문자 빈도 분석을 통한 DNS 터널 탐지

**제목** 문자 빈도 분석을 통한 DNS 터널 탐지 **초록** 고대역폭 은밀 채널은 기업 네트워크 내부의 민감하고 독점적인 정보를 위협하는 중대한 위험을 초래한다. 도메인 네임 시스템(DNS) 터널은 네트워크 경계를 넘어 대량의 정보를 은밀히 침투·유출할 수 있는 수단을 제공한다. 본 논문은 DNS 질의와 응답에 포함된 도메인 문자열의 유니그램, 바이그램, 트라이그램 문자 빈도를 분석함으로써 DNS 터널을 탐지하는 가능성을 탐구한다. 실험을 통해 일반 도메인 이름이 자연 언어와 유사하게 Zipf 법칙을 따르는 반면, 터널링된 트래픽은 문자 빈도가 보다 고르게 분포함을 확인하였다. 이 방법은 기존에 주로 개별 호스트 간 트래픽을 감시하던 방식과 달리 여러 도메인에 걸쳐 터널을 식별할 수 있다. 정상 도메인 트래픽의 문자 빈도 지문과 비교함으로써 이상 징후를 신속히 발견한다.