Network Traffic Classification - 3

지금까지 네트워크 트래픽을 분류하는 방법 중에서

프로그램마다 사용하는 포트를 할당해주고 사용하는 포트로 트래픽을 분류하는 포트 기반 분류 방법,

네트워크 트래픽의 패킷 내용을 직접 확인하고 트래픽을 분류하는 페이로드 기반 분류 방법에 대해 알아보았습니다.

모두 해당하는 프로그램에 대해 특정한 정의(포트 번호, 시그니처)를 내려 트래픽을 분류하는 방법이었는데요.

이번에는 그러한 정의 없이 트래픽을 분류하는 방법에 대해 알아보겠습니다.

3. 호스트 행동 기반 트래픽 분류

호스트 행동 기반 트래픽 분류 방식은 이름 그대로 호스트가 어떻게 행동하는가를 보고 이 트래픽이 어떤 종류의 트래픽인지 분류하는 방법입니다.

해당하는 트래픽이 어떤 응용 프로그램의 트래픽인지 정확하게 알 수 있는 것도 좋겠지만

네트워크 관리의 측면에서 보자면 이 트래픽이 웹 트래픽인지, 채팅 트래픽인지, 바이러스의 트래픽인지 알 수만 있어도 충분히 효과적일 것입니다.

호스트 행동 기반 트래픽 분류 방식은 바로 특정한 프로그램이 가진 행동양식을 분류하여

이 트래픽이 어떤 활동에 사용되는지 분류할 수 있는 트래픽 분류 방식입니다.

호스트의 행동 양식을 분류하기 위하여 여러가지 방법이 사용되는데

유명한 방법 중 하나가 바로 BLINC 입니다.

BLINC는 BLINd Classification 의 약자로서 응용 프로그램에 대한 특정한 정보가 없는 상태에서도 트래픽을 분류할 수 있는 호스트 행동 기반 트래픽 분류 방법입니다.

BLINC 방법에서는 Graphlet이라고 불리는 그래프를 사용하여 네트워크 호스트의 행동을 표현합니다.

특정한 트래픽에 대하여 위 그림과 같은 그래프를 그릴 수 있다면, 그래프의 유형에 따라 어떤 트래픽인지 알 수 있을 것입니다.

여기서 행동이란 어느 IP를 사용하는지, 어느 IP로 전송하는지, 어떤 포트에서 전송하는지, 어떤 포트로 전송하는지 같은 정보입니다.

이러한 정보들은 트래픽을 전송하는데 필수적인 정보들이기 때문에 내용이 암호화 된 트래픽에서도 확인을 할 수 있습니다.

호스트 행동 기반 트래픽 분류 방식은 특정한 정의 없이도 트래픽을 분류할 수 있다는 장점도 있지만

더 큰 장점은 바로 암호화 된 트래픽조차도 어느 형식의 트래픽인지 분류할 수 있다는 점입니다.

트래픽이 암호화 되어 온다면 페이로드 기반 트래픽 분류 방식으로는 트래픽을 분류할 수 없습니다.

페이로드 기반 트래픽 분류 방식에서 중요한 트래픽의 내용 자체가 암호화 되어 전송되기 때문이죠.

요즘에는 보안상 문제 때문에 많은 트래픽이 암호화 되어 전송됩니다.

하지만 만약 DDoS 공격같은 나쁜 트래픽이 자신을 감추기 위해 암호화를 해서 전송한다고 할 때

이를 알아챌 수 없다면 큰 문제가 되겠지요.

바로 이러한 암호화 된 트래픽조차 분류할 수 있는 것이 바로 호스트 행동 기반 트래픽 분류 방법의 장점이라고 할 수 있습니다.

BLINC 말고 다른 호스트 행동 기반 트래픽 분류 방법으로는 Graption 이라는 방법도 있습니다.

Graption은 Graph-based Classification의 약자로서 BLINC와는 다른 유형의 그래프를 사용해 트래픽을 분류합니다.

Graption에서는 TDG(Traffic Dispersion Graph)라는 방법으로 그래프를 그립니다.

이 TDG 그래프는 각 노드가 IP이고 엣지가 노드간의 상호작용을 나타내는 유형의 그래프입니다.

위 그림은 TDG를 이용해 그린 DDoS 공격의 그래프 입니다.

중앙의 한 노드(IP)가 외부의 수많은 노드(IP)들로부터 상호작용을 받는, 전형적인 DDoS 공격의 유형을 볼 수 있습니다.

이 외에도 호스트 행동을 이용하여 다양한 그래프를 그려보거나

혹은 호스트의 행동정보 자체만을 가지고서 여러가지 방법으로 트래픽을 분류해볼 수도 있을 것입니다.

이것이 바로 이번에 알게 된 호스트 행동 기반 트래픽 분류 방식입니다.