BISC 컨퍼런스에서 발표한 "유전 알고리즘으로 패킷 필터링 규칙 만들기" 발표자료 입니다.

1. Make Packet Filtering Rule
With Genetic Algorithm

2. 발표자 소개
김현우
선린인터넷고등학교
98년생 고3 아 수능.. 대학가고싶다
기계학습 관심 많으나 수학을 못함
파이썬 & 혼자 연구 하는거 좋아함
현재 PJHS 팀에서 무선 보안 프로젝트 중

3. 내가 표현하고 싶었던 발표로 준비한 내용
유전 알고리즘이란
프로그램 제작 일지 (디버깅..etc)
결과 분석

4. 유전 알고리즘이란?
"유전 알고리즘(Genetic Algorithm)은 자연세계의 진화과정에
기초한 계산 모델로서 존 홀랜드(John Holland)에 의해서
1975년에 개발된 전역 최적화 기법으로, 최적화 문제를 해결하는
기법의 하나이다. 생물의 진화를 모방한 진화 연산의 대표적인
기법으로, 실제 진화의 과정에서 많은 부분을 차용하였으며, 변이
(돌연변이), 교배 연산 등이 존재한다. 또한 세대, 인구 등의
용어도 문제 풀이 과정에서 사용된다." - 위키피디아

5. 유전 알고리즘이란?
우수한 데이터를 섞어
더 우수한 데이터를 만든다.

6. 용어 설명
1. 유전자
최적화를 목표로 하는 데이터
2. 세대
유전자들의 주기
3. 적합도
유전자의 우월한 정도를 보여주는 지수

7. 유전 알고리즘 순서
1. 세대 생성
2. 세대 적합도 평가
3. 목표 적합도에 도달?
4. 결과
돌연변이

8. 부모 유전자 선택

9. 부모 유전자 교배

10. 유전 알고리즘 활용

11. 유전 알고리즘 활용
+ =
참고자료: http://1.genetic.o-r.kr

12. 유전 알고리즘 활용
유전 알고리즘으로 이족 보행 학습

13. 유전 알고리즘 활용
유전 알고리즘으로 그림 모방

14. 필터링 규칙 진화 과정
1. 필터링 규칙 초기 세대 생성
2. 세대 적합도 측정
3. 목표 적합도 도달 판단
4. 반복 & 반복

15. 필터링 규칙 요소
필터링 규칙은 아래와 같이 이루어 진다
IP
Port
Type(src, dst)
Active
DNA 요소들

16. 필터링 규칙 예시
IP info
ip src 192.168.0.1 and not dst port 80
출발지
Port Info
주소 번호도착지
"출발지 IP 주소가 192.168.0.1 이면서, 도착지 포트 번호가 80이
아닌"

17. 필터링 방법
Use pcapy package
- open_offline func
- setfilter func
Follow standard of linux
https://linux.die.net/man/7/pcap-filter
참고자료: http://genetic.o-r.kr

18. 첫 세대 만들기
모든 IP, Port 를 가져옴
Src, Dst 간 구분함
→ 상관없는 규칙을 줄임
→ 세대 낭비를 줄임

19. 세대 진화

20. 발생한 문제
(이상하게도) 한 규칙만
따라간다.
No exceptions...

21. 디버깅... 디버깅...
(Photo By 변준우)

22. 문제가 뭔지 감이 오시나요?

23. 세상에...
선출된 부모가 똑같음

24. 문제를 찾아라 ㅡㅅㅡ

25. for 문은 순차적으로 돈다

26. for... 이 나쁜 자식...
앞에 있는 부모가 먼저 선출되어 버리니,
뒤에 있는 부모가 선출되지 않음

27. 발생한 문제2

28. ???

29. None Rule
자식 Rule 이 알맞은 Rule 인지 확인해 주어야 함.
https://github.com/Kcrong/genetic-packet-filter/commit/2491e089b44e90608
323a51c995e2dc90731262c

30. 그랬더니...
오류가!

31. 데이터 분석을 해봅시다!

32. '좋은' 규칙의 기준
Shortest
Unable
Bypass
Fusibility
Best Rule

33. 좋은 규칙 만들기
간결하며(Shortest) 정확하고 (Unable Bypass) 가용성 높은 (Fusibility)

34. Input: Telnet Packet

35. Input: Telnet Packet
- Attack IP: 192.168.44.1
- Server IP: 192.168.44.129
- Telnet Protocol (port 23)

36. Input: Telnet Packet - 결과

37. Input: Telnet Packet - 결과 분석
“ip src 192.168.44.1 and dst port 23 and dst port 58634”
Attack IP
Attack
Protocol
Leak Point

38. Input: Telnet Packet - 결과 분석

39. 누구냐, 넌...

41. 떨어진 구간의 정체는
도태된 돌연변이

42. 하지만, 나쁜 것만은 아니다!
돌연변이 후, 전체적 적합도는 상승

43. 연구 한계
- 퍼포먼스에 대한 테스트가 미흡
Snort, Suricata 와 같은 오픈소스를 이용해 테스트
- Packet Filtering Element 가 부족
단순히 IP, Port 만으로 패킷을 필터링 하는 것은 매우 위험.
Content 와 같은 요소를 추가하여 돌리면 흥미로운 결과가 기대됨.
- Genetic 에 대한 적합도 함수 최적화
더욱 적은 세대에서 최적 데이터를 구함. (아 수학...)

44. 마치며
Full-Source : https://github.com/kcrong/genetic-packet-filter
Genetic Info: http://1.genetic.o-r.kr
Ask: fb.com/kcr0ng ← ‘0’ == Zero
Thank you