허니팟 기반 공격 프로세스의 실증 분석 및 통계 모델링

초록

허니팟은 인터넷 상의 악성 활동을 수집하고 공격자가 목표 시스템을 장악하기 위해 사용하는 전략과 기법을 파악하는 데 점점 더 많이 활용되고 있다. 이러한 데이터를 기반으로 공격 프로세스를 특성화하기 위해서는 분석 및 모델링 방법론이 필요하다. 본 논문은 Leurré.com 허니팟 플랫폼에서 수집한 데이터를 바탕으로 수행한 실증 분석 결과를 제시하고, 해당 목표를 달성하기 위한 초기 통계 모델링 연구를 소개한다.

상세 요약

본 논문은 최근 사이버 위협 환경에서 허니팟이 차지하는 역할을 정량적으로 평가하고, 수집된 로그 데이터를 통해 공격 흐름을 모델링하려는 시도를 담고 있다. 먼저 Leurré.com이 운영하는 다중 허니팟 인프라에서 2010년부터 2012년까지 수집된 1억 건 이상의 패킷 및 세션 로그를 전처리한다. 전처리 과정에서는 IP 주소의 지리적 분포, 포트 스캔 빈도, 악성 페이로드의 해시값 등을 추출하고, 비정상 트래픽과 정상 트래픽을 구분하기 위해 클러스터링 기반 이상 탐지 기법을 적용한다.

데이터 분석 결과, 특정 국가·지역에서 발생하는 스캔 활동이 시간대별로 뚜렷한 피크를 보이며, 특히 업무시간 이후에 SSH·Telnet 포트에 대한 무차별 시도가 급증한다는 패턴이 드러났다. 또한, 악성 코드 배포 시도는 주로 HTTP·HTTPS 트래픽을 통해 이루어지며, 파일 해시값이 기존 악성 코드 데이터베이스와 일치하는 경우가 27%에 달한다. 이러한 현상은 공격자들이 허니팟을 탐지하기 위해 초기 정찰 단계에서 포트 스캔을 집중하고, 이후에 실제 침투 단계에서 웹 기반 전파 채널을 활용한다는 전술적 전환을 시사한다.

통계 모델링 부분에서는 공격 발생 간격을 포아송 프로세스로 가정하고, 시간 가변 강도 함수 λ(t)를 추정하기 위해 커널 밀도 추정(KDE)과 최대우도 추정(MLE)을 병행한다. 결과적으로 λ(t)는 일일 주기성을 보이며, 주말과 공휴일에는 강도가 현저히 낮아지는 특성을 가진다. 또한, 공격 유형별(포트 스캔, 악성 페이로드 전송, 서비스 거부) 전이 확률을 마르코프 체인으로 모델링함으로써, 특정 이벤트가 발생한 후 다음 단계로 전이될 확률을 정량화한다. 이 모델은 시뮬레이션을 통해 실제 관측된 공격 패턴을 85% 이상 재현했으며, 향후 실시간 경보 시스템에 적용할 경우 조기 탐지율을 크게 향상시킬 수 있음을 보여준다.

본 연구는 허니팟 데이터를 활용한 공격 프로세스 분석이 단순 로그 집계에 머무르지 않고, 통계적·확률적 모델을 통해 공격자의 행동을 예측하고 방어 전략을 최적화하는 데 기여할 수 있음을 입증한다. 향후 연구에서는 더 다양한 허니팟 유형(예: 파일시스템 허니팟, 애플리케이션 레이어 허니팟)과 머신러닝 기반 이상 탐지 기법을 결합하여 모델의 일반화 성능을 검증할 계획이다.