변화점 모형화를 통한 네트워크 트래픽 이상 전조 탐지에 대한 연구

Abstract

Along with the rapid development of wireless communication, large amounts of network data are being generated from servers such as LAN/WAN(Local Area Network/Wide Area Network) and WWW(World Wide Web). In addition, the occurrence of anomalies caused by network attacks and system overload is increasing rapidly, and the damage is also on the rise. Therefore, it has become an important issue to detect anomalies such as the occurrence of patterns suspected of malicious attacks or network traffic due to overload through network traffic analysis. Recent network data show fractal structures or scaling properties, such as self-similarity, long-range dependency, and multifractal system. Due to the characteristics of these network data, the fractional brownian motion is mainly used for modeling and analyzing network traffic. In this research, we proposed a method for detecting network traffic precursor symptom by detecting the hurst exponent change-points of fractional brownian motion. We presented limits of existing anomalous detection methodologies which could only detect anomalies at any point in time of sudden change and a parametric method based on the statistical characteristics of network traffic was used to analyze the precursors despite the pattern of change was not evident. By generating fractional brownian motion simulation data which randomly assign change-points of hurst exponent, the model of detecting change-points of hurst exponent has been proposed. After that, the proposed model was applied to actual network traffic data to detect precursor symptom of network traffic anomalies.| 무선 통신의 급격한 발전과 더불어 LAN/WAN(Local Area Network/Wide Area Network), WWW(World Wide Web) 등 서버에서 다량의 네트워크 데이터가 발생하고 있다. 이와 더불어 네트워크를 대상으로 한 공격 및 시스템 과부하로 인한 이상 현상 발생은 빠르게 증가하고 있으며, 이로 인한 피해 또한 급격히 증가하고 있다. 따라서 네트워크 트래픽 분석을 통하여 악의적 공격으로 의심되는 패턴이 발생하거나 과부하로 인한 네트워크 트래픽 발생 등의 이상 현상을 조기에 탐지하여 네트워크 서버 다운의 위험을 방지하는 것이 중요한 문제로 대두되고 있다. 최근 네트워크 데이터는 자기유사성, 장기간 의존성, 다중 프랙탈과 같은 프랙탈 구조나 스케일링 속성을 보인다. 이러한 네트워크 데이터의 특성으로 인하여, 동일한 특성을 갖는 분수 브라운 운동이 네트워크 트래픽 모델링 및 분석에 주로 사용된다. 본 연구에서는 분수 브라운 운동(Fractional Brownian Motion)의 허스트 지수(Hurst Exponent) 변화점 탐지를 기반으로 한 네트워크 트래픽 이상 전조 탐지 방법을 제안하였다. 갑작스러운 변화를 보이는 이상 시점에 대한 탐지만이 가능한 기존 이상 탐지 방법론들의 한계를 제시하고, 네트워크 트래픽의 통계적 특성에 기반을 둔 모수적 방법을 이용하여 뚜렷한 변화 양상을 보이지 않는 이상 전조 증상에 대한 분석을 진행하였다. 네트워크 트래픽 모델링에 주로 사용되는 분수 브라운 운동에 허스트 지수가 변화하는 지점을 임의로 부여한 시뮬레이션 데이터를 생성하여 제안 모형의 변화점 탐지 여부를 확인하였고, 이후 제안 모형을 실제 네트워크 트래픽 데이터에 적용하여 이상 전조 탐지를 진행하였다.