최근 컴퓨터 및 네트워크의 발전과 동시에 백신의 탐지를 피하기 위해 해커들은 다양한 변 종 악성코드를 생산하고 있다. 악성 패킷 탐지는 일반적으로 코드의 특징을 가지고 탐색하는 방법을 이용한다. 패킷은 포트 번호 및 헤더 정보가 존재하며 이는 어떠한 특징 및 패턴을 가 지고 있다. 빠르게 진화 하면서 강해지는 네트워크 공격에 비해 현재 탐지 시스템은 공격에 즉각적으로 대응하기는 어려운 상황이다. DDoS 공격 중 가장 대표적인 flooding 공격의 피해 사례가 급속도로 증가하고 있으며 많은 피해가 발생하고 있다. 이러한 상황에서 최근 딥 러닝 기술이 나오면서 새로운 탐지 기법들이 연구되고 있다. 딥 러닝은 금융, ...
최근 컴퓨터 및 네트워크의 발전과 동시에 백신의 탐지를 피하기 위해 해커들은 다양한 변 종 악성코드를 생산하고 있다. 악성 패킷 탐지는 일반적으로 코드의 특징을 가지고 탐색하는 방법을 이용한다. 패킷은 포트 번호 및 헤더 정보가 존재하며 이는 어떠한 특징 및 패턴을 가 지고 있다. 빠르게 진화 하면서 강해지는 네트워크 공격에 비해 현재 탐지 시스템은 공격에 즉각적으로 대응하기는 어려운 상황이다. DDoS 공격 중 가장 대표적인 flooding 공격의 피해 사례가 급속도로 증가하고 있으며 많은 피해가 발생하고 있다. 이러한 상황에서 최근 딥 러닝 기술이 나오면서 새로운 탐지 기법들이 연구되고 있다. 딥 러닝은 금융, 소셜 네트워크, 의료 등 여러 분야에서 각광 받고 있으며 계속해서 빠르게 진화하는 악성 코드에 대한 방어책으로 보안 분야에서도 딥 러닝은 관심 분야이다. 기존의 탐지 시스템은 공격이 발생 후 그 사이의 시간차가 있었지만 현재는 딥 러닝을 활용하여 침입 방지 및 분류 등 다양한 보안 기술에 적 용하기 위해서 많은 연구가 이루어지고 있다. 본 논문에서는 DDoS 공격 중 하나인 TCP SYN flood 공격을 탐지하기 위해 직접 SYN flood 공격을 수행하여 데이터를 생성하고, 공격의 특징을 추출해 공격 패킷과 일반 패킷을 분류하고 탐지하는 시스템을 제안하였다. 시퀀스 데이터를 처리하기 위해서 딥 러닝 모델 중 하나인 LSTM을 사용하였다. 가상 머신 환경에서 hping3 툴을 사용하여 직접 패킷을 생성하 여 데이터 셋으로 사용한다. LSTM을 이용하여 TCP SYN flood 공격의 특징인 목적지 IP 주 소는 모두 동일하고, TCP, 그리고 SYN 메시지를 가지고 있다는 특징으로 전처리 과정에서 딥 러닝 모델에 사용할 수 있게 데이터셋을 가공하여 모델이 패턴을 학습하고 패킷 카운팅을 사용하여 탐지하는 시스템을 제안한다.
최근 컴퓨터 및 네트워크의 발전과 동시에 백신의 탐지를 피하기 위해 해커들은 다양한 변 종 악성코드를 생산하고 있다. 악성 패킷 탐지는 일반적으로 코드의 특징을 가지고 탐색하는 방법을 이용한다. 패킷은 포트 번호 및 헤더 정보가 존재하며 이는 어떠한 특징 및 패턴을 가 지고 있다. 빠르게 진화 하면서 강해지는 네트워크 공격에 비해 현재 탐지 시스템은 공격에 즉각적으로 대응하기는 어려운 상황이다. DDoS 공격 중 가장 대표적인 flooding 공격의 피해 사례가 급속도로 증가하고 있으며 많은 피해가 발생하고 있다. 이러한 상황에서 최근 딥 러닝 기술이 나오면서 새로운 탐지 기법들이 연구되고 있다. 딥 러닝은 금융, 소셜 네트워크, 의료 등 여러 분야에서 각광 받고 있으며 계속해서 빠르게 진화하는 악성 코드에 대한 방어책으로 보안 분야에서도 딥 러닝은 관심 분야이다. 기존의 탐지 시스템은 공격이 발생 후 그 사이의 시간차가 있었지만 현재는 딥 러닝을 활용하여 침입 방지 및 분류 등 다양한 보안 기술에 적 용하기 위해서 많은 연구가 이루어지고 있다. 본 논문에서는 DDoS 공격 중 하나인 TCP SYN flood 공격을 탐지하기 위해 직접 SYN flood 공격을 수행하여 데이터를 생성하고, 공격의 특징을 추출해 공격 패킷과 일반 패킷을 분류하고 탐지하는 시스템을 제안하였다. 시퀀스 데이터를 처리하기 위해서 딥 러닝 모델 중 하나인 LSTM을 사용하였다. 가상 머신 환경에서 hping3 툴을 사용하여 직접 패킷을 생성하 여 데이터 셋으로 사용한다. LSTM을 이용하여 TCP SYN flood 공격의 특징인 목적지 IP 주 소는 모두 동일하고, TCP, 그리고 SYN 메시지를 가지고 있다는 특징으로 전처리 과정에서 딥 러닝 모델에 사용할 수 있게 데이터셋을 가공하여 모델이 패턴을 학습하고 패킷 카운팅을 사용하여 탐지하는 시스템을 제안한다.
Recently, hackers are producing a variety of malicious code to avoid detection of vaccines at the same time as the development of computers and networks. Detection of malicious code generally uses a detection method based on the characteristics of the code. A packet has a port number and...
Recently, hackers are producing a variety of malicious code to avoid detection of vaccines at the same time as the development of computers and networks. Detection of malicious code generally uses a detection method based on the characteristics of the code. A packet has a port number and header information, which have certain characteristics and patterns. Compared to the rapidly evolving network attacks, it is difficult for the detection system to respond to attacks immediately. Recently, deep learning has been attracting in various fields such as finance, social network, and medical care. Deep learning is also an interest in the field of security as a defense against DDoS attack which continues to evolve rapidly. Existing detection systems have a time lag after the attack, but nowadays many research have been made to apply them to various security technologies such as intrusion prevention and classification using deep learning. In this paper, we propose a system that efficiently classifies and detects DDoS attack traffic packets by extracting attack characteristics to detect TCP SYN Flood attack, which is one of the DDoS attacks. One of the deep learning algorithms LSTM was used to process the sequence data. In the virtual machine environment, a TCP SYN Flood packet was directly generated using the hping3 tool and used as a data set. Using the LSTM, the destination IP address, which is characteristic of Flood attack, is the same, TCP, and SYN message. It is designed to be used for the deep learning model in the preprocessing process. We propose a system to detect using packet counting.
Recently, hackers are producing a variety of malicious code to avoid detection of vaccines at the same time as the development of computers and networks. Detection of malicious code generally uses a detection method based on the characteristics of the code. A packet has a port number and header information, which have certain characteristics and patterns. Compared to the rapidly evolving network attacks, it is difficult for the detection system to respond to attacks immediately. Recently, deep learning has been attracting in various fields such as finance, social network, and medical care. Deep learning is also an interest in the field of security as a defense against DDoS attack which continues to evolve rapidly. Existing detection systems have a time lag after the attack, but nowadays many research have been made to apply them to various security technologies such as intrusion prevention and classification using deep learning. In this paper, we propose a system that efficiently classifies and detects DDoS attack traffic packets by extracting attack characteristics to detect TCP SYN Flood attack, which is one of the DDoS attacks. One of the deep learning algorithms LSTM was used to process the sequence data. In the virtual machine environment, a TCP SYN Flood packet was directly generated using the hping3 tool and used as a data set. Using the LSTM, the destination IP address, which is characteristic of Flood attack, is the same, TCP, and SYN message. It is designed to be used for the deep learning model in the preprocessing process. We propose a system to detect using packet counting.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.