클러스터링 기법으로 분석한 DDoS 공격 패턴 특징
0011 에서의 데이터 분산도를 보면 Dx와 Dy 모두 1에 근접한 분산도를 가지고 있음을 알 수 있음. 이는 여러 소스 컴퓨터들이 여러 소스 포트를 이용하여 하나의 데스티네이션에 데스티네이션 포트로 접속하였다는 것을 의미. 또한 정상적인 트래픽 데이터에 비해 월등히 높은 비율로 인해 엔트로피도 1에 근접한 모습을 볼 수 있음. 존재하는 실험데이터만을 가지고 예측하였을 때, 6번(UDP로 예상됨) 프로토콜을 이용하여 공격이 많이 이루어지는 것으로 판단됨.
위 영상은 다른 DDoS 공격 데이터의 클러스터링 결과로,
0110과
0101,
0011 패턴이 나타나있음.
0011,
0101,
0011 에서의 데이터 분산도의 클러스터링 결과. 해당 데이터는 Dx는 1에 근접한 분산도를 가지고 있지만, Dy는 0에 근접한 분산도를 가지고 있음. 이는 수많은 좀비 컴퓨터를 이용하였지만 공격시 모두 같은 포트를 이용하여 공격하였음을 의미하며, 위의 실험데이터와는 다른 종류의 DDoS 공격으로 판단됨.
클러스터링 기법으로 분석한 DoS 공격 패턴 특징
DoS와 DDoS 공격의 가장 큰 차이는 공격자가 직접 데이터를 폭발적으로 전송하느냐 감염된 여러 좀비 컴퓨터를 이용하여 전송하느냐의 차이를 가지고 있음. 위 영상의 1010과 1001을 보면 Dx가 1에 가깝고 Dy가 0에 가까운 것을 알 수 있음. 이는 하나의 소스 컴퓨터가 여러 소스 포트를 이용하여 하나의 데스티네이션 컴퓨터를 하나의 데스티네이션 포트를 통해 접근한 것으로 전형적인 DoS 공격을 나타냄. 반대로 0011을 보면 Dx가 0에 가깝고 Dy가 1에 가까운것을 볼 수 있는데 이것 역시 하나의 소스 컴퓨터가 여러 소스 포트를 통해 하나의 데스티네이션 포트로 접속하여 하나의 데스티네이션 컴퓨터로 접근한 것으로 다수의 소스 포트와 하나의 데스티네이션 포트를 이용한 1:1 데이터 전송시 이러한 패턴이 나타남.
이는 다른 DoS 공격 패턴이며 위의 DoS 공격 패턴과 동일한 형태를 보이고 있음.
클러스터링 기법으로 분석한 Host Attack 패턴 특징
1010을 보면 Dx와 Dy 모두 1에 가깝게 나타난 것을 알 수 있으며, 이는 하나의 컴퓨터가 여러 소스 포트로 하나의 데스티네이션 포트에 연결하여 여러 데스티네이션 컴퓨터를 스캔하였음을 의미함. DDoS와 유사한 형태의 패턴을 보이지만 DDoS의 경우에는 1100이며 Host Attack은 1010에서 이와 유사한 패턴이 발생한다는 차이가 있음.
이는 다른 Host Attack의 클러스터링 영상으로 0110과 1010패턴이 나타남. 두 타입 모두 Dx가 0에 가깝고, Dy가 1에 가까운 형상을 보여주며 이는 위와 다르게 하나의 컴퓨터가 하나의 소스 포트로 하나의 데스티네이션 포트에 연결하여 여러 데스티네이션 컴퓨터를 스캔하였음을 의미함.
클러스터링 기법으로 분석한 Port Attack 패턴 특징
1001 타입의 데이터가 Dx와 Dy 모두 1에 가깝게 나타났으며, 이는 하나의 소스 컴퓨터가 여러 소스 포트를 이용하여 하나의 데스티네이션 컴퓨터의 여러 데스티네이션 포트를 스캔하였음을 나타냄.
이것은 다른 Port Attack 클러스터링 영상으로 1001과 0101, 1100 세 타입의 데이터로 이루어져 있음. 1001과 0101 데이터를 보면 Dx는 0, Dy는 1에 근접하였음을 알 수 있으며 이는 위와 동일하게 하나의 소스 컴퓨터가 동일한 소스 포트를 이용하여 하나의 데스티네이션 컴퓨터의 여러 데스티네이션 포트를 스캔하였음을 의미함. 1100은 Dx가 1, Dy가 0에 근접하였으며, 이 역시 하나의 소스 컴퓨터가 하나의 소스 포트를 이용하여 하나의 데스티네이션 컴퓨터의 여러 데스티네이션 포트를 스캔하였음을 나타냄.