KR20200056029A - 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 - Google Patents

수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 Download PDF

Info

Publication number
KR20200056029A
KR20200056029A KR1020180139856A KR20180139856A KR20200056029A KR 20200056029 A KR20200056029 A KR 20200056029A KR 1020180139856 A KR1020180139856 A KR 1020180139856A KR 20180139856 A KR20180139856 A KR 20180139856A KR 20200056029 A KR20200056029 A KR 20200056029A
Authority
KR
South Korea
Prior art keywords
information
entry
feature information
unit
service provider
Prior art date
Application number
KR1020180139856A
Other languages
English (en)
Other versions
KR102119636B1 (ko
Inventor
김원겸
황두성
Original Assignee
(주)에이아이딥
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)에이아이딥 filed Critical (주)에이아이딥
Priority to KR1020180139856A priority Critical patent/KR102119636B1/ko
Publication of KR20200056029A publication Critical patent/KR20200056029A/ko
Application granted granted Critical
Publication of KR102119636B1 publication Critical patent/KR102119636B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자(User=Client) 및 서비스 제공자(Service Provider: SP)의 신원을 공개하지 않는 토르(Tor) 네트워크 등의 익명 네트워크를 분석하기 위한 익명 네트워크 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 익명 네트워크를 통해 불법 정보를 제공하는 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속 정보를 획득하여 실명화하고, 불법 정보를 제공하는 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하여 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법에 관한 것이다.

Description

수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법{Anonymous network analysis system using passive fingerprinting and method thereof}
본 발명은 사용자(User=Client) 및 서비스 제공자(Service Provider: SP)의 신원을 공개하지 않는 토르(Tor) 네트워크 등의 익명 네트워크를 분석하기 위한 익명 네트워크 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 익명 네트워크를 통해 불법 정보를 제공하는 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속 정보를 획득하여 실명화하고, 불법 정보를 제공하는 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하여 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법에 관한 것이다.
일반적으로, 토르 네트워크(Tor Network)는 전 세계에서 자발적으로 제공되는 가상 컴퓨터와 네트워크를 여러 차례 경유하여 이용자의 인터넷 접속 흔적을 추적할 수 없도록 하는 익명 네트워크의 하나이다.
통상, 토르 네트워크는 다수의 토르 노드가 연결 경로를 중계하도록 구성되며, 기본적으로 3개의 노드, 즉 엔트리 노드, 중계 노드 및 종료 노드를 포함한다.
엔트리 노드와 종료 노드는 비밀키 협상을 하여 보안키를 설정하며, 설정된 보안키를 통해 토르 연결 설정을 하고, 엔트리 노드는 사용자 단말부로부터 입력되는 스트림으로부터 사용자의 IP를 인식한 후 보안키로 암호화하여 중계 노드를 통해 종료 노드로 전송한다.
그러면 종료 노드는 상기 보안키에 의해 복호하여 서비스 제공자 서버의 주소를 확인하고, 스트림을 해당 서비스 제공자 서버로 전송한다.
반대 방향의 스트림도 동일한 방식으로 서비스 제공자 서버에서 사용자 단말부로 전송될 것이다.
상기 보안키 설정은 자체 서명된 임시 Diffie-Hellman 키 교환 방식을 적용할 수 있으며, 표준 TLS(Transport Layer Security)를 사용하여 노드 간의 연결을 보호하도록 한다.
토르 네트워크 내의 토르 노드들을 통해 전송되는 TCP 스트림은 분할되어 512바이트(Byte)의 셀(Cell)로 패키지되며, 셀은 대기시간을 줄이기 위해 짧은 유효 페이로드를 포함한다.
각 토르 노드간 연결은 서로 다른 TCP연결에 해당하는 여러 스트림을 다중화하며, 토르 노드와 공격자는 토르 스트림 사이를 구분할 수 없다.
사용하지 않은 토르 경로는 몇 분 단위로 변경되며, 토르 네트워크를 통해 새 경로를 선택하고 키 교환을 수행하며, 암호화된 터널(Channel)을 설정한다.
토르 노드간 송수신되는 토르 셀 트래픽은 연결 경로 연결(Circuit Connection), 취소(Destruction) 및 흐름 제어(Control Flow)의 셀을 포함한다.
흐름제어에 SENDME 셀을 포함하며, 상기 SENDME 셀은 스트림 제어를 위해 50개의 인커밍 셀마다 삽입되고, 경로제어를 위해 100개의 인커밍 셀마다 삽입된다.
상기 토르 네트워크에 접속할 수 있는 토르 브라우저는 사용자 하드디스크에 쿠키 등을 포함하는 정보를 저장하지 않으며, 기본적으로 플래쉬(Flash)를 사용하지 않고, 웹사이트 접근에 HTTPs를 사용한다.
상술한 바와 같이 구성되는 토르 네트워크는 해당 서비스를 이용하는 네트워크의 사용자나 서비스 제공자의 신원이 숨겨져 알 수 없기 때문에 마약이나 무기 등의 불법적인 거래에 악용되어 그 이용률이 급속히 증가하고 있으며, 콘텐츠를 불법 유통시키는 새로운 채널로 문제가 되고 있다.
이에 따라 토르와 같은 주요 익명 네트워크와 같은 새로운 침해 환경에 대한 자동화된 대응 시스템이 요구되어지고 있다.
등록특허공보 제10-1548210호(2015.08.31.공고)
따라서 본 발명의 목적은 익명 네트워크로 들어가는 임의의 진입 노드 및 익명 네트워크와 서비스 제공자의 서버 사이에 연결되는 진출 노드로부터 발생하는 송수신 트래픽 정보를 수집하고, 각 노드에 대한 송수신 트래픽 정보의 특징(Fingerprinting)을 추출한 특징정보(또는 "핑거프린팅 정보"라 함)를 생성하여 사용자 단말부 및 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속정보를 획득하고, 추출된 특징정보와 학습된 기준 특징정보를 비교하여 접속 사이트의 불법 여부를 판단하고, 상기 서비스 제공자 서버 및 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템은: 사용자 단말부와 익명 네트워크를 연결하는 진입 노드에 연결되어, 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집부; 적어도 하나 이상의 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드에 연결되어, 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구정보 수집부; 및 상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 상기 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석부를 포함하는 것을 특징으로 한다.
상기 익명 네트워크 분석부는, 임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 데이터베이스부; 상기 엔트리정보 수집부가 접속할 진입 노드 및 상기 출구정보 수집부가 접속할 진출 노드의 IP를 설정하는 IP 설정부; 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집부; 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징 추출부; 상기 특징 추출부에서 출력되는 진출 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단부; 및 진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화부를 포함하는 것을 특징으로 한다.
상기 익명 네트워크 분석부는, 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 한다.
상기 익명 네트워크 분석부는, 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화부를 더 포함하고, 상기 불법 접속 판단부는, 상기 진출 히스토그램 특징정보와 기준 진출 특징정보를 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 실명화부는, 상기 검출 대상 서비스 제공자 서버의 진출 히스토그램 특징정보와 진입 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 식별하는 단물 식별정보를 출력하는 것을 특징으로 한다.
상기 특징 추출부는, 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고, ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고, 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고, 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 한다.
[수학식 1]
Figure pat00001
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +
[수학식 2]
Figure pat00002
[수학식 3]
Figure pat00003
상기 학습부는, 상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 기준 진출 특징정보를 생성 또는 갱신하는 것을 특징으로 한다.
상기 히스토그램화부는, 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고, 상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며, 상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법은: 익명 네트워크 분석부가 엔트리 정보를 수집할 진입 노드 및 출구 정보를 수집할 진출 노드의 IP를 설정하는 IP 설정 과정; 엔트리정보 수집부가 사용자 단말부와 익명 네트워크를 연결하는 진입 노드를 통해 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집 과정; 출구 정보 수집부가 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드를 통해 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구 정보 수집 과정; 및 익명 네트워크 분석부가 상기 진입 송수신 트래픽 정보를 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 특정 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석 과정을 포함하는 것을 특징으로 한다.
상기 익명 네트워크 분석 과정은, 분석정보 수집부가 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집 단계; 특징 추출부가 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징정보 수집 단계; 히스토그램화부가 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화 단계; 불법 접속 판단부가 상기 특징 추출부에서 출력되는 진출 히스토그램 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단 단계; 및 실명화부가 진입 히스토그램 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화 단계를 포함하는 것을 특징으로 한다.
상기 익명 네트워크 분석 과정은, 학습부가 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습 단계를 더 포함하는 것을 특징으로 한다.
상기 특징 추출 단계는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고 패킷 길이 추출 단계; ACKNOWLEDGEMENT 및 SENDME 셀을 제거하는 불요정보 제거 단계; 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하는 셀 시퀀스 계산 단계; 및 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 한다.
[수학식 1]
Figure pat00004
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +
[수학식 2]
Figure pat00005
[수학식 3]
Figure pat00006
상기 히스토그램화 단계는, 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하는 히스토그램 생성 단계; 상기 히스토그램에 커널 밀도 추정을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하는 확률밀도 추정 단계; 및 상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 한다.
본 발명은 토르 네트워크와 서비스 제공자 서버, 즉 사이트 사이에서 송수신 트래픽 정보를 수집하여 특징정보를 추출하고, 추출된 특징정보와 악의적인 사이트에 대해 미리 학습된 특징정보를 비교하므로 악의적인 사이트 및 상기 사이트에 접속하는 사용자를 자동 식별할 수 있는 효과를 갖는다.
본 발명은 악의적인 사이트를 식별할 수 있으므로, 불법 및 유해정보를 제공하는 악의적인 사이트에 대한 차단 등의 불법 처리를 자동으로 빠르게 수행할 수 있는 효과를 갖는다.
또한, 본 발명은 악의적인 사이트에 접속하는 사용자 단말부를 식별할 수 있으므로 그에 따른 빠른 대응을 수행할 수 있고, 사용자들의 악의적인 사이트의 접속을 방지할 수 있는 효과를 갖는다.
도 1은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템을 포함하는 통신 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보의 일예를 나타낸 도면이다.
도 3은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보로부터 특징정보를 추출한 일예를 나타낸 도면이다.
도 4는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 익명 네트워크 분석부의 상세 구성을 나타낸 도면이다.
도 5는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 추출된 특징정보를 히스토그램으로 나타낸 도면이다.
도 6은 본 발명에 따른 시간 대역 및 파일 수에 따른 히스토그램 및 확률 분포도를 나타낸 도면이다.
도 7은 본 발명에 따른 추출된 특징정보의 확률분포와 학습된 특징정보의 기준 확률분포 간의 차(면적)를 나타낸 도면이다.
도 8은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법을 나타낸 흐름도이다.
이하 첨부된 도면을 참조하여 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 구성 및 동작을 상세히 설명하고, 상기 시스템에서의 익명 네트워크 분석 방법을 설명한다.
도 1은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템을 포함하는 통신 시스템의 구성을 나타낸 도면이고, 도 2는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보의 일예를 나타낸 도면이며, 도 3은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보로부터 특징정보를 추출한 일예를 나타낸 도면이다. 이하 도 1 내지 도 3을 참조하여 설명한다.
일반적으로 사용자가 사용하는 사용자 단말부(10) 및 서비스 제공자 서버(20)는 유무선 데이터통신망(100)을 통해 무선 및 유선 중 어느 하나로 연결되어 데이터 통신을 수행한다.
상기 유무선 데이터통신망(100)은 와이파이(WiFi)망 및 근거리통신망(Local Area Network: LAN)을 포함하는 광대역통신망, 3세대(3 Generation: 3G), 4G, 5G 등의 이동통신망, 와이브로망 등 중 적어도 어느 하나 이상이 결합되어 TCP/IP 데이터 통신을 제공하는 통신망이다.
또한, 상기 유무선 데이터통신망(100)은 Tor(토르) 등과 같은 익명 네트워크(110)를 포함한다.
사용자 단말부(10)는 데스크톱 컴퓨터, 노트북 등과 같은 컴퓨터 단말기 및 스마트폰, 스마트패드 등으로 불리는 모바일 단말기 등이 될 수 있으며, 익명 네트워크(110)를 통한 서비스 제공자 서버(20)에 접속할 수 있는 토르 웹브라우저 등과 같은 어플리케이션이 설치되어 있을 것이다.
상기 익명 네트워크 접속용 어플리케이션이 구동되는 사용자 단말부(10)는 유무선 데이터통신망(100)의 익명 네트워크(110)에 연결되는 진입 노드(120)를 통해 익명 네트워크(110)에 연결될 수 있으며, 익명 네트워크(110)를 통해 임의의 서비스 제공자 서버(20)에 접속하여 데이터 통신을 수행한다.
서비스 제공자 서버(20)는 익명 네트워크(110)를 통해 임의의 정보를 공급하는 서비스를 제공하는 서버로, 진출 노드(130)를 통해 익명 네트워크(110)와 연결되어 사용자 단말부(10)들에게 해당 정보를 제공한다.
상기 서비스 제공자 서버(20) 중 불법 저작물 서비스, 마약, 총기 등의 불법 거래 서비스 등을 제공하는 서비스 제공자 서버(20)(이하 "검출 대상 서비스 제공자 서버"라 함)도 포함되어 있을 것이다.
진입 노드(120) 및 진출 노드(130)는 익명 네트워크(110)에 연결되는 라우터(Router) 등이 될 수 있으며, 각각 사용자 단말부(10)와 익명 네트워크(110) 및 서비스 제공자 서버(20)와 익명 네트워크(110) 사이에서 수많은 트래픽들을 송수신한다. 상기 진입 노드(120) 및 진출 노드(130)에 대한 정보는 유무선 데이터통신망(100)을 관리하는 통신사로부터 획득될 수 있을 것이다.
사용자 단말부(10)에서 진입 노드(120)로 송신되거나, 진입 노드(120)에서 사용자 단말부(10)로 송신되는 트래픽에는 사용자 단말부(10)의 IP 주소, MAC 주소 등이 포함되어 있을 것이다.
그리고 진출 노드(130)에서 서비스 제공자 서버(20)로 송신되는 트래픽 및 서비스 제공자 서버(20)에서 진출 노드(130)로 송신되는 트래픽에는 서비스 제공자 서버(20)의 IP 주소, MAC 주소 등을 포함되어 있을 것이다.
익명 네트워크 분석 시스템(200)은 통신사 등으로부터 적어도 하나 이상의 진입 노드(120) 및 진출 노드(130)에 대한 인터넷 프로토콜(Internet Protocol: IP) 주소를 제공받아 자동으로 등록하거나, 관리자로부터 직접 입력받아 등록한다.
익명 네트워크 분석 시스템(200)은 입력받은 진입 노드(120) 및 진출 노드(130)에 접속하여, 상기 진입 노드(120)를 통해 익명 네트워크(110)와 송수신되는 트래픽들에 대한 진입 송수신 트래픽 정보 및 상기 진출 노드(130)를 통해 익명 네트워크(110)와 송수신되는 트래픽들에 대한 진출 송수신 트래픽 정보를 수집하고, 수집된 송수신 트래픽 정보들의 특징을 추출하여 진입 특징정보 및 진출 특징정보를 생성한다.
상기 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보는 IP, 맥어드레스 등과 같은 사용자 단말부의 단말 식별정보 및 서비스 제공자 서버의 서버 식별정보별로 수집될 수 있을 것이다.
진입 특징정보 및 진출 특징정보가 생성되면, 익명 네트워크 분석 시스템(200)은 진출 특징정보와 미리 등록하고 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보를 비교하여 상기 서비스 제공자 서버(20)들 중 검출 대상 서비스 제공자 서버가 있는지를 판단하여 검출 대상 서비스 제공자 서버를 검출하며, 검출된 검출 대상 서비스 제공자 서버에 대한 진출 특징정보와 진입 특징정보들을 비교하여 검출 대상 서비스 제공자 서버에 접속하고자 하거나 접속한 사용자 단말부(10)를 검출하고 검출된 사용자 단말부(10)에 대한 단말 식별정보를 획득한다. 상기 단말 식별정보는 사용자 단말부(10)의 IP주소, MAC 주소 등이 될 수 있을 것이다.
구체적으로 익명 네트워크 분석 시스템(200)은 엔트리정보 수집부(300), 출구정보 수집부(400) 및 익명 네트워크 분석부(500)를 포함한다.
상기 익명 네트워크 분석 시스템(200)은 하나의 서버 형태로 구성될 수도 있고, 상기 엔트리정보 수집부(300), 출구정보 수집부(400) 및 익명 네트워크 분석부(500) 각각이 서버형태로 구성될 수도 있으며, 컴퓨터 단말기 및 서버 혼합 형태로 구성될 수도 있을 것이다.
엔트리정보 수집부(300)는 익명 네트워크 분석부(500)에 의해 설정되는 IP의 적어도 하나 이상의 진입 노드(120)에 연결하여 진입 노드(120)를 통해 송수신되는 트래픽들에 대한 진입 송수신 트래픽 정보를 수집하여 익명 네트워크 분석부(500)로 전송한다.
출구정보 수집부(400)는 익명 네트워크 분석부(500)에 의해 설정되는 IP의 적어도 하나 이상의 진출 노드(130)에 연결하여 진출 노드(120)를 통해 송수신되는 트래픽들에 대한 진출 송수신 트래픽 정보를 수집하여 익명 네트워크 분석부(500)로 전송한다.
상기 엔트리정보 수집부(300) 및 출구정보 수집부(400)를 통해 수집되는 송수신 트래픽 정보는 도 2와 같은 형태로 수집될 수 있으며, 상기 송수신 트래픽 정보에는 ACKNOWLEDGEMENT 및 SENDME 셀이 일정 규칙을 가지고 삽입되어 있을 것이다. 상기 ACKNOWLEDGEMENT 시퀀스의 시작을 알리기 위해 삽입되며, 상기 SENDME 셀은 스트림 제어를 위해 50개의 인커밍 셀마다 삽입되고, 경로제어를 위해 100개의 인커밍 셀마다 삽입된다.
익명 네트워크 분석부(500)는 상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부(300)로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부(400)로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 특정 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버(20) 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부(10)를 식별한다.
상기 특징정보는 본 발명의 일차적으로 도 5의 501과 같은 형태로 사인(Sign) 값을 갖는 이진화된 값으로 획득되며, 이진화된 특징정보는 이차적으로 이지화 값들을 히스토그램화한 히스토그램 특징정보로 변환된다.
도 4는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 익명 네트워크 분석부의 상세 구성을 나타낸 도면이고, 도 5는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 추출된 특징정보를 히스토그램으로 나타낸 도면이고, 도 6은 본 발명에 따른 시간 대역 및 파일 수에 따른 히스토그램 및 확률 분포도를 나타낸 도면이며, 도 7은 본 발명에 따른 추출된 특징정보의 확률분포와 학습된 특징정보의 기준 확률분포 간의 차(넓이)를 나타낸 도면이다. 이하 도 4 내지 도 7을 참조하여 설명한다.
익명 네트워크 분석부(500)는 IP 설정부(510), 분석정보 수집부(520), 특징추출부(530), 히스토그램화부(540), 불법 접속 판단부(550), 실명화부(560), 학습부(570) 및 데이터베이스부(580)를 포함한다.
데이터베이스부(580)는 수집되는 송수신 트래픽 정보, 특징정보, 진입 노드(120) 및 진출 노드(130)들의 IP 정보 등을 저장하고, 임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 저장부(582) 및 상기 IP 설정부(510), 분석정보 수집부(520), 특징 추출부(530), 히스토그램화부(540), 불법 접속 판단부(550), 실명화부(560) 및 학습부(570)가 요청하는 정보를 저장부(582)에서 로드하여 해당 구성으로 제공하거나 상기 구성들에 의해 생성된 정보를 저장부(582)에 저장하는 저장 제어부(581)를 포함한다.
IP 설정부(510)는 데이터베이스부(580)에 등록되어 있는 진입 노드(120) 및 진출 노드(130)들에 대한 IP 주소들 중 임의의 또는 특정 IP 주소를 로드하고 엔트리정보 수집부(300)로 진입 송수신 트래픽 정보를 수집할 하나 이상의 진입 노드(120)에 대한 IP 주소를 전송하여 설정하도록 하고, 출구정보 수집부(400)로 진출 송수신 트래픽 정보를 수집할 하나 이상의 진출 노드(130)에 대한 IP 주소를 전송하여 설정하도록 한다.
분석정보 수집부(520)는 상기 엔트리정보 수집부(300) 및 출구정보 수집부(400)를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 특징 추출부(530)로 출력한다.
특징 추출부(530)는 상기 분석정보 수집부(520)로부터 도 2와 같은 형태의 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 도 3과 같은 각각의 진입 특징정보 및 진출 특징정보를 추출하여 히스토그램화부(540)로 출력한다.
구체적으로, 특징 추출부(530)는 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 포함하는 TLS 패킷데이터(PTLS)(이하 "패킷데이터"라 함)를 추출한다.
Figure pat00007
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +
패킷데이터가 추출되면 특징 추출부(530)는 패킷데이터 시퀀스로부터 ACKNOWLEDGEMENT 및 SENDME 셀 등과 같은 불필요한 셀을 제거한다.
상기 ACKNOWLEDGMENT 셀은 패킷 데이터 시퀀스의 처음에 나타나는 셀이다.
상기 SENDME 셀은 인커밍 스트림에서 50번째 마다 삽입되며, 인커밍 연결 경로에서는 100번째 마다 삽입되는 셀이다.
불필요한 셀이 제거되면 특징 추출부(530)는 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토르 셀 시퀀스를 계산한다.
Figure pat00008
토르 셀 시퀀스가 계산되면 특징 추출부(530)는 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성한다.
Figure pat00009
인커밍 셀 시퀀스 Pin과 아웃고잉 시퀀스 Pout의 시간은 같지 않다.
히스토그램화부(540)는 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 도 5와 같이 진입 히스토그램 및 진출 히스토그램을 생성하며, 각각의 진입 히스토그램 및 진출 히스토그램의 확률밀도 함수를 추정하고, 확률을 계산하여 도 6과 같은 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하여 출력한다.
도 6의 701, 702, 703, 704에서와 같이 히스토그램 특징정보는 시간 대역폭(Bandwidth)별 및 파일 수에 따라 그 검출 특성을 조절할 수 있을 것이다. 701은 파일 수가 0-20일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이고, 702는 파일수가 9-1일 때의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이며, 703은 파일수가 10-11일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이며, 704는 파일수가 2804일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이다.
상기 히스토그램화부(540)는 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고, 하기 수학식 4와 같이 상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며, 하기 수학식 5와 같이 상기 확률밀도 함수로부터 확률변수
Figure pat00010
의 확률을 구하여 특징벡터인 특징정보를 생성한다.
Figure pat00011
Figure pat00012
상기 수학식 4 및 수학식 5 자체는 잘 알려져 있는 수학식이므로 그 상세한 설명을 생략한다.
불법 접속 판단부(550)는 상기 특징 추출부(530)에서 출력되는 진출 특징정보와 상기 데이터베이스부(580)의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버(20)들 중 검출 대상 서비스 제공자 서버를 검출한다.
실명화부(560)는 진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버(20)에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부(10)를 검출하고, 상기 사용자 단말부(10)를 인식할 수 있는 단말 식별정보를 출력한다.
학습부(570)는 상기 진출 특징정보 및/또는 상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 진출 특징정보를 생성 또는 갱신한다. 학습부(570)는 진입 특징정보 및/또는 상기 진입 히스토그램 특징정보 또한 딥러닝 모델을 적용하여 학습시켜 기준 진입 특징정보를 생성할 수도 있을 것이다.
학습부(570)는 초기에 익명 네트워크(110)를 통해 불법 정보를 제공하는 적어도 하나 이상의 테스트 서비스 제공자 서버들을 구성하고, 이러한 테스트 서비스 제공자 서버들이 송수신하는 송수신 트래픽 정보를 수집하여 특징정보를 생성하고, 생성된 특징정보를 딥러닝 모델 등의 학습 모델을 적용하여 학습시켜 기준 특징정보를 생성한 후, 상기 기준 특징정보를 기준으로 검출되는 검출 대상 서비스 제공자 서버로부터 수집한 송수신 트래픽 정보에 대한 특징정보를 누적하여 지속적으로 학습하는 것이 바람직할 것이다.
도 8은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법을 나타낸 흐름도이다.
우선, 익명 네트워크 분석부(500)는 IP 설정부(510)를 통해 익명 네트워크 분석 이벤트가 발생하면 익명 네트워크(110)에 연결되고 송수신 트래픽 정보를 수집할 진입 노드(120) 및 진출 노드(130)에 대한 IP 주소를 설정한다(S111). 상기 익명 네트워크 분석 이벤트는, 일정 시간 주기로 발생될 수도 있고, 관리자의 요청에 의해서 발생될 수도 있을 것이다.
진입 노드(120) 및 진출 노드(130)에 대한 IP 주소가 설정되면 익명 네트워크 분석부(500)는 분석정보 수집부(520)를 통해 진입 노드(120) 및 진출 노드(130)에 접속한(S113) 후, 상기 진입 노드(120) 및 진출 노드(130)로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집한다(S115).
진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보가 수집되면 익명 네트워크 분석부(500)는 특징 추출부(530)를 통해 진입 송수신 트래픽 정보로부터 진입 특징정보를 추출하고, 진출 송수신 트래픽 정보로부터 진출 특징정보를 생성한다(S117).
진입 특징정보 및 진출 특징정보가 추출되면 익명 네트워크 분석부(500)는 히스토그램화부(540)를 통해 상기 진입 특징정보를 히스토그램화하여 진입 히스토그램 특징정보를 생성하고, 상기 진출 특징정보를 히스토그램화하여 진출 히스토그램 특징정보를 생성한다(S119).
익명 네트워크 분석부(500)는 불법 접속 판단부(550)를 통해 도 7과 같이 추출된 진출 히스토그램 특징정보(801)와 검출 대상 서비스 제공자 서버들이 송수신하는 진출 송수신 트래픽 정보에 근거하여 학습된 기준 진출 히스토그램 특징정보인 기준 특징정보(802)의 차 값(면적 값)(803)을 계산하고(S121), 상기 차 값이 기준값 이상인지를 판단한다(S123).
판단결과, 차 값이 기준값을 초과하면 익명 네트워크 분석부(500)는 진출 히스토그램 특징정보에 대응하는 진출 송수신 트래픽 정보를 발생시킨 서비스 제공자 서버(20)를 검출 대상 서비스 제공자 서버로 판정한다(S125). 즉, 익명 네트워크 분석부(500)는 상기 서비스 제공자 서버(20)를 불법정보를 제공하는 서버로 판단하여 검출 대상 서비스 제공자 서버인 서비스 제공자 서버(20)의 IP를 검출한다.
상기 검출 대상 서비스 제공자 서버가 검출되면 익명 네트워크 분석부(500)는 상기 진출 히스토그램 특징정보와 사용자 단말부(10)(사용자 단말부의 IP)별 진입 히스토그램 특징정보들과 비교하여 일치 또는 일정 범위 내에서 유사한 진입 히스토그램 특징정보들을 검출하고, 검출된 유사한 진입 히스토그램 특징정보를 발생시킨 사용자 단말부(10)를 상기 검출 대상 서비스 제공자 서버에 접속하여 정보를 송수신하는 단말부로 결정하여 해당 사용자 단말부(10)의 IP를 검출한다(S127).
상기 검출된 IP 등의 검출정보는 관리자 단말부를 통해 관리자에게 제공될 수 있을 것이다.
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
10: 사용자 단말부 20: 서비스 제공자 서버
100: 유무선 데이터통신망 110: 익명 네트워크
120: 진입 노드 130: 진출 노드
200: 익명 네트워크 분석 시스템 300: 엔트리정보 수집부
400: 출구정보 수집부 500: 익명 네트워크 분석부
510: IP 설정부 520: 분석정보 수집부
530: 특징 추출부 540: 히스토그램화부
550: 불법 접속 판단부 560: 실명화부
570: 학습부 580: 데이터베이스부
581: 저장 제어부 582: 저장부

Claims (14)

  1. 사용자 단말부와 익명 네트워크를 연결하는 진입 노드에 연결되어, 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집부;
    적어도 하나 이상의 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드에 연결되어, 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구정보 수집부; 및
    상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 상기 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석부를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  2. 제1항에 있어서,
    상기 익명 네트워크 분석부는,
    임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 데이터베이스부;
    상기 엔트리정보 수집부가 접속할 진입 노드 및 상기 출구정보 수집부가 접속할 진출 노드의 IP를 설정하는 IP 설정부;
    상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집부;
    상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징 추출부;
    상기 특징 추출부에서 출력되는 진출 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단부; 및
    진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화부를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  3. 제2항에 있어서,
    상기 익명 네트워크 분석부는,
    초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  4. 제2항에 있어서,
    상기 익명 네트워크 분석부는,
    상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화부를 더 포함하고,
    상기 불법 접속 판단부는,
    상기 진출 히스토그램 특징정보와 기준 진출 특징정보를 비교하여 검출 대상 서비스 제공자 서버를 검출하고,
    상기 실명화부는,
    상기 검출 대상 서비스 제공자 서버의 진출 히스토그램 특징정보와 진입 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 식별하는 단물 식별정보를 출력하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  5. 제4항에 있어서,
    상기 익명 네트워크 분석부는,
    초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  6. 제2항에 있어서,
    상기 특징 추출부는,
    수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고
    ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고,
    하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고,
    하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
    [수학식 1]
    Figure pat00013

    li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +

    [수학식 2]
    Figure pat00014

    [수학식 3]
    Figure pat00015

  7. 제5항에 있어서,
    상기 학습부는,
    상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 기준 진출 특징정보를 생성 또는 갱신하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  8. 제4항에 있어서,
    상기 특징 추출부는,
    수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고
    ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고,
    하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고,
    하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
    [수학식 1]
    Figure pat00016

    li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +

    [수학식 2]
    Figure pat00017

    [수학식 3]
    Figure pat00018

  9. 제8항에 있어서,
    상기 히스토그램화부는,
    상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고,
    상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며,
    상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
  10. 익명 네트워크 분석부가 엔트리 정보를 수집할 진입 노드 및 출구 정보를 수집할 진출 노드의 IP를 설정하는 IP 설정 과정;
    엔트리정보 수집부가 사용자 단말부와 익명 네트워크를 연결하는 진입 노드를 통해 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집 과정;
    출구 정보 수집부가 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드를 통해 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구 정보 수집 과정; 및
    익명 네트워크 분석부가 상기 진입 송수신 트래픽 정보를 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석 과정을 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
  11. 제10항에 있어서,
    상기 익명 네트워크 분석 과정은,
    분석정보 수집부가 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집 단계;
    특징 추출부가 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징정보 수집 단계;
    히스토그램화부가 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화 단계;
    불법 접속 판단부가 상기 특징 추출부에서 출력되는 진출 히스토그램 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단 단계; 및
    실명화부가 진입 히스토그램 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
  12. 제11항에 있어서,
    상기 익명 네트워크 분석 과정은,
    학습부가 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습 단계를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
  13. 제12항에 있어서,
    상기 특징 추출 단계는,
    수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고 패킷 길이 추출 단계;
    ACKNOWLEDGEMENT 및 SENDME 셀을 제거하는 불요정보 제거 단계;
    하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하는 셀 시퀀스 계산 단계; 및
    하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
    [수학식 1]
    Figure pat00019

    li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +

    [수학식 2]
    Figure pat00020

    [수학식 3]
    Figure pat00021

  14. 제13항에 있어서,
    상기 히스토그램화 단계는,
    상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하는 히스토그램 생성 단계;
    상기 히스토그램에 커널 밀도 추정을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하는 확률밀도 추정 단계; 및
    상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
KR1020180139856A 2018-11-14 2018-11-14 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 KR102119636B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180139856A KR102119636B1 (ko) 2018-11-14 2018-11-14 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180139856A KR102119636B1 (ko) 2018-11-14 2018-11-14 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20200056029A true KR20200056029A (ko) 2020-05-22
KR102119636B1 KR102119636B1 (ko) 2020-06-08

Family

ID=70914065

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180139856A KR102119636B1 (ko) 2018-11-14 2018-11-14 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102119636B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234698B1 (ko) * 2020-09-21 2021-04-02 (주)에이아이딥 합성곱 신경망을 이용한 토르 사이트 수동 핑거프린팅 시스템 및 방법
CN114422210A (zh) * 2021-12-30 2022-04-29 中国人民解放军战略支援部队信息工程大学 基于AnoA理论的匿名网络被动流量分析评估方法及***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101548210B1 (ko) 2014-01-06 2015-08-31 고려대학교 산학협력단 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101548210B1 (ko) 2014-01-06 2015-08-31 고려대학교 산학협력단 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Kota Abe 외 1인 ‘Fingerprinting Attack on Tor Anonymity using Deep Learning’, Proceedings of the APAN Research Workshop (2016.)* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234698B1 (ko) * 2020-09-21 2021-04-02 (주)에이아이딥 합성곱 신경망을 이용한 토르 사이트 수동 핑거프린팅 시스템 및 방법
CN114422210A (zh) * 2021-12-30 2022-04-29 中国人民解放军战略支援部队信息工程大学 基于AnoA理论的匿名网络被动流量分析评估方法及***

Also Published As

Publication number Publication date
KR102119636B1 (ko) 2020-06-08

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
Xu et al. Am I eclipsed? A smart detector of eclipse attacks for Ethereum
CN112019574B (zh) 异常网络数据检测方法、装置、计算机设备和存储介质
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
WO2022083417A1 (zh) 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
US11196670B2 (en) System and method for identifying devices behind network address translators
CN110417717B (zh) 登录行为的识别方法及装置
Deng et al. The random forest based detection of shadowsock's traffic
Zeng et al. Flow context and host behavior based shadowsocks’s traffic identification
CN106778229B (zh) 一种基于vpn的恶意应用下载拦截方法及***
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
US20170134413A1 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
CN113518042B (zh) 一种数据处理方法、装置、设备及存储介质
Bachupally et al. Network security analysis using Big Data technology
CN106656966B (zh) 一种拦截业务处理请求的方法和装置
Soleimani et al. Real-time identification of three Tor pluggable transports using machine learning techniques
Csikor et al. Privacy of DNS-over-HTTPS: Requiem for a Dream?
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
JP2023516621A (ja) 人工知能マシンラーニング行為ベースウェブプロトコル分析によるウェブ攻撃検知および遮断システムおよび方法
CN112434304A (zh) 防御网络攻击的方法、服务器及计算机可读存储介质
KR101210622B1 (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
EP4033717A1 (en) Distinguishing network connection requests
CN112491836B (zh) 通信***、方法、装置及电子设备

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant