KR101156011B1 - 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 - Google Patents

네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 Download PDF

Info

Publication number
KR101156011B1
KR101156011B1 KR1020100134963A KR20100134963A KR101156011B1 KR 101156011 B1 KR101156011 B1 KR 101156011B1 KR 1020100134963 A KR1020100134963 A KR 1020100134963A KR 20100134963 A KR20100134963 A KR 20100134963A KR 101156011 B1 KR101156011 B1 KR 101156011B1
Authority
KR
South Korea
Prior art keywords
risk
botnet
zombies
malicious
remind
Prior art date
Application number
KR1020100134963A
Other languages
English (en)
Inventor
정현철
임채태
지승구
오주형
강동완
김도훈
인호
Original Assignee
고려대학교 산학협력단
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단, 한국인터넷진흥원 filed Critical 고려대학교 산학협력단
Priority to KR1020100134963A priority Critical patent/KR101156011B1/ko
Application granted granted Critical
Publication of KR101156011B1 publication Critical patent/KR101156011B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 봇넷 위험도 산정 시스템 및 그 방법에 대한 것으로서, 특히, 네트워크 트래픽 분석을 통한 다양한 악성 행위에 대한 위험도 분석을 기초로 봇넷 위험도를 산정할 수 있는 봇넷 위험도 산정 시스템 및 그 방법에 관한 것이다. 본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있다. 또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 봇넷 위험도 산정 시스템 및 그 방법을 제공할 수 있다.

Description

네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법{SYSTEM AND METHOD FOR BOTNET RISK ANALYSIS TO NETWORK TRAFFIC ANALYSIS}
본 발명은 봇넷 위험도 산정 시스템 및 그 방법에 대한 것으로서, 특히, 네트워크 트래픽 분석을 통한 다양한 악성 행위에 대한 위험도 분석을 기초로 봇넷 위험도를 산정할 수 있는 봇넷 위험도 산정 시스템 및 그 방법에 관한 것이다.
봇넷은 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염되어 해커가 마음대로 제어할 수 있는 좀비 PC들로 구성된 네트워크를 의미한다. 일단 봇에 감염되는 실제 PC 사용자들은 자신의 컴퓨터가 감염된 것을 모르는 경우가 많고, 해커는 수많은 시스템(PC)에 명령을 전달해 특정 인터넷 사이트에 대량의 접속 신호를 보내는 DDoS 등의 공격으로 해당 사이트를 다운시키는 등의 방식으로 대규모 네트워크 공격을 수행할 수 있다.
하지만, 대규모 망 관리자 입장에서 산발적이고 예측 불가능한 다양한 봇의 발현은 탐지 및 관리(대응)하는데 있어 많은 어려움이 따른다. 특히, 봇의 탐지의 가부를 네트워크 기반에서 구현하다 보면 많은 오용 탐지의 결과를 보일 수 있다. 뿐만 아니라 호스트 기반의 탐지 역시, 정해진 패턴이나 시나리오에서 벗어나는 행위가 있을 시에는 탐지의 어려움을 가져온다. 따라서 이러한 오용 탐지 및 미탐지의 문제를 해결하기 위해서는 비결정적 요인(확률 개념을 응용한 봇넷의 악성 행위 모델링)의 도입이 절실히 요구 된다.
본 발명의 목적은 봇넷의 오탐지 및 미탐지의 문제를 해결할 수 있는 봇넷 위험도 산정 시스템 및 그 방법을 제공하는 것이다.
상술한 목적을 달성하기 위해 본 발명은 봇넷 탐지 시스템의 로그 데이터베이스로부터 봇넷의 악성 행위 탐지에 대한 로그 정보를 분류 및 수집하는 로그 수집 모듈과, 상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 빈도인 위험 빈도를 분석하는 위험 빈도 분석 모듈과, 상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 강도인 위험 강도를 분석하는 위험 강도 분석 모듈과, 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 C&C 위험도 분석 모듈과, 상기 C&C 위험도로 봇넷 위험도를 분석하는 봇넷 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템을 제공한다. 상기 위험 빈도(
Figure 112010085863353-pat00001
)는
Figure 112010085863353-pat00002
이고, 상기
Figure 112010085863353-pat00003
Figure 112010085863353-pat00004
이며, 상기
Figure 112010085863353-pat00005
Figure 112010085863353-pat00006
이고, 상기
Figure 112010085863353-pat00007
는 C&C가 유발하는 트래픽의 카운트 수이며, 상기
Figure 112010085863353-pat00008
는 좀비가 유발하는 트래픽의 카운트 수이다. 상기 위험 강도(
Figure 112010085863353-pat00009
)는
Figure 112010085863353-pat00010
이고, 상기
Figure 112010085863353-pat00011
Figure 112010085863353-pat00012
이며, 상기
Figure 112010085863353-pat00013
Figure 112010085863353-pat00014
이고, 상기
Figure 112010085863353-pat00015
는 감염된 실제 좀비 개수이며, 상기
Figure 112010085863353-pat00016
Figure 112010085863353-pat00017
이고, 상기
Figure 112010085863353-pat00018
Figure 112010085863353-pat00019
이며, 상기
Figure 112010085863353-pat00020
는 C&C가 유발하는 트래픽이고, 상기
Figure 112010085863353-pat00021
는 좀비가 유발하는 트래픽이다.
상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 DDoS 위험도를 분석하는 DDoS 위험도 분석 모듈을 포함한다. 상기 DDoS 위험도는
Figure 112010085863353-pat00022
이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 SPAM 위험도를 분석하는 SPAM 위험도 분석 모듈을 포함한다. 상기 SPAM 위험도는
Figure 112010085863353-pat00023
이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Propagation 위험도를 분석하는 Propagation 위험도 분석 모듈을 포함한다. 상기 Propagation 위험도는
Figure 112010085863353-pat00024
이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Spying 위험도를 분석하는 Spying 위험도 분석 모듈을 포함한다. 상기 Spying 위험도는
Figure 112010085863353-pat00025
이다. 상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Eggdownload 위험도를 분석하는 Eggdownload 위험도 분석 모듈을 포함한다. 상기 Eggdownload 위험도는
Figure 112010085863353-pat00026
이며, 상기
Figure 112010085863353-pat00027
은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수이다.
상기 C&C 위험도는
Figure 112010085863353-pat00028
이며, 상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고, 상기
Figure 112010085863353-pat00029
는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며, 상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치이다.
상기 봇넷 위험도(
Figure 112010085863353-pat00030
)는
Figure 112010085863353-pat00031
이며, 백분율로 표현된다. 상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 봇넷 위험 지수 표현 모듈을 더 포함할 수 있다.
또한, 본 발명은 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그 정보를 수집하는 단계와, 상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계와, 상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계와, 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계와, 상기 C&C 위험도로 봇넷 위험도를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법을 제공한다.
상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계;에서 상기 위험 빈도(
Figure 112010085863353-pat00032
)는
Figure 112010085863353-pat00033
이고, 상기
Figure 112010085863353-pat00034
Figure 112010085863353-pat00035
이며, 상기
Figure 112010085863353-pat00036
Figure 112010085863353-pat00037
이고, 상기
Figure 112010085863353-pat00038
는 C&C가 유발하는 트래픽의 카운트 수이며, 상기
Figure 112010085863353-pat00039
는 좀비가 유발하는 트래픽의 카운트 수이다. 상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계;에서, 상기 위험 강도(
Figure 112010085863353-pat00040
)는
Figure 112010085863353-pat00041
이고, 상기
Figure 112010085863353-pat00042
Figure 112010085863353-pat00043
이며, 상기
Figure 112010085863353-pat00044
Figure 112010085863353-pat00045
이고, 상기
Figure 112010085863353-pat00046
는 감염된 실제 좀비 개수이며, 상기
Figure 112010085863353-pat00047
Figure 112010085863353-pat00048
이고, 상기
Figure 112010085863353-pat00049
Figure 112010085863353-pat00050
이며, 상기
Figure 112010085863353-pat00051
는 C&C가 유발하는 트래픽이고, 상기
Figure 112010085863353-pat00052
는 좀비가 유발하는 트래픽이다. 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 DDoS 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 SPAM 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Propagation 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Spying 위험도를 분석하는 단계와, 상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Eggdownload 위험도를 분석하는 단계를 포함한다. 상기 DDoS 위험도는
Figure 112010085863353-pat00053
이며, 상기 SPAM 위험도는
Figure 112010085863353-pat00054
이고, 상기 Propagation 위험도는
Figure 112010085863353-pat00055
이며, 상기 Spying 위험도는
Figure 112010085863353-pat00056
이고, 상기 Eggdownload 위험도는
Figure 112010085863353-pat00057
이며, 상기
Figure 112010085863353-pat00058
은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수이다. 상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는 상기 DDoS 위험도와, SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도 중 적어도 어느 하나로 C&C 위험도를 분석하며,
상기 C&C 위험도는
Figure 112010085863353-pat00059
이며, 상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고, 상기
Figure 112010085863353-pat00060
는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며, 상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치이다. 상기 C&C 위험도로 봇넷 위험도를 분석하는 단계;에서, 상기 봇넷 위험도(
Figure 112010085863353-pat00061
)는
Figure 112010085863353-pat00062
이며, 백분율로 표현되는 것이 효과적이다. 상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 단계를 더 포함할 수 있다.
본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법을 제공할 수 있다.
또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법을 제공할 수 있다.
도 1은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템의 개념도.
도 2는 탐지 로그 내에서 단위 로그당 악성 행위별 정렬표이다.
도 3은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법의 순서도.
이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.
도 1은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템의 개념도이고, 도 2는 탐지 로그 내에서 단위 로그당 악성 행위별 정렬표이다.
본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템은 도 1에 도시된 바와 같이, 로그 데이터베이스로부터 봇넷 행위의 탐지를 결정짓는 로그를 분류 및 수집하는 로그 수집 모듈(100)과, 탐지된 봇넷 그룹의 단위 로그 데이터베이스를 분석하여 단위 로그당 출현빈도를 분석하는 위험 빈도 분석 모듈(200)과, 탐지된 봇넷 그룹의 단위 로그 데이터베이스를 분석하여 단위 로그당 출현강도를 분석하는 위험 강도 분석 모듈(300)과, 봇넷에 구성되어진 C&C별로 지니고 있는 악성행위를 분석 및 산정하는 C&C 위험도 분석 모듈(400)과, 분석된 C&C 위험도를 정규화하여 봇넷 위험도를 산정하는 봇넷 위험도 분석 모듈(500), 및 봇넷 위험 지수 표현 모듈(600)을 포함한다.
로그 수집 모듈(100)은 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그 정보를 수집한다. 이때 수집된 로그 정보는 도 2에 도시된 바와 같이, 단위 로그당 악성 행위별로 정렬될 수 있다. 또한, 도 2에서 탐지 로그에서 생성된 Botnet IDX 번호는 해당 봇넷 그룹의 번호로써, 실제로 위험도를 산정하고 표시한다. 물론, Botnet IDX 번호에 해당하는 단일 또는 다수개의 C&C가 존재할 수 있다.
위험 빈도 분석 모듈(200)은 봇넷의 발생 가능한 이벤트, 즉, 악성 행위의 발생 빈도를 분석한다. 이는 아래의 수학식1과 같이, 단위 시간당 이벤트 발생 비율로 나타낼 수 있다.
Figure 112010085863353-pat00063
수학식1에서
Figure 112010085863353-pat00064
은 단위 탐지 로그당 평균 악성 행위 건수로서, 아래의 수학식2과 같이 C&C가 유발하는 트래픽의 카운트 수, 즉, C&C의 악성 행위 건수와, 좀비가 유발하는 트래픽의 카운트 수, 즉, 좀비의 악성 행위 건수로 표현될 수 있다.
Figure 112010085863353-pat00065
수학식2에서
Figure 112010085863353-pat00066
는 C&C가 유발하는 트래픽의 카운트 수이고,
Figure 112010085863353-pat00067
는 좀비가 유발하는 트래픽의 카운트 수이다.
또한, 수학식1에서
Figure 112010085863353-pat00068
은 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로서, 아래의 수학식3과 같이, C&C가 유발하는 트래픽의 카운트 수와 좀비가 유발하는 트래픽의 카운트 수로 표현될 수 있다.
Figure 112010085863353-pat00069
위험 강도 분석 모듈(300)은 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로 위험 강도를 분석한다. 이는 이전 탐지 로그와 현재 단위 탐지로그간의 좀비들이 유발한 발신(send_byte) 트래픽과 수신 (recv_byte) 트래픽의 합의 평균을 나타내며, 궁극적으로 봇넷의 위험도는 시간당으로 표현 가능하다. 이러한 위험 강도는 아래의 수학식4와 같이 표현될 수 있다.
Figure 112010085863353-pat00070
수학식4에서
Figure 112010085863353-pat00071
는 좀비의 평균 악성 행위 건수로서, 아래의 수학식5와 같이 감염된 실제 좀비수와 좀비의 악성 행위 건수로 표현된다.
Figure 112010085863353-pat00072
수학식5에서
Figure 112010085863353-pat00073
는 좀비의 악성 행위 건수이며,
Figure 112010085863353-pat00074
는 감염된 실제 좀비수이다.
또한, 수학식4에서
Figure 112010085863353-pat00075
는 환산 악성 유발 평균 트래픽으로서, 아래의 수학식6과 같이 단위 탐지 로그당 C&C가 유발하는 평균 트래픽과 단위 탐지 로그당 전체 좀비가 유발하는 평균 트래픽으로 표현된다.
Figure 112010085863353-pat00076
수학식6에서,
Figure 112010085863353-pat00077
는 탐지된 봇넷 C&C의 IP가 유발하는 평균 트래픽을 의미하며,
Figure 112010085863353-pat00078
는 단위 탐지 로그당 전체 좀비가 유발하는 평균 트래픽이다. 이때,
Figure 112010085863353-pat00079
는 수학식7과 같이, 감염된 실제 좀비수와 C&C가 유발하는 트래픽으로 표현되며,
Figure 112010085863353-pat00080
는 수학식8과 같이, 감염된 실제 좀비수와 좀비가 유발하는 트래픽으로 표현된다.
Figure 112010085863353-pat00081
Figure 112010085863353-pat00082
수학식7에서
Figure 112010085863353-pat00083
는 C&C가 유발하는 트래픽으로서, 탐지된 봇넷 C&C의 IP가 유발하는 트래픽을 의미한다. 또한, 수학식8에서
Figure 112010085863353-pat00084
는 좀비가 유발하는 트래픽으로서, 탐지된 봇넷 그룹의 좀비들이 수신하는 트래픽을 의미한다.
C&C 위험도 분석 모듈(400)은 위험 빈도 분석 모듈(200)에서 분석된 위험 빈도와 위험 강도 분석 모듈(300)에서 분석된 위험 강도를 이용하여 악성 행위들에 대한 각각의 위험도를 분석하고, 이를 이용하여 C&C 위험도를 분석한다. 이때, 위험도는 단일 로그 분석시마다 위험도가 산정될 수 있으며, 초기 시간이 1일 때는 분석을 수행하지 않고 초기 시간 이후, 즉, 다음 시간부터 분석을 수행하여 위험도를 산정한다. 최종적으로는 단위 시간당 대표 위험도를 산출하고, 경보 단계를 설정할 수 있다. 이를 위해, C&C 위험도 분석 모듈(400)은 DDoS 위험도 분석 모듈(410)과, SPAM 위험도 분석 모듈(420), Propagation 위험도 분석 모듈(430), Spying 위험도 분석 모듈(440), 및 Eggdownload 위험도 분석 모듈(450)을 포함한다.
DDoS 위험도 분석 모듈(410)은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 DDoS 위험도를 구한다. 이는 아래의 수학식9와 같이 표현될 수 있다.
Figure 112010085863353-pat00085
수학식9에서
Figure 112010085863353-pat00086
은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수이다. 이때,
Figure 112010085863353-pat00087
와 전술된
Figure 112010085863353-pat00088
는 동일한 값일 수 있다. 또한,
Figure 112010085863353-pat00089
는 봇넷이 가지고 있는 잠재적 피해 강도를 의미하는 위험강도로서, 전술된 수학식4와 같이 좀비의 평균 악성 행위 건수와 환산 악성 유발 평균 트래픽으로 표현되며,
Figure 112010085863353-pat00090
는 위험빈도로서, 전술된 수학식1과 같이 단위 탐지 로그당 평균 악성 행위 건수와 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로 표현된다.
또한, SPAM의 위험도와, Propagation의 위험도, Spying의 위험도, 및 Eggdownload의 위험도 역시 아래의 수학식10 내지 수학식13과 같이, 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 각각 표현될 수 있다.
Figure 112010085863353-pat00091
Figure 112010085863353-pat00092
Figure 112010085863353-pat00093
Figure 112010085863353-pat00094
한편, 전술된 DDoS 위험도를 제외한 SPAM 위험도와, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도는 모두 함수가 동일하다. 하지만, 각각의 악성 행위는 그 위험도가 서로 상이하다. 따라서, 본 발명은 각각의 악성 행위에 가중치를 부여하며, 이를 위해서, 본 발명은 가중치 부여 모듈을 포함할 수 있다.
표1은 악성 행위별 가중치를 설명한 것이다.
악성 행위 가중치(Wma) 산정 기준
DDoS 1.0 DDoS 공격시를 최대 위험도로 기준
SPAM 0.7 DDoS에 비해 상대적으로 작은 위험도를 가짐
Propagation 0.5 봇넷 확장을 위한 사전행위로써 간접적인 위험도를 가짐
Spying 0.4 특정 PC의 정보탈취를 목적으로한 위험도를 가짐
Eggdownload 0.3 악성행위를 하기 위해 명령어 및 파일을 송/수신함
표1을 참조하면, 각각의 악성 행위는 DDoS의 위험도에 상대적 위험도를 가진다. 이는 DDoS가 발생시키는 트래픽과 피해 정도는 다른 악성 행위에 비해 월등히 높기 때문에 DDoS의 가중치를 1.0으로 하고, 이를 기준으로 다른 악성 행위의 가중치를 상대적으로 산정하였다.
C&C 위험도 분석 모듈(400)은 각각의 C&C는 단일 또는 다수의 악성 행위에 대한 위험도를 가지고 있으며, DDoS 위험도 분석 모듈(410)과, SPAM 위험도 분석 모듈(420), Propagation 위험도 분석 모듈(430), Spying 위험도 분석 모듈(440), 및 Eggdownload 위험도 분석 모듈(450)에서 분석된 각각의 악성 행위에 대해 가중치를 적용한 후, C&C별로 정규화한다. 이때, C&C 위험도는 아래의 수학식14와 같이 악성 행위별 위험도와 각각의 악성 행위별 위험도의 가중치로 표현될 수 있다.
Figure 112010085863353-pat00095
수학식14에서 악성 행위별 위험도는 전술된 DDoS 위험도와, SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도를 의미한다. 또한, 수학식14에서 가중치는 표1의 악성 행위별 위험도에 따른 가중치를 의미한다.
Figure 112010085863353-pat00096
는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이다.
수학식14에 표현된 C&C 위험도 함수를 이용하여 DDoS 위험도와 SPAM 위험도, Eggdownload 위험도에 따른 C&C 위험도를 예시적으로 산출하면, 아래의 수학식15와 같다.
Figure 112010085863353-pat00097
수학식15에서, DDoS의 위험도는 0.9, SPAM의 위험도는 0.84, Eggdownload의 위험도는 0.6으로 계산된 것을 예시하였다. 또한, 3개의 악성 행위별 위험도로 C&C 위험도를 산출한 것이므로 수학식14에서
Figure 112010085863353-pat00098
는 3이 된다. 이에 따라, 최종적인 C&C 위험도는 0.46으로 근사화된 것을 알 수 있다.
또한, SPAM의 위험도와 Eggdownload의 위험도로 C&C 위험도를 산출할 경우, 아래의 수학식16과 같이 적용될 수 있다.
Figure 112010085863353-pat00099
또한, DDoS의 위험도와, SPAM의 위험도, Propagation의 위험도, Spying의 위험도, 및 Eggdownload의 위험도로 C&C 위험도를 산출할 경우, 아래의 수학식17과 같이 적용될 수 있다.
Figure 112010085863353-pat00100
봇넷 위험도 분석 모듈(500)은 최종 봇넷 위험도 산정을 위해서 C&C 위험도 분석 모듈(400)에서 분석된 C&C 위험도를 정규화시킨다. 이는 아래의 수학식18과 같이 C&C의 위험도를 이용하여 백분율로 표현함으로써 수행될 수 있다.
Figure 112010085863353-pat00101
수학식18에 표현된 최종 봇넷 위험도를 이용하여 실제 최종 봇넷 위험도를 예시적으로 계산하면 아래의 수학식19와 같이 나타낼 수 있다.
Figure 112010085863353-pat00102
수학식19에서 최종 봇넷 위험도는 전술된 C&C 위험도의 예시를 적용하여 계산하였다.
봇넷 위험 지수 표현 모듈(600)은 사용자가 최종 봇넷 위험도를 쉽게 알 수 있게 하기 위해서, 백분율로 표현된 최종 봇넷 위험도를 백분율이 아닌 숫자 등으로 표현한다.
표2는 최종 봇넷 위험도에 따른 표현 방법을 나타낸 것이다.
위험지표 최종 봇넷 위험도 표현법
0% ~ 20% 1
20% ~ 60% 2
60% ~ 3
표2를 참조하면, 최종 봇넷 위험도가 0% 내지 20% 내일 경우, 위험지표로는 위험도가 '하'수준이며, 이는 '1'로 표현될 수 있다. 또한, 최종 봇넷 위험도가 20% 내지 60%일 경우, 위험지표로는 위험도가 '중'수준이며, 이는 '2'로 표현될 수 있으며, 최종 봇넷 위험도가 60% 이상일 경우, 위험지표로는 위험도가 '상'수준으로서 '3'으로 표현될 수 있다. 물론, 이러한 최종 봇넷 위험도에 따른 표현 방법은 예시일 뿐이며, 최종 표현은 숫자를 포함하는 문자, 색상 또는 이들의 조합을 포함할 수 있다. 또한, 최종 봇넷 위험도의 표현은 단위 시간당 출력되는 봇넷 위험도들 중 가장 큰 최대값을 그 시간대의 봇넷 그룹의 최종 봇넷 위험도로 최종 결정하여 표현한다.
상술한 바와 같이, 본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템을 제공할 수 있다. 또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템을 제공할 수 있다.
다음은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법에 대해 도면을 참조하여 설명하기로 한다. 후술할 내용 중 전술된 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.
도 3은 본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법의 순서도이다.
본 발명에 따른 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법은 도 3에 도시된 바와 같이, 로그를 수집하는 단계(S1)와, 위험 빈도를 분석하는 단계(S2)와, 위험 강도를 분석하는 단계(S3)와, C&C 위험도를 분석하는 단계(S4)와, 봇넷 위험도를 분석하는 단계(S5)를 포함한다. 또한, 이에 더하여 봇넷 위험 지수를 표현하는 단계(S6)를 더 포함할 수 있다.
로그를 수집하는 단계(S1)는 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그(Log) 정보를 수집한다. 이때, 수집된 로그 정보로부터 분석에 필요한 정보들만을 추출하기 위해 각 악성 행위별 시계열 로그 정보를 추출한다. 이는 이후, 단위 로그당 위험도를 산출하기 위해서 필요하다.
위험 빈도를 분석하는 단계(S2)는 봇넷의 발생 가능한 이벤트, 즉, 악성 행위의 발생 빈도를 분석한다. 이러한 위험 빈도를 분석하는 단계는 단위 시간당 봇넷의 발생 가능한 이벤트 비율을 이용할 수 있으며, 전술된 수학식1과 같이 구해질 수 있다.
위험 강도를 분석하는 단계(S3)는 이전 단위 탐지로그와 현재 단위 탐지로그당 평균 악성 행위 건수로 위험 강도를 분석한다. 이는 이전 탐지 로그와 현재 단위 탐지로그간의 좀비들이 유발한 발신(send_byte) 트래픽과 수신 (recv_byte) 트래픽의 합의 평균을 나타내며, 궁극적으로 봇넷의 위험도는 시간당으로 표현 가능하다. 위험 강도를 분석하는 단계(S3)에서 위험 강도는 전술된 수학식4와 같이 좀비의 평균 악성 행위 건수와 환산 악성 유발 평균 트래픽으로 구해질 수 있다.
C&C 위험도를 분석하는 단계(S4)는 위험 빈도를 분석하는 단계(S2)와 위험 강도를 분석하는 단계(S3)에서 분석된 위험 빈도와 위험 강도로 C&C 위험도를 분석한다. 이때, C&C 위험도는 DDoS 위험도와 SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도를 각각 분석하여 분석할 수 있다. 또한, 이에 따라, C&C 위험도를 분석하는 단계(S4)는 DDoS 위험도를 분석하는 단계(S4-1)와, SPAM 위험도를 분석하는 단계(S4-2)와, Propagation 위험도를 분석하는 단계(S4-3)와, Spying 위험도를 분석하는 단계(S4-4), 및 Eggdownload 위험도를 분석하는 단계(S4-5)를 포함한다.
DDoS 위험도를 분석하는 단계(S4-1)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 DDoS 위험도를 구한다. 이는 전술된 수학식9와 같이 구해질 수 있다.
SPAM 위험도를 분석하는 단계(S4-2)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 SPAM 위험도를 구한다. 이는 전술된 수학식10과 같이 구해질 수 있다.
Propagation 위험도를 분석하는 단계(S4-3)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 Propagation 위험도를 구한다. 이는 전술된 수학식11과 같이 구해질 수 있다.
Spying 위험도를 분석하는 단계(S4-4)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 Spying 위험도를 구한다. 이는 전술된 수학식12와 같이 구해질 수 있다.
Eggdownload 위험도를 분석하는 단계(S4-5)는 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와, 위험강도 및 위험빈도로 Eggdownload 위험도를 구한다. 이는 전술된 수학식13과 같이 구해질 수 있다.
또한, C&C 위험도를 분석하는 단계(S4)는 구해진 DDoS 위험도와 SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도를 이용하여 C&C 위험도를 분석한다. 이러한 C&C 위험도는 전술된 수학식14와 같이 구해질 수 있다. 여기서, 수학식14에 따른 C&C 위험도는 가중치가 필요하며, 이를 위해, C&C 위험도를 분석하는 단계는 DDoS 위험도와 SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도에 가중치를 부여하는 단계를 포함할 수 있다. 가중치에 대한 내용은 전술된 표1에 설명되었으므로, 이에 대한 설명은 생략한다.
봇넷 위험도를 분석하는 단계(S5)는 최종 봇넷 위험도 산정을 위해서 C&C 위험도를 분석하는 단계에서 분석된 C&C 위험도를 정규화시킨다. 이는 전술된 수학식18과 같이 C&C의 위험도를 이용하여 배분율로 표현하여 수행할 수 있다.
봇넷 위험 지수를 표현하는 단계(S6)는 사용자가 최종 봇넷 위험도를 쉽게 알 수 있게 하기 위해서, 백분율로 표현된 최종 봇넷 위험도를 백분율이 아닌 숫자 등으로 표현한다.
상술한 바와 같이, 본 발명은 봇넷의 다양한 악성 행위에 대한 위험도로 봇넷 위험도를 분석하여 봇넷의 오탐지 및 미탐지를 방지할 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법을 제공할 수 있다. 또한, 본 발명은 능동형 봇넷 탐지 및 관리를 하는데 있어 참조 위험 지수로 활용될 수 있으며, 기타 DNS 싱크홀에서의 관리에도 활용될 수 있는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법을 제공할 수 있다.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (24)

  1. 봇넷 탐지 시스템의 로그 데이터베이스로부터 봇넷의 악성 행위 탐지에 대한 로그 정보를 분류 및 수집하는 로그 수집 모듈과,
    상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 빈도인 위험 빈도를 분석하는 위험 빈도 분석 모듈과,
    상기 로그 정보를 분석하여 단위 로그당 상기 봇넷의 악성 행위 발생 강도인 위험 강도를 분석하는 위험 강도 분석 모듈과,
    상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 C&C 위험도 분석 모듈과,
    상기 C&C 위험도로 봇넷 위험도를 분석하는 봇넷 위험도 분석 모듈을 포함하며,
    상기 위험 빈도(
    Figure 112012032404189-pat00103
    )는
    Figure 112012032404189-pat00104
    이고,
    상기
    Figure 112012032404189-pat00105
    Figure 112012032404189-pat00106
    이며,
    상기
    Figure 112012032404189-pat00107
    Figure 112012032404189-pat00108
    이고,
    상기
    Figure 112012032404189-pat00109
    는 C&C가 유발하는 트래픽의 카운트 수이며,
    상기
    Figure 112012032404189-pat00110
    는 좀비가 유발하는 트래픽의 카운트 수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 위험 강도(
    Figure 112012032404189-pat00111
    )는
    Figure 112012032404189-pat00112
    이고,
    상기
    Figure 112012032404189-pat00113
    Figure 112012032404189-pat00114
    이며,
    상기
    Figure 112012032404189-pat00115
    Figure 112012032404189-pat00116
    이고,
    상기
    Figure 112012032404189-pat00117
    는 감염된 실제 좀비 개수이며,
    상기
    Figure 112012032404189-pat00118
    Figure 112012032404189-pat00119
    이고,
    상기
    Figure 112012032404189-pat00120
    Figure 112012032404189-pat00121
    이며,
    상기
    Figure 112012032404189-pat00122
    는 C&C가 유발하는 트래픽이고,
    상기
    Figure 112012032404189-pat00123
    는 좀비가 유발하는 트래픽인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  4. 청구항 3에 있어서,
    상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 DDoS 위험도를 분석하는 DDoS 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  5. 청구항 4에 있어서,
    상기 DDoS 위험도는
    Figure 112010085863353-pat00124
    이며,
    상기
    Figure 112010085863353-pat00125
    은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  6. 청구항 3에 있어서,
    상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 SPAM 위험도를 분석하는 SPAM 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  7. 청구항 6에 있어서,
    상기 SPAM 위험도는
    Figure 112010085863353-pat00126
    이며,
    상기
    Figure 112010085863353-pat00127
    은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  8. 청구항 3에 있어서,
    상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Propagation 위험도를 분석하는 Propagation 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  9. 청구항 8에 있어서,
    상기 Propagation 위험도는
    Figure 112010085863353-pat00128
    이며,
    상기
    Figure 112010085863353-pat00129
    은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  10. 청구항 3에 있어서,
    상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Spying 위험도를 분석하는 Spying 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  11. 청구항 10에 있어서,
    상기 Spying 위험도는
    Figure 112010085863353-pat00130
    이며,
    상기
    Figure 112010085863353-pat00131
    은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  12. 청구항 11에 있어서,
    상기 C&C 위험도 분석 모듈은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수와 상기 위험 강도 및 상기 위험 빈도로 Eggdownload 위험도를 분석하는 Eggdownload 위험도 분석 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  13. 청구항 12에 있어서,
    상기 Eggdownload 위험도는
    Figure 112010085863353-pat00132
    이며,
    상기
    Figure 112010085863353-pat00133
    은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  14. 청구항 4 내지 청구항 13 중 어느 한 항에 있어서,
    상기 C&C 위험도는
    Figure 112010085863353-pat00134
    이며,
    상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고,
    상기
    Figure 112010085863353-pat00135
    는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며,
    상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  15. 청구항 14에 있어서,
    상기 봇넷 위험도(
    Figure 112010085863353-pat00136
    )는
    Figure 112010085863353-pat00137
    이며, 백분율로 표현되는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  16. 청구항 15에 있어서,
    상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 봇넷 위험 지수 표현 모듈을 더 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템.
  17. 봇넷 탐지 시스템의 탐지 로그 데이터베이스로부터 봇넷의 악성 행위인 DDoS, SPAM, Propagation, Spying, 및 Eggdownload에 관한 로그 정보를 수집하는 단계와,
    상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계와,
    상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계와,
    상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계와,
    상기 C&C 위험도로 봇넷 위험도를 분석하는 단계를 포함하며,
    상기 악성 행위의 단위 시간당 발생 빈도인 위험 빈도를 분석하는 단계;에서 상기 위험 빈도(
    Figure 112012032404189-pat00138
    )는
    Figure 112012032404189-pat00139
    이고,
    상기
    Figure 112012032404189-pat00140
    Figure 112012032404189-pat00141
    이며,
    상기
    Figure 112012032404189-pat00142
    Figure 112012032404189-pat00143
    이고,
    상기
    Figure 112012032404189-pat00144
    는 C&C가 유발하는 트래픽의 카운트 수이며,
    상기
    Figure 112012032404189-pat00145
    는 좀비가 유발하는 트래픽의 카운트 수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
  18. 삭제
  19. 청구항 17에 있어서,
    상기 악성 행위의 단위 탐지 로그당 평균 악성 행위 건수로 악성 행위의 발생 강도인 위험 강도를 분석하는 단계;에서, 상기 위험 강도(
    Figure 112012032404189-pat00146
    )는
    Figure 112012032404189-pat00147
    이고,
    상기
    Figure 112012032404189-pat00148
    Figure 112012032404189-pat00149
    이며,
    상기
    Figure 112012032404189-pat00150
    Figure 112012032404189-pat00151
    이고,
    상기
    Figure 112012032404189-pat00152
    는 감염된 실제 좀비 개수이며,
    상기
    Figure 112012032404189-pat00153
    Figure 112012032404189-pat00154
    이고,
    상기
    Figure 112012032404189-pat00155
    Figure 112012032404189-pat00156
    이며,
    상기
    Figure 112012032404189-pat00157
    는 C&C가 유발하는 트래픽이고,
    상기
    Figure 112012032404189-pat00158
    는 좀비가 유발하는 트래픽인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
  20. 청구항 17에 있어서,
    상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는,
    상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 DDoS 위험도를 분석하는 단계와,
    상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 SPAM 위험도를 분석하는 단계와,
    상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Propagation 위험도를 분석하는 단계와,
    상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Spying 위험도를 분석하는 단계와,
    상기 위험 강도와 상기 위험 빈도 및 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수로 Eggdownload 위험도를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
  21. 청구항 20에 있어서,
    상기 DDoS 위험도는
    Figure 112010085863353-pat00159
    이며,
    상기 SPAM 위험도는
    Figure 112010085863353-pat00160
    이고,
    상기 Propagation 위험도는
    Figure 112010085863353-pat00161
    이며,
    상기 Spying 위험도는
    Figure 112010085863353-pat00162
    이고,
    상기 Eggdownload 위험도는
    Figure 112010085863353-pat00163
    이며,
    상기
    Figure 112010085863353-pat00164
    은 감염된 좀비 중 실제 악성 행위를 하는 좀비의 개수인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
  22. 청구항 21에 있어서,
    상기 위험 빈도와 상기 위험 강도로 C&C 위험도를 분석하는 단계는 상기 DDoS 위험도와, SPAM 위험도, Propagation 위험도, Spying 위험도, 및 Eggdownload 위험도 중 적어도 어느 하나로 C&C 위험도를 분석하며,
    상기 C&C 위험도는
    Figure 112010085863353-pat00165
    이며,
    상기 악성 행위별 위험도는 상기 DDoS 위험도와, 상기 SPAM 위험도, 상기 Propagation 위험도, 상기 Spying 위험도, 및 상기 Eggdownload 위험도 중 적어도 어느 하나이고,
    상기
    Figure 112010085863353-pat00166
    는 C&C 위험도 산정에 이용된 악성 행위별 위험도의 개수이며,
    상기 가중치는 상기 악성 행위별 위험도들에 대한 서로 상이한 가중치인 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
  23. 청구항 22에 있어서,
    상기 C&C 위험도로 봇넷 위험도를 분석하는 단계;에서, 상기 봇넷 위험도(
    Figure 112010085863353-pat00167
    )는
    Figure 112010085863353-pat00168
    이며, 백분율로 표현되는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
  24. 청구항 23에 있어서,
    상기 봇넷 위험도를 숫자와 문자, 색상 중 적어도 어느 하나를 포함하는 지수로 표현하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 방법.
KR1020100134963A 2010-12-24 2010-12-24 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 KR101156011B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100134963A KR101156011B1 (ko) 2010-12-24 2010-12-24 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100134963A KR101156011B1 (ko) 2010-12-24 2010-12-24 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101156011B1 true KR101156011B1 (ko) 2012-06-18

Family

ID=46688924

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100134963A KR101156011B1 (ko) 2010-12-24 2010-12-24 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101156011B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101735652B1 (ko) * 2015-07-30 2017-05-15 아주대학교산학협력단 단말 장치 및 이에 의한 사이버 공격 애플리케이션의 탐지 방법
CN114039772A (zh) * 2021-11-08 2022-02-11 北京天融信网络安全技术有限公司 针对网络攻击的检测方法及电子设备
KR102678970B1 (ko) * 2022-07-27 2024-06-27 한국서부발전 주식회사 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030035143A (ko) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 통합보안관리 시스템
KR20050068052A (ko) * 2003-12-29 2005-07-05 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR100942456B1 (ko) 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030035143A (ko) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 통합보안관리 시스템
KR20050068052A (ko) * 2003-12-29 2005-07-05 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR100942456B1 (ko) 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101735652B1 (ko) * 2015-07-30 2017-05-15 아주대학교산학협력단 단말 장치 및 이에 의한 사이버 공격 애플리케이션의 탐지 방법
CN114039772A (zh) * 2021-11-08 2022-02-11 北京天融信网络安全技术有限公司 针对网络攻击的检测方法及电子设备
CN114039772B (zh) * 2021-11-08 2023-11-28 北京天融信网络安全技术有限公司 针对网络攻击的检测方法及电子设备
KR102678970B1 (ko) * 2022-07-27 2024-06-27 한국서부발전 주식회사 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법

Similar Documents

Publication Publication Date Title
Vidal et al. Adaptive artificial immune networks for mitigating DoS flooding attacks
Protić Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets
Hoque et al. An implementation of intrusion detection system using genetic algorithm
EP1995929B1 (en) Distributed system for the detection of eThreats
CN108040493A (zh) 利用低置信度安全事件来检测安全事故
Singh et al. Detecting bot-infected machines using DNS fingerprinting
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN104509034A (zh) 模式合并以识别恶意行为
CN111245807A (zh) 基于攻击链因子的网络态势量化评估方法
Kim et al. Detecting DNS-poisoning-based phishing attacks from their network performance characteristics
CN109194680A (zh) 一种网络攻击识别方法、装置及设备
CN104871171B (zh) 分布式模式发现
JP7005936B2 (ja) 評価プログラム、評価方法および情報処理装置
Fachkha et al. On the inference and prediction of DDoS campaigns
JP6977625B2 (ja) 評価プログラム、評価方法および評価装置
KR101156011B1 (ko) 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법
CN103544438A (zh) 一种用于云安全***的用户感知病毒报告分析方法
Middlemiss et al. Weighted feature extraction using a genetic algorithm for intrusion detection
Kornyo et al. Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms
Zheng et al. Cryptocurrency malware detection in real-world environment: Based on multi-results stacking learning
KR20100098241A (ko) 봇넷 행동 패턴 분석 시스템 및 방법
Mendonça et al. Botnets: a heuristic-based detection framework
Tubi et al. Deployment of DNIDS in social networks
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
Kadam et al. Various approaches for intrusion detection system: an overview

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee