KR102129375B1 - 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 - Google Patents

딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 Download PDF

Info

Publication number
KR102129375B1
KR102129375B1 KR1020190138610A KR20190138610A KR102129375B1 KR 102129375 B1 KR102129375 B1 KR 102129375B1 KR 1020190138610 A KR1020190138610 A KR 1020190138610A KR 20190138610 A KR20190138610 A KR 20190138610A KR 102129375 B1 KR102129375 B1 KR 102129375B1
Authority
KR
South Korea
Prior art keywords
information
unit
web page
network traffic
fingerprinting
Prior art date
Application number
KR1020190138610A
Other languages
English (en)
Inventor
황두성
오형석
김준호
김원겸
Original Assignee
(주)에이아이딥
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)에이아이딥 filed Critical (주)에이아이딥
Priority to KR1020190138610A priority Critical patent/KR102129375B1/ko
Application granted granted Critical
Publication of KR102129375B1 publication Critical patent/KR102129375B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer

Abstract

본 발명은 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법에 관한 것으로, 더욱 상세하게는 클라이언트 단말기로부터 클라이언트가 웹브라우저를 통해 접속한 웹사이트에 대한 웹페이지 특징정보 및 익명 네트워크의 네트워크 트래픽 특징정보 둘 모두를 딥러닝 학습시켜 다크웹인 토르 사이트인지를 식별하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법에 관한 것이다.

Description

딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법{Deep running model based tor site active fingerprinting system and method thereof}
본 발명은 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법에 관한 것으로, 더욱 상세하게는 클라이언트 단말기로부터 클라이언트가 웹브라우저를 통해 접속한 웹사이트에 대한 웹페이지 특징정보 및 익명 네트워크의 네트워크 트래픽 특징정보 둘 모두를 딥러닝 학습시켜 다크웹인 토르 사이트인지를 식별하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법에 관한 것이다.
일반적으로, 토르 네트워크(Tor Network)는 전 세계에서 자발적으로 제공되는 가상 컴퓨터와 네트워크를 여러 차례 경유하여 이용자의 인터넷 접속 흔적을 추적할 수 없도록 하는 익명 네트워크의 하나이다.
통상, 토르 네트워크는 다수의 토르 노드가 연결 경로를 중계하도록 구성되며, 기본적으로 3개의 노드, 즉 진입노드, 중계노드 및 출구노드를 포함한다.
진입노드와 출구노드는 비밀키 협상을 하여 보안키를 설정하며, 설정된 보안키를 통해 토르 연결 설정을 하고, 진입노드는 클라이언트 단말기로부터 입력되는 스트림으로부터 클라이언트 단말기의 IP를 인식한 후 보안키로 암호화하여 중계노드를 통해 출구노드로 전송한다.
그러면 출구노드는 상기 보안키에 의해 복호하여 서비스제공자 서버의 주소를 확인하고, 스트림을 해당 서비스제공자 서버로 전송한다.
반대 방향의 스트림도 동일한 방식으로 서비스제공자 서버에서 클라이언트 단말기로 전송될 것이다.
상기 보안키 설정은 자체 서명된 임시 Diffie-Hellman 키 교환 방식을 적용할 수 있으며, 표준 TLS(Transport Layer Security)를 사용하여 노드 간의 연결을 보호하도록 한다.
토르 네트워크 내의 토르 노드들을 통해 전송되는 TCP 스트림은 분할되어 512바이트(Byte)의 셀(Cell)로 패키지되며, 셀은 대기시간을 줄이기 위해 짧은 유효 페이로드를 포함한다.
각 토르 노드간 연결은 서로 다른 TCP연결에 해당하는 여러 스트림을 다중화하며, 토르 노드와 공격자는 토르 스트림 사이를 구분할 수 없다.
사용하지 않은 토르 경로는 몇 분 단위로 변경되며, 토르 네트워크를 통해 새 경로를 선택하고 키 교환을 수행하며, 암호화된 터널(Channel)을 설정한다.
상기 토르 네트워크에 접속할 수 있는 토르 브라우저는 사용자 하드디스크에 쿠키 등을 포함하는 정보를 저장하지 않으며, 기본적으로 플래쉬(Flash)를 사용하지 않고, 웹사이트 접근에 HTTPs를 사용한다.
상술한 바와 같이 구성되는 토르 네트워크는 해당 서비스를 이용하는 네트워크의 사용자나 서비스제공자의 신원이 숨겨져 알 수 없기 때문에 마약이나 무기 등의 불법적인 거래에 악용되어 그 이용률이 급속히 증가하고 있으며, 콘텐츠를 불법 유통시키는 새로운 채널로 문제가 되고 있다.
이에 따라 토르와 같은 주요 익명 네트워크와 같은 새로운 침해 환경에 대한 자동화된 대응 시스템이 요구되고 있다.
등록특허공보 제10-1548210호(2015.08.31.공고)
따라서 본 발명의 목적은 클라이언트 단말기로부터 클라이언트가 웹브라우저를 통해 접속한 웹사이트에 대한 웹사이트 특징정보 및 익명 네트워크의 네트워크 트래픽 특징정보 둘 모두를 딥러닝 모델을 통해 학습시켜 다크웹인 토르 사이트를 식별하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템은: 웹페이지 특징 추출 이벤트의 발생 시 익명 네트워크를 포함하는 유무선데이터통신망을 통해 접속한 서비스제공자 서버로부터 제공받아 웹브라우저를 통해 표시하고 있는 웹사이트의 웹페이지에 대한 웹페이지 특징을 추출하고, 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 전송하는 클라이언트 단말기; 및 익명 네트워크로 진입하는 진입노드 및 익명 네트워크로부터 나오는 출구노드를 통해 상기 익명 네트워크로 송수신되는 네트워크 트래픽 특징정보를 추출하고, 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수신받으며, 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅정보를 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록하는 핑거프린팅부를 포함하는 것을 특징으로 한다.
상기 클라이언트 단말기는, 상기 익명 네트워크를 포함하는 유무선데이터통신망에 접속하여 상기 유무선데이터통신망에 접속하여 적어도 하나 이상의 웹페이지를 포함하는 웹사이트를 제공하는 서비스제공자 서버 및 익명 네트워크의 상기 진입노드 및 출구노드와 데이터통신을 수행하는 통신부; 및 웹페이지 특징 추출 이벤트의 발생 시 익명 네트워크를 포함하는 유무선데이터통신망을 통해 접속한 서비스제공자 서버로부터 제공받아 웹브라우저를 통해 표시하고 있는 웹사이트의 웹페이지에 대한 웹페이지 특징을 추출하고, 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 상기 통신부를 통해 상기 핑거프린팅부로 전송하는 제어부를 포함하는 것을 특징으로 한다.
상기 제어부는, 웹페이지 특징 추출 이벤트가 발생되는지를 모니터링하는 이벤트 모니터링부; 상기 웹페이지 특징 추출 이벤트의 발생 시 상기 웹사이트의 현재 접속한 웹페이지에 대한 웹페이지로부터 웹페이지 특징을 추출하여 출력하는 웹페이지 특징 추출부; 상기 웹페이지 특징 추출부에서 추출되는 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 생성하여 출력하는 웹페이지 특징정보 생성부; 및 상기 웹페이지 특징정보 생성부로부터 웹페이지 특징정보가 입력되면 통신부를 통해 상기 핑거프린팅부로 전송하는 웹페이지 특징정보 전송부를 포함하는 것을 특징으로 한다.
상기 이벤트 모니터링부는, 웹브라우저인 토르 웹브라우저의 구동 또는 상기 웹브라우저에 마운트된 웹페이지 특징 추출 버튼의 클릭 시 상기 웹페이지 특징 추출 이벤트가 발생한 것으로 판단하는 것을 특징으로 한다.
상기 웹페이지 특징 추출부는, 상기 웹페이지의 패킷 데이터 도착 시간, 웹페이지를 구성하는 HTML 파일 내의 링크 수, 중복된 링크 수, 외부 링크 수, HTML 태그 경로 수, HTML 태그 수, 미중복 HTML 태그 경로 수, HTML 태그 최소 길이, HTML 태그 최대 길이, 모든 HTML 태그 깊이 수, 최대 HTML 태그 깊이 수, 최소 HTML 태그 깊이 수, 평균 HTML 태그 깊이 수, HTML 문서 내 문자 수, HTML 문서 내 파일 수, HTML 문서 크기를 그 특징으로 추출하는 것을 특징으로 한다.
상기 핑거프린팅부는, 상기 유무선데이터통신망을 통해 상기 액티브 핑거프린팅정보를 수집하여 출력하는 정보수집부; 및 상기 액티브 핑거프린팅정보를 입력받아 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록하는 액티브 핑거프린팅 분석부를 포함하는 것을 특징으로 한다.
상기 정보수집부는, 상기 클라이언트 단말기 및 익명 네트워크 사이에서 발생하는 네트워크 트래픽들에 대한 네트워크 트래픽에 대한 진입 네트워크 트래픽 정보를 수집하여 출력하는 엔트리정보 수집부; 상기 익명 네트워크와 토르 사이트를 제공하는 서비스제공자 서버 사이에서 발생하는 네트워크 트래픽에 대한 출구정보를 수집하여 출력하는 출구정보 수집부; 상기 유무선데이터통신망을 통해 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 웹페이지 특징정보 수신부; 및 상기 진입 네트워크 트래픽 정보 및 출구 네트워크 트래픽 정보로부터 네트워크 트래픽 특징을 추출하고, 상기 네트워크 트래픽을 발생시킨 클라이언트 단말기의 고유의 단말 식별정보 및 네트워크 트래픽 특징을 포함하는 네트워크 트래픽 특징정보를 생성하여 상기 액티브 핑거프린팅 분석부로 출력하는 네트워크 트래픽 분석부를 포함하는 것을 특징으로 한다.
상기 네트워크 트래픽 분석부는, 트래픽 일반정보, 패킷 데이터 도착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 추출하고, 상기 트래픽 일반정보, 패킷 데이터 토착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 포함하는 네트워크 트래픽 특징정보를 생성하는 것을 특징으로 한다.
상기 일반정보는 패킷데이터 수, 웹사이트 로드 시간, BPS, PPS, 패킷 정보를 포함하는 것을 특징으로 한다.
상기 정보 수집부는, 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅 정보를 생성하여 상기 액티브 핑거프린팅 분석부로 전송하는 액티브 핑거프린팅정보 생성부를 더 포함하는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법은: 클라이언트 단말기가 웹페이지 특징 추출 이벤트의 발생 시 익명 네트워크를 포함하는 유무선데이터통신망을 통해 접속한 서비스제공자 서버로부터 제공받아 웹브라우저를 통해 표시하고 있는 웹사이트의 웹페이지에 대한 웹페이지 특징을 추출하고, 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 전송하는 웹페이지 특징정보 제공 과정; 및 핑거프린팅부가 익명 네트워크로 진입하는 진입노드 및 익명 네트워크로부터 나오는 출구노드를 통해 상기 익명 네트워크로 송수신되는 네트워크 트래픽 특징정보를 추출하는 네트워크 트래픽 특징정보 추출 과정; 상기 핑거프린팅부가 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수신받아 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅정보를 획득하는 액티브 핑거프린팅정보 획득 과정; 및 상기 핑거프린팅부가 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록하는 토르 사이트 핑거프린팅 과정을 포함하는 것을 특징으로 한다.
웹페이지 특징정보 제공 과정은, 상기 클라이언트 단말기가 상기 웹페이지 특징 추출 이벤트가 발생하는지를 모니터링하는 이벤트 모니터링 단계; 상기 클라이언트 단말기가 상기 웹페이지 특징 추출 이벤트의 발생 시 웹페이지 특징 추출부를 통해 상기 웹사이트의 현재 접속한 웹페이지에 대한 웹페이지로부터 웹페이지 특징을 추출하여 출력하는 웹페이지 특징 추출 단계; 상기 클라이언트 단말기가 웹페이지 특징정보 생성부를 통해 상기 웹페이지 특징 추출부에서 추출되는 웹페이지 특징 및 자신의 고유의 식별정보를 포함하는 웹페이지 특징정보를 생성하여 출력하는 웹페이지 특징정보 생성 단계; 및 상기 클라이언트 단말기가 상기 웹페이지 특징정보 생성부로부터 웹페이지 특징정보가 입력되면 통신부를 통해 상기 핑거프린팅부로 전송하는 웹페이지 특징정보 전송 단계를 포함하는 것을 특징으로 한다.
상기 클라이언트 단말기는, 웹브라우저인 토르 웹브라우저의 구동 또는 상기 웹브라우저에 마운트된 웹페이지 특징 추출 버튼의 클릭 시 상기 웹페이지 특징 추출 이벤트가 발생한 것으로 판단하는 것을 특징으로 한다.
상기 웹페이지 특징 추출 과정에서 상기 클라이언트 단말기가, 상기 웹페이지의 패킷 데이터 도착 시간, 웹페이지를 구성하는 HTML 파일 내의 링크 수, 중복된 링크 수, 외부 링크 수, HTML 태그 경로 수, HTML 태그 수, 미중복 HTML 태그 경로 수, HTML 태그 최소 길이, HTML 태그 최대 길이, 모든 HTML 태그 깊이 수, 최대 HTML 태그 깊이 수, 최소 HTML 태그 깊이 수, 평균 HTML 태그 깊이 수, HTML 문서 내 문자 수, HTML 문서 내 파일 수, HTML 문서 크기를 그 특징으로 추출하는 것을 특징으로 한다.
네트워크 트래픽 특징정보 추출 과정은, 상기 핑거프린팅부의 정보 수집부가 엔트리정보 수집부를 통해 상기 클라이언트 단말기 및 익명 네트워크 사이에서 발생하는 네트워크 트래픽들에 대한 네트워크 트래픽에 대한 진입 네트워크 트래픽 정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 엔트리정보 수집 단계; 상기 정보 수집부가 출구정보 수집부를 통해 상기 익명 네트워크와 토르 사이트를 제공하는 서비스제공자 서버 사이에서 발생하는 네트워크 트래픽에 대한 출구정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 출구정보 수집 단계; 상기 정보 수집부가 웹페이지 특징정보 수신부를 통해 상기 유무선데이터통신망에 접속한 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 웹페이지 특징정보 수집 단계; 및 상기 정보 수집부가 네트워크 트래픽 분석부를 통해 상기 진입 네트워크 트래픽 정보 및 출구정보로부터 네트워크 트래픽 특징을 추출하고, 상기 네트워크 트래픽을 발생시킨 클라이언트 단말기의 고유의 식별정보 및 네트워크 트래픽 특징을 포함하는 네트워크 트래픽 특징정보를 생성하여 상기 액티브 핑거프린팅 분석부로 출력하는 네트워크 트래픽 분석 단계를 포함하는 것을 특징으로 한다.
상기 네트워크 트래픽 분석 단계에서 웹페이지 특징정보 수신부가, 트래픽 일반정보, 패킷 데이터 도착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 추출하고, 상기 트래픽 일반정보, 패킷 데이터 토착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 포함하는 네트워크 트래픽 특징정보를 생성하는 것을 특징으로 한다.
상기 일반정보는 팻킷데이터 수, 웹사이트 로드 시간, BPS, PPS, 초기 패킷 정보를 포함하는 것을 특징으로 한다.
상기 네트워크 트래픽 특징정보 추출 과정은, 상기 정보 수집부가 액티브 핑거프린팅정보 생성부를 통해 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅 정보를 생성하여 상기 액티브 핑거프린팅 분석부로 전송하는 액티브 핑거프린팅정보 생성 단계를 더 포함하는 것을 특징으로 한다.
본 발명은 토르 네트워크와 서비스제공자 서버, 즉 토르 사이트 사이에서 송수신되는 트래픽 정보뿐만 아니라 클라이언트 단말기로부터 클라이언트가 접속한 사이트에 대한 웹사이트 특징정보를 수집하여 토르 사이트를 식별할 수 있으므로 보다 정확하게 토르 사이트를 핑거프린팅할 수 있는 효과가 있다.
본 발명은 불법적인 토르 사이트를 식별할 수 있으므로, 불법 및 유해정보를 제공하는 토르 사이트에 대한 차단 등의 불법 사이트 처리를 자동으로 빠르게 수행할 수 있는 효과가 있다.
도 1은 본 발명에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 토르 사이트 액티브 핑거프린팅 시스템의 클라이언트 단말기의 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 토르 사이트 액티브 핑거프린팅 시스템의 네트워크 트래픽 분석부의 구성을 나타낸 도면이다.
도 4는 본 발명에 따른 토르 사이트 액티브 핑거프린팅 시스템의 액티브 핑거프린팅 분석부의 구성을 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법을 나타낸 흐름도이다.
도 6은 본 발명의 일실시예에 따른 진입노드에서 획득된 트래픽정보의 일예를 나타낸 도면이다.
이하 첨부된 도면을 참조하여 본 발명에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템의 구성 및 동작을 상세히 설명하고, 상기 시스템에서의 토르 사이트 액티브 핑거프린팅 방법을 설명한다.
도 1은 본 발명에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, 사용자인 클라이언트가 사용하는 클라이언트 단말기(10), 적어도 하나 이상의 웹페이지를 포함하는 웹사이트를 제공하는 서비스제공자 서버(20) 및 핑거프린팅부(200)는 유무선데이터통신망(100)을 통해 무선 및 유선 중 어느 하나로 연결되어 데이터통신을 수행한다.
상기 유무선데이터통신망(100)은 와이파이(WiFi)망 및 근거리통신망(Local Area Network: LAN)을 포함하는 광대역통신망, 3세대(3 Generation: 3G), 4G, 5G 등의 이동통신망, 와이브로망 등 중 적어도 어느 하나 이상이 결합되어 TCP/IP 데이터통신을 제공하는 통신망이다.
또한, 상기 유무선데이터통신망(100)은 Tor(토르) 등과 같은 익명 네트워크(110)를 포함한다.
익명 네트워크(110)는 진입노드(111), 다수의 중계노드(미도시)를 포함하는 중계노드부(112) 및 출구노드(113)를 포함한다.
클라이언트 단말기(10)는 데스크톱 컴퓨터, 노트북 등과 같은 컴퓨터 단말기 및 스마트폰, 스마트패드 등으로 불리는 모바일 단말기 등이 될 수 있을 것이다.
클라이언트 단말기(10)는 유무선데이터통신망(100)을 통해 다양한 서비스를 제공하기 위해 적어도 하나 이상의 웹페이지를 포함하는 웹사이트를 제공하는 서비스제공자 서버(20)에 접속할 수 있는 웹브라우저 등과 같은 어플리케이션이 설치될 것이다.
또한, 익명 네트워크(110)를 통해서만 접속할 수 있는 토르 사이트를 제공하는 서비스제공자 서버(20-1)에 접속하기 위해서는 익명 네트워크 접속용 어플리케이션인 토르 웹브라우저 등이 설치되어 있어야 할 것이다.
상기 익명 네트워크 접속용 어플리케이션이 구동되는 클라이언트 단말기(10)는 익명 네트워크(110)의 진입노드(111)를 통해 익명 네트워크(110)로 진입하고, 출구노드(113)를 통해 익명 네트워크(110)에서 진출하여 토르 사이트를 제공하는 서비스제공자 서버(20-1)에 접속할 수 있으며, 접속한 서비스 제공자 서버(20-1)와 데이터통신을 수행한다.
클라이언트 단말기(10)는 본 발명에 따라 웹브라우저를 통해 접속하는 웹사이트, 즉 유무선데이터통신망(100)에 접속된 서비스제공자 서버(20)로부터 제공되는 웹사이트의 웹페이지에 대한 웹페이지 특징정보를 추출하고, 추출된 웹페이지 특징정보를 유무선데이터통신망(100)을 통해 핑거프린팅부(200)로 전송한다. 이를 위해 클라이언트 단말기(10)는 웹페이지 모니터링 어플리케이션(이하 "에이전트"라 함)이 설치되어 있어야 하며, 상기 에이전트는 웹브라우저, 토르 웹브라우저 등에 마운트되어 웹브라우저, 토르 웹브라우저 등의 구동 시 자동 실행되도록 구성되는 것이 바람직할 것이다.
서비스제공자 서버(20)는 유무선데이터통신망(100)을 통해 임의의 서비스를 제공하기 위한 적어도 하나 이상의 웹페이지를 포함하는 웹사이트를 제공하는 웹서버일 수 있을 것이다. 상기 웹페이지는 HTML로 작성될 것이다.
상기 서비스제공자 서버(20) 중 일부는 익명 네트워크(110)를 통해 임의의 다크웹 서비스를 제공하기 위한 토르 사이트를 제공하는 서비스제공자 서버(20-1)일 것이다.
상기 서비스제공자 서버(20-1)는 불법 저작물 서비스, 마약, 총기 등의 불법 거래 서비스 등을 제공하는 웹서버일 것이다.
진입노드(111) 및 출구노드(113)는 익명 네트워크(110)에 진입하고, 익명 네트워크(110)로부터 진출하는 라우터(Router) 등이 될 수 있으며, 각각 클라이언트 단말기(10)와 익명 네트워크(110), 및 서비스제공자 서버(20-1)와 익명 네트워크(110) 사이에서 수많은 트래픽들을 송수신한다. 상기 진입노드(111) 및 출구노드(113)에 대한 정보는 유무선데이터통신망(100)을 관리하는 통신사로부터 획득될 수 있을 것이다.
클라이언트 단말기(10)에서 진입노드(111)로 송신되거나, 진입노드(111)에서 클라이언트 단말기(10)로 송신되는 트래픽에는 클라이언트 단말기(10)의 IP 주소, MAC 주소 등의 단말 식별정보가 포함되어 있을 것이다.
그리고 출구노드(113)에서 서비스제공자 서버(20)로 송신되는 트래픽 및 서비스제공자 서버(20)에서 출구노드(113)로 송신되는 트래픽에는 서비스제공자 서버(20)의 IP 주소, MAC 주소 등의 서버 식별정보가 포함되어 있을 것이다.
핑거프린팅부(200)는 통신사 등으로부터 적어도 하나 이상의 진입노드(111) 및 출구노드(113)에 대한 인터넷 프로토콜(Internet Protocol: IP) 주소를 제공받아 자동으로 등록하거나, 관리자로부터 직접 입력받아 등록한다.
핑거프린팅부(200)는 입력받은 진입노드(111) 및 출구노드(113)에 접속하여, 상기 진입노드(111)를 통해 익명 네트워크(110)로 송수신되는 트래픽들에 대한 진입 네트워크 트래픽 정보 및 상기 출구노드(113)를 통해 익명 네트워크(110)로 송수신되는 트래픽들에 대한 출구 네트워크 트래픽 정보를 수집하고, 수집된 네트워크 트래픽 정보들의 특징을 추출하여 네트워크 트래픽 특징정보를 생성한다.
상기 진입 네트워크 트래픽 정보 및 진출 네트워크 트래픽 정보는 IP, 맥어드레스 등과 같은 클라이언트 단말기(10)의 고유의 단말 식별정보 및 서비스제공자 서버(20)의 서버 식별정보별로 수집될 수 있을 것이다.
네트워크 트래픽 특징정보가 생성되면, 핑거프린팅부(200)는 익명 네트워크(110)로 진입하는 진입노드(111) 및 익명 네트워크(110)로부터 나오는 출구노드(113)를 통해 상기 익명 네트워크(110)로 송수신되는 네트워크 트래픽 특징정보를 추출하고, 상기 클라이언트 단말기(10)로부터 웹페이지 특징정보를 수신받으며, 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅정보를 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행하여 생성된 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록한다.
구체적으로 핑거프린팅부(200)는 정보수집부(300) 및 액티브 핑거프린팅 분석부(400)를 포함한다.
상기 핑거프린팅부(200)는 하나의 서버 형태로 구성될 수도 있고, 상기 정보수집부(300) 및 액티브 핑거프린팅 분석부(400) 각각이 서버로 구성될 수도 있을 것이다.
정보수집부(300)는 엔트리정보 수집부(310), 웹페이지 특징정보 수신부(320) 및 네트워크 트래픽 분석부(340)를 포함하고, 실시예에 따라 출구정보 수집부(330) 및 액티브 핑거프린팅정보 생성부(350)를 더 포함할 수 있을 것이다.
엔트리정보 수집부(310)는 진입노드(111)에 연결되어 진입노드(111)로부터 진입 네트워크 트래픽 정보를 수집하여 상기 네트워크 트래픽 분석부(340)로 출력한다.
출구정보 수집부(330)는 출구노드(113)에 연결되어 출구노드(113)로부터 출구 네트워크 트래픽 정보를 수집하여 네트워크 트래픽 분석부(340)로 출력한다.
네트워크 트래픽 분석부(340)는 상기 진입 네트워크 트래픽 정보로부터 진입 네트워크 트래픽의 특징을 추출한 진입 네트워크 트래픽 특징정보를 생성하고, 실시예에 따라 상기 출구 네트워크 트래픽 정보로부터 출구 네트워크 트래픽 특징을 추출한 출구 네트워크 트래픽 특징정보를 생성하며, 상기 진입 네트워크 트래픽 특징정보 및 클라이언트 단말기(10)의 고유의 단말 식별정보를 포함하고 실시예에 따라 출구 네트워크 트래픽 특징정보를 더 포함하는 네트워크 트래픽 특징정보를 생성하여, 실시예에 따라 액티브 핑거프린팅정보 생성부(350) 또는 액티브 핑거프린팅 분석부(400)로 전송한다.
웹페이지 특징정보 수신부(320)는 유무선데이터통신망(100)을 통해 클라이언트 단말기(10)로부터 웹페이지 특징정보를 수신하여 수집하고, 수집된 웹페이지 특징정보를 실시예에 따라 액티브 핑거프린팅정보 생성부(350) 또는 액티브 핑거프린팅 분석부(400)로 전송한다.
액티브 핑거프린팅 분석부(400)는 액티브 핑거프린팅정보를 입력받아 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록한다.
도 2는 본 발명에 따른 토르 사이트 액티브 핑거프린팅 시스템의 클라이언트 단말기의 구성을 나타낸 도면이다. 이하 도 2를 참조하여 본 발명에 따른 클라이언트 단말기(10)의 구성 및 동작을 설명한다.
클라이언트 단말기(10)는 저장부(11), 디스플레이부(12), 입력부(13), 통신부(14) 및 제어부(15)를 포함한다.
저장부(11)는 본 발명에 따른 운영시스템, 웹브라우저, 웹페이지 특징 추출 에이전트 등의 제어프로그램을 저장하는 프로그램영역, 제어프로그램 수행 중에 발생되는 데이터를 일시 저장하는 임시영역, 상기 제어프로그램 수행 중에 발생되는 데이터 및 제어프로그램 수행에 필요한 데이터를 반영구적으로 저장하는 데이터영역을 포함할 수 있을 것이다.
디스플레이부(12)는 제어부(15)의 제어를 받아 클라이언트 단말기(10)의 동작에 따른 동작상태정보 및 웹브라우저 등을 통한 웹페이지 등의 다양한 정보를 텍스트, 그래픽, 정지영상, 동영상 등 중 어느 하나 이상으로 표시한다.
입력부(13)는 키보드, 마우스, 버튼입력장치, 화면에 일체로 구성되어 터치되는 화면상의 위치에 대응하는 위치신호를 출력하는 터치패드 등을 포함하여 사용자에게 인터페이스 수단을 제공한다.
통신부(14)는 유무선데이터통신망(100)에 유선 및 무선 중 어느 하나로 연결되어, 클라이언트 단말기(10)가 유무선데이터통신망(100)에 연결된 장치들과 데이터통신을 수행할 수 있도록 한다.
제어부(15)는 이벤트 발생 모니터링부(16), 웹페이지 특징 추출부(17), 웹페이지 특징 정보 생성부(180) 및 웹페이지 특징 정보 전송부(19)를 포함하여 본 발명에 따른 클라이언트 단말기(10)의 전반적인 동작을 제어한다.
구체적으로 설명하면, 상기 이벤트 발생 모니터링부(16), 웹페이지 특징 추출부(17), 웹페이지 특징 정보 생성부(18) 및 웹페이지 특징 정보 전송부(19)는 웹페이지 특징 추출 에이전트의 설치 시 클라이언트 단말기(10)에 구성될 것이다.
이벤트 발생 모니터링부(16)는 웹페이지 특징 추출 이벤트가 발생되는지를 모니터링한다. 상기 이벤트 발생 모니터링부(16)는 웹브라우저 또는 토르 웹브라우저의 발생 시 상기 웹페이지 특징 추출 이벤트가 발생한 것으로 판단하도록 구성될 수도 있고, 진입노드(111)들에 대한 정보를 저장하고, 상기 진입노드(111)에 접속 시 상기 웹페이지 특징 추출 이벤트가 발생한 것으로 판단하도록 구성될 수도 있을 것이다.
웹페이지 특징 추출부(17)는 웹페이지 특징 추출 이벤트의 발생 시 웹브라우저에 표시되고 있는 웹페이지에 대한 웹페이지 정보 중 본 발명에 따라 필요한 웹페이지 특징을 추출한다.
상기 웹페이지 특징 정보는 HTML 특징(Feature)으로 다수의 웹페이지 특징을 포함할 수 있을 것이다.
상기 다수의 웹페이지 특징은 HTML 파일 내의 링크 수(numberOflinks), 중복된 링크 수(sameDomainCnt), 외부 링크 수(thirdPartyCnt), HTML 태그 경로 수(numberOfTagPath), HTML 태그 수(numberOfTag), 미중복 HTML 태그 경로 수(numberOfUniquePath), HTML 태그 최소 길이(minDepth), HTML 태그 최대 길이(maxDepth), 모든 HTML 태그 깊이 수(depthSum), 최대 HTML 태그 깊이 수(numberOfMaxDepth), 최소 HTML 태그 깊이 수(numberOfMinDepth), 평균 HTML 태그 깊이 수(numberOfMedianDepth), HTML 문서 내 문자 수(numberOfCharacters), HTML 문서 내 파일 수(numberOfFiles), HTML 문서 크기(htmlsize) 등이 될 수 있을 것이다.
토르 웹페이지는 일반 웹페이지보다 디자인이 단순하며, 테이블 위주나 총기, 마약 등의 간단한 이미지 파일을 배치해 놓은 구성으로 되어 있는 경우가 많다. 이런 단순한 토르 웹페이지를 구분하기 위해서 HTML 내에 있는 태그들의 구조를 중심으로 특징을 추출함으로써 토르 웹페이지와 일반 웹페이지를 구분할 수 있을 것이다. 따라서 태그 수, 태그 경로 수, 태그 최대 길이 태그 최소 길이, 평균 태그 깊이 수 등 태그 중심으로 특징을 추출하여 토르 웹페이지의 검출 능력을 높일 수 있을 것이다.
웹페이지 특징 정보 생성부(18)는 상기 웹페이지 특징 추출부(17)로부터 웹페이지 특징이 추출되면, 특징이 추출된 웹페이지에 대한 패킷데이터 도착 시간, 클라이언트 단말기(10)의 단말 식별정보 및 상기 추출된 웹페이지 특징을 포함하는 웹페이지 특징 정보를 생성한다. 상기 단말 식별정보는 인터페이스 프로토콜(Internet Protocol: IP) 및 맥(MAC) 주소 중 어느 하나 이상을 포함할 수 있으나, IP를 포함하는 것이 바람직할 것이다.
웹페이지 특징 정보 전송부(19)는 상기 웹페이지 특징 정보 생성부(18)에서 생성된 웹페이지 특징 정보를 통신부(14)를 통해 핑거프린팅부(200)로 전송한다.
도 3은 본 발명에 따른 토르 사이트 액티브 핑거프린팅 시스템의 네트워크 트래픽 분석부의 구성을 나타낸 도면이고, 도 6은 본 발명의 일실시예에 따른 진입노드에서 획득된 트래픽정보의 일예를 나타낸 도면이다. 이하 도 3 및 도 6을 참조하여 설명한다.
네트워크 트래픽 분석부(340)는 IP 설정부(341), 패킷특징정보 획득부(342), 특징 추출부(343)를 포함한다.
IP 설정부(341)는 진입노드(111) 및 출구노드(113)들에 대한 IP 주소를 가지고 있으며, 상기 IP 주소들 중 임의의 또는 특정 IP 주소를 로드하고 엔트리정보 수집부(310)로 진입 네트워크 트래픽 특징을 수집할 하나 이상의 진입노드(111)에 대한 IP 주소를 전송하여 설정하고, 출구정보 수집부(330)로 출구 네트워크 트래픽 특징을 수집할 하나 이상의 출구노드(113)에 대한 IP 주소를 전송하여 설정한다.
패킷특징정보 획득부(342)는 상기 IP 설정부(341)에서 설정된 진입노드(111)에 대한 진입 네트워크 트래픽 정보를 엔트리정보 수집부(310)로부터 수신받고, 실시예에 따라 출구정보 수집부(330)로부터 출구노드(113)에 대한 출구 네트워크 트래픽 정보를 출구정보 수집부(330)로부터 수신받는다.
네트워크 트래픽 정보가 수신되면 특징 추출부(343)는 상기 네트워크 트래픽 정보를 분석하여 하기 표 1과 같이 구성되는 네트워크 트래픽 특징을 추출하고, 네트워크 트래픽 특징 및 클라이언트 단말기(10)의 단말 식별정보를 포함하는 네트워크 트래픽 특징정보를 실시예에 따라 액티브 핑거프린팅정보 생성부(350) 또는 액티브 핑거프린팅 분석부(400)로 전송한다.
Figure 112019112238191-pat00001
이러한 특징들은 토르 사이트를 제공하는 웹서버인 서비스제공자 서버(20)가 토르 사이트의 VoIP, P2P, Chat, Audio-streaming, Video-streaming, File Transfer, Browsing, IMAP(Internet Message Access Protocol), POP(Post Office Protocol), SMTP(Simple Mail Transfer) 등과 같이 서로 다른 다양한 프로토콜과 어플리케이션을 사용하고, 그 성능이 상이함에 따라 일반 사이트에 대한 패킷의 특성과 다르게 나타난다.
특히, 토르 웹사이트의 웹페이지와 일반 사이트의 웹페이지를 로드하는 데 필요한 데이터의 크기가 다르게 나타나고, 전송량이 많을 경우 토르 웹사이트 로드에 필요한 전체 패킷의 크기가 커지고, 패킷을 수신하는 데 시간의 차이가 발생한다.
진입노드(111)를 위주로 구체적으로 설명하면, 일반정보(General Information)는 익명 네트워크(110)가 일반 네트워크와 다르게 노드(Onion Router)를 통해 통신하기 때문에 노드의 개수, 성능에 따라 PPS(Packet Per Second), BPS(Byte Per Second), Duration(웹사이트를 완전히 로드하는 데 걸리는 시간), First Information(초기 발생한 패킷으로 추출된 특징, "초기 패킷 정보"라 함)), Number of Packet(패킷의 개수) 등의 기본적인 정보들이 다르게 나타난다.
이러한 특징은 초기에 클라이언트 단말기(10)와 서비스제공자 서버(20)의 연결 과정, 통신 과정에서 발생하는 패킷은 노드의 개수, 프로토콜의 초기화에 많은 영향을 받는다.
상기 초기 패킷 정보는 웹사이트의 기본이 되는 정보가 송수신되기 때문에 중요하다.
패킷 순서(Packet Ordering) 정보는 전체 패킷에서 송신, 수신 패킷의 위치정보를 사용하고, 실시예에 따라 진입노드(111) 및 진출노드(113) 중 어느 하나 이상의 IP를 통해 송수신 내용을 분류하고, 송수신 패킷의 순서(Incoming Odering, Outgoing Ordering)를 계산하여 도 6의 601과 같이 나타낸다. 도 6의 참조부호 602는 클라이언트 단말기(10)의 IP 주소이고, 603은 진입노드(111)의 IP 주소이다.
도 6에서 수신 패킷 순서(Incoming Odering)은 [1,2,3,5,7,8,10,11,13,15]이고, 송신 패킷 순서(Outgoing Odering)은 [4,6,9,12,14]가 될 수 있을 것이다.
도 6에서 보이는 바와 같이 진입노드(111)의 IP 주소(603)과 클라이언트 단말기(10)의 IP 주소(602)가 발신측(Source)에 있는지 수신측(Destination)에 있는지에 의해 송신과 수신을 분류할 수 있을 것이다.
또한, 익명 네트워크(110)의 구성과 전송 특성은 시간에 직접적인 영향을 주고, 익명 네트워크(110)를 구성하는 라우터의 개수가 많을 경우 패킷데이터의 RTT(Round Trip Time: RTT)이 길이짐에 따라 도 6의 605에서와 같이 패킷의 시간 간격(Packet Interval Arrival Time)이 길게 나타날 것이다.
또한 익명 네트워크(110)의 설정과정에서 선택되는 노드의 성능에 따라 전송속도, 대역폭의 차이가 나타나며, 라우터의 성능에 따라 패킷의 전송 속도의 차이를 나타낸다.
또한, 토르 네트워크에서 패킷데이터의 헤더와 셀에 따라 패킷데이터의 길이와 빈도가 정해지고, 셀의 길이가 512byte로 고정되고, 패킷데이터의 크기가 일정 패턴을 따른다.
헤더의 크기와 셀의 크기를 더한 패킷데이터를 생성한다면 600bytes의 길이의 패킷이 생성되고 MTU(Max Transmission Unit)값에 따라 웹사이트마다 MTU 값이 다르게 나타나기 때문에 연장되는 셀의 개수에 따라 패킷의 크기가 결정된다.
프로토콜에 따라 주고받는 패킷의 내용이 다르게 나타나고 웹사이트에 포함된 컨텐츠의 크기에 따라 패킷 길이 정보에 영향을 준다.
패킷 길이(Packet Length) 특징은 도 6의 604에서와 같이 토르 셀에서만 나타나는 특정 길이(예: [66,66,3693,66,2962,1514,1514,])의 패킷이 최대값 및 최소값을 갖게 되기 때문에 제한된 통계 정보를 통해 추출된다.
또한, 익명 네트워크(110)에서는 일정한 패턴의 패킷 길이들이 반복적으로 나타난다. 예를 들어, 토르 네트워크의 경우 609bytes, 1514bytes, 2962bytes, 1123bytes, 4410bytes 등의 고유한 길이의 패킷이 발생한다.
버스트(Burst)는 진입노드(111)의 IP 주소를 통해 송수신되는 패킷데이터의 연속된 내용을 통해 특징을 선정하는 것으로, 송신을 1, 수신을 -1이라 가정할 때, 패킷데이터의 시퀀스정보는 도 6에 대해 [-1, -1, -1, 1, -1, 1, -1, -1, 1, -1, -1, 1, -1, 1, 1] 등으로 표현될 수 있을 것이다.
시퀀스정보에서 연속되는 패킷 개수를 통해 버스트정보 특징을 추출한다. 상기 도 6의 예에 대해 버스트는 [-3, 0, 0, 0, -2, 0, 2]일 것이다.
상기 버스트정보는 가변길이의 데이터이므로 통계정보(Max, Min, Standard deviation, Variance, Meam, Quantile, Skewness)를 통해 그 특징이 추출될 수 있을 것이다.
송신 패킷 밀집도(Concentration)는 패킷의 시퀀스정보를 사용하여 추출한다. 웹사이트는 콘텐츠 정보를 보낼 때 일정 패킷 개수(Chunks)를 통해 데이터를 송수신한다. Chunks에서 발생하는 송신패킷의 개수정보를 사용한다. Chunk size가 20인 경우 총 패킷 시퀀스(Total Packet Sequence)는 도 6에 대해 [-1, -1, -1, 1, -1, 1, -1, -1, 1, -1, -1, 1, -1, 1, 1]이고, 송신 패킷 밀집도는 [8, 9, 5, 12 13]일 것이다. 상기 패킷 밀집도는 단위 구간 안에 몇 개의 패킷이 있는지를 수로 나타낸 값이다. 일정 기간 안에 패킷이 수집되었을 경우 수신(Incoming) 패킷 밀집도와 송신(Outgoing) 패킷 밀집도가 계산될 수 있을 것이다. 도 6의 경우를 예를 들면, 도 6에서는 일부만 나타내었으나 패킷 개수(Chunks)가 20이므로 수집된 패킷 개수는 20개(밑줄)이어야 한다. [ -1, -1, -1, 1, -1, 1, -1, -1, 1, -1, -1, 1, -1, 1, 1, 1, -1, -1, -1 , ...,1, 1, 1, 1, -1, -1] 중 20개의 패킷 시퀀스 중 송신 패킷 밀집도는 개수를 의미하므로 1의 개수인 8이고, 수신 패킷 밀집도는 -1의 개수인 12개가 될 수 있을 것이다. 매 20개의 패킷(Chunks)마다 소신 패킷 밀집도를 계산 한 값이 상기 [8, 9, 5, 13, 13,...]이 될 수 있을 것이다.
상기 송신 패킷 밀집도는 가변 길이의 데이터이므로 통계정보(Max, Min, Standard Deviation, Variance, Mean, Quantile, Skewness)를 통해 추출될 수 있을 것이다.
상기 입력벡터는 다음과 같다.
ㄷ일반 정보(f1 ~f44)
▶ 패킷개수(f1~f3): [전체 패킷 개수, 송신 패킷 개수, 수신 패킷 개수]-3
▶ 일반 정보(f4~f10): [패킷수집시간, 초당 전체 패킷 개수,초당 송신 패킷 개수, 초당 수신 패킷 개수,초당 전체 패킷 크기,초당 송신 패킷 크기, 초당 수신 패킷 크기]-7
▶ 초기 패킷 정보(f11~f44) : 전체 패킷 시퀀스 중 초기 30개의 패킷의 개수와 비율 그리고 버스트정보를 사용
- 개수(f11~f14):[초기 송신 패킷의 개수, 초기 수신패킷의 개수, 마지막 송신 패킷의 개수, 마지막 수신 패킷의 개수]-4
- 비율(f15~f18):[초기 30개 패킷 중 수신 패킷의 비율, 초기 30개 패킷 중 송신 패킷의 비율, 마지막 30개 패킷 중 수신 패킷의 비율, 마지막 30개 패킷 중 송신 패킷의 비율]-4
-버스트(f19~f44):[초기 30개 패킷의 버스트 사용(전체 버스트는 초소값을 적용시키지 않음)
● First 30 Total Burst(f19~f26):[First 30 Burst Max, First 30 Burst Std, First 30 Burst Var, First 30 Burst Mean, First 30 Burst Quintile(0.25), First 30 Burst Quintile(0.5), First 30 Burst Quintile(0.75), First 30 Burst Skewness]-8
● First 30 Outgoing Burst(f27~f35):[First 30 Outgoing Burst Max, First 30 Outgoing Burst Std, First 30 Outgoing Burst Var, First 30 Outgoing Burst Mean, First 30 Outgoing Burst Quintile(0.25), First 30 Outgoing Burst Quintile(0.5), First 30 Outgoing Burst Quintile(0.75), First 30 Outgoing Burst Skewness]-9
● First 30 Incoming Burst (f36~f44): 수신 버스트는송신 버스트와동일한 통계치를 적용 -9
§ 순서 정보(f45~f62) : 진입노드 IP를 통해 송신 패킷과 수신 패킷을 분류하고, 각각의 송수신 패킷의 순서 정보를 사용
▶ Incoming ordering : [1,2,3,5,7,8,… … … , 3412,3413]
▶ Outgoing ordering : [4,6,9, … … … , 3414, 3415]
▶ Incoming ordering(f45~f53): [Incoming ordering Max, Incoming ordering Min, Incoming ordering Std, Incoming ordering Var, Incoming ordering Mean, Incoming ordering Quintile(0.25), Incoming ordering Quintile(0.5), Incoming ordering Quintile(0.75), Incoming ordering Skewness] - 9
▶ Outgoing ordering(f54~f62): [Outgoing ordering Max, Outgoingordering Min, Outgoing ordering Std, Outgoing ordering Var, Outgoing ordering Mean, Outgoing ordering Quintile(0.25), Outgoing ordering Quintile(0.5), Outgoing ordering Quintile(0.75), Outgoing ordering Skewness] - 9
§길이 정보(f63~f66)
▶ Total packet length: [66, 66, 3693, 66, 2962, 1514, 1514, … … … , 1514, 66, 66, 1514]
▶ Total packet length (f63~f66) : [Total packet length average, Total packet length Std, Total packet length Var, Total packet length Skewness] - 4
§시간 정보(f67~f93) : 전체, 송신, 수신 패킷의 시간 간격의 정보의 통계치를 사용
▶ Total inter arrival time : [0.113097, 0.024088,0.000083,0.001564, … … … , 0.001564]
▶ Total (f67~f75): [Total inter arrival time Max, Total inter arrival time Min, Total inter arrival time Std, Total inter arrival time Var, Total inter arrival time Mean, Total inter arrival time Quintile(0.25), Total inter arrival time Quintile(0.5), Total inter arrival time Quintile(0.75), Total inter arrival time Skewness - 9
▶ Outgoing(f76~f84): 전체 패킷의 시간 간격의 통계치와 동일한 송신 패킷 시간 간격의 통계치 사용 - 9
▶ Incoming(f85~f93): 전체 패킷의 시간 간격의 통계치와 동일한 수신 패킷 시간 간격의 통계치 사용 - 9
§버스트(f94~f117) : 전체, 송신, 수신 패킷의 버스트값의 통계치를 사용, 최소 값이 0이기 때문에 최소값을 제외한 통계치사용
▶ Total Burst : [-3,0,0,0,-5,0,0,2, … … … ,4,-2]
Total Burst(f94~f101):[Total Burst Max, Total Burst Std, Total Burst Var, Total Burst Mean, Total Burst Quintile(0.25), Total Burst Quintile(0.5), Total Burst Quintile(0.75), Total Burst Skewness]-8
▶ Outgoing Burst(f102~f109): 전체 패킷 버스트의 통계치와 동일한 송신 패킷의 버스트 통계치 사용 - 8
▶ Incoming Burst(f110~f117): 전체 패킷 버스트의 통계치와 동일한 순신 패킷의 버스트 통계치 사용 - 8
§집중도(f118~f125) : Chunks의 크기가 20일 때 발생하는 송신 패킷의 개수 정보를 사용, 송신과 수신은 반비례하기 때문에 송신의 정보만을 사용
▶ Chucks size : 20, Total packet sequence: [-1, -1, -1, 1, -1, 1, -1, -1, 1, -1, -1, 1, -1, 1, 1, 1, 1, -1, -1, -1… … … , 1, 1, 1, 1, -1, -1]
▶ Outgoing Concentration : [8, 9, 5, 12, 13, … … … , 5, 8]
▶ Outgoing Concentration(f118~f125): [Outgoing Concentration Max, Outgoing Concentration Std, Outgoing Concentration Var, Outgoing Concentration Mean, Outgoing Concentration Quintile(0.25), Outgoing Concentration Quintile(0.5), Outgoing Concentration Quintile(0.75), Outgoing Concentration Skewness] - 8
§HTML (f126~f140) : HTML 특징 15개를 선정 하여 사용
HTML(f126~f140): [numberOfLinks, sameDomainCnt, thirdPartyCnt, numberOfTagPath, numberOfTag, numberOfUniquePath, minDepth,maxDepth, depthSum, numberOfMaxDepth, numberOfMinDepth, numberOfMedianDepth, numberOfCharacters, numberOfFiles, htmlsize] - 15
도 4는 본 발명에 따른 토르 사이트 액티브 핑거프린팅 시스템의 액티브 핑거프린팅 분석부의 구성을 나타낸 도면이다.
도 4를 참조하면, 액티브 핑거프린팅정보 분석부(400)는 데이터베이스부(410), 액티브 핑거프린팅 정보수집부(420), 학습부(430) 및 핑거프린팅 판단부(440)를 포함한다.
데이터베이스부(410)는 저장 제어부(411) 및 DB 저장부(412)를 포함한다.
상기 DB 저장부(412)에는 다수의 토르 사이트에 대해 미리 획득된 액티브 핑거프린팅정보를 딥러닝 학습한 학습데이터를 저장한다.
상기 저장 제어부(411)는 액티브 핑거프린팅 정보수집부(420)로부터 획득되는 액티브 핑거프린팅 정보를 딥러닝 학습 입력 데이터로서 DB 저장부(412)에 저장하고, 학습부(430)으로부터 입력되는 상기 학습 입력 데이터가 이전에 학습되어 생성된 딥러닝 모델에 의해 학습된 학습데이터 및 학습 결과값을 DB 저장부(412)에 저장한다.
액티브 핑거프린팅 정보수집부(420)는 실시예에 따라 네트워크 트래픽 분석부(440)로부터 네트워크 트래픽 특징정보를 수신하고 웹페이지 특징정보 수신부(32)로부터 웹페이지 특징정보를 수신받아 액티브 핑거프린팅정보를 생성하거나, 액티브 핑거프린팅정보 생성부(350) 액티브 핑거프린팅정보를 수신하여 획득하고, 액티브 핑거프린팅정보 중 네트워크 트래픽 특징정보의 네트워크 트래픽 특징 입력 벡터 및 웹페이지 특징정보의 웹페이지 특징 입력벡터를 딥러닝 학습 입력 데이터로서 학습부(430)로 출력하고, 상기 학습부(430)로 제공하는 입력벡터들에 대한 클라이언트 단말기(10)의 단말 식별정보, 또는 클라이언트 단말기(10)의 단말 식별정보 및 서비스제공자 서버(20)의 서버 식별정보를 입력받는다.
상기 획득된 액티브 핑거프린팅정보에는 상기 표 1과 같은 네트워크 트래픽 특징정보의 특징 그룹 8개에 대한 125개의 네트워크 트래픽 특징 입력 벡터(f1 ~f125, 3+7+34+18+4+27+24+8) 및 웹페이지 특징정보의 특징 그룹 15개에 대한 15개의 웹페이지 특징 입력 벡터(f126 ~ f140)를 포함한다.
학습부(430)는 액티브 핑거프린팅 정보 수집부(420)로부터 상기 네트워크 트래픽 특징 입력 벡터 및 웹페이지 특징 입력 벡터를 포함하는 입력 벡터 140개(f1 ~f140)를 입력받아 딥러닝 학습을 수행하고 그 결과를 핑거프린팅 판단부(440)로 제공한다. 상기 결과값은 실시예에 따라 학습된 토르사이트의 주소 및 설명정보를 일 수 있을 것이다. 그러나 실시예에 따라 상기 결과값은 임의의 클라이언트 단말기(10)가 접속한 웹사이트가 토르 사이트인지 아닌지에 대한 정보일 수도 있을 것이다.
핑거프린팅 판단부(440)는 액티브 핑거프린팅 정보수집부(420)로부터 클라이언트 단말기(10)의 단말 식별정보 및 서버 식별정보 중 어느 하나 이상이 입력되고, 학습부(430)로부터 상기 클라이언트 단말기(10)가 접속한 웹사이트가 토르 사이트인지에 대한 학습 결과정보를 입력받아 데이터베이스부(410)에 저장한다.
도 5는 본 발명의 일실시예에 따른 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법을 나타낸 흐름도이다.
도 5를 참조하면, 핑거프린팅부(200)의 정보 수집부(300)는 액티브 핑거프린팅 이벤트가 발생되는지를 모니터링한다(S111). 상기 액티브 핑거프린팅 이벤트는 일정 주기로 발생할 수도 있고, 액티브 핑거프린팅 분석부(400)로부터 액티브 핑거프린팅 요청의 수신 시 발생될 수도 있을 것이다.
액티브 핑거프린팅 이벤트가 발생되면 정보수집부(300)는 네트워크 트래픽 분석부(340)를 통해 네트워크 트래픽 특징정보가 획득되는지를 판단하고(S113), 웹페이지 특징정보 수신부(320)를 통해 웹페이지 특징정보가 수집되는지를 모니터링한다(S115).
네트워크 트래픽 특징정보가 획득되고 웹페이지 특징정보가 수집되면 정보 수집부(300)는 실시예에 따라 네트워크 트래픽 특징정보 및 웹페이지 특징정보를 액티브 핑거프린팅 분석부(400)로 그대로 출력하거나, 액티브 핑거프린팅정보 생성부(350)를 통해 상기 네트워크 트래픽 특징정보 및 웹페이지 특징정보를 포함하는 액티브 핑거프린팅정보를 생성한 후 액티브 핑거프린팅 분석부(400)로 전송한다(S117).
핑거프린팅부(200)의 액티브 핑거프린팅 분석부(400)는 정보수집부(300)로부터 네트워크 트래픽 특징정보 및 웹페이지 특징정보가 수신되거나 액티브 핑거프린팅정보가 수신되면 수신된 정보에 포함된 벡터(f1~f140)를 입력 학습데이터로 하여 이전에 토르 사이트들의 벡터(f1~f140)에 의해 학습되어 생성된 딥러닝 모델에 적용하여 딥러닝 학습을 수행한다(S119).
액티브 핑거프린팅 분석부(400)는 딥러닝학습에 의한 결과값이 나오면 그 결과값, 즉 임의의 클라이언트가 접속한 웹사이트가 토르 사이트인지를 판단하고(S121) 토르 사이트인 것으로 판단되면 해당 웹사이트를 토르 사이트로 결정 및 등록한다(S123).
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
10: 클라이언트 단말기 11: 저장부
12: 디스플레이부 13: 입력부
14: 통신부 15: 제어부
16: 이벤트 발생 모니터링부 17: 웹페이지 특징 추출부
18: 웹페이지 특징 정보 생성부 19: 웹페이지 특징 정보 전송부
20: 서비스제공자 서버 100: 유무선데이터통신망
110: 익명 네트워크 111: 진입노드
112: 중계노드부 113: 출구노드
200: 핑거프린팅부 300: 정보수집부
310: 엔트리정보 수집부 320: 웹페이지 특징정보 수신부
330: 출구정보 수집부 340: 네트워크 트래픽 분석부
341: IP 설정부 342: 패킷특징정보 획득부
343: 특징 추출부 350: 액티브 핑거프린팅정보 생성부
400: 액티브 핑거프린팅 분석부 410: 데이터베이스부
411: 저장 제어부 412: DB 저장부
420: 액티브 핑거프린팅 정보 수집부
430: 학습부 440: 핑거프린팅 판단부

Claims (18)

  1. 웹페이지 특징 추출 이벤트의 발생 시 익명 네트워크를 포함하는 유무선데이터통신망을 통해 접속한 서비스제공자 서버로부터 제공받아 웹브라우저를 통해 표시하고 있는 웹사이트의 웹페이지에 대한 웹페이지 특징을 추출하고, 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 전송하는 클라이언트 단말기; 및
    익명 네트워크로 진입하는 진입노드 및 익명 네트워크로부터 나오는 출구노드를 통해 상기 익명 네트워크로 송수신되는 네트워크 트래픽 특징정보를 추출하고, 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수신받으며, 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅정보를 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록하는 핑거프린팅부를 포함하되,
    상기 웹페이지 특징정보는,
    상기 웹페이지의 패킷 데이터 도착 시간, 웹페이지를 구성하는 HTML 파일 내의 링크 수, 중복된 링크 수, 외부 링크 수, HTML 태그 경로 수, HTML 태그 수, 미중복 HTML 태그 경로 수, HTML 태그 최소 길이, HTML 태그 최대 길이, 모든 HTML 태그 깊이 수, 최대 HTML 태그 깊이 수, 최소 HTML 태그 깊이 수, 평균 HTML 태그 깊이 수, HTML 문서 내 문자 수, HTML 문서 내 파일 수, HTML 문서 크기 중 둘 이상을 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  2. 제1항에 있어서,
    상기 클라이언트 단말기는,
    상기 익명 네트워크를 포함하는 유무선데이터통신망에 접속하여 상기 유무선데이터통신망에 접속하여 적어도 하나 이상의 웹페이지를 포함하는 웹사이트를 제공하는 서비스제공자 서버 및 익명 네트워크의 상기 진입노드 및 출구노드와 데이터통신을 수행하는 통신부; 및
    웹페이지 특징 추출 이벤트의 발생 시 익명 네트워크를 포함하는 유무선데이터통신망을 통해 접속한 서비스제공자 서버로부터 제공받아 웹브라우저를 통해 표시하고 있는 웹사이트의 웹페이지에 대한 웹페이지 특징을 추출하고, 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 상기 통신부를 통해 상기 핑거프린팅부로 전송하는 제어부를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  3. 제2항에 있어서,
    상기 제어부는,
    웹페이지 특징 추출 이벤트가 발생되는지를 모니터링하는 이벤트 모니터링부;
    상기 웹페이지 특징 추출 이벤트의 발생 시 상기 웹사이트의 현재 접속한 웹페이지에 대한 웹페이지로부터 웹페이지 특징을 추출하여 출력하는 웹페이지 특징 추출부;
    상기 웹페이지 특징 추출부에서 추출되는 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 생성하여 출력하는 웹페이지 특징정보 생성부; 및
    상기 웹페이지 특징정보 생성부로부터 웹페이지 특징정보가 입력되면 통신부를 통해 상기 핑거프린팅부로 전송하는 웹페이지 특징정보 전송부를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  4. 제3항에 있어서,
    상기 이벤트 모니터링부는,
    웹브라우저인 토르 웹브라우저의 구동 또는 상기 웹브라우저에 마운트된 웹페이지 특징 추출 버튼의 클릭 시 상기 웹페이지 특징 추출 이벤트가 발생한 것으로 판단하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  5. 삭제
  6. 제1항에 있어서,
    상기 핑거프린팅부는,
    상기 유무선데이터통신망을 통해 상기 액티브 핑거프린팅정보를 수집하여 출력하는 정보수집부; 및
    상기 액티브 핑거프린팅정보를 입력받아 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록하는 액티브 핑거프린팅 분석부를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  7. 제6항에 있어서,
    상기 정보수집부는,
    상기 클라이언트 단말기 및 익명 네트워크 사이에서 발생하는 네트워크 트래픽들에 대한 네트워크 트래픽에 대한 진입 네트워크 트래픽 정보를 수집하여 출력하는 엔트리정보 수집부;
    상기 익명 네트워크와 토르 사이트를 제공하는 서비스제공자 서버 사이에서 발생하는 네트워크 트래픽에 대한 출구정보를 수집하여 출력하는 출구정보 수집부;
    상기 유무선데이터통신망을 통해 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 웹페이지 특징정보 수신부; 및
    상기 진입 네트워크 트래픽 정보 및 출구 네트워크 트래픽 정보로부터 네트워크 트래픽 특징을 추출하고, 상기 네트워크 트래픽을 발생시킨 클라이언트 단말기의 고유의 단말 식별정보 및 네트워크 트래픽 특징을 포함하는 네트워크 트래픽 특징정보를 생성하여 상기 액티브 핑거프린팅 분석부로 출력하는 네트워크 트래픽 분석부를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  8. 제7항에 있어서,
    상기 네트워크 트래픽 분석부는,
    트래픽 일반정보, 패킷 데이터 도착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 추출하고, 상기 트래픽 일반정보, 패킷 데이터 토착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 포함하는 네트워크 트래픽 특징정보를 생성하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  9. 제8항에 있어서,
    상기 일반정보는 패킷데이터 수, 웹사이트 로드 시간, BPS, PPS, 패킷 정보를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  10. 제7항에 있어서,
    상기 정보 수집부는,
    상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅 정보를 생성하여 상기 액티브 핑거프린팅 분석부로 전송하는 액티브 핑거프린팅정보 생성부를 더 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템.
  11. 클라이언트 단말기가 웹페이지 특징 추출 이벤트의 발생 시 익명 네트워크를 포함하는 유무선데이터통신망을 통해 접속한 서비스제공자 서버로부터 제공받아 웹브라우저를 통해 표시하고 있는 웹사이트의 웹페이지에 대한 웹페이지 특징을 추출하고, 웹페이지 특징 및 자신의 고유의 단말 식별정보를 포함하는 웹페이지 특징정보를 전송하는 웹페이지 특징정보 제공 과정; 및
    핑거프린팅부가 익명 네트워크로 진입하는 진입노드 및 익명 네트워크로부터 나오는 출구노드를 통해 상기 익명 네트워크로 송수신되는 네트워크 트래픽 특징정보를 추출하는 네트워크 트래픽 특징정보 추출 과정;
    상기 핑거프린팅부가 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수신받아 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅정보를 획득하는 액티브 핑거프린팅정보 획득 과정; 및
    상기 핑거프린팅부가 적어도 하나 이상의 토르 사이트에 대해 미리 딥러닝 학습을 수행한 딥러닝 모델에 적용하여 상기 웹사이트가 토르 사이트인지를 식별하고, 토르 사이트로 식별된 상기 웹사이트를 토르 사이트로 등록하는 토르 사이트 핑거프린팅 과정을 포함하되,
    상기 웹페이지 특징정보는,
    상기 웹페이지의 패킷 데이터 도착 시간, 웹페이지를 구성하는 HTML 파일 내의 링크 수, 중복된 링크 수, 외부 링크 수, HTML 태그 경로 수, HTML 태그 수, 미중복 HTML 태그 경로 수, HTML 태그 최소 길이, HTML 태그 최대 길이, 모든 HTML 태그 깊이 수, 최대 HTML 태그 깊이 수, 최소 HTML 태그 깊이 수, 평균 HTML 태그 깊이 수, HTML 문서 내 문자 수, HTML 문서 내 파일 수, HTML 문서 크기 중 둘 이상을 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
  12. 제11항에 있어서,
    상기 웹페이지 특징정보 제공 과정은,
    상기 클라이언트 단말기가 상기 웹페이지 특징 추출 이벤트가 발생하는지를 모니터링하는 이벤트 모니터링 단계;
    상기 클라이언트 단말기가 상기 웹페이지 특징 추출 이벤트의 발생 시 웹페이지 특징 추출부를 통해 상기 웹사이트의 현재 접속한 웹페이지에 대한 웹페이지로부터 웹페이지 특징을 추출하여 출력하는 웹페이지 특징 추출 단계;
    상기 클라이언트 단말기가 웹페이지 특징정보 생성부를 통해 상기 웹페이지 특징 추출부에서 추출되는 웹페이지 특징 및 자신의 고유의 식별정보를 포함하는 웹페이지 특징정보를 생성하여 출력하는 웹페이지 특징정보 생성 단계; 및
    상기 클라이언트 단말기가 상기 웹페이지 특징정보 생성부로부터 웹페이지 특징정보가 입력되면 통신부를 통해 상기 핑거프린팅부로 전송하는 웹페이지 특징정보 전송 단계를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
  13. 제12항에 있어서,
    상기 클라이언트 단말기는,
    웹브라우저인 토르 웹브라우저의 구동 또는 상기 웹브라우저에 마운트된 웹페이지 특징 추출 버튼의 클릭 시 상기 웹페이지 특징 추출 이벤트가 발생한 것으로 판단하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
  14. 삭제
  15. 제12항에 있어서,
    상기 네트워크 트래픽 특징정보 추출 과정은,
    상기 핑거프린팅부의 정보 수집부가 엔트리정보 수집부를 통해 상기 클라이언트 단말기 및 익명 네트워크 사이에서 발생하는 네트워크 트래픽들에 대한 네트워크 트래픽에 대한 진입 네트워크 트래픽 정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 엔트리정보 수집 단계;
    상기 정보 수집부가 출구정보 수집부를 통해 상기 익명 네트워크와 토르 사이트를 제공하는 서비스제공자 서버 사이에서 발생하는 네트워크 트래픽에 대한 출구정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 출구정보 수집 단계;
    상기 정보 수집부가 웹페이지 특징정보 수신부를 통해 상기 유무선데이터통신망에 접속한 상기 클라이언트 단말기로부터 웹페이지 특징정보를 수집하여 상기 액티브 핑거프린팅 분석부로 출력하는 웹페이지 특징정보 수집 단계; 및
    상기 정보 수집부가 네트워크 트래픽 분석부를 통해 상기 진입 네트워크 트래픽 정보 및 출구정보로부터 네트워크 트래픽 특징을 추출하고, 상기 네트워크 트래픽을 발생시킨 클라이언트 단말기의 고유의 식별정보 및 네트워크 트래픽 특징을 포함하는 네트워크 트래픽 특징정보를 생성하여 상기 액티브 핑거프린팅 분석부로 출력하는 네트워크 트래픽 분석 단계를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
  16. 제15항에 있어서,
    상기 네트워크 트래픽 분석 단계에서 웹페이지 특징정보 수신부가,
    트래픽 일반정보, 패킷 데이터 도착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 추출하고, 상기 트래픽 일반정보, 패킷 데이터 토착 시간, 패킷 데이터 순서, 패킷 데이터 길이, 패킷 데이터 수신 시간 간격, 버스트, Concentration을 포함하는 네트워크 트래픽 특징정보를 생성하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
  17. 제16항에 있어서,
    상기 일반정보는 패킷데이터 수, 웹사이트 로드 시간, BPS, PPS, 초기 패킷 정보를 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
  18. 제15항에 있어서,
    네트워크 트래픽 특징정보 추출 과정은,
    상기 정보 수집부가 액티브 핑거프린팅정보 생성부를 통해 상기 네트워크 트래픽 특징정보 및 상기 웹페이지 특징정보를 포함하는 액티브 핑거프린팅 정보를 생성하여 상기 액티브 핑거프린팅 분석부로 전송하는 액티브 핑거프린팅정보 생성 단계를 더 포함하는 것을 특징으로 하는 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 방법.
KR1020190138610A 2019-11-01 2019-11-01 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 KR102129375B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190138610A KR102129375B1 (ko) 2019-11-01 2019-11-01 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190138610A KR102129375B1 (ko) 2019-11-01 2019-11-01 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR102129375B1 true KR102129375B1 (ko) 2020-07-02

Family

ID=71599430

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190138610A KR102129375B1 (ko) 2019-11-01 2019-11-01 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102129375B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234698B1 (ko) * 2020-09-21 2021-04-02 (주)에이아이딥 합성곱 신경망을 이용한 토르 사이트 수동 핑거프린팅 시스템 및 방법
CN114611576A (zh) * 2021-11-26 2022-06-10 国网辽宁省电力有限公司大连供电公司 电网中终端设备的精准识别技术
CN114710310A (zh) * 2022-01-18 2022-07-05 中国人民解放军战略支援部队信息工程大学 基于网络流量频域指纹的Tor用户访问网站识别方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006180389A (ja) * 2004-12-24 2006-07-06 Nippon Telegr & Teleph Corp <Ntt> トラヒックの識別システムおよびトラヒックの識別方法
KR20150090925A (ko) * 2014-01-06 2015-08-07 고려대학교 산학협력단 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법
CN106953854A (zh) * 2016-12-15 2017-07-14 中国电子科技集团公司第三十研究所 一种基于svm机器学习的暗网流量识别模型的建立方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006180389A (ja) * 2004-12-24 2006-07-06 Nippon Telegr & Teleph Corp <Ntt> トラヒックの識別システムおよびトラヒックの識別方法
KR20150090925A (ko) * 2014-01-06 2015-08-07 고려대학교 산학협력단 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법
KR101548210B1 (ko) 2014-01-06 2015-08-31 고려대학교 산학협력단 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법
CN106953854A (zh) * 2016-12-15 2017-07-14 中国电子科技集团公司第三十研究所 一种基于svm机器学习的暗网流量识别模型的建立方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234698B1 (ko) * 2020-09-21 2021-04-02 (주)에이아이딥 합성곱 신경망을 이용한 토르 사이트 수동 핑거프린팅 시스템 및 방법
CN114611576A (zh) * 2021-11-26 2022-06-10 国网辽宁省电力有限公司大连供电公司 电网中终端设备的精准识别技术
CN114710310A (zh) * 2022-01-18 2022-07-05 中国人民解放军战略支援部队信息工程大学 基于网络流量频域指纹的Tor用户访问网站识别方法及系统
CN114710310B (zh) * 2022-01-18 2023-06-09 中国人民解放军战略支援部队信息工程大学 基于网络流量频域指纹的Tor用户访问网站识别方法及系统

Similar Documents

Publication Publication Date Title
KR102183897B1 (ko) 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템
US9860154B2 (en) Streaming method and system for processing network metadata
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
KR102129375B1 (ko) 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US10355949B2 (en) Behavioral network intelligence system and method thereof
WO2022083417A1 (zh) 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
Nur et al. Record route IP traceback: Combating DoS attacks and the variants
US20020032871A1 (en) Method and system for detecting, tracking and blocking denial of service attacks over a computer network
CA2897664A1 (en) An improved streaming method and system for processing network metadata
Zeng et al. Flow context and host behavior based shadowsocks’s traffic identification
Luxemburk et al. Detection of https brute-force attacks with packet-level feature set
Siregar et al. Implementation of network monitoring and packets capturing using random early detection (RED) method
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
CN104702596B (zh) 一种基于数据包长度的信息隐藏与传输的方法及系统
US11159548B2 (en) Analysis method, analysis device, and analysis program
Lu et al. Research on information steganography based on network data stream
Shalini et al. DOCUS-DDoS detection in SDN using modified CUSUM with flash traffic discrimination and mitigation
Rajaboevich et al. Analysis of methods for measuring available bandwidth and classification of network traffic
Matoušek et al. Security monitoring of iot communication using flows
Kumar et al. Comparison: Wireshark on different parameters
Huang et al. Detecting Malicious Users Behind Circuit-Based Anonymity Networks
KR20120010535A (ko) 패킷 분석 장치 및 방법
Gojic et al. Proposal of security architecture in 5G mobile network with DDoS attack detection
Mai et al. Fast filtered sampling

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant