논문 / Image-based Neural Network Models for Malware Traffic Classification using PCAP to Picture Conversion

pcap 데이터 전처리 방법만 정리함.

 

데이터 전처리 과정

CIC-flow-meter : 네트워크 트래픽 flow generator and analyzer. 양방향 flows를 제작함.toolkit을 이용해 pcap 파일에서 statistical and temporal feature 추출가능. 여기선 중요한 feature를 duration(지속?), number of packets(패킷 수), number of bytes on each flow(바이트 수), 패킷 길이와 대상 포트의 표준 편차


IDS-Vision Toolkit : pcap을 CNN input data(png, jpg)로 전환할 때 사용. 다음 3단계를 거침
1. traffic splitting
2. traffic clearing
3. image generation

 

1. traffic splitting

큰 사이즈의 pcap을 작은 사이즈로 나눈 후, 각 파일에서 flows나 세션을 추출한다. 앱계층이 없는 패킷은 TCP/UDP 패킷만 남기고 버린다. 데이터는 16진수로 추출한다.

 

2. traffic clearing

2번째 단계는 트래픽 익명화로 시작한다. MAC과 IP 주소를 삭제한다. 같은 네트워크에서 출발했으면 의미없는 값이다. 

 

3. image generation

3번째 단계는 모든 파일은 같은 크기로 자르면서 시작한다. 파일의 크기가 일정한 크기보다 작으면 0으로 패딩. 같은 크기의 결과 파일들은 grayscale image로 변환된다. 

 

이렇게 제작된 이미지의 크기는 28*28 크기이다. 대부분 session의 앞부분은 connection data를 포함하고 있다. 이 부분은 연결의 기본적인 내용이다.