Core Concepts
네트워크 서비스 유형별 페이로드 정보 엔트로피 기준선을 제시하고, 이를 활용한 이상 행위 탐지 방법을 설명한다.
Abstract
이 연구는 네트워크 보안 분야에서 중요한 사이버 위협 탐지 기술인 이상 행위 탐지에 대해 다룹니다. 특히 네트워크 패킷 페이로드의 정보 엔트로피 분석을 통해 비정상적인 활동을 탐지하는 방법을 제안합니다.
주요 내용은 다음과 같습니다:
- 다양한 네트워크 서비스 유형별 페이로드 정보 엔트로피 기준선을 제시합니다. 암호화된 서비스와 평문 서비스의 엔트로피 값이 뚜렷하게 구분됨을 보여줍니다.
- 페이로드 엔트로피 값의 변화를 탐지하여 코버트 채널, 프로토콜 손상, 데이터 유출 등의 이상 행위를 식별할 수 있음을 설명합니다.
- 엔트로피 외에도 IP 주소, 포트 번호, 타이밍 등 다양한 네트워크 특성을 활용하여 이상 행위를 탐지할 수 있음을 제시합니다.
이 연구는 네트워크 보안 분야에서 엔트로피 기반 이상 행위 탐지 기술의 활용 가능성을 보여줍니다.
Stats
암호화된 HTTPS 서비스의 평균 페이로드 엔트로피는 약 7.92입니다.
평문 DNS 서비스의 평균 페이로드 엔트로피는 약 4.92입니다.
압축된 ZIP 파일의 평균 페이로드 엔트로피는 약 7.98입니다.
AES 256 암호화된 파일의 평균 페이로드 엔트로피는 약 7.99입니다.
Quotes
"암호화된 트래픽은 일반적으로 매우 높은 엔트로피 값을 보이는 반면, 평문 트래픽은 중간 범위의 엔트로피 값을 보입니다."
"엔트로피 값의 유의미한 변화는 코버트 채널, 프로토콜 손상, 데이터 유출 등의 이상 행위를 나타낼 수 있습니다."