Journal of Information Technology and Architecture (정보화연구)

Korea Institute of Enterprise Architecture (한국엔터프라이즈아키텍처학회)
권호 표지

Pattern-based Signature Generation for Identification of HTTP Applications

HTTP 응용들의 식별을 위한 패턴 기반의 시그니쳐 생성

  • Jin, Chang-Gyu (Department of Computer Science, Kangwon National University) ;
  • Choi, Mi-Jung (Department of Computer Science, Kangwon National University)
  • 진창규 (강원대학교 IT대학 컴퓨터과학과) ;
  • 최미정 (강원대학교 IT대학 컴퓨터과학과)
  • Published : 2013.03.30
⟨ Previous Next ⟩

Abstract

Internet traffic volume has been increasing rapidly due to popularization of various smart devices and Internet development. In particular, HTTP-based traffic volume of smart devices is increasing rapidly in addition to desktop traffic volume. The increased mobile traffic can cause serious problems such as network overload, web security, and QoS. In order to solve these problems of the Internet overload and security, it is necessary to accurately detect applications. Traditionally, well-known port based method is utilized in traffic classification. However, this method shows low accuracy since P2P applications exploit a TCP/80 port, which is used for the HTTP protocol; to avoid firewall or IDS. Signature-based method is proposed to solve the lower accuracy problem. This method shows higher analysis rate but it has overhead of signature generation. Also, previous signature-based study only analyzes applications in HTTP protocol-level not application-level. That is, it is difficult to identify application name. Therefore, previous study only performs protocol-level analysis. In this paper, we propose a signature generation method to classify HTTP-based traffics in application-level using the characteristics of typical semi HTTP header. By applying our proposed method to campus network traffic, we validate feasibility of our method.

오늘날 인터넷의 발달과 더불어 다양한 스마트 기기들의 증가로 인하여 많은 양의 트래픽이 발생하고 있다. 특히 기존의 데스크탑 이외의 다양한 모바일 기기와 스마트 디바이스에서는 HTTP 기반의 응용 트래픽이 많이 증가하고 있다. 이렇게 증가하는 모바일 트래픽은 인터넷에 망 과부하, 웹보안과 같은 다양한 문제들을 발생시키고 있다. 인터넷 망의 과부하 및 보안 문제를 해결하기 위해서는 우선적으로 응용의 정확한 탐지가 필요하다. 이를 위하여 전통적으로는 잘 알려진 포트 기반의 분석 방법이 사용되었다. 그러나 과도한 트래픽을 발생시켜 방화벽이나 IDS 장비에서 포트를 제한한 P2P 응용 프로그램들이 포트를 변경하여 사용하기 때문에 포트 기반의 분석은 정확성이 떨어진다. 이를 보안하기 위하여 제안된 시그니쳐 기반의 분석 방법의 경우 잘 알려진 포트 기반 분석 방법에 비해 비교적 높은 분석률과 정확성을 가지지만 분석에 필요한 시그니쳐를 생성해야 하는 오버헤드를 가지고 있다. 또한 기존의 시그니쳐에 생성에 관한 연구는 각각의 응용에 대해 분류하고 분석하지만 HTTP를 이용하는 트래픽에 대해서는 프로토콜 레벨의 분석만 가능할 뿐 HTTP를 전송 프로토콜로 사용하는 응용 프로그램의 분류와 같은 깊이 있는 분석이 이루어지지 않고 있다. 본 논문에서는 HTTP 헤더의 반정형적인 특성을 바탕으로 HTTP 기반 응용을 정확히 탐지하기 위한 시그니쳐 생성 방법에 대하여 제시하고 있다. 이를 학내망 트래픽에 실제 적용함으로써 본 논문의 타당성을 보인다.

Keywords

References

  1. Myung-Sup Kim, Young J. Won, and James Won-Ki Hong, "Application-Level Traffic Monitoring and an Analysis on IP Networks," ETRI Journal, Vol. 27, No. 1, pp. 22-42, Feb., 2005. https://doi.org/10.4218/etrij.05.0104.0040
  2. Jeffrey Erman, Martin Arlitt, Anirban Mahanti, "Traffic Classification Using Clustering Algorithms", Proc. of SIGCOMM Workshop on Mining network data, Pisa, Italy, pp. 281-286, Sep., 2006.
  3. A. Moore and K. Papagiannaki, "Toward the Accurate Identification of Network Applications," Passive and Active Measurements Workshop, Boston, MA, USA, March 31, April 1, 2005.
  4. Wei Li, Andrew W. Moore, and Marco Canini, "Classifying HTTP Traffic in the New Age," ACM SIGCOMM'08, Seattle, USA, August 17-22, 2008.
  5. Byung-Chul Park, Young J. Won, Myung-Sup Kim, and James Won-Ki Hong. "Towards Automated Application Signature Generation for Traffic Identification," Proc. of the IEEE/IFIP Network Operations and Management Symposium (NOMS 2008), Salvador, Brazil, Apr. 7-11, 2008, pp. 160-167.
  6. Hur Min, Myung-Sup Kim, "Towards Smart Phone Traffic Classification," Proc. of the Asia-Pacific Network Operations and Management Symposium (APNOMS) 2012, Seoul, Korea, Sep. 25-27, 2012.
  7. 최미정, 진창규, 김명섭, "HTTP 트래픽의 클라이언트측 어플리케이션별 분류," 한국통신학회논문지, Vol. 36, No. 11, Nov. 2011, pp. 1277-1284.
  8. Dainotti, A., Pescape, A., and Claffy, K., "Issues and future directions in traffic classification," IEEE Networks, Vol. 26, No. 1, pp. 35-40, 2012.
  9. Internet Assigned Numbers Authority list, http://www.iana.org/assignments /port-numbers
  10. "RFC 1945", HTTP://www.ietf.org/rfc/rfc1945.txt
  11. Risso, F. Baldi, M. Morandi, O. Baldini, A. Monclus, P. Lightweight, "Payload-Based Traffic Classification: An Experimental Evaluation," Proc. of the IEEE International Conference (ICC), 2008.
  12. Rentao Gu, Minhuo Hong, Hongxiang Wang, and Yuefeng Ji, "Fast Traffic Classification in High Speed Networks," Proc. of the Asia-Pacific Network Operations and Management Symposium (APNOMS) 2008, LNCS 5297, Beijing, China, pp. 429-432, Oct., 22-24, 2008.
  13. Ying-Dar Lina, Chun-Nan Lua, Yuan-Cheng Laib, Wei-Hao Penga, and Po-Ching Lina, "Application classification using packet size distribution and port association," Proc. of the Journal of Network and Computer Applications, In Press, Corrected Proof, Available online, March, 20, 2009.
  14. Huifang Feng, and Yantai Shu, "Statistical Analysis of Packet Interarrival Times in Wireless," Proc. of the Wireless Communications, Networking and Mobile Computing, 2007. WiCom 2007. International Conference, Shanghai, China, pp. 1888-1891, Sept., 21-25, 2007.
  15. 나종회, 최영진, 신동익, "스마트워크 환경에서의 보안 위협에 관한 탐색적 연구," 정보기술아키텍처연구, 제9권 1호, 2012. 3.
  16. 강복영, 김동수, 강석호 "비획득 정보 처리를 위한 대체 기반 실시간 비즈니스 프로세스 모니터링 방법론 개발," 정보기술아키텍처연구, 제7권 2호, 2010.10.