜 탐지에서 버퍼를 이용하지 않는 빠른 스트링 매칭 방법

서지반출

기타언어초록

전 세계적으로 큰 피해를 주는 웜을 탐지하고 필터링 하는 것은 인터넷 보안에서 큰 이슈중의 하나이다. 웜을 탐지하는 하나의 방법으로서 리눅스 넷필터 커널 모듈이 사용된다. 웜을 탐지하는 기본 동작으로서 스트링 매칭은 네트웍 상으로 들어오는 패킷을 미리 정의된 웜 시그니쳐(Signature, 패턴)와 비교하는 것이다. 웜은 하나의 패킷 혹은 2개(혹은 그 이상의) 연속된 패킷에 나타난다. 이때, 웜의 일부분은 첫 번째 패킷에 있고 나머지 부분은 연속된 패킷 안에 있다. 웜 패턴의 최대 길이가 1024 바이트를 넘지 않는다고 가정하면, 2048 바이트의 길이를 가지는 2개의 연속된 패킷에 대해서 스트링 매칭을 수행해야만 한다. 이렇게 하기 위해, 리눅스 넷필터는 버퍼에 이전 패킷을 저장하고 버퍼링된 패킷과 현재의 패킷을 조합한 2048 바이트 크기의 스트링에 대해 매칭을 수행한다. 웜 탐지 시스템에서 다루어야 하는 동시 연결 개수의 수가 늘어날수록 버퍼(메모리)의 총 크기가 증가하고 스트링 매칭 속도가 감소하게 된다. 이에 본 논문에서는 메모리 버퍼 크기를 줄이고 스트링 매칭의 속도를 증가시키는 버퍼를 이용하지 않는 스트링 매칭 방식을 제안한다. 제안된 방식은 이전 패킷과 시그니쳐(Signature)의 부분 매칭 결과만을 저장하고 이전 패킷을 버퍼링하지 않는다. 부분 매칭 정보는 연속된 패킷에서 웜을 탐지하는데 사용된다. 제안된 방식은 리눅스 넷필터 모듈을 수정하여 구현하였고, 기존 리눅스 넷필터 모듈과 비교하였다. 실험 결과는 기존 방식에 비해 25%의 적은 메모리 사용량 및 54%의 속도 향상을 가짐을 확인하였다.5%의 차이가 발생한다.에서 가장 큰 효과를 나타냈다.alpha}-amylase$</TEX> 활성을 고려한 적정 종자수분 함량은 단옥수수는 15%, 초당옥수수는 12%이었다.미관련(食味關聯) 미질특성(米質特性)을 이용한 토요식미치 추정(推定) 중회귀식(重回歸式)에 채택(採擇)된 주요 특성은 단백질함량, 알칼리붕괴도 및 최저점도(最低粘度)였으며 결정계수(決定係數)로 보아 약 49%의 적중율(的中率)을 나타내었다. 생물학적 기능의 상관관계를 이해하는데 활용될 수 있을 것이다.V는 앞으로 바이러스와 기주의 다양한 상호관계를 이해하는데 있어서 중요한 병원학적 성질을 가지고 있는 것으로 생각되었다.>$300^{circ}C$</TEX> 이하, 공정압력 1 Torr, 그리고 bias전압과 기체 혼합비를 변화시키면서 증착하였다. 증착시 in-situ OES 분석결과 플라즈마 내의 질소종의 함유량 변화에 따라 증착속도가 크게 변화됨을 알 수 있었고, 많은 질소기체를 인입하면 질소종이 많아지지만 증착률은 급격히 감소하였고 박막내 탄소의 함량이 커지면서 막질이 비정질로 바뀌고 미세경도 또한 감소함을 알 수 있었다. 이는 in-situ 플라즈마 진단분석이 전체 PEMOCVD 공정에 있어서 대단히 중요하고, Ti(C,N)과 Hf(C,N) 코팅막의 탄소함량과 미세경도는 플라즈마내의 CH과 CN radical종의 세기에 크게 의존함을 의미한다. 그리고 Hf(C,N) 박막의 경우도 Ti(C,N) 박막의 경우와 유사하게 최대 미세경도값$(2460;Hk_{0.025})$이 -600 V bias 전압과 10% 질소기체 혼합비를 사용한 경

기타언어초록

As internet worms are spread out worldwide, the detection and filtering of worms becomes one of hot issues in the internet security. As one of implementation methods to detect worms, the Linux Netfilter kernel module can be used. Its basic operation for worm detection is a string matching where coming packet(s) on the network is/are compared with predefined worm signatures(patterns). A worm can appear in a packet or in two (or more) succeeding packets where some part of worm is in the first packet and its remaining part is in its succeeding packet(s). Assuming that the maximum length of a worm pattern is less than 1024 bytes, we need to perform a string matching up to two succeeding packets of 2048 bytes. To do so, Linux Netfilter keeps the previous packet in buffer and performs matching with a combined 2048 byte string of the buffered packet and current packet. As the number of concurrent connections to be handled in the worm detection system increases, the total size of buffer (memory) increases and string matching speed becomes low In this paper, to reduce the memory buffer size and get higher speed of string matching, we propose a string matching scheme without using buffer. The proposed scheme keeps the partial matching result of the previous packet with signatures and has no buffering for previous packet. The partial matching information is used to detect a worm in the two succeeding packets. We implemented the proposed scheme by modifying the Linux Netfilter. Then we compared the modified Linux Netfilter module with the original Linux Netfilter module. Experimental results show that the proposed scheme has 25% lower memory usage and 54% higher speed compared to the original scheme.

키워드

인터넷 웜 리눅스 넷필터 스트링 매칭 버퍼(메모리)속도 Internet Worm Linux Netfilter String Matching Buffer(Memory)Speed

다운URL