DDoS (Distributed Denial of Service)는 대량의 좀비 PC를 이용하여 공격 대상 서버에 접근하여 자원을 고갈시켜 정상적인 사용자가 서버를 이용하지 못하게 하는 공격이다. DDoS 공격발생 사례가 꾸준히 증가하고 있고, 주요 공격대상은 IT 서비스, 금융권, 정부기관이기 때문에 DDoS를 탐지하는 것이 중요한 이슈로 떠오르고 있다. 본 논문에서는 DNS 서버를 이용하여 패킷을 증폭시키는 DNS DDoS 공격 즉, DNS Amplification 공격(이하 DNS 증폭 공격)을 Deep Learning (이하 딥 러닝)을 활용해 실시간으로 탐지하는 방법에 대해 소개한다. 기존 연구들의 한계점을 극복하기 위하여 실험망 환경의 데이터가 아닌 실 환경 데이터를 혼합하여 탐지 시스템을 학습하였다. 또한 이미지 인식에 주로 사용되는 Convolutional Neural Network (이하 CNN)을 이용하여 딥 러닝 모델을 구축하였다.
DDoS (Distributed Denial of Service)는 대량의 좀비 PC를 이용하여 공격 대상 서버에 접근하여 자원을 고갈시켜 정상적인 사용자가 서버를 이용하지 못하게 하는 공격이다. DDoS 공격발생 사례가 꾸준히 증가하고 있고, 주요 공격대상은 IT 서비스, 금융권, 정부기관이기 때문에 DDoS를 탐지하는 것이 중요한 이슈로 떠오르고 있다. 본 논문에서는 DNS 서버를 이용하여 패킷을 증폭시키는 DNS DDoS 공격 즉, DNS Amplification 공격(이하 DNS 증폭 공격)을 Deep Learning (이하 딥 러닝)을 활용해 실시간으로 탐지하는 방법에 대해 소개한다. 기존 연구들의 한계점을 극복하기 위하여 실험망 환경의 데이터가 아닌 실 환경 데이터를 혼합하여 탐지 시스템을 학습하였다. 또한 이미지 인식에 주로 사용되는 Convolutional Neural Network (이하 CNN)을 이용하여 딥 러닝 모델을 구축하였다.
DDoS (Distributed Denial of Service) exhausts the target server's resources using the large number of zombie pc, As a result normal users don't access to server. DDoS Attacks steadly increase by many attacker, and almost target of the attack is critical system such as IT Service Provider, Government...
DDoS (Distributed Denial of Service) exhausts the target server's resources using the large number of zombie pc, As a result normal users don't access to server. DDoS Attacks steadly increase by many attacker, and almost target of the attack is critical system such as IT Service Provider, Government Agency, Financial Institution. In this paper, We will introduce the CNN (Convolutional Neural Network) of deep learning based real-time detection system for DNS amplification Attack (DNS DDoS Attack). We use the dataset which is mixed with collected data in the real environment in order to overcome existing research limits that use only the data collected in the experiment environment. Also, we build a deep learning model based on Convolutional Neural Network (CNN) that is used in pattern recognition.
DDoS (Distributed Denial of Service) exhausts the target server's resources using the large number of zombie pc, As a result normal users don't access to server. DDoS Attacks steadly increase by many attacker, and almost target of the attack is critical system such as IT Service Provider, Government Agency, Financial Institution. In this paper, We will introduce the CNN (Convolutional Neural Network) of deep learning based real-time detection system for DNS amplification Attack (DNS DDoS Attack). We use the dataset which is mixed with collected data in the real environment in order to overcome existing research limits that use only the data collected in the experiment environment. Also, we build a deep learning model based on Convolutional Neural Network (CNN) that is used in pattern recognition.
DNS DDoS를 포함한 DDoS 공격이 지속적으로 발생하고 있기 때문에, 피해가 발생하기 이전에 효과적으로 탐지하는 것이 중요하다. 본 논문에서는 딥 러닝을 활용하여 DNS DDoS 공격을 실시간으로 탐지하는 방법에 대해 연구한다.
제안 방법
본 논문에서는 기존 연구들의 한계를 극복하기 위하여, 실험망 환경의 데이터가 아닌 실제 환경의 네트워크 트래픽 데이터를 이용하여 학습한 딥 러닝 모델을 기반으로, 설계 및 구현한 실시간 탐지 시스템을 제안한다.
딥 러닝의 경우 충분한 데이터 셋이 있다면 기존의 머신러닝 기법에 비해 좋은 효율을 가지며, 데이터를 잘 정제한다면 어떠한 데이터든 상관없이 대용량의 데이터에 대해서도 빠르게 학습이 가능하다. 본 논문에서는 대용량의 데이터를 이용하여 공격 및 정상 트래픽의 특징과 패턴을 인식하기 위하여 이미지 인식에서 주로 활용되는 CNN을 기반으로 실시간 탐지 시스템을 구현한다.
또한 출발지/목적지 주소에 따른 패킷의 양이나 크기와 같이 단편적인 특징들만을 고려하여 학습을 수행하고 학습에 사용한 데이터 셋의 양이 적기 때문에, 변형된 공격에 대해서 탐지 결과를 보장할 수 없다. 본 논문에서는 이러한 한계점을 극복하기 위해, 공격이 발생할 수 있는 여러 가지 상황을 탐지하기 위해. 더 많은 수의 공격 특징을 고려하여 공격의 패턴을 인식하여 오탐율 및 미탐율을 줄이고자 한다. 또한 실제 환경의 데이터셋을 일부 활용하였고 훨씬 더 많은 양의 데이터 셋을 확보하여 학습을 수행하였다.
대상 데이터
탐지 시스템을 학습하기 위해 사용할 데이터는 기존 연구들의 한계를 극복하고 유연한 탐지 방법을 구축하기 위해, 실제 환경에서의 데이터를 추가하였다. 국내 대형 통신사 서버에서 발생한 실제 트래픽 내 DNS 패킷과 [13]에서 사용한 DNS 기반 DDoS 공격 패킷을 사용하였다. Table 1은 학습에 사용할 각 패킷에 대한 정보를 나타낸다.
데이터처리
또한 TN은 정상 패킷을 정상으로 제대로 탐지한 것을 의미하며, FP는 정상 패킷을 공격으로 탐지한 것을 의미한다. 이 때, Recall은 실제 DDoS 공격인 데이터 셋 중에서 딥 러닝 모델이 공격으로 예측한 비율로 TP / TP + FN 을 통해 계산하며 Precision은 딥 러닝 모델이 공격으로 예측한 것 중 실제로 공격 데이터 셋이 얼마나 차지하는 지를 나타내는 비율로, TP / TP + FP를 통해 계산한다. 최종적으로 Detection Accuracy는 TP + TN / TP + FN + TN + FP를 이용하여 계산한다.
이론/모형
본 논문에서는 딥 러닝 알고리즘 중 이미지 인식, 영상처리 등에 주로 쓰이는 CNN을 적용하여 탐지 시스템을 구현하였다. 탐지 시스템은 Python으로 작성하였으며, 실제 탐지를 수행하는 딥 러닝 모델은 Tensorflow를 기반으로 작성하였다[14].
성능/효과
[10]의 경우 본 논문과 비교하여 테스트에 사용한 데이터 셋이 극히 적으며, [11, 12]의 경우 테스트 데이터 셋의 개수가 명시되지 않아, 언급된 TPR (True Positive)과 FPR (False Positive Rate)을 이용하여 Recall과 Precision, 최종 탐지 정확도의 평균을 계산하여 비교하였다. 본 논문의 다른 기존 연구들에 비해 높은 탐지 정확도를 가지며, 실제 환경 데이터로도 높은 탐지율을 나타냈다.
CNN을 이용한 딥 러닝 알고리즘을 통하여 DNS DDoS 공격을 탐지하는 시스템을 제안하였다. 초당 전송률과 같은 단편적인 자질들 이외에 다른 자질들을 이용하여 탐지 모델을 학습시켰고, 그 결과 High Rate의 DNS DDoS 공격 뿐 아니라 기본적인 공격보다 전송률이 현저히 낮거나 정상 트래픽과 비슷한 Low Rate에 대한 공격도 약 90%~95% 정도 탐지하는 것을 확인하였다.
후속연구
향후 실 환경 데이터를 추가하여 변형된 다양한 공격에 대해 탐지할 수 있는 유연한 탐지 시스템으로 확장시킬 예정이며, DNS 뿐만 아니라 다른 프로토콜을 이용한 증폭 공격 및 DDoS 공격에 대한 탐지 시스템으로 확장시킬 예정이다.
질의응답
핵심어
질문
논문에서 추출한 답변
DDoS 공격에서 추적을 방지하기 위해 중요한 것은 무엇인가?
DDoS 공격은 추적을 방지하기 위해 공격자의 신분을 숨기고 공격 대상 서버의 시스템 및 네트워크 자원을 고갈시켜 마비시키는 것이 가장 중요하다. 그래서 공격에 사용하는 기기들의 IP를 위장하고, 공격 대상 서버를 쉽게 마비시키기 위해 증폭매체를 사용해 패킷을 증폭시키는 DNS DDoS 공격과 같은 기법이 주로 사용되고 있다[1].
DDoS (Distributed Denial of Service)란 무엇인가?
DDoS (Distributed Denial of Service)는 대량의 좀비 PC를 이용하여 공격 대상 서버에 접근하여 자원을 고갈시켜 정상적인 사용자가 서버를 이용하지 못하게 하는 공격이다. DDoS 공격발생 사례가 꾸준히 증가하고 있고, 주요 공격대상은 IT 서비스, 금융권, 정부기관이기 때문에 DDoS를 탐지하는 것이 중요한 이슈로 떠오르고 있다.
DNS 증폭 공격이 기존보다 더 용이해진 이유는 무엇인가?
DNS DDoS 공격은 DNS 증폭 공격이라고도 하며, DNS Response 패킷의 크기가 DNS Query 패킷의 크기보다 크다는 것을 이용한 공격기법이다. DNS와 관련된 다른 공격들을 방어하기 위해 설계된 DNSSEC 때문에 DNS DDoS 공격이 더 용이해졌다. Fig.
참고문헌 (14)
DNSSEC and DNS Amplification Attacks [Internet], https://technet.microsoft.com/en-us/security/hh972393.aspx.
Ye, Xi and Yiru Ye, "A practical mechanism to counteract DNS amplification DDoS attacks," Journal of Computational Information Systems, Vol.9, No.1, pp.265-272, 2013.
Yu, Huiming et al., "A visualization analysis tool for DNS amplification attack," Biomedical Engineering and Informatics (BMEI), 2010 3rd International Conference on, Vol.7. IEEE, 2010.
Wei-Min, Li, Chen Lu-Ying, and Lei Zhen-Ming, "Alleviating the impact of DNS DDoS attacks," Networks Security Wireless Communications and Trusted Computing (NSWCTC), 2010 Second International Conference on., Vol.1. IEEE, 2010.
Rozekrans, Thijs, Matthijs Mekking, and Javy de Koning, "Defending against DNS reflection amplification attacks," University of Amsterdam, Tech. Rep., Feb., 2013.
Zdrnja, Bojan, Nevil Brownlee, and Duane Wessels, "Passive monitoring of dns anomalies," Detection of Intrusions and Malware, and Vulnerability Assessment. Springer Berlin Heidelberg, pp.129-139, 2007.
Lee, Ki-Taek, Seung-Soo Baek, and Seung-Joo Kim, "Study on the near-real time DNS query analyzing system for DNS amplification attacks," Journal of the Korea Institute of Information Security and Cryptology, Vol.25, No.2, pp.303-311, 2015.
Yang, Xinyu et al., "The Detection and Orientation Method to DRDoS Attack Based on Fuzzy Association Rules," Journal of Communication and Computer, Vol.3, No.8, pp.1-10, 2006.
Wu, Jun et al., "Detecting DDoS attack towards DNS server using a neural network classifier," International Conference on Artificial Neural Networks, Springer Berlin Heidelberg, 2010.
Wei, Wei et al., "A rank correlation based detection against distributed reflection DoS attacks," IEEE Communications Letters, Vol.17, No.1, pp.173-175, 2013.
Gao, Yuxuan et al., "A Machine Learning Based Approach for Detecting DRDoS Attacks and Its Performance Evaluation," Proc. of the 11th Asia Joint Conference on Information Security, 2016.
Santanna, Jose Jair et al., "Booters-An analysis of DDoS-as-a-service attacks," 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM). IEEE, 2015.
Abadi, Martin et al., "Tensorflow: Large-scale machine learning on heterogeneous distributed systems," arXiv preprint arXiv:1603.04467 (2016).
※ AI-Helper는 부적절한 답변을 할 수 있습니다.