核心概念
사전 학습된 GCN 모델을 통해 네트워크 흐름 특징과 토폴로지 특징을 깊이 융합하여 C2 및 P2P 구조의 봇넷을 효과적으로 탐지할 수 있는 모델을 제안한다.
要約
이 논문은 봇넷 탐지를 위해 네트워크 흐름 특징과 토폴로지 특징을 깊이 융합하는 새로운 모델을 제안한다.
- 네트워크 흐름 특징으로 전송 바이트 수, 연결 수 등 5가지 특징을 선정하였다. 이는 복잡한 계산 없이 쉽게 얻을 수 있는 특징이다.
- 토폴로지 특징은 사전 학습된 GCN 모델을 통해 추출한다. 이를 위해 균형잡힌 인공 데이터셋으로 GCN을 사전 학습하여 토폴로지 특징 추출 능력을 향상시켰다.
- 사전 학습된 GCN 모델에 네트워크 흐름 특징을 입력하여 융합된 특징을 추출한다. 이 융합된 특징을 Extra Tree 분류기에 입력하여 봇넷을 탐지한다.
- C2 및 P2P 구조의 봇넷을 각각 탐지하기 위해 GCN 모델의 층 수를 조절한다.
- 실험 결과, 제안 모델이 기존 최신 모델들보다 우수한 성능을 보였으며, 실제 환경에서도 효과적으로 작동하는 것으로 나타났다.
統計
봇 노드와 정상 노드의 비율이 1:25000으로 극심한 불균형을 보이는 CTU-13 데이터셋이 존재한다.
실제 네트워크에서 수집한 90개 IP 중 69개가 봇이었다.
引用
"봇넷의 특성은 주로 네트워크 행동과 봇 간 상호 통신 관계에 반영된다."
"기존 봇넷 탐지 방법은 흐름 특징 또는 토폴로지 특징 중 하나만 사용하므로 다른 유형의 특징을 간과하여 모델 성능에 영향을 미친다."