Akamai Diversity

Akamai 블로그

VR로 봇넷 탐험하기

< 아사프 내들러(Asaf Nadler)와 리오르 라하브(Lior Lahav) 공동 집필 >

일반적으로 봇넷은 도메인 생성 알고리즘(DGA)을 사용하여 도메인 네임을 선택합니다. DGA는 봇이 C2(Command and Control) 서버와 통신 채널을 만들 때 사용됩니다. Akamai는 매일 2조2천억 건의 DNS 요청을 분석하고 알고리즘 방식으로 생성된 도메인(AGD)을 시간당 수천 건 탐지합니다. 따라서, Akamai의 데이터 과학팀은 이에 관해 자세히 살펴보기로 결정했습니다.

데이터 과학팀은 매일 탐지되는 수천 건의 AGD를 AGD 규모 및 봇넷 사이의 관계를 나타내는 형식으로 시각화하기 위해 다양한 기법들을 지속적으로 연구합니다. 시각적인 표현을 VR보다 더 효과적으로 전달할 수 있는 방법이 있을까요?

Akamai는 최근에 개최된 Cybertech TLV 2019 컨퍼런스에서 가상 현실 데모를 진행했습니다. 

이 컨퍼런스 참가자들은 VR 헤드셋을 쓰고 알고리즘 방식으로 생성된 도메인을 체험했습니다.

알고리즘 방식으로 생성된 도메인 네임을 공간의 한 지점에 어떻게 매핑할 수 있었을까요? 이전 Akamai 블로그 게시물에서는 서로 근접한 벡터들을 지정하여 해당 도메인들이 상호 접속된 숫자 벡터 표현을 통해 도메인 네임을 지정하는 Domain2Vec 시스템을 소개했습니다. Domain2Vec 시스템은 도메인 네임 간의 상호 관계에 대한 이상적인 수준의 정보를 캡처하기 위해 100차원 공간에 표현을 출력하도록 설정되었습니다. 예를 들면 도메인 "example.com"이 벡터 (x1, x2, x3, ..., x100)으로 매핑됩니다.

인간은 서로 다른 100개의 차원을 쉽게 이해하기 힘들기 때문에 봇넷 간의 관계에 대한 질문들을 살펴보는 것이 어려울 수 있습니다. Akamai는 이를 어떻게 해결했을까요? 새로운 사고 방식을 활용하고 T-SNE라는 차원 축소 알고리즘을 사용하여 고차원 공간을 3D 공간에 투사하기로 결정했습니다. 그런 다음 해당 3D 데이터를 가상 현실에 시각화할 수 있었습니다. 이 솔루션을 적용하면 AGD 공간을 날아다닐 수 있습니다. 이 곳에서 서로 접속되어 있는 AGD 그룹은 밀집된 클러스터처럼 보입니다. 

말 그대로 공간을 날아다닙니다. 사람들은 Akamai의 데이터 사이를 날아다니는 경험을 할 수 있었습니다.

우리는 크로스 플랫폼 게임 엔진인 Unity를 사용하여 이 경험에 대한 데모를 개발했습니다. 개발 기간 동안 텔아비브 사무소의 직원들에게 체험에 참여할 것을 독려했습니다.

봇넷과 상호 작용하고 탐험해 보고 싶지 않은 사람이 있을까요?

Cybertech TLV 2019에서 이 경험을 구현함으로써 보안 전문가들과 열정적인 방문자들은 기존에 존재하지 않았던 새로운 방식으로 봇넷 환경을 심층적으로 탐험할 수 있었습니다. 최근에 탐지된 Necurs 스팸봇이 생성한 AGD를 탐험하기로 결정한 방문자들도 있었고 Ramnit 뱅킹 트로이 목마가 생성한 도메인에 관심이 많은 방문자들도 있었습니다. 방문자들이 시각화를 체험하는 동안 우리는 해당 봇넷에 대한 정보를 추가적으로 제공할 수 있었습니다.


이 새로운 시각화 방식을 보다 적극적으로 활용하고 싶고 조만간 다른 컨퍼런스에서도 이 경험을 제공할 수 있는 기회가 있기를 바랍니다. VR을 이용해 데이터를 탐험하는 방법에 대해서 계속 관심을 갖고 지켜봐 주시기 바랍니다.

Leave a comment (코멘트 남기기)