KR102119636B1 - Anonymous network analysis system using passive fingerprinting and method thereof - Google Patents
Anonymous network analysis system using passive fingerprinting and method thereof Download PDFInfo
- Publication number
- KR102119636B1 KR102119636B1 KR1020180139856A KR20180139856A KR102119636B1 KR 102119636 B1 KR102119636 B1 KR 102119636B1 KR 1020180139856 A KR1020180139856 A KR 1020180139856A KR 20180139856 A KR20180139856 A KR 20180139856A KR 102119636 B1 KR102119636 B1 KR 102119636B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- entry
- unit
- service provider
- feature information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 사용자(User=Client) 및 서비스 제공자(Service Provider: SP)의 신원을 공개하지 않는 토르(Tor) 네트워크 등의 익명 네트워크를 분석하기 위한 익명 네트워크 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 익명 네트워크를 통해 불법 정보를 제공하는 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속 정보를 획득하여 실명화하고, 불법 정보를 제공하는 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하여 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법에 관한 것이다.The present invention relates to an anonymous network analysis system and method for analyzing an anonymous network such as a Tor network that does not disclose the identity of a user (User=Client) and a service provider (SP), in more detail Is a user terminal that accesses the service provider server that provides illegal information by acquiring and realizing access information such as Internet Protocol (IP) address and site information of the service provider server that provides illegal information through an anonymous network. An anonymous network analysis system and method using manual fingerprinting that can detect and blindly detect wealth.
Description
본 발명은 사용자(User=Client) 및 서비스 제공자(Service Provider: SP)의 신원을 공개하지 않는 토르(Tor) 네트워크 등의 익명 네트워크를 분석하기 위한 익명 네트워크 분석 시스템 및 방법에 관한 것으로, 더욱 상세하게는 익명 네트워크를 통해 불법 정보를 제공하는 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속 정보를 획득하여 실명화하고, 불법 정보를 제공하는 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하여 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법에 관한 것이다.The present invention relates to an anonymous network analysis system and method for analyzing an anonymous network such as a Tor network that does not disclose the identity of a user (User=Client) and a service provider (SP), in more detail Is a user terminal that accesses the service provider server that provides illegal information by acquiring and realizing access information such as Internet Protocol (IP) address and site information of the service provider server that provides illegal information through an anonymous network. An anonymous network analysis system and method using manual fingerprinting that can detect and blindly detect wealth.
일반적으로, 토르 네트워크(Tor Network)는 전 세계에서 자발적으로 제공되는 가상 컴퓨터와 네트워크를 여러 차례 경유하여 이용자의 인터넷 접속 흔적을 추적할 수 없도록 하는 익명 네트워크의 하나이다.In general, the Tor Network is one of the anonymous networks that makes it impossible to track a user's Internet access traces through multiple virtual computers and networks provided voluntarily around the world.
통상, 토르 네트워크는 다수의 토르 노드가 연결 경로를 중계하도록 구성되며, 기본적으로 3개의 노드, 즉 엔트리 노드, 중계 노드 및 종료 노드를 포함한다.Typically, a Tor network is configured such that a number of Tor nodes relay a connection path, and basically includes three nodes, an entry node, a relay node, and an end node.
엔트리 노드와 종료 노드는 비밀키 협상을 하여 보안키를 설정하며, 설정된 보안키를 통해 토르 연결 설정을 하고, 엔트리 노드는 사용자 단말부로부터 입력되는 스트림으로부터 사용자의 IP를 인식한 후 보안키로 암호화하여 중계 노드를 통해 종료 노드로 전송한다.The entry node and the end node negotiate a secret key to set a security key, establish a connection to the Thor through the set security key, and the entry node recognizes the user's IP from the stream input from the user terminal and encrypts it with the security key. Transmit to the end node through the relay node.
그러면 종료 노드는 상기 보안키에 의해 복호하여 서비스 제공자 서버의 주소를 확인하고, 스트림을 해당 서비스 제공자 서버로 전송한다.Then, the end node decrypts with the security key to check the address of the service provider server, and sends the stream to the corresponding service provider server.
반대 방향의 스트림도 동일한 방식으로 서비스 제공자 서버에서 사용자 단말부로 전송될 것이다.The stream in the opposite direction will also be transmitted from the service provider server to the user terminal in the same way.
상기 보안키 설정은 자체 서명된 임시 Diffie-Hellman 키 교환 방식을 적용할 수 있으며, 표준 TLS(Transport Layer Security)를 사용하여 노드 간의 연결을 보호하도록 한다.The security key setting can apply a self-signed temporary Diffie-Hellman key exchange method, and protects the connection between nodes using standard Transport Layer Security (TLS).
토르 네트워크 내의 토르 노드들을 통해 전송되는 TCP 스트림은 분할되어 512바이트(Byte)의 셀(Cell)로 패키지되며, 셀은 대기시간을 줄이기 위해 짧은 유효 페이로드를 포함한다.The TCP stream transmitted through the Thor nodes in the Tor network is divided and packaged into a cell of 512 bytes, and the cell includes a short effective payload to reduce latency.
각 토르 노드간 연결은 서로 다른 TCP연결에 해당하는 여러 스트림을 다중화하며, 토르 노드와 공격자는 토르 스트림 사이를 구분할 수 없다.Each Tor node connection multiplexes multiple streams corresponding to different TCP connections, and the Tor node and the attacker cannot distinguish between Tor streams.
사용하지 않은 토르 경로는 몇 분 단위로 변경되며, 토르 네트워크를 통해 새 경로를 선택하고 키 교환을 수행하며, 암호화된 터널(Channel)을 설정한다.The unused Thor route changes every few minutes, selects a new route through the Tor network, performs key exchange, and establishes an encrypted channel.
토르 노드간 송수신되는 토르 셀 트래픽은 연결 경로 연결(Circuit Connection), 취소(Destruction) 및 흐름 제어(Control Flow)의 셀을 포함한다.Tor cell traffic transmitted and received between the Tor nodes includes cells in a Circuit Connection, Destruction, and Control Flow.
흐름제어에 SENDME 셀을 포함하며, 상기 SENDME 셀은 스트림 제어를 위해 50개의 인커밍 셀마다 삽입되고, 경로제어를 위해 100개의 인커밍 셀마다 삽입된다.A SENDME cell is included in the flow control, and the SENDME cell is inserted every 50 incoming cells for stream control and every 100 incoming cells for path control.
상기 토르 네트워크에 접속할 수 있는 토르 브라우저는 사용자 하드디스크에 쿠키 등을 포함하는 정보를 저장하지 않으며, 기본적으로 플래쉬(Flash)를 사용하지 않고, 웹사이트 접근에 HTTPs를 사용한다.The Tor browser that can access the Tor network does not store information, including cookies, etc., on the user's hard disk, and basically does not use Flash, but uses HTTPs to access the website.
상술한 바와 같이 구성되는 토르 네트워크는 해당 서비스를 이용하는 네트워크의 사용자나 서비스 제공자의 신원이 숨겨져 알 수 없기 때문에 마약이나 무기 등의 불법적인 거래에 악용되어 그 이용률이 급속히 증가하고 있으며, 콘텐츠를 불법 유통시키는 새로운 채널로 문제가 되고 있다.The Tor network configured as described above is being used for illegal transactions such as drugs and weapons because the identity of the user of the network using the service or the service provider is hidden and unknown, the utilization rate is rapidly increasing, and the contents are illegally distributed. It is becoming a problem with a new channel.
이에 따라 토르와 같은 주요 익명 네트워크와 같은 새로운 침해 환경에 대한 자동화된 대응 시스템이 요구되어지고 있다.Accordingly, there is a need for an automated response system to new intrusion environments, such as major anonymous networks such as Thor.
따라서 본 발명의 목적은 익명 네트워크로 들어가는 임의의 진입 노드 및 익명 네트워크와 서비스 제공자의 서버 사이에 연결되는 진출 노드로부터 발생하는 송수신 트래픽 정보를 수집하고, 각 노드에 대한 송수신 트래픽 정보의 특징(Fingerprinting)을 추출한 특징정보(또는 "핑거프린팅 정보"라 함)를 생성하여 사용자 단말부 및 서비스 제공자 서버의 인터넷 프로토콜(Internet Protocol: IP) 주소 및 사이트 정보 등의 접속정보를 획득하고, 추출된 특징정보와 학습된 기준 특징정보를 비교하여 접속 사이트의 불법 여부를 판단하고, 상기 서비스 제공자 서버 및 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 실명화할 수 있는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법을 제공함에 있다.Accordingly, an object of the present invention is to collect and receive traffic information generated from an arbitrary entry node entering an anonymous network and an entry node connected between an anonymous network and a server of a service provider, and feature of the transmission and reception traffic information for each node (Fingerprinting). Generates feature information (or "fingerprinting information") from which to extract access information such as Internet Protocol (IP) address and site information of the user terminal and service provider server, and extracts the feature information and Provides an anonymous network analysis system and method using manual fingerprinting to compare the learned reference feature information to determine whether an access site is illegal, and to blindly identify the service provider server and a user terminal unit accessing the service provider server have.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템은: 사용자 단말부와 익명 네트워크를 연결하는 진입 노드에 연결되어, 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집부; 적어도 하나 이상의 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드에 연결되어, 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구정보 수집부; 및 상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 상기 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석부를 포함하는 것을 특징으로 한다.An anonymous network analysis system using manual fingerprinting according to the present invention for achieving the above object is connected to an entry node connecting a user terminal and an anonymous network, and is transmitted and received between the user terminal and the anonymous network An entry information collection unit for collecting transmission/reception traffic information; An exit information collection unit connected to at least one service provider server and an outgoing node connecting an anonymous network to collect outgoing transmission/reception traffic information transmitted and received between the service provider server and the anonymous network; And receiving the incoming/outgoing traffic information from the entry information collecting unit, extracting the characteristics of the incoming/outgoing traffic information and entering/outgoing traffic information, generating entry characteristic information, and receiving the incoming traffic information from the exit information collecting unit. Among the service provider servers, characteristics of the outgoing transmission/reception traffic information are extracted to generate outgoing characteristic information, and the outgoing characteristic information is compared with the reference outgoing characteristic information of the service provider server to be detected and stored in advance. An anonymous network analysis that detects a service provider server to be detected and compares the entry feature information and entry feature information corresponding to the detected service provider server to identify a user terminal connected to the detected service provider server It is characterized by including wealth.
상기 익명 네트워크 분석부는, 임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 데이터베이스부; 상기 엔트리정보 수집부가 접속할 진입 노드 및 상기 출구정보 수집부가 접속할 진출 노드의 IP를 설정하는 IP 설정부; 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집부; 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징 추출부; 상기 특징 추출부에서 출력되는 진출 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단부; 및 진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화부를 포함하는 것을 특징으로 한다.The anonymous network analysis unit includes: a database unit for generating and storing reference advanced feature information generated by learning a plurality of feature information extracted from transmission/reception traffic information of at least one detection target service provider server through an arbitrary advance node; An IP setting unit for setting an IP of an entry node to which the entry information collection unit will access and an entry node to which the exit information collection unit will access; An analysis information collection unit that collects and transmits entry/reception traffic information and entry/exit traffic information through the entry information collection unit and the exit information collection unit; A feature extraction unit receiving input/reception traffic information and entry/exit traffic information from the analysis information collection unit and extracting and outputting each entry feature information and entry feature information; An illegal access determination unit that detects a target service provider server among the service provider servers by comparing the advanced feature information output from the feature extraction unit and the reference advanced feature information in the database unit; And a user terminal unit accessing the service provider server by comparing the entry characteristic information with the entry characteristic information for the service provider server determined as the detection target service provider server, and detecting terminal identification information capable of recognizing the user terminal unit. Characterized in that it comprises a real name outputting section.
상기 익명 네트워크 분석부는, 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 한다.The anonymous network analysis unit learns the advanced feature information for the incoming/outgoing traffic of the test service provider server that processes the initial illegal information to generate the standard advanced feature information, and when the actual anonymous network is accessed, the actual service provider server enters/receives It characterized in that it further comprises a learning unit for updating the reference entry feature information by performing learning that reflects the entry feature information for traffic to the reference entry feature information previously.
상기 익명 네트워크 분석부는, 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화부를 더 포함하고, 상기 불법 접속 판단부는, 상기 진출 히스토그램 특징정보와 기준 진출 특징정보를 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 실명화부는, 상기 검출 대상 서비스 제공자 서버의 진출 히스토그램 특징정보와 진입 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 식별하는 단물 식별정보를 출력하는 것을 특징으로 한다.The anonymous network analysis unit further includes a histogram generating unit that binarizes and enters the entry feature information and entry feature information to generate entry histogram feature information and entry histogram feature information, and the illegal access determination portion , Detects a service provider server to be detected by comparing the advanced histogram feature information and the reference advanced feature information, and the realization unit compares the advanced histogram feature information and the advanced histogram feature information of the detection service provider server to detect the target service It characterized in that it outputs the identification information of the user that identifies the user terminal that connects to the provider server.
상기 특징 추출부는, 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고, ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고, 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고, 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 한다.The feature extracting unit extracts the TLS packet time (t n ) and the packet length (l n ) by the following
[수학식 1][Equation 1]
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +l i is incoming (receiving), s i = -, outgoing (sending) s i = +
[수학식 2][Equation 2]
[수학식 3][Equation 3]
상기 학습부는, 상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 기준 진출 특징정보를 생성 또는 갱신하는 것을 특징으로 한다.The learning unit is characterized by generating or updating the reference advance feature information by learning the advanced histogram feature information by applying a deep learning model.
상기 히스토그램화부는, 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고, 상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며, 상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 것을 특징으로 한다.The histogram generating unit generates a histogram by connecting the incoming sequence and the outgoing sequence, and estimates a probability density function of the histogram by applying kernel density estimation to the histogram, and from the probability density function It is characterized by obtaining the probability of a random variable and generating feature information, which is a feature vector.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법은: 익명 네트워크 분석부가 엔트리 정보를 수집할 진입 노드 및 출구 정보를 수집할 진출 노드의 IP를 설정하는 IP 설정 과정; 엔트리정보 수집부가 사용자 단말부와 익명 네트워크를 연결하는 진입 노드를 통해 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집 과정; 출구 정보 수집부가 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드를 통해 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구 정보 수집 과정; 및 익명 네트워크 분석부가 상기 진입 송수신 트래픽 정보를 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 특정 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석 과정을 포함하는 것을 특징으로 한다.An anonymous network analysis method using manual fingerprinting according to the present invention for achieving the above object is: an IP network setting process in which an anonymous network analysis unit sets the IP of an entry node to collect entry information and an entry node to collect exit information ; An entry information collection process in which the entry information collection unit collects entry/reception traffic information transmitted/received between the user terminal unit and the anonymous network through an entry node connecting the user terminal unit and the anonymous network; An exit information collection process in which the exit information collection unit collects information of incoming and outgoing transmission/reception traffic transmitted and received between the service provider server and the anonymous network through an outgoing node connecting the service provider server and the anonymous network; And the anonymous network analysis unit receives the incoming/outgoing traffic information, extracts the characteristics of the incoming/outgoing traffic information and generates the incoming/outgoing traffic information, receives the incoming/outgoing traffic information, and receives the incoming/outgoing traffic information. It extracts the features of the server to generate advanced feature information, compares the advanced feature information with the reference advanced feature information for a specific service provider server that has been previously learned and stored, detects a service provider server to be detected, and enters the feature information and And an anonymous network analysis process of comparing a user terminal unit accessing the detected detection target service provider server by comparing entry feature information.
상기 익명 네트워크 분석 과정은, 분석정보 수집부가 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집 단계; 특징 추출부가 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징정보 수집 단계; 히스토그램화부가 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화 단계; 불법 접속 판단부가 상기 특징 추출부에서 출력되는 진출 히스토그램 특징정보와 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단 단계; 및 실명화부가 진입 히스토그램 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화 단계를 포함하는 것을 특징으로 한다.The anonymous network analysis process includes: analyzing information collection step of collecting and transmitting ingress/reception traffic information and ingress/reception traffic information through the entry information collection unit and the exit information collection unit; A feature information collecting unit receiving input/received traffic information and/or transmitted/received traffic information from the analysis information collection unit, and extracting and outputting each input feature information and advanced feature information; A histogram step of generating a histogram feature information and an entry histogram feature information by binary and N-Gram the entry feature information and entry feature information by a histogram unit; An illegal access determination step in which the illegal access determination unit compares the advanced histogram characteristic information output from the feature extraction unit with the reference advanced characteristic information in the database unit to detect a target service provider server among the service provider servers; And the realization unit compares the entry histogram characteristic information with the entry histogram characteristic information for the service provider server determined to be the detection target service provider server to detect the user terminal unit accessing the detection target service provider server, and recognizes the user terminal unit. It characterized in that it comprises a real name step of outputting the terminal identification information.
상기 익명 네트워크 분석 과정은, 학습부가 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습 단계를 더 포함하는 것을 특징으로 한다.In the anonymous network analysis process, the learning unit learns the advanced histogram characteristic information of the incoming/outgoing traffic of the test service provider server that processes the initial illegal information to generate the standard advanced feature information, and when the actual anonymous network is accessed, the actual service provider It is characterized in that it further comprises a learning step of updating the reference advance feature information by performing learning that reflects the advance histogram feature information on the advance/receive traffic of the server to the reference advance feature information.
상기 특징 추출 단계는, 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고 패킷 길이 추출 단계; ACKNOWLEDGEMENT 및 SENDME 셀을 제거하는 불요정보 제거 단계; 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하는 셀 시퀀스 계산 단계; 및 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 한다.The feature extraction step includes: extracting TLS packet time (t n ) and packet length (l n ) by the following
삭제delete
[수학식 1][Equation 1]
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +l i is incoming (receiving), s i = -, outgoing (sending) s i = +
[수학식 2][Equation 2]
[수학식 3][Equation 3]
상기 히스토그램화 단계는, 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하는 히스토그램 생성 단계; 상기 히스토그램에 커널 밀도 추정을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하는 확률밀도 추정 단계; 및 상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 한다.The histogramization step may include: a histogram generation step of generating a histogram by connecting the incoming and outgoing sequences; A probability density estimation step of estimating a probability density function of the histogram by applying kernel density estimation to the histogram; And a feature information generation step of obtaining a probability of a random variable from the probability density function and generating feature information as a feature vector.
본 발명은 토르 네트워크와 서비스 제공자 서버, 즉 사이트 사이에서 송수신 트래픽 정보를 수집하여 특징정보를 추출하고, 추출된 특징정보와 악의적인 사이트에 대해 미리 학습된 특징정보를 비교하므로 악의적인 사이트 및 상기 사이트에 접속하는 사용자를 자동 식별할 수 있는 효과를 갖는다.The present invention extracts feature information by transmitting/receiving traffic information between a Tor network and a service provider server, that is, a site, and compares the extracted feature information with previously learned feature information for the malicious site, so that the malicious site and the site It has the effect of automatically identifying the user accessing the.
본 발명은 악의적인 사이트를 식별할 수 있으므로, 불법 및 유해정보를 제공하는 악의적인 사이트에 대한 차단 등의 불법 처리를 자동으로 빠르게 수행할 수 있는 효과를 갖는다.Since the present invention can identify a malicious site, it has an effect of automatically and quickly performing illegal processing such as blocking of a malicious site providing illegal and harmful information.
또한, 본 발명은 악의적인 사이트에 접속하는 사용자 단말부를 식별할 수 있으므로 그에 따른 빠른 대응을 수행할 수 있고, 사용자들의 악의적인 사이트의 접속을 방지할 수 있는 효과를 갖는다.In addition, the present invention can identify a user terminal that accesses a malicious site, and thus can perform a quick response accordingly, and has an effect of preventing users from accessing a malicious site.
도 1은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템을 포함하는 통신 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보의 일예를 나타낸 도면이다.
도 3은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보로부터 특징정보를 추출한 일예를 나타낸 도면이다.
도 4는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 익명 네트워크 분석부의 상세 구성을 나타낸 도면이다.
도 5는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 추출된 특징정보를 히스토그램으로 나타낸 도면이다.
도 6은 본 발명에 따른 시간 대역 및 파일 수에 따른 히스토그램 및 확률 분포도를 나타낸 도면이다.
도 7은 본 발명에 따른 추출된 특징정보의 확률분포와 학습된 특징정보의 기준 확률분포 간의 차(면적)를 나타낸 도면이다.
도 8은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법을 나타낸 흐름도이다.1 is a view showing the configuration of a communication system including an anonymous network analysis system using manual fingerprinting according to the present invention.
FIG. 2 is a diagram showing an example of transmission/reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention.
3 is a diagram showing an example of extracting feature information from transmission/reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention.
4 is a diagram showing the detailed configuration of the anonymous network analysis unit of the anonymous network analysis system using manual fingerprinting according to the present invention.
FIG. 5 is a histogram showing feature information extracted from an anonymous network analysis system using manual fingerprinting according to the present invention.
6 is a view showing a histogram and probability distribution according to the time band and the number of files according to the present invention.
7 is a view showing a difference (area) between a probability distribution of extracted feature information and a reference probability distribution of learned feature information according to the present invention.
8 is a flowchart illustrating an anonymous network analysis method using manual fingerprinting according to the present invention.
이하 첨부된 도면을 참조하여 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 구성 및 동작을 상세히 설명하고, 상기 시스템에서의 익명 네트워크 분석 방법을 설명한다.Hereinafter, the configuration and operation of an anonymous network analysis system using manual fingerprinting according to the present invention will be described in detail with reference to the accompanying drawings, and an anonymous network analysis method in the system will be described.
도 1은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템을 포함하는 통신 시스템의 구성을 나타낸 도면이고, 도 2는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보의 일예를 나타낸 도면이며, 도 3은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 수집한 송수신 트래픽 정보로부터 특징정보를 추출한 일예를 나타낸 도면이다. 이하 도 1 내지 도 3을 참조하여 설명한다.1 is a diagram showing the configuration of a communication system including an anonymous network analysis system using manual fingerprinting according to the present invention, and FIG. 2 is a transmission and reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention. 3 is a diagram illustrating an example of extracting feature information from transmission/reception traffic information collected by an anonymous network analysis system using manual fingerprinting according to the present invention. Hereinafter, it will be described with reference to FIGS. 1 to 3.
일반적으로 사용자가 사용하는 사용자 단말부(10) 및 서비스 제공자 서버(20)는 유무선 데이터통신망(100)을 통해 무선 및 유선 중 어느 하나로 연결되어 데이터 통신을 수행한다.In general, the
상기 유무선 데이터통신망(100)은 와이파이(WiFi)망 및 근거리통신망(Local Area Network: LAN)을 포함하는 광대역통신망, 3세대(3 Generation: 3G), 4G, 5G 등의 이동통신망, 와이브로망 등 중 적어도 어느 하나 이상이 결합되어 TCP/IP 데이터 통신을 제공하는 통신망이다.The wired/wireless
또한, 상기 유무선 데이터통신망(100)은 Tor(토르) 등과 같은 익명 네트워크(110)를 포함한다.In addition, the wired/wireless
사용자 단말부(10)는 데스크톱 컴퓨터, 노트북 등과 같은 컴퓨터 단말기 및 스마트폰, 스마트패드 등으로 불리는 모바일 단말기 등이 될 수 있으며, 익명 네트워크(110)를 통한 서비스 제공자 서버(20)에 접속할 수 있는 토르 웹브라우저 등과 같은 어플리케이션이 설치되어 있을 것이다.The
상기 익명 네트워크 접속용 어플리케이션이 구동되는 사용자 단말부(10)는 유무선 데이터통신망(100)의 익명 네트워크(110)에 연결되는 진입 노드(120)를 통해 익명 네트워크(110)에 연결될 수 있으며, 익명 네트워크(110)를 통해 임의의 서비스 제공자 서버(20)에 접속하여 데이터 통신을 수행한다.The
서비스 제공자 서버(20)는 익명 네트워크(110)를 통해 임의의 정보를 공급하는 서비스를 제공하는 서버로, 진출 노드(130)를 통해 익명 네트워크(110)와 연결되어 사용자 단말부(10)들에게 해당 정보를 제공한다.The
상기 서비스 제공자 서버(20) 중 불법 저작물 서비스, 마약, 총기 등의 불법 거래 서비스 등을 제공하는 서비스 제공자 서버(20)(이하 "검출 대상 서비스 제공자 서버"라 함)도 포함되어 있을 것이다.The
진입 노드(120) 및 진출 노드(130)는 익명 네트워크(110)에 연결되는 라우터(Router) 등이 될 수 있으며, 각각 사용자 단말부(10)와 익명 네트워크(110) 및 서비스 제공자 서버(20)와 익명 네트워크(110) 사이에서 수많은 트래픽들을 송수신한다. 상기 진입 노드(120) 및 진출 노드(130)에 대한 정보는 유무선 데이터통신망(100)을 관리하는 통신사로부터 획득될 수 있을 것이다.The
사용자 단말부(10)에서 진입 노드(120)로 송신되거나, 진입 노드(120)에서 사용자 단말부(10)로 송신되는 트래픽에는 사용자 단말부(10)의 IP 주소, MAC 주소 등이 포함되어 있을 것이다.Traffic transmitted from the
그리고 진출 노드(130)에서 서비스 제공자 서버(20)로 송신되는 트래픽 및 서비스 제공자 서버(20)에서 진출 노드(130)로 송신되는 트래픽에는 서비스 제공자 서버(20)의 IP 주소, MAC 주소 등을 포함되어 있을 것이다.And the traffic transmitted from the advancing
익명 네트워크 분석 시스템(200)은 통신사 등으로부터 적어도 하나 이상의 진입 노드(120) 및 진출 노드(130)에 대한 인터넷 프로토콜(Internet Protocol: IP) 주소를 제공받아 자동으로 등록하거나, 관리자로부터 직접 입력받아 등록한다.The anonymous
익명 네트워크 분석 시스템(200)은 입력받은 진입 노드(120) 및 진출 노드(130)에 접속하여, 상기 진입 노드(120)를 통해 익명 네트워크(110)와 송수신되는 트래픽들에 대한 진입 송수신 트래픽 정보 및 상기 진출 노드(130)를 통해 익명 네트워크(110)와 송수신되는 트래픽들에 대한 진출 송수신 트래픽 정보를 수집하고, 수집된 송수신 트래픽 정보들의 특징을 추출하여 진입 특징정보 및 진출 특징정보를 생성한다.The anonymous
상기 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보는 IP, 맥어드레스 등과 같은 사용자 단말부의 단말 식별정보 및 서비스 제공자 서버의 서버 식별정보별로 수집될 수 있을 것이다.The incoming/outgoing traffic information and the incoming/outgoing traffic information may be collected for each terminal identification information of the user terminal unit such as IP, Mac address, and server identification information of the service provider server.
진입 특징정보 및 진출 특징정보가 생성되면, 익명 네트워크 분석 시스템(200)은 진출 특징정보와 미리 등록하고 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보를 비교하여 상기 서비스 제공자 서버(20)들 중 검출 대상 서비스 제공자 서버가 있는지를 판단하여 검출 대상 서비스 제공자 서버를 검출하며, 검출된 검출 대상 서비스 제공자 서버에 대한 진출 특징정보와 진입 특징정보들을 비교하여 검출 대상 서비스 제공자 서버에 접속하고자 하거나 접속한 사용자 단말부(10)를 검출하고 검출된 사용자 단말부(10)에 대한 단말 식별정보를 획득한다. 상기 단말 식별정보는 사용자 단말부(10)의 IP주소, MAC 주소 등이 될 수 있을 것이다.When the entry feature information and the entry feature information are generated, the anonymous
구체적으로 익명 네트워크 분석 시스템(200)은 엔트리정보 수집부(300), 출구정보 수집부(400) 및 익명 네트워크 분석부(500)를 포함한다.Specifically, the anonymous
상기 익명 네트워크 분석 시스템(200)은 하나의 서버 형태로 구성될 수도 있고, 상기 엔트리정보 수집부(300), 출구정보 수집부(400) 및 익명 네트워크 분석부(500) 각각이 서버형태로 구성될 수도 있으며, 컴퓨터 단말기 및 서버 혼합 형태로 구성될 수도 있을 것이다.The anonymous
엔트리정보 수집부(300)는 익명 네트워크 분석부(500)에 의해 설정되는 IP의 적어도 하나 이상의 진입 노드(120)에 연결하여 진입 노드(120)를 통해 송수신되는 트래픽들에 대한 진입 송수신 트래픽 정보를 수집하여 익명 네트워크 분석부(500)로 전송한다. The entry
출구정보 수집부(400)는 익명 네트워크 분석부(500)에 의해 설정되는 IP의 적어도 하나 이상의 진출 노드(130)에 연결하여 진출 노드(120)를 통해 송수신되는 트래픽들에 대한 진출 송수신 트래픽 정보를 수집하여 익명 네트워크 분석부(500)로 전송한다.The exit
상기 엔트리정보 수집부(300) 및 출구정보 수집부(400)를 통해 수집되는 송수신 트래픽 정보는 도 2와 같은 형태로 수집될 수 있으며, 상기 송수신 트래픽 정보에는 ACKNOWLEDGEMENT 및 SENDME 셀이 일정 규칙을 가지고 삽입되어 있을 것이다. 상기 ACKNOWLEDGEMENT 시퀀스의 시작을 알리기 위해 삽입되며, 상기 SENDME 셀은 스트림 제어를 위해 50개의 인커밍 셀마다 삽입되고, 경로제어를 위해 100개의 인커밍 셀마다 삽입된다.The transmission/reception traffic information collected through the entry
익명 네트워크 분석부(500)는 상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부(300)로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부(400)로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 특정 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버(20) 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부(10)를 식별한다.The anonymous
상기 특징정보는 본 발명의 일차적으로 도 5의 501과 같은 형태로 사인(Sign) 값을 갖는 이진화된 값으로 획득되며, 이진화된 특징정보는 이차적으로 이지화 값들을 히스토그램화한 히스토그램 특징정보로 변환된다. The characteristic information is primarily obtained as a binary value having a sign value in the form of 501 of FIG. 5 in the present invention, and the binary characteristic information is secondarily transformed into histogram characteristic information that is a histogram of the binarized values. .
도 4는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템의 익명 네트워크 분석부의 상세 구성을 나타낸 도면이고, 도 5는 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템에서 추출된 특징정보를 히스토그램으로 나타낸 도면이고, 도 6은 본 발명에 따른 시간 대역 및 파일 수에 따른 히스토그램 및 확률 분포도를 나타낸 도면이며, 도 7은 본 발명에 따른 추출된 특징정보의 확률분포와 학습된 특징정보의 기준 확률분포 간의 차(넓이)를 나타낸 도면이다. 이하 도 4 내지 도 7을 참조하여 설명한다.4 is a diagram showing the detailed configuration of the anonymous network analysis unit of the anonymous network analysis system using manual fingerprinting according to the present invention, and FIG. 5 is the feature information extracted from the anonymous network analysis system using manual fingerprinting according to the present invention. A histogram is a diagram showing a histogram and a probability distribution chart according to the time band and the number of files according to the present invention, and FIG. 7 is a probability distribution of the extracted feature information according to the present invention and the basis of the learned feature information This diagram shows the difference (area) between probability distributions. It will be described below with reference to FIGS. 4 to 7.
익명 네트워크 분석부(500)는 IP 설정부(510), 분석정보 수집부(520), 특징추출부(530), 히스토그램화부(540), 불법 접속 판단부(550), 실명화부(560), 학습부(570) 및 데이터베이스부(580)를 포함한다.The anonymous
데이터베이스부(580)는 수집되는 송수신 트래픽 정보, 특징정보, 진입 노드(120) 및 진출 노드(130)들의 IP 정보 등을 저장하고, 임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 저장부(582) 및 상기 IP 설정부(510), 분석정보 수집부(520), 특징 추출부(530), 히스토그램화부(540), 불법 접속 판단부(550), 실명화부(560) 및 학습부(570)가 요청하는 정보를 저장부(582)에서 로드하여 해당 구성으로 제공하거나 상기 구성들에 의해 생성된 정보를 저장부(582)에 저장하는 저장 제어부(581)를 포함한다.The
IP 설정부(510)는 데이터베이스부(580)에 등록되어 있는 진입 노드(120) 및 진출 노드(130)들에 대한 IP 주소들 중 임의의 또는 특정 IP 주소를 로드하고 엔트리정보 수집부(300)로 진입 송수신 트래픽 정보를 수집할 하나 이상의 진입 노드(120)에 대한 IP 주소를 전송하여 설정하도록 하고, 출구정보 수집부(400)로 진출 송수신 트래픽 정보를 수집할 하나 이상의 진출 노드(130)에 대한 IP 주소를 전송하여 설정하도록 한다.The
분석정보 수집부(520)는 상기 엔트리정보 수집부(300) 및 출구정보 수집부(400)를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 특징 추출부(530)로 출력한다.The analysis
특징 추출부(530)는 상기 분석정보 수집부(520)로부터 도 2와 같은 형태의 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 도 3과 같은 각각의 진입 특징정보 및 진출 특징정보를 추출하여 히스토그램화부(540)로 출력한다.The
구체적으로, 특징 추출부(530)는 수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 포함하는 TLS 패킷데이터(PTLS)(이하 "패킷데이터"라 함)를 추출한다.Specifically, the
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +l i is incoming (receiving), s i = -, outgoing (sending) s i = +
패킷데이터가 추출되면 특징 추출부(530)는 패킷데이터 시퀀스로부터 ACKNOWLEDGEMENT 및 SENDME 셀 등과 같은 불필요한 셀을 제거한다.When the packet data is extracted, the
상기 ACKNOWLEDGMENT 셀은 패킷 데이터 시퀀스의 처음에 나타나는 셀이다.The ACKNOWLEDGMENT cell is the cell that appears first in the packet data sequence.
상기 SENDME 셀은 인커밍 스트림에서 50번째 마다 삽입되며, 인커밍 연결 경로에서는 100번째 마다 삽입되는 셀이다.The SENDME cell is inserted every 50th in the incoming stream, and is inserted every 100th in the incoming connection path.
불필요한 셀이 제거되면 특징 추출부(530)는 하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토르 셀 시퀀스를 계산한다.When an unnecessary cell is removed, the
토르 셀 시퀀스가 계산되면 특징 추출부(530)는 하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성한다.When the Thor cell sequence is calculated, the
인커밍 셀 시퀀스 Pin과 아웃고잉 시퀀스 Pout의 시간은 같지 않다.The time of the incoming cell sequence P in and the outgoing sequence P out are not the same.
히스토그램화부(540)는 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 도 5와 같이 진입 히스토그램 및 진출 히스토그램을 생성하며, 각각의 진입 히스토그램 및 진출 히스토그램의 확률밀도 함수를 추정하고, 확률을 계산하여 도 6과 같은 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하여 출력한다.The
도 6의 701, 702, 703, 704에서와 같이 히스토그램 특징정보는 시간 대역폭(Bandwidth)별 및 파일 수에 따라 그 검출 특성을 조절할 수 있을 것이다. 701은 파일 수가 0-20일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이고, 702는 파일수가 9-1일 때의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이며, 703은 파일수가 10-11일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이며, 704는 파일수가 2804일 경우의 시간 대역폭별 히스토그램 특징정보를 나타낸 것이다.As shown in 701, 702, 703, and 704 of FIG. 6, the histogram characteristic information may adjust its detection characteristics according to time bandwidth and number of files. 701 indicates the histogram characteristic information for each time bandwidth when the number of files is 0-20, 702 indicates the histogram characteristic information for each time bandwidth when the number of files is 9-1, and 703 when the number of files is 10-11 Histogram characteristic information for each time bandwidth is indicated, and 704 represents histogram characteristic information for each time bandwidth when the number of files is 2804.
상기 히스토그램화부(540)는 상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고, 하기 수학식 4와 같이 상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며, 하기 수학식 5와 같이 상기 확률밀도 함수로부터 확률변수 의 확률을 구하여 특징벡터인 특징정보를 생성한다.The
상기 수학식 4 및 수학식 5 자체는 잘 알려져 있는 수학식이므로 그 상세한 설명을 생략한다.Since Equation 4 and
불법 접속 판단부(550)는 상기 특징 추출부(530)에서 출력되는 진출 특징정보와 상기 데이터베이스부(580)의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버(20)들 중 검출 대상 서비스 제공자 서버를 검출한다.The illegal
실명화부(560)는 진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버(20)에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부(10)를 검출하고, 상기 사용자 단말부(10)를 인식할 수 있는 단말 식별정보를 출력한다.The
학습부(570)는 상기 진출 특징정보 및/또는 상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 진출 특징정보를 생성 또는 갱신한다. 학습부(570)는 진입 특징정보 및/또는 상기 진입 히스토그램 특징정보 또한 딥러닝 모델을 적용하여 학습시켜 기준 진입 특징정보를 생성할 수도 있을 것이다.The
학습부(570)는 초기에 익명 네트워크(110)를 통해 불법 정보를 제공하는 적어도 하나 이상의 테스트 서비스 제공자 서버들을 구성하고, 이러한 테스트 서비스 제공자 서버들이 송수신하는 송수신 트래픽 정보를 수집하여 특징정보를 생성하고, 생성된 특징정보를 딥러닝 모델 등의 학습 모델을 적용하여 학습시켜 기준 특징정보를 생성한 후, 상기 기준 특징정보를 기준으로 검출되는 검출 대상 서비스 제공자 서버로부터 수집한 송수신 트래픽 정보에 대한 특징정보를 누적하여 지속적으로 학습하는 것이 바람직할 것이다.The
도 8은 본 발명에 따른 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법을 나타낸 흐름도이다.8 is a flowchart illustrating an anonymous network analysis method using manual fingerprinting according to the present invention.
우선, 익명 네트워크 분석부(500)는 IP 설정부(510)를 통해 익명 네트워크 분석 이벤트가 발생하면 익명 네트워크(110)에 연결되고 송수신 트래픽 정보를 수집할 진입 노드(120) 및 진출 노드(130)에 대한 IP 주소를 설정한다(S111). 상기 익명 네트워크 분석 이벤트는, 일정 시간 주기로 발생될 수도 있고, 관리자의 요청에 의해서 발생될 수도 있을 것이다.First, when an anonymous network analysis event occurs through the
진입 노드(120) 및 진출 노드(130)에 대한 IP 주소가 설정되면 익명 네트워크 분석부(500)는 분석정보 수집부(520)를 통해 진입 노드(120) 및 진출 노드(130)에 접속한(S113) 후, 상기 진입 노드(120) 및 진출 노드(130)로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집한다(S115).When the IP addresses for the
진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보가 수집되면 익명 네트워크 분석부(500)는 특징 추출부(530)를 통해 진입 송수신 트래픽 정보로부터 진입 특징정보를 추출하고, 진출 송수신 트래픽 정보로부터 진출 특징정보를 생성한다(S117).When the incoming/outgoing traffic information and the incoming/outgoing traffic information are collected, the anonymous
진입 특징정보 및 진출 특징정보가 추출되면 익명 네트워크 분석부(500)는 히스토그램화부(540)를 통해 상기 진입 특징정보를 히스토그램화하여 진입 히스토그램 특징정보를 생성하고, 상기 진출 특징정보를 히스토그램화하여 진출 히스토그램 특징정보를 생성한다(S119).When the entry feature information and entry feature information are extracted, the anonymous
익명 네트워크 분석부(500)는 불법 접속 판단부(550)를 통해 도 7과 같이 추출된 진출 히스토그램 특징정보(801)와 검출 대상 서비스 제공자 서버들이 송수신하는 진출 송수신 트래픽 정보에 근거하여 학습된 기준 진출 히스토그램 특징정보인 기준 특징정보(802)의 차 값(면적 값)(803)을 계산하고(S121), 상기 차 값이 기준값 이상인지를 판단한다(S123).The anonymous
판단결과, 차 값이 기준값을 초과하면 익명 네트워크 분석부(500)는 진출 히스토그램 특징정보에 대응하는 진출 송수신 트래픽 정보를 발생시킨 서비스 제공자 서버(20)를 검출 대상 서비스 제공자 서버로 판정한다(S125). 즉, 익명 네트워크 분석부(500)는 상기 서비스 제공자 서버(20)를 불법정보를 제공하는 서버로 판단하여 검출 대상 서비스 제공자 서버인 서비스 제공자 서버(20)의 IP를 검출한다.As a result of the determination, when the difference value exceeds the reference value, the anonymous
상기 검출 대상 서비스 제공자 서버가 검출되면 익명 네트워크 분석부(500)는 상기 진출 히스토그램 특징정보와 사용자 단말부(10)(사용자 단말부의 IP)별 진입 히스토그램 특징정보들과 비교하여 일치 또는 일정 범위 내에서 유사한 진입 히스토그램 특징정보들을 검출하고, 검출된 유사한 진입 히스토그램 특징정보를 발생시킨 사용자 단말부(10)를 상기 검출 대상 서비스 제공자 서버에 접속하여 정보를 송수신하는 단말부로 결정하여 해당 사용자 단말부(10)의 IP를 검출한다(S127). When the service provider server to be detected is detected, the anonymous
상기 검출된 IP 등의 검출정보는 관리자 단말부를 통해 관리자에게 제공될 수 있을 것이다.Detection information such as the detected IP may be provided to the administrator through the administrator terminal unit.
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다. On the other hand, the present invention is not limited to the typical preferred embodiments described above, but can be carried out by improving, changing, replacing or adding in various ways without departing from the gist of the present invention. Anyone who has a will easily understand. If the implementation by such improvement, modification, replacement or addition falls within the scope of the appended claims, the technical idea should also be regarded as belonging to the present invention.
10: 사용자 단말부 20: 서비스 제공자 서버
100: 유무선 데이터통신망 110: 익명 네트워크
120: 진입 노드 130: 진출 노드
200: 익명 네트워크 분석 시스템 300: 엔트리정보 수집부
400: 출구정보 수집부 500: 익명 네트워크 분석부
510: IP 설정부 520: 분석정보 수집부
530: 특징 추출부 540: 히스토그램화부
550: 불법 접속 판단부 560: 실명화부
570: 학습부 580: 데이터베이스부
581: 저장 제어부 582: 저장부10: user terminal 20: service provider server
100: wired and wireless data communication network 110: anonymous network
120: entry node 130: entry node
200: anonymous network analysis system 300: entry information collection unit
400: exit information collection unit 500: anonymous network analysis unit
510: IP setting unit 520: analysis information collection unit
530: feature extraction unit 540: histogram conversion unit
550: illegal access determination unit 560: real name identification unit
570: learning unit 580: database unit
581: storage control unit 582: storage unit
Claims (14)
적어도 하나 이상의 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드에 연결되어, 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구정보 수집부; 및
상기 진입 송수신 트래픽 정보를 상기 엔트리정보 수집부로부터 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 상기 출구정보 수집부로부터 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버 중 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 상기 검출된 검출 대상 서비스 제공자 서버에 대응하는 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석부를 포함하되,
상기 익명 네트워크 분석부는,
임의의 진출 노드를 통해 적어도 하나 이상의 검출 대상 서비스 제공자 서버의 송수신 트래픽 정보들로부터 추출된 다수의 특징정보들을 학습하여 생성된 기준 진출 특징정보를 생성하여 저장하는 데이터베이스부;
상기 엔트리정보 수집부가 접속할 진입 노드 및 상기 출구정보 수집부가 접속할 진출 노드의 IP를 설정하는 IP 설정부;
상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집부;
상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징 추출부;
상기 특징 추출부에서 출력되는 진출 특징정보와 상기 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단부; 및
진입 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 특징정보를 비교하여 상기 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화부를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
An entry information collection unit connected to an entry node connecting the user terminal unit and the anonymous network, and collecting entry transmission/reception traffic information transmitted and received between the user terminal unit and the anonymous network;
An exit information collection unit connected to at least one service provider server and an outgoing node connecting an anonymous network to collect outgoing transmission/reception traffic information transmitted and received between the service provider server and the anonymous network; And
It receives the incoming/outgoing traffic information from the entry information collection unit and extracts the characteristics of the incoming/outgoing traffic information of the incoming/outgoing traffic information to generate the incoming feature information. The incoming traffic information is input from the exit information collection unit to enter the advancing. Extracts the characteristics of the transmission/reception traffic information of the transmission/reception traffic information, generates advanced feature information, compares the advanced feature information with reference advanced feature information about the service provider server that is previously learned and stored, and detects among the service provider servers An anonymous network analysis unit that detects a target service provider server and compares the entry feature information and entry feature information corresponding to the detected detection service provider server to identify a user terminal connected to the detected detection service provider server Including,
The anonymous network analysis unit,
A database unit for generating and storing reference advanced feature information generated by learning a plurality of feature information extracted from transmission/reception traffic information of at least one detection target service provider server through an arbitrary advance node;
An IP setting unit configured to set an IP of an entry node to be accessed by the entry information collection unit and an entry node to be accessed by the exit information collection unit;
An analysis information collection unit that collects and transmits entry/reception traffic information and entry/exit traffic information through the entry information collection unit and the exit information collection unit;
A feature extraction unit receiving input/reception traffic information and entry/exit traffic information from the analysis information collection unit and extracting and outputting each entry feature information and entry feature information;
An illegal access determining unit that detects a target service provider server among the service provider servers by comparing the advanced feature information output from the feature extraction unit and the reference advanced feature information in the database unit; And
Compares entry feature information with entry feature information for the service provider server determined to be the detection target service provider server, detects a user terminal portion accessing the service provider server, and outputs terminal identification information capable of recognizing the user terminal portion An anonymous network analysis system using manual fingerprinting, characterized in that it comprises a real name.
상기 익명 네트워크 분석부는,
초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
According to claim 1,
The anonymous network analysis unit,
Learn the advanced feature information for the incoming/outgoing traffic of the test service provider server that processes the initial illegal information to generate the standard entry feature information. An anonymous network analysis system using manual fingerprinting further comprising a learning unit for performing the learning reflected in the previous standard advance feature information to update the standard advance feature information.
상기 익명 네트워크 분석부는,
상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화부를 더 포함하고,
상기 불법 접속 판단부는,
상기 진출 히스토그램 특징정보와 기준 진출 특징정보를 비교하여 검출 대상 서비스 제공자 서버를 검출하고,
상기 실명화부는,
상기 검출 대상 서비스 제공자 서버의 진출 히스토그램 특징정보와 진입 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 식별하는 단물 식별정보를 출력하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
According to claim 1,
The anonymous network analysis unit,
Further comprising a histogram to generate the entry histogram feature information and entry histogram feature information by performing binary and N-Gram the entry feature information and entry feature information,
The illegal access determination unit,
The service provider server to be detected is detected by comparing the advanced histogram feature information with the reference advanced feature information,
The realization unit,
Anonymous network using manual fingerprinting, characterized by outputting complex identification information identifying a user terminal unit accessing the detection target service provider server by comparing entry histogram characteristic information and entry histogram characteristic information of the detection target service provider server Analysis system.
상기 익명 네트워크 분석부는,
초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습부를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
The method of claim 4,
The anonymous network analysis unit,
The test histogram characteristic information for the incoming/outgoing traffic of the test service provider server processing the initial illegal information is learned to generate the above standard outgoing characteristic information, and when accessing an anonymous network, the outgoing histogram for the incoming/outgoing traffic of the actual service provider server An anonymous network analysis system using manual fingerprinting, further comprising a learning unit that updates the reference advanced feature information by performing learning that reflects feature information on the previously advanced reference feature information.
상기 특징 추출부는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고
ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고,
하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고,
하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
[수학식 1]
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +
[수학식 2]
[수학식 3]
According to claim 1,
The feature extraction unit,
TLS packet time (t n ) and packet length (l n ) are extracted from the collected transmission/reception traffic information by Equation 1 below.
Remove the ACKNOWLEDGEMENT and SENDME cells,
As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. Calculate the sequence,
An anonymous network analysis system using manual fingerprinting, characterized in that the tor cell sequence is divided into an incoming cell sequence and an outgoing sequence to generate the binarized feature information as shown in Equation 3 below.
[Equation 1]
l i is incoming (receiving), s i = -, outgoing (sending) s i = +
[Equation 2]
[Equation 3]
상기 학습부는,
상기 진출 히스토그램 특징정보를 딥러닝 모델을 적용하여 학습시켜 기준 진출 특징정보를 생성 또는 갱신하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
The method of claim 5,
The learning unit,
An anonymous network analysis system using manual fingerprinting characterized in that the advanced histogram feature information is applied to a deep learning model to learn and generate or update the reference advanced feature information.
상기 특징 추출부는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고
ACKNOWLEDGEMENT 및 SENDME 셀을 제거하고,
하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하고,
하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
[수학식 1]
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +
[수학식 2]
[수학식 3]
The method of claim 4,
The feature extraction unit,
TLS packet time (t n ) and packet length (l n ) are extracted from the collected transmission/reception traffic information by Equation 1 below.
Remove the ACKNOWLEDGEMENT and SENDME cells,
As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. Calculate the sequence,
An anonymous network analysis system using manual fingerprinting, characterized in that the tor cell sequence is divided into an incoming cell sequence and an outgoing sequence to generate the binarized feature information as shown in Equation 3 below.
[Equation 1]
l i is incoming (receiving), s i = -, outgoing (sending) s i = +
[Equation 2]
[Equation 3]
상기 히스토그램화부는,
상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하고,
상기 히스토그램에 커널 밀도 추정(Kernel Density estimation)을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하며,
상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템.
The method of claim 8,
The histogram forming unit,
The histogram is generated by connecting the incoming and outgoing sequences,
The kernel density estimation is applied to the histogram to estimate the probability density function of the histogram,
An anonymous network analysis system using manual fingerprinting, characterized in that the probability of a random variable is obtained from the probability density function to generate feature information as a feature vector.
엔트리정보 수집부가 사용자 단말부와 익명 네트워크를 연결하는 진입 노드를 통해 상기 사용자 단말부 및 상기 익명 네트워크 간 송수신되는 진입 송수신 트래픽 정보를 수집하는 엔트리정보 수집 과정;
출구 정보 수집부가 서비스 제공자 서버와 익명 네트워크를 연결하는 진출 노드를 통해 상기 서비스 제공자 서버와 익명 네트워크 간 송수신되는 진출 송수신 트래픽 정보를 수집하는 출구 정보 수집 과정; 및
익명 네트워크 분석부가 상기 진입 송수신 트래픽 정보를 입력받아 상기 진입 송수신 트래픽 정보의 진입 송수신 트래픽들의 특징을 추출하여 진입 특징정보를 생성하고, 상기 진출 트래픽 정보를 입력받아 상기 진출 송수신 트래픽 정보의 진출 송수신 트래픽들의 특징을 추출하여 진출 특징정보를 생성하며, 상기 진출 특징정보와 미리 학습되어 저장되어 있는 검출 대상 서비스 제공자 서버에 대한 기준 진출 특징정보들을 비교하여 검출 대상 서비스 제공자 서버를 검출하고, 상기 진입 특징정보 및 진출 특징정보를 비교하여 상기 검출된 검출 대상 서비스 제공자 서버에 접속한 사용자 단말부를 식별하는 익명 네트워크 분석 과정을 포함하되,
상기 익명 네트워크 분석 과정은,
분석정보 수집부가 상기 엔트리정보 수집부 및 출구정보 수집부를 통해 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 수집하여 출력하는 분석정보 수집 단계;
특징 추출부가 상기 분석정보 수집부로부터 진입 송수신 트래픽 정보 및 진출 송수신 트래픽 정보를 입력받아 각각의 진입 특징정보 및 진출 특징정보를 추출하여 출력하는 특징정보 수집 단계;
히스토그램화부가 상기 진입 특징정보 및 진출 특징정보를 2진화 및 N-Gram을 수행하여 진입 히스트로그램 특징정보 및 진출 히스토그램 특징정보를 생성하는 히스토그램화 단계;
불법 접속 판단부가 상기 특징 추출부에서 출력되는 진출 히스토그램 특징정보와 데이터베이스부의 기준 진출 특징정보들을 비교하여 상기 서비스 제공자 서버들 중 검출 대상 서비스 제공자 서버를 검출하는 불법 접속 판단 단계; 및
실명화부가 진입 히스토그램 특징정보와 상기 검출 대상 서비스 제공자 서버로 판단된 서비스 제공자 서버에 대한 진출 히스토그램 특징정보를 비교하여 상기 검출 대상 서비스 제공자 서버에 접속하는 사용자 단말부를 검출하고, 상기 사용자 단말부를 인식할 수 있는 단말 식별정보를 출력하는 실명화 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
An IP setting process in which an anonymous network analysis unit sets an IP of an entry node to collect entry information and an entry node to collect exit information;
An entry information collection process in which the entry information collection unit collects entry/reception traffic information transmitted/received between the user terminal unit and the anonymous network through an entry node connecting the user terminal unit and the anonymous network;
An exit information collection process in which the exit information collection unit collects information of incoming and outgoing transmission and reception traffic transmitted and received between the service provider server and the anonymous network through an outgoing node connecting a service provider server and an anonymous network; And
Anonymous network analysis unit receives the incoming/outgoing traffic information, extracts the characteristics of the incoming/outgoing traffic information and generates the incoming/outgoing traffic information, receives the incoming/outgoing traffic information, and receives the incoming/outgoing traffic information. Extracts features to generate advanced feature information, compares the advanced feature information with reference advanced feature information for a target service provider server that is previously learned and stored to detect the detected service provider server, and enters the feature information and Comprising an anonymous network analysis process to identify the user terminal connected to the detected target service provider server by comparing the entry feature information,
The anonymous network analysis process,
An analysis information collecting step in which the analysis information collection unit collects and transmits entry/exit traffic information and entry/exit traffic information through the entry information collection unit and the exit information collection unit;
A feature information collecting unit receiving input/received traffic information and/or transmitted/received traffic information from the analysis information collection unit, and extracting and outputting each input feature information and advanced feature information;
A histogram step of generating a histogram feature information and an entry histogram feature information by binary and N-Gram the entry feature information and entry feature information by a histogram unit;
An illegal access determination step in which the illegal access determination unit compares the advanced histogram characteristic information output from the feature extraction unit with the reference advanced characteristic information in the database unit to detect a target service provider server among the service provider servers; And
The realization unit compares the entry histogram characteristic information with the entry histogram characteristic information for the service provider server determined to be the detection target service provider server to detect the user terminal unit accessing the detection target service provider server and recognize the user terminal unit. An anonymous network analysis method using manual fingerprinting, characterized in that it comprises a real name step of outputting the terminal identification information.
상기 익명 네트워크 분석 과정은,
학습부가 초기 불법정보를 처리하는 테스트 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 학습하여 상기 기준 진출 특징정보를 생성하고, 실제 익명 네트워크에 접속 시 실제 서비스 제공자 서버의 진출 송수신 트래픽에 대한 진출 히스토그램 특징정보를 이전의 상기 기준 진출 특징정보에 반영한 학습을 수행하여 상기 기준 진출 특징정보를 갱신하는 학습 단계를 더 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
The method of claim 10,
The anonymous network analysis process,
The learning unit learns the entry histogram characteristic information for the incoming/outgoing traffic of the test service provider server that processes the initial illegal information, generates the above standard entry characteristic information, and when accessing the actual anonymous network, the incoming/outgoing traffic of the actual service provider server An anonymous network analysis method using manual fingerprinting, further comprising a step of learning to update the reference advance feature information by performing learning that reflects the advance histogram feature information to the reference advance feature information.
상기 특징 추출 단계는,
수집된 송수신 트래픽 정보로부터 하기 수학식 1에 의해 TLS 패킷 타임(tn), 패킷 길이(ln)를 추출하고 패킷 길이 추출 단계;
ACKNOWLEDGEMENT 및 SENDME 셀을 제거하는 불요정보 제거 단계;
하기 수학식 2와 같이 512바이트의 패킷 길이를 갖는 토르 셀 시퀀스의 패킷 쌍(tk, sklk)을 lk/512 개의 패킷 쌍(tk, skl)으로 대치하여 토를 셀 시퀀스를 계산하는 셀 시퀀스 계산 단계; 및
하기 수학식 3과 같이 상기 토르 셀 시퀀스를 인커밍 셀 시퀀스와 아웃고잉 시퀀스로 분리하여 이진화된 상기 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.
[수학식 1]
li가 인커밍(수신)인 경우 si= -, 아웃고잉(송신)인 경우 si= +
[수학식 2]
[수학식 3]
The method of claim 12,
The feature extraction step,
Extracting the TLS packet time (t n ) and the packet length (l n ) according to Equation 1 below from the collected transmission/reception traffic information and extracting the packet length;
Removing unnecessary information for removing ACKNOWLEDGEMENT and SENDME cells;
As shown in Equation 2 below, a packet pair (t k , s k l k ) of a Thor cell sequence having a packet length of 512 bytes is replaced with l k /512 packet pairs (t k , s k l), and the cell is torn. A cell sequence calculating step of calculating a sequence; And
An anonymous network analysis method using manual fingerprinting, comprising the step of generating characteristic information by separating the tor cell sequence into an incoming cell sequence and an outgoing sequence, as shown in Equation 3 below, to generate the binarized characteristic information. .
[Equation 1]
l i is incoming (receiving), s i = -, outgoing (sending) s i = +
[Equation 2]
[Equation 3]
상기 히스토그램화 단계는,
상기 인커밍 시퀀스와 아웃고잉 시퀀스를 연결하여 히스토그램을 생성하는 히스토그램 생성 단계;
상기 히스토그램에 커널 밀도 추정을 적용하여 상기 히스토그램의 확률밀도 함수를 추정하는 확률밀도 추정 단계; 및
상기 확률밀도 함수로부터 확률변수의 확률을 구하여 특징벡터인 특징정보를 생성하는 특징정보 생성 단계를 포함하는 것을 특징으로 하는 수동 핑거프린팅을 이용한 익명 네트워크 분석 방법.The method of claim 13,
The histogramization step,
A histogram generation step of generating a histogram by connecting the incoming and outgoing sequences;
A probability density estimation step of estimating a probability density function of the histogram by applying kernel density estimation to the histogram; And
And a feature information generating step of obtaining a probability of a random variable from the probability density function and generating feature information, which is a feature vector, an anonymous network analysis method using manual fingerprinting.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180139856A KR102119636B1 (en) | 2018-11-14 | 2018-11-14 | Anonymous network analysis system using passive fingerprinting and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180139856A KR102119636B1 (en) | 2018-11-14 | 2018-11-14 | Anonymous network analysis system using passive fingerprinting and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200056029A KR20200056029A (en) | 2020-05-22 |
KR102119636B1 true KR102119636B1 (en) | 2020-06-08 |
Family
ID=70914065
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180139856A KR102119636B1 (en) | 2018-11-14 | 2018-11-14 | Anonymous network analysis system using passive fingerprinting and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102119636B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102234698B1 (en) * | 2020-09-21 | 2021-04-02 | (주)에이아이딥 | Tor site passive fingerprinting system using convolution neural network and method thereof |
CN114422210B (en) * | 2021-12-30 | 2023-05-30 | 中国人民解放军战略支援部队信息工程大学 | AnoA theory-based anonymous network passive flow analysis and evaluation method and system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101548210B1 (en) | 2014-01-06 | 2015-08-31 | 고려대학교 산학협력단 | Method for detecting bypass access through anonymous network using round trip time variation |
-
2018
- 2018-11-14 KR KR1020180139856A patent/KR102119636B1/en active IP Right Grant
Non-Patent Citations (1)
Title |
---|
Kota Abe 외 1인 ‘Fingerprinting Attack on Tor Anonymity using Deep Learning’, Proceedings of the APAN Research Workshop (2016.)* |
Also Published As
Publication number | Publication date |
---|---|
KR20200056029A (en) | 2020-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (en) | Network attack detection method and device | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
CN112019574B (en) | Abnormal network data detection method and device, computer equipment and storage medium | |
WO2022083417A1 (en) | Method and device for data pack processing, electronic device, computer-readable storage medium, and computer program product | |
CN111277570A (en) | Data security monitoring method and device, electronic equipment and readable medium | |
KR101575282B1 (en) | Agent device and method for sharing security information based on anonymous identifier between security management domains | |
CN110417717B (en) | Login behavior identification method and device | |
Deng et al. | The random forest based detection of shadowsock's traffic | |
KR102129375B1 (en) | Deep running model based tor site active fingerprinting system and method thereof | |
KR101250899B1 (en) | Apparatus for detecting and preventing application layer distribute denial of service attack and method | |
CN106778229B (en) | VPN-based malicious application downloading interception method and system | |
CN110611640A (en) | DNS protocol hidden channel detection method based on random forest | |
Csikor et al. | Privacy of DNS-over-HTTPS: Requiem for a Dream? | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
Soleimani et al. | Real-time identification of three Tor pluggable transports using machine learning techniques | |
CN106656966B (en) | Method and device for intercepting service processing request | |
CN113518042B (en) | Data processing method, device, equipment and storage medium | |
KR102119636B1 (en) | Anonymous network analysis system using passive fingerprinting and method thereof | |
US20200021608A1 (en) | Information processing apparatus, communication inspecting method and medium | |
KR101210622B1 (en) | Method for detecting ip shared router and system thereof | |
CN112434304A (en) | Method, server and computer readable storage medium for defending network attack | |
JP2023516621A (en) | Web attack detection and blocking system and method by artificial intelligence machine learning behavior-based web protocol analysis | |
CN101980477B (en) | Method and device for detecting number of shadow users, and network equipment | |
KR20170054215A (en) | Method for connection fingerprint generation and traceback based on netflow | |
US20210409276A1 (en) | Distinguishing network connection requests |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |