Journal of the Korea Society for Simulation (한국시뮬레이션학회논문지)

The Korea Society for Simulation (한국시뮬레이션학회)
권호 표지
DOI QR코드

DOI QR Code

A Method for Quantifying the Risk of Network Port Scan

네트워크 포트스캔의 위험에 대한 정량화 방법

  • 박성철 (동국대학교 컴퓨터공학과) ;
  • 김준태 (동국대학교 컴퓨터공학과)
  • Received : 2012.08.23
  • Accepted : 2012.12.18
  • Published : 2012.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Network port scan attack is the method for finding ports opening in a local network. Most existing IDSs(intrusion detection system) record the number of packets sent to a system per unit time. If port scan count from a source IP address is higher than certain threshold, it is regarded as a port scan attack. The degree of risk about source IP address performing network port scan attack depends on attack count recorded by IDS. However, the measurement of risk based on the attack count may reduce port scan detection rates due to the increased false negative for slow port scan. This paper proposes a method of summarizing 4 types of information to differentiate network port scan attack more precisely and comprehensively. To integrate the riskiness, we present a risk index that quantifies the risk of port scan attack by using PCA. The proposed detection method using risk index shows superior performance than Snort for the detection of network port scan.

네트워크 포트스캔 공격은 내부 네트워크에 있는 시스템에서 열려 있는 포트를 알아내기 위한 방법이다. 기존 대부분의 침입탐지시스템(Intrusion Detection System; IDS)들은 단위 시간당 시스템 또는 네트워크에 몇 번의 패킷을 보냈는지의 횟수를 기록하여 전송한 패킷의 횟수가 임계치보다 높은 소스 인터넷 주소(source IP address)에 대해서 포트스캔 공격이 수행되었다고 간주하였다. 즉, 네트워크 포트스캔 공격을 수행한 소스 인터넷 주소에 대한 위험 정도는 IDS들이 기록한 포트스캔 공격횟수에 의존하였다. 그러나 단순히 포트스캔 공격 횟수에 기반을 둔 위험성의 측정은 느린 포트스캔 공격에 대해 거짓 부정(false negative)이 높아져 포트스캔 탐지율이 낮아진다는 문제가 있다. 본 연구에서는 네트워크 포트스캔 공격에 대해 좀 더 정확하고 포괄적인 구분을 하기 위해 4가지 형태의 정보를 요약한다. 포트스캔 공격에 대한 위험성을 집약적으로 나타내기 위하여 주성분분석(principal component analysis, PCA)에 의해 이러한 정보들을 정량화한 위험지수를 제안한다. 실험을 통해 제안한 위험지수를 이용한 탐지가 포트스캔 탐지율에 있어서 Snort보다 우수하다는 것을 보인다.

Keywords

References

  1. W. El-Hajj, F. Aloul, Z. Trabelsi, N. Zaki, "On Detecting Port Scanning using Fuzzy Based Intrusion Detection System", Coll. of Inf. Technol., UAE Univ., Al-Ain, 2008.
  2. Fyodor, The Art of Port Scaning, Phrack Magazine, Vol. 7, Issue 52, 1997.
  3. IANA, http://www.iana.org/assignments/port-numbers, 2010
  4. H. Kikuchi, T. Kobori, "Orthogonal Expansion of Portscanning Packets", Intl. Conf. on Network-Based Information Systems, 2009.
  5. S. K. Kim, S. H. Lee and S. W. Seo, "An Automatic Portscan Detection System with Adaptive Threshold Setting", Journal of Communications and Networks, Vol. 12, No. 1, Feb. 2010.
  6. J. Jung, V. Paxson, A. W. Berger, H. Balakrishnan, "Fast Portscan Detection Using Sequential Hypothesis Testing", Proc. of the 2004 IEEE Symposium on Security and Privacy, 2004.
  7. A. Lazarevic, V. Kummar, J. Srivastava, Managing Cyber Threats : Issues, Approaches and challenges, Springer, 2005
  8. C. Leckie, R. Kotagiri, "A probabilistic approach to detecting network scans", Proc. of the Eighth IEEE Network Operations and Management Symposium (NOMS 2002), Florence, Italy, 2002.
  9. C. B. Lee, C. Roedel, E. Silenok, "Detection and Characterization of Port Scan Attacks", http://cseweb.ucsd.edu/users/ clbailey/PortScans.pdf, Univeristy of California, Department of Computer Science & Engineering, San Diego, 2003.
  10. G. Lyon, The Art of Port Scaning, Phrack Magazine, Vol. 7, Issue 52, 1997.
  11. J. Mai, A. Sridharan, C. N. Chuah, H. Zang, T. Ye, "Impact of packet sampling on portscan detection", IEEE Journal on Selected Areas in Communication, vol. 24, no. 12, 2006.
  12. S. Northcutt, J. Novak, Network intrusion detection an analyst's handbook, 2nd Edition, New Riders, 2002.
  13. V. Paxson, "Bro: A System for Detecting Network Intruders in Real-Time", Proc. of the 7th USENIX Security Symposium, San Antonio, TX, pp. 2435-2463, 1999.
  14. F. J. Provost, T. Fawcett, "Analysis and Visualizatio of Classifier Performance: Comparison under Imprecise Class and Cost Distributions", Proc. of the 3rd Intl. Conf. on Knowledge Discovery and Data Mining, Newport Beach, CA, pp. 43-48, 1997 .
  15. Snort, Intrusion Detection System, http://www.snort.org, 2010.
  16. S. Staniford, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagl, K. Levitt, C. Wee, R. Yip, and D. Zerkle, "GrIDS - a graph based intrusion detection system for large networks", Proc. of the 19th National Information Systems Security Conference (NISS '96), 1996.
  17. S. Staniford, J. A. Hoagland, J. M. Mcalerney, "Practical automated detection of stealthy portscans", Journal of Computer Security, 2002.