Zero-Outbound 설계로 Air-Gapped 환경서 1.25Gbps 처리하는 고정밀 탐지 엔진

Context

기존 NDR 도구들이 위협 피드 업데이트 및 라이선스 검증을 위해 외부 연결을 전제로 설계된 한계 존재. Air-Gapped 네트워크 및 폐쇄망 환경에서는 이러한 Outbound 통신 자체가 금지되어 기존 도구의 도입이 불가능한 제약 상황 분석.

Technical Solution

• Rust 언어 기반의 Zero-Outbound 아키텍처를 구현하여 바이너리 수준에서 외부 소켓 호출을 완전히 제거한 설계
• 14종의 Deterministic Protocol Analyzer를 고정 순서로 배치하여 패킷 캡처부터 TCP/UDP Flow 재구성까지 수행하는 파이프라인 구축
• JA3/JA4 Fingerprinting과 패킷 Timing/Jitter 분석을 통한 C2 Beacon 및 DGA 도메인 탐지 로직 구현
• BTreeMap 사용 및 단조 세션 클록(Monotonic Session Clock) 도입으로 동일 입력에 대해 SHA-256 값이 일치하는 결정론적 출력 보장
• 오픈소스 Core 레이어와 전용 인텔리전스 레이어를 분리하여 확장성과 보안성을 동시에 확보한 Open-Core 모델 채택