대규모 기간망에서의 네트워크 공격탐지를 위한 통계적 기법에 관한 연구

학위논문(석사) - 한국과학기술원 : 산업공학과, 2005.2, [ ii, 45 p. ]Several network attacks, such as distributed denial of service (DDoS) attack, presents a very serious threat to the stability of the internet. The threat posed by network attacks on large networks, such as the internet, demands effective detection method. Therefore, a simple intrusion detection system on large-scale backbone network is needed for the sake of real-time detection, preemption and detection efficiency. In this paper, in order to discriminate attack traffic from legitimate traffic on backbone links, we suggest a relatively simple statistical measure, entropy, which can track value frequency. Because according to network attacks, there should be unusual value frequency in source IP, destination IP and destination port, we observe changes of entropy value for three selected packet attributes. In order to evaluate our detecting algorithm, we experimented with 2000 DARPA Intrusion Detection Scenario Specific Data Sets. The result shows that network attack packets show anomalies in entropy values of selected packet attributes. In other words, there is conspicuous distinction of entropy values between attack traffic and legitimate traffic. And also according to the type of the network attacks, there are significant differences of the entropy values. Therefore, we can identify what kind of attack it is as well as detecting the attack traffic using entropy value.한국과학기술원 : 산업공학과

Network Attack Detection based on Multiple Entropies

인터넷의 사용이 증가하면서, DDoS (분산 서비스 공격)를 비롯한 여러 가지 네트워크 공격들이 오늘날 인터넷의 안정성에 커다란 위협을 가하고 있다. 인터넷과 같은 대규모 망을 대상으로 한 이러한 네트워크 공격들은 특정 호스트에 대한 피해뿐만 아니라, 전체 네트워크의 성능 저하를 유발한다. 이러한 피해를 막기 위해서 대규모 기간망에서 적용 가능한 효율적이고 간단한 공격 탐지 기법이 필요하다. 이를 위해 빈도의 분포에 대한 간단한 통계치인 엔트로피를 이용하고자 한다. 네트워크 공격에 따라서 특정 근원지 주소, 특정 목적지 주소 그리고 특정 목적지 포트의 비정상적인 빈도가 관찰되기 때문에 위 세가지 항목에 대한 엔트로피의 변화를 이용하여 네트워크 공격을 탐지한다. 세가지 엔트로피의 변화하는 형태를 분석하여 네트워크 공격의 종류 또한 파악할 수 있다