KR100615080B1 - 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 - Google Patents

컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 Download PDF

Info

Publication number
KR100615080B1
KR100615080B1 KR1020050123724A KR20050123724A KR100615080B1 KR 100615080 B1 KR100615080 B1 KR 100615080B1 KR 1020050123724 A KR1020050123724 A KR 1020050123724A KR 20050123724 A KR20050123724 A KR 20050123724A KR 100615080 B1 KR100615080 B1 KR 100615080B1
Authority
KR
South Korea
Prior art keywords
detection
rule
attack
data
worms
Prior art date
Application number
KR1020050123724A
Other languages
English (en)
Inventor
이성권
노봉남
김용민
김동국
김민수
박준형
정일안
노상균
문길종
Original Assignee
주식회사 정보보호기술
전남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 정보보호기술, 전남대학교산학협력단 filed Critical 주식회사 정보보호기술
Priority to KR1020050123724A priority Critical patent/KR100615080B1/ko
Application granted granted Critical
Publication of KR100615080B1 publication Critical patent/KR100615080B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/0636Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 선정된 탐지척도를 이용하여 규칙기반의 탐지패턴을 자동으로 생성할 수 있도록 TCP(Transmission Control Protocol) 세션기반 분류모델에 의한 악성 봇과 웜의 탐지패턴 자동생성 방법에 관한 것으로서, 네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 단계; 앞 단계에서의 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성한 후 탐지규칙으로 정형화(탐지패턴 자동 생성)하는 학습단계; 그리고 각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 구성한 것을 특징으로 한다.
봇과 웜 탐지, TCP 세션 기반 탐지, 악성봇과 웜 탐지, 탐지패턴 자동 생성, 패킷 헤더영역 탐지, 의사결정나무, 분류 알고리즘, 탐지규칙, 침입탐지, 침입패턴

Description

컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법 {A Method for Automatic Generation of Rule-based Detection Patterns about the BOTs and WORMs in the Computer Network}
도 1 은 척도 값의 분리기준에 의한 의사결정나무의 모형,
도 2 는 C4.5 의사결정나무의 구성 알고리즘,
도 3 은 단일 의사결정나무의 구성을 통한 규칙 생성,
도 4 는 각 공격별 결정나무 구성을 통한 규칙 생성,
도 5 는 구성된 의사결정나무의 도면,
도 6 은 봇과 웜의 규칙기반 탐지패턴,
도 7 은 규칙기반 패턴의 정형화,
도 8 은 탐지시스템의 구성도,
도 9 는 학습데이터의 가공과정,
도 10 은 노드 가중치를 적용한 탐지,
도 11 는 노드 가중치 합의 최대값에 기반한 분류,
도 12 는 본 발명의 악성 봇과 웜탐지패턴 자동생성방법을 설명하기 위해 단계별 경우의 수에 의한 방법,
도 13 은 노드가중치를 적용한 의사결정나무 기반의 봇 탐지결과 ROC(1)의 그래프,
도 14 는 노드가중치를 적용한 의사결정나무 기반의 웜 탐지결과 ROC(1)의 그래프,
도 15 는 노드가중치를 적용한 의사결정나무 기반의 봇과 웜 탐지결과 ROC(1)의 그래프,
도 16 은 노드가중치를 적용한 의사결정나무 기반의 봇 탐지결과 ROC(2)의 그래프
도 17 은 노드가중치를 적용한 의사결정나무 기반의 웜 탐지결과 ROC(2)의 그래프
도 18 은 노드가중치를 적용한 의사결정나무 기반의 봇과 웜 탐지결과 ROC(1)의 그래프
도 19 는 본 발명의 악성 봇과 웜탐지패턴 자동생성방법에 따른 실험결과 분석의 그래프
본 발명은 TCP 세션으로부터 추출한 헤더의 통계적인 정보들이 가지는 값의 분포를 토대로, 데이터 마이닝의 분류 기법 중 의사결정나무 알고리즘을 이용하여 공격별 규칙 기반의 탐지패턴을 자동적으로 생성할 수 있는 TCP 세션 기반 분류모델을 위한 악성 봇과 웜 탐지패턴 자동 생성 방법에 관한 것이다.
인터넷의 활발한 보급과 맞물려서 그 위력이 배가 되고 있는 해킹 기법들은, 기존보다 정교한 기술력을 바탕으로 더욱 악성화 되어감은 물론 그 피해 규모는 방대해지고 있다. 특히, 컴퓨터 시스템에서 활동하던 바이러스들은 인터넷을 통하여 그 숙주를 스스로 찾아 감염시킬 수 있도록 진화되었으며, 이들 웜 바이러스들은 인터넷의 발달을 저해하는 최대의 골칫거리로 부상된지 오래다. 기존의 웜(WORM)도 이제는 공격을 위한 수단에 불과하게 되었다. 각종 보안시스템에 노출된 공격자들은 이들의 추적이 쉽지 않도록 공격 경유지로 이용할 수 있는 수많은 컴퓨터들의 확보를 갈망하였다. 그래서, 웜은 이들의 목적을 위한 충분한 구실로서 활용 가치를 보이고 있다. 이러한 경향으로 최근 악성 봇(BOT)에 의한 공격 기법들이 등장하게 되었으며 이미 그 피해 여파는 일파 만파로 확산되고 있다.
악성 코드의 탐지 기술 경향은 시스템 레벨에서의 바이러스 탐지 기법으로서 시그니처(SIGNATURE) 기반의 탐지에 주로 의존하여 왔으며, 모든 종류의 변종 바이러스들에 대해 각각의 공격 시그니처를 보유하기 위하여 주기적으로 엔진 업데이트를 수행해야하는 어려움이 따르고 있다. 반면 네트워크 레벨에서 악성 코드를 수반하는 공격 데이터를 탐지하기 위한 기법으로는 최근 대두되고 있는 바이러스월이 있을 수 있다. 이도 시스템 레벨에서와 마찬가지로 페이로드 데이터에 감춰진 공격 시그니처를 분석하여 탐지하는 방법을 이용하므로 같은 단점을 지니게 되고, 또한 고성능 네트워크 환경에서 모든 패킷의 페이로드 데이터를 분석하고 탐지하는 것은 성능 저하를 수반하게 될 우려가 크다.
오늘날 인터넷은 각종 생활의 편의성을 제공하고 고도의 정보화 사회를 실현하기 위한 기본 인프라로서 없어서는 안 될 전세계 핵심기반 기술요소로 주목받고 있다. 인터넷의 발달이 거듭되어 갈수록 그 개방성과 방대성으로 인한 각종 역효과에 몸살을 앓고 있으며, 피해 규모는 국가적인 손실로까지 이어지는 가히 위협적인 재난 상황으로 비약되고 있다. 특히, 네트워크와 시스템의 취약점을 뚫고 침투하는 지능화된 웜(WORM) 바이러스들은 스스로 대리인 역할을 하며 사용자 개인정보 침해와 주변 네트워크 장악 등과 같은 행위를 무수히 자행하고. 이로 인한 인터넷 대란이 빈번하지만 최근 정보보호의 현실은 비참할 정도로 악성 코드로 인한 공격을 잘 막아내지 못하는 상태이다.
운영체제 취약점을 이용하여 감염시킨 호스트 및 기존의 웜 바이러스들에 의하여 감염된 호스트들을 원격 제어할 수 있도록 진화된 악성 봇이라는 공격이 기세를 부리면서 인터넷은 더욱 공격자들의 무법지로 전락되어 가고 있다. 악성 봇은 감염된 호스트들을 일괄 통제 관리하기 위해서 그들 간의 채널을 개통하여 봇넷(BotNet)을 형성하고, 이를 이용하여 대규모 DDoS 공격이나 일반 사용자 정보 유출, 피싱 및 스팸메일 발송 등 기타 불법적인 행위를 충실히 대행하여 줄 자신의 군대를 보유하게 되는 것이므로 더욱 큰 위협으로서 대두되고 있다.
공격 대상은 일반 가정뿐만 아니라 대학, 기업체 더 나아가 공공기관 등으로서 개인이나 단체 모두 안전하지 않다. 일반 사용자들의 PC 성능이 서버급 못지않 게 우수하고 각 가정마다 초고속 인터넷이 연결되어 있는 반면, 사용자들의 보안 의식이 상대적으로 미흡하기 때문에 지구촌 해커들의 주요 표적이 되고 있다. 현재 봇은 소스코드의 유출로 인하여 4,000여개 이상의 변종 봇들이 존재하며 바이러스 백신 업체에서 조차 모든 변종 봇에 대해 탐지하기에는 불가능한 현실이다.
전세계 봇 감염 PC 대비 국내 봇 감염 PC 비율이 평균 21.5%로서 심각성을 드러내고 있다. 그나마 근래에는 약간의 감소폭을 보여주는데, 이는 주요 ISP/IDC 사업자들이 협력하여 DNS 싱크홀을 적용함으로써 봇에 감염된 PC를 제어하는 명령/제어 서버(Bot C&C Server)로의 연결을 차단하였기 때문인 것으로 판단되었다. 이러한 방법도 근본적인 해결책은 될 수 없으며, 이미 알려진 봇들의 행위 제한만을 할 수 있을 뿐이다.
그리고, 상기 봇에 감염된 호스트가 그들의 명령/제어 서버와 통신하는 경로로는, IRC, HTTP 등의 일반적인 서비스 규약을 따르기 때문에 정상 트래픽으로부터 이들을 구별해내기에는 많은 어려움이 따르고 있다. 이러한 차원에서 네트워크 레벨에서의 효율적인 분석과 탐지 기술이 더더욱 필요하게 된다. 네트워크 기반의 탐지 시스템은 그 척도를 프로토콜의 패킷 데이터에 대한 정보로부터 추출한다. 공격자가 흘려보내고 응답받는 패킷이 탐지에 중요한 단서를 제공할 수 있기 때문이다. 하지만 독립적인 패킷에만 의존하다보면 단편화된 패킷 조각들이 조립되었을 때 나타나는 특성을 민감하게 짚어낼 수 없고, 개개의 패킷이 제공하지 못하는 세션의 통계적인 정보를 분석할 수 없으므로 많은 공격들을 간과해 버릴 수 있는 위험에 처한다.
따라서, 이를 보완하기 위하여 패킷들의 묶음 또는 TCP의 경우 세션 단위로 네트워크 트래픽의 정보를 추출하고 분석하여 탐지하려는 시도들이 늘어나고 있다. 통신 기술의 발달로 인한 고성능 네트워크 환경에서의 침입 탐지는 고사양의 시스템 성능이 기본적으로 요구되고 자칫 중요한 패킷 손실을 초래할 수 있다는 단점이 꾸준히 제시되고 있다. 이러한 문제의식에 편승하여 페이로드 데이터 영역에 대한 검사로 인해 가중되는 부하를 해소하기 위해 프로토콜의 헤더 정보만을 이용하여 탐지해 낼 수 있는 연구가 필요하게 되었다.
침입을 탐지하는 방법에는 크게 오용행위(Misuse)와 비정상행위(Anomaly) 탐지 기법들이 있다. 오용행위 탐지는 주로 공격의 특징을 대표하는 시그니처를 이용한 탐지 방법에 해당한다. 이는 상대적으로 탐지율이 높고 오탐율(False Positive)이 낮은 결과를 제공하여 주기는 하지만, 알려지지 않은 공격에 대한 탐지 능력이 결여되어 있고 새로운 공격의 시그니처를 매번 갱신해줘야 하는 어려움이 따른다.
반면 비정상행위 탐지는 흔히 임계값을 기준으로 일반적인 정상행위와 구별되는 행위를 감지하여 아직 알려지지 않은 공격에 대해서도 어느 정도의 탐지율을 보여주지만, 알려진 공격을 명확히 구분 짓기에는 부족하고 오탐율이 상대적으로 높다. 오용행위와 비정상행위 탐지 기법들 서로 간의 장점을 살려 융합하는 적절한 모델을 찾기 위한 방법도 모색해 볼 필요가 있다.
데이터 마이닝(Data Mining)은 다량의 데이터를 기반으로 그 특징을 추출하기에 적합한 알고리즘으로 대규모 네트워크 데이터를 학습하고 그 특징을 분류하기에 적절하므로 적용되어진 사례가 많았다. 상기 데이터 마이닝의 분류 기법들 가운 데 의사결정나무(Decision Tree) 알고리즘은 이미 그 부류(Class)가 명시된 학습 데이터를 이용하여 해당 부류의 특징을 추출하고 규칙화하기에 유용한 알고리즘이다.
이를 이용하면 공격 특성을 규칙화한 패턴을 생성시킬 수 있고 공격을 탐지하여 분류할 수 있다. 악성 봇과 웜은 서로 다른 변종들 간의 침투 시나리오가 유사한 특성을 지닌다. 이를 효율적으로 탐지하기 위해서는 정상과 구별되면서도 조금 더 간결하고 유연성 있는 공격 패턴을 생성할 수 있는 방법이 요구되어 진다.
기존의 악성 봇과 웜 바이러스 탐지를 위한 방법은, 주로 호스트 기반의 백신 프로그램에 의한 해당 공격 바이너리를 분석한 시그니처 기반의 탐지와 시스템 오용행위 기반의 감시에만 의존해 왔다. 백신 업체들은 나날이 발생하는 새로운 변종들에 대한 탐지를 제공하기 위하여 엔진을 갱신시키고 보유하고 있는 공격 리스트에 대해서는 완벽한 탐지 성능을 보장해 주고 있다. 하지만 이들은 여전히 "알려진 바이러스가 없습니다!"라는 무책임한 말만을 되풀이할 뿐이다. 또한 관리하고 있는 망의 모든 호스트들에 백신 프로그램을 설치할 수는 없는 망 관리자 및 사업자는 안전한 트래픽 환경을 제공하기 위하여 네트워크 레벨에서의 보안관제 및 탐지가 가능한 기법을 요구하게 되었다.
네트워크 기반의 침입 탐지 기술은 트래픽의 패킷 데이터 정보를 이용하는 데, 근래의 고속 네트워크 환경에서는 패킷의 페이로드 데이터 영역까지 검사할 수 있을 만큼의 여유가 부족한 실정이다. 또한, 패킷기반의 탐지기법으로는 한 세션 전체에 의하여 나타날 수 있는 공격 특성을 정확히 특징지을 수 없는 경우도 발생 할 수 있다. 그래서, 프로토콜 헤더 정보만을 이용한 세션 기반의 척도 추출과 공격 특징 분석 기법이 필요하게 되었다.
더불어 지금까지 상용화된 제품들의 핵심 탐지 메커니즘으로는 주로 공격 시그니처 기반의 탐지 기법이 널리 활용되어 왔는데, 이러한 시그니처 기반의 탐지는 전문가의 분석에 의하여 그 탐지 패턴이 생성되어야 하므로, 새로운 공격에 대한 대처 능력이 부족하고 분석을 위한 비용이 크게 소요됨이 문제가 되고 있다. 이를 위해 여러 컴퓨터 과학분야에서 보다 세분화된 이론들이 등장하고 있으며, 데이터 마이닝을 이용한 기법, 인공지능 기법, 통계적인 기법, 확률에 기반한 기법 등 최근 연구가 활발히 진행되고 있다. 하지만 여전히 정확한 탐지를 위한 최적의 방법을 제공하지는 못하였다.
본 발명은 상기와 같은 제반 사정을 감안하여 발명한 것으로, 프로토콜 헤더 정보의 분석에 기반한 TCP 세션의 통계적인 정보들을 이용해서 규칙기반의 공격패턴을 자동으로 생성하기 위하여 데이터 마이닝의 연구 영역에 해당하는 이산적(Discrete) 척도와 연속적(Continuous) 척도의 분류(Classification)가 가능한 의사결정나무(Decision Tree)를 이용한 규칙기반 공격패턴의 자동 생성 모델을 제시하고 이를 이용한 공격 분류 방법을 제공할 수 있다.
본 발명에서 이용한 의사결정나무 알고리즘으로는 C4.5 알고리즘을 활용하였으며 이 나무 모델에 의하여 생성되는 규칙을 이용하여 공격의 특성이 정의된 패턴 으로 정형화할 수 있다. 더 나아가, 의사결정나무 모델이 가지는 예측/추론 능력 및 각 노드의 가중치 정보를 이용하여 알려지지 않은 변칙적인 공격에 있어서도 탐지가 가능한 유연한 패턴을 생성시킬 수 있으며 정상과는 구분되는 효과적인 악성 봇과 웜의 탐지패턴 자동 생성 방법을 제공할 수 있다.
상기 목적을 달성하기 위한 본 발명은 네트워크에 연결되어 다른 컴퓨터와 데이터를 송수신하며 상기 수신되는 데이터가 악성봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하는 탐지패턴생성부를 포함하여 구성되는 컴퓨터에 있어서 상기 탐지패턴생성부가 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법은 네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 가공 단계; 상기 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성하는 생성 단계; 상기 나무모형을 탐지규칙으로 탐지 패턴을 자동 생성하는 정형화단계 및; 각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고, 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 포함하여 구성하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 예시도면에 의거하여 상세히 설명한다.
탐지패턴의 자동생성및 탐지모델에서 엔트로피에 기반한 의사결정나무 알고리즘은, 데이터 마이닝의 분류 기법 가운데 의사결정나무(Decision Tree) 알고리즘로서 분류를 위한 나무 모형을 자동으로 구성한다. 나무 모형은 최종 노드로 분류되는 개체의 분류 과정을 한 눈에 알 수 있어 목표 개체의 규칙 추출에 용이하다. 더불어 구성되는 척도들의 조건들이 목표 개체에 어떠한 영향을 주는지 쉽게 알 수 있고, 목표 개체의 특성을 쉽게 파악할 수 있어 탐지규칙에 적용할 경우 규칙에 해당하는 공격과의 연관성을 규명하기에도 적합한 알고리즘이다. 이 가운데서도 C4.5 알고리즘은 엔트로피(Entropy)의 감소 값에 기반하여 나무 모형을 구성하는 알고리즘이다. 이는 이산적인 척도와 연속적인 척도 모두를 분류할 수 있으며 가지의 다진 분리가 가능하다. 이때의 분리 기준은 이산적인 척도와 연속적인 척도에서 각각 달리 적용된다.
이산적인 척도에 대한 효율적인 분리를 위해서는, 엔트로피를 계산하고 이를 정보 획득량(Information Gain)에 적용하여 엔트로피의 감소에 따라 높은 획득량을 얻는 척도를 상위 노드로 선정하는 방법을 이용한다. 즉 정보량이 높은 척도일수록 상위 노드로 구성하게 된다. 엔트로피를 이용한 방법은 특정 속성 값으로 구성되어 있는 패턴에서 유용한 방법인 것이다.
상위 노드를 구성할 척도 선정을 위해 전체 데이터에 대한 엔트로피가 우선 필요하다. 아래 식을 이용하여 전체 엔트로피를 구한다. 여기서 j는 각 공격이고 pj는 전체 정보에 대한 각 공격에 해당하는 확률 값이며 m은 공격 개수이다.
Figure 112005073343706-pat00001
전체 엔트로피를 구한 후, 각 척도에 대한 정보량을 계산해야 한다. 정보량을 얻기 위해 각 척도의 엔트로피를 이용한 정보 획득량 값이 필요하다. 아래 식은 각 척도의 정보 획득량 IG에 대한 공식이며, A는 각 척도를 나타내고 Dv는 척도의 각 값에 대한 빈도를 의미한다.
Figure 112005073343706-pat00002
각 척도의 정보 획득량을 구한 후, 그 값이 가장 큰 척도가 최상위 노드를 차지하게 된다. 최상위 노드가 결정되면 레벨-1의 나무 모형이 완성되고, 전체 공격에 대한 엔트로피를 계산하는 과정과 나무를 구성하는 각각의 노드를 형성하는 과정들을 최하위 노드의 정보 획득량이 0이 될 때까지 반복적으로 실행한다.
연속적인 척도에 대한 분리는 임계값(Threshold)을 적용하는 방법을 사용한다. 즉, 변수들의 집합이 임계값에 의하여 분리될 때의 엔트로피를 계산하여 그것을 정보 획득량에 의해 최대 정보량을 얻을 수 있는 임계값을 찾는다. 임계값을 정하는 식은 척도의 각 값 v = v1, v2, ... , vN일 때, 아래 식과 같다. N은 연속적인 척도가 가질 수 있는 값의 최대범위이다.
Figure 112005073343706-pat00003
연속적인 유형의 척도에 대한 엔트로피 계산 방법은 앞서 제시한 이산적인 척도에 대한 방법과 동일하지만, 정확한 임계값을 찾기 위해 많은 계산을 수행하게 된다.
도 1은 위의 과정을 통하여 생성된 탐지 규칙의 일부를 보여준다. HBreset_sent 척도가 최상위 노드로 결정되어 위치한 후에 HBtrunc_packet, HAsyn_count와 HBidletime_max 순으로 노드 분리가 일어남을 보여준다.
도 2는 C4.5 의사결정나무 알고리즘의 가지 형성을 통한 분류 모델 구성 알고리즘을 보인다.
의사결정나무의 구성에서 단일 의사결정나무의 구성은, 모든 공격 데이터와 정상 데이터를 학습시켜 하나의 의사결정나무를 구성한다. 이때 종종 서로 다른 변종의 공격이 같은 가지의 규칙으로 매칭될 수 있으며, 이는 분류율 저하의 원인이 된다. 하지만 단 한 번의 의사결정나무 비교만을 통하여 탐지 및 분류가 가능하므로 탐지 성능(Performance) 향상을 위하여 유용하며, 단일한 분류 결과를 제공하므로 명확한 결과 확인이 가능하다.
도 3은 학습 데이터를 기반으로 모든 공격 모델이 통합된 하나의 단일 의사결정나무를 구성하고 규칙을 추출하는 과정을 보인다. 학습 데이터는 통합된 모든 공격과 정상행위 데이터로 구성된다. 학습을 통하여 단 하나의 의사결정나무만이 생성되며, 이 나무 모델 안에 모든 공격 규칙이 융합되어 있다. 이 기법은 탐지패턴을 자동적으로 생성하기 위하여 본 발명에서 제안하는 가장 기본적이고 핵심적인 학습 기법이며 활용가치가 가장 높다.
도 4와 같이 공격별 의사결정나무의 구성은, 각 공격 데이터별로 각각 독립된 의사결정나무를 구성하여, 모든 공격이 자신만을 위한 독립적인 나무 모델을 가지도록 한다. 생성된 나무 모델로부터 해당 공격에 대하여 보다 정확한 규칙을 생성해 낼 수 있을 것으로 보이지만, 상대적으로 학습 시간 및 탐지 시간의 소모가 증가할 수 있다.
이 과정을 통하여 각 거리별 규칙이 생성되며, 이중 검증결과 성능이 가장 좋은 규칙을 생성해주는 기준 거리에서의 규칙만을 추출한다. 이렇게 생성된 규칙을 비교 분석하여 탐지율 및 오탐율에 있어서의 성능이 기준점 이상인 규칙만을 재차 추출하고 최적의 규칙만으로 재구성한다.
규칙기반 탐지패턴의 자동 생성은, 학습 데이터를 기반으로 모든 척도 값들의 정보를 추출하고 이어서 탐지에 중요한 척도들만을 선정하여 속성을 정의한다. 이렇게 가공된 학습 데이터를 이용하여, C4.5 의사결정나무 알고리즘은 트리의 노드들을 분리해 나가고 나무 모델을 구성한다.
각 노드들의 분리 기준에 의하여 가지를 형성하고, 최종 노드에는 각 가지들에 일치되는 데이터가 가리키게 될 부류명(Class)이 정의된다. 최종 노드에 도달하기까지 노드가 확장되어진 경로가 하나의 공격 특징을 규정하는 규칙이 된다.
도 5는 생성된 의사결정나무의 텍스트 형식 모형이다. 각 노드는 선정된 척도 값의 분리 기준에 의하여 하위 가지로 확장된다. 최종 노드에는 이 노드까지 도달한 스트림의 부류를 분류해 낼 기준을 제시하기 위하여 이 가지(뿌리 노드에서 최종 노드까지의 경로)에 해당하는 공격명(또는 이 세션이 정상트래픽에 해당하였다면, Normal)이 지정된다.
생성된 의사결정나무는 도 6과 같이 정형화를 위한 규칙 패턴으로 최종 변환되어진다. 하나의 가지가 공격 탐지를 위한 규칙이 되며, 이를 특정 형식으로 정형화하여 규칙 패턴을 생성한다.
규칙 패턴의 정형화된 형식은 도 7과 같이 표현된다. 규칙 번호는 학습을 통 해 각 규칙에 순서적으로 부여된 번호이며, 공격명 뒤로 규칙의 매칭을 위한 조건들이 열거된다. 말미에는 해당 규칙의 정확도가 계산된다.
한편, 탐지시스템의 구성에 있어, 학습을 위한 원천 데이터(공격과 정상행위에 대한 네트워크 패킷 데이터) 추출이 완료되면, 먼저 데이터를 가공하고 공격의 특성을 파악하여 탐지에 유용한 척도를 찾아낸다. 이후 공격 패턴을 규칙의 형태로 생성시키며, 생성된 패턴을 이용하여 탐지 성능과 분류 성능을 검증하고 실험한다.
탐지 시스템의 구성은 도 8과 같이 크게 세 단계로 이루어진다. 1단계는 데이터 초기 가공 및 척도간 거리를 구하는 단계로서, 우선 네트워크 레벨에서 학습에 필요한 정보를 추출하고 가공한다. 다시 가공한 정보를 이용하여 공격과 정상행위 분포에서 각 척도의 거리를 구하며, 이때 원하는 기준 거리 값에 의해 척도가 선정된다.
다음 2단계는 학습 단계로서, 1단계에서 선정한 척도와 가공한 정보를 의사결정나무 알고리즘을 이용하여 나무 모형을 생성한 후 탐지 규칙으로 정형화한다. 여기서 2단계가 바로 본 발명에서 제안하는 규칙기반 탐지패턴 자동 생성 방법이다. 최종 3단계는 실험 및 분석 단계로서, 각 네트워크의 세션이 끝날 때 정보를 탐지 규칙과 비교하여 매칭되면 알람을 울리고 이에 해당되는 규칙을 살펴봄으로써 공격의 특징을 분류한다.
데이터 가공에 있어, 추출해 낸 원천 덤프 데이터들은 학습을 통한 규칙 패턴 생성을 위하여 단계적인 가공이 필요하다. 도 9는 학습 과정에서 덤프 데이터의 가공 과정을 소개한다. 원천 네트워크 데이터로부터 세션 단위의 그룹화를 수행하 고, 각각의 세션들로부터 추출한 통계적 척도들을 .data 파일로 저장한다. 추출한 통계적 척도들에서 패턴 생성 및 탐지에 유용한 척도와 유용하지 않은 척도들을 구분하고, 최종 선정된 척도들과 그 속성을 .names 파일로 저장한다. 앞서 생성된 .data 파일과 .names 파일을 기반으로 의사결정나무 알고리즘을 이용하여 공격 탐지를 위한 나무 모델을 생성하고, 이로부터 규칙을 추출하여 패턴으로 정형화함으로써 .rules라는 프로파일을 생성한다.
알려지지 않는 공격탐지를 위한 확장에 있어 의사결정나무의 노드 레벨에 의하여 가중치를 적용한 규칙생성은, 만일 생성된 규칙이 너무 견고하다면, 학습에 포함되지 못한 유사한 공격행위에 대하여 대비할 수 없게 되는 단점을 보완하기 위한 방법이 필요하다. 의사결정나무는 더욱 정확한 분류율을 가지는 분리 기준을 더욱 상위 노드에 위치시키게 되므로, 하나의 가지를 이루는 각각의 노드에 해당하는 가지의 깊이(Depth)에 따른 가중치를 적용하면 좀 더 유연한 규칙을 얻을 수 있다.
도 10은 전체 학습 데이터를 기반으로 하나의 통합적인 단일 나무를 구성한 모형이며, SYN_counts, Elapsed_time, FIN_counts 그리고 HAwin_max 노드들은 입력 데이터와 정확히 매치되는 노드임을 나타낸다. 탐지되는 데이터는 뿌리 노드로부터 가지를 타고 규칙에 걸러져 내려오면서, 이들 노드를 지나게 될 때마다 얻은 노드 가중치(Node Weight) 값들의 합을 가지게 된다. 이 노드 가중치의 합이 임계값 이상이면 경보를 발생시키며, 해당 행위의 공격 여부는 노드 가중치 합의 최대값을 기준으로 판별되도록 한다.
탐지 시에는 도 11과 같이, 실험 데이터가 유입되면 모든 공격 및 정상행위 규칙패턴과의 비교로부터 노드 가중치의 합을 얻고, 이 값의 최대값을 가지는 부류(Class)로 분류된다. 학습을 통해 정상행위 규칙패턴도 함께 생성하므로, 정상행위 패턴으로도 분류가 가능하다.
하지만, 노드 가중치를 적용하면, 오탐지(False Positive) 비율이 너무 높게 나타날 수 있다. 규칙이 과도한 유연성을 가지지는 않도록 노드 가중치 합의 임계치를 적절히 조절해 주어야 한다.
의사결정나무의 가지치기에 의한 규칙생성에서는, 분류 오류를 크게 하거나 너무 견고한 규칙을 가지는 가지들을 제거하여, 규칙 생성에 간결성과 정확성을 부여하도록 한다. 의사결정나무 알고리즘은 가지마다 부여되는 오류 값을 기준으로 스스로 가지치기를 수행할 수 있다. 이를 사후-가지치기(Post-Pruning)라고 한다. 하지만, 가지치기는 오히려 탐지 성능을 저하시킬 우려가 있으므로 충분한 실험 결과를 토대로 주의하여 적용하여야 한다. 본 발명에서는 사전-가지치기(Pre-Pruning)인 척도 선정으로 대신한다.
본 발명에서는 제안된 방법에 따라 직접 환경을 구축하여 얻은 공격 덤프 데이터를 대상으로 훈련하고 실험하여, 생성된 탐지패턴의 타당성과 효율을 검증하고 공격의 탐지율과 분류율을 가늠한다. 또한 기존 연구와의 비교 테스트를 통하여 본 연구의 우수성을 평가한다.
실험은 단계별 경우의 수에 의하여 총 12가지 상태로 진행되고 있다. 학습 및 실험 데이터의 2가지 구성, 패턴 생성 단계에서의 2가지 방법, 성능 평가를 위 한 3가지 탐지 실험 대상 공격, 이들 각각의 조합에 의한 각각의 상태에서의 실험 결과를 분석하고 있다. 도 12는 단계적인 경로를 통한 실험 방법들을 보인다.
모든 원천 데이터(10)의 2/3는 학습(Training : 20)에, 나머지 1/3은 실험(Test :30)에 활용하고 있다. 학습 데이터(2/3)와 실험 데이터(1/3)의 분할 방법은 다음 두 가지 기준에 따른다. 첫째, 공격별 세션 수 단위로 분할한다. 각각의 세부 공격마다 포함되는 세션 개수를 기준으로 분할하며, 학습 데이터와 실험 데이터에 골고루 모든 공격들이 포함될 수 있다. 이는 표 1에서 보인다.
Figure 112005073343706-pat00004
둘째, 부류별 공격 수 단위로 분할하는 방법이다. 큰 공격 부류마다 포함되는 세부 공격들의 개수를 기준으로 분할하며, 학습 데이터와 실험 데이터가 각각 다른 공격들로 편성된다. 이는 표 2에서 보인다.
Figure 112005073343706-pat00005
학습소요시간은 네트워크 세션의 그룹화 이후부터 탐지패턴이 생성되기까지 소요되는 학습 시간만을 측정하고 있다. 원천 네트워크 데이터를 기반으로 세션단위 그룹화를 수행하는 방법은, 일반적으로 다양한 기법들이 존재하며 그 소요시간도 일관적이지 않으므로 학습 시간 계산은 무의미하다.
실험 환경을 위한 운영 장비는, CPU 3G Hz 및 RAM 2G Byte의 사양을 가지는 시스템으로서 리눅스 운영체제에 의하여 운영된다.
Figure 112005073343706-pat00006
탐지성능분석에 있어, 공격별 세션 수단위로 분할된 데이터 기반의 실험은, 표 2의 학습 데이터와 실험 데이터를 이용하여 탐지 실험한 결과를 보인다.
Figure 112005073343706-pat00007
Figure 112005073343706-pat00008
Figure 112005073343706-pat00009
결과표에서 사용되는 용어는 아래 식들로 정의된다. 분류율은 탐지와 더불어 분류 또한 가능한 확률이고, 오탐율은 정상행위를 공격행위로 판단할 확률이다.
Figure 112005073343706-pat00010
Figure 112005073343706-pat00011
Figure 112005073343706-pat00012
Figure 112005073343706-pat00013
표 5 , 표 6 그리고 표 7 은 학습시킬 모든 공격을 하나의 의사결정나무로 구성하고, 그로 인해 생성된 규칙패턴을 기반으로 실험한 결과를 보인다. 탐지율은 99%를 선회하고 있어 거의 완벽한 탐지 성능을 보여주고 있다. 분류에 있어서는 웜이 봇보다 용이했음을 알 수 있다. 이는 봇의 학습과 실험에 사용되었던 원천 데이터의 문제일 수 있다. 학습에 사용되어진 많은 봇 바이너리들의 행위는 완전한 공격 절차를 수행할 수 없으며 감염되기 전 단계 또는 숙주가 된 이후 공격대기 상태의 단계까지에만 머물러 있어 학습을 위한 충분한 행위 모델을 제시해 주기 어려웠다.
그럼에도 불구하고 탐지율에 있어서는 높은 성능을 보여주는 이유는, 그러한 전초적인 공격행위로 유발되는 미소한 특징까지도 정상행위와 구별되는 패턴화가 가능하였기 때문으로 분석되며, 낮은 오탐율을 유지할 수 있게 되었던 원인으로도 분석된다. 또한 bot_Wootbot과 worm_Korgo의 분류율이 0%로 나타나고 있음에는 다양한 원인이 있을 수 있지만, 이들의 분류 결과 분석은 이후 표 11, 표 12 그리고 표 13을 통하여 더욱 자세히 다루도록 한다.
도13~도15 에서는 생성된 의사결정나무에 노드 가중치를 적용하여 알려지지 않은 공격을 탐지한 결과에 대한 ROC 곡선(Receiver Operating Characteristic Curve)을 보이고 있다. 상기 ROC 곡선에서는 탐지율(Detection Rate)이 높고 오탐율(False Positive Rate)이 낮을수록 좋은 결과가 된다. 봇 탐지 성능은 기준 거리 값이 78일 때 오탐율이 가장 낮은 이상적인 결과를 보여주고, 웜 탐지에 있어서는 탐지율의 증가와 더불어 오탐율의 증가 폭이 너무 두드러져 좋은 결과라고 볼 수 없다.
높은 오탐율의 원인은 실험 데이터의 특성 때문일 수 있으며, 학습 데이터와 실험 데이터가 모두 같은 공격에 대한 데이터를 포함하고 있기 때문에 탐지 시에 기존 학습된 데이터와 유사하다고 판단할 확률도 그만큼 증가하게 될 것이다.
부류별 공격 수단위로 분할된 데이터기반의 실험에 있어, 표 8의 학습 데이터와 실험 데이터를 이용하여 탐지 실험한 결과를 보인다.
Figure 112005073343706-pat00014
Figure 112005073343706-pat00015
Figure 112005073343706-pat00016
표 7, 표 8 그리고 표 9에서는 학습시킬 모든 공격을 하나의 의사결정나무로 구성하고, 그로 인해 생성된 규칙패턴을 기반으로 실험한 결과이다. 이 실험은 학습과 실험 데이터 구성의 특성상, 알려지지 않은 공격 탐지 결과로 인정될 수 있다. 공격별 세션 수 단위로 분할된 데이터를 기반으로 실험했던 결과보다는 탐지율이 극소폭 저하되기는 했으나, 여전히 고수준의 탐지율을 보여주고 있다.
이 실험 결과로부터, 제안한 기법이 알려지지 않은 변종 봇과 웜의 탐지에도 유용함을 알 수 있다. 의사결정나무 알고리즘은 예측 및 추론 모델을 제시하므로 그 자체로도 알려지지 않은 공격의 탐지 효능이 높다. 낮은 오탐율 또한 좋은 탐지 성능에 기여하고 있다. 분류율에 있어서는 전체적으로 그 성능을 신뢰하기 어려울 것으로 보이는데, 알려지지 않은 공격을 정확히 분류해 내기에는 학습 데이터의 영향을 많이 받게 되며, 일부 공격에서 분류율이 현저히 낮게 나타나 전체 분류율이 저하되는 양상을 보여주기도 한다.
하지만 실험 대상이 알려지지 않은 공격이라는 점에서 분류 성능보다는 탐지 성능에 더욱 큰 가치를 두고자 한다. 이들의 분류 결과 분석은 이후 표 13, 표 14 그리고 표 15 을 통하여 더욱 자세히 다루도록 한다.
본 발명에서 제안한 기법의 연구 실험 결과를 바탕으로 실제 보안 시스템에 적용하기 위해서는 크게 세 가지 사항이 요구된다. 첫째, 초기 탐지패턴의 프로파일링 모델은 다량의 데이터와 충분한 공격행위 데이터를 기반으로 생성되어야 한다. 학습 데이터의 정확성과 방대성에 비례하여 탐지패턴의 정확도도 증가하게 된다. 둘째, 탐지 데이터에 대한 오프라인 감사가 요구될 수도 있어야 하며, 이후 패턴 자동 업데이트를 통하여 분류율을 향상시킬 필요가 있다. 이는 탐지한 새로운 공격에 대한 내성을 기르고 향후 정확한 분류가 가능하도록 한다. 셋째, 효율적인 공격 분류를 위해서는 우선적으로 공격의 명명 기준이 명확해야 한다. 공격의 부류(Class)를 해당 공격들의 실시간적인 행위에 기반하여 분류하도록 한다.
도 16, 도 17 그리고 도 18 에서는 생성된 의사결정나무에 노드 가중치를 적용하여 알려지지 않은 공격을 탐지한 결과에 대한 ROC 곡선을 보인다. 앞서 공격별 세션 수 단위로 분할된 데이터를 기반으로 하여 실험되어진 결과보다 향상된 성능을 보여주고 있다. 탐지 성능은 그대로 유지하면서 오탐율(False Positive Rate)은 감소하였는데, 그 원인은 실험 데이터가 이미 학습된 데이터와는 다른 공격에 대한 데이터로 이루어져 있기 때문에 비슷한 공격으로 오인할 확률이 낮아졌기 때문인 것으로 추측해 볼 수 있다. 오탐율에 있어서, 단일 의사결정나무를 구성하여 탐지한 결과보다도 뛰어난 성능을 보여준다. 반면 노드 가중치를 적용하면 분류율을 가늠하기 어렵다는 단점이 내재한다. 하지만 알려지지 않은 공격에 있어서는 일단 탐지가 그 주요 목적이 될 것이다.
총괄적인 실험 결과를 도 19에서 보인다. 단일 의사결정나무를 이용한 기본적인 기법을 통해서도 알려지지 않은 공격에 대해서 높은 탐지 성능을 그대로 유지하고 있음을 알 수 있으며, 노드의 단계별 가중치를 적용하였을 때에는 탐지 성능 면에서의 상대적인 이득도 없이 오히려 오탐율의 증가만을 초래하고 있다.
분류결과분석에 있어, 공격별 세션수 단위로 분할된 데이터기반의 실험은, 표 7의 학습 데이터와 실험 데이터를 이용하여 탐지 실험한 결과를 보인다.
Figure 112005073343706-pat00017
Figure 112005073343706-pat00018
Figure 112005073343706-pat00019
표 10, 표 11 그리고 표 12에서는 모든 탐지된 공격들에 대한 오분류 행렬(Confusion Matrix)을 구성하여, 탐지된 공격들의 분류와 미분류에 대한 분포를 파악하고 있다. 이들 각각은 표 4, 표 5 그리고 표 6에서 보인 분류율을 분석한 결과이다. 정확히 대각선상에 위치하는 좌표 구간들이 잘 분류된 공격들이며, 그 외 잘못 분류된 공격들이 대각선을 주위로 분산된 좌표 구간들에서 나타나 있다. 분산된 좌표 구간들의 분포가 대각선을 중심으로 전반적인 대칭을 이루고 있음을 알 수 있는데, 이는 대칭이 되는 두 공격들이 서로를 유사한 공격으로 식별하고 있는 원인으로 분석된다. 여기서 알 수 있듯이, 비슷한 부류(Class)의 서로 다른 변종 공격들 간의 분류가 대체로 어려웠다.
부류별 공격 수단위로 분할된 데이터기반의 실험은, 표 2의 학습 데이터와 실험 데이터를 이용하여 탐지 실험한 결과를 보인다. 일부 학습에만 이용되고 실험에는 이용되지 않는 공격 부류(Class)들에 의하여 공백이 발생한다.
Figure 112005073343706-pat00020
Figure 112005073343706-pat00021
Figure 112005073343706-pat00022
표 13, 표 14 그리고 표 15에서는 모든 탐지된 공격들에 대한 오분류 행렬(Confusion Matrix)을 구성하여, 탐지된 공격들의 분류와 미분류에 대한 분포를 파악하여 보았다. 이들 각각은 표 7, 표 8 그리고 표 9에서 보인 분류율을 분석한 결과이다. 실험 데이터 구성의 특성상, 학습 데이터에만 포함되고 실험 데이터에는 포함되지 않은 일부 공격 부류들(bot_Gobot, bot_Wootbot, worm_Blaster, worm_Korgo, worm_Mimail, worm_Mytob, worm_Opaserv, worm_Tibick)이 있으므로 이 공격들은 탐지 실험 자체가 불가능하다. 하지만 학습 데이터에 포함되어 있음으로 인하여, 실험 과정에서 다른 공격 부류가 해당 공격으로 분류되는 현상은 얼마든지 일어날 수 있다.
이상 설명한 바와 같이, 의사결정나무 알고리즘은 방대한 학습 데이터를 분석하여 이를 규칙화함으로서 특징을 정확히 묘사할 수 있다는 장점이 있다.
또한 의사결정나무 알고리즘을 이용하는 분류(Classification) 모델을 활용하여 TCP 세션 정보를 기반으로 악성 봇과 웜의 규칙기반 탐지패턴을 자동 생성하는 기법을 적용할 수 있게 됨으로써 탐지패턴의 정확성을 높일 수 있다는 장점이 있다.
또한 이렇게 생성된 규칙기반의 탐지패턴들을 분석해 봄으로써 각 공격 세션들이 가지는 공격과의 연관성과 그 특성을 유추해 볼 수 있다.

Claims (10)

  1. 삭제
  2. 네트워크에 연결되어 다른 컴퓨터와 데이터를 송수신하며 상기 수신되는 데이터가 악성봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하는 탐지패턴생성부를 포함하여 구성되는 컴퓨터에 있어서 상기 탐지패턴생성부가 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법은
    네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 가공 단계;
    상기 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성하는 생성 단계;
    상기 나무모형을 탐지규칙으로 탐지 패턴을 자동 생성하는 정형화단계 및;
    각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고, 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 포함하여 구성하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  3. 제 2 항에 있어서,
    상기 가공 단계는 공격과 정상행위 분포에서 각 척도의 거리를 구하며, 이때 원하는 기준 거리 값에 의해 척도를 선정하는 단계로 이루어진 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  4. 제 2 항에 있어서,
    상기 나무모형은 이산적인 척도와 연속적인 척도의 분리에 의해 이루어지며;
    상기 이산적인 척도는 엔트로피를 계산하고 이를 정보 획득량에 적용하여 엔트로피의 감소에 따라 높은 획득량을 얻는 척도를 상위 노드로 선정하는 방법을 이용하고, 연속적인 척도에 대한 분리는 임계값을 적용하는 방법을 사용하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  5. 제 2 항에 있어서,
    상기 실험은 단계별 경우의 수에 의하여 학습 및 실험 데이터의 2가지 구성, 패턴 생성 단계에서의 2가지 방법, 성능 평가를 위한 3가지 탐지 실험 대상 공격, 이들 각각의 조합에 의한 각각의 상태에서의 실험 결과를 분석하고 있는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  6. 제 5 항에 있어서,
    모든 원천 데이터의 2/3는 학습데이터에, 나머지 1/3은 실험데이터에 활용한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  7. 제 6 항에 있어서,
    상기 학습 데이터(2/3)와 실험 데이터(1/3)의 분할 방법은 공격별 세션 수 단위로 분할한 것으로, 각각의 세부 공격마다 포함되는 세션 개수를 기준으로 분할하며, 학습 데이터와 실험 데이터에 골고루 모든 공격들이 포함한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  8. 제 7 항에 있어서,
    부류별 공격 수 단위로 분할하는 방법은 큰 공격 부류마다 포함되는 세부 공격들의 개수를 기준으로 분할하며, 학습 데이터와 실험 데이터가 각각 다른 공격들로 편성한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  9. 제 2 항에 있어서,
    단일 의사결정나무로부터 생성한 규칙패턴을 이용한 봇 탐지, 웜 탐지, 그리고 봇과 웜이 혼재하는 공격에 있어서의 높은 탐지율은 전초적인 공격행위로 유발되는 미소한 특징까지도 정상행위와 구별되는 패턴화에 의해 구현된 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
  10. 제 2 항에 있어서,
    최종 노드에 도달하기까지 노드가 확장되어진 경로를 하나의 공격 특징을 규정하는 규칙으로 하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
KR1020050123724A 2005-12-15 2005-12-15 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 KR100615080B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050123724A KR100615080B1 (ko) 2005-12-15 2005-12-15 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050123724A KR100615080B1 (ko) 2005-12-15 2005-12-15 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법

Publications (1)

Publication Number Publication Date
KR100615080B1 true KR100615080B1 (ko) 2006-08-25

Family

ID=37601052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050123724A KR100615080B1 (ko) 2005-12-15 2005-12-15 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법

Country Status (1)

Country Link
KR (1) KR100615080B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100959264B1 (ko) 2009-08-26 2010-05-26 에스지에이 주식회사 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
KR101045556B1 (ko) 2008-12-24 2011-06-30 고려대학교 산학협력단 네트워크 기반의 irc 봇넷 탐지 방법
KR101045331B1 (ko) 2008-12-24 2011-06-30 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
KR101045330B1 (ko) 2008-12-24 2011-06-30 한국인터넷진흥원 네트워크 기반의 http 봇넷 탐지 방법
KR101143097B1 (ko) 2008-04-22 2012-05-08 알까뗄 루슨트 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크
KR101273018B1 (ko) 2012-09-12 2013-06-10 (주)비즈아이솔루션 가상 세션 분석을 통한 이메일 발송제어 규칙 추론 시스템
WO2018164701A1 (en) * 2017-03-10 2018-09-13 Visa International Service Association Identifying malicious network devices
US10154067B2 (en) 2017-02-10 2018-12-11 Edgewise Networks, Inc. Network application security policy enforcement
US10348599B2 (en) 2017-11-10 2019-07-09 Edgewise Networks, Inc. Automated load balancer discovery
US10439985B2 (en) 2017-02-15 2019-10-08 Edgewise Networks, Inc. Network application security policy generation

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101143097B1 (ko) 2008-04-22 2012-05-08 알까뗄 루슨트 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크
KR101045556B1 (ko) 2008-12-24 2011-06-30 고려대학교 산학협력단 네트워크 기반의 irc 봇넷 탐지 방법
KR101045331B1 (ko) 2008-12-24 2011-06-30 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
KR101045330B1 (ko) 2008-12-24 2011-06-30 한국인터넷진흥원 네트워크 기반의 http 봇넷 탐지 방법
KR100959264B1 (ko) 2009-08-26 2010-05-26 에스지에이 주식회사 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
KR101273018B1 (ko) 2012-09-12 2013-06-10 (주)비즈아이솔루션 가상 세션 분석을 통한 이메일 발송제어 규칙 추론 시스템
US10154067B2 (en) 2017-02-10 2018-12-11 Edgewise Networks, Inc. Network application security policy enforcement
US10439985B2 (en) 2017-02-15 2019-10-08 Edgewise Networks, Inc. Network application security policy generation
WO2018164701A1 (en) * 2017-03-10 2018-09-13 Visa International Service Association Identifying malicious network devices
US11425148B2 (en) 2017-03-10 2022-08-23 Visa International Service Association Identifying malicious network devices
US10348599B2 (en) 2017-11-10 2019-07-09 Edgewise Networks, Inc. Automated load balancer discovery

Similar Documents

Publication Publication Date Title
KR100615080B1 (ko) 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법
CN111818052B (zh) 基于cnn-lstm的工控协议同源攻击检测方法
KR100623552B1 (ko) 자동침입대응시스템에서의 위험수준 분석 방법
Chen et al. An effective conversation-based botnet detection method
Lee et al. Detection of DDoS attacks using optimized traffic matrix
Prasad et al. DoS and DDoS attacks: defense, detection and traceback mechanisms-a survey
Procopiou et al. ForChaos: Real time application DDoS detection using forecasting and chaos theory in smart home IoT network
Yusof et al. Systematic literature review and taxonomy for DDoS attack detection and prediction
Bapat et al. Identifying malicious botnet traffic using logistic regression
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
Soe et al. Rule generation for signature based detection systems of cyber attacks in iot environments
Li et al. Early detection of DDoS based on $\varphi $-entropy in SDN networks
CN111709034A (zh) 基于机器学习的工控环境智能安全检测系统与方法
Wang et al. Detecting flooding DDoS attacks in software defined networks using supervised learning techniques
KR101538374B1 (ko) 사이버 위협 사전 예측 장치 및 방법
Sanjeetha et al. Detection and mitigation of botnet based DDoS attacks using catboost machine learning algorithm in SDN environment
CN110557397A (zh) 一种基于混沌理论分析的DDoS攻击检测方法
Nair et al. A study on botnet detection techniques
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Najafimehr et al. DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy
Zhai et al. Distributed denial of service defense in software defined network using openflow
Caulkins et al. A dynamic data mining technique for intrusion detection systems
Sun et al. A rough set approach for automatic key attributes identification of zero-day polymorphic worms
Ahmed et al. Enhancing intrusion detection using statistical functions

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130812

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150909

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160805

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170711

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190620

Year of fee payment: 14