KR102119636B1 - Anonymous network analysis system using passive fingerprinting and method thereof - Google Patents

Anonymous network analysis system using passive fingerprinting and method thereof Download PDF

Info

Publication number
KR102119636B1
KR102119636B1 KR1020180139856A KR20180139856A KR102119636B1 KR 102119636 B1 KR102119636 B1 KR 102119636B1 KR 1020180139856 A KR1020180139856 A KR 1020180139856A KR 20180139856 A KR20180139856 A KR 20180139856A KR 102119636 B1 KR102119636 B1 KR 102119636B1
Authority
KR
South Korea
Prior art keywords
information
entry
unit
service provider
feature information
Prior art date
Application number
KR1020180139856A
Other languages
Korean (ko)
Other versions
KR20200056029A (en
Inventor
김원겸
황두성
Original Assignee
(주)에이아이딥
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)에이아이딥 filed Critical (주)에이아이딥
Priority to KR1020180139856A priority Critical patent/KR102119636B1/en
Publication of KR20200056029A publication Critical patent/KR20200056029A/en
Application granted granted Critical
Publication of KR102119636B1 publication Critical patent/KR102119636B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자(User=Client) 및 서비스 제공자(Service Provider: SP)의 신원을 공개하지 않는 토르(Tor) 네트워크 등의 익명 네트워크를 분석하기 위한 익명 네트워크 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 익명 네트워크를 통해 불법 정보를 제공하는 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속 정보를 획득하여 실명화하고, 불법 정보를 제공하는 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하여 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법에 관한 것이다.The present invention relates to an anonymous network analysis system and method for analyzing an anonymous network such as a Tor network that does not disclose the identity of a user (User=Client) and a service provider (SP), in more detail Is a user terminal that accesses the service provider server that provides illegal information by acquiring and realizing access information such as Internet Protocol (IP) address and site information of the service provider server that provides illegal information through an anonymous network. An anonymous network analysis system and method using manual fingerprinting that can detect and blindly detect wealth.

Description

수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법{Anonymous network analysis system using passive fingerprinting and method thereof}Anonymous network analysis system using passive fingerprinting and method thereof

본 발명은 사용자(User=Client) 및 서비스 제공자(Service Provider: SP)의 신원을 공개하지 않는 토르(Tor) 네트워크 등의 익명 네트워크를 분석하기 위한 익명 네트워크 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 익명 네트워크를 통해 불법 정보를 제공하는 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속 정보를 획득하여 실명화하고, 불법 정보를 제공하는 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하여 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법에 관한 것이다.The present invention relates to an anonymous network analysis system and method for analyzing an anonymous network such as a Tor network that does not disclose the identity of a user (User=Client) and a service provider (SP), in more detail Is a user terminal that accesses the service provider server that provides illegal information by acquiring and realizing access information such as Internet Protocol (IP) address and site information of the service provider server that provides illegal information through an anonymous network. An anonymous network analysis system and method using manual fingerprinting that can detect and blindly detect wealth.

일반적으로, 토르 네트워크(Tor Network)는 전 세계에서 자발적으로 제공되는 가상 컴퓨터와 네트워크를 여러 차례 경유하여 이용자의 인터넷 접속 흔적을 추적할 수 없도록 하는 익명 네트워크의 하나이다.In general, the Tor Network is one of the anonymous networks that makes it impossible to track a user's Internet access traces through multiple virtual computers and networks provided voluntarily around the world.

통상, 토르 네트워크는 다수의 토르 노드가 연결 경로를 중계하도록 구성되며, 기본적으로 3개의 노드, 즉 엔트리 노드, 중계 노드 및 종료 노드를 포함한다.Typically, a Tor network is configured such that a number of Tor nodes relay a connection path, and basically includes three nodes, an entry node, a relay node, and an end node.

엔트리 노드와 종료 노드는 비밀키 협상을 하여 보안키를 설정하며, 설정된 보안키를 통해 토르 연결 설정을 하고, 엔트리 노드는 사용자 단말부로부터 입력되는 스트림으로부터 사용자의 IP를 인식한 후 보안키로 암호화하여 중계 노드를 통해 종료 노드로 전송한다.The entry node and the end node negotiate a secret key to set a security key, establish a connection to the Thor through the set security key, and the entry node recognizes the user's IP from the stream input from the user terminal and encrypts it with the security key. Transmit to the end node through the relay node.

그러면 종료 노드는 상기 보안키에 의해 복호하여 서비스 제공자 서버의 주소를 확인하고, 스트림을 해당 서비스 제공자 서버로 전송한다.Then, the end node decrypts with the security key to check the address of the service provider server, and sends the stream to the corresponding service provider server.

반대 방향의 스트림도 동일한 방식으로 서비스 제공자 서버에서 사용자 단말부로 전송될 것이다.The stream in the opposite direction will also be transmitted from the service provider server to the user terminal in the same way.

상기 보안키 설정은 자체 서명된 임시 Diffie-Hellman 키 교환 방식을 적용할 수 있으며, 표준 TLS(Transport Layer Security)를 사용하여 노드 간의 연결을 보호하도록 한다.The security key setting can apply a self-signed temporary Diffie-Hellman key exchange method, and protects the connection between nodes using standard Transport Layer Security (TLS).

토르 네트워크 내의 토르 노드들을 통해 전송되는 TCP 스트림은 분할되어 512바이트(Byte)의 셀(Cell)로 패키지되며, 셀은 대기시간을 줄이기 위해 짧은 유효 페이로드를 포함한다.The TCP stream transmitted through the Thor nodes in the Tor network is divided and packaged into a cell of 512 bytes, and the cell includes a short effective payload to reduce latency.

각 토르 노드간 연결은 서로 다른 TCP연결에 해당하는 여러 스트림을 다중화하며, 토르 노드와 공격자는 토르 스트림 사이를 구분할 수 없다.Each Tor node connection multiplexes multiple streams corresponding to different TCP connections, and the Tor node and the attacker cannot distinguish between Tor streams.

사용하지 않은 토르 경로는 몇 분 단위로 변경되며, 토르 네트워크를 통해 새 경로를 선택하고 키 교환을 수행하며, 암호화된 터널(Channel)을 설정한다.The unused Thor route changes every few minutes, selects a new route through the Tor network, performs key exchange, and establishes an encrypted channel.

토르 노드간 송수신되는 토르 셀 트래픽은 연결 경로 연결(Circuit Connection), 취소(Destruction) 및 흐름 제어(Control Flow)의 셀을 포함한다.Tor cell traffic transmitted and received between the Tor nodes includes cells in a Circuit Connection, Destruction, and Control Flow.

흐름제어에 SENDME 셀을 포함하며, 상기 SENDME 셀은 스트림 제어를 위해 50개의 인커밍 셀마다 삽입되고, 경로제어를 위해 100개의 인커밍 셀마다 삽입된다.A SENDME cell is included in the flow control, and the SENDME cell is inserted every 50 incoming cells for stream control and every 100 incoming cells for path control.

상기 토르 네트워크에 접속할 수 있는 토르 브라우저는 사용자 하드디스크에 쿠키 등을 포함하는 정보를 저장하지 않으며, 기본적으로 플래쉬(Flash)를 사용하지 않고, 웹사이트 접근에 HTTPs를 사용한다.The Tor browser that can access the Tor network does not store information, including cookies, etc., on the user's hard disk, and basically does not use Flash, but uses HTTPs to access the website.

상술한 바와 같이 구성되는 토르 네트워크는 해당 서비스를 이용하는 네트워크의 사용자나 서비스 제공자의 신원이 숨겨져 알 수 없기 때문에 마약이나 무기 등의 불법적인 거래에 악용되어 그 이용률이 급속히 증가하고 있으며, 콘텐츠를 불법 유통시키는 새로운 채널로 문제가 되고 있다.The Tor network configured as described above is being used for illegal transactions such as drugs and weapons because the identity of the user of the network using the service or the service provider is hidden and unknown, the utilization rate is rapidly increasing, and the contents are illegally distributed. It is becoming a problem with a new channel.

이에 따라 토르와 같은 주요 익명 네트워크와 같은 새로운 침해 환경에 대한 자동화된 대응 시스템이 요구되어지고 있다.Accordingly, there is a need for an automated response system to new intrusion environments, such as major anonymous networks such as Thor.

등록특허공보 제10-1548210호(2015.08.31.공고)Registered Patent Publication No. 10-1548210 (2015.08.31.announcement)

따라서 본 발명의 목적은 익명 네트워크로 들어가는 임의의 진입 노드 및 익명 네트워크와 서비스 제공자의 서버 사이에 연결되는 진출 노드로부터 발생하는 송수신 트래픽 정보를 수집하고, 각 노드에 대한 송수신 트래픽 정보의 특징(Fingerprinting)을 추출한 특징정보(또는 "핑거프린팅 정보"라 함)를 생성하여 사용자 단말부 및 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속정보를 획득하고, 추출된 특징정보와 학습된 기준 특징정보를 비교하여 접속 사이트의 불법 여부를 판단하고, 상기 서비스 제공자 서버 및 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법을 제공함에 있다.Accordingly, an object of the present invention is to collect and receive traffic information generated from an arbitrary entry node entering an anonymous network and an entry node connected between an anonymous network and a server of a service provider, and feature of the transmission and reception traffic information for each node (Fingerprinting). Generates feature information (or "fingerprinting information") from which to extract access information such as Internet Protocol (IP) address and site information of the user terminal and service provider server, and extracts the feature information and Provides an anonymous network analysis system and method using manual fingerprinting to compare the learned reference feature information to determine whether an access site is illegal, and to blindly identify the service provider server and a user terminal unit accessing the service provider server have.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템은: 사용자 단말부와 익명 네트워크를 연결하는 진입 노드에 연결되어, 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집부; 적어도 하나 이상의 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드에 연결되어, 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구정보 수집부; 및 상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 상기 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석부를 포함하는 것을 특징으로 한다.An anonymous network analysis system using manual fingerprinting according to the present invention for achieving the above object is connected to an entry node connecting a user terminal and an anonymous network, and is transmitted and received between the user terminal and the anonymous network An entry information collection unit for collecting transmission/reception traffic information; An exit information collection unit connected to at least one service provider server and an outgoing node connecting an anonymous network to collect outgoing transmission/reception traffic information transmitted and received between the service provider server and the anonymous network; And receiving the incoming/outgoing traffic information from the entry information collecting unit, extracting the characteristics of the incoming/outgoing traffic information and entering/outgoing traffic information, generating entry characteristic information, and receiving the incoming traffic information from the exit information collecting unit. Among the service provider servers, characteristics of the outgoing transmission/reception traffic information are extracted to generate outgoing characteristic information, and the outgoing characteristic information is compared with the reference outgoing characteristic information of the service provider server to be detected and stored in advance. An anonymous network analysis that detects a service provider server to be detected and compares the entry feature information and entry feature information corresponding to the detected service provider server to identify a user terminal connected to the detected service provider server It is characterized by including wealth.

상기 익명 네트워크 분석부는, 임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 데이터베이스부; 상기 엔트리정보 수집부가 접속할 진입 노드 및 상기 출구정보 수집부가 접속할 진출 노드의 IP를 설정하는 IP 설정부; 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집부; 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징 추출부; 상기 특징 추출부에서 출력되는 진출 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단부; 및 진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화부를 포함하는 것을 특징으로 한다.The anonymous network analysis unit includes: a database unit for generating and storing reference advanced feature information generated by learning a plurality of feature information extracted from transmission/reception traffic information of at least one detection target service provider server through an arbitrary advance node; An IP setting unit for setting an IP of an entry node to which the entry information collection unit will access and an entry node to which the exit information collection unit will access; An analysis information collection unit that collects and transmits entry/reception traffic information and entry/exit traffic information through the entry information collection unit and the exit information collection unit; A feature extraction unit receiving input/reception traffic information and entry/exit traffic information from the analysis information collection unit and extracting and outputting each entry feature information and entry feature information; An illegal access determination unit that detects a target service provider server among the service provider servers by comparing the advanced feature information output from the feature extraction unit and the reference advanced feature information in the database unit; And a user terminal unit accessing the service provider server by comparing the entry characteristic information with the entry characteristic information for the service provider server determined as the detection target service provider server, and detecting terminal identification information capable of recognizing the user terminal unit. Characterized in that it comprises a real name outputting section.

상기 익명 네트워크 분석부는, 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 한다.The anonymous network analysis unit learns the advanced feature information for the incoming/outgoing traffic of the test service provider server that processes the initial illegal information to generate the standard advanced feature information, and when the actual anonymous network is accessed, the actual service provider server enters/receives It characterized in that it further comprises a learning unit for updating the reference entry feature information by performing learning that reflects the entry feature information for traffic to the reference entry feature information previously.

상기 익명 네트워크 분석부는, 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화부를 더 포함하고, 상기 불법 접속 판단부는, 상기 진출 히스토그램 특징정보와 기준 진출 특징정보를 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 실명화부는, 상기 검출 대상 서비스 제공자 서버의 진출 히스토그램 특징정보와 진입 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 식별하는 단물 식별정보를 출력하는 것을 특징으로 한다.The anonymous network analysis unit further includes a histogram generating unit that binarizes and enters the entry feature information and entry feature information to generate entry histogram feature information and entry histogram feature information, and the illegal access determination portion , Detects a service provider server to be detected by comparing the advanced histogram feature information and the reference advanced feature information, and the realization unit compares the advanced histogram feature information and the advanced histogram feature information of the detection service provider server to detect the target service It characterized in that it outputs the identification information of the user that identifies the user terminal that connects to the provider server.

상기 특징 추출부는, 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고, ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고, 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고, 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 한다.The feature extracting unit extracts the TLS packet time (t n ) and the packet length (l n ) by the following Equation 1 from the collected transmission/reception traffic information, removes the ACKNOWLEDGEMENT and SENDME cells, and is 512 as shown in Equation 2 below. Calculate the toll cell sequence by replacing the packet pair (t k , s k l k ) of the Thor cell sequence with the packet length of bytes with l k /512 packet pairs (t k , s k l) As shown in Equation 3, the tor cell sequence is divided into an incoming cell sequence and an outgoing sequence to generate the binarized feature information.

[수학식 1][Equation 1]

Figure 112018113190783-pat00001
Figure 112018113190783-pat00001

li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +l i is incoming (receiving), s i = -, outgoing (sending) s i = +

[수학식 2][Equation 2]

Figure 112018113190783-pat00002
Figure 112018113190783-pat00002

[수학식 3][Equation 3]

Figure 112018113190783-pat00003
Figure 112018113190783-pat00003

상기 학습부는, 상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 기준 진출 특징정보를 생성 또는 갱신하는 것을 특징으로 한다.The learning unit is characterized by generating or updating the reference advance feature information by learning the advanced histogram feature information by applying a deep learning model.

상기 히스토그램화부는, 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고, 상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며, 상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 것을 특징으로 한다.The histogram generating unit generates a histogram by connecting the incoming sequence and the outgoing sequence, and estimates a probability density function of the histogram by applying kernel density estimation to the histogram, and from the probability density function It is characterized by obtaining the probability of a random variable and generating feature information, which is a feature vector.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법은: 익명 네트워크 분석부가 엔트리 정보를 수집할 진입 노드 및 출구 정보를 수집할 진출 노드의 IP를 설정하는 IP 설정 과정; 엔트리정보 수집부가 사용자 단말부와 익명 네트워크를 연결하는 진입 노드를 통해 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집 과정; 출구 정보 수집부가 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드를 통해 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구 정보 수집 과정; 및 익명 네트워크 분석부가 상기 진입 송수신 트래픽 정보를 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 특정 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석 과정을 포함하는 것을 특징으로 한다.An anonymous network analysis method using manual fingerprinting according to the present invention for achieving the above object is: an IP network setting process in which an anonymous network analysis unit sets the IP of an entry node to collect entry information and an entry node to collect exit information ; An entry information collection process in which the entry information collection unit collects entry/reception traffic information transmitted/received between the user terminal unit and the anonymous network through an entry node connecting the user terminal unit and the anonymous network; An exit information collection process in which the exit information collection unit collects information of incoming and outgoing transmission/reception traffic transmitted and received between the service provider server and the anonymous network through an outgoing node connecting the service provider server and the anonymous network; And the anonymous network analysis unit receives the incoming/outgoing traffic information, extracts the characteristics of the incoming/outgoing traffic information and generates the incoming/outgoing traffic information, receives the incoming/outgoing traffic information, and receives the incoming/outgoing traffic information. It extracts the features of the server to generate advanced feature information, compares the advanced feature information with the reference advanced feature information for a specific service provider server that has been previously learned and stored, detects a service provider server to be detected, and enters the feature information and And an anonymous network analysis process of comparing a user terminal unit accessing the detected detection target service provider server by comparing entry feature information.

상기 익명 네트워크 분석 과정은, 분석정보 수집부가 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집 단계; 특징 추출부가 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징정보 수집 단계; 히스토그램화부가 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화 단계; 불법 접속 판단부가 상기 특징 추출부에서 출력되는 진출 히스토그램 특징정보와 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단 단계; 및 실명화부가 진입 히스토그램 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화 단계를 포함하는 것을 특징으로 한다.The anonymous network analysis process includes: analyzing information collection step of collecting and transmitting ingress/reception traffic information and ingress/reception traffic information through the entry information collection unit and the exit information collection unit; A feature information collecting unit receiving input/received traffic information and/or transmitted/received traffic information from the analysis information collection unit, and extracting and outputting each input feature information and advanced feature information; A histogram step of generating a histogram feature information and an entry histogram feature information by binary and N-Gram the entry feature information and entry feature information by a histogram unit; An illegal access determination step in which the illegal access determination unit compares the advanced histogram characteristic information output from the feature extraction unit with the reference advanced characteristic information in the database unit to detect a target service provider server among the service provider servers; And the realization unit compares the entry histogram characteristic information with the entry histogram characteristic information for the service provider server determined to be the detection target service provider server to detect the user terminal unit accessing the detection target service provider server, and recognizes the user terminal unit. It characterized in that it comprises a real name step of outputting the terminal identification information.

상기 익명 네트워크 분석 과정은, 학습부가 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습 단계를 더 포함하는 것을 특징으로 한다.In the anonymous network analysis process, the learning unit learns the advanced histogram characteristic information of the incoming/outgoing traffic of the test service provider server that processes the initial illegal information to generate the standard advanced feature information, and when the actual anonymous network is accessed, the actual service provider It is characterized in that it further comprises a learning step of updating the reference advance feature information by performing learning that reflects the advance histogram feature information on the advance/receive traffic of the server to the reference advance feature information.

상기 특징 추출 단계는, 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고 패킷 길이 추출 단계; ACKNOWLEDGEMENT 및 SENDME 셀을 제거하는 불요정보 제거 단계; 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하는 셀 시퀀스 계산 단계; 및 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 한다.The feature extraction step includes: extracting TLS packet time (t n ) and packet length (l n ) by the following Equation 1 from the collected transmission/reception traffic information and extracting the packet length; Removing unnecessary information for removing ACKNOWLEDGEMENT and SENDME cells; As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. A cell sequence calculating step of calculating a sequence; And a feature information generating step of separating the tor cell sequence into an incoming cell sequence and an outgoing sequence as shown in Equation 3 below to generate the binarized feature information.

삭제delete

[수학식 1][Equation 1]

Figure 112018113190783-pat00004
Figure 112018113190783-pat00004

li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +l i is incoming (receiving), s i = -, outgoing (sending) s i = +

[수학식 2][Equation 2]

Figure 112018113190783-pat00005
Figure 112018113190783-pat00005

[수학식 3][Equation 3]

Figure 112018113190783-pat00006
Figure 112018113190783-pat00006

상기 히스토그램화 단계는, 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하는 히스토그램 생성 단계; 상기 히스토그램에 커널 밀도 추정을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하는 확률밀도 추정 단계; 및 상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 한다.The histogramization step may include: a histogram generation step of generating a histogram by connecting the incoming and outgoing sequences; A probability density estimation step of estimating a probability density function of the histogram by applying kernel density estimation to the histogram; And a feature information generation step of obtaining a probability of a random variable from the probability density function and generating feature information as a feature vector.

본 발명은 토르 네트워크와 서비스 제공자 서버, 즉 사이트 사이에서 송수신 트래픽 정보를 수집하여 특징정보를 추출하고, 추출된 특징정보와 악의적인 사이트에 대해 미리 학습된 특징정보를 비교하므로 악의적인 사이트 및 상기 사이트에 접속하는 사용자를 자동 식별할 수 있는 효과를 갖는다.The present invention extracts feature information by transmitting/receiving traffic information between a Tor network and a service provider server, that is, a site, and compares the extracted feature information with previously learned feature information for the malicious site, so that the malicious site and the site It has the effect of automatically identifying the user accessing the.

본 발명은 악의적인 사이트를 식별할 수 있으므로, 불법 및 유해정보를 제공하는 악의적인 사이트에 대한 차단 등의 불법 처리를 자동으로 빠르게 수행할 수 있는 효과를 갖는다.Since the present invention can identify a malicious site, it has an effect of automatically and quickly performing illegal processing such as blocking of a malicious site providing illegal and harmful information.

또한, 본 발명은 악의적인 사이트에 접속하는 사용자 단말부를 식별할 수 있으므로 그에 따른 빠른 대응을 수행할 수 있고, 사용자들의 악의적인 사이트의 접속을 방지할 수 있는 효과를 갖는다.In addition, the present invention can identify a user terminal that accesses a malicious site, and thus can perform a quick response accordingly, and has an effect of preventing users from accessing a malicious site.

도 1은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템을 포함하는 통신 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보의 일예를 나타낸 도면이다.
도 3은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보로부터 특징정보를 추출한 일예를 나타낸 도면이다.
도 4는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 익명 네트워크 분석부의 상세 구성을 나타낸 도면이다.
도 5는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 추출된 특징정보를 히스토그램으로 나타낸 도면이다.
도 6은 본 발명에 따른 시간 대역 및 파일 수에 따른 히스토그램 및 확률 분포도를 나타낸 도면이다.
도 7은 본 발명에 따른 추출된 특징정보의 확률분포와 학습된 특징정보의 기준 확률분포 간의 차(면적)를 나타낸 도면이다.
도 8은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법을 나타낸 흐름도이다.1 is a view showing the configuration of a communication system including an anonymous network analysis system using manual fingerprinting according to the present invention.
FIG. 2 is a diagram showing an example of transmission/reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention.
3 is a diagram showing an example of extracting feature information from transmission/reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention.
4 is a diagram showing the detailed configuration of the anonymous network analysis unit of the anonymous network analysis system using manual fingerprinting according to the present invention.
FIG. 5 is a histogram showing feature information extracted from an anonymous network analysis system using manual fingerprinting according to the present invention.
6 is a view showing a histogram and probability distribution according to the time band and the number of files according to the present invention.
7 is a view showing a difference (area) between a probability distribution of extracted feature information and a reference probability distribution of learned feature information according to the present invention.
8 is a flowchart illustrating an anonymous network analysis method using manual fingerprinting according to the present invention.

이하 첨부된 도면을 참조하여 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 구성 및 동작을 상세히 설명하고, 상기 시스템에서의 익명 네트워크 분석 방법을 설명한다.Hereinafter, the configuration and operation of an anonymous network analysis system using manual fingerprinting according to the present invention will be described in detail with reference to the accompanying drawings, and an anonymous network analysis method in the system will be described.

도 1은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템을 포함하는 통신 시스템의 구성을 나타낸 도면이고, 도 2는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보의 일예를 나타낸 도면이며, 도 3은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보로부터 특징정보를 추출한 일예를 나타낸 도면이다. 이하 도 1 내지 도 3을 참조하여 설명한다.1 is a diagram showing the configuration of a communication system including an anonymous network analysis system using manual fingerprinting according to the present invention, and FIG. 2 is a transmission and reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention. 3 is a diagram illustrating an example of extracting feature information from transmission/reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention. Hereinafter, it will be described with reference to FIGS. 1 to 3.

일반적으로 사용자가 사용하는 사용자 단말부(10) 및 서비스 제공자 서버(20)는 유무선 데이터통신망(100)을 통해 무선 및 유선 중 어느 하나로 연결되어 데이터 통신을 수행한다.In general, the user terminal unit 10 and the service provider server 20 used by the user are connected to any one of wireless and wired through the wired/wireless data communication network 100 to perform data communication.

상기 유무선 데이터통신망(100)은 와이파이(WiFi)망 및 근거리통신망(Local Area Network: LAN)을 포함하는 광대역통신망, 3세대(3 Generation: 3G), 4G, 5G 등의 이동통신망, 와이브로망 등 중 적어도 어느 하나 이상이 결합되어 TCP/IP 데이터 통신을 제공하는 통신망이다.The wired/wireless data communication network 100 includes a broadband communication network including a Wi-Fi network and a local area network (LAN), a mobile communication network such as 3G (3 Generation), 4G, 5G, WiBro network, etc. It is a communication network that combines at least one or more to provide TCP/IP data communication.

또한, 상기 유무선 데이터통신망(100)은 Tor(토르) 등과 같은 익명 네트워크(110)를 포함한다.In addition, the wired/wireless data communication network 100 includes an anonymous network 110 such as Tor.

사용자 단말부(10)는 데스크톱 컴퓨터, 노트북 등과 같은 컴퓨터 단말기 및 스마트폰, 스마트패드 등으로 불리는 모바일 단말기 등이 될 수 있으며, 익명 네트워크(110)를 통한 서비스 제공자 서버(20)에 접속할 수 있는 토르 웹브라우저 등과 같은 어플리케이션이 설치되어 있을 것이다.The user terminal unit 10 may be a computer terminal such as a desktop computer, a laptop, a mobile terminal called a smart phone, a smart pad, or the like, and a Thor that can access the service provider server 20 through the anonymous network 110 An application such as a web browser will be installed.

상기 익명 네트워크 접속용 어플리케이션이 구동되는 사용자 단말부(10)는 유무선 데이터통신망(100)의 익명 네트워크(110)에 연결되는 진입 노드(120)를 통해 익명 네트워크(110)에 연결될 수 있으며, 익명 네트워크(110)를 통해 임의의 서비스 제공자 서버(20)에 접속하여 데이터 통신을 수행한다.The user terminal unit 10 in which the application for accessing the anonymous network is driven may be connected to the anonymous network 110 through the entry node 120 connected to the anonymous network 110 of the wired/wireless data communication network 100, and the anonymous network It connects to any service provider server 20 through 110 and performs data communication.

서비스 제공자 서버(20)는 익명 네트워크(110)를 통해 임의의 정보를 공급하는 서비스를 제공하는 서버로, 진출 노드(130)를 통해 익명 네트워크(110)와 연결되어 사용자 단말부(10)들에게 해당 정보를 제공한다.The service provider server 20 is a server that provides a service for supplying arbitrary information through the anonymous network 110, and is connected to the anonymous network 110 through the advancing node 130 to the user terminal units 10. Provide the information.

상기 서비스 제공자 서버(20) 중 불법 저작물 서비스, 마약, 총기 등의 불법 거래 서비스 등을 제공하는 서비스 제공자 서버(20)(이하 "검출 대상 서비스 제공자 서버"라 함)도 포함되어 있을 것이다.The service provider server 20 will also include a service provider server 20 (hereinafter referred to as a “detection target service provider server”) that provides illegal transaction services such as illegal asset service, drugs, and firearms.

진입 노드(120) 및 진출 노드(130)는 익명 네트워크(110)에 연결되는 라우터(Router) 등이 될 수 있으며, 각각 사용자 단말부(10)와 익명 네트워크(110) 및 서비스 제공자 서버(20)와 익명 네트워크(110) 사이에서 수많은 트래픽들을 송수신한다. 상기 진입 노드(120) 및 진출 노드(130)에 대한 정보는 유무선 데이터통신망(100)을 관리하는 통신사로부터 획득될 수 있을 것이다.The entry node 120 and the entry node 130 may be a router connected to the anonymous network 110, and the user terminal unit 10, the anonymous network 110, and the service provider server 20, respectively. And anonymous networks 110. Information about the entry node 120 and the entry node 130 may be obtained from a communication company managing the wired/wireless data communication network 100.

사용자 단말부(10)에서 진입 노드(120)로 송신되거나, 진입 노드(120)에서 사용자 단말부(10)로 송신되는 트래픽에는 사용자 단말부(10)의 IP 주소, MAC 주소 등이 포함되어 있을 것이다.Traffic transmitted from the user terminal unit 10 to the entry node 120 or from the entry node 120 to the user terminal unit 10 may include the IP address, MAC address, etc. of the user terminal unit 10. will be.

그리고 진출 노드(130)에서 서비스 제공자 서버(20)로 송신되는 트래픽 및 서비스 제공자 서버(20)에서 진출 노드(130)로 송신되는 트래픽에는 서비스 제공자 서버(20)의 IP 주소, MAC 주소 등을 포함되어 있을 것이다.And the traffic transmitted from the advancing node 130 to the service provider server 20 and the traffic transmitted from the service provider server 20 to the advancing node 130 include the IP address, MAC address, etc. of the service provider server 20 It will be.

익명 네트워크 분석 시스템(200)은 통신사 등으로부터 적어도 하나 이상의 진입 노드(120) 및 진출 노드(130)에 대한 인터넷 프로토콜(Internet Protocol: IP) 주소를 제공받아 자동으로 등록하거나, 관리자로부터 직접 입력받아 등록한다.The anonymous network analysis system 200 is automatically registered by receiving an Internet Protocol (IP) address for at least one entry node 120 and an entry node 130 from a communication company or the like, or registered directly by an administrator. do.

익명 네트워크 분석 시스템(200)은 입력받은 진입 노드(120) 및 진출 노드(130)에 접속하여, 상기 진입 노드(120)를 통해 익명 네트워크(110)와 송수신되는 트래픽들에 대한 진입 송수신 트래픽 정보 및 상기 진출 노드(130)를 통해 익명 네트워크(110)와 송수신되는 트래픽들에 대한 진출 송수신 트래픽 정보를 수집하고, 수집된 송수신 트래픽 정보들의 특징을 추출하여 진입 특징정보 및 진출 특징정보를 생성한다.The anonymous network analysis system 200 accesses the input entry node 120 and the entry node 130, and transmits and receives entry/exit traffic information for traffic transmitted and received through the entry node 120 and the anonymous network 110 and The outgoing transmission/reception traffic information for traffic transmitted and received through the anonymous network 110 through the entry node 130 is collected, and the characteristics of the collected transmission/reception traffic information are extracted to generate entry feature information and entry feature information.

상기 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보는 IP, 맥어드레스 등과 같은 사용자 단말부의 단말 식별정보 및 서비스 제공자 서버의 서버 식별정보별로 수집될 수 있을 것이다.The incoming/outgoing traffic information and the incoming/outgoing traffic information may be collected for each terminal identification information of the user terminal unit such as IP, Mac address, and server identification information of the service provider server.

진입 특징정보 및 진출 특징정보가 생성되면, 익명 네트워크 분석 시스템(200)은 진출 특징정보와 미리 등록하고 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보를 비교하여 상기 서비스 제공자 서버(20)들 중 검출 대상 서비스 제공자 서버가 있는지를 판단하여 검출 대상 서비스 제공자 서버를 검출하며, 검출된 검출 대상 서비스 제공자 서버에 대한 진출 특징정보와 진입 특징정보들을 비교하여 검출 대상 서비스 제공자 서버에 접속하고자 하거나 접속한 사용자 단말부(10)를 검출하고 검출된 사용자 단말부(10)에 대한 단말 식별정보를 획득한다. 상기 단말 식별정보는 사용자 단말부(10)의 IP주소, MAC 주소 등이 될 수 있을 것이다.When the entry feature information and the entry feature information are generated, the anonymous network analysis system 200 compares the entry feature information with the reference entry feature information for the service provider server to be registered in advance, and among the service provider servers 20 A user who wants to access or connect to the service provider server by detecting whether there is a service provider server to be detected and detecting the service provider server to be detected, and comparing the entry feature information and entry feature information for the detected service provider server. The terminal unit 10 is detected and terminal identification information for the detected user terminal unit 10 is acquired. The terminal identification information may be an IP address or a MAC address of the user terminal unit 10.

구체적으로 익명 네트워크 분석 시스템(200)은 엔트리정보 수집부(300), 출구정보 수집부(400) 및 익명 네트워크 분석부(500)를 포함한다.Specifically, the anonymous network analysis system 200 includes an entry information collection unit 300, an exit information collection unit 400, and an anonymous network analysis unit 500.

상기 익명 네트워크 분석 시스템(200)은 하나의 서버 형태로 구성될 수도 있고, 상기 엔트리정보 수집부(300), 출구정보 수집부(400) 및 익명 네트워크 분석부(500) 각각이 서버형태로 구성될 수도 있으며, 컴퓨터 단말기 및 서버 혼합 형태로 구성될 수도 있을 것이다.The anonymous network analysis system 200 may be configured as a single server type, and each of the entry information collection unit 300, the exit information collection unit 400, and the anonymous network analysis unit 500 may be configured as a server type. It may also be configured in a mixed form of a computer terminal and a server.

엔트리정보 수집부(300)는 익명 네트워크 분석부(500)에 의해 설정되는 IP의 적어도 하나 이상의 진입 노드(120)에 연결하여 진입 노드(120)를 통해 송수신되는 트래픽들에 대한 진입 송수신 트래픽 정보를 수집하여 익명 네트워크 분석부(500)로 전송한다. The entry information collection unit 300 connects to at least one entry node 120 of the IP set by the anonymous network analysis unit 500 to receive and receive entry/exit traffic information for traffic transmitted/received through the entry node 120. Collect and send to the anonymous network analysis unit 500.

출구정보 수집부(400)는 익명 네트워크 분석부(500)에 의해 설정되는 IP의 적어도 하나 이상의 진출 노드(130)에 연결하여 진출 노드(120)를 통해 송수신되는 트래픽들에 대한 진출 송수신 트래픽 정보를 수집하여 익명 네트워크 분석부(500)로 전송한다.The exit information collecting unit 400 connects to at least one advanced node 130 of the IP set by the anonymous network analyzer 500 to receive and transmit advanced traffic information for traffic transmitted and received through the advanced node 120. Collect and send to the anonymous network analysis unit 500.

상기 엔트리정보 수집부(300) 및 출구정보 수집부(400)를 통해 수집되는 송수신 트래픽 정보는 도 2와 같은 형태로 수집될 수 있으며, 상기 송수신 트래픽 정보에는 ACKNOWLEDGEMENT 및 SENDME 셀이 일정 규칙을 가지고 삽입되어 있을 것이다. 상기 ACKNOWLEDGEMENT 시퀀스의 시작을 알리기 위해 삽입되며, 상기 SENDME 셀은 스트림 제어를 위해 50개의 인커밍 셀마다 삽입되고, 경로제어를 위해 100개의 인커밍 셀마다 삽입된다.The transmission/reception traffic information collected through the entry information collection unit 300 and the exit information collection unit 400 may be collected in the form of FIG. 2, and the ACKNOWLEDGEMENT and SENDME cells are inserted into the transmission/reception traffic information with a certain rule. It will be. It is inserted to indicate the start of the ACKNOWLEDGEMENT sequence, and the SENDME cell is inserted every 50 incoming cells for stream control and every 100 incoming cells for path control.

익명 네트워크 분석부(500)는 상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부(300)로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부(400)로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 특정 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버(20) 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부(10)를 식별한다.The anonymous network analysis unit 500 receives the incoming/outgoing traffic information from the entry information collecting unit 300 and extracts the characteristics of the incoming/outgoing traffic information and generates the incoming/outgoing traffic information, and the outgoing traffic information Is input from the exit information collection unit 400 to extract the characteristics of the incoming and outgoing traffic information of the incoming and outgoing traffic information to generate the outgoing feature information, and for the specific service provider server previously learned and stored with the outgoing feature information Detects a target service provider server among the service provider servers 20 by comparing standard entry feature information, compares the entry feature information and entry feature information corresponding to the detected detection target service provider server, and detects the detected detection object The user terminal unit 10 connected to the service provider server is identified.

상기 특징정보는 본 발명의 일차적으로 도 5의 501과 같은 형태로 사인(Sign) 값을 갖는 이진화된 값으로 획득되며, 이진화된 특징정보는 이차적으로 이지화 값들을 히스토그램화한 히스토그램 특징정보로 변환된다. The characteristic information is primarily obtained as a binary value having a sign value in the form of 501 of FIG. 5 in the present invention, and the binary characteristic information is secondarily transformed into histogram characteristic information that is a histogram of the binarized values. .

도 4는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 익명 네트워크 분석부의 상세 구성을 나타낸 도면이고, 도 5는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 추출된 특징정보를 히스토그램으로 나타낸 도면이고, 도 6은 본 발명에 따른 시간 대역 및 파일 수에 따른 히스토그램 및 확률 분포도를 나타낸 도면이며, 도 7은 본 발명에 따른 추출된 특징정보의 확률분포와 학습된 특징정보의 기준 확률분포 간의 차(넓이)를 나타낸 도면이다. 이하 도 4 내지 도 7을 참조하여 설명한다.4 is a diagram showing the detailed configuration of the anonymous network analysis unit of the anonymous network analysis system using manual fingerprinting according to the present invention, and FIG. 5 is the feature information extracted from the anonymous network analysis system using manual fingerprinting according to the present invention. A histogram is a diagram showing a histogram and a probability distribution chart according to the time band and the number of files according to the present invention, and FIG. 7 is a probability distribution of the extracted feature information according to the present invention and the basis of the learned feature information This diagram shows the difference (area) between probability distributions. It will be described below with reference to FIGS. 4 to 7.

익명 네트워크 분석부(500)는 IP 설정부(510), 분석정보 수집부(520), 특징추출부(530), 히스토그램화부(540), 불법 접속 판단부(550), 실명화부(560), 학습부(570) 및 데이터베이스부(580)를 포함한다.The anonymous network analysis unit 500 includes an IP setting unit 510, an analysis information collection unit 520, a feature extraction unit 530, a histogram unit 540, an illegal access determination unit 550, and a real name identification unit 560, It includes a learning unit 570 and a database unit 580.

데이터베이스부(580)는 수집되는 송수신 트래픽 정보, 특징정보, 진입 노드(120) 및 진출 노드(130)들의 IP 정보 등을 저장하고, 임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 저장부(582) 및 상기 IP 설정부(510), 분석정보 수집부(520), 특징 추출부(530), 히스토그램화부(540), 불법 접속 판단부(550), 실명화부(560) 및 학습부(570)가 요청하는 정보를 저장부(582)에서 로드하여 해당 구성으로 제공하거나 상기 구성들에 의해 생성된 정보를 저장부(582)에 저장하는 저장 제어부(581)를 포함한다.The database unit 580 stores collected transmission/reception traffic information, feature information, IP information of the entry node 120 and the entry node 130, and transmits/receives of at least one detection target service provider server through an arbitrary entry node. The storage unit 582 and the IP setting unit 510, the analysis information collection unit 520, and the feature extraction unit for generating and storing reference advanced feature information generated by learning a plurality of feature information extracted from traffic information ( 530), the histogram unit 540, the illegal access determination unit 550, the real name identification unit 560 and the learning unit 570 load the information requested by the storage unit 582 to provide the configuration or to the configuration And a storage control unit 581 that stores the information generated by the storage unit 582.

IP 설정부(510)는 데이터베이스부(580)에 등록되어 있는 진입 노드(120) 및 진출 노드(130)들에 대한 IP 주소들 중 임의의 또는 특정 IP 주소를 로드하고 엔트리정보 수집부(300)로 진입 송수신 트래픽 정보를 수집할 하나 이상의 진입 노드(120)에 대한 IP 주소를 전송하여 설정하도록 하고, 출구정보 수집부(400)로 진출 송수신 트래픽 정보를 수집할 하나 이상의 진출 노드(130)에 대한 IP 주소를 전송하여 설정하도록 한다.The IP setting unit 510 loads any or a specific IP address among the IP addresses for the entry node 120 and the entry nodes 130 registered in the database unit 580, and the entry information collection unit 300 By setting the IP address for one or more entry nodes 120 to collect the entry and exit traffic information, and to set, and for the one or more entry nodes 130 to collect the entry and exit traffic information to the exit information collection unit 400 Set the IP address by sending it.

분석정보 수집부(520)는 상기 엔트리정보 수집부(300) 및 출구정보 수집부(400)를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 특징 추출부(530)로 출력한다.The analysis information collection unit 520 collects the incoming/outgoing traffic information and the incoming/outgoing traffic information through the entry information collecting unit 300 and the exit information collecting unit 400, and outputs them to the feature extraction unit 530.

특징 추출부(530)는 상기 분석정보 수집부(520)로부터 도 2와 같은 형태의 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 도 3과 같은 각각의 진입 특징정보 및 진출 특징정보를 추출하여 히스토그램화부(540)로 출력한다.The feature extraction unit 530 receives the input/output traffic information and the incoming/outgoing traffic information in the form as shown in FIG. 2 from the analysis information collection unit 520, and extracts the respective entry feature information and the advanced feature information as shown in FIG. Output to the histogram unit 540.

구체적으로, 특징 추출부(530)는 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 포함하는 TLS 패킷데이터(PTLS)(이하 "패킷데이터"라 함)를 추출한다.Specifically, the feature extracting unit 530 is the TLS packet data (P TLS ) (hereinafter referred to as "packet") including the TLS packet time (t n ) and the packet length (l n ) according to Equation 1 below from the collected transmission/reception traffic information. Data).

Figure 112018113190783-pat00007
Figure 112018113190783-pat00007

li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +l i is incoming (receiving), s i = -, outgoing (sending) s i = +

패킷데이터가 추출되면 특징 추출부(530)는 패킷데이터 시퀀스로부터 ACKNOWLEDGEMENT 및 SENDME 셀 등과 같은 불필요한 셀을 제거한다.When the packet data is extracted, the feature extraction unit 530 removes unnecessary cells such as ACKNOWLEDGEMENT and SENDME cells from the packet data sequence.

상기 ACKNOWLEDGMENT 셀은 패킷 데이터 시퀀스의 처음에 나타나는 셀이다.The ACKNOWLEDGMENT cell is the cell that appears first in the packet data sequence.

상기 SENDME 셀은 인커밍 스트림에서 50번째 마다 삽입되며, 인커밍 연결 경로에서는 100번째 마다 삽입되는 셀이다.The SENDME cell is inserted every 50th in the incoming stream, and is inserted every 100th in the incoming connection path.

불필요한 셀이 제거되면 특징 추출부(530)는 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토르 셀 시퀀스를 계산한다.When an unnecessary cell is removed, the feature extracting unit 530 sets a packet pair (t k , s k l k ) of a tor cell sequence having a packet length of 512 bytes as in Equation 2 below, l k /512 packet pairs (t k , s k l) to calculate the Tor cell sequence.

Figure 112018113190783-pat00008
Figure 112018113190783-pat00008

토르 셀 시퀀스가 계산되면 특징 추출부(530)는 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성한다.When the Thor cell sequence is calculated, the feature extraction unit 530 generates the binarized feature information by separating the Thor cell sequence into an incoming cell sequence and an outgoing sequence, as shown in Equation 3 below.

Figure 112018113190783-pat00009
Figure 112018113190783-pat00009

인커밍 셀 시퀀스 Pin과 아웃고잉 시퀀스 Pout의 시간은 같지 않다.The time of the incoming cell sequence P in and the outgoing sequence P out are not the same.

히스토그램화부(540)는 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 도 5와 같이 진입 히스토그램 및 진출 히스토그램을 생성하며, 각각의 진입 히스토그램 및 진출 히스토그램의 확률밀도 함수를 추정하고, 확률을 계산하여 도 6과 같은 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하여 출력한다.The histogram unit 540 binarizes and enters the entry feature information and entry feature information to generate an entry histogram and an entry histogram as shown in FIG. 5 and estimates the probability density function of each entry histogram and entry histogram Then, the probability is calculated, and the entry histogram characteristic information and the entry histogram characteristic information as shown in FIG. 6 are generated and output.

도 6의 701, 702, 703, 704에서와 같이 히스토그램 특징정보는 시간 대역폭(Bandwidth)별 및 파일 수에 따라 그 검출 특성을 조절할 수 있을 것이다. 701은 파일 수가 0-20일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이고, 702는 파일수가 9-1일 때의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이며, 703은 파일수가 10-11일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이며, 704는 파일수가 2804일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이다.As shown in 701, 702, 703, and 704 of FIG. 6, the histogram characteristic information may adjust its detection characteristics according to time bandwidth and number of files. 701 indicates the histogram characteristic information for each time bandwidth when the number of files is 0-20, 702 indicates the histogram characteristic information for each time bandwidth when the number of files is 9-1, and 703 when the number of files is 10-11 Histogram characteristic information for each time bandwidth is indicated, and 704 represents histogram characteristic information for each time bandwidth when the number of files is 2804.

상기 히스토그램화부(540)는 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고, 하기 수학식 4와 같이 상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며, 하기 수학식 5와 같이 상기 확률밀도 함수로부터 확률변수

Figure 112018113190783-pat00010
의 확률을 구하여 특징벡터인 특징정보를 생성한다.The histogram 540 generates a histogram by connecting the incoming sequence and the outgoing sequence, and applies a kernel density estimation to the histogram as shown in Equation 4 below to calculate the probability density function of the histogram. Estimate and random variable from the probability density function as shown in Equation 5 below
Figure 112018113190783-pat00010
Find the probability of and generate feature information, which is a feature vector.

Figure 112018113190783-pat00011
Figure 112018113190783-pat00011

Figure 112018113190783-pat00012
Figure 112018113190783-pat00012

상기 수학식 4 및 수학식 5 자체는 잘 알려져 있는 수학식이므로 그 상세한 설명을 생략한다.Since Equation 4 and Equation 5 itself are well-known equations, detailed descriptions thereof will be omitted.

불법 접속 판단부(550)는 상기 특징 추출부(530)에서 출력되는 진출 특징정보와 상기 데이터베이스부(580)의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버(20)들 중 검출 대상 서비스 제공자 서버를 검출한다.The illegal access determination unit 550 compares the advanced feature information output from the feature extraction unit 530 with the reference advanced feature information of the database unit 580, and the target service provider server among the service provider servers 20 is detected. Detects.

실명화부(560)는 진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버(20)에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부(10)를 검출하고, 상기 사용자 단말부(10)를 인식할 수 있는 단말 식별정보를 출력한다.The realization unit 560 detects a user terminal unit 10 accessing the service provider server by comparing entry feature information with entry feature information for the service provider server 20 determined to be the detection target service provider server, The terminal identification information capable of recognizing the user terminal unit 10 is output.

학습부(570)는 상기 진출 특징정보 및/또는 상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 진출 특징정보를 생성 또는 갱신한다. 학습부(570)는 진입 특징정보 및/또는 상기 진입 히스토그램 특징정보 또한 딥러닝 모델을 적용하여 학습시켜 기준 진입 특징정보를 생성할 수도 있을 것이다.The learning unit 570 generates or updates the advanced feature information by learning the advanced feature information and/or the advanced histogram feature information by applying a deep learning model. The learning unit 570 may generate reference entry feature information by learning by applying a deep learning model to entry feature information and/or the entry histogram feature information.

학습부(570)는 초기에 익명 네트워크(110)를 통해 불법 정보를 제공하는 적어도 하나 이상의 테스트 서비스 제공자 서버들을 구성하고, 이러한 테스트 서비스 제공자 서버들이 송수신하는 송수신 트래픽 정보를 수집하여 특징정보를 생성하고, 생성된 특징정보를 딥러닝 모델 등의 학습 모델을 적용하여 학습시켜 기준 특징정보를 생성한 후, 상기 기준 특징정보를 기준으로 검출되는 검출 대상 서비스 제공자 서버로부터 수집한 송수신 트래픽 정보에 대한 특징정보를 누적하여 지속적으로 학습하는 것이 바람직할 것이다.The learning unit 570 initially configures at least one or more test service provider servers that provide illegal information through the anonymous network 110, and collects transmission and reception traffic information transmitted and received by these test service provider servers to generate feature information. After generating the reference feature information by learning the generated feature information by applying a learning model such as a deep learning model, the feature information on the transmission/reception traffic information collected from the detection target service provider server detected based on the reference feature information It would be desirable to continue learning by accumulating.

도 8은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법을 나타낸 흐름도이다.8 is a flowchart illustrating an anonymous network analysis method using manual fingerprinting according to the present invention.

우선, 익명 네트워크 분석부(500)는 IP 설정부(510)를 통해 익명 네트워크 분석 이벤트가 발생하면 익명 네트워크(110)에 연결되고 송수신 트래픽 정보를 수집할 진입 노드(120) 및 진출 노드(130)에 대한 IP 주소를 설정한다(S111). 상기 익명 네트워크 분석 이벤트는, 일정 시간 주기로 발생될 수도 있고, 관리자의 요청에 의해서 발생될 수도 있을 것이다.First, when an anonymous network analysis event occurs through the IP setting unit 510, the anonymous network analysis unit 500 is connected to the anonymous network 110 and enters and exits nodes 120 and 130 to collect traffic information. Set the IP address for (S111). The anonymous network analysis event may be generated at a predetermined time period or may be generated at the request of an administrator.

진입 노드(120) 및 진출 노드(130)에 대한 IP 주소가 설정되면 익명 네트워크 분석부(500)는 분석정보 수집부(520)를 통해 진입 노드(120) 및 진출 노드(130)에 접속한(S113) 후, 상기 진입 노드(120) 및 진출 노드(130)로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집한다(S115).When the IP addresses for the entry node 120 and the entry node 130 are set, the anonymous network analysis unit 500 accesses the entry node 120 and the entry node 130 through the analysis information collection unit 520 ( After S113), the incoming/outgoing traffic information and the incoming/outgoing traffic information are collected from the ingress node 120 and the outgoing node 130 (S115).

진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보가 수집되면 익명 네트워크 분석부(500)는 특징 추출부(530)를 통해 진입 송수신 트래픽 정보로부터 진입 특징정보를 추출하고, 진출 송수신 트래픽 정보로부터 진출 특징정보를 생성한다(S117).When the incoming/outgoing traffic information and the incoming/outgoing traffic information are collected, the anonymous network analysis unit 500 extracts the incoming feature information from the incoming/outgoing traffic information through the feature extraction unit 530, and generates the advanced feature information from the incoming/outgoing traffic information. (S117).

진입 특징정보 및 진출 특징정보가 추출되면 익명 네트워크 분석부(500)는 히스토그램화부(540)를 통해 상기 진입 특징정보를 히스토그램화하여 진입 히스토그램 특징정보를 생성하고, 상기 진출 특징정보를 히스토그램화하여 진출 히스토그램 특징정보를 생성한다(S119).When the entry feature information and entry feature information are extracted, the anonymous network analysis unit 500 histograms the entry feature information through the histogram 540 to generate entry histogram feature information, and the entry feature information is histogramized to advance. The histogram characteristic information is generated (S119).

익명 네트워크 분석부(500)는 불법 접속 판단부(550)를 통해 도 7과 같이 추출된 진출 히스토그램 특징정보(801)와 검출 대상 서비스 제공자 서버들이 송수신하는 진출 송수신 트래픽 정보에 근거하여 학습된 기준 진출 히스토그램 특징정보인 기준 특징정보(802)의 차 값(면적 값)(803)을 계산하고(S121), 상기 차 값이 기준값 이상인지를 판단한다(S123).The anonymous network analysis unit 500 enters the standard entry learned based on the entry histogram characteristic information 801 extracted as shown in FIG. 7 through the illegal access determination unit 550 and the entry/exit traffic information transmitted/received by the service providers servers to be detected. The difference value (area value) 803 of the reference characteristic information 802 which is the histogram characteristic information is calculated (S121), and it is determined whether the difference value is greater than or equal to the reference value (S123).

판단결과, 차 값이 기준값을 초과하면 익명 네트워크 분석부(500)는 진출 히스토그램 특징정보에 대응하는 진출 송수신 트래픽 정보를 발생시킨 서비스 제공자 서버(20)를 검출 대상 서비스 제공자 서버로 판정한다(S125). 즉, 익명 네트워크 분석부(500)는 상기 서비스 제공자 서버(20)를 불법정보를 제공하는 서버로 판단하여 검출 대상 서비스 제공자 서버인 서비스 제공자 서버(20)의 IP를 검출한다.As a result of the determination, when the difference value exceeds the reference value, the anonymous network analysis unit 500 determines the service provider server 20 generating the transmission/reception traffic information corresponding to the entry histogram characteristic information as the service provider server to be detected (S125). . That is, the anonymous network analyzer 500 determines the service provider server 20 as a server providing illegal information and detects the IP of the service provider server 20, which is a service provider server to be detected.

상기 검출 대상 서비스 제공자 서버가 검출되면 익명 네트워크 분석부(500)는 상기 진출 히스토그램 특징정보와 사용자 단말부(10)(사용자 단말부의 IP)별 진입 히스토그램 특징정보들과 비교하여 일치 또는 일정 범위 내에서 유사한 진입 히스토그램 특징정보들을 검출하고, 검출된 유사한 진입 히스토그램 특징정보를 발생시킨 사용자 단말부(10)를 상기 검출 대상 서비스 제공자 서버에 접속하여 정보를 송수신하는 단말부로 결정하여 해당 사용자 단말부(10)의 IP를 검출한다(S127). When the service provider server to be detected is detected, the anonymous network analysis unit 500 compares the entry histogram characteristic information with the entry histogram characteristic information for each user terminal unit 10 (IP of the user terminal unit) and matches or within a predetermined range. The user terminal unit 10 that detects similar entry histogram characteristic information and determines the user terminal unit 10 that generates the detected similar entry histogram characteristic information as a terminal unit that connects to the detection target service provider server and transmits and receives the information. IP is detected (S127).

상기 검출된 IP 등의 검출정보는 관리자 단말부를 통해 관리자에게 제공될 수 있을 것이다.Detection information such as the detected IP may be provided to the administrator through the administrator terminal unit.

한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다. On the other hand, the present invention is not limited to the typical preferred embodiments described above, but can be carried out by improving, changing, replacing or adding in various ways without departing from the gist of the present invention. Anyone who has a will easily understand. If the implementation by such improvement, modification, replacement or addition falls within the scope of the appended claims, the technical idea should also be regarded as belonging to the present invention.

10: 사용자 단말부 20: 서비스 제공자 서버
100: 유무선 데이터통신망 110: 익명 네트워크
120: 진입 노드 130: 진출 노드
200: 익명 네트워크 분석 시스템 300: 엔트리정보 수집부
400: 출구정보 수집부 500: 익명 네트워크 분석부
510: IP 설정부 520: 분석정보 수집부
530: 특징 추출부 540: 히스토그램화부
550: 불법 접속 판단부 560: 실명화부
570: 학습부 580: 데이터베이스부
581: 저장 제어부 582: 저장부10: user terminal 20: service provider server
100: wired and wireless data communication network 110: anonymous network
120: entry node 130: entry node
200: anonymous network analysis system 300: entry information collection unit
400: exit information collection unit 500: anonymous network analysis unit
510: IP setting unit 520: analysis information collection unit
530: feature extraction unit 540: histogram conversion unit
550: illegal access determination unit 560: real name identification unit
570: learning unit 580: database unit
581: storage control unit 582: storage unit

Claims (14)

사용자 단말부와 익명 네트워크를 연결하는 진입 노드에 연결되어, 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집부;
적어도 하나 이상의 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드에 연결되어, 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구정보 수집부; 및
상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 상기 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석부를 포함하되,
상기 익명 네트워크 분석부는,
임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 데이터베이스부;
상기 엔트리정보 수집부가 접속할 진입 노드 및 상기 출구정보 수집부가 접속할 진출 노드의 IP를 설정하는 IP 설정부;
상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집부;
상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징 추출부;
상기 특징 추출부에서 출력되는 진출 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단부; 및
진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화부를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
An entry information collection unit connected to an entry node connecting the user terminal unit and the anonymous network, and collecting entry transmission/reception traffic information transmitted and received between the user terminal unit and the anonymous network;
An exit information collection unit connected to at least one service provider server and an outgoing node connecting an anonymous network to collect outgoing transmission/reception traffic information transmitted and received between the service provider server and the anonymous network; And
It receives the incoming/outgoing traffic information from the entry information collection unit and extracts the characteristics of the incoming/outgoing traffic information of the incoming/outgoing traffic information to generate the incoming feature information. The incoming traffic information is input from the exit information collection unit to enter the advancing. Extracts the characteristics of the transmission/reception traffic information of the transmission/reception traffic information, generates advanced feature information, compares the advanced feature information with reference advanced feature information about the service provider server that is previously learned and stored, and detects among the service provider servers An anonymous network analysis unit that detects a target service provider server and compares the entry feature information and entry feature information corresponding to the detected detection service provider server to identify a user terminal connected to the detected detection service provider server Including,
The anonymous network analysis unit,
A database unit for generating and storing reference advanced feature information generated by learning a plurality of feature information extracted from transmission/reception traffic information of at least one detection target service provider server through an arbitrary advance node;
An IP setting unit configured to set an IP of an entry node to be accessed by the entry information collection unit and an entry node to be accessed by the exit information collection unit;
An analysis information collection unit that collects and transmits entry/reception traffic information and entry/exit traffic information through the entry information collection unit and the exit information collection unit;
A feature extraction unit receiving input/reception traffic information and entry/exit traffic information from the analysis information collection unit and extracting and outputting each entry feature information and entry feature information;
An illegal access determining unit that detects a target service provider server among the service provider servers by comparing the advanced feature information output from the feature extraction unit and the reference advanced feature information in the database unit; And
Compares entry feature information with entry feature information for the service provider server determined to be the detection target service provider server, detects a user terminal portion accessing the service provider server, and outputs terminal identification information capable of recognizing the user terminal portion An anonymous network analysis system using manual fingerprinting, characterized in that it comprises a real name.
삭제delete 제1항에 있어서,
상기 익명 네트워크 분석부는,
초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
According to claim 1,
The anonymous network analysis unit,
Learn the advanced feature information for the incoming/outgoing traffic of the test service provider server that processes the initial illegal information to generate the standard entry feature information. An anonymous network analysis system using manual fingerprinting further comprising a learning unit for performing the learning reflected in the previous standard advance feature information to update the standard advance feature information.
제1항에 있어서,
상기 익명 네트워크 분석부는,
상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화부를 더 포함하고,
상기 불법 접속 판단부는,
상기 진출 히스토그램 특징정보와 기준 진출 특징정보를 비교하여 검출 대상 서비스 제공자 서버를 검출하고,
상기 실명화부는,
상기 검출 대상 서비스 제공자 서버의 진출 히스토그램 특징정보와 진입 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 식별하는 단물 식별정보를 출력하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
According to claim 1,
The anonymous network analysis unit,
Further comprising a histogram to generate the entry histogram feature information and entry histogram feature information by performing binary and N-Gram the entry feature information and entry feature information,
The illegal access determination unit,
The service provider server to be detected is detected by comparing the advanced histogram feature information with the reference advanced feature information,
The realization unit,
Anonymous network using manual fingerprinting, characterized by outputting complex identification information identifying a user terminal unit accessing the detection target service provider server by comparing entry histogram characteristic information and entry histogram characteristic information of the detection target service provider server Analysis system.
제4항에 있어서,
상기 익명 네트워크 분석부는,
초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
The method of claim 4,
The anonymous network analysis unit,
The test histogram characteristic information for the incoming/outgoing traffic of the test service provider server processing the initial illegal information is learned to generate the above standard outgoing characteristic information, and when accessing an anonymous network, the outgoing histogram for the incoming/outgoing traffic of the actual service provider server An anonymous network analysis system using manual fingerprinting, further comprising a learning unit that updates the reference advanced feature information by performing learning that reflects feature information on the previously advanced reference feature information.
제1항에 있어서,
상기 특징 추출부는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고
ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고,
하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고,
하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
[수학식 1]
Figure 112020041723946-pat00013

li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +

[수학식 2]
Figure 112020041723946-pat00014

[수학식 3]
Figure 112020041723946-pat00015

According to claim 1,
The feature extraction unit,
TLS packet time (t n ) and packet length (l n ) are extracted from the collected transmission/reception traffic information by Equation 1 below.
Remove the ACKNOWLEDGEMENT and SENDME cells,
As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. Calculate the sequence,
An anonymous network analysis system using manual fingerprinting, characterized in that the tor cell sequence is divided into an incoming cell sequence and an outgoing sequence to generate the binarized feature information as shown in Equation 3 below.
[Equation 1]
Figure 112020041723946-pat00013

l i is incoming (receiving), s i = -, outgoing (sending) s i = +

[Equation 2]
Figure 112020041723946-pat00014

[Equation 3]
Figure 112020041723946-pat00015

 제5항에 있어서,
상기 학습부는,
상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 기준 진출 특징정보를 생성 또는 갱신하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
The method of claim 5,
The learning unit,
An anonymous network analysis system using manual fingerprinting characterized in that the advanced histogram feature information is applied to a deep learning model to learn and generate or update the reference advanced feature information.
제4항에 있어서,
상기 특징 추출부는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고
ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고,
하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고,
하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
[수학식 1]
Figure 112018113190783-pat00016

li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +

[수학식 2]
Figure 112018113190783-pat00017

[수학식 3]
Figure 112018113190783-pat00018

The method of claim 4,
The feature extraction unit,
TLS packet time (t n ) and packet length (l n ) are extracted from the collected transmission/reception traffic information by Equation 1 below.
Remove the ACKNOWLEDGEMENT and SENDME cells,
As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. Calculate the sequence,
An anonymous network analysis system using manual fingerprinting, characterized in that the tor cell sequence is divided into an incoming cell sequence and an outgoing sequence to generate the binarized feature information as shown in Equation 3 below.
[Equation 1]
Figure 112018113190783-pat00016

l i is incoming (receiving), s i = -, outgoing (sending) s i = +

[Equation 2]
Figure 112018113190783-pat00017

[Equation 3]
Figure 112018113190783-pat00018

 제8항에 있어서,
상기 히스토그램화부는,
상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고,
상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며,
상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
The method of claim 8,
The histogram forming unit,
The histogram is generated by connecting the incoming and outgoing sequences,
The kernel density estimation is applied to the histogram to estimate the probability density function of the histogram,
An anonymous network analysis system using manual fingerprinting, characterized in that the probability of a random variable is obtained from the probability density function to generate feature information as a feature vector.
익명 네트워크 분석부가 엔트리 정보를 수집할 진입 노드 및 출구 정보를 수집할 진출 노드의 IP를 설정하는 IP 설정 과정;
엔트리정보 수집부가 사용자 단말부와 익명 네트워크를 연결하는 진입 노드를 통해 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집 과정;
출구 정보 수집부가 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드를 통해 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구 정보 수집 과정; 및
익명 네트워크 분석부가 상기 진입 송수신 트래픽 정보를 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석 과정을 포함하되,
상기 익명 네트워크 분석 과정은,
분석정보 수집부가 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집 단계;
특징 추출부가 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징정보 수집 단계;
히스토그램화부가 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화 단계;
불법 접속 판단부가 상기 특징 추출부에서 출력되는 진출 히스토그램 특징정보와 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단 단계; 및
실명화부가 진입 히스토그램 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
An IP setting process in which an anonymous network analysis unit sets an IP of an entry node to collect entry information and an entry node to collect exit information;
An entry information collection process in which the entry information collection unit collects entry/reception traffic information transmitted/received between the user terminal unit and the anonymous network through an entry node connecting the user terminal unit and the anonymous network;
An exit information collection process in which the exit information collection unit collects information of incoming and outgoing transmission and reception traffic transmitted and received between the service provider server and the anonymous network through an outgoing node connecting a service provider server and an anonymous network; And
Anonymous network analysis unit receives the incoming/outgoing traffic information, extracts the characteristics of the incoming/outgoing traffic information and generates the incoming/outgoing traffic information, receives the incoming/outgoing traffic information, and receives the incoming/outgoing traffic information. Extracts features to generate advanced feature information, compares the advanced feature information with reference advanced feature information for a target service provider server that is previously learned and stored to detect the detected service provider server, and enters the feature information and Comprising an anonymous network analysis process to identify the user terminal connected to the detected target service provider server by comparing the entry feature information,
The anonymous network analysis process,
An analysis information collecting step in which the analysis information collection unit collects and transmits entry/exit traffic information and entry/exit traffic information through the entry information collection unit and the exit information collection unit;
A feature information collecting unit receiving input/received traffic information and/or transmitted/received traffic information from the analysis information collection unit, and extracting and outputting each input feature information and advanced feature information;
A histogram step of generating a histogram feature information and an entry histogram feature information by binary and N-Gram the entry feature information and entry feature information by a histogram unit;
An illegal access determination step in which the illegal access determination unit compares the advanced histogram characteristic information output from the feature extraction unit with the reference advanced characteristic information in the database unit to detect a target service provider server among the service provider servers; And
The realization unit compares the entry histogram characteristic information with the entry histogram characteristic information for the service provider server determined to be the detection target service provider server to detect the user terminal unit accessing the detection target service provider server and recognize the user terminal unit. An anonymous network analysis method using manual fingerprinting, characterized in that it comprises a real name step of outputting the terminal identification information.
삭제delete 제10항에 있어서,
상기 익명 네트워크 분석 과정은,
학습부가 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습 단계를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
The method of claim 10,
The anonymous network analysis process,
The learning unit learns the entry histogram characteristic information for the incoming/outgoing traffic of the test service provider server that processes the initial illegal information, generates the above standard entry characteristic information, and when accessing the actual anonymous network, the incoming/outgoing traffic of the actual service provider server An anonymous network analysis method using manual fingerprinting, further comprising a step of learning to update the reference advance feature information by performing learning that reflects the advance histogram feature information to the reference advance feature information.
제12항에 있어서,
상기 특징 추출 단계는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고 패킷 길이 추출 단계;
ACKNOWLEDGEMENT 및 SENDME 셀을 제거하는 불요정보 제거 단계;
하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하는 셀 시퀀스 계산 단계; 및
하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
[수학식 1]
Figure 112018113190783-pat00019

li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +

[수학식 2]
Figure 112018113190783-pat00020

[수학식 3]
Figure 112018113190783-pat00021

The method of claim 12,
The feature extraction step,
Extracting the TLS packet time (t n ) and the packet length (l n ) according to Equation 1 below from the collected transmission/reception traffic information and extracting the packet length;
Removing unnecessary information for removing ACKNOWLEDGEMENT and SENDME cells;
As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. A cell sequence calculating step of calculating a sequence; And
An anonymous network analysis method using manual fingerprinting, comprising the step of generating characteristic information by separating the tor cell sequence into an incoming cell sequence and an outgoing sequence, as shown in Equation 3 below, to generate the binarized characteristic information. .
[Equation 1]
Figure 112018113190783-pat00019

l i is incoming (receiving), s i = -, outgoing (sending) s i = +

[Equation 2]
Figure 112018113190783-pat00020

[Equation 3]
Figure 112018113190783-pat00021

 제13항에 있어서,
상기 히스토그램화 단계는,
상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하는 히스토그램 생성 단계;
상기 히스토그램에 커널 밀도 추정을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하는 확률밀도 추정 단계; 및
상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.The method of claim 13,
The histogramization step,
A histogram generation step of generating a histogram by connecting the incoming and outgoing sequences;
A probability density estimation step of estimating a probability density function of the histogram by applying kernel density estimation to the histogram; And
And a feature information generating step of obtaining a probability of a random variable from the probability density function and generating feature information, which is a feature vector, an anonymous network analysis method using manual fingerprinting.
KR1020180139856A 2018-11-14 2018-11-14 Anonymous network analysis system using passive fingerprinting and method thereof KR102119636B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180139856A KR102119636B1 (en) 2018-11-14 2018-11-14 Anonymous network analysis system using passive fingerprinting and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180139856A KR102119636B1 (en) 2018-11-14 2018-11-14 Anonymous network analysis system using passive fingerprinting and method thereof

Publications (2)

Publication Number Publication Date
KR20200056029A KR20200056029A (en) 2020-05-22
KR102119636B1 true KR102119636B1 (en) 2020-06-08

Family

ID=70914065

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180139856A KR102119636B1 (en) 2018-11-14 2018-11-14 Anonymous network analysis system using passive fingerprinting and method thereof

Country Status (1)

Country Link
KR (1) KR102119636B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234698B1 (en) * 2020-09-21 2021-04-02 (주)에이아이딥 Tor site passive fingerprinting system using convolution neural network and method thereof
CN114422210B (en) * 2021-12-30 2023-05-30 中国人民解放军战略支援部队信息工程大学 AnoA theory-based anonymous network passive flow analysis and evaluation method and system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101548210B1 (en) 2014-01-06 2015-08-31 고려대학교 산학협력단 Method for detecting bypass access through anonymous network using round trip time variation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Kota Abe 외 1인 ‘Fingerprinting Attack on Tor Anonymity using Deep Learning’, Proceedings of the APAN Research Workshop (2016.)*

Also Published As

Publication number Publication date
KR20200056029A (en) 2020-05-22

Similar Documents

Publication Publication Date Title
CN109951500B (en) Network attack detection method and device
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
CN111277570A (en) Data security monitoring method and device, electronic equipment and readable medium
KR101575282B1 (en) Agent device and method for sharing security information based on anonymous identifier between security management domains
WO2022083417A1 (en) Method and device for data pack processing, electronic device, computer-readable storage medium, and computer program product
CN110417717B (en) Login behavior identification method and device
CN112019574A (en) Abnormal network data detection method and device, computer equipment and storage medium
Deng et al. The random forest based detection of shadowsock's traffic
US10264004B2 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
Zeng et al. Flow context and host behavior based shadowsocks’s traffic identification
KR101250899B1 (en) Apparatus for detecting and preventing application layer distribute denial of service attack and method
CN106778229B (en) VPN-based malicious application downloading interception method and system
CN113518042B (en) Data processing method, device, equipment and storage medium
Csikor et al. Privacy of DNS-over-HTTPS: Requiem for a Dream?
CN106656966B (en) Method and device for intercepting service processing request
KR102119636B1 (en) Anonymous network analysis system using passive fingerprinting and method thereof
KR101487476B1 (en) Method and apparatus to detect malicious domain
CN112434304A (en) Method, server and computer readable storage medium for defending network attack
JP2023516621A (en) Web attack detection and blocking system and method by artificial intelligence machine learning behavior-based web protocol analysis
KR101210622B1 (en) Method for detecting ip shared router and system thereof
EP4033717A1 (en) Distinguishing network connection requests
CN112491836B (en) Communication system, method, device and electronic equipment
US20200021608A1 (en) Information processing apparatus, communication inspecting method and medium
KR20170054215A (en) Method for connection fingerprint generation and traceback based on netflow
CN114124512B (en) WeChat small program supervision method, system and equipment based on flow behavior analysis

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant