Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on the Detection Model of Illegal Access to Large-scale Service Networks using Netflow

Netflow를 활용한 대규모 서비스망 불법 접속 추적 모델 연구

  • 이택현 (서울과학기술대학교 IT정책전문대학 산업정보시스템) ;
  • 박원형 (상명대학교 정보보안공학과) ;
  • 국광호 (서울과학기술대학교 기술경영융합대학 글로벌융합산업공학과)
  • Received : 2021.06.25
  • Accepted : 2021.06.29
  • Published : 2021.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

To protect tangible and intangible assets, most of the companies are conducting information protection monitoring by using various security equipment in the IT service network. As the security equipment that needs to be protected increases in the process of upgrading and expanding the service network, it is difficult to monitor the possible exposure to the attack for the entire service network. As a countermeasure to this, various studies have been conducted to detect external attacks and illegal communication of equipment, but studies on effective monitoring of the open service ports and construction of illegal communication monitoring system for large-scale service networks are insufficient. In this study, we propose a framework that can monitor information leakage and illegal communication attempts in a wide range of service networks without large-scale investment by analyzing 'Netflow statistical information' of backbone network equipment, which is the gateway to the entire data flow of the IT service network. By using machine learning algorithms to the Netfllow data, we could obtain the high classification accuracy of 94% in identifying whether the Telnet service port of operating equipment is open or not, and we could track the illegal communication of the damaged equipment by using the illegal communication history of the damaged equipment.

대다수의 기업은 유무형의 자산을 보호하기 위한 방안으로, IT서비스망에 다양한 보안 장비를 구축하여 정보보호 모니터링을 수행하고 있다. 그러나 서비스 망 고도화 및 확장 과정에서 보안 장비 투자와 보호해야 할 자산이 증가하면서 전체 서비스망에 대한 공격 노출 모니터링이 어려워지는 한계가 발생하고 있다. 이에 대응하기 위한 방안으로 외부자의 공격과 장비 불법통신을 탐지할 수 있는 다양한 연구가 진행되었으나, 대규모 서비스망에 대한 효과적인 서비스 포트 오픈 감시 및 불법 통신 모니터링 체계 구축에 대한 연구는 미진한 편이다. 본 연구에서는 IT서비스망 전체 데이터 흐름의 관문이 되는 네트워크 백본장비의 'Netflow 통계 정보'를 분석하여, 대규모 투자 없이 광범위한 서비스망의 정보 유출 및 불법 통신 시도를 감시할 수 있는 프레임워크를 제안한다. 주요 연구 성과로는 Netflow 데이터에서 운영 장비의 텔넷 서비스 오픈 여부를 6개의 ML 머신러닝 알고리즘으로 판별하여 분류 정확도 F1-Score 94%의 높은 성능을 검증하였으며, 피해 장비의 불법 통신 이력을 연관하여 추적할 수 있는 모형을 제안하였다.

Keywords

References

  1. 강원철. "MapReduce 기반의 대용량 트래픽 분석 도구." 국내석사학위논문 忠南大學校 大學院, 2011.
  2. 안혜선, 박제원, 최재현, 이남용. "GPU기반의 보안로그 이벤트 고속필터링기법에 대한 실증적 연구." 한국정보기술학회논문지 11.9 (2013): 133-141.
  3. 임익규, 안명수, 박성봉, 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템, KR101602189B1, 2015-04-28, 2016-03-11.
  4. 최상용, 천은영, 고대식. (2019). Suricata를 이용한 대용량 네트워크 트래픽 수집성능분석. 한국정보기술학회논문지, 17(8), 59-6 .
  5. 탕천연. "디지털 시대의 포스터 디자인 문화와 발전 방향에 관한 연구." 국내박사학위논문 인천대학교 일반대학원, 2020.
  6. 한태현,이현명,조효재,조희승. "암호화 통신의 모니터링을 위한 SSLSPLIT 성능 분석." 정보과학회 컴퓨팅의 실제 논문지 25.10 (2019): 485-492.
  7. 화웨이/논란, 나무위키 홈페이지, 2021년03월08월 수정, 2021년03월08월 접속, https://namu.wiki/w/화웨이/논란.
  8. Backdoors Keep Appearing In Cisco's Routers, Tom's Hardware, 2018년7월19일수정, 2021년3월8일접속, https://www.tomshardware.com/news/cisco-backdoor-hardcoded-accounts-software,37480.html.
  9. Bilge, Leyla & Balzarotti, Davide & Robertson, William & Kirda, Engin & Kruegel, Christopher. (2012). Disclosure: Detecting botnet command and control servers through large-scale NetFlow analysis. ACM International Conference Proceeding Series. 129-138.
  10. Cisco IOS NetFlow, CISCO 홈페이지, 2021년3월8월 접속, http://www.cisco.com/web/go/netflow.
  11. CISCO, Cisco Annual Internet Report (2018-2023) White Paper, March 2020.
  12. Fortinet Finds More SSH Backdoors, Bankinfo Security 홈페이지, 2016년 1월 25일 수정, 2021년 3월 8일 접속, https://www.bankinfosecurity.com/fortinet-finds-more-ssh-backdoors-a-8826.
  13. Hameed, S., Ali, U. HADEC: Hadoop-based live DDoS detection framework. EURASIP J. on Info. Security 2018, 11 (2018). https://doi.org/10.1186/s13635-018-0081-z
  14. L. Dias, S. Valente and M. Correia, "Go With the Flow: Clustering Dynamically-Defined NetFlow Features for Network Intrusion Detection with DynIDS," 2020 IEEE 19th International Symposium on Network Computing and Applications (NCA), Cambridge, MA, USA, 2020, pp. 1-10.
  15. M. M. Najafabadi, T. M. Khoshgoftaar, C. Calvert and C. Kemp, "Detection of SSH Brute Force Attacks Using Aggregated Netflow Data," 2015 IEEE 14th International Conference on Machine Learning and Applications (ICMLA), Miami, FL, USA, 2015, pp. 283-288, doi: 10.1109/ICMLA.2015.20.
  16. Proto, Andre & Alexandre, Leandro & Batista, Maira & Oliveira, Isabela & Cansian, Adriano. (2010). Statistical Model Applied to NetFlow for Network Intrusion Detection. Transactions on Computational Science. 11. 179-191. 10.1007/978-3-642-17697-5_9.
  17. Sonicwall, 2020 Sonicwall Cyber Threat Report Mid-Year Update, July 2020.
  18. Thapngam T, Yu S, Zhou W, Makki S (2012) Distributed Denial of service (DDoS) detection by traffic pattern analysis. In: Peer-to-Peer networking and applications December 2014, Springer, Vol 7, Issue 4, pp 346-358 https://doi.org/10.1007/s12083-012-0173-3
  19. Zhang, S., Shi, R. & Zhao, J. Seeflow: A Visualization System Using 2T Hybrid Graph for Characteristics Analysis of Abnormal Netflow. Wireless Pers Commun 101, 2127-2142 https://doi.org/10.1007/s11277-018-5808-0