KR100602920B1 - 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 - Google Patents
컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 Download PDFInfo
- Publication number
- KR100602920B1 KR100602920B1 KR1020050123700A KR20050123700A KR100602920B1 KR 100602920 B1 KR100602920 B1 KR 100602920B1 KR 1020050123700 A KR1020050123700 A KR 1020050123700A KR 20050123700 A KR20050123700 A KR 20050123700A KR 100602920 B1 KR100602920 B1 KR 100602920B1
- Authority
- KR
- South Korea
- Prior art keywords
- detection
- scale
- worms
- bots
- distance
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 인터넷상의 각종 봇(Bot)과 웜(Worm) 바이러스들을 효율적으로 탐지하기 위한 탐지척도선정방법에 관한 것으로 더욱 상세하게는 규칙기반 프로파일링에 의한 네트워크 레벨에서의 오용행위 탐지기법을 적용하여 봇과 웜바이러스를 탐지하기 위한 방법에 관한 것으로서 패킷 데이터의 헤더부분을 탐색하는 단계; 상기 헤더정보에서 척도를 선정하는 단계; 상기 분리된 세션에서 공격과 정상행위 분포 사이의 거리를 계산하는 단계; 상기 계산 결과에서 PDD(Probability Distribution Distance)가 임계값 보다 큰 탐지척도만을 선정하는 단계; 상기 선정된 탐지척도의 속성을 정의하는 단계; 상기 속성중 웜 또는 봇으로 판단되는 속성을 추출하는 단계;에 의해 이루어진다.
봇, 웜, 악성봇, 탐지패턴
Description
도 1 은 TCP 세션정보의 척도값에 의한 정형화,
도 2 는 거리변화에 따라 선정된 척도계수의 그래프.
도 3 은 TCP 세션 기반척도의 속성정의,
도 4 는 임계값에 따라 선정되는 척도 개수 분석
도 5 는 검증 결과를 나타낸 그래프
본 발명은 인터넷상의 각종 봇(Bot)과 웜(Worm) 바이러스들을 효율적으로 탐지하기 위한 탐지척도 선정 방법에 관한 것으로 더욱 상세하게는 규칙기반 프로파일링에 의한 네트워크 레벨에서의 오용행위 탐지기법을 적용하여 봇과 웜바이러스를 탐지하기 위한 방법에 적용하기 위하여 통계적인 접근에 기반한 효과적인 탐지 척도 선정 방법에 관한 것이다.
악성 봇(Bot) 및 웜(Worm)은 원도우 시스템의 쉬운 비밀번호 설정, 원도우 취약점, 원도우 공유폴더 등을 통하여 전파되며, 특히 악성 봇은 기타 다른 웜?바이러스가 사용하는 백도어 포트를 통하여도 전파된다. 이러한 악성 봇 및 웜에 감염된 시스템은 악성 봇 및 웜의 유포자가 지정한 특정 서버에 접속되며 악성 봇(Bot)에 감염된 시스템은 유포자의 명령에 따라 추가 감염을 위한 특정 IP 대역 공격, 사용자 정보 등을 유출한다. 특히 악성 봇은 감염된 호스트들을 공격자가 중앙에서 일괄 관리하여 DoS 등 다양한 공격 명령을 수행토록 하고, 주변의 호스트들을 또다시 감염시키기 위하여 웜 공격을 수행하기도 한다.
이러한 악성 봇 및 웜의 전파방식은 공유폴더, 비밀번호의 유출, 윈도우즈 자체의 보안상의 취약성 등에 근거해 전파된다.
예컨대 원도우즈 계열의 운영체제에서 기본적으로 설정된 관리목적의 공유 폴더는 관리자가 원격지에서 시스템에 접근하는데 필요한 것으로 시스템 설치 시 기본적으로 설정된다. 이 폴더들은 [드라이브]$ 식으로 표현되며 일반적으로 C$, D$ 등의 폴더 명으로 되어 있다. 관리자 비밀번호가 설정되지 않았거나, 추측하기 쉬운 비밀번호로 설정되었을 경우 원격지로부터 여러 가지 공격에 노출 될 수 있다. 이러한 취약성을 이용하여 악성 봇 및 웜이 전파된다.
또한 원도우 시스템의 관리자 (Administrator)의 계정 비밀번호가 없거나 유추하기 쉬운 비밀번호를 사용할 경우 악성 봇(Bot)의 공격에 취약할 수 있다. 쉽게 유추가 가능한 사용자 계정(ID)과 비밀번호(Password)를 사용하는 시스템을 찾기 위해 악성 봇 및 웜에 감염된 시스템은 관리목적의 공유 IPC$ (TCP 445 포트)를 통해 자신을 전파시킨다. 즉, 악성 봇 및 웜은 원도우 폴더 나 원도우 시스템 폴더에 관련 파일을 복사하고, 원도우 자동 시작 시 실행되기 위해 레지스트리에 자신을 추가한 후, 보안 프로그램 및 바이러스 백신 프로그램 종료를 통하여 악성 봇 및 웜 이 원활하게 동작하기 위하여 보안 프로그램 및 바이러스 백신 프로그램의 프로세스를 강제 종료하고 바이러스 백신 프로그램이 새로 추가되는 바이러스 패턴에 대하여 업데이트를 하지 못하도록 hosts 파일을 변조한 다음 원도우 사용자의 운영체제 등록번호 (CD Key), Game CD Key, 개인 자료 등의 유출을 통해 개인 정보를 수집한다.
이렇게 악성 봇과 웜에 감염된 시스템은 추가적인 감염을 위하여 불필요한 네트워크 연결 시도를 하며, 이러한 감염을 위한 추가적인 공격 및 서비스 공격으로 인하여 과도한 네트워크 트래픽이 유발되고, 악성 봇과 웜에 감염된 시스템은 특정 프로세서에 의하여 CPU가 점유됨으로 인하여 시스템이 느려지는 경우가 발생한다.
이러한 악성 봇(Bot) 및 웜(Worm)의 탐지에 이용될 척도 선정을 위하여 종래 많은 방법들이 제안되어 왔는 바, 공격 시그니처 기반으로 악성 봇(Bot) 또는 웜(Worm)탐지 방법과 상기 악성 봇(Bot) 또는 웜(Worm)이 발생시키는 트래픽의 패턴을 분석하여 이들 행위모델을 이용하는 방법, 트래픽의 증가를 일으키는 추이를 분석하여 척도로서 이용하는 방법 등이 종래 사용되어져 왔던 방법들이다.
이중 상용 백신과 대부분의 침입탐지시스템에서 사용하는 시그니처 기반의 악성 봇 또는 웜 탐지방법은 웜(Worm) 또는 악성 봇(Bot)의 데이터 영역에 수록되어 있는 시그니처를 탐색하여 해당 시그니처가 발견되는 트래픽을 공격으로 분류해내는 방식이다.
그러나 이러한 척도를 이용하여 탐지하는 방식은 패킷의 데이터영역을 직접 탐색해야 하는 것으로서, 네트워크상에서 전달되는 패킷의 데이터영역을 탐색하기 위해서는 탐색시간이 많이 소요된다는 문제가 있었고, 이로 인한 네트워크 트래픽의 부하 등의 문제가 있었다.
또한 수학적인 알고리즘인 TRW(Threshold Random Walk)을 이용해서 트래픽 패턴을 분석해서 웜을 찾아내는 방식의 경우 주된 척도로는 TCP 헤더의 SYN flag와 3-way handshake 성공 여부에 대한 정보가 이용된다. 이는 TCP 프로토콜을 사용한 웜에 대해서는 빠르게 찾아낼 수 있는 반면 스캐닝을 수행하는 웜에 대해서는 탐지 가 불가능하다는 문제가 있었다. 그리고 네트워크 상에 유입되는 트래픽들을 특정 패턴들로 분류하여 웜을 탐지하는 방식인 DEWP(Detecting Early Worm Propagation through Packet Matching)방식의 경우 접속 포트를 척도로 이용하여 그 접속 빈도수에 기반하므로 TCP와 UDP 모두 쉽고 간편하게 탐지가 가능하나, 갑자기 외부 접속자가 많아지는 사이트의 경우 웜과 일반 사용자의 빈도가 비슷해지는 경우가 발생하기 때문에 이에 대한 탐지를 잘못하는 경우가 발생한다는 단점이 있다.
본 발명은 이러한 문제를 해결하기 위한 것으로 패킷 데이터의 헤더부분만을 탐색함으로서 어떠한 종류의 악성 봇(Bot)과 웜(Worm)에도 제한 받지 않고 거의 대부분에 있어 그 공격 여부를 판단할 수 있는 방법을 제공하는데 있다.
본 발명의 다른 목적은 네트워크 트래픽의 부하를 최소화하면서도 악성 봇 또는 웜을 판단할 수 있게 하는데 있다.
본 발명의 또다른 목적은 알려지지 않은 새로운 악성 봇과 웜 또한 미리 탐지가 가능토록 할 수 있는 탐지척도를 추출하고자 하는데 있다.
이러한 목적을 달성하기 위한 본 발명은
패킷 데이터의 헤더부분을 탐색하는 단계;
상기 헤더정보에서 척도를 선정하는 단계;
상기 분리된 세션에서 공격과 정상행위 분포 사이의 거리를 계산하는 단계;
상기 계산 결과에서 PDD(Probability Distribution Distance)가 임계값 보다 큰 탐지척도만을 선정하는 단계;
상기 선정된 탐지척도의 속성을 정의하는 단계;
상기 속성중 웜 또는 봇으로 판단되는 속성을 추출하는 단계;
에 의해 이루어진다.
이하 본 발명을 첨부하는 실시예를 통해 상세히 설명한다.
표 1과 표 2는 본 발명에서 사용되어진 공격 바이너리들이 유발시키는 행위에 따른 덤프(DUMP) 데이터를 기반으로 분석된 봇과 웜의 개략적인 행위 패턴에 관한 것으로 이 분석은 공격의 시스템적인 행위까지는 고려하지 않으며, 단지 순수 네트워크 트래픽 발생 데이터인 패킷에만 의존하여 얻어진 분석이다.
악성 봇 바이너리들은 가장 먼저 DNS 질의를 하고 응답받은 IP 주소로 IRC 접속을 시도한다. 접속이 성공하면 인증 절차를 거쳐 채널에 가입하고 공격자의 공격 명령을 대기한다. 그러면서도 봇은 주위 호스트들을 다시 감염시키기 위하여 임의의 네트워크를 스캐닝하고 목표 호스트에 웜 및 침투 공격을 시도하는 절차를 보여주고 있다. 또는 이미 침투한 웜이 만들어 놓은 백도어 포트를 찾아 숨어들어가려는 시도들도 종종 보인다.
악성 봇의 경우 실험에 사용된 일부 바이너리들은, 봇 명령/제어 서버(Bot C&C Server)들과의 통신포트로 접속을 시도하고 스스로를 숙주로 만드는 것과 같은 추가적인 행위 트래픽을 발생시켜 주지는 못하고 있다.
따라서, 웜 바이러스가 취하는 네트워크 레벨에서의 행위는 크게 두 가지 목적으로 나뉠 수 있다. 첫째는 시스템에서 자신의 침투 작업을 완료하고 감염시키기 위한 외부로의 부수적인 파일 요청이다. 이때 주로 웹 서비스를 이용하고 있다. 둘째는 바로 자기 자신의 복제를 다른 호스트들에 전파하는 행위이다. 이를 위하여 주로 메일 서비스와 윈도우 취약점을 이용하는 것으로 나타난다. 특정 포트 번호에 따른 반복 수행 및 접속 성공률에 대한 척도가 중요할 것으로 보인다.
한편, TCP 세션기반 통계적 척도추출에서 통계적 척도는, DSI(Deep Stream Inspection)를 기반으로 분석하고 탐지하기 위하여, 먼저 TCP 프로토콜에 대한 세션 단위의 패킷 그룹화를 수행한다. IP(Internet Protocol)와 TCP 프로토콜의 패킷 헤더 정보를 이용하여 한 세션마다의 통계적인 정보들을 구하고 각각을 그 스트림의 척도들로 활용하며, 이들 척도들을 패턴 생성을 위한 학습에 이용하고 있다. 하나의 TCP 세션이 제공하는 통계적인 정보는 모두 80가지에 이르며 이들 각각이 훌륭한 척도가 될 수 있다. 이들의 속성은 이산적(Discrete)이거나 연속적(Continuous)이며, 전송 방향은 송신 정보이거나 수신 정보로 구분된다.
표 3의 척도들은 세션의 총괄적인 정보를 정의한다. 이산적인 척도들의 카운트 값은 최대 13 까지로 기본 설정하고 있다.
표 4는 두 호스트들(서버-클라이언트) 사이의 연결 정보를 제공하는 척도들로 구성되고 있으며, 척도명의 접두에 HA- 또는 HB-가 수반된다. 이는 호스트 A(클라이언트)에서 호스트 B(서버)로의 연결 요청이 이루어지고 통신하였음을 의미한다.
특히, 세션의 연결 정보를 제공하는 척도 가운데 목적지 호스트(연결을 요청 받는 호스트)의 포트 번호는 특별한 의미를 지닌다. 근래 대부분의 봇과 웜 트래픽들을 분석해 보면 인터넷을 통한 스스로의 번식을 위하여 특정 포트 번호를 주요 표적으로 삼고 있음을 알 수 있는데, 실제로 이러한 트래픽들이 모든 봇과 웜 트래픽들의 80% 이상을 차지하고 있는 것으로 파악되고 있다.
이들 포트들은 거의 모든 버전의 윈도우즈 시스템에서 자원 공유(Resource Sharing)를 위해 사용되어지는 포트들로서, 다음 4가지로 분류된다.
* 포트번호 445 (Microsoft-DS 서비스) : 윈도우즈 2000/XP/2003에서 공유 폴더에 대한 직접적인 연결 제공하거나 CIFS 기반의 연결 제공
* 포트번호 139 (NetBIOS Session 서비스) : 윈도우즈 9x/ME/NT에서 공유 폴더에 대한 직접적인 연결 제공
* 포트번호 137 (NetBIOS Name 서비스) : 네트워크상에 연결된 윈도우즈 시스템들의 정보 검색 도모
* 포트번호 135 (RPC 서비스) : 네트워크상에 연결된 다른 윈도우즈 시스템들의 프로시저 호출 서비스 제공
이들 포트번호들은 탐지 기준의 중요한 요소로 활용될 수 있을 것이며, 탐지된 공격의 분류를 위해서도 유용한 정보를 제공해 줄 수 있을 것으로 보인다. 또한 아래와 같이, 그 취약성이 잘 알려진 특정 포트들도 함께 포함된다.
포트번호 42 : WINS(윈도우즈 인터넷 이름 서비스)
포트번호 80 : www(취약한 IIS 4/5 또는 아파치 웹서버)
포트번호 903 : NetDevil 트로이목마 백도어
포트번호 1025 : RPC 서비스 및 윈도우즈 메신저 포트
포트번호 1433 : ms-sql-s(마이크로소프트 SQL 서버)
포트번호 2745 : Bagle 웜 백도어
포트번호 3127 : MyDoom 웜 백도어
포트번호 3306 : MySQL UDF 취약점
포트번호 3410 : Optix 트로이목마 백도어
포트번호 5000 : upnp BOF 취약점
포트번호 6129 : dameware BOF 취약점
한편, 척도값들로 표현되는 세션정보는, 하나의 세션에서 추출된 모든 80개의 척도들은 그 값을 콤마(,)로 구분지어 나열하고, 나열된 척도들 종단에는 해당 스트림의 출처인 공격명(또는 이 스트림이 정상 트래픽이었다면, ‘Normal’)을 명시한다. 이러한 형식의 정보들을 도 1과 같이 각 세션 당 라인 단위로 형식화 하여 데이터를 구축하고 관리한다.
효과적인 공격규정을 위한 탐지척도 선정은, 추출된 통계적인 척도들은 이후 선별 과정을 거쳐, 일부 중요한 척도들만이 패턴 생성에 기용되어져야 한다. 상대적으로 중요도가 낮은 척도들은 계산량만 증가시키고 탐지 성능 향상에는 도움이 되지 못하며, 어떤 척도들을 선택하느냐에 따라 생성되는 탐지 규칙이 탐지 성능에도 큰 영향을 미치므로 중요도가 높은 척도들을 우선 선택해야 한다. 또한 본 발명에서는 생성되는 의사결정나무(Decision Tree)의 과대적합(Over Fitting)을 방지하기 위한 사전-가지치기(Pre-Pruning) 목적으로서 유용한 탐지척도 선정이 중요한 전처리 요소이기도 하다.
확률분포거리를 이용한 척도선정은, TCP 세션으로부터 추출한 80개의 통계적인 척도들을 기반으로, 각 척도마다 그 중요도에 따른 가중치를 부여하여 공격의 특징을 가장 효과적으로 표현하는 척도들을 식별하고 최적의 탐지 척도들을 선정한다. 공격 세션에서의 척도 값 분포와 정상 세션에서의 척도 값 분포 사이의 거리를 측정하며 이때 거리가 클수록 공격 분별력이 높은 척도가 된다. 즉, 각 척도의 공격과 정상에서의 확률분포거리(Probability Distribution Distance ; PDD)를 구하고, 이를 척도의 가중치로서 적용하였다. 본 논문에서는 정상행위와 공격행위 분포 사이에서 각 척도들의 확률분포거리(PDD)를 구하기 위하여 본 연구에서는 상대 엔트로피(relative entropy)로 정의되는 쿨백-라이블러 거리(Kullback-Leibler Distance)를 활용하였다. 쿨백-라이블러 엔트로피는 다양한 응용분야에서 적용되고 있는 거리 계산방법으로 정보이론에 기반하고 있다. 이 엔트로피 값은 두 분포 사이의 거리를 다음과 같이 구현한다.
X는 탐지척도의 벡터 집합, p는 정상행위에 대한 확률 분포, qi는 공격행위에 대한 확률 분포이다. 각 척도는 f ∈ 척도1, 척도2, ... , 척도m이고, 각 공격은 i ∈ 공격1, 공격2, ... , 공격n이다. 단, 각 척도들은 서로 독립적이라는 가정 하에 위 식은 성립한다.
정상행위를 기준으로 보았을 때 확률분포거리와 공격행위를 기준으로 보았을 때 확률분포거리는 각각 다르므로, 본 발명에서 구하고자 하는 최종 척도 기준 거리로서의 확률분포거리(PDD)는 두 분포 사이 거리 합의 최대값으로 정한다.
위 식에서 D는 두 개체의 거리(비유사성)를 판별하는 척도 기준 거리를 의미하며, 공격과 정상행위 분포 사이의 최대 거리를 본 발명에서 구하고자 하는 PDD로 활용하고 있다.
표 5는 PDD를 이용한 탐지 척도 선정의 예를 보이고 있다. 먼저, 각 척도마다의 PDD 값을 구하여 저장하고, PDD가 임의의 임계 거리(Threshold)보다 크거나 같은 척도만을 탐지척도로 선정한다. 여기에서는 임계 거리가 2일 때 선정되는 척도들을 보인다.
임계 거리의 변화에 따라, 선정되는 척도의 개수 변화량을 도 2에서 보인다. 거리와 척도 개수는 반비례 관계에 있음을 알 수 있으며, 일정 거리 이상이 되면 감소 곡선이 급격히 완만해 지는 것으로 보아 크게 중요하지 않은 척도들이 동시적으로 다수 제거되어 버림을 알 수 있다. 임계 거리는 탐지 성능(Performance)과 탐지율 사이의 상관관계를 고려하여 조정되어 져야 한다.
한편, 선정된 척도의 속성정의는, 추출한 모든 척도들을 기반으로, 각 공격들의 척도와 정상 트래픽이 가지는 척도 사이의 차이에 대한 거리(Distance)를 구하고, 이를 이용하여 탐지에 유용한 척도(선정된 척도)들과 탐지 성능에 영향력이 거의 없어 무시해도 좋을 불필요한 척도(선정되지 못한 척도)들을 구분 지을 수 있다.
도 3 에서와 같이, 각 척도의 속성은 다음 세 가지로 정의된다. 첫째, 선정된 척도가 이산적(Discrete)인 속성일 경우 ‘그 이산적 값들’을 나열한다. 예를 들어, 척도 HBport의 이산적 값들은 ftp, domain, http, netbios-ns, irc가 된다. 둘째, 선정된 척도가 연속적(Continuous)인 속성일 경우 ‘continuous’라는 속성 값으로 정의한다. 셋째, 선정되지 못한 척도는 ‘ignore’라는 속성 값으로 정의한다. 따라서, 최종 선정된 척도는 그 속성이 ‘ignore’가 아닌 척도이며, 선정된 척도는 각각 정의된 속성에 맞게 적용되어 패턴 생성에 활용된다.
한편, 탐지에 유용한 척도선정을 위한 임계값 결정(임계값보다 큰 확률분포거리를 가지는 척도만을 선정)에 있어, 학습과정에서 검증에 의한 경험치로 산출해서 임계값에 따라 선정되는 척도개수 분석은, 선정되는(탐지에 활용되는) 척도의 개수가 많다고 해서 탐지 성능이 향상되지는 않고, 이 경우 오히려 탐지 성능에 악영향을 일으킬 수 있다.
척도의 개수에 비례하여 탐지패턴은 복잡해지며, 탐지 비용은 많이 소요된다.
척도의 개수가 너무 많으면, 오히려 Over Fitting 이 일어날 수 있다(불필요한 척도로 인하여, 탐지패턴의 예측 및 추론 능력이 저하됨).
자동 계산방법은 척도의 개수가 50%이상 감소하는 지점을 기준(없으면 0을 기준)으로 한다.
상기 임계값에 따라 선정되는 척도 개수분석에서, 척도의 개수가 큰 쪽으로 감소하는 지점이 발생한다면 그 지점에서부터 임계값을 적용시켜 보아서 탐지성능을 검증하고 결과가 가장 좋았던 임계값을 선택한다(도 4 참조).
이때의 탐지 성능 검증 방법은, 탐지패턴들이 학습에 의하여 생성되면 학습에 사용되었던 데이터를 그대로 다시 실험 데이터로 활용하여 이들 탐지패턴들을 이용한 탐지 성능을 검증한다.
그 결과, 탐지율이 가장 높고 상대적으로 오탐율은 가장 낮았을 때의 임계값을 척도 선정을 위한 임계값으로 결정하고, 이때 만들어진 탐지패턴들을 가장 효과적으로 공격을 탐지할 수 있는 탐지패턴들로서 인정한다. 이 모든 과정이 학습과정에 포함된다.
도 5에 도시된 그래프(ROC 곡선)는 검증 결과를 보이며, 임계 거리(Theshold) 1.2 일때 가장 좋은 탐지 결과를 나타내고 있다. 따라서, 탐지율이 높고 오탐율이 낮을수록 좋은 결과이다.
자동계산방법은 각 임계값을 적용해 볼때, 가장 높은 탐지율을 보이는 임계값을 구하려는 최종 임계값으로 결정하고, 이때의 임계값들이 여러 개라면 가장 다시 낮은 오탐율을 보이는 임계 값으로 결정한다. 그래도 성능이 같은 임계 값들이 중복된다면 가장 큰 수를 가지고 최종 결정한다.
이러한 본 발명을 통해 패킷 헤더 영역에 대한 분석만으로도 웜 및 봇을 판단할 수 있게 됨으로서 고성능 네트워크 환경에서 탐지시스템이 패킷의 페이로드 데이터 영역에 대한 검사를 수행하여 탐지 프로세스의 부하를 가중시켜 중요한 패킷의 손실로 이어질 수 있는 문제를 해결할 수 있다는 장점이 있다.
또한 유비쿼터스 환경의 기본적인 통신프로토콜인 IPv6의 데이터 영역이 암호화 되는 경우에도 적용 가능한 기술로서, 향후 IPv6 환경에서의 침입탐지시스템이 이용하는 척도로서 활용 가치를 지닌다.
Claims (8)
- 네트워크 스트림을 이루는 세션에 포함된 패킷들의 헤더정보를 탐색하는 단계,상기 패킷 헤더정보에서 탐지척도를 추출하게 되는 단계,그리고 확률분포거리(PDD)를 이용한 거리기준에 의하여 상기 추출된 탐지척도중 유용한 척도를 선정하는 단계를 구성한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는 탐지척도의 자동 선정 방법
- 제 1 항에 있어서,상기 패킷은 순수네트워크 트래픽 발생데이터인 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는 탐지척도의 자동 선정 방법
- 제 1 항에 있어서,상기 추출된 탐지척도중 유용한 척도를 선정하는 단계에서 추출된 유용한 척도는 DSI(Deep Stream Inspection)를 기반으로 분석하고 탐지하기 위하여 TCP 프로토콜에 대한 세션 단위의 패킷 그룹화를 수행하고, IP와 TCP 프로토콜의 패킷 헤더 정보를 이용하여 한 세션마다의 통계적인 정보들을 구하고 각각을 그 스트림의 척도들로 활용하며, 이들 척도들을 패턴 생성을 위한 학습에 이용한 통계적 척도인 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는 탐지척도의 자동 선정 방법
- 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,최종 척도 기준 거리로서의 확률분포거리(PDD)는 두 분포 사이 거리 합의 최대값으로 정한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는 탐지척도의 자동 선정 방법
- 제 1 항에 있어서,탐지에 유용한 척도선정을 위한 임계값 결정은 임계값보다 큰 확률분포거리를 가지는 척도만을 선정한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는 탐지척도의 자동 선정 방법
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050123700A KR100602920B1 (ko) | 2005-12-15 | 2005-12-15 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050123700A KR100602920B1 (ko) | 2005-12-15 | 2005-12-15 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100602920B1 true KR100602920B1 (ko) | 2006-07-24 |
Family
ID=37184348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050123700A KR100602920B1 (ko) | 2005-12-15 | 2005-12-15 | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100602920B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
| CN109547505A (zh) * | 2019-01-26 | 2019-03-29 | 福州大学 | 基于强化学习的多径tcp传输调度方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010085057A (ko) * | 2001-07-27 | 2001-09-07 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
| JP2002252654A (ja) | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
| KR20030051994A (ko) * | 2001-12-20 | 2003-06-26 | 한국전자통신연구원 | 침입탐지시스템에서 로그 모니터링을 이용한 공격판단시스템 및 그 방법 |
| KR20030052511A (ko) * | 2001-12-21 | 2003-06-27 | 한국전자통신연구원 | 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체 |
| KR20040099864A (ko) * | 2003-05-20 | 2004-12-02 | 한국전자통신연구원 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
-
2005
- 2005-12-15 KR KR1020050123700A patent/KR100602920B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002252654A (ja) | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
| KR20010085057A (ko) * | 2001-07-27 | 2001-09-07 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
| KR20030051994A (ko) * | 2001-12-20 | 2003-06-26 | 한국전자통신연구원 | 침입탐지시스템에서 로그 모니터링을 이용한 공격판단시스템 및 그 방법 |
| KR20030052511A (ko) * | 2001-12-21 | 2003-06-27 | 한국전자통신연구원 | 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체 |
| KR20040099864A (ko) * | 2003-05-20 | 2004-12-02 | 한국전자통신연구원 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 논문 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101109669B1 (ko) * | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
| US8706866B2 (en) | 2010-04-28 | 2014-04-22 | Eletronics And Telecommunications Research Institute | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information |
| CN109547505A (zh) * | 2019-01-26 | 2019-03-29 | 福州大学 | 基于强化学习的多径tcp传输调度方法 |
| CN109547505B (zh) * | 2019-01-26 | 2021-05-18 | 福州大学 | 基于强化学习的多径tcp传输调度方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Mishra et al. | Defense mechanisms against DDoS attack based on entropy in SDN-cloud using POX controller | |
| US11503044B2 (en) | Method computing device for detecting malicious domain names in network traffic | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| US20210112091A1 (en) | Denial-of-service detection and mitigation solution | |
| Yen et al. | Traffic aggregation for malware detection | |
| Dietrich et al. | CoCoSpot: Clustering and recognizing botnet command and control channels using traffic analysis | |
| US9602525B2 (en) | Classification of malware generated domain names | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US20180034830A1 (en) | System and method for detecting a compromised computing system | |
| US9386031B2 (en) | System and method for detection of targeted attacks | |
| KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
| US20230185915A1 (en) | Detecting microsoft windows installer malware using text classification models | |
| Chatterjee et al. | Evidence fusion for malicious bot detection in IoT | |
| KR101045331B1 (ko) | 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법 | |
| JP2013232716A (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
| CN110493253B (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
| Hindy et al. | A taxonomy of malicious traffic for intrusion detection systems | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Lin et al. | A novel method of mining network flow to detect P2P botnets | |
| JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
| Conti et al. | Know your enemy: Stealth configuration-information gathering in SDN | |
| KR100602920B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법 | |
| JP2002342276A (ja) | ネットワーク侵入検知システムおよびその方法 | |
| US20220329625A1 (en) | Systems and methods for ip spoofing security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130704 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20140703 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20150713 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20160713 Year of fee payment: 11 |
|
| FPAY | Annual fee payment |
Payment date: 20170711 Year of fee payment: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20180910 Year of fee payment: 13 |
|
| FPAY | Annual fee payment |
Payment date: 20190620 Year of fee payment: 14 |