악성 암호화 트래픽 분류를 위한 주성분 분석 기반 적응형 특징 선택 기법

Abstract

최근 전 산업에서 데이터 보호가 중요해지면서, 안전한 데이터의 송수신을 위하여 암호 기술을 필수적으로 적용하게 되어, 암호화 트래픽의 비중이 급증하고 있다. 그러나 패킷 내용을 확인할 수 없으므로 Network Intrusion Detection System (NIDS)와 같은 탐지 시스템으로 페이로드를 분류할 수 없다는 한계점을 악용한 공격이 등장하였다. 이러한 문제를 해결하기 위해 Deep Packet Inspection (DPI)과 인공지능을 활용한 대응 연구가 수행되었으나, 프라이버시 문제와 실시간 탐지가 불가능한 한계로 인하여 여전히 실제 산업에서의 사용은 어려운 실정이다. 또한, 학습 모델을 교란시키기 위하여 학습 데이터에 의도적으로 노이즈를 주입하는 중독 공격으로 인하여 네트워크 트래픽 학습 및 분류 난이도가 증가하고 있다. 본 연구에서는 악성 암호화 트래픽을 효율적으로 분류하기 위하여 Principal Component Analysis (PCA) 기반 최적의 차원 정보와 탐지율 그래프의 기울기 정보를 활용한 특징 선택 기법을 제안한다. 노이즈 수준이 달라지는 환경에서 1차원부터 27차원까지 데이터의 차원을 축소한 뒤, 탐지율의 변화를 확인한다. 이때 탐지율 그래프의 기울기가 가파른 지점에서 설명 분산 점수가 높은 특징을 활용하거나 차원을 축소한 특징을 선택적으로 추가하여 적용하는 adaptive Feature Selection based F1-score Gradient (adaptive FSFG)를 제안한다. 실험 결과에 따르면 PCA를 사용했을 때보다 탐지율 측면에서 24.74% 개선되었고, 학습 시간은 35% 개선되었다. 그리고 특징 선택 기법을 수행하지 않았을 때보다 32.82%의 탐지율이 개선되었고, 학습 시간은 48% 개선되었다. 추가로, 제안방안을 정적으로 적용하였을 때와 동적으로 적용하였을 때를 비교하여 제안하는 adaptive FSFG가 약 8.67%만큼 탐지율이 개선되는 효과가 있음을 증명하였다. |As data security has become increasingly important in all industries, encryption technology is critical for secure data transmission and reception, and the proportion of encrypted traffic is rapidly increasing. However, advanced attacks based on malicious encrypted traffic have emerged, exploiting the inability of Network Intrusion Detection Systems (NIDS) to classify malware due to the inability to verify packet contents. Although response research using Deep Packet Inspection (DPI) and artificial intelligence has been conducted to solve this problem, it is still difficult to use it in the real industry due to privacy concerns and limitations that cannot be detected in real-time. Furthermore, the difficulty of training and classifying network traffic with poisoning attack that intentionally injects noise to disrupt training models is increasing. In this study, a feature selection technique based on dimension reduction is proposed to efficiently classify malicious encrypted traffic using principal component analysis (PCA). After reducing the dimension of data from 1D to 27D in an environment where noise levels vary, the change in detection rate is checked. Then, an adaptive Feature Selection based F1-score Gradient (adaptive FSFG) is proposed, which utilizes high-explained variance ratio features at points with steep gradient or selectively adds features with reduced dimensions. As a result, the detection rate improved by 24.74%, the training time improved by 35% when only PCA was used, the detection rate improved by 32.82%, and the training time improved by 48% when no feature selection was used. Furthermore, by contrasting the static and adaptive applications of the proposed method, the effectiveness of the proposed adaptive FSFG was demonstrated. The adaptive FSFG can be used to classify encrypted malware traffic quickly and efficiently, and can be applied when other data protection techniques were used.