KR101156011B1 - 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 - Google Patents
네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR101156011B1 KR101156011B1 KR1020100134963A KR20100134963A KR101156011B1 KR 101156011 B1 KR101156011 B1 KR 101156011B1 KR 1020100134963 A KR1020100134963 A KR 1020100134963A KR 20100134963 A KR20100134963 A KR 20100134963A KR 101156011 B1 KR101156011 B1 KR 101156011B1
- Authority
- KR
- South Korea
- Prior art keywords
- risk
- botnet
- zombies
- malicious
- remind
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 봇넷 위험도 산정 시스템 및 그 방법에 대한 것으로서, 특히, 네트워크 트래픽 분석을 통한 다양한 악성 행위에 대한 위험도 분석을 기초로 봇넷 위험도를 산정할 수 있는 봇넷 위험도 산정 시스템 및 그 방법에 관한 것이다. 본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있다. 또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 봇넷 위험도 산정 시스템 및 그 방법을 제공할 수 있다.
Description
본 발명은 봇넷 위험도 산정 시스템 및 그 방법에 대한 것으로서, 특히, 네트워크 트래픽 분석을 통한 다양한 악성 행위에 대한 위험도 분석을 기초로 봇넷 위험도를 산정할 수 있는 봇넷 위험도 산정 시스템 및 그 방법에 관한 것이다.
봇넷은 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 좀비 PC들로 구성된 네트워크를 의미한다. 일단 봇에 감염되는 실제 PC 사용자들은 자신의 컴퓨터가 감염된 것을 모르는 경우가 많고, 해커는 수많은 시스템(PC)에 명령을 전달해 특정 인터넷 사이트에 대량의 접속 신호를 보내는 DDoS 등의 공격으로 해당 사이트를 다운시키는 등의 방식으로 대규모 네트워크 공격을 수행할 수 있다.
하지만, 대규모 망 관리자 입장에서 산발적이고 예측 불가능한 다양한 봇의 발현은 탐지 및 관리(대응)하는데 있어 많은 어려움이 따른다. 특히, 봇의 탐지의 가부를 네트워크 기반에서 구현하다 보면 많은 오용 탐지의 결과를 보일 수 있다. 뿐만 아니라 호스트 기반의 탐지 역시, 정해진 패턴이나 시나리오에서 벗어나는 행위가 있을 시에는 탐지의 어려움을 가져온다. 따라서 이러한 오용 탐지 및 미탐지의 문제를 해결하기 위해서는 비결정적 요인(확률 개념을 응용한 봇넷의 악성 행위 모델링)의 도입이 절실히 요구 된다.
본 발명의 목적은 봇넷의 오탐지 및 미탐지의 문제를 해결할 수 있는 봇넷 위험도 산정 시스템 및 그 방법을 제공하는 것이다.
상술한 목적을 달성하기 위해 본 발명은 봇넷 탐지 시스템의 로그 데이터베이스로부터 봇넷의 악성 행위 탐지에 대한 로그 정보를 분류 및 수집하는 로그 수집 모듈과, 상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 빈도인 위험 빈도를 분석하는 위험 빈도 분석 모듈과, 상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 강도인 위험 강도를 분석하는 위험 강도 분석 모듈과, 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 C&C 위험도 분석 모듈과, 상기 C&C 위험도로 봇넷 위험도를 분석하는 봇넷 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템을 제공한다. 상기 위험 빈도()는 이고, 상기 은 이며, 상기 은 이고, 상기 는 C&C가 유발하는 트래픽의 카운트 수이며, 상기 는 좀비가 유발하는 트래픽의 카운트 수이다. 상기 위험 강도()는 이고, 상기 는 이며, 상기 는 이고, 상기 는 감염된 실제 좀비 개수이며, 상기 는 이고, 상기 는 이며, 상기 는 C&C가 유발하는 트래픽이고, 상기 는 좀비가 유발하는 트래픽이다.
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 DDoS 위험도를 분석하는 DDoS 위험도 분석 모듈을 포함한다. 상기 DDoS 위험도는 이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 SPAM 위험도를 분석하는 SPAM 위험도 분석 모듈을 포함한다. 상기 SPAM 위험도는 이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Propagation 위험도를 분석하는 Propagation 위험도 분석 모듈을 포함한다. 상기 Propagation 위험도는 이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Spying 위험도를 분석하는 Spying 위험도 분석 모듈을 포함한다. 상기 Spying 위험도는 이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Eggdownload 위험도를 분석하는 Eggdownload 위험도 분석 모듈을 포함한다. 상기 Eggdownload 위험도는 이며, 상기 은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수이다.
상기 C&C 위험도는 이며, 상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고, 상기 는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며, 상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치이다.
상기 봇넷 위험도()는 이며, 백분율로 표현된다. 상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 봇넷 위험 지수 표현 모듈을 더 포함할 수 있다.
또한, 본 발명은 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그 정보를 수집하는 단계와, 상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계와, 상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계와, 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계와, 상기 C&C 위험도로 봇넷 위험도를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법을 제공한다.
상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계;에서 상기 위험 빈도()는 이고, 상기 은 이며, 상기 은 이고, 상기 는 C&C가 유발하는 트래픽의 카운트 수이며, 상기 는 좀비가 유발하는 트래픽의 카운트 수이다. 상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계;에서, 상기 위험 강도()는 이고, 상기 는 이며, 상기 는 이고, 상기 는 감염된 실제 좀비 개수이며, 상기 는 이고, 상기 는 이며, 상기 는 C&C가 유발하는 트래픽이고, 상기 는 좀비가 유발하는 트래픽이다. 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 DDoS 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 SPAM 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Propagation 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Spying 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Eggdownload 위험도를 분석하는 단계를 포함한다. 상기 DDoS 위험도는 이며, 상기 SPAM 위험도는 이고, 상기 Propagation 위험도는 이며, 상기 Spying 위험도는 이고, 상기 Eggdownload 위험도는 이며, 상기 은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수이다. 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는 상기 DDoS 위험도와, SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도 중 적어도 어느 하나로 C&C 위험도를 분석하며,
상기 C&C 위험도는 이며, 상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고, 상기 는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며, 상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치이다. 상기 C&C 위험도로 봇넷 위험도를 분석하는 단계;에서, 상기 봇넷 위험도()는 이며, 백분율로 표현되는 것이 효과적이다. 상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 단계를 더 포함할 수 있다.
본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법을 제공할 수 있다.
또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법을 제공할 수 있다.
도 1은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템의 개념도.
도 2는 탐지 로그 내에서 단위 로그당 악성 행위별 정렬표이다.
도 3은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법의 순서도.
도 2는 탐지 로그 내에서 단위 로그당 악성 행위별 정렬표이다.
도 3은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법의 순서도.
이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.
도 1은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템의 개념도이고, 도 2는 탐지 로그 내에서 단위 로그당 악성 행위별 정렬표이다.
본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템은 도 1에 도시된 바와 같이, 로그 데이터베이스로부터 봇넷 행위의 탐지를 결정짓는 로그를 분류 및 수집하는 로그 수집 모듈(100)과, 탐지된 봇넷 그룹의 단위 로그 데이터베이스를 분석하여 단위 로그당 출현빈도를 분석하는 위험 빈도 분석 모듈(200)과, 탐지된 봇넷 그룹의 단위 로그 데이터베이스를 분석하여 단위 로그당 출현강도를 분석하는 위험 강도 분석 모듈(300)과, 봇넷에 구성되어진 C&C별로 지니고 있는 악성행위를 분석 및 산정하는 C&C 위험도 분석 모듈(400)과, 분석된 C&C 위험도를 정규화하여 봇넷 위험도를 산정하는 봇넷 위험도 분석 모듈(500), 및 봇넷 위험 지수 표현 모듈(600)을 포함한다.
로그 수집 모듈(100)은 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그 정보를 수집한다. 이때 수집된 로그 정보는 도 2에 도시된 바와 같이, 단위 로그당 악성 행위별로 정렬될 수 있다. 또한, 도 2에서 탐지 로그에서 생성된 Botnet IDX 번호는 해당 봇넷 그룹의 번호로써, 실제로 위험도를 산정하고 표시한다. 물론, Botnet IDX 번호에 해당하는 단일 또는 다수개의 C&C가 존재할 수 있다.
위험 빈도 분석 모듈(200)은 봇넷의 발생 가능한 이벤트, 즉, 악성 행위의 발생 빈도를 분석한다. 이는 아래의 수학식1과 같이, 단위 시간당 이벤트 발생 비율로 나타낼 수 있다.
수학식1에서 은 단위 탐지 로그당 평균 악성 행위 건수로서, 아래의 수학식2과 같이 C&C가 유발하는 트래픽의 카운트 수, 즉, C&C의 악성 행위 건수와, 좀비가 유발하는 트래픽의 카운트 수, 즉, 좀비의 악성 행위 건수로 표현될 수 있다.
또한, 수학식1에서 은 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로서, 아래의 수학식3과 같이, C&C가 유발하는 트래픽의 카운트 수와 좀비가 유발하는 트래픽의 카운트 수로 표현될 수 있다.
위험 강도 분석 모듈(300)은 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로 위험 강도를 분석한다. 이는 이전 탐지 로그와 현재 단위 탐지로그간의 좀비들이 유발한 발신(send_byte) 트래픽과 수신 (recv_byte) 트래픽의 합의 평균을 나타내며, 궁극적으로 봇넷의 위험도는 시간당으로 표현 가능하다. 이러한 위험 강도는 아래의 수학식4와 같이 표현될 수 있다.
또한, 수학식4에서 는 환산 악성 유발 평균 트래픽으로서, 아래의 수학식6과 같이 단위 탐지 로그당 C&C가 유발하는 평균 트래픽과 단위 탐지 로그당 전체 좀비가 유발하는 평균 트래픽으로 표현된다.
수학식6에서, 는 탐지된 봇넷 C&C의 IP가 유발하는 평균 트래픽을 의미하며, 는 단위 탐지 로그당 전체 좀비가 유발하는 평균 트래픽이다. 이때, 는 수학식7과 같이, 감염된 실제 좀비수와 C&C가 유발하는 트래픽으로 표현되며, 는 수학식8과 같이, 감염된 실제 좀비수와 좀비가 유발하는 트래픽으로 표현된다.
수학식7에서 는 C&C가 유발하는 트래픽으로서, 탐지된 봇넷 C&C의 IP가 유발하는 트래픽을 의미한다. 또한, 수학식8에서 는 좀비가 유발하는 트래픽으로서, 탐지된 봇넷 그룹의 좀비들이 수신하는 트래픽을 의미한다.
C&C 위험도 분석 모듈(400)은 위험 빈도 분석 모듈(200)에서 분석된 위험 빈도와 위험 강도 분석 모듈(300)에서 분석된 위험 강도를 이용하여 악성 행위들에 대한 각각의 위험도를 분석하고, 이를 이용하여 C&C 위험도를 분석한다. 이때, 위험도는 단일 로그 분석시마다 위험도가 산정될 수 있으며, 초기 시간이 1일 때는 분석을 수행하지 않고 초기 시간 이후, 즉, 다음 시간부터 분석을 수행하여 위험도를 산정한다. 최종적으로는 단위 시간당 대표 위험도를 산출하고, 경보 단계를 설정할 수 있다. 이를 위해, C&C 위험도 분석 모듈(400)은 DDoS 위험도 분석 모듈(410)과, SPAM 위험도 분석 모듈(420), Propagation 위험도 분석 모듈(430), Spying 위험도 분석 모듈(440), 및 Eggdownload 위험도 분석 모듈(450)을 포함한다.
DDoS 위험도 분석 모듈(410)은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 DDoS 위험도를 구한다. 이는 아래의 수학식9와 같이 표현될 수 있다.
수학식9에서 은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수이다. 이때, 와 전술된 는 동일한 값일 수 있다. 또한, 는 봇넷이 가지고 있는 잠재적 피해 강도를 의미하는 위험강도로서, 전술된 수학식4와 같이 좀비의 평균 악성 행위 건수와 환산 악성 유발 평균 트래픽으로 표현되며, 는 위험빈도로서, 전술된 수학식1과 같이 단위 탐지 로그당 평균 악성 행위 건수와 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로 표현된다.
또한, SPAM의 위험도와, Propagation의 위험도, Spying의 위험도, 및 Eggdownload의 위험도 역시 아래의 수학식10 내지 수학식13과 같이, 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 각각 표현될 수 있다.
한편, 전술된 DDoS 위험도를 제외한 SPAM 위험도와, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도는 모두 함수가 동일하다. 하지만, 각각의 악성 행위는 그 위험도가 서로 상이하다. 따라서, 본 발명은 각각의 악성 행위에 가중치를 부여하며, 이를 위해서, 본 발명은 가중치 부여 모듈을 포함할 수 있다.
표1은 악성 행위별 가중치를 설명한 것이다.
악성 행위 | 가중치(Wma) | 산정 기준 |
DDoS | 1.0 | DDoS 공격시를 최대 위험도로 기준 |
SPAM | 0.7 | DDoS에 비해 상대적으로 작은 위험도를 가짐 |
Propagation | 0.5 | 봇넷 확장을 위한 사전행위로써 간접적인 위험도를 가짐 |
Spying | 0.4 | 특정 PC의 정보탈취를 목적으로한 위험도를 가짐 |
Eggdownload | 0.3 | 악성행위를 하기 위해 명령어 및 파일을 송/수신함 |
표1을 참조하면, 각각의 악성 행위는 DDoS의 위험도에 상대적 위험도를 가진다. 이는 DDoS가 발생시키는 트래픽과 피해 정도는 다른 악성 행위에 비해 월등히 높기 때문에 DDoS의 가중치를 1.0으로 하고, 이를 기준으로 다른 악성 행위의 가중치를 상대적으로 산정하였다.
C&C 위험도 분석 모듈(400)은 각각의 C&C는 단일 또는 다수의 악성 행위에 대한 위험도를 가지고 있으며, DDoS 위험도 분석 모듈(410)과, SPAM 위험도 분석 모듈(420), Propagation 위험도 분석 모듈(430), Spying 위험도 분석 모듈(440), 및 Eggdownload 위험도 분석 모듈(450)에서 분석된 각각의 악성 행위에 대해 가중치를 적용한 후, C&C별로 정규화한다. 이때, C&C 위험도는 아래의 수학식14와 같이 악성 행위별 위험도와 각각의 악성 행위별 위험도의 가중치로 표현될 수 있다.
수학식14에서 악성 행위별 위험도는 전술된 DDoS 위험도와, SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도를 의미한다. 또한, 수학식14에서 가중치는 표1의 악성 행위별 위험도에 따른 가중치를 의미한다. 는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이다.
수학식14에 표현된 C&C 위험도 함수를 이용하여 DDoS 위험도와 SPAM 위험도, Eggdownload 위험도에 따른 C&C 위험도를 예시적으로 산출하면, 아래의 수학식15와 같다.
수학식15에서, DDoS의 위험도는 0.9, SPAM의 위험도는 0.84, Eggdownload의 위험도는 0.6으로 계산된 것을 예시하였다. 또한, 3개의 악성 행위별 위험도로 C&C 위험도를 산출한 것이므로 수학식14에서 는 3이 된다. 이에 따라, 최종적인 C&C 위험도는 0.46으로 근사화된 것을 알 수 있다.
또한, SPAM의 위험도와 Eggdownload의 위험도로 C&C 위험도를 산출할 경우, 아래의 수학식16과 같이 적용될 수 있다.
또한, DDoS의 위험도와, SPAM의 위험도, Propagation의 위험도, Spying의 위험도, 및 Eggdownload의 위험도로 C&C 위험도를 산출할 경우, 아래의 수학식17과 같이 적용될 수 있다.
봇넷 위험도 분석 모듈(500)은 최종 봇넷 위험도 산정을 위해서 C&C 위험도 분석 모듈(400)에서 분석된 C&C 위험도를 정규화시킨다. 이는 아래의 수학식18과 같이 C&C의 위험도를 이용하여 백분율로 표현함으로써 수행될 수 있다.
수학식18에 표현된 최종 봇넷 위험도를 이용하여 실제 최종 봇넷 위험도를 예시적으로 계산하면 아래의 수학식19와 같이 나타낼 수 있다.
수학식19에서 최종 봇넷 위험도는 전술된 C&C 위험도의 예시를 적용하여 계산하였다.
봇넷 위험 지수 표현 모듈(600)은 사용자가 최종 봇넷 위험도를 쉽게 알 수 있게 하기 위해서, 백분율로 표현된 최종 봇넷 위험도를 백분율이 아닌 숫자 등으로 표현한다.
표2는 최종 봇넷 위험도에 따른 표현 방법을 나타낸 것이다.
위험지표 | 최종 봇넷 위험도 | 표현법 |
하 | 0% ~ 20% | 1 |
중 | 20% ~ 60% | 2 |
상 | 60% ~ | 3 |
표2를 참조하면, 최종 봇넷 위험도가 0% 내지 20% 내일 경우, 위험지표로는 위험도가 '하'수준이며, 이는 '1'로 표현될 수 있다. 또한, 최종 봇넷 위험도가 20% 내지 60%일 경우, 위험지표로는 위험도가 '중'수준이며, 이는 '2'로 표현될 수 있으며, 최종 봇넷 위험도가 60% 이상일 경우, 위험지표로는 위험도가 '상'수준으로서 '3'으로 표현될 수 있다. 물론, 이러한 최종 봇넷 위험도에 따른 표현 방법은 예시일 뿐이며, 최종 표현은 숫자를 포함하는 문자, 색상 또는 이들의 조합을 포함할 수 있다. 또한, 최종 봇넷 위험도의 표현은 단위 시간당 출력되는 봇넷 위험도들 중 가장 큰 최대값을 그 시간대의 봇넷 그룹의 최종 봇넷 위험도로 최종 결정하여 표현한다.
상술한 바와 같이, 본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템을 제공할 수 있다. 또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템을 제공할 수 있다.
다음은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법에 대해 도면을 참조하여 설명하기로 한다. 후술할 내용 중 전술된 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.
도 3은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법의 순서도이다.
본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법은 도 3에 도시된 바와 같이, 로그를 수집하는 단계(S1)와, 위험 빈도를 분석하는 단계(S2)와, 위험 강도를 분석하는 단계(S3)와, C&C 위험도를 분석하는 단계(S4)와, 봇넷 위험도를 분석하는 단계(S5)를 포함한다. 또한, 이에 더하여 봇넷 위험 지수를 표현하는 단계(S6)를 더 포함할 수 있다.
로그를 수집하는 단계(S1)는 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그(Log) 정보를 수집한다. 이때, 수집된 로그 정보로부터 분석에 필요한 정보들만을 추출하기 위해 각 악성 행위별 시계열 로그 정보를 추출한다. 이는 이후, 단위 로그당 위험도를 산출하기 위해서 필요하다.
위험 빈도를 분석하는 단계(S2)는 봇넷의 발생 가능한 이벤트, 즉, 악성 행위의 발생 빈도를 분석한다. 이러한 위험 빈도를 분석하는 단계는 단위 시간당 봇넷의 발생 가능한 이벤트 비율을 이용할 수 있으며, 전술된 수학식1과 같이 구해질 수 있다.
위험 강도를 분석하는 단계(S3)는 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로 위험 강도를 분석한다. 이는 이전 탐지 로그와 현재 단위 탐지로그간의 좀비들이 유발한 발신(send_byte) 트래픽과 수신 (recv_byte) 트래픽의 합의 평균을 나타내며, 궁극적으로 봇넷의 위험도는 시간당으로 표현 가능하다. 위험 강도를 분석하는 단계(S3)에서 위험 강도는 전술된 수학식4와 같이 좀비의 평균 악성 행위 건수와 환산 악성 유발 평균 트래픽으로 구해질 수 있다.
C&C 위험도를 분석하는 단계(S4)는 위험 빈도를 분석하는 단계(S2)와 위험 강도를 분석하는 단계(S3)에서 분석된 위험 빈도와 위험 강도로 C&C 위험도를 분석한다. 이때, C&C 위험도는 DDoS 위험도와 SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도를 각각 분석하여 분석할 수 있다. 또한, 이에 따라, C&C 위험도를 분석하는 단계(S4)는 DDoS 위험도를 분석하는 단계(S4-1)와, SPAM 위험도를 분석하는 단계(S4-2)와, Propagation 위험도를 분석하는 단계(S4-3)와, Spying 위험도를 분석하는 단계(S4-4), 및 Eggdownload 위험도를 분석하는 단계(S4-5)를 포함한다.
DDoS 위험도를 분석하는 단계(S4-1)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 DDoS 위험도를 구한다. 이는 전술된 수학식9와 같이 구해질 수 있다.
SPAM 위험도를 분석하는 단계(S4-2)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 SPAM 위험도를 구한다. 이는 전술된 수학식10과 같이 구해질 수 있다.
Propagation 위험도를 분석하는 단계(S4-3)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 Propagation 위험도를 구한다. 이는 전술된 수학식11과 같이 구해질 수 있다.
Spying 위험도를 분석하는 단계(S4-4)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 Spying 위험도를 구한다. 이는 전술된 수학식12와 같이 구해질 수 있다.
Eggdownload 위험도를 분석하는 단계(S4-5)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 Eggdownload 위험도를 구한다. 이는 전술된 수학식13과 같이 구해질 수 있다.
또한, C&C 위험도를 분석하는 단계(S4)는 구해진 DDoS 위험도와 SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도를 이용하여 C&C 위험도를 분석한다. 이러한 C&C 위험도는 전술된 수학식14와 같이 구해질 수 있다. 여기서, 수학식14에 따른 C&C 위험도는 가중치가 필요하며, 이를 위해, C&C 위험도를 분석하는 단계는 DDoS 위험도와 SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도에 가중치를 부여하는 단계를 포함할 수 있다. 가중치에 대한 내용은 전술된 표1에 설명되었으므로, 이에 대한 설명은 생략한다.
봇넷 위험도를 분석하는 단계(S5)는 최종 봇넷 위험도 산정을 위해서 C&C 위험도를 분석하는 단계에서 분석된 C&C 위험도를 정규화시킨다. 이는 전술된 수학식18과 같이 C&C의 위험도를 이용하여 배분율로 표현하여 수행할 수 있다.
봇넷 위험 지수를 표현하는 단계(S6)는 사용자가 최종 봇넷 위험도를 쉽게 알 수 있게 하기 위해서, 백분율로 표현된 최종 봇넷 위험도를 백분율이 아닌 숫자 등으로 표현한다.
상술한 바와 같이, 본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법을 제공할 수 있다. 또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법을 제공할 수 있다.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
Claims (24)
- 봇넷 탐지 시스템의 로그 데이터베이스로부터 봇넷의 악성 행위 탐지에 대한 로그 정보를 분류 및 수집하는 로그 수집 모듈과,
상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 빈도인 위험 빈도를 분석하는 위험 빈도 분석 모듈과,
상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 강도인 위험 강도를 분석하는 위험 강도 분석 모듈과,
상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 C&C 위험도 분석 모듈과,
상기 C&C 위험도로 봇넷 위험도를 분석하는 봇넷 위험도 분석 모듈을 포함하며,
상기 위험 빈도()는 이고,
상기 은 이며,
상기 은 이고,
상기 는 C&C가 유발하는 트래픽의 카운트 수이며,
상기 는 좀비가 유발하는 트래픽의 카운트 수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 삭제
- 청구항 3에 있어서,
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 DDoS 위험도를 분석하는 DDoS 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 청구항 3에 있어서,
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 SPAM 위험도를 분석하는 SPAM 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 청구항 3에 있어서,
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Propagation 위험도를 분석하는 Propagation 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 청구항 3에 있어서,
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Spying 위험도를 분석하는 Spying 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 청구항 11에 있어서,
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Eggdownload 위험도를 분석하는 Eggdownload 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 청구항 15에 있어서,
상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 봇넷 위험 지수 표현 모듈을 더 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템. - 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그 정보를 수집하는 단계와,
상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계와,
상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계와,
상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계와,
상기 C&C 위험도로 봇넷 위험도를 분석하는 단계를 포함하며,
상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계;에서 상기 위험 빈도()는 이고,
상기 은 이며,
상기 은 이고,
상기 는 C&C가 유발하는 트래픽의 카운트 수이며,
상기 는 좀비가 유발하는 트래픽의 카운트 수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법. - 삭제
- 청구항 17에 있어서,
상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는,
상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 DDoS 위험도를 분석하는 단계와,
상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 SPAM 위험도를 분석하는 단계와,
상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Propagation 위험도를 분석하는 단계와,
상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Spying 위험도를 분석하는 단계와,
상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Eggdownload 위험도를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법. - 청구항 21에 있어서,
상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는 상기 DDoS 위험도와, SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도 중 적어도 어느 하나로 C&C 위험도를 분석하며,
상기 C&C 위험도는 이며,
상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고,
상기 는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며,
상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법. - 청구항 23에 있어서,
상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100134963A KR101156011B1 (ko) | 2010-12-24 | 2010-12-24 | 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100134963A KR101156011B1 (ko) | 2010-12-24 | 2010-12-24 | 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101156011B1 true KR101156011B1 (ko) | 2012-06-18 |
Family
ID=46688924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100134963A KR101156011B1 (ko) | 2010-12-24 | 2010-12-24 | 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101156011B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101735652B1 (ko) * | 2015-07-30 | 2017-05-15 | 아주대학교산학협력단 | 단말 장치 및 이에 의한 사이버 공격 애플리케이션의 탐지 방법 |
CN114039772A (zh) * | 2021-11-08 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
KR102678970B1 (ko) * | 2022-07-27 | 2024-06-27 | 한국서부발전 주식회사 | 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030035143A (ko) * | 2001-10-30 | 2003-05-09 | 주식회사 이글루시큐리티 | 통합보안관리 시스템 |
KR20050068052A (ko) * | 2003-12-29 | 2005-07-05 | 한국정보보호진흥원 | 자동침입대응시스템에서의 위험수준 분석 방법 |
KR100838799B1 (ko) | 2007-03-09 | 2008-06-17 | 에스케이 텔레콤주식회사 | 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 |
KR100942456B1 (ko) | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
-
2010
- 2010-12-24 KR KR1020100134963A patent/KR101156011B1/ko not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030035143A (ko) * | 2001-10-30 | 2003-05-09 | 주식회사 이글루시큐리티 | 통합보안관리 시스템 |
KR20050068052A (ko) * | 2003-12-29 | 2005-07-05 | 한국정보보호진흥원 | 자동침입대응시스템에서의 위험수준 분석 방법 |
KR100838799B1 (ko) | 2007-03-09 | 2008-06-17 | 에스케이 텔레콤주식회사 | 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 |
KR100942456B1 (ko) | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101735652B1 (ko) * | 2015-07-30 | 2017-05-15 | 아주대학교산학협력단 | 단말 장치 및 이에 의한 사이버 공격 애플리케이션의 탐지 방법 |
CN114039772A (zh) * | 2021-11-08 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
CN114039772B (zh) * | 2021-11-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 针对网络攻击的检测方法及电子设备 |
KR102678970B1 (ko) * | 2022-07-27 | 2024-06-27 | 한국서부발전 주식회사 | 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
EP1995929B1 (en) | Distributed system for the detection of eThreats | |
CN108040493A (zh) | 利用低置信度安全事件来检测安全事故 | |
Singh et al. | Detecting bot-infected machines using DNS fingerprinting | |
CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
CN104509034A (zh) | 模式合并以识别恶意行为 | |
CN111245807A (zh) | 基于攻击链因子的网络态势量化评估方法 | |
Kim et al. | Detecting DNS-poisoning-based phishing attacks from their network performance characteristics | |
CN109194680A (zh) | 一种网络攻击识别方法、装置及设备 | |
CN104871171B (zh) | 分布式模式发现 | |
JP7005936B2 (ja) | 評価プログラム、評価方法および情報処理装置 | |
Fachkha et al. | On the inference and prediction of DDoS campaigns | |
JP6977625B2 (ja) | 評価プログラム、評価方法および評価装置 | |
KR101156011B1 (ko) | 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 | |
CN103544438A (zh) | 一种用于云安全***的用户感知病毒报告分析方法 | |
Middlemiss et al. | Weighted feature extraction using a genetic algorithm for intrusion detection | |
Kornyo et al. | Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms | |
Zheng et al. | Cryptocurrency malware detection in real-world environment: Based on multi-results stacking learning | |
KR20100098241A (ko) | 봇넷 행동 패턴 분석 시스템 및 방법 | |
Mendonça et al. | Botnets: a heuristic-based detection framework | |
Tubi et al. | Deployment of DNIDS in social networks | |
KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
Kadam et al. | Various approaches for intrusion detection system: an overview |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |