$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

페이로드 시그니쳐 자동 생성 시스템
Automatic Payload Signature Generation System 원문보기

한국통신학회논문지. The Journal of Korea Information and Communications Society. 네트워크 및 서비스, v.38B no.8, 2013년, pp.615 - 622  

박철신 (고려대학교 컴퓨터정보학과 네트워크 관리 연구실) ,  박준상 (고려대학교 컴퓨터정보학과 네트워크 관리 연구실) ,  김명섭 (고려대학교 컴퓨터정보학과 네트워크 관리 연구실)

초록
AI-Helper 아이콘AI-Helper

페이로드 시그니쳐 기반 분석 방법에서 정확한 시그니쳐는 분석 성능을 높이는데 있어 필수적이다. 하지만 정확한 시그니쳐를 생성하기 위한 수동생성 방법에는 한계가 있다. 따라서 이를 극복 하기 위해 페이로드 시그니쳐를 자동생성하기 위한 페이로드 시그니쳐 자동 생성 시스템을 제안한다. 또한 프로토콜 필터를 이용한 응용의 프로토콜 인식을 통해 시그니쳐 자동 생성의 효율성을 향상 시키고, 프로토콜 별 응용의 페이로드 시그니쳐를 자동 생성하여 세분화된 분석에 적용 할 수 있는 페이로드 시그니쳐 자동 생성 방법을 제안하였다. 본 논문에서 제안한 시스템의 타당성을 검증하기 위해 수동 생성 시그니쳐와 자동 생성 시그니쳐의 비교 및 프로토콜 별 자동 생성 시그니쳐를 통해 시스템의 타당성을 보였다.

Abstract AI-Helper 아이콘AI-Helper

Fast and accurate signature extraction is essential to improve the performance of the payload signature-based traffic analysis methods. However the slow manual process in extracting signatures make difficult to deal with the rapidly changing application in current Internet environment. Therefore, in...

주제어

#Automated Signature Generation   #Payload Signature   #Signature Generation   #Traffic analysis   #Traffic Classification  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 그룹핑 모듈(FTG)에 입력으로 주어진 플로우가 어떤 프로토콜에 기반하고 있는지를 최대한 빠른 시간 내에 인식해야 하는 것이 프로토콜 인식 파트의 목적이다.
  • 하지만 이런 경우 각 프로토콜에 의해 발생 된 트래픽 특성의 변화에 따라 공통 스트링의 발생빈도가 줄어들어 추출 효율의 문제가 발생 될 수 있으며 또한 발생빈도가 빈번한 프로토콜의 키워드가 시그니쳐로 추출 될 확률이 높아지는 문제가 있다. 따라서 본 논문에서는 이런 한계를 극복하기 위해 프로토콜 필터를 이용한 트래픽 그룹핑을 통해 하나의 응용에서 발생되는 다양한 프로토콜 별 응용 시그니쳐를 자동 생성 할 수 있는 페이로드 시그니쳐 자동생성 시스템을 제안한다. 또한 자동생성 시스템에 의해 생성된 시그니쳐와 수동생성 시그니쳐의 비교 및 프로토콜 필터를 적용 한 시그니쳐를 보임으로서 시스템의 타당성을 검증하고, 시그니쳐 추출 대상 트래픽을 다양화하여 시스템의 활용성을 높일 수 있는 방안을 제시한다.
  • 이런 상황에서 하나의 응용에 대한 시그니쳐를 생성할 때 어떤 프로토콜을 사용하는지를 파악하고 이를 이용해 프로토콜 별로 정확한 시그니쳐를 생성하는 것은 시그니쳐 자동생성 시스템에서 피할 수 없는 조건이다. 따라서 본 장에서는 본 논문에서 제안한 페이로드 시그니쳐 자동생성 프레임 워크에 주요 부분인 프로토콜 필터의 정의 및 적용 방법에 대해 설명하고자 한다.
  • 향후 연구로써는 더 많은 공개 프로토콜에 대한 확장된 필터를 적용하여 시스템의 실용성을 확보할 수있는 방법을 연구하고자 한다. 또한 LCS알고리즘의 입력에 대해 “similarity function”을 적용하여 생성 효율을 향상 시킬 수 있는 방법을 연구하고자 한다.
  • 본 논문에서는 페이로드 시그니쳐의 수동 추출에 한계점을 극복하기 위해 프로토콜 필터 기반 페이로드 시그니쳐 자동 생성 시스템을 제안하고자 한다. 또한 이미 연구된 다양한 자동 생성 시스템들의한계점으로 지적할 수 있는 하나의 응용에서 다중 프로토콜 사용시 추출 효율 문제를 프로토콜 필터를 통해 극복할 수 있는 방법을 제안한다.
  • 본 논문에서는 프로토콜 별 특징을 활용한 페이로드 시그니쳐 자동 생성 프레임 워크를 제안 하였다. 이를 통해 멀티 프로토콜을 사용하는 응용에 대한 시그니쳐 생성 성능을 향상시킬 수 있는 방법을 제시하였다.
  • 본 장에서는 본 논문에서 제안한 페이로드 시그니쳐 자동 생성 시스템의 타당성을 증명하기 위해 수작업으로 추출한 시그니쳐와 자동 생성 시그니쳐와의 비교 및 프로토콜 필터를 적용하여 생성된 시그니쳐 생성하여 페이로드 시그니쳐 자동 생성 시스템의 타당성을 증명한다.
  • 이런 기능을 바탕으로 SGE모듈과 함께 사용함으로서 시그니쳐 생성에서 제외된 플로우를 바탕으로 시그니쳐를 추가 생성할 수 있도록 하였다. 시그니쳐가 생성되지 않거나, 더 이상 시그니쳐를 생성할 플로우가 존재하지 않을 때까지 반복 수행하여 하나의 응용에서 추출 가능한 시그니쳐를 모두 생성해 낼 수 있게 하는데 목적이 있다. 또한 SGV 모듈과 함께 사용하여 여러 시그니쳐가 동일 플로우를 분석 할 경우 중복 분석되는 시그니쳐를 제거할 수 있도록 한다.
  • 이 모듈은 위에서 언급한 다른 모듈과는 달리 추출의 목적이 아닌 생성된 시그니쳐의 검증에 목적을 두고 있다. 이를 위해 정답지 트래픽에서 자동생성 시스템에 의해 생성된 시그니쳐를 통해 얼마나 분석될 수있는 지를 확인할 수 있는 분석 보고서를 제공한다.
  • 이 실험은 선행연구에서 제시된 자동 추출 시그니쳐와 본 논문에서 제안된 프로토콜 필터를 적용한 자동 생성 시그니쳐의 비교를 통해 프로토콜 필터를 적용한 자동 추출 시스템의 성능 향상 및 제안한 프로토콜 필터의 타당성을 보이기 위한 실험이다. Table 3은 제안한 시스템에 HTTP 프로토콜 필터를 적용한 결과를 선행연구의 결과 비교표이다.
  • 이 실험은 전문가에 의해 추출된 응용의 시그니쳐와 자동 추출된 시그니쳐의 비교를 통해 자동 추출 시스템의 실용성을 검증했다. Table 2의 수동 추출에 의한 시그니쳐는 실제 트래픽 분석 장비에 사용되는 시그니쳐로 게임 사이트에 로그인할 때 발생되는 트래픽을 분석하여 추출한 시그니쳐이다.
  • 이 모듈은 위에서 언급한 다른 모듈과는 달리 추출의 목적이 아닌 생성된 시그니쳐의 검증에 목적을 두고 있다. 이를 위해 정답지 트래픽에서 자동생성 시스템에 의해 생성된 시그니쳐를 통해 얼마나 분석될 수있는 지를 확인할 수 있는 분석 보고서를 제공한다. 보고서에는 분석율과 오분류율을 각각 Flow count, Packet count, Byte Size로 실제 값과 백분율로 표기한다.
  • 본 논문에서는 프로토콜 별 특징을 활용한 페이로드 시그니쳐 자동 생성 프레임 워크를 제안 하였다. 이를 통해 멀티 프로토콜을 사용하는 응용에 대한 시그니쳐 생성 성능을 향상시킬 수 있는 방법을 제시하였다. 또한 LCS기반의 시그니쳐 자동 생성 시스템의 취약점인 계산복잡도 문제를 입력데이터의 크기를 최소화 함으로서 체감 속도를 높이는 방안을 제시 하였다.
  • 반면에 제안 시스템의 시그니쳐의 경우 각 응용의 프로토콜별 시그니쳐의 생성을 통해 응용의 프로토콜별 트래픽 분석이 가능하고, HTTP 프로토콜 필터 적용을 통해 추출된 시그니쳐에 대해 HTTP Header 필드를 재조합함으로써 발생 부분을 명확하게 할 수 있었다. 이를 통해 실제 시그니쳐를 이용한 트래픽 분석에 시그니쳐 적용의 용이성 및 분석의 효율성을 가질 수 있도록 하였다. 마지막으로 추출 실험 결과 페이로드 기반 분석의 한계로 지적된 암호화 트래픽에서는 시그니쳐를 추출할 수 없었으며 이것은 트래픽 분석에 있어 단점으로 작용할 수 있다.
  • 특징 분석 파트는 추출 모듈(SGE)의 입력을 최소화하여 추출 효율을 향상시키는 것에 목적이 있다.
  • 이 문제는 실제로 시그니쳐를 생성할 때 대량의 트래픽을 순차적 입력으로 사용할 경우 최종 생성된 시그니쳐의 결과를 확인하는데 굉장히 많은 시간이 소요 되게 한다. 하지만 본 논문에서는 이 문제에 대해 성능을 향상 시킬 수 있는 방법을 프로토콜 필터에서 찾고자 한다. 프로토콜 필터를 적용할 경우 LCS의 입력으로 사용되는 트래픽에 대해 필터를 통해 시그니쳐 발생 확률이 낮은 부분을 제거하고 다시 필드 추출 과정을 거쳐 LCS의 입력으로 이용되는 데이터의 양을 줄여 시그니쳐의 확인을 빠르게 하였다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
페이로드 시그니쳐 기반 분석 방법에서 분석 성능을 높이는 데 있어 필수적인 요소는? 페이로드 시그니쳐 기반 분석 방법에서 정확한 시그니쳐는 분석 성능을 높이는데 있어 필수적이다. 하지만 정확한 시그니쳐를 생성하기 위한 수동생성 방법에는 한계가 있다.
페이로드 분석 방법이란? 페이로드 분석 방법은 패킷의 페이로드 내에 응용만의 특징을 갖는 의미 있는 특징 값을 추출하여 응용을 식별할 수 있는 시그니쳐로 정의한 후 패킷의 페이로드 내에 응용의 시그니쳐 포함 여부를 판단하여 응용을 분석하는 방법이다. 페이로드 기반 분석 방법은 분석률과 정확도 측면에서 가장 높은 분석 성능을 보이기 때문에 트래픽 분석 방법 중현재까지 가장 광범위하게 이용되고 있다.
정확한 시그니쳐를 생성하기 위한 수동생성 방법의 한계를 보완할 수 있는 시스템은? 하지만 정확한 시그니쳐를 생성하기 위한 수동생성 방법에는 한계가 있다. 따라서 이를 극복 하기 위해 페이로드 시그니쳐를 자동생성하기 위한 페이로드 시그니쳐 자동 생성 시스템을 제안한다. 또한 프로토콜 필터를 이용한 응용의 프로토콜 인식을 통해 시그니쳐 자동 생성의 효율성을 향상 시키고, 프로토콜 별 응용의 페이로드 시그니쳐를 자동 생성하여 세분화된 분석에 적용 할 수 있는 페이로드 시그니쳐 자동 생성 방법을 제안하였다.
질의응답 정보가 도움이 되었나요?

참고문헌 (12)

  1. IANA, IANA port number list, Retrieved 3, 2, 2013, from http://www.iana.org/assignments/port-numbers 

  2. W. Scheirer and M. Chuah. Comparison of three sliding-window based worm signature generation schemes, Lehigh Univ. Technical Report LU-CSE-05-025, 2005. 

  3. T. S. Choi, C. H. Kim, S. H. Yoon, J. S. Park, H. S. Chung, B. J. Lee, H. H. Kim, and T. S. Jeong, "Rate-based internet accounting system using application-aware traffic measurement," in Proc. APNOMS 2003, pp. 404-415, Fukuoka, Japan, Oct. 2003. 

  4. J.-S. Park, J.-W. Park, S.-H. Yoon, H.-S. Lee, and M.-S. Kim, "Development of signature generation and update system for application-level traffic classification," J. KIPS, vol. 17C, no. 1, pp. 99-108, Feb. 2010. 

    원문보기 상세보기 crossref

  5. M. Ye, K. Xu, J. Wu, and H. Po. "AutoSig-automatically generating signatures for applications," in Proc. IEEE CIT '09, vol. 2, pp. 104-109, Xiamen, China, Oct. 2009. 

  6. C. Mu, X.-H. Huang, X. Tian, Y. Ma, and J.-L. Qi, "Automatic traffic signature extraction based on fixed bit offset algorithm for traffic classification," J. China Univ. Posts Telecommun., vol. 18, no. 2, pp. 79-85, Dec. 2011. 

    상세보기 crossref

  7. G. Szabo, Z. Turanyi, L. Toka, S. Molnar, and A. Santos, "Automatic protocol signature generation framework for deep packet inspection," in Proc. ICST VALUETOOLS '11, pp. 291-299, Cachan, France, May 2011. 

  8. Wireshark, Wireshark, Retrieved 3, 2, 2013, from http://www.wireshark.org/. 

  9. Microsoft, Microsoft Network Monitor 3.4, Retrieved 3, 2, 2013, from http://www.microsoft.com/en-us/download/details.aspx?id4865. 

  10. TCPDUMP & LiBPCAP, LiBPCAP, Retrieved 3, 2, 2013, from http://www.tcpdump.org. 

  11. WinPcap, WinPcap, Retrievd 3, 2, 2013, from http://www.winpcap.org. 

  12. J.-H. Kim, S.-H. Yoon, and M.-S. Kim, "Research on traffic taxonomy for internet traffic classification," in Proc. APNOMS 2011, pp. 21-23, Taipei, Taiwan, Sep. 2011. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로