어플리케이션 시그네쳐 자동 생성에 관한 연구

Abstract

네트워크 관리자들은 자신들이 관리하고 있는 네트워크의 현재 상태를 알고자 한다. 이를 위하여 그들은 네트워크 트래픽을 어플리케이션 종류별로 분류한다. 네트워크 트래픽을 어플리케이션 별로 분류하는 방식에는 어플리케이션이 사용하는 포트를 기반으로 분류하는 포트 기반 분류 방식이 있다. 이 방식은 정적 포트 부여 방식을 사용하는 서버 기반 어플리케이션들(HTTP, FTP, SMTP)에 적용될 수 있다. 하지만 동적 포트를 사용하는 P2P, 게임, 스트리밍 어플리케이션의 사용이 늘어남에 따라 포트 기반 방식으로는 분류의 정확도가 떨어지는 한계성을 가지게 되었다. 이를 보안하기 위해서 어플리케이션이 통신할 때 패킷 내에 공통적으로 나타나는 시그네쳐를 기반으로 분류하는 시그네쳐 분류 방식이 제안되었다. 하지만 이 방식은 자동화 되어 있지 않아 인터넷에 존재하는 수천의 어플리케이션의 시그네쳐를 생성하는 데 있어서 비효율적이다. 본 논문에서는 어플리케이션 시그네쳐를 자동으로 생성하기 위한 이슈들을 살펴보고 어플리케이션 시그네쳐 자동생성기를 구현하였다. KAIST 캠퍼스 DAGMON장비를 통해서 네트워크 트래픽을 수집하여 이를 오프라인으로 분석하여, 이미 알려져 있는 시그네쳐들(BitTorrent, edonkey, gnutella, HTTP)뿐 아니라 알려지지 않은 시그네쳐들(MSN 메신저, nateon 메신저)을 생성해 내었다. 실제의 네트워크 트래픽을 기반으로 이를 평가해 보았으며, 생성된 시그네쳐들은 트래픽 분류에 있어서 낮은 폴스 포지티브(4퍼센트 이하)와 낮은 폴스 네가티브(0.8퍼센트 이하)를 보여주었다.