단일 봇 탐지를 위한 DCA와 SRC 성능 비교

초록

본 논문은 키로깅 및 패킷 플러딩과 같은 봇 행동을 기반으로, 스피어만 순위 상관(SRC)과 면역 영감 알고리즘인 수지상 세포 알고리즘(DCA)의 탐지 성능을 비교한다. 실험 결과 DCA가 악성 활동을 더 정확히 식별함을 보여준다.

상세 분석

이 연구는 기존의 시그니처 기반 봇 탐지 방식이 암호화 트래픽이나 비표준 포트 사용에 취약하다는 점을 지적하고, 호스트 기반 행동 분석으로 전환한다. 두 가지 상관 알고리즘을 도입했는데, 첫 번째는 스피어만 순위 상관(SRC)으로, 키 입력 감지(S1), 명령 응답 속도(S2), 동일 함수 호출 반복 속도(S3) 세 가지 지표 간의 상관계수를 계산한다. 임계값 0.5 이상이면 강한 탐지, 이하이면 약하거나 중간 탐지로 분류한다. 이 방식은 통계적 상관에 의존하므로 단일 지표의 변동에 민감하고, 다중 행동이 동시에 나타나지 않을 경우 오탐률이 상승한다.

두 번째는 Dendritic Cell Algorithm(DCA)이다. DCA는 면역학의 위험 이론을 모방해 세 종류의 신호(위험 신호 S1, 손상 신호 S2, 안전 신호 S3)를 입력받아 가중합을 통해 세 단계(미성숙, 반성숙, 성숙)로 전이한다. 각 DC는 항원을 수집하고, 신호 조합에 따라 컨텍스트(0=정상, 1=비정상)를 부여한다. 이 과정은 다중 센서 데이터 융합을 수행하므로, 개별 행동이 약하게 나타나도 다른 신호와의 상호 보완을 통해 정확한 판단이 가능하다.

실험 환경은 IRC 기반 봇을 한 대의 감염된 머신에 설치하고, 키로깅 및 패킷 플러딩 행동을 유도하였다. SRC와 DCA 모두 동일한 로그 데이터를 입력받아 탐지 결과를 비교했으며, DCA는 높은 탐지율(≈95%)과 낮은 오탐률(≈3%)을 기록한 반면, SRC는 탐지율이 78%에 머물고 오탐률이 12%에 달했다. 이는 DCA가 신호 가중치와 컨텍스트 판단을 통해 복합적인 행동 패턴을 효과적으로 포착함을 의미한다.

하지만 논문에는 몇 가지 한계가 있다. 첫째, 실험이 단일 봇과 제한된 행동 시나리오에만 적용돼 실제 다중 봇 환경에서의 일반화가 미흡하다. 둘째, DCA의 가중치 설정이 사전 실험에 의존해 자동화된 튜닝 방법이 제시되지 않았다. 셋째, SRC의 임계값 선택이 임의적이며, 다른 통계적 상관 기법(예: 피어슨)과의 비교가 부족하다. 이러한 점들을 보완하면 두 알고리즘의 실용성을 더욱 높일 수 있다.

결론적으로, 본 연구는 호스트 기반 행동 상관 분석에서 DCA가 통계적 상관(SRC)보다 우수한 성능을 보이며, 복합적인 봇 행동을 실시간으로 탐지하는 데 유망한 접근법임을 입증한다. 향후 연구에서는 다중 봇 시나리오, 자동 가중치 학습, 그리고 실시간 배포 환경에서의 효율성 평가가 필요하다.