네트워크 분석을 이용한 악성행위 탐지 및 모델링

Abstract

In the first part of this dissertation, we study the propagation modeling of malicious programs such as Internet worms. An Internet worm is a self-replicating malware program which uses a computer network for the propagation method. As the network connectivity among computers increases, Internet worms have become widespread and are still big threats. There are many approaches to model the propagation of Internet worms such as Code Red, Nimda, and Slammer to get the insight of their behaviors and to devise possible defense methods to suppress worms propagation activities. The influence of the network characteristics on the worm propagation has usually been modeled by medical epidemic model, named SI model, due to its simplicity and the similarity of propagation patterns. So far, SI model is still dominant and new variations of the SI model, called SI-style models, are being proposed for the modeling of new Internet worms. Foremost, we elaborate the problems of SI-style models and then propose a new accurate stochastic model using an occupancy problem. In the second part of the dissertation, we turn our attention to the problem of gold farming detection in online game security. Gold farming refers to a set of illicit practices for gathering and distributing virtual goods in online games for real money. Unlike previous work that focused on traffic or behavior analyses, we use network-wide economic interactions among in-game characters as a lens to monitor, detect and identify gold farming networks. This is the first work that empirically shows that free money network is a light-weight, promising measure/approximation for detecting and characterizing gold farming networks, and measures the size of the free money net and in-game virtual economy in a large-scale MMORPG in terms of the cash flow.

이 논문은 네트워크 분석 기법을 활용한 정보침해행위 탐지 및 모델링을 연구한다. 논문의 처음 부분에서는 컴퓨터 웜 같은 악성 프로그램 전파 모델링을 연구한다. 인터넷 웜은 컴퓨터 네트워크를 이용하여 자기 자신을 자동으로 복제해서 전파하는 프로그램이다. 컴퓨터간의 네트워크 연결이 증가함에 따라 인터넷 웜은 급격해 확산되었고 큰 위협으로 남아있다. 코드 레드, 님다, 슬레머 같은 인터넷 웜의 특성과 이들의 활동을 억제하는 방법을 찾기 위해서 웜이 전파되는 특성을 연구하려는 많은 시도가 있었다. 네트워크 특징들이 인터넷 웜 전파에 미치는 영향은 모델의 간단성과 유사성 때문에 주로 의학계에서 사용되는 전염병 전파 모델을 이용하여 모델링이 되었다. 이런 의학계 모델링은 널리 사용되면서 여러 개선된 모델들이 다양하게 제안되었다. 우리는 이전의 제안된 모델들의 문제점을 분석한 후 통계적 방법을 사용하여 정확도를 높이는 새로운 방법의 웜 전파 모델링을 제안한다. 논문의 두번째 부분에서는 온라인 게임 보안의 작업장 탐지 문제를 연구한다. 작업장은 온라인 게임상에서 가상의 돈을 불법적으로 모아서 현금화하는 곳을 말한다. 기존의 연구들이 주로 트레픽이나 행위를 분석하여 작업장을 탐지하려고 하는데 반해서 이 논문에서는 게임내의 경제 활동을 분석하여 작업장을 탐지하는 방법을 제안한다. 이 논문은 대가성없는 거래가 주로 작업장에 의해 이루어지는 것을 밝혀내고 이를 이용하여 작업장을 탐지하고 이런 거래의 규모를 밝히는 첫 번째 연구이다.