본 실험에서 사용한 CICIDS2017 데이터셋은 네트워크 트래픽을 캡 처한 PCAP(Packet Capture) 파일 형태로 제공된다. 이 파일을 네트워 크 트래픽 플로우 분석 툴인 CICFlowMeter[35, 36]를 이용하여 정형 화된 양방향 네트워크 플로우 데이터로 변환 후 사용했다. 변환된 데이 터의 예시는 [표４-3]과 같다.

[표４-3] CICIDS2017 트래픽 플로우 데이터 예시 [30]

변환된 데이터는 플로우마다 FlowID, SourceIP, SourcePort, DestinationIP, DestinationPort, Protocol 등 [표４-4]와 같이 총 84개 의 특징(Feature)으로 이루어져 있으며, 주요 특징 정보는 [표４-5]에 서 확인할 수 있다.

Flow ID Source IP

Source Port

Destination IP

Destination

Port Protocol Timestamp Flow

Duration Label 192.168.10.3-

192.168.10.50-

3268-56108-6 192.168.10.50 56108 192.168.10.3 3268 6 7/7/2017 8:59 112740690BENIGN 192.168.10.3-

192.168.10.50-

389-42144-6 192.168.10.50 42144 192.168.10.3 389 6 7/7/2017 8:59 112740560BENIGN 8.0.6.4-8.6.0.1-0-

0-0 8.6.0.1 0 8.0.6.4 0 0 7/7/2017 9:00 113757377BENIGN

192.168.10.9- 224.0.0.252-

63210-5355-17 192.168.10.9 63210 224.0.0.252 5355 17 7/7/2017 9:00 100126BENIGN 192.168.10.9-

224.0.0.22-0-0-0 192.168.10.9 0 224.0.0.22 0 0 7/7/2017 9:00 54760BENIGN

[표４-4] CICIDS2017 특징 정보 [30]

번호 특징 번호 특징 번호 특징

1 FlowID 29 FwdIATStd 57 ECEFlagCount

2 SourceIP 30 FwdIATMax 58 Down/UpRatio

3 SourcePort 31 FwdIATMin 59 AveragePacketSize

4 DestinationIP 32 BwdIATTotal 60 AvgFwdSegmentSize 5 DestinationPort 33 BwdIATMean 61 AvgBwdSegmentSize

6 Protocol 34 BwdIATStd 62 FwdAvgBytes/Bulk

7 Timestamp 35 BwdIATMax 63 FwdAvgPackets/Bulk

8 FlowDuration 36 BwdIATMin 64 FwdAvgBulkRate 9 TotalFwdPackets 37 FwdPSHFlags 65 BwdAvgBytes/Bulk 10 TotalBackwardPackets 38 BwdPSHFlags 66 BwdAvgPackets/Bulk 11 TotalLengthofFwdPackets39 FwdURGFlags 67 BwdAvgBulkRate 12 TotalLengthofBwdPackets40 BwdURGFlags 68 SubflowFwdPackets 13 FwdPacketLengthMax 41 FwdHeaderLength 69 SubflowFwdBytes 14 FwdPacketLengthMin 42 BwdHeaderLength 70 SubflowBwdPackets 15 FwdPacketLengthMean 43 FwdPackets /s 71 SubflowBwdBytes 16 FwdPacketLengthStd 44 BwdPackets/s 72 Init_Win_bytes_forward 17 BwdPacketLengthMax 45 MinPacketLength 73 Init_Win_bytes_backward 18 BwdPacketLengthMin 46 MaxPacketLength 74 Act_data_pkt_fwd 19 BwdPacketLengthMean 47 PacketLengthMean 75 min_seg_size_forward 20 BwdPacketLengthStd 48 PacketLengthStd 76 ActiveMean

21 FlowBytes/s 49 PacketLengthVariance77 ActiveStd 22 FlowPackets/s 50 FINFlagCount 78 ActiveMax 23 FlowIATMean 51 SYNFlagCount 79 ActiveMin 24 FlowIATStd 52 RSTFlagCount 80 IdleMean 25 FlowIATMax 53 PSHFlagCount 81 IdleStd 26 FlowIATMin 54 ACKFlagCount 82 IdleMax 27 FwdIATTotal 55 URGFlagCount 83 IdleMin

28 FwdIATMean 56 CWEFlagCount 84 Label

[표４-5] CICIDS2017 주요 특징 정보 [30]

본 실험에서는 FlowID와 SourceIP 등 특정 네트워크 환경을 나타내 는 특징을 제거하고 레이블 포함 총 77개의 특징 정보를 바탕으로 모델 을 학습시킨다.

CICIDS2017 데이터셋은 정상(Benign) 트래픽과 DoS, DDoS, Heartbleed, Web Attack, Infiltration 등 14개 유형의 공격 트래픽으로 구성되어있다. 트래픽 유형별 샘플 수는 [표４-6], [표４-7]과 같다.

[표４-6] CICIDS2017 정상 트래픽 샘플 수 [30]

번호 특징 설명

8 Flow Duration 네트워크 플로우의 전체 소요 시간 21 Flow Bytes/s 1초당 플로우 바이트 수

22 Flow Packets/s 1초당 플로우 패킷 수

23 Flow IAT Mean 두 패킷 사이의 양방향 도착 간격 시간(Inter-arrival Time)의 평균 28 Fwd IAT Mean 두 패킷 사이의 정방향 도착 간격 시간(Inter-arrival Time)의 평균 33 Bwd IAT Mean 두 패킷 사이의 역방향 도착 간격 시간(Inter-arrival Time)의 평균 76 Active Mean 네트워크 플로우가 활성화된 시간의 평균

80 Idle Mean 네트워크 플로우가 대기 상태인 시간의 평균

유형 세부 유형 샘플 수 총 샘플 수

Benign

Monday-WorkingHours 529,918

2,273,097 Tuesday-WorkingHours 432,074

Wednesday-WorkingHours 440,031 Thusday-WorkingHours 456,752 Friday-WorkingHours 414,322

합 계 2,273,097

[표４-7] CICIDS2017 공격 트래픽 유형별 샘플 수 [30]

DoS 공격은 시스템을 악의적으로 공격해 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격으로, CICIDS2017 데이터셋의 DoS 공격 샘플은 공격에 사용한 툴과 방식에 따라 DoS Hulk^⑧, Dos Goldeneye^⑨, DoS Slowloris^⑩, DoS Slowhttptest^⑪로 구분 된다. 본 실험에서는 다양한 세부 유형으로 구분되고 샘플 수도 풍부한 DoS 공격 트래픽을 실험 대상으로 선정한다.

정상 트래픽과 DoS 공격 트래픽 데이터의 분포를 확인하기 위해, 고 차원 데이터를 시각화하는 대표적인 방법인 t-SNE (t-Stochastic Neighborhood Embedding)을 통해 2차원의 임베딩 벡터로 변환하여 시각화했다. 실험에 사용한 데이터는 [그림４-2]와 같이 높은 비선형 특성을 나타내고 정상 트래픽과 공격 트래픽이 동일한 특성 공간을 공유 하므로, 이를 분류하기 위해서는 복잡한 비선형 관계를 모델링할 수 있 는 모델이 필요하다. 딥러닝은 고차원의 비선형 데이터를 처리하는 데 우수한 성능을 나타내고 있으므로, 본 연구에서는 딥러닝 모델을 기반으 로 하는 네트워크 이상징후 탐지를 진행한다.

⑧ https://github.com/grafov/hulk

⑨ https://github.com/jseidl/GoldenEye

⑩ https://github.com/gkbrk/slowloris

⑪ https://github.com/shekyan/slowhttptest

유형 세부 유형 샘플 수 총 샘플 수

DoS

DoS Hulk DoS Goldeneye

DoS Slowloris DoS Slowhttptest

231,073 10,293

5,796 5,499

252,661

Port Scan Nmap Port Scan 158,930 158,930

DDoS DDoS LOIT 128,027 128,027

Brute-Force FTP-Patator

SSH-Patator 7,938

5,897 13,835 Web Attack

Web Brute-Force SQL InjectionXSS

1,507

65221 2,180

Botnet Botnet Ares 1,966 1,966

Infiltration Infiltration 36 36

Heartbleed Heartbleech 11 11

합 계 557,646

[그림４-2] t-SNE를 통한 데이터 시각화

모델을 학습하기에 앞서, 데이터셋의 중복된 데이터와 결측치 데이터 를 제거하고, 각 데이터의 값은 아래 식(14)와 같이 최소-최대 정규화 를 통해 0과 1 사이의 값으로 변환한다.

𝑥

_{𝑛𝑜𝑟𝑚}

= 𝑥 − 𝑥

_𝑚𝑖𝑛

𝑥

_𝑚𝑎𝑥

− 𝑥

_𝑚𝑖𝑛 (14) 본 실험에서 학습 데이터와 평가 데이터는 8:2 비율로 분리하고, 학 습 데이터의 20%는 학습 과정에 대한 검증을 위해 사용한다. 그리고 새 로운 공격 유형에 대한 탐지 성능 확인을 위해 DoS Hulk, DoS Goldeneye, DoS Slowloris, DoS Slowhttptest 중 가장 최신 공격 유형 이면서 HTTP 플러딩(Flooding)과 CC (Cache Control) 공격이 가능한 DoS Goldeneye 공격을 새로운 공격 유형으로 가정한다. 즉, DoS Goldeneye 공격은 학습 데이터에서는 제외하고 평가 데이터에만 포함

되도록 한다. 최종 데이터의 유형별 샘플 수는 [표４-8]과 같다.

[표４-8] 최종 데이터의 유형별 샘플 수

학습 데이터, 검증 데이터, 평가 데이터의 각 트래픽 유형별 비율은 [그림４-3]을 통해 확인할 수 있다.

[그림４-3] 데이터셋의 트래픽 유형별 비율