Hadoop-based P2P botnet traffic classification using random forests

Abstract

최근 수십년간 전 세계에서 수 많은 보안 침해 사건이 발생하고 있으며, 대표적으로 봇넷과 같은 공격들은 시민 사회, 기업 및 관공서와 같은 주요 시설에 피해를 입히고 있다. 봇넷은 사전에 공격 받은 컴퓨터들이 원격으로 조작되어 구성하는 큰 규모의 네트워크로 볼 수 있다. 봇넷의 대비책으로는 일반적으로 다양한 곳에 적용 가능하면서 "model-free" 특성을 가지는 기계학습 기법을 활용한다. 그러나 네트워크 트래픽이 지나치게 많기 때문에, 기계학습을 이용한 대비책들은 확장성(scalability)과 탐지의 정확도(accuracy) 사이에 타협을 하게 된다. 본 논문에서는 높은 정확도를 갖으면서도 확장성 문제를 해결할 수 있는 새로운 하둡 기반의 P2P 봇넷 탐지 및 분류 기법을 제안하며, 본 기법은 P2P 봇넷 뿐만 아니라 일반적인 P2P 프로그램(Skype, eMule 등)이 만들어 내는 트래픽또한 분류할 수 있다. 시스템의 구성을 위해 최신 P2P 트래픽 탐지 및 분류 기법과 빅 데이터 분산 처리를 조합하였으며, 전체 시스템의 개발을 위해 하둡을, 트래픽의 분류를 위해 랜덤 포레스트 기법을 사용하였다. 이 중 랜덤 포레스트 분류 방식이 갖는 분산 처리 특성으로 인해, 시스템은 다른 기법에 비해 더욱 높은 확장성을 얻을 수 있다.