선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 이는 통계량 단위시간 당 평균 트래픽 양(volume) 인 AVG(t, t+to) 이나 MAX > MAXo 과 같은 최대 트래픽의 양(MAX)을 비교함으로써 구할 수 있다. 그러나 단기간에 트래픽의 통계값이 일시적으로 커질 수 있으므로 본 논문에서는 허스트 파라메터가 통계적 현상의 지속성에 대한 척도이고 확률과정의 장기간 의존성의 길이에 대한 척도이므로 네트워크 트래픽에 있어서 자기유사성의 변화로 탐지하고자 한다. 즉 자기유사성을 보이는 네트워크 환경에서 비정상적인 다수의 트래픽 증가는 트래픽의 자기 유사성에 영향을 미칠 수 있다는 것에 중점을 두어 비정상적인 네트워크 트래픽에 의해 야기되는 자기유사성의 변화를 분석한다.
- 해킹, 웜에 의한 개인정보의 유출 방지에 관한 연구에 있어서 대규모의 네트워크(global network) 에서 웜의 탐지 연구[1]는 있었지만 사내망에서 기술적인 방법에 의한 개인정보 유출의 방지에 대한 연구는 거의 없었다. 따라서 본 논문에서는 대규모뿐만 아니라 소규모의 망에서도 유용하며 네트워크 취약점을 이용하여 악성코드들이 침입함으로써 개인정보를 유출하고자 할 때 네트워크 트래픽의 자기 유사성 및 통계적 특성 분석을 통해 공격 징후를 조기에 감지함으로써 개인정보의 유줄을 방지하는 방법을 제안하고자 한다. 본 논문에서는 정상적인 상태에서 네트워크 트래픽을 조사 분석하여 트래픽의 특성을 살펴본 후, 개인정보를 유출하는 비정상 상태를 야기하는 악성코드들이 네트워크 트래픽에 어떤 영향을 끼치는지 트래픽의 특성 변화를 살핌으로써 해킹으로부터 개인정보를 보호할 수 있도록 한다.
- 스캐닝을 통하여 공격 대상을 무작위로 선정하는 방법과 메타서버 (metaserver) 의 공격취약성을 갖는 호스트 목록, 미리 생성되어 있는 hit 목록, 또는 이론적으로 계산된 대상 목록을 사용하는 내/외부 대상 목록, 직접 접속하여 전파하는 방법 등이 있다. 목록을 사용하는 방법은 빠르지만 목록을 작성하는 작업이 먼저 이루어져야 하며 이는 네트워크의 변화에 영향을 미치지않으므로 본 연구에서는 가장 일반적으로 사용하는 스캐닝을 통한 공격 대상 선정을 기반으로 연구를 진행하였다. 웜을 전파하기 위하여 포트 스캔이 웜 코드 내부에 구현되어야 하나, 본 연구에서는 본교의 네트워크를 대상으로 실험하였으므로 실제적인 공격 단계를 원하지 않으며 웜의 네 단계 동작 중 첫 번째 단계만 독립적으로 필요했기 때문에 상용 포트 스캔 도구를 사용하였다.
- 본 논문에서는 개인 정보의 유출을 방지하기 위하여 네트워크의 트래픽을 수집 조사하여 트래픽의 특성을 이용한 탐지 기법을 제안하였다. 개인 정보를 유출시키는 대표적인 방법인 악성코드에 중점을 두어, 악성코드가 시스템에 침입하여 개인정보의 유출을 시도할 때 시스템의 취약점 정보를 수집하고 공격 대상을 탐색하는데 이러한 첫 단계에 가장 보편적으로 사용되는 기법이 포트 스캐닝이며 포트 스캐닝을 기반으로 하는 다양한 공격이 있으므로 본 연구에서는 개인 정보 유출의 시도를 나타내기 위한 모의실험 트래픽으로써 포트 스캐닝을 발생시켜 실험하였다.
- 따라서 본 논문에서는 대규모뿐만 아니라 소규모의 망에서도 유용하며 네트워크 취약점을 이용하여 악성코드들이 침입함으로써 개인정보를 유출하고자 할 때 네트워크 트래픽의 자기 유사성 및 통계적 특성 분석을 통해 공격 징후를 조기에 감지함으로써 개인정보의 유줄을 방지하는 방법을 제안하고자 한다. 본 논문에서는 정상적인 상태에서 네트워크 트래픽을 조사 분석하여 트래픽의 특성을 살펴본 후, 개인정보를 유출하는 비정상 상태를 야기하는 악성코드들이 네트워크 트래픽에 어떤 영향을 끼치는지 트래픽의 특성 변화를 살핌으로써 해킹으로부터 개인정보를 보호할 수 있도록 한다. 특히 침입을 시도할 때 네트워크에 어떤 영향을 끼치는지 살펴보고자 네트워크 트래픽의 변화에서 나타나는 특성을 통하여 악성코드의 침입을 탐지하는 기법을 제안하고자 한다.
- 가지로 분류된다[8]. 본 논문에서는 허스트 파라메터를구하는 방법으로 시간기반방법 중의 하나인 누적분산 방법 (aggregate variance)과 주파수기반 방법 중의 하나인 피리 오도 그램(periodogram) 방법[5]을 이용하여 자기유사성을 측정하였으므로 이 두 가지 방법에 대해 살펴본다.
- 본 연구에서는 개인정보의 유출을 야기하는 비정상적인 트래픽의 탐지에 앞서 네트워크에서 정상 트래픽을 모델링하고 특성을 살펴보기 위하여 네트워크 분석기 Anypa LAN-Sr[12]을 사용하여 본교 아산공학관 전체와 실습실에서 네트워크 트래픽을 측정하였다. 전체 네트워크의 구성도는 (그림 1)과 같으며 (그림 2)는 아산공학관의 네트워크 구성도를 나타낸다.
- 비정상 상태의 네트워크 트래픽에 있어서 트래픽의 특성 변화를 살펴봄으로써 악성코드의 활동을 조기 진단하고 새로운 종류의 악성 코드 확산에도 대처할 수 있음을 알 수 있었다. 본 연구에서는 잘 알려진 포트 스캐닝 공격에 대하여 실제 대학망을 대상으로 실시하고 그 결과를 제시함으로써 제안된 기법의 타당성을 검증하였다. 제안한 방법은 자기유사성과 트래픽의 통계함수를 결합한 새로운 접근 방법이며, 새로운 형태로 출현하는 웜에 대응할 수 있으리라 기대된다.
- 본 연구에서는 제안하는 기법의 적합성을 실험하기 위하여 예로써 개인정보가 악성코드에 의해 유출되는 경우, 악성코드의 탐지에 대해서 알아본다. 악성 코드는 여러 호스트를 감염시키기 위해 취약한 시스템을 탐색하는 과정을 거치며 그 기간 동안 비정상적인 트래픽이 발생된다.
- 본 논문에서는 정상적인 상태에서 네트워크 트래픽을 조사 분석하여 트래픽의 특성을 살펴본 후, 개인정보를 유출하는 비정상 상태를 야기하는 악성코드들이 네트워크 트래픽에 어떤 영향을 끼치는지 트래픽의 특성 변화를 살핌으로써 해킹으로부터 개인정보를 보호할 수 있도록 한다. 특히 침입을 시도할 때 네트워크에 어떤 영향을 끼치는지 살펴보고자 네트워크 트래픽의 변화에서 나타나는 특성을 통하여 악성코드의 침입을 탐지하는 기법을 제안하고자 한다.
가설 설정
- 단위시간당 전체 패킷량, (그림 20) 비정상상태에서 단위 시간당 전체 패킷의 증가량으로 나타난다. 또한 비정상상태에서 트래픽 데이터에 대한 통계값을 표로 나타내면 <표 7>과 같다.
- 공격당한 호스트에서 자신의 코드가 실행된 후에는 네 번째 단계인 감염된 호스트가 공격 호스트가 되어 자신의 공격 코드를 복사하여 다시전파시키는 작업 (code propagation)을 실행한다. 네트워크에서 웜에 의한 트래픽의 변화를 살펴봄에 있어서 앞서 기술한 네 단계 중 두 번째와 세 번째 단계의 동작은 하나의 호스트에서 일어나며 네 번째 단계는 이미 웜에 감염되어 전파하는 단계에 해당되므로 본 연구에서는 고려하지 않았다. 즉, 악성코드가 네트워크 상에서 공격 대상을 찾을 때 실제적으로 트래픽에 영향을 주므로 첫 단계인 공격 대상을 찾는 방법만을 고려하였다.
- 본 연구는 윈도우 사이즈를 64로 하여 단위시간 당 새로운 데이터가 한 개씩 유입된다는 가정으로 실험하였다. 트래픽 수집결과 TCP 패킷이 발생 패킷량의 대부분을 차지하여 실험에는 단위시간당 발생된 전체 패킷량과 TCP 패킷량을 이용하였다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.