KR20090083767A - 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법 - Google Patents

은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법 Download PDF

Info

Publication number
KR20090083767A
KR20090083767A KR1020080009762A KR20080009762A KR20090083767A KR 20090083767 A KR20090083767 A KR 20090083767A KR 1020080009762 A KR1020080009762 A KR 1020080009762A KR 20080009762 A KR20080009762 A KR 20080009762A KR 20090083767 A KR20090083767 A KR 20090083767A
Authority
KR
South Korea
Prior art keywords
network
network traffic
state
unit
abnormality
Prior art date
Application number
KR1020080009762A
Other languages
English (en)
Other versions
KR100950079B1 (ko
Inventor
최형기
한찬규
이은영
임이진
김지선
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020080009762A priority Critical patent/KR100950079B1/ko
Publication of KR20090083767A publication Critical patent/KR20090083767A/ko
Application granted granted Critical
Publication of KR100950079B1 publication Critical patent/KR100950079B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

은닉마코프 모델을 이용한 확률적인 네트워크 이상징후 탐지 장치 및 그 방법이 개시된다. 본 발명은 네트워크 상의 네트워크의 이상을 초래하는 원인을 은닉마코프 모델을 이용하여 확률적으로 표시하여 네트워크 관리자로 하여금 네트워크의 이상을 보다 정확하고 관리자의 능력에 기초하여 판단할 수 있도록 하는 네트워크의 이상징후 탐지 장치 및 그 방법을 제공한다. 현재 이상징후 탐지 방법은 결정적 예측으로, 관리자의 판단이 개입되지 못하여 네트워크 확장성을 보장하지 못하고 있고 또한 오탐율이 높은 단점이 있다. 따라서 본 발명은 은닉마코프 모델을 응용하여, 네트워크 트래픽의 이상유무를 확률적으로 표시하여 관리자로 하여금 네트워크의 이상을 확률적인 예측이 가능하도록 제공한다.
은닉마코프 모델, 네트워크 트래픽, 확률, 네트워크 트래픽 특성

Description

은닉마코프 모델을 이용한 확률적인 네트워크 이상징후 탐지 장치 및 그 방법{Network abnormal state detection device using HMM(Hidden Markov Model) and Method thereof}
본 발명은 네트워크상에서 네트워크 트래픽 상태를 분석하는 네트워크 트래픽 분석 장치 및 그 방법에 관한 것이다.
네트워크 공격들은 인터넷을 통하여 제공되는 여러 서비스를 정상적으로 이용할 수 없게 할 뿐만 아니라 개인정보나 금융, 군사정보와 같은 중요한 기밀을 훔치거나 경제적 손실을 유발하기도 한다. 따라서 모든 생활이 네트워크를 중심으로 연결되고 통합되어 가는 현 시점에 있어 네트워크 공격을 탐지하고 분석하여 그 이상 유무를 미리 알아내는 것은 중요한 일이다.
지금까지 나온 네트워크 공격을 탐지하는 방법에는 규칙 기반과 이상징후 기반 탐지 방법이 있다.
이중에 이상 징후 기반 탐지 방법은 네트워크 가입자 접속단에서 트래픽을 분류 및 분석하고 네트워크의 이상 상태를 판단하기 위해 해당 트래픽의 볼륨을 측정하여 관리자가 설정한 트래픽 볼륨 기반의 임계치를 초과하는 경우 이를 이상 상태로 판단하는 방법이다. 그러나 이러한 트래픽 분석 방법은 네트워크 전체의 성능에 영향을 미칠 수 있는 이상 상태를 판단하기가 쉽지 않고, 트래픽 볼륨 기반의 임계치는 해당 트래픽 볼륨에 대한 절대적인 값이므로 적용되는 네트워크의 크기에 따라서 다르게 적용되어야 하고 그 값을 적절히 설정하는데 어려움이 있다는 문제점이 있다.
현재는 확장성 부족 및 시스템 관리자의 로드 증가와 같은 문제 때문에 이상징후 기반 탐지 시스템이 각광받고 있으나, 이상징후 기반 탐지 시스템은 네트워크 이상 발생을 발생 및 미발생으로만 표시하고 있으므로 정상에 가까운 네트워크 상황이지만 이상 상태라고 진단하는 경우가 발생한다.
본 발명은 학습기반 모델인 은닉마코프 모델을 도입하여 기존의 이상징후 기반 탐지 방법을 이용한 네트워크 이상 판단의 정확성을 높이고자 한다.
또한 종래 기술의 결정적 이상징후 탐지 방법을 지양하고, 관리자의 판단권한을 중요시하도록 확률적인 이상징후 탐지 방법을 제공하고자 한다.
본 발명의 다른 목적들은 이하의 실시예에 대한 설명을 통해 쉽게 이해될 수 있을 것이다.
본 발명의 일 측면에 따르면, 네트워크 트래픽의 이상 유무를 판단하는 방법에 있어서, a)상기 네트워크 트래픽이 입력되는 단계;와 b)상기 네트워크 트래픽을 분석하여 네트워크 트래픽 특성을 도출하는 단계;와 c)상기 네트워크 트래픽 특성들로부터 관측집합을 선택하는 단계;와 d)상기 관측집합으로부터 예상되는 네트워크의 트래픽 상태를 상태집합으로 설정하는 단계; 및 e)상기 관측집합과 상기 상태집합에 은닉마코프 모델(Hidden Markov Model)의 결정매트릭스(Decision Matrix)를 적용하여 상기 상태집합의 모든 시계열적(Time series)인 상태열을 확률로써 표시하는 단계를 포함하는 네트워크의 이상유무를 판단하는 방법이 제공된다.
여기서, 상기 b)단계는 상기 네트워크 트래픽을 패킷 단위로 분석하여 상기 네트워크 트래픽 특성을 도출하는 네트워크의 이상유무를 판단하는 방법이 제공된다.
여기서, 상기 네트워크 트래픽 특성들은 목적지 아이피 사용(Destination IP usage), 포트수(Number of Port), 패킷 도착 비율(Packet Arrival rate), 페이로드 크기(Payload size), 페이로드 크기 변화(Payload size variation), 포트수 변화(Port number variation), 세션시간(Session time), 세션당 페이로드 크기(Payload size per session), 포트당 세션수(Number of Session per port), 소스 목적지 아이피 비율(Source Destination IP ratio), 목적지 아이피 분산(Destination IP distribution), 리플렉션 트래픽(Reflection traffic) 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 방법이 제공된다.
여기서, 상기 관측집합은 포트 스캐닝(Port Scanning), 아이피 스캐닝(IP Scanning), 아이피 스푸핑(IP Spoofing(Black IP)), 패킷 스푸핑(Packet Spoofing(Checksum error)), 서든 인크리스(Sudden Increase), 리플렉션(Reflection) 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 방법이 제공된다.
여기서, 상기 네트워크 트래픽 특성들과 상기 관측집합들과의 연관성에 기초하여 단위 시간동안 상기 네트워크 트래픽 특성들의 발생 횟수를 조사하여 상기 관측집합을 선택하는 네트워크의 이상유무를 판단하는 방법이 제공된다.
여기서, 상기 상태집합은 서비스 거부공격(DoS : Denial of Service) /분산 서비스 거부공격(DDoS : Distributed Denial of Service ), 웜계열 바이러스에 의한 공격(Worm), 알지 못하는 공격(Unknown), 정상(Clear) 상태 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 방법이 제공된다.
또한, 네트워크 트래픽의 이상 유무를 판단하는 장치에 있어서, 상기 네트워크 트래픽을 분석하여 네트워크 트래픽 특성을 출력하는 징후추출부; 및 상기 징후추출부로부터 출력된 상기 네트워크 트래픽 특성을 입력값으로 사용하여 네트워크의 시계열적인 각각의 상태를 확률값으로 출력하는 징후판단부를 포함하는 네트워크의 이상유무를 판단하는 장치가 제공된다.
여기서, 상기 징후추출부는 상기 네트워크 트래픽이 입력되는 트래픽 입력부;와 상기 입력된 네트워크 트래픽을 패킷단위로 처리하여 상기 네트워크 트래픽의 이상유무를 알아보는 패킷처리부;와 상기 처리한 패킷으로 인한 네트워크의 이 상유무를 로그 파일(log file)로 기록하는 로그 기록부;와 상기 패킷단위를 단위시간동안 분석하여 상기 네트워크 트래픽 특성으로 상기 단위시간마다 통계자료값으로 출력하는 네트워크 트래픽 특성 출력부를 포함하는 네트워크의 이상유무를 판단하는 장치가 제공된다.
여기서, 상기 네트워크 트래픽 특성들은 목적지 아이피 사용(Destination IP usage), 포트수(Number of Port), 패킷 도착 비율(Packet Arrival rate), 페이로드 크기(Payload size), 페이로드 크기 변화(Payload size variation), 포트수 변화(Port number variation), 세션시간(Session time), 세션당 페이로드 크기(Payload size per session), 포트당 세션수(Number of Session per port), 소스 목적지 아이피 비율(Source Destination IP ratio), 목적지 아이피 분산(Destination IP distribution), 리플렉션 트래픽(Reflection traffic) 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 장치가 제공된다.
여기서, 상기 징후판단부는 상기 징후추출부에서 출력된 네트워크 트래픽 특성들의 통계자료값을 입력 값으로 취하는 통계자료 입력부;와 상기 입력된 통계자료들을 이용하여 상기 관측집합을 도출해내는 관측 집합 도출부;와 상기 관측 집합으로부터 상기 은닉마코프 모델을 적용하여 상기 상태집합을 도출하는 은닉마코프 모델(HMM) 처리부; 및 상기 은닉마코프모델 처리부를 통해 도출되는 상태집합의 모든 상태열을 확률로 표시하는 상태 확률 표시부를 포함하는 네트워크의 이상유무를 판단하는 장치가 제공된다.
또한, 네트워크 트래픽의 이상 유무를 판단하는 방법이 기록되는 기록 매체 에 있어서, 상기 네트워크 트래픽이 입력되는 단계;와 상기 네트워크 트래픽을 분석하여 네트워크 트래픽 특성을 도출하는 단계;와 상기 네트워크 트래픽 특성들로부터 관측집합을 선택하는 단계;와 상기 관측집합으로부터 예상되는 네트워크의 트래픽 상태를 상태집합으로 설정하는 단계; 및 상기 관측집합과 상기 상태집합에 은닉마코프 모델(Hidden Markov Model)의 결정매트릭스(Decision Matrix)를 적용하여 상기 상태집합의 모든 시계열적(Time series)인 상태열을 확률로써 표시하는 단계를 포함하는 네트워크의 이상유무를 판단하는 방법이 기록되어 있는 기록 매체가 제공된다.
본 발명에 따르면 은닉마코프모델을 이용하여 네트워크 트래픽의 이상유무를 단위 시간동안의 트래픽 상황(시계열적인 상태)을 확률로써 표시해주는 효과가 있다.
또한 네트워크 트래픽 상태를 이상 또는 정상으로 이분적으로 표시하는 것이 아니라 단위 시간동안에 발생되는 트래픽 상태를 확률로써 표시하기 때문에 네트워크 관리자의 보다 정확한 선택에 의해서 네트워크의 이상 유무를 나타낼 수 있는 효과가 있다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성되다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
먼저 도면을 바탕으로 본 발명의 실시예를 설명하기에 앞서 본 발명에서 이용하고 있는 네트워크 트래픽 특성, 관측 집합, 상태집합에 대하여 정의를 하고자 한다.
본 발명에서는 상술한 12가지의 네트워크 트래픽 특성들을 다음 <표1>과 같이 정의할 수 있다.
12가지의 네트워크 트래픽 특성들을 순서대로 번호를 매겨 설명하였고 이후 에 네트워크 트래픽 특성과 매칭되는 번호로써 네트워크 트래픽 특성을 나타내기로 한다.
<표1>
네트워크 트래픽 특성 정의
1)목적지 아이피 사용(Destination IP usage) 단위 시간 당 목적지 IP의 사용빈도를 최상위 IP 10개를 대상으로 히스토그램을 작성한다. 이때 패킷마다 해당 목적지 IP가 출현할 때마다 출현회수를 1 증가시키고, 사용횟수에 따라 정렬하여 표현한다. 이때 상위 10개의 Destination IP의 비율.
2)포트수 (Number of Port) 단위 시간 당 사용된 Destination Port의 개수.
3)패킷 도착 비율 (Packet Arrival rate) 단위 시간 당 Packet arrival rate.
4)페이로드 크기 (Payload size) 단위 시간 당 Payload size
5)패이로드 크기 변화(Payload size variation) 단위 시간 당 상위 10개의 Payload size의 분포.
6)포트수 변화 (Port number variation) 단위 시간 당 상위 10개의 Destination Port의 개수.
7)세션시간(Session time) 단위 시간의 세션 당 세션시간의 분포.
8)세션당 패이로드 크기(Payload size per session) 단위 시간의 세션 당 누적 Payload size의 분포.
9)포트당 세션수(Number of Session per port) 단위 시간의 세션 당 누적 Packet 개수의 분포.
10)소스 목적지 아이피 비율(Source Destination IP ratio) 단위 시간 당 Source IP와 Destination IP의 비율.
11)목적지 아이피 분산 (Destination IP distribution) 단위 시간 당 IP 대역대의 사용빈도. A 클래스의 사용빈도.
12)리플렉션 트래픽 (Reflection traffic) 단위 시간 당 RST, Unreachable의 패킷 횟수.
상기 12가지의 네트워크 트래픽 특성들은 보다 자세하게 설명하면 다음과 같다.
1) Destination IP usage
네트워크 공격자들은 보통 네트워크에 좀비(zombie)들을 활용해 단일의 공격대상 호스트를 공격한다. 하나의 목적지(Destination) IP 로 네트워크 트래픽이 집중될 경우 공격을 의심할 수 있다. 특히 DDoS의 경우 네트워크 트래픽이 하나의 목 적지 IP로 집중될 가능성이 높다.
단위 시간 당 목적지 IP의 사용빈도를 최상위 IP 10개를 대상으로 히스토그램을 작성한다. 패킷마다 해당 목적지 IP가 출현할 때마다 출현회수를 1 증가시키고, 사용횟수에 따라 정렬하여 표현한다. 이때 실제의 IP 주소(address)는 개인정보노출 문제로 숨기고, 단순히 인덱스로 표현한다.
2) Number of open port
일반적인 네트워크 공격은 취약점이 있는 서비스를 대상으로 한다. 따라서 시간당 열려있는 포트수가 많고, 그 포트로 향하는 네트워크 트래픽이 증가하면 네트워크에 공격이 일어나고 있을 가능성이 아주 높다.
본 발명에서는 단위시간마다 목적지 포트(Destination port)의 출현회수를 증가시키고 각 출현회수를 전체 단위시간 트래픽 대비 확률로 계산한다. DDoS, Witty worm의 경우 네트워크 공격 발생 시점에서 상기의 확률이 급격하게 증가하는 경향이 있다. 그 밖의 이상징후 트래픽은 열려진 포트의 수(number of open port)의 표준편차(deviation)가 큰 특성이 있다.
3) Packet arrival rate
보통 네트워크 공격의 경우 일반 네트워크 때보다 보다 많은 패킷을 사용하기 때문에 패킷 도착 비율(Packet arrival rate)이 증가한다. 또한 동일하게 도착 시간의 간격(Inter packet time)은 감소한다.
본 발명에서는 패킷간 도착 시간의 간격(Packet inter-arrival time)을 측정한다. 또한 본 발명에서는 네트워크 공격 발생 시점이 보다 확연히 구분되고, 네트 워크의 연산부하를 줄이기 위해 패킷을 1,000개 단위로 평균을 내어 분석한다.
서비스 거부 공격(DoS)의 경우 네트워크 공격 발생 시점이 산재해 있어, 단위시간당 패킷 도착 비율의 출렁임(fluctuation)이 심한 결과를 보인다. 코드레드 웜(Codered worm), 슬래머 웜(Slammer worm), 위티 웜(Witty worm) 모두 네트워크 공격 발생 시점에서 패킷 도착 시간(Packet Arrival time)이 길어지는 현상을 보인다. 이는 네트워크 공격 패킷의 발생을 위해 다수의 세션/패킷을 전송하기 때문이다.
4) Payload size
일반적인 네트워크 사용자들은 FTP, HTTP를 사용하여 텍스트, 멀티미디어, 이미지를 간헐적으로 전송한다. 반면에 DoS, Worm 등의 네트워크 공격자들은 페이로드 크기(Payload size)를 일정하게 하여 빠른 간격으로 패킷을 전송하기 때문에 Payload size가 비교적 일정하다.
본 발명에서는 관측 시간마다 Payload size를 측정하였다. 네트워크 트래픽에 공격이 발생하는 경우 Payload Size가 증가하는 경향을 보인다. Worm이 포함된 트래픽은 고정된 길이의 Payload size를 이용하는 경우가 많기 때문에, 정상 트래픽에 비해 표준편차가 적은 경향이 있다. 즉, Payload size의 표준편차는 DoS에 의한 네트워크 트래픽 공격시 가장 크고, 정상 트래픽이 가장 적다. 정상 트래픽과 공격 트래픽의 절대 볼륨의 차이는 네트워크 자체의 용량 차이이기 때문에 절대치 비교는 의미 없다.
5) Payload size variation per packet
본 발명에서 이용되는 패킷은 전송 가능한 최대용량으로 전송된다. 일반적인 네트워크의 MTU(최대전송단위)는 1500bytes이다. DoS/DDoS와 같은 네트워크 공격들은 의미 없는 데이터를 보내 네트워크의 서비스 거부를 발생 시키는 것이 목적이기 때문에 적은 용량의 패킷이 지속적으로 전송된다면 네트워크 공격을 의심할 수 있다. 반면에 Worm 계열은 공격코드를 포함하기 때문에 동일한 Payload size를 이용한다. 이 경우 패킷 크기의 변화(variation)는 굉장히 낮다.
6) Port number variation
각 패킷마다 사용하는 그 용도에 따라 정해져 있다. 따라서 특정포트로만 네트워크 트래픽이 집중된다면 네트워크 공격을 의심할 수 있다.
본 발명에서는 패킷당 페이로드 크기(Payload size per packet)과 마찬가지로, 패킷당 포트수(Port number)의 사용량 분포를 기록하였다. .
7) Session time
세션 시간(Session time) 이라는 것은 일반적으로 네트워크사용자가 세션연결 TCP 3-way 핸드쉐이킹(handshaking)을 시작한 후, TCP 4-way 핸드쉐이킹(handshaking)으로 종료까지의 시간을 하는 것까지를 의미한다. 일반적으로 사용자는 서버에 접속하여 텍스트, 이미지, 멀티미디어 등을 다운로드 받거나, 사용자와 P2P 연결을 하여 세션을 지속하는 등 비교적 긴 시간의 세션 시간Session time을 가진다. 그러나 네트워크 공격이 발생하면 짧은 시간 내에 다수의 세션을 생성시켜 공격 대상 호스트를 공격하므로, 하는 것으로 정상적인 네트워크 상황일 때보다 세션 시간의 변화가 크게 발생한다.
8) Payload size per session
일반적인 통신을 위해 수립된 세션은 다양한 패킷이 오고 간다. 각각의 세션에서 일정한 길이의 패킷이 지속적으로 관찰된다면 네트워크 공격을 의심할 수 있다.
9) Number of session per port
일반적인 상황일 때의 세션당 패킷수는 변화가 매우 크다. 그 이유는 네트워크 사용자가 세션 당 TCP 연결을 위한 패킷외에도 사용자 데이터를 위한 패킷을 다수 전송하기 때문이다. 반면 네트워크 공격의 경우에는 다수의 세션을 생성시키는 것이 목적이기 때문에 세션 당 패킷수는 일반적인 상황에 비하여 그리 많지 않다.
10) Source, Destination IP ratio
일반적으로 네트워크 공격자들은 수많은 좀비(zombie)들을 활용해 단일의 공격 대상 호스트를 공격한다. 따라서 소스 아이피(source IP)와 목적지 아이피(destination IP)의 비율이 높다. 일반적인 상황에서는 네트워크 사용자들은 다수의 서버와 연결되고 각 서버는 다수의 클라이언트와 세션을 맺기 때문에 소스 아이피(source IP)와 목적지 아이피(destination IP)의 비율이 비교적 일정하다.
본 발명에서는 관측시간 별로 소스 아이피(Source IP)와 목적지 아이피(Destination IP)의 비율을 기록한다. 일반적으로 Destination IP에 다수의 Client Source IP들이 접속하기 때문에 정상 트래픽의 경우에서처럼 1.0~1.2의 비율을 기록한다.
그러나 DDoS에 의한 네트워크의 공격이 발생하는 경우에는 목적지 아이 피(Destination IP)로 공격이 집중되기 때문에 공격이 발생한 시간에 소스 아이피(Source IP)와 목적지 아이피(Destination IP)의 비율이 0.4 혹은 0.01까지 감소하는 경향이 있다.
소스 아이피(Source IP)와 목적지 아이피(Destination IP)의 비율은 DoS에의한 네트워크의 공격이 없을 때는 1.2, DoS에의한 네트워크의 공격이 발생하면 1.0을 기록하였다.
반면에 Slammer, Witty worm의 경우 Worm에 감염된 Client IP들의 활동이 두드러지기 때문에 소스 아이피(Source IP)와 목적지 아이피(Destination IP)의 비율은 2.0, 심지어 6.7까지 증가하는 경향을 보였다. 즉, 소스 아이피(Source IP)와 목적지 아이피(Destination IP)의 비율은 네트워크에 공격이 가해지면 정상 트래픽에 비해 표준편차가 크게 나타난다.
11) Destination IP distribution
앞서 설명했듯이 공격 대상으로 지목된 Destination IP는 좀비(zombie)들에 의해 지속적으로 공격을 받으며 주변의 연쇄적으로 감염시킨다. 이로 인해 특정한 다수의 좀비들이 생성되고 이들은 자신의 경로를 통해 공격대상을 늘린다. 이렇게 공격대상이 되는 Destination IP 대역대의 빈도를 관측함으로써 공격을 의심할 수 있다.
본 발명에서는 Destination IP의 사용빈도를 CDF(Cumulative Density Function)로 표현하였다. 패킷에 목적지 IP가 출현할 때마다 횟수를 1 증가시키고, 사용횟수에 따라 정렬하여 표현하였다.
12) Reflection traffic
TCP를 이용하는 네트워크 공격자의 경우 상대 공격대상 호스트에게 주기적으로 동기화 패킷(SYN packet)을 보내기 때문에, 동기화 패킷(SYN packet)에 대한 재전송(retransmission)이 정상적인 상황보다 증가한다. 또한 중간에서 고의적으로 TCP RST, ICMP unreachable 패킷을 전송해 사용자의 네트워크에 혼잡을 유도한다.
본 발명에서는 관측시간 별로 TCP RST/ICMP 미도착 패킷(unreachable packet)의 출현빈도를 관측하였다. 네트워크 공격이 포함된 트래픽의 경우 IP/Port Scanning을 Normal Traffic 보다 많기 때문에 RST/ICMP의 증가가 뚜렷하다
또한, 본 발명에서 정의하는 관측집합은 6가지의 징후로 이루어져 있는데 각 징후들의 정의는 다음 <표2>과 같다.
<표2>
매칭기호 관측집합 정의
A 포트 스캐닝 (Port Scanning) Port Scanning은 보통 서버가 제대로 동작하는지 네트워크 인터페이스에 포트가 열려져 있는지 검사하는 방법을 말한다. 포트스캐닝을 수행하는 목적은 관점에 따라 다르나 만약 공격을 시도하기 위한 목적일 경우 네트워크 침입자들은 이를 통해 들어올 수 있는 관문이 있는지 알아볼 수 있다.
B 아이피 스캐닝 (IP Scanning) IP Scanning 역시 Port scanning과 마찬가지로 특정 목적으로 네트워크의 IP를 검색하는 행위를 일컫는다.
C 아이피 스푸핑 (IP Spoofing(Black IP)) IP Spoofing은 다른 IP 주소에서 전송된 것처럼 보이는 패킷을 생성하는 것을 의미한다. 방법은 DoS 공격에 주로 사용된다. 패킷이 로컬 네트워크상의 컴퓨터로부터 전송된 것으로 나타나면 패킷은 방화벽 보안을 통과하여 네트워크에 위협이 될 수 있다.
D 패킷 스푸핑 (Packet Spoofing(Checksum error)) Packet Spoofing은 네트워크 공격자가 특정 목적을 위해 패킷을 수정하거나, Payload를 임의대로 수정하는 것을 말한다. 이 경우 Checksum error가 발생된다.
E 서든 인크리스 (Sudden Increase) 네트워크에 갑작스럽게 Packet의 요청이나 응답이 늘어나는 경우 네트워크 공격을 의심할 수 있다. 이는 공격자가 악의적인 목적으로 이용자의 정보를 수집하고 있을 가능성이 높다.
F 리플렉션(Reflection) 송신한 Packet이 되돌아온다면 공격을 위한 정보 수집을 의심할 수 있다. 네트워크 공격자는 송신자가 생성한 메시지를 가로채 그 메시지를 다시 송신자에게 재전송하여 접근 권한을 얻는 형태의 공격을 할 수 있다.
또한 본 발명에서 이용하는 상태집합은 다음과 같은 4가지 상태를 포함하고 있는데 그 정의는 다음 <표3>와 같다.
<표3>
상태집합 정의
서비스 거부공격/분산 서비스 거부공격 (Dos/DDos)상태 DoS(Denial of Service)/DDoS(Distribute Denial of Service)에 의한 네트워크 트래픽 이상 상태
웜계열 바이러스에 의한 공격(Worm) 상태 Worm 계열(Codered, slammer, Witty) Worm 바이러스에 의한 네트워크 트래픽 이상 상태
알지 못하는 공격 (Unknown) 상태 특정한 원인을 모르는 네트워크 트래픽 이상 상태
정상(Clear) 상태 네트워크 트래픽 정상 상태
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.
도1은 본 발명의 네트워크 트래픽을 분석하고 은닉마코프 모델을 적용하여 상태집합을 시계열적인 확률로써 표시하는 과정을 나타낸 도면이다.
S110단계는 네트워크 트래픽이 입력되는 단계이다.
S120단계는 입력된 네트워크 트래픽을 분석하여 시계열적인 네트워크 트래픽 특성을 분류하는 단계이다.
입력된 네트워크 트래픽은 패킷으로 구분되어 상술한 각각의 네트워크 트래픽 특성의 정의에 맞게 단위 시간 동안에 12가지의 특성을 가진 네트워크 트래픽 특성으로 구분된다.
상술한 12가지의 네트워크 트래픽 특성들은 트래픽의 어느 한 순간에서 측정되는 시계열적인 특징을 가지고 있는 특성들이므로 네트워크 트래픽 특성 값은 매 단위시간마다 추출된다.
즉, 매 단위시간마다 네트워크 상에서 네트워크의 이상이라고 판단되는 특정의 임계치를 설정하고 상술한 시계열적인 네트워크 트래픽 특성들이 상기의 특정의 임계치를 넘는지의 여부를 결정한다. 이 때의 결정여부는 시계열예측 알고리즘 중 지수평활법을 사용하였다. 지수평활법은 당업자에게 자명한 기술이므로 자세한 설명은 생략하기로 한다.
S130단계는 네트워크 트래픽 특성들로부터 관측집합을 도출해 내는 단계이다.
12가지의 네트워크 트래픽 특성에서부터 관측집합을 도출해 내는 방법은 다음과 같다.
은닉마코프 모델에서 관측집합으로부터 상태집합을 얻기 위하여는 관측집합이 상태집합과 연관도가 매우 높아서 상태집합으로부터 방출확률행렬을 통해 직접 관측 가능한 대상이 되어야 한다. 그러나 본 발명에서 정의된 관측집합은 상태집합과는 연관도가 높으나 네트워크 트래픽으로부터 직접 관측할 수는 없다.
예를 들면 본 발명의 관측집합인 Port Scannjng는 트래픽 상의 여러 정황으로 판단할 수 있을 뿐 네트워크 트래픽을 직접 관측하여 Port Scannjng 이 발생하고 있다고 판단 할 수 없기 때문이다. 따라서 네트워크 트래픽으로부터 직접 관측할 수 있으면서 본 발명의 관측집합을 도출해 낼 수 있는 네트워크 트래픽 특성이 필요하다.
즉, 본 발명의 관측집합({Port scanning, IP Scanning, IP Spoofing, Packet Spoofing, Sudden Increase, Reflection})은 실제로 트래픽정보 자체가 네트워크로부터 관측 가능하지 않으므로, 본 발명에서는 이러한 관측집합을 결정하기 위해 트래픽정보에서 직접적으로 얻을 수 있는 네트워크 트래픽 특성을 가지고 네트워크 트래픽 특성들과 관측집합과의 연관성을 바탕으로 네트워크 트래픽 특성들로부터 관측 집합을 도출한다.
다음은 상술한 네트워크의 트래픽 특성과 본 발명의 관측집합과의 연관성을 나타낸 <표4>이다.
<표4>
관측집합 네트워크 트래픽 특성
A)Port Scanning 2.3.4.5.6.7.8.9
B)IP Scanning 1.3.4.5.6.7.8.10
C)IP Spoofing (Black IP) 1.10.11
D)Packet Spoofing (Checksum error) 3.5.6.7
E)Sudden Increase 2.3.4.5.10
F)Reflection 2.7.12
각 12가지의 네트워크 트래픽 특성이 발생하면 단위시간당 해당 네트워크 트래픽 특성의 발생 횟수를 카운트하고 단위 시간당 발생한 네트워크 트래픽 특성으로부터 상기의 <표4>을 이용하여 관측집합을 도출해낸다.
예를 들어 단위시간내에 네트워크 트래픽 특성 2,3,4,5번의 이벤트가 발생되었다고 가정하면 이것은 관측집합 A 또는 E가 발생되었음을 의미한다. 이때 동일한 단위시간내에 네트워크 트래픽 특성 10번이 더 발생하면 이것으로 동일 단위시간내에 네트워크에 관측집합 E의 공격이 있었다고 판단 할 수 있다.
12가지 네트워크 트래픽 특성들로부터 관측집합을 도출해내는 과정을 수식으로 표현하면 다음과 같다.
먼저 각 관측집합의 확률
Figure 112008007958067-PAT00001
를 다음 수식과 같이 계산하고,
Figure 112008007958067-PAT00002
여기서,
Figure 112008007958067-PAT00003
는 네트워크 트래픽 특성의 발생유무이고 {0,1}의 값을 갖는다.
여기서,
Figure 112008007958067-PAT00004
는 각 네트워크 트래픽 특성에 부과되는 가중치이고
Figure 112008007958067-PAT00005
의 범위를 갖는다. 이 가중치는 각 네트워크 트래픽 특성, 관측집합의 중요도를 고려하여 부과한다.
여기서,
Figure 112008007958067-PAT00006
는 각 관측집합 Y에 배정된 네트워크 트래픽 특성의 개수이다.
즉,
Figure 112008007958067-PAT00007
를 계산한 결과가, 해당 단위시간의 관측집합이 된다. 단위시간마다 위 과정을 수행한 결과가 관측집합이 된다.
S140단계는 S130단계에서 도출된 관측집합에 은닉마코프 모델을 적용하여 상태집합을 도출해내는 과정이다.
관측집합으로부터 은닉마코프 모델을 이용하여 상태집합을 도출하는 방법은 도3에서 자세히 설명하기로 한다.
S150단계는 S140단계에서 도출한 상태집합을 각 상태열에 따라 시계열적인 확률값으로 표시하는 단계이다.
원래의 은닉마코프 모델에서는 상태집합의 값을 산출하고 이중 가장 큰 값(확률값)을 갖는 상태를 단위 시간에 발생하는 상태로 확정한다.
그러나 본 발명에서는 단위시간의 네트워크 트래픽 상태를 어느 한 상태로 확정하는 것이 아니라 은닉마코프의 결정과정을 확률적 이상징후 탐지 방법에 최적화되도록, 각각의 모든 상태집합의 상태열이 발생하는 확률을 표시한다.
도2는 은닉마코프 모델을 본 발명에 적용하는 과정을 나타낸 도면이다.
네트워크 상태를 결정하기 위해서 예상할 수 있는 네트워크의 상태를 상태집합 N으로 놓는다. 여기서는 다음과 같이 4가지 특징들을 사용한다.
N = {DoS/DDoS, Worm, Unknown, Clear}
네트워크의 트래픽 상태의 예측을 결정하기 위해 '12가지의 네트워크 트래픽 특성'을 네트워크 트래픽으로부터 추출하였고, 이를 관측집합 M으로 놓는다.
M 은 다음과 같다.
M = {Port scanning, IP Scanning, IP Spoofing, Packet Spoofing, Sudden Increase, Reflection}
은닉마코프 모델에서 관측집합으로부터 상태집합을 도출하는 과정은 은닉마코프 모델의 결정매트릭스(Decision Matrix)를 이용하는데, 여기서, 결정매트릭스(Decision Matrix)는 방출확률, 상태천이확률, 초기확률이다.
상태집합 N과 관측집합 M은 예측을 위한 정보로서 모든 예측 행렬에 공통적으로 적용된다. 각 행렬의 네트워크 단위로 고유의 확률적인 정보가 다음과 같이 추가적으로 주어져야 한다.
어떠한 상태에서 다음 상태로 가기 위한 확률을 나타내는
Figure 112008007958067-PAT00008
행렬인 상태천이(state transition) 행렬 S는 다음과 같다.
Figure 112008007958067-PAT00009
또한, 각 상태에서 자신에 할당된 징후들 중 각각의 공격이 발생될 수 있는 할 확률분포로서
Figure 112008007958067-PAT00010
행렬인 방출분포행렬(emission distribution matrix) T는 다음과 같이 정의 된다.
Figure 112008007958067-PAT00011
또한, 어떤 관측으로부터 네트워크에 어떠한 공격이 시작하는지를 나타내기 위해 각 상태가 초기 상태일 확률 분포를 나타내는
Figure 112008007958067-PAT00012
행렬인 초기확률 ∏는 아래와 같다.
Figure 112008007958067-PAT00013
본 발명에 은닉마코프 모델을 적용하기 위해서는 우선 관측열에서 상태천이 경로(Path)의 확률을 계산한다.
도2에서는 관측시간 k에서의 상태열을 원으로 표시하였다. 또한 관측시간 k에서 관측시간 k+1로의 상태의 변화 경로(path)는 화살표로 표시하였다.
관측열 O=O1,O2,……,OK 와 은닉마코프 모델
Figure 112008007958067-PAT00014
을 통해 상태열 Q=q1,q2,……,qK+1 을 얻을 수 있다.
이렇게 얻어진 경로를 통해 네트워크에 가해지는 공격(즉, 네트워크 상태를 나타내는 상태집합의 확률)을 예측 할 수 있게 된다.
그렇지만 이렇게 얻어진 결과에 대한 확률을 높이기 위해서는 최적화 과정이 필요하다. 최적화 과정을 통해 은닉마코프 모델
Figure 112008007958067-PAT00015
를 최적화 하면 가장 큰 P(O|H)를 만드는 은닉마코프 모델
Figure 112008007958067-PAT00016
를 얻을 수 있다.
최적의 은닉마코프 모델을 만들어 내기 위한 최적화 과정은다음과 같다.
상태천이(state transition)행렬 S는 전체의 관측열 O=O1O2…….OK 동안 상태 qj 로 이동하는 횟수와, 상태 qj에 있는 횟수의 상대적인 비로 다음과 같이 계산된다.
Figure 112008007958067-PAT00017
여기서,
Figure 112008007958067-PAT00018
,
Figure 112008007958067-PAT00019
이다.
방출분포행렬(emission distribution matrix) E는 시각 K에서 상태가 qi이고 동시에 관측된 특징이 m번째 특징
Figure 112008007958067-PAT00020
인 횟수와, 전체 관측열 동안 상태 qi에 있는 횟수의 비로 아래와 같이 계산된다.
Figure 112008007958067-PAT00021
여기서,
Figure 112008007958067-PAT00022
이다.
이러한 최적화 과정을 통해 은닉마코프 모델의 최적화가 이루어지며, 반복이 진행될수록 주어진 관측열을 생성할 확률은 항상 증가한다. 최적화 과정에서는 더 이상의 매개 변수들의 값들의 변화가 없을 때나 혹은 그 변화가 작을 때 최적화 과정을 종료하면 된다.
최적화된 방출확률 행렬, 전이확률 행렬 및 초기확률 행렬에 기반하여, 새로운 관측열을 입력받은 은닉마코프 모델은 다음과 같은 결정과정을 수행한다.
도2에서 보면 은닉마코프 모델은 관측열 O=O1O2…….OK 를 생성할 수 있는 가장 확률이 높은 상태와 그 다음열의 예측을 포함하여, Q=Q1Q2……. QKQK+1로 나타난다. 은닉마코프 모델의 결정과정은 상태천이확률과 방출확률을 고려하여, 해당 관측열에 대해 각 상태가 가질 수 있는 확률을 다음 수식과 같이 계산한다.
(여기서,
Figure 112008007958067-PAT00023
는 k 번째 관측시간에서의 상태n 의 확률이다.)
Figure 112008007958067-PAT00024
Figure 112008007958067-PAT00025
원래의 은닉마코프 모델에서는
Figure 112008007958067-PAT00026
(단, k=1,2,…,K 그리고 n=1,2,…,N)가 최대인 상태열을 취득한 뒤, 관측시간(k)마다 가장 큰 값을 갖는
Figure 112008007958067-PAT00027
을 선정하여 확률 경로(path)를 결정한다.
그러나 본 발명에서는 이러한 은닉마코프의 결정과정을 확률적 이상징후 탐지 시스템에 최적화되도록, 모든 상태열에서 각각의 상태열에서의 최대
Figure 112008007958067-PAT00028
을 표기한다.
예를 들어 날씨의 경우에 현재의 날씨 상태를 표시하는 경우에 은닉마코프 모델을 적용한다고 가정한다.
이경우에 원래의 은닉마코프 모델을 적용한 경우에는 현재의 날씨 상태가 비가 오고 있을 확률이 30%, 햇볕이 비치고 있을 확률이 40%, 현재의 날씨 상태를 알지 못할 확률이 30%라고 하면, 현재 날씨 상태를 햇볕이 비치는 맑은 날씨라고 확정한다. 그러나 실제로는 비가 오고 있을 수가 있다.
본 발명을 상술한 날씨의 예에 적용하면, 본 발명은 날씨의 각 상태의 확률을 모두 표시한다. 즉, 확정적으로 현재의 상태를 단정하는 것이 아니라 현재 상태에 존재할 수 있는 모든 가능성을 확률로써 표시하여 날씨에 예보에 능통한 사람으로 하여금 보다 정확한 판단을 내일 수 있도록 할 수 있다.
도3는 본 발명의 은닉마코프 모델을 적용하여 관측집합으로부터 상태집합을 도출하는 과정을 나타낸 도면이다.
도3는 본 발명의 하나의 실시예로서 본 발명의 은닉마코프 모델을 이용하여 시계열적인 네트워크의 트래픽 상태를 나타내기 위하여 간단하게 나타낸 것이다. 실제로는 관측되는 관측집합열이 트래픽 분석 시간동안 랜덤하게 연속적으로 관측될 수 있으므로 아래의 과정이 복합적으로 연결되어 있다.
설명의 편의를 위하여 다음과 같이 가정하기로 한다.
상태천이확률이 다음과 같고,
Figure 112008007958067-PAT00029
방출확률행렬이 다음과 같고,
Figure 112008007958067-PAT00030
초기확률행렬이 다음과 같다고 한다.
Figure 112008007958067-PAT00031
이때 상술한 네트워크 트래픽 특성으로부터 관측집합을 도출하여 관측집합열이 {C, D}로 결정되었다고 가정한다.
실제로는 관측집합열이 {C, D, A, E, D,…}로 관측 시간에 따라 랜덤하게 반복되지만 여기서는 설명의 편의를 관측집합열이 {C,D}라고 가정한다.
은닉마코프 모델을 이용하여 관측집합열 {C, D} 가 관측되는 단위 시간동안의 네트워크의 상태열을 확률값으로 표시하면 다음과 같다.
관측집합 C 가 관측되는 단위시간동안의 네트워크 트래픽 상태는 다음 4가지 상태로 표시된다.
첫번째, DoS/DDoS일 확률은 [DoS/DDoS의 초기확률값(0.062)] * [C 에서 DoS/DDoS로의 방출확률행렬값(0.105)]= 0.0065
두번째, Worm일 확률은 [Worm의 초기확률값(0.103)] * [C 에서 Worm로의 방출확률행렬값(0.096)]= 0.0098
세번째, Unknown일 확률은 [Unknown의 초기확률값(0.0427)] * [C 에서 Unknown으로의 방출확률행렬값(0.266)]= 0.1135
네번째, Clear일 확률은 [Clear의 초기확률값(0.406)] * [C 에서 Clear로의 방출확률행렬값(0.101)]= 0.041
또한, 관측집합 D 가 관측되는 단위시간동안의 네트워크 트래픽 상태 중 관측집합열이 C->D 로의 관측이 되는 경우의 DoS/DDoS일 확률은 다음과 같이 구해진다.
관측집합 D가 DoS/DDoS일 확률은 DoS/DDoS에서 DoS/DDoS으로의 상태천이확률값을 계산하여 구한 확률값(0.0065*0.444=0.002886)과 Worm에서 DoS/DDoS으로의 상태천이확률값을 계산하여 구한 확률값(0.0098*0.104=0.0010192)과 Unknown에서 DoS/DDoS으로의 상태천이확률값을 계산하여 구한 확률값(0.1135*0.343=0.0389305)과 Clear에서 DoS/DDoS으로의 상태천이확률값을 계산하여 구한 확률값(0.041*0.122=0.005002)을 모두 더한값(0.002886+0.0010192+0.0389305+0.005002 = 0.047838)이다.
이때 관측집합열이 C->D로 관측되는 경우에 관측집합 D가 단위 관측 시간동안의 네트워크 트래픽이 DoS/DDoS일 확률은 관측집합 D가 DoS/DDoS일 확률(0.047838)에서 D->C 로의 방출확률행렬값(0.109)를 곱한 값(0.047838*0.109=0.005214342)이다.
따라서, 관측집합열이 {C, D}인 경우의 각 관측 시간동안의 네트워크 트래픽의 상태가 DoS/DDoS일 확률값은 {0.065, 0.005214342}이다.
상술한 방법과 동일하게 관측집합열이 {C, D}인 경우의 각 관측 시간동안의 네트워크 트래픽의 Worm, Unknown, Clear일 확률값은 각각 {0.0098, 0.0017}, {0.11, 0}, {0.041, 0.003} 이다.
상술한 예는 단지 두 관측시간에서의 관측집합열이 {C, D}인 경우로 예를 들 었지만 실제로 관측시간이 여러 개인 경우 즉, 관측집합열이 랜덤하게 반복되는 경우{A, C, D, B, A, E, F, C, B, F,………}에 동일하게 적용할 수 있음은 자명하다.
도4은 본 발명의 네트워크 트래픽 이상 유무를 탐지하는 장치의 구성도이다.
본 발명의 네트워크 트래픽 이상유무를 탐지하는 장치(400)는 다음과 같이 구성된다.
징후추출부(410)과 징후판단부(420)로 구성되며 징후추출부(410)는 네트워크의 이상 징후를 추출한다. 징후판단부(420)는 네트워크의 이상 징후로부터 네트워크의 트래픽 상태를 판단한다.
징후추출부(410)는 트래픽입력부(412), 패킷처리부(414), 로그기록부(416), 네트워크 트래픽 특성 출력부(418)로 구성된다,
트래픽입력부(412)는 네트워크 트래픽이 입력되는 곳이다.
패킷처리부(414)는 입력된 네트워크 트래픽을 패킷으로 분석하는 곳이다. 패킷처리부(414)에서는 트래픽 패킷을 상술한 네트워크 트래픽 특성의 정의에 맞는 패킷별로 구분하여 네트워크 트래픽 특성을 통계자료로 산출한다.
로그기록부(416)는 산출되는 네트워크 트래픽 특성의 통계자료를 로그로 기록하는 곳이다.
네트워크 트래픽 특성 출력부(418)는 산출된 네트워크 트래픽 특성을 징후판단부(420)로 출력하는 곳이다.
징후판단부(420)는 네트워크 트래픽 특성 입력부(422)와 관측집합 도출 부(424)와 HMM(은닉마코프 모델) 처리부(426)와 네트워크 상태 확률 표시부(428)로 구성된다.
네트워크 트래픽 특성 입력부(422)는 징후추출부(410)로부터 전송되는 네트워크 트래픽 특성이 입력되는 곳이다.
관측집합 도출부(422)는 네트워크 트래픽 특성으로부터 관측집합을 도출해 내는 곳이다.
HMM처리부(426)은 관측집합 도출부(424)를 통해 도출된 관측집합으로부터 은닉마코프 모델을 이용하여 상태집합을 도출해 내는 곳이다.
네트워크 상태 확률 표시부(428)는 HMM처리부(426)를 통해 도출되는 네트워크 트래픽의 각 상태를 단위시간 동안의 확률값으로 표시하는 곳이다.
도5는 본 발명을 정상 네트워크 트래픽에 적용한 결과를 나타낸 도면이다.
510 결과는 상태집합인 {DoS/DDoS, Worm, Unknown, Clear}의 4가지 집합에 대한 각각의 확률을 시계열로 보여준다. 전반적으로 정상 네트워크 트래픽 상태인 'Clear'가 최대 25.5%, 평균 16.37%이며 'Worm'이 발생할 확률이 높아지는 시간이 국지적으로 분포한다. 'Worm'이 발생할 확률은 평균 15.3%이며, 'DoS/DDoS', 'Unknown' 상태의 확률은 각 평균 13.0%, 15.3%로 극히 미미하다. 전반적으로 'Clear' 의 확률이 높은 상태를 보인다.
520 결과는 본 발명을 DoS 공격에 노출한 네트워크 트래픽에 적용한 결과를 나타낸 도면이다.
520 결과를 보면 전반적인 확률 분포 감소 트래픽 자체의 출렁임(fluctuation)이 심하다. DoS의 경우 전반적으로 'DoS/DDoS'의 확률이 높게 나타남을 볼 수 있다.
530 결과는 본 발명을 Slammer worm 공격에 노출한 네트워크 트래픽에 적용한 결과를 나타낸 도면이다.
530 결과를 보면 20초대에서 최대 33.9% 의 경고를 보인다. 또한 초기 상태에서 불안정한 특징이 있는데 이는 Normal Traffic에서 학습된 'F' (Reflection)이 관측집합열로 연속되어 발생하기 때문으로 분석되었다. 전반적으로 'Worm' 의 확률이 대다수이며, 20여초대에서 'Worm'의 발생 확률이 높아지는 것을 볼 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도1은 본 발명의 네트워크 트래픽을 분석하고 은닉마코프 모델을 적용하여 상태집합을 시계열적인 확률로써 표시하는 과정을 나타낸 도면이다.
도2는 은닉마코프 모델을 본 발명에 적용하는 과정을 나타낸 도면이다.
도3는 본 발명의 은닉마코프 모델을 적용하여 관측집합으로부터 상태집합을 도출하는 과정을 나타낸 도면이다.
도4은 본 발명의 네트워크 트래픽 이상 유무를 탐지하는 장치의 구성도이다.
도5는 본 발명을 네트워크 트래픽에 적용한 결과를 나타낸 도면이다.
<도면의 주요부분에 대한 부호의 설명>
400 ; 트래픽 이상 유무 탐지 장치
410 : 징후추출부
412 : 트래픽 입력부
414 : 패킷처리부
416 : 로그기록부
418 : 네트워크 트래픽 특성 출력부
420 : 징후판단부
422 : 네트워크 트래픽 특성 입력부
424 : 관측집합 도출부
426 : HMM처리부
428 : 네트워크 상태 확률 표시부

Claims (11)

  1. 네트워크 트래픽의 이상 유무를 판단하는 방법에 있어서,
    a)상기 네트워크 트래픽이 입력되는 단계;
    b)상기 네트워크 트래픽을 분석하여 네트워크 트래픽 특성을 도출하는 단계;
    c)상기 네트워크 트래픽 특성들로부터 관측집합을 선택하는 단계;
    d)상기 관측집합으로부터 예상되는 네트워크의 트래픽 상태를 상태집합으로 설정하는 단계;
    e)상기 관측집합과 상기 상태집합에 은닉마코프 모델(Hidden Markov Model)의 결정매트릭스(Decision Matrix)를 적용하여 상기 상태집합의 모든 시계열적(Time series)인 상태열을 확률로써 표시하는 단계를 포함하는 네트워크의 이상유무를 판단하는 방법.
  2. 제1항에 있어서,
    상기 b)단계는 상기 네트워크 트래픽을 패킷 단위로 분석하여 상기 네트워크 트래픽 특성을 도출하는 네트워크의 이상유무를 판단하는 방법.
  3. 제2항에 있어서,
    상기 네트워크 트래픽 특성들은 목적지 아이피 사용(Destination IP usage), 포트수(Number of Port), 패킷 도착 비율(Packet Arrival rate), 페이로드 크기(Payload size), 페이로드 크기 변화(Payload size variation), 포트수 변화(Port number variation), 세션시간(Session time), 세션당 페이로드 크기(Payload size per session), 포트당 세션수(Number of Session per port), 소스 목적지 아이피 비율(Source Destination IP ratio), 목적지 아이피 분산(Destination IP distribution), 리플렉션 트래픽(Reflection traffic) 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 방법.
  4. 제1항에 있어서,
    상기 관측집합은 포트 스캐닝(Port Scanning), 아이피 스캐닝(IP Scanning), 아이피 스푸핑(IP Spoofing(Black IP)), 패킷 스푸핑(Packet Spoofing(Checksum error)), 서든 인크리스(Sudden Increase), 리플렉션(Reflection) 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 방법.
  5. 제3항 내지 제4항에 있어서,
    상기 네트워크 트래픽 특성들과 상기 관측집합들과의 연관성에 기초하여 단위 시간동안 상기 네트워크 트래픽 특성들의 발생 횟수를 조사하여 상기 관측집합 을 선택하는 네트워크의 이상유무를 판단하는 방법.
  6. 제1항에 있어서,
    상기 상태집합은 서비스 거부공격(DoS : Denial of Service) /분산 서비스 거부공격(DDoS : Distributed Denial of Service ), 웜계열 바이러스에 의한 공격(Worm), 알지 못하는 공격(Unknown), 정상(Clear) 상태 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 방법.
  7. 네트워크 트래픽의 이상 유무를 판단하는 장치에 있어서,
    상기 네트워크 트래픽을 분석하여 네트워크 트래픽 특성을 출력하는 징후추출부; 및
    상기 징후추출부로부터 출력된 상기 네트워크 트래픽 특성을 입력값으로 사용하여 네트워크의 시계열적인 각각의 상태를 확률값으로 출력하는 징후판단부를
    포함하는 네트워크의 이상유무를 판단하는 장치.
  8. 제7항에 있어서,
    상기 징후추출부는
    상기 네트워크 트래픽이 입력되는 트래픽 입력부;
    상기 입력된 네트워크 트래픽을 패킷단위로 처리하여 상기 네트워크 트래픽의 이상유무를 알아보는 패킷처리부;
    상기 처리한 패킷으로 인한 네트워크의 이상유무를 로그 파일(log file)로 기록하는 로그 기록부;
    상기 패킷단위를 단위시간동안 분석하여 상기 네트워크 트래픽 특성으로 상기 단위시간마다 통계자료값으로 출력하는 네트워크 트래픽 특성 출력부를
    포함하는 네트워크의 이상유무를 판단하는 장치.
  9. 제7항에 있어서,
    상기 네트워크 트래픽 특성들은 목적지 아이피 사용(Destination IP usage), 포트수(Number of Port), 패킷 도착 비율(Packet Arrival rate), 페이로드 크기(Payload size), 페이로드 크기 변화(Payload size variation), 포트수 변화(Port number variation), 세션시간(Session time), 세션당 페이로드 크기(Payload size per session), 포트당 세션수(Number of Session per port), 소스 목적지 아이피 비율(Source Destination IP ratio), 목적지 아이피 분산(Destination IP distribution), 리플렉션 트래픽(Reflection traffic) 중 적어도 하나를 포함하는 네트워크의 이상유무를 판단하는 장치.
  10. 제7항에 있어서,
    상기 징후판단부는
    상기 징후추출부에서 출력된 네트워크 트래픽 특성들의 통계자료값을 입력 값으로 취하는 통계자료 입력부;
    상기 입력된 통계자료들을 이용하여 상기 관측집합을 도출해내는 관측 집합 도출부;
    상기 관측 집합으로부터 상기 은닉마코프 모델을 적용하여 상기 상태집합을 도출하는 은닉마코프 모델(HMM) 처리부; 및
    상기 은닉마코프 모델 처리부를 통해 도출되는 상태집합의 모든 상태열을 확률로 표시하는 상태 확률 표시부를
    포함하는 네트워크의 이상유무를 판단하는 장치.
  11. 네트워크 트래픽의 이상 유무를 판단하는 방법이 기록되는 기록 매체에 있어서,
    상기 네트워크 트래픽이 입력되는 단계;
    상기 네트워크 트래픽을 분석하여 네트워크 트래픽 특성을 도출하는 단계;
    상기 네트워크 트래픽 특성들로부터 관측집합을 선택하는 단계;
    상기 관측집합으로부터 예상되는 네트워크의 트래픽 상태를 상태집합으로 설 정하는 단계;
    상기 관측집합과 상기 상태집합에 은닉마코프 모델(Hidden Markov Model)의 결정매트릭스(Decision Matrix)를 적용하여 상기 상태집합의 모든 시계열적(Time series)인 상태열을 확률로써 표시하는 단계를 포함하는 네트워크의 이상유무를 판단하는 방법이 기록되어 있는 기록 매체.
KR1020080009762A 2008-01-30 2008-01-30 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법 KR100950079B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080009762A KR100950079B1 (ko) 2008-01-30 2008-01-30 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080009762A KR100950079B1 (ko) 2008-01-30 2008-01-30 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090083767A true KR20090083767A (ko) 2009-08-04
KR100950079B1 KR100950079B1 (ko) 2010-03-26

Family

ID=41204504

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080009762A KR100950079B1 (ko) 2008-01-30 2008-01-30 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100950079B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101144819B1 (ko) * 2010-11-23 2012-05-11 한국과학기술정보연구원 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법
WO2017019103A1 (en) * 2015-07-30 2017-02-02 Hewlett Packard Enterprise Development Lp Network traffic pattern based machine readable instruction identification
CN109462521A (zh) * 2018-11-26 2019-03-12 华北电力大学 一种适用于源网荷互动工控系统的网络流量异常检测方法
KR20210039039A (ko) * 2019-10-01 2021-04-09 주식회사 아이옵스테크놀러지 장애를 예측하기 위한 관리서버
CN113721467A (zh) * 2021-08-31 2021-11-30 云境商务智能研究院南京有限公司 欺骗攻击和DoS攻击下基于自适应事件触发的H∞滤波器设计方法
KR20220073108A (ko) * 2020-11-26 2022-06-03 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101409758B1 (ko) 2013-05-28 2014-06-27 아주대학교산학협력단 콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101144819B1 (ko) * 2010-11-23 2012-05-11 한국과학기술정보연구원 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법
WO2017019103A1 (en) * 2015-07-30 2017-02-02 Hewlett Packard Enterprise Development Lp Network traffic pattern based machine readable instruction identification
US10757029B2 (en) 2015-07-30 2020-08-25 Trend Micro Incorporated Network traffic pattern based machine readable instruction identification
CN109462521A (zh) * 2018-11-26 2019-03-12 华北电力大学 一种适用于源网荷互动工控系统的网络流量异常检测方法
CN109462521B (zh) * 2018-11-26 2020-11-20 华北电力大学 一种适用于源网荷互动工控系统的网络流量异常检测方法
KR20210039039A (ko) * 2019-10-01 2021-04-09 주식회사 아이옵스테크놀러지 장애를 예측하기 위한 관리서버
KR20220073108A (ko) * 2020-11-26 2022-06-03 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20230056639A (ko) * 2020-11-26 2023-04-27 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
KR20230056637A (ko) * 2020-11-26 2023-04-27 한국전력공사 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
CN113721467A (zh) * 2021-08-31 2021-11-30 云境商务智能研究院南京有限公司 欺骗攻击和DoS攻击下基于自适应事件触发的H∞滤波器设计方法
CN113721467B (zh) * 2021-08-31 2024-05-10 云境商务智能研究院南京有限公司 欺骗攻击和DoS攻击下基于自适应事件触发的H∞滤波器设计方法

Also Published As

Publication number Publication date
KR100950079B1 (ko) 2010-03-26

Similar Documents

Publication Publication Date Title
US11463457B2 (en) Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
Blaise et al. Detection of zero-day attacks: An unsupervised port-based approach
US10270803B2 (en) Method and apparatus for detecting malware infection
EP3652914B1 (en) Cyberanalysis workflow acceleration
Hoque et al. Network attacks: Taxonomy, tools and systems
Garcia et al. An empirical comparison of botnet detection methods
US8503302B2 (en) Method of detecting anomalies in a communication system using numerical packet features
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
US20080263661A1 (en) Detecting anomalies in signaling flows
WO2015107861A1 (ja) 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム
US20080276317A1 (en) Detection of Multi-Step Computer Processes Such as Network Intrusions
Boukhamla et al. CICIDS2017 dataset: performance improvements and validation as a robust intrusion detection system testbed
Hirayama et al. Fast target link flooding attack detection scheme by analyzing traceroute packets flow
KR100684602B1 (ko) 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
Katkar et al. Detection of DoS/DDoS attack against HTTP servers using naive Bayesian
Bou-Harb et al. A systematic approach for detecting and clustering distributed cyber scanning
Zhu Attack pattern discovery in forensic investigation of network attacks
Luxemburk et al. Detection of https brute-force attacks with packet-level feature set
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
Alkadi et al. An ontological graph identification method for improving localization of IP prefix hijacking in network systems
Abaid et al. Early detection of in-the-wild botnet attacks by exploiting network communication uniformity: An empirical study
WO2024027079A1 (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
JP2008219525A (ja) ネットワーク異常検知方法およびネットワーク異常検知システム
CN115225301B (zh) 基于d-s证据理论的混合入侵检测方法和系统
Raheja et al. Rule‐Based Approach for Botnet Behavior Analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140106

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee