Abstract:
본 발명은 인터넷상의 각종 봇(Bot)과 웜(Worm) 바이러스들을 효율적으로 탐지하기 위한 탐지척도선정방법에 관한 것으로 더욱 상세하게는 규칙기반 프로파일링에 의한 네트워크 레벨에서의 오용행위 탐지기법을 적용하여 봇과 웜바이러스를 탐지하기 위한 방법에 관한 것으로서 패킷 데이터의 헤더부분을 탐색하는 단계; 상기 헤더정보에서 척도를 선정하는 단계; 상기 분리된 세션에서 공격과 정상행위 분포 사이의 거리를 계산하는 단계; 상기 계산 결과에서 PDD(Probability Distribution Distance)가 임계값 보다 큰 탐지척도만을 선정하는 단계; 상기 선정된 탐지척도의 속성을 정의하는 단계; 상기 속성중 웜 또는 봇으로 판단되는 속성을 추출하는 단계;에 의해 이루어진다. 봇, 웜, 악성봇, 탐지패턴
Abstract:
본 발명은 선정된 탐지척도를 이용하여 규칙기반의 탐지패턴을 자동으로 생성할 수 있도록 TCP(Transmission Control Protocol) 세션기반 분류모델에 의한 악성 봇과 웜의 탐지패턴 자동생성 방법에 관한 것으로서, 네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 단계; 앞 단계에서의 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성한 후 탐지규칙으로 정형화(탐지패턴 자동 생성)하는 학습단계; 그리고 각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 구성한 것을 특징으로 한다. 봇과 웜 탐지, TCP 세션 기반 탐지, 악성봇과 웜 탐지, 탐지패턴 자동 생성, 패킷 헤더영역 탐지, 의사결정나무, 분류 알고리즘, 탐지규칙, 침입탐지, 침입패턴
Abstract:
A method for detecting a P2P(Peer to Peer)-based bot-net by using a network traffic transfer model is provided to detect a bot-net quickly and correctly by generating and matching a detection model with a suspicious traffic in the P2P network. A traffic flow group is generated by collecting and clustering network connection flow on the network. Information, which represents that a state of the traffic flow group is changed, is collected and a multi-frequency matrix is formed and trained based on the collected information. A multi-state transfer probability model is obtained by generating a probability matrix for all attacks of the bot-net and the probability matrix for normality through a learning process. The probability model is matched with the model for the state transfer information, which is collected from the traffic of the network in real time. It is detected whether the malicious bot-net is found by comparing a model matching result value with a preset threshold.