네트워크 이상 탐지
(Network Anomaly Detection)

문제해결형 인력양성사업
기간 : 2006.12 - 2008.11

지원기관 : 한국학술진흥재단
참여기업:팬타시큐리티시스템(주)
 

연구 목표
 현대 사회는 컴퓨터 시스템과 인터넷에 더욱 의존하게 되고 있는 상태다. 따라서 인터넷에서 발생되는 예상치 못한 상황은 일부 사용자나 사업자에게 피해를 줄 뿐만 아니라, 사회적인 문제를 일으키기도 한다. 이러한 인터넷의 특성을 분석하기 위한 인터넷 측정(Internet Measurement) 분야의 주요 목적에는 상업적(Commercial), 사회적(Social), 기술적(Technical) 이유가 있다. 네트워크 이상 탐지(Network Anomaly Detection)의 필요성은 인터넷 측정(Internet Measurement)의 기술적 이유에 해당한다. 즉, 인터넷의 기반이 되는 프로토콜(Protocol)이나 라우터(Router), 운영체제(Operating System) 등의 예상치 못한 동작이나 취약성(Vulnerability)이 네트워크 이상(Network Anomaly)의 주요 원인이 된다. 이러한 문제점을 찾아내는 것이 본 연구에서 수행할 네트워크 이상 탐지(Network Anomaly Detection)의 목적이다.
 
연구 내용
 백본 네트워크에서 수집된 1.5TB 분량의 인터넷 트래픽을 기반으로 인터넷 트래픽의 특성을 분석한다. 대용량의 트래픽을 효과적으로 다루기 위해 트래픽 샘플링(Traffic Sampling) 기법이 많이 사용되고 있으나 본 연구에서는 샘플링 되지 않은 트래픽을 기반으로 연구하고 있다. 원본 데이터를 보유한 이점을 살려 샘플링이 인터넷 측정 연구에 미치는 영향을 분석한다. 또한 트래픽에서 발견되는 이상 트래픽(Anomalous Traffic)들로부터 DoS(Denial-of-Service) 및 DDoS(Distributed DoS) 공격과 웜 바이러스(Worm Virus)의 특성을 분석한다. 분석 항목에는 패킷 개수(Packet Count), 패킷 크기(Packet Size), 트래픽 크기(Traffic Size), 엔트로피(Entropy) 등이 있으며, 주요한 데이터 분석 기법에는 K-means Clustering, PCA(Principal Component Analysis), TDG(Traffic Dispersion Graph) 등이 있다. 이외에도 다양한 데이터 마이닝(Data Mining) 기법을 활용하여 효과적인 이상 탐지 기법을 개발한다. 나아가 장기적인 목표로, 개발된 네트워크 장비를 벤치마킹 할 수 있는 이상 워크로드 생성도구를 개발할 예정이다. 본 연구에서 수행했거나 진행 중인 연구 결과의 일부는 그림 1과 2로 나타내었다.
 


그림 1 기본적인 DoS 공격 분석의 예
 


그림 2 TDG를 활용한 Worm Virus 탐지의 예