[논문]모바일 봇넷 탐지를 위한 HMM과 SVM 기법의 비교

최병하; 조경산

doi:10.9708/jksci.2014.19.4.081

모바일 봇넷 탐지를 위한 HMM과 SVM 기법의 비교
Comparison of HMM and SVM schemes in detecting mobile Botnet 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.19 no.4, 2014년, pp.81 - 90

최병하 (단국대학교 정보통신융합기술연구원) , 조경산 (단국대학교 소프트웨어학과)

초록
AI-Helper

스마트폰 같은 모바일 장치의 대중적 보급과 발전으로 인해 PC 기반의 악성코드가 모바일 기반으로 빠르게 이동하고 있다. 특히 봇넷은 PC에서의 강력한 악성행위와 피해를 모바일 장치에서 재생산하며 새로운 기법을 추가하고 있다. 기존 PC 기반의 봇넷과 달리 모바일 봇넷은 동시에 다양한 공격 경로의 탐지가 어려워 네트워크 기반보다는 호스트 기반의 탐지 기법이 주를 이루고 있다. 본 논문에서는 호스트 기반 기법의 한계를 극복하기 위하여 네트워크 기반으로 모바일 봇넷을 탐지하는 HMM과 SVM을 적용한 2 가지 기법을 비교한다. 기계학습에 많이 사용되는 시계열 데이터와 단위시간 데이터를 추출하여 두 기법에 적용하여, 실제 봇넷이 설치된 환경의 트래픽 검증 분석을 통해 이들 데이터에 따른 두 기법의 탐지율과 탐지 특성을 제시한다.

Abstract ▼ AI-Helper

As mobile devices have become widely used and developed, PC based malwares can be moving towards mobile-based units. In particular, mobile Botnet reuses powerful malicious behavior of PC-based Botnet or add new malicious techniques. Different from existing PC-based Botnet detection schemes, mobile Botnet detection schemes are generally host-based. It is because mobile Botnet has various attack vectors and it is difficult to inspect all the attack vector at the same time. In this paper, to overcome limitations of host-based scheme, we compare two network-based schemes which detect mobile Botnet by applying HMM and SVM techniques. Through the verification analysis under real Botnet attacks, we present detection rates and detection properties of two schemes.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 장에서는 HMM과 SVM의 모바일 탐지에 적용하고 이들 중 어떤 것이 우수한지 비교하기 위하여 다음과 같은 시스템을 제안한다. 제안 시스템의 주요한 구성요소인 VPN과IDS의 구조를 제시하고 이를 이용하여 3/4G와 WiFi에서 모바일 봇넷 C&C 채널을 탐지할 수 있는 HMM 기반의 HDS(HMM-based Detection Scheme)와 SVM을 기반으로 구현한 SDS (SVM-based Detection Scheme)를 제안한다.

제안 방법

데이터셋 1은 훈련을 위해, 데이터셋 2와 데이터셋 3은 탐지율 검증을 위해 사용한다. JaHmm 라이브러리로 HDS를구현한 HMM 기법의 검증을 위해서, Segmental K-means로 훈련한 시계열 특징과 Baum-Welch로 훈련한 단위 시간특징으로 HMM 기반 기법의 탐지율을 비교 및 분석한다. 또한 SVM 기법은 단위 시간 특징을 적용했을 때의 탐지율을 분석하고 시계열 HMM 기법과 비교한다.
동일한 기계학습 기법이라도 사용되는 특징(features)에 따라 그 성능이 달라지므로, 본 연구는 봇넷C&C 트래픽을 시계열(time series) 특징과 일반적으로 사용되는 단위 시간의 트래픽 특징의 2가지로 구성하여 HMM과 SVM의 탐지기법에 적용한다.
동일한 기계학습 기법이라도 사용되는 특징(features)에 따라 그 성능이 달라지므로, 본 연구는 봇넷C&C 트래픽을 시계열(time series) 특징과 일반적으로 사용되는 단위 시간의 트래픽 특징의 2가지로 구성하여 HMM과 SVM의 탐지기법에 적용한다. 또한 적용한 결과를 기반으로 두 기법의 특성을 제시한다.
아울러 3/4G의 탐지 기법과 클라우드 기법의 경우 3/4G의 네트워크 트래픽을 사용한다면 이에 따른 과금이 발생할 수 있다. 모바일 봇넷 탐지에 기존 PC 기반에서 우수한 탐지율을 보인 HMM과 SVM의 기법을 사용할 수 있으나, 표 3의 기존 HMM 기반과 SVM 기반 기법은 호스트 기반의 기법으로 적용되었다.
본 논문에서는 VPN을 이용하여 모바일 장치와 IDS를 연결하고 그 IDS에서 C&C 트래픽을 탐지하고 3장에서 제안한 HDS와 SDS의 두 탐지 시스템의 구현을 통해 SVM과 HMM의 특성을 분석하고 제시하였다.
본 논문의 선행연구로 모바일 장치와 IDS(Intrusion Detection System)를 VPN으로 연결하여 봇넷의 C&C 트래픽의 탐지기반을 구축하였다[2]. 본 논문은 이를 기반으로 대표적인 기계학습 기법인 HMM(Hidden Markov Model)과 SVM(Support Vector Machine)의 두 탐지 기법을 제안하여 비교한다. 동일한 기계학습 기법이라도 사용되는 특징(features)에 따라 그 성능이 달라지므로, 본 연구는 봇넷C&C 트래픽을 시계열(time series) 특징과 일반적으로 사용되는 단위 시간의 트래픽 특징의 2가지로 구성하여 HMM과 SVM의 탐지기법에 적용한다.
본 논문의 선행연구로 모바일 장치와 IDS(Intrusion Detection System)를 VPN으로 연결하여 봇넷의 C&C 트래픽의 탐지기반을 구축하였다[2].
본 연구에서 제안하는 HMM 기반의 HDS에서는 C&C채널의 탐지를 위해 시계열 또는 단위 시간의 시퀀스를 생성하고, 훈련을 통해 비정상 트래픽의 모델인 λ를 생성한다.
본 연구에서는 HMM과 SVM을 적용하기 위해 시계열 특징과 시간 단위의 트래픽의 특징을 사용하여 구현된 HMM기반의 HDS와 SVM 기반의 SDS는 그림 4와 같이 탐지 과정을 수행한다. 그림 2의 환경에서 모바일 악성 코드의 데이터셋을 수집하고, 이를 Wireshark[17]로 분석하여 정상 또는 비정상 트래픽(C&C 트래픽)으로 분류하고, 블랙리스트(blacklist)를 작성한다.
즉 패널 데이터는 시계열 데이터와 횡단면 데이터의 정보를 모두 내포하고 있다. 본 연구에서는 네트워크트래픽을 시계열 데이터와 일정 시간별로 트래픽을 추출한 패널 데이터(단위시간 데이터)를 기계학습 특징(features)으로 추출하여 분석한다.
본 연구에서는 커널파라미터와 SVM 수식의 파라미터에 복잡도 영향이 비교적 적은 RBF를 사용한다. 이 기법을 위한 응용 프로그램은 LibSVM이라는 SVM을 구현한 라이브러리(Library)로 수행할 수 있다.
본 장에서는 HDS와 SDS 기법을 통해 앞장에서 제시한 기법들의 탐지율 및 적용 특성을 비교 및 제시한다.
본 절에서는 그림6의 탐지 과정을 구현한 SVM 기반의SDS를 제안한다. SVM은 어떤 그룹들을 분류할 때 서로의 간격(margin)을 가장 크게 하는 분류 초평면을 찾는 기법으로, 일반화 능력이 뛰어나고, 다양한 분야에서 우수한 성능을 나타낸다[16].
블랙리스트의 C&C 트래픽만을 훈련하여 HMM 또는 SVM의 각 기법별로 비정상 행위의 모델을 생성한다.
제안 시스템의 주요한 구성요소인 VPN과IDS의 구조를 제시하고 이를 이용하여 3/4G와 WiFi에서 모바일 봇넷 C&C 채널을 탐지할 수 있는 HMM 기반의 HDS(HMM-based Detection Scheme)와 SVM을 기반으로 구현한 SDS (SVM-based Detection Scheme)를 제안한다.
제안 시스템의 환경은 그림 2와 같이 PPTP 기반의 VPN을 설치하여, WiFi 또는 3/4G에서 모바일 장치가 IDS를 통해 인터넷에 연결되도록 한다. 봇넷 C&C 트래픽을 탐지하기 위해 IDS에서 트래픽의 플로우(flows)를 수집하여 MySQL에 저장할 수 있도록 그림 3과 같이 PMACCT(Promiscuous Mode IP Accounting Package)를 설치한다.

대상 데이터

검증에서는 표 5에서 제시된 23개의 봇넷을 그림 2와 같은 제안시스템 환경에 있는 안드로이드폰(HTC Desire-Android2.2, SKY IM-A690L-Android2.2.1)에 설치하여, 봇넷의 C&C 트래픽을 수집한다.

데이터처리

JaHmm 라이브러리로 HDS를구현한 HMM 기법의 검증을 위해서, Segmental K-means로 훈련한 시계열 특징과 Baum-Welch로 훈련한 단위 시간특징으로 HMM 기반 기법의 탐지율을 비교 및 분석한다. 또한 SVM 기법은 단위 시간 특징을 적용했을 때의 탐지율을 분석하고 시계열 HMM 기법과 비교한다. 표 7, 표 8, 표 9에서 오탐은 “오탐 = (C&C로 판단한 정상트래픽 / 정상트래픽)”으로 계산하였다.
실제 탐지 시 에도 트래픽을 시퀀스로 변환하여 모델 λ에서 해당 시퀀스가 발생할 확률을 구하는 확률 평가(Probability Evaluation)를 이용하여 C&C 트래픽을 탐지한다.

성능/효과

1. 시간의 흐름에 따른 시계열 데이터에 대해서는 시계열 특징을 사용한 HMM 기법의 탐지율이 우수하다.
2. 단위 시간에 측정되는 특성의 패널 데이터가 존재하는 경우에는 SVM 기법의 탐지율이 우수하다.
62%의 오탐 결과를 보여 abnormal Models 기법보다 시계열의 HMM 기법의 탐지율이 우수한 것으로 분석되었다. SVM에서는 단위 시간 특징을 이용한 결과 99.53 ~ 99.82%의 우수한 탐지율과 1.60-5.89% 낮은 오탐율을 보였다. HMM, SVM 모두 탐지율과 오탐율면에서 우수한 모바일 봇넷의 탐지기법으로 분석되었으며, 이들은 다음과 같은 특성을 갖는다.
89%의 오탐율을 보인 SVM 기법이 더 우수하다. 그러나 시계열의 HMM의 표 7과 단위시간 특징을 사용한 SVM의 표 8를 비교해보면, 탐지율 면에서 시계열의 HMM 기법이 약간 더 우수하고, 오탐율은 SVM 기법이 우수하다.
73 %의 우수한 탐지율을 보인다. 단위 시간 특징의 HMM 기법은 92.32 - 98.35%의 탐지율로 시계열 특징의 HMM 기법보다 비교적 낮은 탐지율을 보이는데, 23.09%의 높은 오탐율을 보이므로 신뢰성에 문제가 있다. 따라서, HMM에서는 시계열 특징을 적용한 기법이 탐지율과 오탐율에서 우수한 성능을 보인다.
즉 공격시에 어떤 특징이 시간에 따라 일정한 패턴의 순서가 존재할 경우에는 HMM의시퀀스에 적용하여 특정한 공격을 탐지할 수 있다. 따라서 하나의 플로우에서 다음과 같이 TCP flags, 플로우의 패킷수, 플로우의 바이트양, HTTTP의 user-agent, 발생시간 간격등을 배열 형태로 하나의 관찰 기호로 만들고, 1시간동안의 관찰기호를 연결하여 다중 관찰 시퀀스(sequence of multivariate observations)로 생성한 후 Baum-Welch 또는 Segmental K-means 학습 기법으로 훈련하여 탐지할수 있다. 관찰기호에서 사용된 특징들은 표 4의 시계열 특징을 이용하여 그림 5의 다중관찰 시퀀스 생성과정으로 나타낼 수 있다.
표 7은 시계열의 특징을 적용하였고 표 8은 단위 시간 특징을 적용하였다. 분석결과는 시계열의 HMM 기법이 단위시간의 HMM 기법보다 최대 7.65%의 격차를 보이며 99.73 %의 우수한 탐지율을 보인다. 단위 시간 특징의 HMM 기법은 92.
본 논문에서는 VPN을 이용하여 모바일 장치와 IDS를 연결하고 그 IDS에서 C&C 트래픽을 탐지하고 3장에서 제안한 HDS와 SDS의 두 탐지 시스템의 구현을 통해 SVM과 HMM의 특성을 분석하고 제시하였다. 실제 봇넷이 공격되는 환경에서 단위 시간 특징을 이용한 HMM 기법은 92.32 ~ 98.35 %의 탐지율과 22.02 ~ 23.09%의 오탐율을 보이고 시계열특징을 사용한 HMM 기법에서는 99.73% - 99.97%의 탐지율과 4.11 ~ 9.62%의 오탐 결과를 보여 abnormal Models 기법보다 시계열의 HMM 기법의 탐지율이 우수한 것으로 분석되었다. SVM에서는 단위 시간 특징을 이용한 결과 99.
표 9는 표 8와 동일한 단위 시간 특징을 SVM 기반의 SDS를 이용해 분석한 SVM의 탐지율이다. 표 9의 SVM 기법의 탐지율과 표 8의 HMM 기법의 탐지율을 비교해 보면,99.53%-99.82%의 탐지율과 1.60%-5.89%의 오탐율을 보인 SVM 기법이 더 우수하다. 그러나 시계열의 HMM의 표 7과 단위시간 특징을 사용한 SVM의 표 8를 비교해보면, 탐지율 면에서 시계열의 HMM 기법이 약간 더 우수하고, 오탐율은 SVM 기법이 우수하다.

후속연구

HMM과 SVM은 탐지율 측면에서 우수하지만 계산량과 계산 시간 측면에서 많은 자원을 사용하는 것으로 알려져 있다. 이를 극복하기 위하여 적은 자원과 시간을 사용하는 결정트리 같은 다른 기계 학습 기법을 HMM과 SVM과 비교분석하는 향후연구를 제시한다.,

질의응답

핵심어	질문	논문에서 추출한 답변
	malicious code란?	“malicious code” 또는 “malware”로 불리는 악성코드는 운영체제 커널이나 보안에 민감한 애플리케이션의 동작을 변화시키는 코드로써, 사용자의 동의 없이 이루어지거나 운영체제 또는 응용프로그램의 문서화된 기능(예: API)을 사용하여 그러한 변화를 탐지할 수 없도록 행해지는 프로그램이다. 또한, 악성코드는 정보유출과 금전적 이익 등의 악의적 목적으로 사용되며 최근 그 피해가 모바일 장치로 이동하고 있다[1,2].
	봇넷은 무엇으로 이루어지는가?	봇넷은 악성코드의 한 유형이며 감염된 컴퓨터 또는 악성프로그램인 봇(Bot)의 집합으로 이루어진다. 봇은 C&C 채널을 통해 C&C 서버의 통제 아래 원격 조정되고 있으며,C&C 서버들은 봇마스터(Bot master)에 의해 그림 1과 같이 운영된다.
	malicious code와 같은 악성코드는 어떤 목적으로 사용되는가?	“malicious code” 또는 “malware”로 불리는 악성코드는 운영체제 커널이나 보안에 민감한 애플리케이션의 동작을 변화시키는 코드로써, 사용자의 동의 없이 이루어지거나 운영체제 또는 응용프로그램의 문서화된 기능(예: API)을 사용하여 그러한 변화를 탐지할 수 없도록 행해지는 프로그램이다. 또한, 악성코드는 정보유출과 금전적 이익 등의 악의적 목적으로 사용되며 최근 그 피해가 모바일 장치로 이동하고 있다[1,2].

참고문헌 (18)

Byungha Choi, Kyungsan Cho, "An Improved Detecting Scheme of Malicious Codes using HTTP Outbound Traffic," Journal of the Korea society of computer and information vo.14 no.9 pp.47-54, SEP. 2009.
ByungHa Choi, Sung-kyo Choi, Kyungsan Cho, "Detection of Mobile Botnet Using VPN," Procs. of The Seventh International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS-2013), pages 142-148, 2013.
G. Delac, M. Silic and J. Krolo, "Emerging security threats for mobile platforms," Procs. of the 34th International Convention, MIPRO 2011, pp. 1468- 1473, 23-27 May. 2011.
AK. Tyagi, G. Aghila "A Wide Scale Survey on Botnet," Procs. of International Journal of Computer Applications, Vol. 34, No.9, pp. 10-23, Nov. 2011.
Byungha Choi, Kyungsan Cho, "Two-Step Hierarchical Scheme for Detecting Detoured Attacks to the Web Server," ComSIS, vol 10, no 2, 633-649, 2013.

상세보기
Gu, Guofei, et al. "BotMiner: Clustering analysis of network traffic for protocol-andstructure-independent botnet detection," Procs. of the 17th conference on Security symposium. 2008.
NQ Mobile, NQ Mobile 2011 Mobile Security Report, 2012.
Iker Burguera, Urko Zurutuza, Simin Nadjm-Tehrani, "Crowdroid: behavior-based malware detection system for android," Procs. of the 1st ACM workshop on Security and privacy in smartphones and mobile devices. ACM, pp. 15-26, 2011.
L. Xie, X. Zhang, J. P. Seifert, S. Zhu, "pBMDS: a behavior-based malware detection system for cellphone devices," Procs. of the third ACM conference on Wireless network security. ACM. pp. 37-48, 2010.
A. Bose, X. Hu, K. G. Shin, T. Park, "Behavioral detection of malware on mobile handsets," In Procs. of the 6th international conference on Mobile systems, applications, and services. ACM. pp. 225-238, 2008.
Portokalidis, Georgios, et al. "Paranoid Android: versatile protection for smartphones," Procs. of the 26th Annual Computer Security Applications Conference. ACM, 2010.
Falletta, Vincenzo, and Fabio Ricciato. "Detecting scanners: empirical assessment on a 3G network," International Journal of Network Security vol. 9, no. 2, pp.143-155, 2009.
Vural, Ickin, and Hein S. Venter. "Combating Mobile Spam through Botnet Detection using Artificial Immune Systems," Journal of Universal Computer Science 18.6 pp. 750-774. 2012.
Edson J.R. Justino, Flavio Bortolozzi, Robert Sabourin, "A comparison of SVM and HMM classifiers in the off-line signature verification," Pattern Recognition Letters, vol 26, Issue 9, pp. 1377-1385, 2005.

상세보기
Yi-Lin Lin, Gang Wei, "Speech emotion recognition based on HMM and SVM," Machine Learning and Cybernetics, 2005. Procs of 2005 International Conference on, vol. 8, pp. 18-21, 2005.
Miao, Qiang, Hong-Zhong Huang, and Xianfeng Fan. "A comparison study of support vector machines and hidden Markov models in machinery condition monitoring," Journal of Mechanical Science and Technology, pp. 607-615, 2007
Wireshark, http://wireshark.com/
B-H. Juang, Lawrence R. Rabiner. "The segmental K-means algorithm for estimating parameters of hidden Markov models," Procs. of Acoustics, Speech and Signal Processing, IEEE Transactions on 38.9, pp. 1639-1641, 1990.

상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증