Network administrators want to know the current state of the network which they manage. For this purpose, they classify the network traffic into the predefined application categories. The port-based classification method of application traffic can be applied to the server service based applications (e.g. HTTP, DNS, SMTP) which communicate through the static port number. As P2Ps, online games and streaming applications which use the dynamic port allocation are more spreading, traffic classification using only port-based method are getting more inaccurate. The signature-based method can be applied to these applications but about 10 applications' among several thousands applications are well-known. It is not efficient manually to generate signatures for many applications and to update signatures daily. This paper investigates the challenges in automatic application signature generation and describes the automatic application signature generator, which can construct the unknown signatures from network traffic trace. With traffic traces from DAGMON monitoring system in KAIST campus, we can automatically construct known signatures (e.g. BitTorrent, edonkey, gnutella, HTTP) and unknown signatures (e.g. MSN messenger, nateon messenger). Evaluating using network traces shows that the signatures generated from our approach have low false positive (below 4%) and false negative (below 0.8%) in network traffic classification.

네트워크 관리자들은 자신들이 관리하고 있는 네트워크의 현재 상태를 알고자 한다. 이를 위하여 그들은 네트워크 트래픽을 어플리케이션 종류별로 분류한다. 네트워크 트래픽을 어플리케이션 별로 분류하는 방식에는 어플리케이션이 사용하는 포트를 기반으로 분류하는 포트 기반 분류 방식이 있다. 이 방식은 정적 포트 부여 방식을 사용하는 서버 기반 어플리케이션들(HTTP, FTP, SMTP)에 적용될 수 있다. 하지만 동적 포트를 사용하는 P2P, 게임, 스트리밍 어플리케이션의 사용이 늘어남에 따라 포트 기반 방식으로는 분류의 정확도가 떨어지는 한계성을 가지게 되었다. 이를 보안하기 위해서 어플리케이션이 통신할 때 패킷 내에 공통적으로 나타나는 시그네쳐를 기반으로 분류하는 시그네쳐 분류 방식이 제안되었다. 하지만 이 방식은 자동화 되어 있지 않아 인터넷에 존재하는 수천의 어플리케이션의 시그네쳐를 생성하는 데 있어서 비효율적이다. 본 논문에서는 어플리케이션 시그네쳐를 자동으로 생성하기 위한 이슈들을 살펴보고 어플리케이션 시그네쳐 자동생성기를 구현하였다. KAIST 캠퍼스 DAGMON장비를 통해서 네트워크 트래픽을 수집하여 이를 오프라인으로 분석하여, 이미 알려져 있는 시그네쳐들(BitTorrent, edonkey, gnutella, HTTP)뿐 아니라 알려지지 않은 시그네쳐들(MSN 메신저, nateon 메신저)을 생성해 내었다. 실제의 네트워크 트래픽을 기반으로 이를 평가해 보았으며, 생성된 시그네쳐들은 트래픽 분류에 있어서 낮은 폴스 포지티브(4퍼센트 이하)와 낮은 폴스 네가티브(0.8퍼센트 이하)를 보여주었다.