논문 제목:
기계학습 기반 IDS 보안이벤트 분류 모델의 정확도 및 신속도 향상을 위한 실용적 feature 추출 연구
고려사항
1. is soure IP in the target netwrok?
: 출발지 IP가 내부 IP인지 여부를 나타내주는 feature이다.
패킷을 탐지하는 보안이벤트의 경우, 감염된 PC에서 외부로 보내는 패킷을 탐지하기 때문에 출발지 IP가 내부기관이어야 정답이다.
2. Is destination IP in the target Network?
: 도착지 IP가 내부 IP인지 여부를 나타내주는 feature이다.
SQL Injection 공격 같은 경우에, 외부에서 내부 기관 서버로 SQL 쿼리문이 포함된 payload를 보낸다.
따라서 도착지 IP가 내부기관인 패킷을 탐지한 보안이벤트가 정탐이라고 할 수 있다.
3. Does the payload have Referer?
: http 프로토콜 관련 payload에 Referer가 존재하는지 여부를 나타내주는 feature이다.
내부기관에서 악성 URL로 접근하는 것을 탐지하는 보안이벤트의 경우, Referer가 존재하지않는다 면 악성코드에 의한 직접적인 접근일 가능성이 높다.
4. Does the payload have "200 OK"?
: http 프로토콜 관련 payload에 200 OK 문자열이 존재하는지 여부를 나타내주는 feature이다.
IDS 보안 이벤트의 경우, 사용자가 등록한 악성행위 관련 내용이 패킷 상에 포함되어있다.
200 OK 문자열이 포함되었을때에 공격에 성공했을 가능성이 높다.
5. How many does the payload have security-related strings?
: 페이로드 내에 포함된 보안관련 문자열 개수를 보는 feature이다. ID,PW,CPU,OS정보는 해커가 해킹을 하기위해 필요로하는 정보로, 이러한 문자열이 많이 포함될 수록, 악성행위로 인해 정보가 유출되는 패킷일 확률이 높다.
6. The TTL value in the payload
; 탐지된 패킷의 TTL값을 나타내주는 feature이다. 악성코드의 경우 OS에 따라서 동작이 안될 수 있다.
각 운영체제는 각기 다른 TTL을 사용하기 떄문에, 이를 통해 Os에 대한 정보를 얻을 수 있다.
7. The length of the payload
: 탐지된 패킷의 페이로드 길이를 나타내주는 feature이다. 버퍼 오버플로우의 경우, 페이로드에 일반적이지 ㅇ낳은 길이의 문자열을 다수 포함하여 전달한다.
8. Does web-server use common port?
: 웹서버가 일반적인 포트로 통신하는지 여부를 나타내주는 feature이다.
웹서버가 80, 8080아외의 포트를 쓴다면 의심할 수 있다.
9. Does web-sever use common port?
: http 프로토콜 관련 페이로드에 Host가 IP형태인지 여부를 나타내주는 feature이다.
일반적인 사용자는 웹브라우저 사용 시에 URL을 통한 웹서버접근을 시도한다. IP를 통한 직접적인 접근을 시도한다면 악성코드일 수있다.
10. What kind of "user-agent" does the payload use?
: http 프로토콜 관련 페이로드의 User agent조율에 대한 정보이다.
악성코드에서는 일반적으로 사용되지 않는 User agent가 사용된다.
'개발 > ML+ Data Science' 카테고리의 다른 글
| [Plot] 전체적인 categorical feature의 histogram그려주는 countplot 템플릿 (0) | 2019.10.05 |
|---|---|
| [Plot] 전체적인 실수값 histogram을 그려주는 kdeplot 템플릿 (0) | 2019.10.05 |
| data 전처리에서 nan과 null은 같다. (0) | 2019.10.01 |
| PCA로 feature 줄이기 예제! (0) | 2019.10.01 |
| 어떤 feature의 value_count를 그래프로 정렬해서 표현하는 template (0) | 2019.10.01 |
