웹 하드 디스크 응용 트래픽 분석 - NM Lab at Korea Univ. - 고려대학교

제31회 한국정보처리학회 춘계학술발표대회 논문집 제16권 제1호 (2009. 4)3.4 Flow 검증 시스템을 이용한 시그니쳐 추가 생성및 재정리수작업으로 인해 조사된 header signature 는 정확성이 높지 않다. 그러므로 체계적인 알고리즘을 이용한Flow 검증 시스템을 통한 검증으로 header signature 의오분류를 재정리하고 payload signature 를 필요에 따라추가시켜서 웹하드 응용의 정확성을 높였다. 검증 시스템에 대해서 검증방법에서 자세히 다루도록 하겠다.웹하드 서비스를 독립적으로 실행시킨 후 저자의 호스트들과 일치하는 Source IP address 를 기준으로 웹하드 프로세스의 이름을 비교하고, 출력된 결과의FP(false positive), FN(false negative)을 중심으로 Flow 를분석하는 테스트를 시행했다. 현재 이 시스템을 이용하여 피드백을 한 후, 분류의 90% 이상의 정확도로웹하드 트래픽의 특징을 찾아 낼 수 있도록 하였다.4. 분류 기준 및 방법분류 방법은 학내 전체 트래픽에서 본 연구실에서개발한 시스템으로 각 서비스의 서비스코드 및 프로세스를 비교하여 분류하였다. 효율적으로 웹하드 서비스를 분류하기 위해 다음과 같은 분류기준을 사용하였다. 분류기준signature 생성 후 웹하드 서비스의 해당된 headersignature 또는 payload signature 를 가진 플로우를 그웹하드 서비스의 플로우로 분류한다.동일한 header signature 를 가진 Internet Explore 의 웹브라우징 서비스는 동일 웹하드 서비스로 분류한다.동일한 header signature 를 가지고 payload signature 가존재 하지 않은 어떤 웹하드 서비스는 같은 headersignature 를 가진 다른 웹하드 서비스와 같은 그룹으로 묶는다.웹하드 서비스에 포함된 각각의 프로세스들이 동일한 header signature 를 가지고 payload signature 가 존재하지 않는 경우, 하나의 웹하드 서비스로 분류한다.전체적인 분류 알고리즘 (그림 2)와 같다. 시그니쳐를 등록한 XML 파일을 데이터화 한 후 학내 전체 트래픽 데이터에서 프로세스 코드와 시그니쳐를 이용해분류해낸다.5. 검증 방법Flow 검증 시스템을 시그니쳐 생성 및 검증을 위해 사용하였다. 이 시스템은 signature 와 서비스, 프로세스 코드로 정형화된 XML 파일을 기반으로 Flow 들을 분류해내고, TMA[4] 기반으로 만들어진 정답지와비교하여 트래픽 분류의 정확성을 웹페이지에 출력하게 된다. TMA 는 트래픽 분석과 검증을 위한 도구로써, 네트워크 내의 종단 호스트에 설치한다. TMA 는매분 호스트의 소켓정보를 TMS(Traffic MeasurementServer)로 전송시킨다. 모든 트래픽은 응용(application)에 의해 소켓에서 시작하고 종결됨으로 TMA 정보(Process name, IP Address, Port Number 등)와 Flow(인터넷과 연결된 백본 스위치에서 수집)를 비교하면 해당트래픽을 발생 시킨 응용을 알아낼 수 있다.정확도는 TP, TN, FP, FN 을 통하여 Precision 과Recall 로 산출된다. 이 용어들에 대한 자세한 설명은를 통하여 알 수 있다.정확도 측정을 위해 사용된 용어용어설명TP(X) 응용 X 의 트래픽을 올바르게 분류TN(X) 응용 X 가 아닌 다른 응용(Y)의 트래픽을올바르게 분류FP(X) 다른 응용(Y)의 트래픽을 응용 X 의 트래픽으로 잘못 분류FN(X) 응용 X 의 트래픽을 분류 못함응용 X 의 트래픽을 응용 Y 의 트래픽으로잘못 분류Precision TP/(TP + FP)Recall TP/(TP + FN)(그림 3)은 검증 시스템이다. TMA 에서 보내온 호스트들에 대한 정보를 분류 시스템에 의해서 분류된플로우와 비교해 검증 결과를 산출해 낸다.(그림 2) 분류 시스템 구성도(그림 3) 검증 시스템 구성도- 1294 -