플로우 연관성 기반의 연속적 그룹핑을 통한 악성 트래픽 탐지 방법

Abstract

오늘 날 비약적으로 증가하는 네트워크 환경에 따라서 악성 트래픽의 공격도 점점 정교해지고 복잡해지고 있다. 이러한 공격에 대한 피해를 줄이고 예방하기 위해서는 악성 트래픽에 대한 정확한 분석이 필요하다. 네트워크 트래픽 분석 방법 중 가장 널리 알려진 방법으로 시그니처 기반 분석 방법과 기계 학습 기반 분석 방법이 있다. 이두 가지 방법은 모두 높은 정확성과 탐지율의 장점이 있지만 과정이 복잡하고 요구 조건을 충족 시켰을 때만 가능하다는 단점이 있다. 그래서 최근에는 플로우에 대한 통계적, 헤더 정보를 바탕으로 연관성을 계산하고, 연관성값을 바탕으로 탐지를 하는 방법이 연구되고 있다. 여기서 통계적 정보로 패킷 크기 등이 있으며, 헤더 정보로는플로우의 출발지, 도착지 IP 주소와 포트번호, 프로토콜로 구성 된 플로우의 5-tuples 정보를 사용한다. 하지만 기존의 두 가지 정보 모두 사용하는 방법에서 플로우의 통계적 정보를 구할 때 많은 시간과 비용이 들기 때문에 실제 환경에서 적용하기 어렵다는 단점이 있다. 따라서 본 논문에서는 플로우의 헤더 정보만으로 플로우 간의 연관성을 계산하여, 연관성을 기준으로 악성 트래픽을 탐지하는 방법에 대해 제안한다. 본 논문의 타당성을 검증하기위해서 실제 악성 트래픽을 사용하여 실험을 진행 하였으며, 플로우의 두 가지 정보를 사용하는 이전 방법과 비교한 결과 탐지율에서 5~30% 정도 향상 된 결과가 나타났다