KR20220093034A - Dns 트래픽의 이상들을 검출하기 위한 방법 및 장치 - Google Patents

Dns 트래픽의 이상들을 검출하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR20220093034A
KR20220093034A KR1020210183690A KR20210183690A KR20220093034A KR 20220093034 A KR20220093034 A KR 20220093034A KR 1020210183690 A KR1020210183690 A KR 1020210183690A KR 20210183690 A KR20210183690 A KR 20210183690A KR 20220093034 A KR20220093034 A KR 20220093034A
Authority
KR
South Korea
Prior art keywords
dns
processing unit
packet
data processing
state
Prior art date
Application number
KR1020210183690A
Other languages
English (en)
Inventor
알레산드로 디 핀토
모레노 카룰로
안드레아 카르카노
마리오 마르케제
파비오 파트론
알레산드로 파우스토
지오바니 바티스타 가게로
Original Assignee
노조미 네트웍스 에스에이지엘
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노조미 네트웍스 에스에이지엘 filed Critical 노조미 네트웍스 에스에이지엘
Publication of KR20220093034A publication Critical patent/KR20220093034A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/0636Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법 및 장치에 관한 것으로, 방법은 상기 네트워크에 접속된 네트워크 분석기를 통해, 네트워크에서 교환된 각각의 데이터 패킷을 분석하는 단계, 네트워크 분석기를 통해, 분석된 데이터 패킷들 각각으로부터 관련 DNS 패킷을 분리하는 단계, 컴퓨터화된 데이터 처리 유닛을 통해, DNS 패킷들 각각을 평가하여 DNS 패킷 상태를 생성하는 단계, 컴퓨터화된 데이터 처리 유닛을 통해, DNS 패킷 상태가 임계 상태를 정의할 때 DNS 트래픽의 이상을 시그널링하는 단계를 포함하고, 평가는 컴퓨터화된 데이터 처리 유닛을 통해, 복수의 평가 알고리즘에 의해 DNS 패킷 각각을 사정하여 평가 알고리즘들 각각에 대한 DNS 패킷 분류를 생성하는 단계, 컴퓨터화된 데이터 처리 유닛을 통해, DNS 패킷 분류들을 집계하여 DNS 패킷 상태를 생성하는 단계를 추가로 포함하고, 임계 상태는 DNS 패킷 상태가 저장 매체에 저장된 임계 상태 데이터베이스에 포함될 때 식별된다.

Description

DNS 트래픽의 이상들을 검출하기 위한 방법 및 장치{METHOD AND APPARATUS FOR DETECTING ANOMALIES OF A DNS TRAFFIC}
본 발명은 DNS 트래픽 분석에서의 보안 방법들 및 보안 장치의 분야에 관한 것이다. 특히, 본 발명은 DNS 트래픽의 이상들을 검출하기 위한 방법에 관한 것이다. 추가의 양태에서, 본 발명은 DNS 트래픽의 이상들을 검출하기 위한 장치에 관한 것이다.
도메인 네임 시스템(DNS)은 인터넷 또는 사설 네트워크에 접속된 컴퓨터들, 서비스들, 또는 다른 리소스들에 대한 계층적이고 탈중앙화된 네이밍 시스템이다. 그것은 다양한 정보를 참여 엔티티들 각각에 할당된 도메인 네임들과 연관시킨다. 가장 두드러지게, 그것은 더 쉽게 기억된 도메인 네임들을 기본 네트워크 프로토콜들로 컴퓨터 서비스들 및 디바이스들을 찾고 식별하는 데 필요한 수치 IP 어드레스들로 번역한다. 도메인 네임 시스템은 또한 그것의 코어에 있는 데이터베이스 서비스의 기술적 기능성을 지정한다. 그것은 DNS에서 사용되는 데이터 구조들 및 데이터 통신 교환들의 상세한 사양인 DNS 프로토콜을 인터넷 프로토콜 모음의 일부로서 정의한다. DNS 네임 서버는 도메인에 대한 DNS 레코드들을 저장하는 서버이고; DNS 네임 서버는 그것의 데이터베이스에 대한 질의들에 대한 응답들로 응답한다.
도메인 네임-IP 어드레스 매핑으로서의 그것의 원래의 기능에도 불구하고, DNS 프로토콜은 또한 다양한 인터넷 서비스들을 지원하는 데 사용되고, 그 중에는 이메일 전달, 로드 밸런싱 및 콘텐츠 전달/분배 네트워크는 물론, 악의적인 목적들을 위한 것이 있다. 코어 DNS 기능은 ISOC(Internet Society) 및 RFC(Request for Comments) 1034 및 1035라고 하는 그의 관련 단체들로부터의 출판물에 정의되어 있다.
그럼에도 불구하고, DNS 질의들 및 답변들은 DNS 패킷 검사를 구현하지 않는 방화벽들을 우회할 수 있는 비밀 채널(covert channel)들을 생성하기 위하여 이용될 수 있다. DNS 터널 공격을 구현하기 위한 몇몇 오픈-소스 툴들은 이러한 범위에서 인터넷 상에서 이용 가능하고, 그 중에는 Iodine, DeNiSe, DET, dnscat2, OzymanDNS, ReverseDNSShell, TCP-over-DNS가 언급될 수 있다.
더욱이, 상이한 멀웨어들은 이러한 기법을 이용하여 명령-제어 비밀 채널(command-and-control covert channel)을 구현하고, 그 중에는 Morto Worm, FeederBot, PlugX, FrameworkPOS, Wekby, BernhardPOS, JAKU, MULTIGRAIN, DNSMessenger가 언급될 수 있다.
DNS 검사는 비밀 채널들을 방지하는 데 필요하다. 따라서, DNS 트래픽을 자동으로 모니터링하기 위해 많은 접근법들이 지난 몇 년간 개발되었다. 이러한 최신 접근법들의 대부분은 일반적으로 네트워크의 노드로부터 수집된 각각의 단일 패킷으로부터 특징들을 추출하는 것으로부터 시작한 다음, 이러한 특징들로부터 DNS 트래픽 내의 비밀 채널들을 자동으로 검출하기 위해 기계 학습(ML) 알고리즘들을 이용한다.
전술한 접근법들은 특징들이 추출되는 네트워크 트래픽의 세트에 따라 상이한 패밀리들로 그룹화될 수 있다. "단일 패킷 기반" 접근법 또는 "질의 기반 접근법들"은 DNS 클라이언트/DNS 서버 간의 상호작용에 관계없이 질의들과 관련된 속성을 분석하는 비밀 채널들을 발견하려고 시도한다. "트랜잭션 기반" 접근법은 DNS 요청/응답 트랜잭션들과 관련된 속성들을 분석하는 비밀 채널들을 발견하려고 시도한다. "도메인 기반" 접근법은 일정 기간 또는 특정 수의 샘플에 걸쳐 특정 제2 레벨 도메인으로 전송되는 모든 패킷들을 수집하고 이러한 패킷들의 그룹에 걸쳐 특징들을 계산한다. 마지막으로, "IP 기반" 접근법은 특정 IP 어드레스에 의해 전송되는 모든 패킷들을 수집하고 이러한 패킷들의 그룹에 걸쳐 특징들을 계산한다.
각각의 패밀리에 대해, 상이한 특징들이 추출될 수 있고, 상이한 ML 알고리즘들이 분류를 위해 사용될 수 있다. 이와 관련하여, 패밀리 내의 접근법들은 상이한 특성들을 갖고, 동일한 공격 툴을 검출함에 있어서 상이한 효율을 가질 수 있지만, 그들의 출력은 동일한 컨텍스트(context)와 관련된다. 대신에, 상이한 패밀리들에 속하는 다수의 접근법들을 비교하여 상이한 결과들이 획득된다. 예를 들어, 2개의 상이한 "도메인 기반" 접근법들을 구현함으로써, 결과들은 서로 비슷한 분석된 도메인의 성질에 관한 정보를 반환하지만, 동일한 정보는 네트워크의 기계의 가능한 타협에 관한 정보를 반환하는 "IP 기반" 접근법의 결과와 거의 비슷하지 않다.
그럼에도 불구하고, 각각의 접근법은 그것의 고유한 장점들 및 단점들을 제시하고, 그것은 종종 DNS 오용들의 작은 부분을 검출하는 데에 특수화된다.
따라서, DNS 오용에 기초하여 상이한 유형들의 비밀 채널들을 발견할 수 있는 방법 및 장치를 갖는 것이 바람직할 것이다. 또한, 엄격한 표준화가 없는 완전한 방식으로 DNS를 관리할 수 있는 방법 및 장치를 갖는 것이 바람직할 것이다. 마지막으로, DNS 트래픽의 복잡한 평가를 관리할 수 있는 확장 가능한 방법 및 장치를 갖는 것이 바람직할 것이다.
본 발명의 목적은 전술한 단점들을 최소화할 수 있는 DNS 트래픽의 이상들을 검출하기 위한 방법을 제공하는 것이다.
따라서, 본 발명에 따르면, 첨부된 청구항들에 설명된 바와 같이 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법이 설명된다.
네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법은,
- 네트워크에 접속된 네트워크 분석기를 통해, 네트워크에서 교환되는 각각의 데이터 패킷을 분석하는 단계;
- 네트워크 분석기를 통해, 분석된 데이터 패킷들 각각으로부터 관련 DNS 패킷을 분리하는 단계;
- 컴퓨터화된 데이터 처리 유닛을 통해, DNS 패킷들 각각을 평가하여 DNS 패킷 상태를 생성하는 단계;
- 컴퓨터화된 데이터 처리 유닛을 통해, DNS 패킷 상태가 임계 상태를 정의할 때 DNS 트래픽의 이상을 시그널링하는 단계를 포함하고;
상기 평가는,
- 컴퓨터화된 데이터 처리 유닛을 통해, 복수의 평가 알고리즘에 의해 DNS 패킷들 각각을 사정(assessing)하여 평가 알고리즘들 각각에 대한 DNS 패킷 분류를 생성하는 단계;
- 컴퓨터화된 데이터 처리 유닛을 통해, DNS 패킷 분류들을 집계하여 DNS 패킷 상태를 생성하는 단계를 포함하고;
임계 상태는 DNS 패킷 상태가 저장 매체에 저장된 임계 상태 데이터베이스에 포함될 때 식별된다.
따라서, 본 발명에 따른 방법은 복수의 평가 알고리즘을 통해 DNS 오용의 큰 부분을 식별하여 모든 평가 알고리즘들로부터 이익들을 취하고 관련 단점들을 최소화하는 것을 가능케 한다.
일 실시예에서, 분리는 컴퓨터화된 데이터 처리 유닛을 통해 DNS 패킷 각각으로부터 모든 특징들을 추출하는 단계를 추가로 포함하고,
사정은 컴퓨터화된 데이터 처리 유닛을 통해, 특징들의 복수의 패밀리 서브세트를 정의하는 단계를 추가로 포함하고,
복수의 평가 알고리즘 각각은 단독 패밀리 서브세트로부터 DNS 패킷 분류를 생성한다.
이러한 방식으로, 방법은 사용되는 평가 알고리즘들의 상이한 패밀리들에 따라 상이한 분류들을 정의할 수 있게 한다.
일 실시예에서, 집계는 컴퓨터화된 데이터 처리 유닛을 통해, 미리 정의된 패밀리 논리 평가에 따라 동일한 패밀리 서브세트의 DNS 패킷 분류들을 그룹화하여 DNS 패밀리 상태를 생성하는 단계를 추가로 포함하고,
집계는 컴퓨터화된 데이터 처리 유닛을 통해, 미리 정의된 패킷 논리 평가에 따라 DNS 패밀리 상태를 그룹화하여 DNS 패킷 상태를 생성하는 단계를 추가로 포함한다.
따라서, 본 발명에 따른 방법은 사용되는 평가 알고리즘들의 상이한 패밀리들로부터 구성되는 상이한 성질의 평가를 집계하는 것을 가능하게 한다.
일 실시예에서, 미리 정의된 패킷 분류 평가는 과반수 투표 평가(majority voting evaluation)를 포함하고,
DNS 패킷 상태는 DNS 패밀리 상태의 과반수(majority number)의 상태에 의해 정의되고,
임계 상태는 DNS 패밀리 상태의 과반수가 임계 상태와 관련될 때 식별된다.
따라서, 과반수 투표 평가는 수반된 평가 알고리즘들 각각을 동일하게 밸런싱할 수 있게 한다.
일 실시예에서, 미리 정의된 패킷 분류 평가는 스코어 투표 평가(score voting evaluation)를 포함하고,
스코어가 DNS 패킷 분류들에 할당되고, DNS 패킷 상태는 동종 상태들을 합산함으로써 더 큰 스코어의 상태에 의해 정의되고,
임계 상태는 더 큰 스코어가 임계 상태와 관련될 때 식별된다.
각각의 DNS 패킷 분류를 스코어링함으로써, 수반된 각각의 평가 알고리즘에 대해 상이한 가중치 및 중요도를 또한 정의할 수 있다.
일 실시예에서, 미리 정의된 패킷 분류 평가는 이블-윈 평가(evil-win evaluation)를 포함하고,
DNS 패킷 상태는 적어도 하나의 DNS 패밀리 상태가 선택된 상태에 대응하는 경우 선택된 상태에 의해 정의되고,
임계 상태는 선택된 상태가 임계 상태와 관련될 때 식별된다.
이블-윈 평가는 임계 상태의 더 강한 식별로 접근하며, 여기서는 높은 거짓 양성률(false positive rate)이 허용될 수 있다.
일 실시예에서, 평가 알고리즘들은 질의 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
사정은 컴퓨터화된 데이터 처리 유닛을 통해, 특징들의 질의 기반 서브세트를 정의하는 단계를 추가로 포함하고,
질의 기반 접근법 유형의 복수의 평가 알고리즘 각각은 질의 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
일 실시예에서, 질의 기반 접근법 유형의 알고리즘들은 분리 포레스트 알고리즘(Isolation Forest algorithm), 지원 벡터 기계 알고리즘, J48 알고리즘, 나이브 베이즈 알고리즘(Naive Bayes algorithm), 로지스틱 회귀 알고리즘(Logistic Regression algorithm) 및 K-평균 알고리즘 중 적어도 하나를 포함한다.
일 실시예에서, 평가 알고리즘들은 트랜잭션 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
사정은 컴퓨터화된 데이터 처리 유닛을 통해, 특징들의 트랜잭션 기반 서브세트를 정의하는 단계를 추가로 포함하고,
트랜잭션 기반 접근법 유형의 복수의 평가 알고리즘 각각은 트랜잭션 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
일 실시예에서, 트랜잭션 기반 접근법 유형의 알고리즘들은 K-최근접 이웃 알고리즘, 다층 퍼셉트론(Multilayer Perceptron) 및 지원 벡터 기계 알고리즘 중 적어도 하나를 포함한다.
일 실시예에서, 평가 알고리즘들은 도메인 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
사정은 컴퓨터화된 데이터 처리 유닛을 통해, 특징들의 도메인 기반 서브세트를 정의하는 단계를 추가로 포함하고,
도메인 기반 접근법 유형의 복수의 평가 알고리즘 각각은 도메인 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
일 실시예에서, 도메인 기반 접근법 유형의 알고리즘들은 분리 포레스트 알고리즘을 포함한다.
일 실시예에서, 평가 알고리즘들은 IP 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
사정은 컴퓨터화된 데이터 처리 유닛을 통해, 특징들의 IP 기반 서브세트를 정의하는 단계를 추가로 포함하고,
IP 기반 접근법 유형의 복수의 평가 알고리즘 각각은 IP 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
일 실시예에서, IP 기반 접근법 유형의 알고리즘들은 결정 트리 알고리즘 및 지원 벡터 기계 알고리즘 중 적어도 하나를 포함한다.
추가 양태에서, 본 발명의 목적은 전술한 단점들을 최소화할 수 있는 DNS 트래픽의 이상들을 검출하기 위한 장치를 제공하는 것이다.
따라서, 본 발명에 따르면, 첨부된 청구항들에 설명된 바와 같이 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 장치가 설명된다.
네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 장치는 네트워크에 접속될 네트워크 분석기, 네트워크 분석기에 동작가능하게 접속된 컴퓨터화된 데이터 처리 유닛, 및 데이터 컴퓨터화된 데이터 처리 유닛에 동작가능하게 접속된 저장 매체를 포함하고,
네트워크 분석기는, 사용 시에, 네트워크에서 교환되는 각각의 데이터 패킷을 분석하고, 분석된 데이터 패킷들 각각으로부터 관련 DNS 패킷을 분리하며,
컴퓨터화된 데이터 처리 유닛은, 사용 시에, DNS 패킷들 각각을 평가하여 DNS 패킷 상태를 생성하고, DNS 패킷 상태가 임계 상태를 정의할 때 DNS 트래픽의 이상을 시그널링하고,
저장 매체는 복수의 평가 알고리즘 및 임계 상태 데이터베이스를 저장하고,
컴퓨터화된 데이터 처리 유닛은 복수의 평가 알고리즘에 의해 DNS 패킷들 각각을 사정하여, 평가 알고리즘들 각각에 대한 DNS 패킷 분류를 생성하고, DNS 패킷 분류들을 집계하여 DNS 패킷 상태를 생성하며;
컴퓨터화된 데이터 처리 유닛은 DNS 패킷 상태가 임계 상태 데이터베이스에 포함될 때 임계 상태를 식별한다.
따라서, 본 발명에 따른 장치는 복수의 평가 알고리즘을 통해 DNS 오용의 큰 부분을 식별하여, 모든 평가 알고리즘들로부터 이익들을 취하고 관련 단점들을 최소화하는 것을 가능하게 한다.
본 발명의 이들 및 추가 특징들 및 이점들은 첨부 도면들에서 비제한적인 예로서 예시된 바람직한 실시예의 개시로부터 명백해질 것이다. 도면들에서:
- 도 1은 본 발명에 따른, 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법의 개략적인 흐름도를 도시한다.
- 도 2는 본 발명에 따른, 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 장치의 개략 흐름도를 도시한다.
본 발명은 특히 DNS 트래픽과 관련하여, 네트워크에서 이상들을 검출하기 위한 방법에 관한 것이다. 본 발명은 또한 특히 DNS 트래픽과 관련하여, 네트워크에서 이상들을 검출하기 위한 장치에 관한 것이다.
본 발명에 따른 방법 및 장치는 네트워크에서 접속되는 임의의 종류의 물리적 기반구조들 또는 자동화 시스템들, 특히 제조 생산을 위한 산업 프로세스들, 전력 생성을 위한 산업 프로세스들, 유체들(물, 오일 및 가스)의 분배를 위한 기반구조들, 전력의 생성 및/또는 전송을 위한 기반구조들, 전송 관리를 위한 기반구조들과 같은 산업 자동화 시스템들에서 유용한 응용을 발견한다.
"데이터 패킷"이라는 용어는, 본 발명에서, 네트워크에서 전송되는 각각의 유한하고 구별되는 데이터 시퀀스를 의미한다. 바람직하게는, 이러한 데이터는 디지털 포맷으로 되어 있고 비트 시퀀스에 의해 정의된다.
용어 "평가 알고리즘"은, 본 발명에서, 하나 이상의 데이터 패킷에 걸쳐 DNS 트래픽 분류를 생성할 수 있는 알고리즘을 의미한다.
다음의 설명은 본 발명에 따른 방법 및 장치 및 데이터 패킷의 단일 예를 참조할 것이지만, 임의의 종류 및 수의 패킷들이 고려될 수 있다. 특히, 도 1은 본 발명의 방법에 대한 개략적인 흐름도를 도시하는 반면, 도 2는 동일한 발명의 장치(1)에 관한 동일한 개략적인 흐름도를 도시한다. 더욱이, 본 발명에 따른 이상 검출 방법을 고려한 이상 검출 장치(1)의 동작이 아래에 상세히 설명된다. 특히, 본 발명에 따른 장치(1)의 동작 및 방법의 적용은 예를 들어 소프트웨어 유형의 상호접속된 모듈들을 통해 분석된 데이터 패킷의 예를 따라 설명될 것이다. 각각의 모듈은 큐로부터 그것의 데이터를 판독하고 결과들을 다른 큐에 넣는다. 입력 큐가 데이터를 포함하지 않으면, 모듈 스레드는 새로운 데이터의 도달까지 정지된다. 모듈은 그것의 결과를 출력 큐에 넣는다. 다른 모듈이 이 큐로부터의 데이터를 기다리고 있으면, 그것의 스레드는 재시작되고 데이터는 큐로부터 판독된다.
네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 이러한 장치(1)는 네트워크 분석기(11), 컴퓨터화된 데이터 처리 유닛(21) 및 저장 매체(31)인 그의 주요 컴포넌트들로 예시된다. 본 기술분야에 공지된 이러한 컴포넌트들은 더 상세히 설명되지 않을 것이고, 추가의 컴포넌트들도 장치의 일부일 수 있다.
컴퓨터화된 데이터 처리 유닛(21)은 네트워크 분석기(11) 및 저장 매체(31) 중 어느 쪽에도 동작 가능하게 접속된다. 또한, 네트워크 분석기(11)는 네트워크 자체에 접속되어, 장치(1)가 그로부터 데이터 패킷들을 검색하는 것을 가능하게 한다.
네트워크 분석기(11)는 네트워크와 수동적으로 상호작용하고, 사용 시에, 동일한 네트워크에서 교환되는 각각의 데이터 패킷을 분석하고, 분석된 데이터 패킷들 각각으로부터 관련 DNS 트래픽을 분리한다.
따라서, 본 발명에 따른, 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법은, 네트워크에 접속된 네트워크 분석기(11)를 통해, 네트워크에서 교환된 각각의 데이터 패킷을 분석하는 단계를 포함한다. 바람직하게는, 데이터 패킷들은 원시 소켓을 사용하여 네트워크 인터페이스로부터 캡처되고 큐에 넣어진다.
네트워크에서 교환된 다음 분석되는 각각의 데이터 패킷에 대해, 본 발명에 따른 방법은, 네트워크 분석기(11)를 통해, 관련 DNS 패킷을 분리하는 단계를 포함한다. 분리는 전체 네트워크로부터, 잘 알려진 DNS 포트를 사용하여 DNS 패킷들 또는 UDP 패킷들을 차단함으로써 DNS 필터로서 작용한다. 따라서, 네트워크 분석기(11)는 전체 네트워크의 수동적 인터셉션 활동을 수행할 수 있게 한다. 특히, 전술한 분석기(11)는 네트워크를 통해 교환된 각각의 데이터 패킷에 대해 DNS 패킷의 부분을 식별할 수 있다. 대안적인 실시예에서, DNS 패킷들의 분리는 컴퓨터화된 데이터 처리 유닛에 의해 수행될 수 있다.
바람직하게는, 분리는, 컴퓨터화된 데이터 처리 유닛(21)을 통해, DNS 패킷 각각으로부터 모든 특징들을 추출하는 단계를 추가로 포함한다. 특징 추출의 이러한 모듈은, 큐로부터 도달된 각각의 새로운 데이터 패킷에 대해, 단일 데이터 패킷으로부터, DNS 요청 또는 응답의 크기, 호스트 네임의 엔트로피, 비공통 레코드 유형들과 같은 특징들을 추출한다. 데이터 패킷 및 특징들은 또한, 버퍼를 정의하기 위해 저장 매체(31)에 저장될 수 있다. 접근법에 따라, 각각의 버퍼는 트랜잭션별로 또는 도메인별로 그룹화된 샘플들을 포함할 수 있고, 계산은 특정한 시간 간격으로 또는 소정 수의 샘플들이 수집될 때 트리거될 수 있다.
더구나, 사정은 이전 모듈에서 추출된 바와 같은 특징들의 복수의 패밀리 서브세트를 컴퓨터화된 데이터 처리 유닛(21)을 통해 정의하는 단계를 포함한다. 이러한 방식으로, 방법 및 장치는 사용되는 평가 알고리즘들의 상이한 패밀리들에 따라 상이한 분류들을 정의하는 것을 가능하게 한다.
컴퓨터화된 데이터 처리 유닛(21)은, 사용 시에, 이전 모듈에서 분리된 바와 같은 DNS 패킷들 각각을 평가하여, DNS 패킷 상태를 생성하고, DNS 패킷 상태가 임계 상태를 정의할 때 DNS 트래픽의 이상을 시그널링한다.
따라서, 본 발명에 따른, 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법은 먼저 컴퓨터화된 데이터 처리 유닛(21)을 통해 DNS 패킷들 각각을 평가하여 DNS 패킷 상태를 생성한 다음, DNS 패킷 상태가 임계 상태를 정의할 때 동일한 컴퓨터화된 데이터 처리 유닛(21)을 통해 DNS 트래픽의 이상을 시그널링하는 단계를 포함한다.
저장 매체(31)는 복수의 평가 알고리즘 및 임계 상태 데이터베이스를 저장한다.
임계 상태 데이터베이스는 달성될 스코어들 또는 분류에 관하여 임계 상태의 정의들을 저장한다. 물론, 상이한 임계 상태들이 저장될 수 있다.
본 발명에 따른, 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법에서, 컴퓨터화된 데이터 처리 유닛(21)은 상기 저장 매체(31)에 저장된 바와 같은 복수의 평가 알고리즘에 의해 DNS 패킷들 각각을 사정한다. 평가 알고리즘들 각각에 대해 DNS 패킷 분류가 생성된다. 더욱이, DNS 패킷 상태가 이러한 DNS 패킷 분류들을 집계함으로써 생성된다.
마지막으로, 방법 및 장치에 따르면, 컴퓨터화된 데이터 처리 유닛(21)은 DNS 패킷 상태가 상기 저장 매체(31)에 저장된 바와 같은 임계 상태 데이터베이스에 포함될 때 임계 상태를 식별한다.
따라서, 본 발명에 따른 장치(1)는, 이하에서 더 상세히 설명되는 바와 같이, 복수의 평가 알고리즘을 통해 DNS 오용의 큰 부분을 식별하여, 모든 평가 알고리즘들로부터의 이점들을 취하고 관련 단점들을 최소화하는 것을 가능하게 한다.
평가 알고리즘들은 바람직하게는 상이한 성질을 가지며, 특히 질의 기반 접근법 유형, 트랜잭션 기반 접근법 유형, 도메인 기반 접근법 유형 및 IP 기반 접근법 유형의 패밀리들로 그룹화될 수 있다.
질의 기반 접근법 유형의 패밀리 내의 평가 알고리즘들은 분리 포레스트 알고리즘, 지원 벡터 기계 알고리즘, J48 알고리즘, 나이브 베이즈 알고리즘, 로지스틱 회귀 알고리즘 및 K-평균 알고리즘 중 적어도 하나를 포함할 수 있다.
이 경우, 사정은 컴퓨터화된 데이터 처리 유닛(21)을 통해, 질의 기반 특징들로서 정의될 수 있는 특징들의 질의 기반 서브세트를 정의하는 단계를 추가로 포함한다. 그러한 질의 기반 특징들은 분리 포레스트 알고리즘에 대한 문자 엔트로피, 문자들의 전체 카운트, 서브 도메인 내의 문자들의 카운트, 대문자 및 숫자 문자들의 카운트, 라벨들의 수, 최대 라벨 길이 및 평균 라벨 길이의 특징들을 포함할 수 있다. 더욱이, 그러한 질의 기반 특징들은 지원 벡터 기계 알고리즘, J48 알고리즘 및 나이브 베이즈 알고리즘에 대한 엔트로피, DNS 요청 길이, IP 패킷 송신기 길이, IP 패킷 응답 길이, 인코딩된 DNS 질의 네임 길이, 요청 애플리케이션 계층 엔트로피, IP 패킷 엔트로피 및 질의 네임 엔트로피의 특징들을 포함할 수 있다. 마지막으로, 그러한 질의 기반 특징들은 로지스틱 회귀 알고리즘 및 K-평균 알고리즘에 대한 엔트로피, 길이, 문자 비율, 대문자 비율, 소문자 비율, 디지트 비율, 서브 도메인들의 수, TXT 레코드들, 대문자 카운트, 소문자 카운트, 디지트들의 수, 공간들의 수, 대시 카운트, 슬래시 카운트, 이퀄 카운트, 다른 문자 카운트 및 정규화된 엔트로피의 특징들을 포함할 수 있다.
따라서, 질의 기반 접근법 유형의 복수의 평가 알고리즘 각각은 위에서 상세히 설명된 바와 같이 질의 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
트랜잭션 기반 접근법 유형의 패밀리 내의 평가 알고리즘들은 K-최근접 이웃 알고리즘, 다층 퍼셉트론 및 지원 벡터 기계 알고리즘 중 적어도 하나를 포함할 수 있다.
이 경우, 사정은 컴퓨터화된 데이터 처리 유닛(21)을 통해, 트랜잭션 기반 특징들로서 정의될 수 있는 특징들의 트랜잭션 기반 서브세트를 정의하는 단계를 추가로 포함한다. 그러한 트랜잭션 기반 특징들은 K-최근접 이웃 알고리즘, 다층 퍼셉트론 및 지원 벡터 기계 알고리즘에 대한 DNS 패킷들 사이의 도달간 시간, DNS 질의 길이, DNS 응답 길이의 특징들을 포함할 수 있다.
따라서, 트랜잭션 기반 접근법 유형의 복수의 평가 알고리즘 각각은 위에서 상세히 설명된 바와 같이 트랜잭션 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
도메인 기반 접근법 유형의 패밀리 내의 평가 알고리즘들은 분리 포레스트 알고리즘을 포함할 수 있다.
이 경우, 사정은 도메인 기반 특징들로서 정의될 수 있는 특징들의 도메인 기반 서브세트를 컴퓨터화된 데이터 처리 유닛(21)을 통해 정의하는 단계를 추가로 포함한다. 그러한 도메인 기반 특징들은 분리 포레스트 알고리즘에 대한 문자 엔트로피, A 및 AAAA 레코드들의 레이트, 비-IP 유형 비율, 고유 질의 비율 및 볼륨, 평균 질의 길이, 및 가장 긴 의미 있는 단어의 길이와 서브도메인 길이 사이의 비율의 특징들을 포함할 수 있다.
따라서, 도메인-기반 접근법 유형의 복수의 평가 알고리즘 각각은, 위에서 상세히 설명된 바와 같이, 트랜잭션-기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
마지막으로, IP 기반 접근법 유형의 패밀리 내의 평가 알고리즘들은 결정 트리 알고리즘 및 지원 벡터 기계 알고리즘 중 적어도 하나를 포함할 수 있다.
이 경우, 사정은 컴퓨터화된 데이터 처리 유닛(21)을 통해, IP-기반 특징들로서 정의될 수 있는 특징들의 IP-기반 서브세트를 정의하는 단계를 추가로 포함한다. 그러한 IP-기반 특징들은 결정 트리 알고리즘 및 지원 벡터 기계 알고리즘에 대한 시간 간격, 패킷 크기, 서브-도메인 엔트로피 및 레코드 유형들의 특징들을 포함할 수 있다.
따라서, IP-기반 접근법 유형의 복수의 평가 알고리즘 각각은, 위에서 상세히 설명된 바와 같이, IP-기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성한다.
추가의 실시예들에 따르면, 평가 알고리즘들의 상이한 패밀리들이 또한 사용될 수 있고, 동일한 패밀리 또는 특징들 내의 상이한 평가 알고리즘들이 또한 사용될 수 있다. 더욱이, 특징들뿐만 아니라 사용될 평가 알고리즘들 및 패밀리들의 수는 기술적 요구들에 따라 변할 수 있다. 본 발명에 따른 방법 및 장치의 사용자 튜닝은 그러한 요구들을 허용할 수 있다.
특히 모든 전술한 평가 알고리즘들 및 관련 특징들을 고려하여, 다음의 작업들이 본 명세서에 참조로 포함된다.
- Asaf Nadler, Avi Aminov, and Asaf Shabtai, Detection of malicious and low throughput data exfiltration over the DNS protocol, Computers & Security, volume 80, pages 36-53, 2019.
- Kenton Born and David Gustafson, Detecting DNS tunnels using character frequency analysis, arXiv preprint arXiv:1004.4358, 2010.
- Mahmoud Sammour, Burairah Hussin, and Iskandar Othman, Comparative analysis for detecting DNS tunneling using machine learning techniques, International Journal of Applied Engineering Research, volume 12, issue 22, pages 12762-12766, 2017.
- Anirban Das, Min-Yi Shen, Madhu Shashanka, and Jisheng Wang, Detection of exfiltration and tunneling over DNS, 16th IEEE International Conference on Machine Learning and Applications (ICMLA), pages 737-742, 2017.
- Jawad Ahmed, Hassan Habibi Gharakheili, Qasim Raza, Craig Russell, and Vijay Sivaraman, Monitoring enterprise DNS queries for detecting data exfiltration from internal hosts, IEEE Transactions on Network and Service Management, volume 17, issue 1, pages 265-279, 2019.
- Franco Palau, Carlos Catania, Jorge Guerra, Sebastian Garcia, and Maria Rigaki, DNS tunneling: A deep learning based lexicographical detection approach, arXiv preprint arXiv:2006.06122, 2020.
- Chang Liu, Liang Dai, Wenjing Cui, and Tao Lin, A byte-level CNN method to detect DNS tunnels, 38th IEEE International Performance Computing and Communications Conference (IPCCC), pages 1-8, 2019.
- Maurizio Aiello, Maurizio Mongelli, and Gianluca Papaleo, DNS tunneling detection through statistical fingerprints of protocol messages and machine learning, International Journal of Communication Systems, volume 28, issue 14, pages 1987-2002, 2015.
- Enrico Cambiaso, Maurizio Aiello, Maurizio Mongelli, and Gianluca Papaleo, Feature transformation and mutual information for DNS tunneling analysis, 8th IEEE International Conference on Ubiquitous and Future Networks (ICUFN), pages 957-959, 2016.
- Maurizio Aiello, Maurizio Mongelli, Enrico Cambiaso, and Gianluca Papaleo, Profiling DNS tunneling attacks with PCA and mutual information, Logic Journal of the IGPL, volume 24, issue 6, pages 957-970, 2016.
- Maurizio Aiello, Maurizio Mongelli, Marco Muselli, and Damiano Verda, Unsupervised learning and rule extraction for domain name server tunneling detection, Internet Technology Letters, volume 2, issue 2, pages 85-90, 2019.
- Saeed Shafieian, Daniel Smith, and Mohammad Zulkernine, Detecting DNS tunneling using ensemble learning, International Conference on Network and System Security, pages 112-127, 2017.
- Jingkun Liu, Shuhao Li, Yongzheng Zhang, Jun Xiao, Peng Chang, and Chengwei Peng, Detecting DNS tunnel through binary-classification based on behavior features, IEEE Trustcom/BigDataSE/ICESS, pages 339-346, 2017.
컴퓨터화된 데이터 처리 유닛(21)은, 앞서 상세히 설명된 바와 같이, 평가 알고리즘들 중 2개 이상에 의해, 분리된 바와 같은 DNS 패킷들 각각을 사정하여 평가 알고리즘들 각각에 대한 DNS 패킷 분류를 생성한다. 사정 모듈은 추출된 특징들의 특정 서브세트, 예를 들어, 전술된 유형의 하나 이상의 특징을 이용하여, 기계 학습 알고리즘에 공급하는 벡터를 생성한다. 각각의 알고리즘은 벡터를 분류하여, 벡터에 표현된 네트워크 트래픽의 성질에 대한 그의 예측을 반환한다.
복수의 평가 알고리즘 각각은 단독 패밀리 서브세트로부터 DNS 패킷 분류를 생성한다. 특징 선택 모듈들에서, 각각의 특징 선택 모듈은 관련 패밀리 알고리즘에 따라, 추출된 특징들의 서브세트를 선택하고, 이를 각각의 평가 알고리즘에 전달한다. 이러한 동작을 위해, 각각의 알고리즘 플러그인 분류는 특정 스레드에서 실행되고, 모듈은 그의 실행을 중지하여 결과를 기다린다.
컴퓨터화된 데이터 처리 유닛(21)은 DNS 패킷 분류들을 집계하여 DNS 패킷 상태를 생성하고, DNS 패킷 상태가 임계 상태 데이터베이스에 포함될 때 임계 상태를 식별한다. 동일한 패밀리에 속하는 상이한 평가 알고리즘들의 출력들을 비교하기 위해, 결정 모듈은 상이한 유형들일 수 있는 결정 전략을 구현한다. 특히, 집계는 컴퓨터화된 데이터 처리 유닛(21)을 통해, 미리 정의된 패밀리 논리 평가에 따라 동일한 패밀리 서브세트의 DNS 패킷 분류들을 그룹화하여 DNS 패밀리 상태를 생성하는 단계를 포함할 수 있다. 동일한 방식으로, 집계는 컴퓨터화된 데이터 처리 유닛(21)을 통해, 미리 정의된 패킷 논리 평가에 따라 DNS 패밀리 상태를 그룹화하여 DNS 패킷 상태를 생성하는 단계를 포함할 수 있다.
따라서, 본 발명에 따른 방법은 사용되는 평가 알고리즘들의 상이한 패밀리들로부터 구성되는 상이한 성질의 평가를 집계하는 것을 가능하게 한다.
미리 정의된 패킷-분류 평가는 과반수 투표 평가를 포함할 수 있으며, DNS 패킷 상태는 DNS 패밀리 상태의 과반수의 상태에 의해 정의되고, 임계 상태는 DNS 패밀리 상태의 과반수가 임계 상태와 관련될 때 식별된다. 따라서, 이 경우, 과반수 투표 평가는 수반되는 평가 알고리즘들 각각을 동등하게 밸런싱할 수 있게 한다.
또한, 추가적으로 또는 대안적으로, 미리 정의된 패킷-분류 평가는 스코어 투표 평가를 포함할 수 있고, 여기서 스코어는 DNS 패킷 분류들에 할당되고, DNS 패킷 상태는 동종 상태들을 합산함으로써 더 큰 스코어의 상태에 의해 정의되고, 임계 상태는 더 큰 스코어가 임계 상태와 관련될 때 식별된다. 이 경우, 각각의 DNS 패킷 분류를 스코어링함으로써, 수반된 각각의 평가 알고리즘들에 대해 상이한 가중치 및 중요도를 정의하는 것이 또한 가능하다.
마지막으로, 추가적으로 또는 대안적으로, 미리 정의된 패킷-분류 평가는 이블-윈 평가를 포함하고, 여기서 DNS 패킷 상태는 적어도 하나의 DNS 패밀리 상태가 선택된 상태에 대응하는 경우 선택된 상태에 의해 정의되며, 임계 상태는 선택된 상태가 임계 상태와 관련될 때 식별된다. 이 경우에, 이블-윈 평가는 임계 상태의 더 강한 식별로 접근하며, 여기서는 높은 거짓 양성률이 허용될 수 있다.
미리 정의된 패킷-분류 평가의 선택은 원하는 성능들에 의존한다. 실제로, 테스트 단계 동안, 아키텍처는 이하의 메트릭들을 고려하여 특정 요구들에 따라 튜닝될 수 있다.
- 참 양성(TP), 터널을 포함하고 임계로서 올바르게 분류되는 입력들의 수;
- 참 음성(TN), 터널을 포함하지 않고 임계가 아닌 것으로 올바르게 분류되는 입력들의 수;
- 거짓 양성(FP), 터널을 포함하지 않고 임계로서 잘못 분류되는 입력들의 수;
- 거짓 음성(FN), 터널을 포함하고 임계가 아닌 것으로 잘못 분류되는 입력들의 수;
- 정확도, (TP+TN)/(TP+TN+FP+FN)인, 총 입력들 상의 올바르게 분류된 입력들의 수.
적절한 정확도 마진을 유지하면서, 결정 로직은 거짓 음성의 수 또는 거짓 양성의 수를 특권화하도록 선택될 수 있다. 예를 들어, 이블-윈 결정 로직의 선택은 터널 공격을 검출할 가능성을 더 신중하게 증가시키지만, 거짓 양성들의 수도 증가시킨다. 거짓 양성들과 거짓 음성들 사이의 타협은 사용자에게 위임되는 결정이다.
집계기 모듈은 또한 임계 상태에 관한 결정을 그룹화하는 데 사용될 수 있다. 이 모듈은 상이한 패밀리들에 속하는 경보들 및 인간 오퍼레이터에게 그의 상황 인식을 향상시키는 데 유용한 정보를 보여주는 그래픽 사용자 인터페이스에 의해 표현될 수 있다.
이하에서는 예가 상세히 설명된다. 복수의 DNS 패킷이 네트워크 분석기(11)에 의해 수집되고, 특징 추출 모듈의 큐에 넣어진다. 각각의 패킷은 동일한 네트워크 분석기(11)에 의해 분석되고, 그것이 특정 도메인에 대한 요청을 포함하는 경우, 그것은 특정 큐에 전송된다. 특징들은 이 큐에 걸쳐 한 번에 하나씩, 예를 들어, 분당 하나씩 계산된다. 많은 상이한 특징들이 추출될 수 있고, 그 중에는 패킷들의 수, 평균 길이, 특정 질의 유형의 빈도, 및 요청과 응답 사이의 평균 도달간 시간이 있다. 그 후에, 특징 선택 모듈들은 고려된 ML 평가 알고리즘들에, 컴퓨터화된 데이터 처리 유닛(21)에 의해 적절하게 선택된 특징들을 공급한다. 예를 들어, 알고리즘 1(예를 들어, 분리 포레스트 알고리즘)은 처음 3개의 언급된 특징만을 이용한다. 3개의 특징의 이러한 벡터는 자신의 예측을 반환하는 알고리즘 1에 전송된다. 한편, 특징들의 상이한 서브세트를 이용하는 알고리즘 2(예를 들어, 신경망)은 동일한 작업을 수행하였다. 알고리즘 1은 DNS 터널을 인지하는 반면, 알고리즘 2는 어떠한 공격도 인지하지 않는다.
결정 모듈은 이블-윈 평가와 같은 상이한 패킷 분류 평가에 따라 작동할 수 있다. 그 경우, 알고리즘 1이 DNS 터널을 인지했기 때문에, 컴퓨터화된 데이터 처리 유닛(21)은 특징들이 계산된 도메인을 수반하는 DNS 터널 공격이 시간 "t"에서 인지되었음을 강조하는 경보를 전송한다. 따라서, 컴퓨터화된 데이터 처리 유닛(21)은 분석된 데이터 패킷의 임계 상태에 관한 경보를 제공한다.
패밀리당 1개보다 많은 평가 알고리즘이 이용되는 경우, 컴퓨터화된 데이터 처리 유닛(21)은 동일한 패밀리 서브세트의 DNS 패킷 분류들을 그룹화함으로써 각 패밀리에 대한 DNS 패밀리 상태를 계산한다. 그 후, 컴퓨터화된 데이터 처리 유닛(21)은 각각의 패밀리에 1개의 평가 알고리즘을 갖는 간단한 설명과 유사한 방식으로 상기 DNS 패밀리 상태를 그룹화함으로써 DNS 패킷 상태의 계산을 진행한다.
본 발명에 따른, 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법 및 장치는 전술한 단점들을 최소화할 수 있다.
이들은 복수의 평가 알고리즘을 통해 DNS 오용의 큰 부분을 식별하여, 모든 평가 알고리즘들로부터 이익들을 취하고 관련 단점들을 최소화하는 것을 가능하게 한다.
따라서, 본 발명에 따른 방법 및 장치는 다수의 데이터 패킷을 수집하여 복수의 동작을 동시에 제공하는 모듈형의 확장가능하고 질의가능한 아키텍처를 정의한다.
방법 및 장치는 데이터 패킷들의 수에 관계없이 질의들을 수락하는 확장가능한 수의 기계들에 분산될 수 있다.

Claims (15)

  1. 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 방법으로서,
    - 상기 네트워크에 접속된 네트워크 분석기(11)를 통해, 상기 네트워크에서 교환되는 각각의 데이터 패킷을 분석하는 단계;
    - 상기 네트워크 분석기(11)를 통해, 상기 분석된 데이터 패킷들 각각으로부터 관련 DNS 패킷을 분리하는 단계;
    - 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 DNS 패킷들 각각을 평가하여 DNS 패킷 상태를 생성하는 단계;
    - 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 DNS 패킷 상태가 임계 상태를 정의할 때 상기 DNS 트래픽의 이상을 시그널링하는 단계를 포함하고;
    상기 평가는:
    - 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 복수의 평가 알고리즘에 의해 상기 DNS 패킷 각각을 사정하여 상기 평가 알고리즘들 각각에 대한 DNS 패킷 분류를 생성하는 단계;
    - 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 DNS 패킷 분류들을 집계하여 상기 DNS 패킷 상태를 생성하는 단계를 더 포함하고;
    상기 임계 상태는 상기 DNS 패킷 상태가 저장 매체(31)에 저장된 임계 상태 데이터베이스에 포함될 때 식별되는, 방법.
  2. 제1항에 있어서, 상기 분리는 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 DNS 패킷 각각으로부터 모든 특징들을 추출하는 단계를 추가로 포함하고,
    상기 사정은 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 특징들의 복수의 패밀리 서브세트를 정의하는 단계를 추가로 포함하고,
    상기 복수의 평가 알고리즘 각각은 단독 패밀리 서브세트로부터 DNS 패킷 분류를 생성하는, 방법.
  3. 제2항에 있어서, 상기 집계는 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 미리 정의된 패밀리 논리 평가에 따라 동일한 패밀리 서브세트의 상기 DNS 패킷 분류들을 그룹화하여 DNS 패밀리 상태를 생성하는 단계를 추가로 포함하고,
    상기 집계는 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 미리 정의된 패킷 논리 평가에 따라 상기 DNS 패밀리 상태를 그룹화하여 상기 DNS 패킷 상태를 생성하는 단계를 추가로 포함하는, 방법.
  4. 제3항에 있어서, 상기 미리 정의된 패킷 분류 평가는 과반수 투표 평가를 포함하고,
    상기 DNS 패킷 상태는 상기 DNS 패밀리 상태의 과반수의 상태에 의해 정의되고,
    상기 임계 상태는 상기 DNS 패밀리 상태의 상기 과반수가 상기 임계 상태와 관련될 때 식별되는, 방법.
  5. 제3항 또는 제4항에 있어서, 상기 미리 정의된 패킷 분류 평가는 스코어 투표 평가를 포함하고,
    스코어가 상기 DNS 패킷 분류들에 할당되고, 상기 DNS 패킷 상태는 동종 상태들을 합산함으로써 더 큰 스코어의 상태에 의해 정의되고,
    상기 임계 상태는 상기 더 큰 스코어가 상기 임계 상태와 관련될 때 식별되는, 방법.
  6. 제3항 내지 제5항 중 어느 한 항에 있어서, 상기 미리 정의된 패킷 분류 평가는 이블-윈 평가를 포함하고,
    상기 DNS 패킷 상태는 적어도 하나의 DNS 패밀리 상태가 선택된 상태에 대응하는 경우에 상기 선택된 상태에 의해 정의되고,
    상기 임계 상태는 상기 선택된 상태가 상기 임계 상태와 관련될 때 식별되는, 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 평가 알고리즘들은 질의 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
    상기 사정은 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 특징들의 질의 기반 서브세트를 정의하는 단계를 추가로 포함하고,
    질의 기반 접근법 유형의 상기 복수의 평가 알고리즘 각각은 상기 질의 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성하는, 방법.
  8. 제7항에 있어서, 질의 기반 접근법 유형의 상기 알고리즘들은 분리 포레스트 알고리즘, 지원 벡터 기계 알고리즘, J48 알고리즘, 나이브 베이즈 알고리즘, 로지스틱 회귀 알고리즘 및 K-평균 알고리즘 중 적어도 하나를 포함하는, 방법.
  9. 제1항 내지 제8항 중 어느 한 항에 있어서, 상기 평가 알고리즘들은 트랜잭션 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
    상기 사정은 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 특징들의 트랜잭션 기반 서브세트를 정의하는 단계를 추가로 포함하고,
    트랜잭션 기반 접근법 유형의 상기 복수의 평가 알고리즘 각각은 상기 트랜잭션 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성하는, 방법.
  10. 제9항에 있어서, 트랜잭션 기반 접근법 유형의 상기 알고리즘들은 K-최근접 이웃 알고리즘, 다층 퍼셉트론 및 지원 벡터 기계 알고리즘 중 적어도 하나를 포함하는, 방법.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서, 상기 평가 알고리즘들은 도메인 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
    상기 사정은 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 특징들의 도메인 기반 서브세트를 정의하는 단계를 추가로 포함하고,
    도메인 기반 접근법 유형의 상기 복수의 평가 알고리즘 각각은 상기 도메인 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성하는, 방법.
  12. 제11항에 있어서, 도메인 기반 접근법 유형의 상기 알고리즘들은 분리 포레스트 알고리즘을 포함하는, 방법.
  13. 제1항 내지 제12항 중 어느 한 항에 있어서, 상기 평가 알고리즘들은 IP 기반 접근법 유형의 적어도 하나의 알고리즘을 포함하고,
    상기 사정은 상기 컴퓨터화된 데이터 처리 유닛(21)을 통해, 상기 특징들의 IP 기반 서브세트를 정의하는 단계를 추가로 포함하고,
    IP 기반 접근법 유형의 상기 복수의 평가 알고리즘 각각은 상기 IP 기반 서브세트의 하나 이상의 특징으로부터 DNS 패킷 분류를 생성하는, 방법.
  14. 제13항에 있어서, IP 기반 접근법 유형의 상기 알고리즘들은 결정 트리 알고리즘 및 지원 벡터 기계 알고리즘 중 적어도 하나를 포함하는, 방법.
  15. 네트워크에서 DNS 트래픽의 이상들을 검출하기 위한 장치(1)로서,
    상기 네트워크에 접속될 네트워크 분석기(11), 상기 네트워크 분석기(11)에 동작가능하게 접속된 컴퓨터화된 데이터 처리 유닛(21), 및 상기 컴퓨터화된 데이터 처리 유닛(21)에 동작가능하게 접속된 저장 매체(31)를 포함하고,
    상기 네트워크 분석기(11)는, 사용 시에, 상기 네트워크에서 교환되는 각각의 데이터 패킷을 분석하고, 상기 분석된 데이터 패킷들 각각으로부터 관련 DNS 패킷을 분리하며,
    상기 컴퓨터화된 데이터 처리 유닛(21)은, 사용 시에, 상기 DNS 패킷들 각각을 평가하여 DNS 패킷 상태를 생성하고, 상기 DNS 패킷 상태가 임계 상태를 정의할 때 상기 DNS 트래픽의 이상을 시그널링하며,
    상기 저장 매체(31)는 복수의 평가 알고리즘 및 임계 상태 데이터베이스를 저장하고,
    상기 컴퓨터화된 데이터 처리 유닛(21)은 상기 복수의 평가 알고리즘에 의해 상기 DNS 패킷 각각을 사정하여, 상기 평가 알고리즘들 각각에 대한 DNS 패킷 분류를 생성하고, 상기 DNS 패킷 분류들을 집계하여 상기 DNS 패킷 상태를 생성하며,
    상기 컴퓨터화된 데이터 처리 유닛(21)은 상기 DNS 패킷 상태가 상기 임계 상태 데이터베이스에 포함될 때 임계 상태를 식별하는, 장치.
KR1020210183690A 2020-12-26 2021-12-21 Dns 트래픽의 이상들을 검출하기 위한 방법 및 장치 KR20220093034A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/134,336 2020-12-26
US17/134,336 US11722504B2 (en) 2020-12-26 2020-12-26 Method and apparatus for detecting anomalies of a DNS traffic

Publications (1)

Publication Number Publication Date
KR20220093034A true KR20220093034A (ko) 2022-07-05

Family

ID=79164491

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210183690A KR20220093034A (ko) 2020-12-26 2021-12-21 Dns 트래픽의 이상들을 검출하기 위한 방법 및 장치

Country Status (3)

Country Link
US (1) US11722504B2 (ko)
EP (1) EP4020887A1 (ko)
KR (1) KR20220093034A (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11902084B2 (en) * 2022-06-29 2024-02-13 CybXSecurity LLC System, method, and computer program product for detecting an anomaly in network activity

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI439095B (zh) * 2010-01-22 2014-05-21 Univ Nat Taiwan Science Tech 網路攻擊偵測裝置以及方法
WO2016164050A1 (en) * 2015-04-10 2016-10-13 Hewlett Packard Enterprise Development Lp Network anomaly detection
WO2017039591A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a dns packet is malicious
US10887330B2 (en) * 2015-12-15 2021-01-05 Flying Cloud Technologies, Inc. Data surveillance for privileged assets based on threat streams
US10075458B2 (en) * 2016-04-29 2018-09-11 International Business Machines Corporation Cognitive and contextual detection of malicious DNS
US10362044B2 (en) * 2017-08-08 2019-07-23 International Business Machines Corporation Identifying command and control endpoint used by domain generation algorithm (DGA) malware
US11470101B2 (en) * 2018-10-03 2022-10-11 At&T Intellectual Property I, L.P. Unsupervised encoder-decoder neural network security event detection
US10834114B2 (en) * 2018-12-13 2020-11-10 At&T Intellectual Property I, L.P. Multi-tiered server architecture to mitigate malicious traffic
CN110266647B (zh) * 2019-05-22 2021-09-14 北京金睛云华科技有限公司 一种命令和控制通信检测方法及系统
US11631015B2 (en) * 2019-09-10 2023-04-18 Bombora, Inc. Machine learning techniques for internet protocol address to domain name resolution systems
US11606385B2 (en) * 2020-02-13 2023-03-14 Palo Alto Networks (Israel Analytics) Ltd. Behavioral DNS tunneling identification
US11811820B2 (en) * 2020-02-24 2023-11-07 Palo Alto Networks (Israel Analytics) Ltd. Malicious C and C channel to fixed IP detection
US20210266293A1 (en) * 2020-02-24 2021-08-26 Palo Alto Networks, Inc. Real-time detection of dns tunneling traffic

Also Published As

Publication number Publication date
EP4020887A1 (en) 2022-06-29
US20220210170A1 (en) 2022-06-30
US11722504B2 (en) 2023-08-08

Similar Documents

Publication Publication Date Title
US11463457B2 (en) Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
US20210019674A1 (en) Risk profiling and rating of extended relationships using ontological databases
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US20200412767A1 (en) Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks
CN110431817B (zh) 识别恶意网络设备
US8676965B2 (en) Tracking high-level network transactions
US11985142B2 (en) Method and system for determining and acting on a structured document cyber threat risk
Vinayakumar et al. DBD: Deep learning DGA-based botnet detection
US11997122B2 (en) Systems and methods for analyzing cybersecurity events
Nimbalkar et al. Semantic interpretation of structured log files
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
EP3972315A1 (en) Network device identification
Fallah et al. Android malware detection using network traffic based on sequential deep learning models
Yu Beng et al. A survey of intrusion alert correlation and its design considerations
Bai et al. Refined identification of hybrid traffic in DNS tunnels based on regression analysis
KR20220093034A (ko) Dns 트래픽의 이상들을 검출하기 위한 방법 및 장치
Jafar et al. Analysis and investigation of malicious DNS queries using CIRA-CIC-DoHBrw-2020 dataset
Liu et al. Network anomaly detection system with optimized DS evidence theory
Sargent et al. On the power and limitations of detecting network filtering via passive observation
Shim et al. Effective behavior signature extraction method using sequence pattern algorithm for traffic identification
Lin et al. Correlation of cyber threat intelligence with sightings for intelligence assessment and augmentation
Santosa et al. Analysis of educational institution DNS network traffic for insider threats
Jeng et al. MD‐MinerP: Interaction Profiling Bipartite Graph Mining for Malware‐Control Domain Detection
CN112564928A (zh) 服务分类方法及设备、互联网系统
Tafazzoli et al. A proposed architecture for network forensic system in large-scale networks