ETRI-Knowledge Sharing Plaform

KOREAN

BROWSE

Titles

Home Titles Technology Transfer
기술이전 검색
Year ~ Transaction Count Keyword

Detail

List

Encrypted Network Traffic Classification Technology v1.0

Manager
Choi Yangseo
Participants
Koo Ki Jong, Kim Jeong Nyeo, Moon Dae Sung, Park Jong Geun, Yu Jae Hak, Choi Yangseo
Transaction Count
1
Year
2025
Project Code
23HS7900, Development of network behavior-based security monitoring technology to against for cryptographic cyber threats, Moon Dae Sung
24HS5600, Development of network behavior-based security monitoring technology to against for cryptographic cyber threats, Moon Dae Sung
25HS2600, Development of network behavior-based security monitoring technology to against for cryptographic cyber threats, Moon Dae Sung
- 본 이전 기술은 트래픽 관리 또는 악성 트래픽 탐지를 위해 암호화된 네트워크 트래픽이 어떤 응용프로그램 또는 서비스에 의해 생성되었는지를 확인하기 위한 기술임
- 본 기술은 네트워크 트래픽이 암호화되더라도 해당 네트워크 트래픽을 어떤 응용프로그램 혹은 서비스가 생성하였는지를 판단하는 기술에 관한 것으로, 기존의 방식과는 다르게 payload 영역의 데이터를 시그니처로 활용하지 않고, 네트워크 트래픽의 특징만을 이용하여 분류를 수행하는 기술임
- 또한, 기존 기술은 특정 플로우 또는 세션으로부터 특징을 추출하고 이를 바탕으로 트래픽 분류를 수행하는 기술이었던 반면, 본 기술은 플로우내 일부 트래픽을 이용하여 특징을 추출함으로써, 플로우 종료 이전에 해당 트래픽에 대한 분류를 수행할 수 있어, 기존 방식에 비해 빠르게 트래픽 분류가 가능한 기술임
- 본 기술의 핵심은 본 기술이 구현된 코드가 아니라, 본 기술에서 제공하는 네트워크 트래픽 특징 수집 방법 및 특징 목록이기 때문에, 본 기술에서 제공하는 SW는 해당 특징을 추출하여 모델링하고 이를 기반으로 트래픽 분류를 수행하였을 때의 성능을 제시하는 코드이며, 일련의 과정은 오프라인 상에서 동작하도록 구성되어 있음
- 2010년대 중반 이후 네트워크 트래픽의 암호화가 가속화 되면서 송수신되는 네트워크 트래픽 중 암호화된 네트워크 트래픽이 대부분을 차지하게 되었음
- 이와 같은 네트워크 트래픽 암호화의 가속화는 네트워크 트래픽 관리 분야 및 네트워크 보안 분야에서 기존에 활용하던 다양한 네트워크 트래픽 탐지, 분류 및 공격 탐지 기술을 그대로 활용할 수 없는 상황을 야기시켰음
- 기존의 방식은 대부분 암호화되지 않은 네트워크 트래픽으로부터 손쉽게 접근 가능한 특정 문자열을 이용하여 네트워크 트래픽 분류 및 공격 탐지 등이 수행되었는데, 이는 네트워크 트래픽의 암호화가 진행되면서 더 이상 사용이 불가한 방법이 되었음
- 이를 극복하기 위해서는 네트워크 패킷의 페이로드 부분의 문자열에 기반한 시그니처를 활용하지 않고, 해당 네트워크 트래픽의 특징을 잘 표현할 수 있는 방법을 연구해야 함
- 본 기술은 이를 위한 것으로, 네트워크 트래픽의 페이로드 영역 데이터를 제외한 다양한 네트워크 트래픽 특징 표현 정보를 생성하고 추출하여, 이를 기반으로 네트워크 트래픽을 분류를 그 목적으로 함
- 본 기술은 네트워크 트래픽을 잘 표현하기 위하여 네트워크 트래픽으로부터 수집 가능한 다양한 정보를 생성함
- 이때, 본 연구는 유사한 연구에서 활용하는 네트워크 트래픽 특징 추출 방식에 있어서 특징 추출 단위가 기존 방법과 크게 달라, 보다 효율적인 분류 기법을 제공하고 있음
- 기존 연구의 트래픽 특징 추출 단위는 플로우 혹은 세션 단위가 대부분을 이루고 있고, 또는 특정 시간 단위가 주를 이루고 있는데, 본 기술은 BCU(Behavior Characteristic Unit)라는 새로운 트래픽 특징 수집 단위를 정의하여 활용하고 있음
- BCU라는 트래픽 추출 단위를 기반으로 수집된 네트워크 트래픽 특징은 단일 환경에서만 최적화되는 것이 아니라, 개발된 모델이 타 환경에서 활용되더라도 일관성을 유지할 수 있도록 고안되었음
- 또한, 본 기술은 특정 플로우 또는 세션이 종료되기 이전에 다수의 트래픽 특징 값이 생성되기 때문에 타 방법과 비교하여 매우 빠르게 해당 플로우에 대한 트래픽 분류를 수행할 수 있다는 장점이 있음
- 기존 기술은 트래픽 분류를 위한 높은 성능을 획득하기 위해 네트워크 트래픽의 payload 영역을 활용하는 Deep Learning 방식을 활용하는 반면, 본 기술은 payload 영역의 데이터를 활용하지 않으면서도 기존 전통적인 기계학습 방식(Random forest 또는 xgboost 등)을 활용할 수 있어 DL 알고리즘을 활용하는 방식과 유사한 분류 정확도를 유지하면서도 상대적으로 신속한 분류를 수행할 수 있음
암호화된 네트워크 트래픽을 분석하여, 해당 네트워크 트래픽이 어떤 응용프로그램 또는 서비스에 의해 생성되었는지를 판단하는 기술에 관한 것으로, 세부적으로는 암호화된 네트워크 트래픽을 효과적으로 표현하는 트래픽 특징 표현 기술에 관한 것으로, 이전 내용은 아래와 같음

A. 기술명 : 암호트래픽 분류 기술 v1.0
- 암호트래픽 특징 생성 기능
- 암호트래픽 분류 모델 생성 및 평가 기능
- 암호트래픽 분류 기능
A. 암호트래픽 분류 기술 v1.0
- 소스코드: ETRI 암호트래픽분석시스템 서비스 분류 모듈(암호트래픽 분류 프로그램)
- 문서: 요구사항서 및 시험절차 및 결과서 등 기술문서
- 본 기술은 암호화된 네트워크 트래픽의 트래픽 생성 주체를 판단하는 네트워크 트래픽 분류 기술에 관한 것임
- 본 기술을 통하여 암호화된 네트워크 트래픽에 대한 인지 가능성을 높이고, 이를 기반으로 해당 네트워크 트래픽 특성에 따라 분류할 수 있을 것으로 기대됨
- 이와 같은 암호화된 네트워크 트래픽 분류 기술은 네트워크 트래픽 관리 영역과 네트워크 보안 영역에서 광범위하게 활용될 수 있을 것으로 기대됨
Copyright Policy Privacy Policy

218 Gajeong-ro, Yuseong-gu, Daejeon, 34129, KOREA, Contact: sh.kim@etri.re.kr

2016 Electronics and Telecommunications Research Institute. All rights reserved.

Please refrain from automatic collection of e-mail addresses posted on this homepage.

제1유형