확률분포거리 기반 분류에 의한 악성 봇과 웜 탐지패턴 자동 생성 = Automatic generation of detection patterns for malicious bots and worms by classification based on probability distribution distance
근래의 해킹 기법들은 기존보다 정교한 기술력을 바탕으로 더욱 악성화 되어 감은 물론 그 피해 규모는 방대해지고 있으며, 인터넷의 활발한 보급과 맞물려서 그 위력은 배가 되고 있다. 특히 시스템에서 활동하던 바이러스들은 인터넷을 통하여 그 숙주를 스스로 찾아 감염시킬 수 있도록 진화되었으며, 이들 웜 바이러스들은 오늘날 인터넷의 발달을 저해하는 최대의 골칫거리로 부상한지 오래다. 하지만 기존의 웜도 이제는 공격을 위한 수단에 불과하게 되었다. 각종 보안 시스템에 노출된 공격자들은 이들의 추적이 쉽지 않도록 공격 경유지로 이용할 수 있는 수많은 컴퓨터들의 확보를 갈망하였고, 웜은 이들의 목적을 위한 충분한 구실로서 활용 가치를 보이고 있다. 이러한 경향으로 최근 악성 봇에 의한 공격 기법들이 등장하게 되었으며 이미 그 피해는 급격히 증가되고 있다.
일반적으로 악성 코드의 탐지 기술 경향은 시스템 레벨에서의 바이러스 탐지 기법으로서 시그니처 기반의 탐지에 주로 의존하여 왔으며, 모든 종류의 변종 바이러스들에 대해 각각의 공격 시그니처를 보유하기 위하여 주기적으로 엔진 업데이트를 수행해야하는 어려움이 따르고 있다. 반면 네트워크 레벨에서 악성 코드를 수반하는 공격 데이터를 탐지하기 위한 기법으로는 최근 대두되고 있는 바이러스월이 있을 수 있다. 하지만 이도 시스템 레벨에서와 마찬가지로 페이로드 데이터에 감춰진 공격 시그니처를 분석하여 탐지하는 방법을 이용하므로 같은 단점을 지니게 되고 또한 고성능 네트워크 환경에서 모든 패킷의 페이로드 데이터를 분석하고 탐지하는 것은 성능 저하를 수반하게 된다.
본 논문에서는 네트워크 레벨에서 봇과 웜 바이러스들의 행위 정보들을 분석하고 훈련을 통하여 학습된 공격의 특징을 찾아내어 탐지 규칙을 생성한다. 여러 패킷들에 단편화 되어 있는 공격 정보들을 통합 분석하기 위하여 TCP 스트림을 구성하는 세션 데이터를 탐지 단위로 하였으며, 이들 하나의 연결이 가지는 정보들을 척도로서 활용하였다. 특히 프로토콜의 헤더 정보만을 활용하여 탐지 척도를 추출함으로써 성능 저하를 최소화 하였으며, 이 중 공격에 유용한 척도만을 최종 선정하기 위하여 공격과 정상행위 척도들 사이의 확률분포거리에 기반하여 선정 기준을 제시하였고, 이때 확률분포 사이의 거리 계산 방법으로는 쿨백-라이블러 거리(Kullback-Leibler Distance)를 이용하였다. 그리고 이들 척도들이 가지는 값의 분포를 토대로 데이터 마이닝의 분류 기법에 속하는 의사결정나무 알고리즘 가운데, 이산적 척도와 연속적 척도의 다진 분리가 가능한 C4.5 알고리즘을 이용하여 공격별 규칙 기반의 탐지패턴을 자동적으로 생성하였다.
본 논문에서 제안한 방법의 정확성과 성능 검증 실험을 통하여, 봇과 웜 각각에서 99.47%와 98.86%의 탐지 결과와 87.69%와 94.94%의 분류 결과를 보였으며 봇과 웜을 혼합한 실험에서는 99.69%의 탐지 결과와 88.31%의 분류 결과를 보임으로서 효과적인 성능을 나타냈음을 알 수 있었다. 그리고 학습에 사용되지 않은 새로운 봇과 웜에 대한 탐지 실험에서도 봇과 웜 각각에서 98.83%와 97.44%의 탐지 결과와 59.23%와 44.68%의 분류 결과를 보였으며 봇과 웜을 혼합한 실험에서는 99.06%의 탐지 결과와 46.69%의 분류 결과를 보임으로서 분류율은 개선시켜야 할 필요가 있었지만 알려지지 않은 공격이라는 측면에서 그 탐지율에 있어서는 이상적인 성능을 발휘하였음을 입증하였다. 또한 탐지 척도의 선정이 생성된 규칙의 정확성과 탐지 효율성에 미치는 영향을 확인해 볼 수 있었다.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)