KR101602885B1 - 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법 - Google Patents

네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법 Download PDF

Info

Publication number
KR101602885B1
KR101602885B1 KR1020150012023A KR20150012023A KR101602885B1 KR 101602885 B1 KR101602885 B1 KR 101602885B1 KR 1020150012023 A KR1020150012023 A KR 1020150012023A KR 20150012023 A KR20150012023 A KR 20150012023A KR 101602885 B1 KR101602885 B1 KR 101602885B1
Authority
KR
South Korea
Prior art keywords
traffic
test mode
mode
block
collected
Prior art date
Application number
KR1020150012023A
Other languages
English (en)
Inventor
유대훈
신영상
한영일
이태진
강홍구
김병익
조혜선
황동욱
최보민
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020150012023A priority Critical patent/KR101602885B1/ko
Application granted granted Critical
Publication of KR101602885B1 publication Critical patent/KR101602885B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 페이로드에 통계적 난수성검정을 적용하여 정상적으로 암호화된 트래픽과 악성코드에 의해 발생하는 암호화되지 않은 트래픽을 구분하는 제공하는 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법에 관한 것으로, 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집하는 트래픽 수집부; 트래픽 수집부에 의해 수집된 트래픽을 통계적 검정 알고리즘에 적용시켜 난수와 구별가능한지의 여부를 분석하여 제공하는 트래픽 분석부; 및 트래픽 분석부의 분석결과를 입력받아 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수와 같거나 이상인 경우 이상 트래픽으로 분류하고, 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수 미만인 경우 암호 트래픽으로 분류하여 제공하는 트래픽 분류부를 포함한다. 이에 악성코드의 공격으로부터 시스템들을 보호할 수 있도록 하는 효과가 있다.

Description

네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법{Encrypted payload detection system on network traffic and method the same}
본 발명은 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법에 관한 것으로, 특히 페이로드에 통계적 난수성검정을 적용하여 정상적으로 암호화된 트래픽과 악성코드에 의해 발생하는 암호화되지 않은 트래픽을 구분하는 제공하는 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법에 관한 것이다.
인터넷의 사용이 일반화되고, 사용자 프라이버시의 중요성이 강조됨에 따라 암호화한 통신을 사용하는 경우가 증가하고 있다. 이러한 사용자들의 정상적인 암호화 통신 허용을 위해 IP 혹은 포트 차단 기반의 방화벽은 가장 일반적으로 많이 사용되는 SSH(Secure SHell) 및 HTTPS(HTTP over SSL)를 위한 포트의 접근을 허용하도록 설정되고 있다.
즉, 사용자 프라이버시의 중요성이 증가함에 따라 사용자 데이터의 무결성 및 기밀성을 유지하기 위한 HTTPS 등의 암호화 트래픽 역시 증가할 것으로 예상된다. 따라서 포트 및 IP를 기반으로 공격을 차단하는 보안장비인 방화벽이 SSH 또는 SSL 등 암호 포로토콜에 사용되는 포트를 차단할 경우 정상적인 사용자의 인터넷 사용이 제한되는 등의 문제점이 발생한다.
최근에는 보안장비의 이러한 맹점을 악용하여 악성코드에 감염된 PC가 포트번호 80과 같이 보안장비에서 차단하기 어려운 포트를 이용하여 명령서버와 통신하는 사례도 보고되었다.
따라서 많은 방화벽에서 차단하고 있지 않은 HTTPS 포트 또는 SSH 포트를 이용하는 악성 트래픽을 탐지하는 기술의 개발이 필요하다는 요구가 되었다.
대한민국 등록특허 제 10-1295708 호
이와 같은 개발 요구에 부응하기 위해 본 발명은 페이로드에 통계적 난수성검정을 적용하여 정상적으로 암호화된 트래픽과 악성코드에 의해 발생하는 암호화되지 않은 트래픽을 구분하는 제공하는 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법을 제공하는 것을 목적으로 한다.
본 발명의 실시예에 따른 네트워크 트래픽의 페이로드 암호화 탐지시스템은 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집하는 트래픽 수집부; 트래픽 수집부에 의해 수집된 트래픽을 통계적 검정 알고리즘에 적용시켜 난수와 구별가능한지의 여부를 분석하여 제공하는 트래픽 분석부; 및 트래픽 분석부의 분석결과를 입력받아 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수와 같거나 이상인 경우 이상 트래픽으로 분류하고, 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수 미만인 경우 암호 트래픽으로 분류하여 제공하는 트래픽 분류부를 포함할 수 있다.
본 발명과 관련된 실시예로서, 트래픽 분석부의 통계적 검정 알고리즘은 Frequency Test 모드, Frequency within a Block test 모드, Runs Test 모드, Longest-run of ones in a Block Test 모드, Cumulative sums Test 모드, Serial Test 모드 중 하나 이상으로 이루어질 수 있다.
본 발명과 관련된 실시예로서, Frequency Test 모드는 추출된 트래픽을 이루는 "0"과 "1"의 개수가 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Frequency within a Block test 모드는, 추출된 트래픽을 M-bit 블록으로 나누고 각 블록내에서 0과 1의 개수가 유사한 지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Runs Test 모드는, 추출된 트래픽을 이루는 비트열 내에서 동일한 비트의 개수를 산출하여 미리 설정된 확률값과 비교하여 검정하고, 그 결과값을 제공하는 모드이고, Longest-run of ones in a Block Test 모드는, 추출된 트래픽을 M-bit 블록으로 나누고 각 블록 내에 1로 구성된 비트열 중 가장 긴 것의 길이가 난수에서의 그것과 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Cumulative sums Test 모드는, 추출된 트래픽을 이루는 비트열내의 0과 1을 각각 ­1과 1로 변경하여, 그 합이 0에 가까운지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Serial Test 모드는, 추출된 트래픽을 이루는 비트열 내에 m-bit 패턴이 나타날 확률이 모든 패턴에 대해 균등한지의 여부를 판단하여, 그 결과값을 제공하는 모드일 수 있다.
본 발명과 관련된 실시예로서, 트래픽은, 실행파일(exe), 문서파일(hwp), 문서파일(pdf), 그림파일(jpg), 음악파일(mp3), 압축파일(zip), 암호트래픽(ssh), 암호트래픽(ssl) 중 어느 하나일 수 있다.
본 발명의 실시예에 따른 네트워크 트래픽의 페이로드 암호화 탐지방법은, 페이로드 암호화 탐지 시스템이, 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집하는 단계; 페이로드 암호화 탐지 시스템이, 상기 수집된 트래픽을 통계적 검정 알고리즘에 적용시켜 난수인지의 여부를 분석하는 단계; 페이로드 암호화 탐지 시스템이, 분석된 결과를 기반으로 난수로 판정된 통계적 검정 항목들의 개수를 산출하는 단계; 페이로드 암호화 탐지 시스템이, 산출된 개수가 미리 설정된 기준 개수와 동일하거나 큰지의 여부를 판단하는 단계; 및 페이로드 암호화 탐지 시스템이, 산출된 개수가 기준 개수보다 크거나 같은 경우 이상 트래픽으로 판정하고, 산출된 개수가 기준 개수 미만인 경우 암호화 트래픽으로 판정하여 제공하는 단계로 이루어질 수 있다.
본 발명과 관련된 실시예로서, 통계적 검정 알고리즘은 Frequency Test 모드, Frequency within a Block test 모드, Runs Test 모드, Longest-run of ones in a Block Test 모드, Cumulative sums Test 모드, Serial Test 모드 중 하나 이상으로 이루어질 수 있다.
본 발명과 관련된 실시예로서, Frequency Test 모드는 상기 추출된 트래픽의 "0"과 "1"의 개수가 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Frequency within a Block test 모드는, 상기 추출된 트래픽을 M-bit 블록으로 나누고 각 블록내에서 0과 1의 개수가 유사한 지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Runs Test 모드는, 상기 추출된 트래픽을 이루는 비트열 내에서 동일한 비트의 개수를 산출하여 미리 설정된 확률값과 비교하여 검정하고, 그 결과값을 제공하는 모드이고, Longest-run of ones in a Block Test 모드는, 추출된 트래픽을 M-bit 블록으로 나누고 각 블록 내에 1로 구성된 비트열 중 가장 긴 것의 길이가 난수에서의 그것과 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Cumulative sums Test 모드는, 추출된 트래픽을 이루는 비트열내의 0과 1을 각각 ­1과 1로 변경하여, 그 합이 0에 가까운지의 여부를 검정하고, 그 결과값을 제공하는 모드이고, Serial Test 모드는, 추출된 트래픽을 이루는 비트열 내에 m-bit 패턴이 나타날 확률이 모든 패턴에 대해 균등한지의 여부를 판단하여, 그 결과값을 제공하는 모드일 수 있다.
본 발명과 관련된 실시예로서, 트래픽은, 실행파일(exe), 문서파일(hwp), 문서파일(pdf), 그림파일(jpg), 음악파일(mp3), 압축파일(zip), 암호트래픽(ssh), 암호트래픽(ssl) 중 어느 하나일 수 있다.
본 발명은 페이로드에 통계적 난수성검정을 적용하여 정상적으로 암호화된 트래픽과 악성코드에 의해 발생하는 암호화되지 않은 트래픽을 구분하는 제공함으로써, 악성코드의 공격으로부터 시스템들을 보호할 수 있도록 하는 효과가 있다.
또한, 본 발명은 평문 통신이 이루어져야 할 위치에서 지나가는 암호화된 패킷을 탐지할 수 있도록 하는 효과가 있다.
도 1은 본 발명에 따른 네트워크 트래픽의 페이로드 암호화 탐지시스템을 설명하기 위한 도면이다.
도 2는 본 발명에 따른 네트워크 트래픽의 페이로드 암호화 탐지 방법을 설명하기 위한 동작 흐름도이다.
본 발명에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 발명에서 사용되는 기술적 용어는 본 발명에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 발명에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.
또한, 본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 본 발명에서, "구성된다" 또는 "포함한다" 등의 용어는 발명에 기재된 여러 구성 요소들, 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명에 따른 네트워크 트래픽의 페이로드 암호화 탐지시스템을 설명하기 위한 도면이다.
도 1에 도시된 바와 같이, 본 발명이 적용된 네트워크 트래픽의 페이로드 암호화 탐지시스템은 트래픽 수집부(100), 트래픽 분석부(200), 트래픽 분류부(300)로 이루어진다.
트래픽 수집부(100)가 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집한다. 이때 트래픽은 실행파일(exe), 문서파일(hwp), 문서파일(pdf), 그림파일(jpg), 음악파일(mp3), 압축파일(zip), 암호트래픽(ssh), 암호트래픽(ssl) 등으로 이루어진다.
트래픽 분석부(200)가 트래픽 수집부(100)에 의해 수집된 트래픽을 통계적 검정 알고리즘에 적용시켜 난수와 구별가능한지의 여부를 분석하여 제공한다.
트래픽 분석부(200)의 통계적 검정 알고리즘은 Frequency Test 모드, Frequency within a Block test 모드, Runs Test 모드, Longest-run of ones in a Block Test 모드, Cumulative sums Test 모드, Serial Test 모드 등으로 이루어진다.
각 검정모드에 대해 간단히 설명하면, 먼저 Frequency Test 모드는 추출된 트래픽을 이루는 "0"과 "1"의 개수가 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이다.
Frequency within a Block test 모드는 추출된 트래픽을 M-bit 블록으로 나누고 각 블록내에서 0과 1의 개수가 유사한 지의 여부를 검정하고, 그 결과값을 제공하는 모드이다.
Runs Test 모드는 추출된 트래픽을 이루는 비트열 내에서 동일한 비트의 개수를 산출하여 미리 설정된 확률값과 비교하여 검정하고, 그 결과값을 제공하는 모드이다.
Longest-run of ones in a Block Test 모드는 추출된 트래픽을 M-bit 블록으로 나누고 각 블록 내에 1로 구성된 비트열 중 가장 긴 것의 길이가 난수에서의 그것과 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이다.
Cumulative sums Test 모드는 추출된 트래픽을 이루는 비트열내의 0과 1을 각각 ­1과 1로 변경하여, 그 합이 0에 가까운지의 여부를 검정하고, 그 결과값을 제공하는 모드이다.
Serial Test 모드는 추출된 트래픽을 이루는 비트열 내에 m-bit 패턴이 나타날 확률이 모든 패턴에 대해 균등한지의 여부를 판단하여, 그 결과값을 제공하는 모드이다.
트래픽 분류부(300)가 트래픽 분석부(200)의 분석결과를 입력받아 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수와 같거나 이상인 경우 이상 트래픽으로 분류하고, 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수 미만인 경우 암호 트래픽으로 분류하여 제공한다.
상기와 같이 구성된 네트워크 트래픽의 페이로드 암호화 탐지방법에 대해서 설명하면 다음과 같다.
도 2는 본 발명에 따른 네트워크 트래픽의 페이로드 암호화 탐지방법을 설명하기 위한 동작흐름도이다.
도 2에 도시된 바와 같이 네트워크 트래픽의 페이로드 암호화 탐지방법은, 페이로드 암호화 탐지 시스템의 트래픽 수집부(100)가 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집(S110)한다. 이때 실행파일(exe), 문서파일(hwp), 문서파일(pdf), 그림파일(jpg), 음악파일(mp3), 압축파일(zip), 암호트래픽(ssh), 암호트래픽(ssl) 등일 수 있다.
그리고 이렇게 수집된 트래픽은 트래픽 분석부(200)로 출력되고, 암호화 탐지 시스템의 트래픽 분석부(200)가 을 통계적 검정 알고리즘에 적용시켜 난수인지의 여부를 분석(S120)한다.
이때, 트래픽 분석부(200)가 Frequency Test 모드, Frequency within a Block test 모드, Runs Test 모드, Longest-run of ones in a Block Test 모드, Cumulative sums Test 모드, Serial Test 모드에 대해서 순차적으로, 또는 동시 다발적으로 처리하여, 트래픽을 분석하게 된다.
즉 트래픽 분석부(200)가 Frequency Test 모드를 수행하는 경우 추출된 트래픽의 "0"과 "1"의 개수가 유사한지의 여부를 검정하고, "0"과 "1"의 개수가 동일하면 난수로 판정하여 그 결과값을 제공하고, 동일하지 않은 경우 난수가 아닌 것으로 판정하여 그 결과값을 제공한다.
또한 트래픽 분석부(200)가 Frequency within a Block test 모드를 수행하는 경우 추출된 트래픽을 M-bit 블록으로 나누고 각 블록내에서 0과 1의 개수가 유사한 지의 여부를 검정하여, 0과 1의 개수가 유사한 경우 난수로 판정하여 그 결과값을 제공하고, 0과 1의 개수가 다른 경우 난수가 아닌 것으로 판정하여 그 결과값을 제공한다.
트래픽 분석부(200)가 Runs Test 모드를 수행하는 경우 추출된 트래픽을 이루는 비트열 내에서 동일한 비트의 개수를 산출하여 미리 설정된 확률값과 비교하여 검정하고, 미리 설정된 확률값과 같은 경우 난수로 판정하여 그 결과값을 제공하고, 설정된 확률값과 다른 경유 난수가 아닌 것으로 판정하여 그 결과값을 제공한다.
트래픽 분석부(200)가 Longest-run of ones in a Block Test 모드를 수행하는 경우 추출된 트래픽을 M-bit 블록으로 나누고 각 블록 내에 1로 구성된 비트열 중 가장 긴 것의 길이가 난수에서의 그것과 유사한지의 여부를 검정하고, 난수에서와 동일하거나 유사한 경우 난수로 판정하여 그 결과값을 제공하고, 그렇지 않은 경우 난수가 아닌것으로 판정하여 그 결과값을 제공한다.
트래픽 분석부(200)가 Cumulative sums Test 모드를 수행하는 경우, 추출된 트래픽을 이루는 비트열내의 0과 1을 각각 ­1과 1로 변경하여, 그 합이 0에 가까운지의 여부를 검정하고, 그 합이 0에 가까우면 난수로 판정하여 그 결과값을 제공하고, 그 합이 0보다 크면 난수가 아닌 것으로 판정하여 그 결과값을 제공한다.
트래픽 분석부(200)가 Serial Test 모드를 수행하는 경우, 추출된 트래픽을 이루는 비트열 내에 m-bit 패턴이 나타날 확률이 모든 패턴에 대해 균등한지의 여부를 판단하여, m-bit 패턴이 모든 패턴에 균등하면 난수로 판정하여 그 결과값을 제공하고, 그렇지 않은 경우 난수가 아닌 것으로 판정하여 그 결과값을 제공한다.
그리고 트래픽 분류부(300)가 분석된 결과를 기반으로 난수로 판정된 통계적 검정 항목들의 개수를 산출(S130)하고, 산출된 개수가 미리 설정된 기준 개수와 동일하거나 큰지의 여부를 판단(S140)한다.
S140 단계의 판단결과, 산출된 개수가 기준 개수보다 크거나 같은 경우 트래픽 분류부(300)가 이상 트래픽으로 판정하여 관리(S150)하고, 산출된 개수가 기준 개수 미만인 경우 암호화 트래픽으로 판정하여 관리(S160)한다.
전술한 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 트래픽 수집부
200 : 트래픽 분석부
300 : 트래픽 분류부

Claims (8)

  1. 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집하는 트래픽 수집부;
    상기 트래픽 수집부에 의해 수집된 트래픽을 통계적 검정 알고리즘에 적용시켜 난수와 구별가능한지의 여부를 분석하여 제공하는 트래픽 분석부; 및
    상기 트래픽 분석부의 분석결과를 입력받아 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수와 같거나 이상인 경우 이상 트래픽으로 분류하고, 난수와 구별 가능한 항목의 개수가 미리 설정된 항목의 개수 미만인 경우 암호 트래픽으로 분류하여 제공하는 트래픽 분류부를 포함하여 구성되며,

    상기 트래픽 분석부의 통계적 검정 알고리즘은 Frequency Test 모드, Frequency within a Block test 모드, Runs Test 모드, Longest-run of ones in a Block Test 모드, Cumulative sums Test 모드, Serial Test 모드 중 하나 이상으로 이루어지며,
    상기 Frequency Test 모드는 상기 수집된 트래픽을 이루는 "0"과 "1"의 개수가 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Frequency within a Block test 모드는, 상기 수집된 트래픽을 M-bit 블록으로 나누고 각 블록내에서 0과 1의 개수가 유사한 지의 여부를 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Runs Test 모드는, 상기 수집된 트래픽을 이루는 비트열 내에서 동일한 비트의 개수를 산출하여 미리 설정된 확률값과 비교하여 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Longest-run of ones in a Block Test 모드는, 상기 수집된 트래픽을 M-bit 블록으로 나누고 각 블록 내에 1로 구성된 비트열 중 가장 긴 것의 길이가 난수에서의 그것과 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Cumulative sums Test 모드는, 상기 수집된 트래픽을 이루는 비트열내의 0과 1을 각각 ­1과 1로 변경하여, 그 합이 0에 가까운지의 여부를 검정하고, 그 결과값을 제공하는 모드이고
    상기 Serial Test 모드는, 상기 수집된 트래픽을 이루는 비트열 내에 m-bit 패턴이 나타날 확률이 모든 패턴에 대해 균등한지의 여부를 판단하여, 그 결과값을 제공하는 모드이며,

    상기 트래픽은, 실행파일(exe), 문서파일(hwp), 문서파일(pdf), 그림파일(jpg), 음악파일(mp3), 압축파일(zip), 암호트래픽(ssh), 암호트래픽(ssl) 중 어느 하나인 것을 특징으로 하는 네트워크 트래픽의 페이로드 암호화 탐지시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 페이로드 암호화 탐지 시스템이, 미리 설정된 포트로부터 네트워크를 통해 송출되는 트래픽을 수집하는 단계;
    상기 페이로드 암호화 탐지 시스템이, 상기 수집된 트래픽을 통계적 검정 알고리즘에 적용시켜 난수인지의 여부를 분석하는 단계;
    상기 페이로드 암호화 탐지 시스템이, 분석된 결과를 기반으로 난수로 판정된 통계적 검정 항목들의 개수를 산출하는 단계;
    상기 페이로드 암호화 탐지 시스템이, 산출된 개수가 미리 설정된 기준 개수와 동일하거나 큰지의 여부를 판단하는 단계; 및
    상기 페이로드 암호화 탐지 시스템이, 산출된 개수가 기준 개수보다 크거나 같은 경우 이상 트래픽으로 판정하고, 산출된 개수가 기준 개수 미만인 경우 암호화 트래픽으로 판정하여 제공하는 단계로 이루어지며,

    상기 트래픽 분석부의 통계적 검정 알고리즘은 Frequency Test 모드, Frequency within a Block test 모드, Runs Test 모드, Longest-run of ones in a Block Test 모드, Cumulative sums Test 모드, Serial Test 모드 중 하나 이상으로 이루어지며,
    상기 Frequency Test 모드는 상기 수집된 트래픽을 이루는 "0"과 "1"의 개수가 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Frequency within a Block test 모드는, 상기 수집된 트래픽을 M-bit 블록으로 나누고 각 블록내에서 0과 1의 개수가 유사한 지의 여부를 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Runs Test 모드는, 상기 수집된 트래픽을 이루는 비트열 내에서 동일한 비트의 개수를 산출하여 미리 설정된 확률값과 비교하여 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Longest-run of ones in a Block Test 모드는, 상기 수집된 트래픽을 M-bit 블록으로 나누고 각 블록 내에 1로 구성된 비트열 중 가장 긴 것의 길이가 난수에서의 그것과 유사한지의 여부를 검정하고, 그 결과값을 제공하는 모드이고,
    상기 Cumulative sums Test 모드는, 상기 수집된 트래픽을 이루는 비트열내의 0과 1을 각각 ­1과 1로 변경하여, 그 합이 0에 가까운지의 여부를 검정하고, 그 결과값을 제공하는 모드이고
    상기 Serial Test 모드는, 상기 수집된 트래픽을 이루는 비트열 내에 m-bit 패턴이 나타날 확률이 모든 패턴에 대해 균등한지의 여부를 판단하여, 그 결과값을 제공하는 모드이며,

    상기 트래픽은, 실행파일(exe), 문서파일(hwp), 문서파일(pdf), 그림파일(jpg), 음악파일(mp3), 압축파일(zip), 암호트래픽(ssh), 암호트래픽(ssl) 중 어느 하나인 것을 특징으로 하는 네트워크 트래픽의 페이로드 암호화 탐지방법.
  6. 삭제
  7. 삭제
  8. 삭제
KR1020150012023A 2015-01-26 2015-01-26 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법 KR101602885B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150012023A KR101602885B1 (ko) 2015-01-26 2015-01-26 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150012023A KR101602885B1 (ko) 2015-01-26 2015-01-26 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101602885B1 true KR101602885B1 (ko) 2016-03-11

Family

ID=55583100

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150012023A KR101602885B1 (ko) 2015-01-26 2015-01-26 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101602885B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404772A (zh) * 2020-03-09 2020-07-10 杭州迪普科技股份有限公司 Ssl代理网关的测试***和方法
KR102502475B1 (ko) 2022-11-15 2023-02-23 주식회사 시큐어링크 인공지능 기반 암호 트래픽내 악성 패킷 판단 장치 및 방법
US20240095367A1 (en) * 2022-05-09 2024-03-21 Amazon Technologies, Inc. Verifying encryption of data traffic

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130058853A (ko) * 2011-11-28 2013-06-05 엔에이치엔(주) 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
KR101295708B1 (ko) 2009-12-18 2013-08-16 고려대학교 산학협력단 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101295708B1 (ko) 2009-12-18 2013-08-16 고려대학교 산학협력단 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법
KR20130058853A (ko) * 2011-11-28 2013-06-05 엔에이치엔(주) 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404772A (zh) * 2020-03-09 2020-07-10 杭州迪普科技股份有限公司 Ssl代理网关的测试***和方法
US20240095367A1 (en) * 2022-05-09 2024-03-21 Amazon Technologies, Inc. Verifying encryption of data traffic
KR102502475B1 (ko) 2022-11-15 2023-02-23 주식회사 시큐어링크 인공지능 기반 암호 트래픽내 악성 패킷 판단 장치 및 방법

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
CN107251513B (zh) 用于恶意代码检测的准确保证的***及方法
CN108289088B (zh) 基于业务模型的异常流量检测***及方法
KR102017810B1 (ko) 모바일 기기용 침입방지장치 및 방법
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
Holm Signature based intrusion detection for zero-day attacks:(not) a closed chapter?
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
EP2988468B1 (en) Apparatus, method, and program
EP2040435B1 (en) Intrusion detection method and system
US8533835B2 (en) Method and system for rapid signature search over encrypted content
CN108886515A (zh) 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置
WO2016147944A1 (ja) マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム
Rahal et al. A distributed architecture for DDoS prediction and bot detection
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN105359156A (zh) 非法访问检测***和非法访问检测方法
US20210352092A1 (en) Attack signature generation
KR101602885B1 (ko) 네트워크 트래픽의 페이로드 암호화 탐지시스템 및 방법
Mangrulkar et al. Network attacks and their detection mechanisms: A review
JP4161989B2 (ja) ネットワーク監視システム
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
CN115051874B (zh) 一种多特征的cs恶意加密流量检测方法和***
Leghris et al. Improved security intrusion detection using intelligent techniques
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee