KR100725179B1 - 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 - Google Patents
목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 Download PDFInfo
- Publication number
- KR100725179B1 KR100725179B1 KR1020050056299A KR20050056299A KR100725179B1 KR 100725179 B1 KR100725179 B1 KR 100725179B1 KR 1020050056299 A KR1020050056299 A KR 1020050056299A KR 20050056299 A KR20050056299 A KR 20050056299A KR 100725179 B1 KR100725179 B1 KR 100725179B1
- Authority
- KR
- South Korea
- Prior art keywords
- entropy
- network
- anomaly
- network traffic
- intranet
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Algebra (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 트래픽 어노멀리(anomaly) (이하, '어노멀리'라고 약칭함)를 검출하는 방법에 관한 것으로, IP 패킷 헤드의 목적지 네트워크별 확률분포를 기준으로 엔트로피(entropy)를 계산하여 어노멀리 검출에 이용함에 따라 기존 어노멀리 검출과 비교해 구현 및 사용의 편리성을 제공하는 이점이 있는 것으로서, 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법에 있어서, 외부 인터넷 망과 내부 인트라넷 망을 연결하는 보드 라우터를 통해 인트라넷 망으로 유입되는 트래픽의 엔트로피를 산출하는 엔트로피 산출단계와, 상기 산출된 트래픽의 엔트로피와 미리 저장되어 있는 평균 엔트로피를 비교하여 어노멀리를 판단하는 어노멀리 판정단정단계로 이루어진 것을 특징으로 한다.
어노멀리, 네트워크 보안, 엔트로피
Description
도 1은 본 발명에 따른 엔트로피를 이용한 어노멀리 검출이 적용된 네트워크 구성도,
도 2는 본 발명에 따른 어노멀리 검출기 구성도,
도 3은 본 발명에 따른 목적지 네트워크 ID 확률분포 좌표 구성도,
도 4는 본 발명에 따른 어노멀리 검출을 위한 좌표 구성도,
도 5는 본 발명에 따른 어노멀리 검출 결정 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
101 : 인터넷 망 102 : 라우터
103 : 인트라넷 망 104 : 네트워크 ID w.x.y.z
105 : 네트워크 ID a.b.c.d 200 : 어노멀리 검출기
본 발명은 네트워크 트래픽 어노멀리(anomaly, 이하, '어노멀리'라고 약칭함)를 검출하는 방법에 관한 것으로,
보다 상세하게는 IP 패킷 헤드의 목적지 네트워크 별 확률분포를 기준으로 엔트로피(entropy)를 계산하여 어노멀리를 검출하기 위한 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법에 관한 것이다.
주지와 같이, 오늘날 산업, 정부, 그리고 심지어 일반 개인 생활이 인터넷에 점점 더 의존해 감에 따라 네트워크를 통한 정보 흐름에 관한 중요성이 한층 강조되고 있다. 그러나 해커들에 의한 네트워크 혹은 주요 서버 컴퓨터에 대한 침입이나 공격은 네트워크를 마비시킴으로서 전자 상거래 서비스 중단과 같은 심각한 경제적 손실뿐만 아니라 인터넷 서비스 중단에 따른 극심한 사회적 혼란을 초래하고 있다. 상기와 같은 공격으로부터 네트워크를 보호하기 위한 침입탐지시스템 기술은 대부분 잘 알려진 공격 시그너처(signature)를 기준으로 패턴 매칭에 의해 공격을 검출해 내는 방법을 사용한다.
그러나 상기와 같은 기존 방법들은 알려지지 않은 공격(일명 어노멀리(anomaly) 라고 함)으로부터 네트워크를 보호하는 것은 불가능하다는 문제점이 있다.
상기 어노멀리 검출을 위한 방법은 네트워크 기반과 호스트 기반으로 이루어진다. 초기 어노멀리 검출은 호스트 기반으로서 유닉스 서버 혹은 운영체제 서비스의 오류를 이용한 공격을 검출한다. 상기 공격은 시스템 콜의 정상적인 패턴으로부터 벗어나며, 어노멀리 검출은 이와 같은 비정상적인 시스템 콜 패턴을 확인하게 된다. 한편 네트워크 기반은 네트워크 트래픽의 정상 사용 패턴(normal usage pattern)을 인지한 후 트래픽을 모니터링하여 이들 정상 사용 패턴을 벗어나는 네트워크 트래픽을 어노멀리로 검출한다. 상기 네트워크 트래픽 어노멀리는 네 가지 카테고리, 즉 서비스거부공격(Denial of Service) 혹은 플러딩(flooding)공격과 같은 공격(attack), 하드웨어 장애, 사용자 폭주(flash crowds), 그리고 측정 실패 등으로 분류한다. 이들 네트워크 트래픽 어노멀리를 빠르고 정확하게 판단하는 것은 네트워크의 효율적인 운영에 있어서 매우 중요하다.
종래의 네트워크 트래픽 어노멀리 검출 방법은 크게 두 가지 유형으로 분류할 수 있다. 첫 번째 방법은 패킷의 헤드 정보 즉 TCP/IP 프로토콜 속성을 모니터링하여 이를 기반으로 어노멀리를 검출한다.
상기와 같은 방법은 오늘날 대부분의 공격들이 비정상적인 TCP 플래그 혹은 IP 옵션, 유효하지 않은 일련번호(sequence number), 잘못된 체크섬(checksum), 위장된 주소(spoofed address) 등을 이용하기 때문이다. 두 번째 방법은 네트워크 트래픽을 타임 시리즈로 모델링하고, 상기 모델링으로부터 정상 트래픽을 정의하기 위해 통계적 편차(statistical deviations)를 결정한 다음 이들로부터 벗어나는 트래픽을 네트워크 어노멀리로 검출하는 방법이 있다.
상기와 같은 종래 네트워크 트래픽 어노멀리 검출 방법들은 TCP/IP 프로토콜 정보를 대량으로 관리하고 처리해야 하며 타임 시리즈 모델링을 위한 많은 관련 파라미터들을 설정해야 하는 문제점이 있다.
본 발명은 이와 같은 종래의 문제점을 해결하기 위하여 제안한 것으로, 외부 인터넷 망에서 내부 인트라넷 망으로 유입되는 IP 패킷의 헤드 정보 내 목적지 IP 주소를 기준으로 확률분포를 구하고, 상기 확률분포로부터 엔트로피를 계산하여 어노멀리를 검출함으로써 기존 어노멀리 검출과 비교해 구현 및 사용의 편리성을 제공하는 데 그 목적이 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 실시예는, 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법에 있어서, 외부 인터넷 망과 내부 인트라넷 망을 연결하는 보드 라우터를 통해 인트라넷 망으로 유입되는 네트워크 트래픽의 엔트로피를 산출하는 엔트로피 산출단계와, 상기 산출된 네트워크 트래픽의 엔트로피와 미리 저장되어 있는 평균 엔트로피를 비교하여 어노멀리를 판단하는 어노멀리 판정단정단계로 이루어진 것을 특징으로 한다.
본 발명의 실시예로는 다수개가 존재할 수 있으며, 이하에서는 첨부한 도면을 참조하여 바람직한 실시예에 대하여 상세히 설명하기로 한다. 이 실시예를 통해 본 발명의 목적, 특징 및 이점들을 보다 잘 이해할 수 있게 된다.
도 1은 본 발명에 따른 엔트로피를 이용한 어노멀리 검출이 적용된 네트워크 구성도로서, 외부 인터넷 망(101)과 내부 인트라넷 망(103)을 연결하고 동시에 인터넷 망(101)에서 인트라넷 망(103)으로 유입되는 네트워크 트래픽을 미러링하여 어노멀리 검출기(200)로 전달하는 보드 라우터(102)와 보드 라우터(102)를 통해 미러링되어 인트라넷 망(103)으로 유입되는 네트워크 트래픽의 엔트로피를 계산하고, 계산된 엔트로피 데이터와 엔트로피 데이터베이스(도 2의 203)에 저장되어 있는 평균 엔트로피를 상호비교하여 어노멀리를 판단, 검출하는 어노멀리 검출기(200)와 인트라넷 망(103) 내 
개의 네트워크 ID(104, 105)로 이루어진 망 구성도이다.
도 2는 본 발명에 따른 어노멀리 검출기(200)의 상세도이다.
도시된 바와 같이 보드 라우터(102)를 통해 인트라넷 망(103)으로 유입되는 네트워크 트래픽이 라우터(102)를 통해 미러링되어 어노멀리 검출기(200)로 전달되고, 이들 입력 네트워크 트래픽은 프로미스큐어스 모드(promiscuous mode)로 설정된 이더넷 접속부(201)을 통해 모두 어노멀리 검출 데몬(202)에 전달된다.
어노멀리 검출 데몬(202)은 입력된 IP 패킷의 헤드 정보 내 목적지 IP 주소를 이용해 인트라넷 망 내 
개의 네트워크 ID(104, 105)를 랜덤변수 
로 설정하여 확률분포를 구하고 이들 분포로부터 엔트로피를 계산하여 엔트로피 데이터베이스(203)에 저장되어 있는 평균 엔트로피와 비교해 어노멀리를 판정한다.
도 3은 본 발명에 따른 어노멀리 검출 데몬(202)이 특정시간 동안 랜덤변수 
, 즉 외부 인터넷 망(101)에서 내부 인트라넷 망(103)으로 유입되는 네트워크 트래픽을 내부 인트라넷 망 내 목적지 네트워크에 따른 확률분포를 구하기 위한 2차원 좌표 구성도이다.
도시된 바와 같이 어노멀리 검출 데몬(202)은 특정시간 동안 네트워크 ID w.x.y.z(104)로 향하는 IP 패킷 수를 총 유입 패킷 수로 나누어 하나의 점(303)으 로 나타내고, 네트워크 ID a.b.c.d(105)로 향하는 IP 패킷 수를 총 유입 패킷 수로 나누어 하나의 점(204)으로 나타내며, 상기와 동일한 방법으로 인트라넷 망(103) 내에 존재하는 
개 네트워크 ID에 대해 계산하여 확률분포로 나타낸다. 이때 x축을 네트워크 ID(301), 그리고 y축을 확률(302)로 나타낸다. 이들 확률분포로부터 다음 식1에 의해 엔트로피를 계산한다.
여기서, "
"는 베이스가 2인 
에 대한 로그함수이며 
는 0으로 정의한다. 한편, 랜덤 변수 
는 목적지 네트워크 ID가 된다.
이들 엔트로피를 5분 단위로 수집된 확률분포를 사용해 계산할 경우 다음 표 1에 예시한 바와 같이 각 요일별 그리고 시간대 별로 서로 다른 엔트로피를 갖는 엔트로피 데이터베이스(203)가 만들어 진다. 이때 엔트로피는 다음 식2에 의해 지수평활화(exponential smoothing)를 사용한다.
여기서, 
는 주기를 나타내고 
는 현 시점 
에서 계산된 엔트로피이며 
은 엔트로피 데이터베이스(203)에 저장되어 있는 
시점에 저장된 평균 엔트로피이며 
는 현 시점 
에서 계산된 새로운 평균 엔트로피 값으로 
와 대치되어 엔트로피 데이터베이스(203)에 저장된다.
[표 1]
| 요일 | 시간 | 평균 엔트로피 |
| 월 | 00:00 - 00:05 | e1 |
| 00:05 - 00:10 | e2 | |
| · · | · · | |
| 23:50 - 23:55 | e287 | |
| 23:55 - 24:00 | e288 | |
| · · | · · | · · |
| 일 | · · | · · |
| 23:50 - 23:55 | e2015 | |
| 23:55 - 24:00 | e2016 |
도 4는 본 발명에 따른 어노멀리를 검출하기 위한 2차원 좌표 구성도이다.
도시된 바와 같이 어노멀리 검출 데몬(202)은 다음 식3과 같이 현 시점 
에서 계산된 엔트로피 
가 엔트로피 데이터베이스(203)에 저장된 해당 평균 엔트로피에 상한 여유값 
임계치(404)과 하한 여유값 
임계치(407) 사이에 들어가는 신뢰구간(403)을 벗어나면 어노멀리가 검출된 것으로 판단한다. 즉 상한 임계치(404)를 넘어서는 엔트로피(406)와 하한 임계치(405)를 못 미치는 엔트로피(407)는 어노멀리로 판단한다.
상기 식 1에 의한 엔트로피 계산값은 외부 인터넷 망(101)에서 내부 인트라넷 망(103) 으로 유입되는 네트워크 트래픽이 
개의 내부 네트워크 ID로 균일하게 나누어질수록 높아지는 특징을 가지게 된다. 따라서 외부로부터 인트라넷 망(103)에 존재하는 특정 서버에 대한 서비스거부(DoS: Denial-of-Service) 공격이 가해지면 특정 네트워크 ID로 향하는 IP 패킷 수가 급격하게 증가함에 따라 평소에 비해 엔트로피가 감소하게 된다.
또한 외부로부터 인트라넷 망(103)으로 호스트 스캔과 같은 공격이 가해지면 입력 IP 패킷들이 인트라넷 망(103)의 모든 네트워크 ID로 균일하게 분포되어 평소에 비해 엔트로피가 증가하게 된다.
상기에서는 본 발명의 일 실시예에 국한하여 설명하였으나 본 발명의 기술이 당업자에 의하여 용이하게 변형 실시될 가능성이 자명하다. 이러한 변형된 실시예들은 본 발명의 특허청구범위에 기재된 기술사상에 포함된다고 하여야 할 것이다.
전술한 바와 같이 본 발명은 어노멀리를 검출하는 방법에 관한 것으로, IP 패킷 헤 드의 목적지 네트워크 별 확률분포를 기준으로 엔트로피를 계산하여 어노멀리 검출에 이용함에 따라 기존 어노멀리 검출과 비교해 구현 및 사용의 편리성을 제공하는 이점이 있다.
아울러, 타임시리즈 모델링 및 복잡한 통계적 자료를 이용하기 위해 많은 종류의 파라미터를 설정하고 사용해야 하는 종래 어노멀리 검출 방법들과는 달리 본 발명은 신뢰구간 파라미터만 결정함으로서 기존 어노멀리 검출과 비교해 구현 및 사용의 편리성을 제공하는 효과가 있다.
Claims (3)
- 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법에 있어서,외부 인터넷 망과 내부 인트라넷 망을 연결하는 보드 라우터를 통해 인트라넷 망으로 유입되는 네트워크 트래픽의 엔트로피를 산출하는 엔트로피 산출단계와,상기 산출된 네트워크 트래픽의 엔트로피와 미리 저장되어 있는 평균 엔트로피를 비교하여 어노멀리를 판단하는 어노멀리 판정단정단계,로 이루어진 것을 특징으로 하는 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법.
- 제 1 항에 있어서, 상기 엔트로피 산출단계는,외부 인터넷 망에서 내부 인트라넷 망으로 유입되는 네트워크 트래픽을 인트라넷 망에 존재하는 네트워크 ID 별 확률분포에 근거한 엔트로피를 계산하는 것을 특징으로 하는 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법.
- 제 1 항에 있어서, 상기 어노멀리 판정단계는,상기 산출된 엔트로피를 지수평활화 방법을 사용하여 하루 단위, 시간 단위, 계절 단위, 혹은 월 단위로 평균 엔트로피를 데이터베이스화하고, 저장된 평균 엔트로피 값에 신뢰구간을 설정해 어노멀리를 검출하는 것을 특징으로 하는 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽 어노멀리 검출 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050056299A KR100725179B1 (ko) | 2005-06-28 | 2005-06-28 | 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050056299A KR100725179B1 (ko) | 2005-06-28 | 2005-06-28 | 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20070000728A KR20070000728A (ko) | 2007-01-03 |
| KR100725179B1 true KR100725179B1 (ko) | 2007-06-04 |
Family
ID=37868483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050056299A KR100725179B1 (ko) | 2005-06-28 | 2005-06-28 | 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100725179B1 (ko) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100707101B1 (ko) * | 2006-07-19 | 2007-08-10 | 이화여자대학교 산학협력단 | 센서 및 이동 네트워크에서 유사 엔트로피를 이용하여플러딩 공격을 탐지하는 방법 |
| KR100974888B1 (ko) | 2007-11-26 | 2010-08-11 | 한국전자통신연구원 | 비정상 트래픽 탐지 장치 및 방법 |
| CN103281336A (zh) * | 2013-06-19 | 2013-09-04 | 上海众恒信息产业股份有限公司 | 网络入侵检测方法 |
| CN112348586A (zh) * | 2020-11-13 | 2021-02-09 | 北京奇虎科技有限公司 | 流量作弊检测方法、装置、设备及可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050030186A (ko) * | 2005-02-28 | 2005-03-29 | 강구홍 | NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법 |
-
2005
- 2005-06-28 KR KR1020050056299A patent/KR100725179B1/ko not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050030186A (ko) * | 2005-02-28 | 2005-03-29 | 강구홍 | NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20070000728A (ko) | 2007-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
| US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
| JP4677569B2 (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| CN106850637B (zh) | 一种基于流量白名单的异常流量检测方法 | |
| US7917957B2 (en) | Method and system for counting new destination addresses | |
| CN113114694A (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
| KR100725179B1 (ko) | 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| WO2010105843A1 (en) | Detecting network traffic anomalies in a communication network | |
| JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| Yusupdjanovich et al. | Improvement the schemes and models of detecting network traffic anomalies on computer systems | |
| JPWO2019240019A1 (ja) | 異常解析装置、製造システム、異常解析方法及びプログラム | |
| US8095981B2 (en) | Worm detection by trending fan out | |
| Patil et al. | Software Defined Network: DDoS Attack Detection | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| Blaise et al. | Split-and-Merge: detecting unknown botnets | |
| Gaurav et al. | Entropy-score: A method to detect ddos attack and flash crowd | |
| JP2008219525A (ja) | ネットワーク異常検知方法およびネットワーク異常検知システム | |
| Baskar et al. | Adaptive IP traceback mechanism for detecting low rate DDoS attacks | |
| JP2006115129A (ja) | ネットワーク異常検出システム | |
| Zheng et al. | Traffic anomaly detection and containment using filter-ary-sketch | |
| Zhou et al. | Network-wide anomaly detection based on router connection relationships | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20100527 Year of fee payment: 4 |
|
| LAPS | Lapse due to unpaid annual fee |