봇넷 공격 완화를 위한 캡슐형 탐지 메커니즘

초록

**
본 논문은 서버 환경에서 봇넷의 전파를 사전에 차단하기 위해 캡슐형 탐지 메커니즘(EDM)을 제안한다. EDM은 캡차, 사용자‑비밀번호 인증, 그리고 데이터 스트림 기반 이상치 탐지 모듈을 결합하여 Bot‑Stream Outlier Miner(B‑STORM)와 B‑Exact 알고리즘을 활용한다. 제안된 구조는 데이터 흐름을 실시간으로 분석하고, 사전 정의된 패턴을 벗어나는 트래픽을 차단함으로써 봇넷 공격을 완화한다는 목표를 가진다.

**

상세 분석

**
논문은 먼저 봇넷이 IRC, HTTP, P2P 등 다양한 프로토콜을 이용해 C&C(명령·제어) 채널을 구축하고, 이를 통해 감염된 호스트를 ‘좀비’로 전환한다는 현황을 서술한다. 특히 나이지리아의 인터넷 사용률과 연간 사기 손실액을 인용해 지역적 위협성을 강조하지만, 통계 자료의 출처와 최신성에 대한 검증이 부족하다. 제안된 EDM은 ‘원-차원 데이터 스트림 진화 윈도우’를 기반으로 하는 Distance Based Model(DBM)과 Outlier Analysis(OA)를 결합한다. 여기서 핵심 알고리즘인 B‑STORM과 B‑Exact는 논문 본문에 구체적인 수식이나 흐름도 없이 이름만 언급되며, 입력 변수, 복잡도, 정확도 등에 대한 실험적 근거가 전혀 제시되지 않는다.

구조적으로는 캡차와 사용자‑비밀번호 인증을 ‘프론트 엔드’로 두고, 이후 EDM Analyzer가 데이터 스트림을 실시간으로 검사한다는 설계이다. 이론적으로는 정상 트래픽과 악성 트래픽을 구분하기 위해 거리 기반 이상치 탐지를 적용하지만, 정상 트래픽의 변동성을 고려한 임계값 설정 방법이나 false positive/negative 비율에 대한 논의가 전무하다. 또한, 기존의 IDS, NetFlow, DNS‑group 분석 등과 비교했을 때 실제 성능 우위를 입증할 실험 설계가 부실하다.

문헌 검토 부분에서는 IRC 기반 봇넷, 기존 탐지 기법(NetFlow, IDS, PROVEX 등) 및 최근의 머신러닝 기반 클러스터링(K‑means, 결정 트리) 등을 언급하지만, 제안 기법과의 차별점이 명확히 정의되지 않는다. 특히 ‘전투형(Fight‑back)’ 메커니즘이라고 주장하지만, 공격자에게 역공격을 수행하는 구체적인 절차나 법적·윤리적 고려사항이 누락돼 있다.

전반적으로 논문은 봇넷 위협의 심각성을 강조하고 새로운 용어(EDM, B‑STORM 등)를 도입했지만, 알고리즘 상세 설계, 구현 환경, 실험 데이터, 성능 평가가 전혀 제공되지 않아 학술적 기여도가 낮다. 향후 연구에서는 실제 트래픽 캡처를 통한 정량적 평가, 기존 솔루션과의 비교 실험, 그리고 운영 환경에서의 배포 비용·오버헤드 분석이 필수적이다.

**