본문 바로가기
HOME> 논문 > 논문 검색상세

논문 상세정보

인터넷정보학회논문지 = Journal of Korean Society for Internet Information v.13 no.2, 2012년, pp.41 - 49  
본 등재정보는 저널의 등재정보를 참고하여 보여주는 베타서비스로 정확한 논문의 등재여부는 등재기관에 확인하시기 바랍니다.

Snort 2.9.0 환경을 위한 TCAM 기반 점핑 윈도우 알고리즘의 성능 분석
Performance Analysis of TCAM-based Jumping Window Algorithm for Snort 2.9.0

이성윤    (퓨쳐시스템 정보통신연구소   ); 류기열    (아주대학교 정보컴퓨터공학부  );
  • 초록

    스마트 폰 이용자의 급격한 증가에 따른 무선 네트워크의 지원 및 모바일 환경은 언제 어디서나 네트워크를 이용할 수 있게 되었다. 이러한 인터넷 망의 발달로 인해 네트워크 트래픽이 급증함으로써 네트워크를 통한 분산서비스 공격, 인터넷 웜, 이메일 바이러스 등의 다양한 악의적인 공격이 증가되고 이에 따른 패턴이 급격하게 증가하는 추세이다. 기존 연구에서 침입탐지시스템인 Snort 2.1.0 룰의 약 2,000개 패턴으로 M-바이트 점핑 윈도우 알고리즘을 적용한 결과를 분석하였다. 하지만 점핑 윈도우 알고리즘은 패턴의 길이와 수에 큰 영향을 받기 때문에 더 긴 패턴과 더 많은 패턴을 갖는 새로운 환경(Snort 2.9.0)에서 TCAM 룩업 횟수와 TCAM 메모리 크기에 대한 새로운 분석이 필요하다. 이 논문에서는 Snort-2.9.0 룰에서 약 8,100개의 패턴을 이용하여 윈도우 크기별 TCAM 룩업 횟수와 TCAM의 크기를 시뮬레이션 했고 그 결과를 분석하였다. Snort 2.1.0에서는 16-바이트 윈도우에서 9Mb의 TCAM이 최적을 효과를 낼 수 있는 반면, Snort 2.9.0에서는 16-바이트 윈도우에서 18Mb TCAM 4개를 캐스케이딩으로 연결할 경우 최적의 효과를 낼 수 있다.


    Wireless network support and extended mobile network environment with exponential growth of smart phone users allow us to utilize the network anytime or anywhere. Malicious attacks such as distributed DOS, internet worm, e-mail virus and so on through high-speed networks increase and the number of patterns is dramatically increasing accordingly by increasing network traffic due to this internet technology development. To detect the patterns in intrusion detection systems, an existing research proposed an efficient algorithm called the jumping window algorithm and analyzed approximately 2,000 patterns in Snort 2.1.0, the most famous intrusion detection system. using the algorithm. However, it is inappropriate from the number of TCAM lookups and TCAM memory efficiency to use the result proposed in the research in current environment (Snort 2.9.0) that has longer patterns and a lot of patterns because the jumping window algorithm is affected by the number of patterns and pattern length. In this paper, we simulate the number of TCAM lookups and the required TCAM size in the jumping window with approximately 8,100 patterns from Snort-2.9.0 rules, and then analyse the simulation result. While Snort 2.1.0 requires 16-byte window and 9Mb TCAM size to show the most effective performance as proposed in the previous research, in this paper we suggest 16-byte window and 4 18Mb-TCAMs which are cascaded in Snort 2.9.0 environment.


  • 주제어

    분산서비스거부 .   침입탐지시스템 .   점핑윈도우알고리즘.  

  • 참고문헌 (12)

    1. SNORT network intrusion detection system, http://www.snort.org 
    2. Martin Roesch, Chris Green, Sourcefire, Inc, "SNORT Users Manual", 2.9.0 The Snort Project December 2, 2010 
    3. 해킹/바이러스 통계 , "2010년 10월 인터넷침해사고 동향 및 분석 월보 ", Korea Internet & Security Agency 2010년 
    4. Fang Yu, "High Speed Deep Packet Inspection with Hardware Support" Computer Science in the GRADUATE DIVISION of the UNIVERSITY OF CALIFORNIA, BERKELEY 2006 
    5. F. Yu, R. H. Katz and T. V. Lakshman, "Gigabit Rate Packet Pattern-Matching Using TCAM," Proceedings of the 12th IEEE International Conference on Network Protocols, pp.174-183, 2004 
    6. M.Gao, K. Zhang and J.Lu, "Efficient Packet Matching for Gigabit Network Intrusion Detection using TCAMS," Proceedings of the 20th International Conference on Advanced Information Networking and Applications -Volume1, 2006 
    7. 성정식, 강석민, 이영석, 권택근, 김봉태, "TCAM을 이용한 고성능 패턴 매치 알고리즘" 정보처리학회논문지ⓒ 제12-C권, 제4호, pp.503-510, 2005년 8월 
    8. False attack generator IDSwakeup, http://www.hsc.fr 
    9. Security Onion LiveCD, Doug Burks, http://securityonion.blogspot.com/ 
    10. NetworkAnalysisTools http://www.wireshark.com international Conference on advanced information system engineering, January 2006. 
    11. 한국정보보호진흥원, "Snort를 이용한 IDS구축", 2005 
    12. Ubuntu Server Guide, "http://www.ubuntu.com/", Canonical Ltd. and members of the Ubuntu Documentation Project3 2008 

 저자의 다른 논문

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역

원문보기

무료다운로드
  • NDSL :
  • 한국인터넷정보학회 : 저널
유료다운로드

유료 다운로드의 경우 해당 사이트의 정책에 따라 신규 회원가입, 로그인, 유료 구매 등이 필요할 수 있습니다. 해당 사이트에서 발생하는 귀하의 모든 정보활동은 NDSL의 서비스 정책과 무관합니다.

원문복사신청을 하시면, 일부 해외 인쇄학술지의 경우 외국학술지지원센터(FRIC)에서
무료 원문복사 서비스를 제공합니다.

NDSL에서는 해당 원문을 복사서비스하고 있습니다. 위의 원문복사신청 또는 장바구니 담기를 통하여 원문복사서비스 이용이 가능합니다.

이 논문과 함께 출판된 논문 + 더보기