데이터 마이닝을 이용한 DDoS 공격 탐지 기법

Abstract

DDoS(Distributed Denial of Service, 분산 서비스 거부) 공격은 인터넷 보안 문제 중 가장 심각한 문제로 대두되고 있다. 인터넷 상의 모든 호스트들이 완벽한 보안을 유지하는 것이 사실상 불가능하므로 많은 호스트들이 DDoS 공격의 매개체가 될 수 있고, 이로 인해 현재의 인터넷은 DDoS 공격으로부터 많은 위험에 노출되어 있다. 또한 DDoS 공격 도구들이 더욱 지능적이고 복잡해짐에 따라 DDoS 공격의 파급 효과와 피해 사례가 더 증가하고 있다. 이에 따라 DDoS 공격이 공격 대상 시스템 혹은 네트워크를 완전히 마비시키기 전에 가능한 한 미리 공격을 탐지하는 것이 현재로선 가장 중요한 보안 방법이라고 할 수 있다. 본 논문에서는 DDoS 공격의 특성을 파악하고, DDoS 공격의 피해를 최소화하기 위한 DDoS 공격 탐지에 관한 연구를 수행하였다. 본 논문에서는 현재까지 개발된 DDoS 공격 도구 중 가장 강력한 도구를 이용하여 실제 네트워크에서 공격 테스트를 수행하고, 정상 트래픽과 공격 트래픽을 수집하였다. 수집된 플로우 기반의 Netflow 데이터 분석을 통해 공격 트래픽의 특성을 파악하였다. 이를 바탕으로 공격 패턴을 모델링하기 위하여 데이터 마이닝 기법을 이용한 방법을 연구하고, 다각적인 데이터 마이닝 기법으로 탐지 모델을 구축하고 탐지 성능을 검증하였다. 본 논문에서 제안한 탐지 메커니즘은 다음과 같은 특징을 갖는다. 공격 실험을 통해 실제 네트워크 트래픽에 나타나는 변화를 분석하였으며, 플로우 기반의 Netflow 데이터를 사용하여 DDoS 공격 탐지를 위한 효과적인 분석이 가능하였다. 여러 공격 도구 및 공격 유형의 실험을 통하여 생성된 탐지 모델은 다양한 공격 트래픽의 탐지에 효과적이다. 대량의 데이터 분석이 가능한 데이터 마이닝 기법을 이용하였으며, 여러 가지 기법 중 의사 결정 트리 기법과 신경망 기법을 결합한 데이터 마이닝 기법을 이용한 탐지 모델을 제안하였다. 몇 가지 실험을 통해 제안한 탐지 모델이 오분류율을 낮춤으로써 향상된 탐지 성능을 보였다. ;DDoS(Distributed Denial of Service) attacks are becoming an increasingly frequent disturbance of the global Internet. As systems become ever more complex, there are always exploitable weakness in the systems due to design and programming errors. Therefore, the fact that the large number of hosts on the Internet that have poor or no security provides the attackers with the perfect attack platform. In addition, there are many automatic attacking tools, such as Tribal Flood Network(TFN), TFN2K, Trinoo, and stacheldraht, which enable low-skill users to launch an attack with several simple commands. Thus, as the first step to defend DDoS attacks, it is required to detect the attack as soon as possible before the victim system or network gets damaged seriously from the DDoS attack. In this paper, I analyzed the features of DDoS attacks and study the detection mechanism against DDoS attack in order to minimize damage from the attack. I collected normal traffic and attack traffic through mounting the famous DDoS attacks. These collected data were the flow-based data providing at the Netflow of Cisco, thus they were usable for recognizing the characteristics of attack traffic. After the analysis of peculiar features, I studied data mining technologies in order to model attack pattern. Using various data mining methods, we builded several DDoS attack detection models and proved our model to provide the excellent performance. The followings are the features of our proposed detection mechanism. Through the attack test I analyzed the actual network traffic. I used the flow-based Netflow data which is good to analyze the features of DDoS attacks effectively. Proposed detection model with various attack tests is effective to detect various attack cases. For analysis of large data I used the data mining technologies. Proposed detection model is builded by a combined data mining approach using decision tree and neural network method. I proved that the proposed model had the excellent detection performance by lowering misclassification rate