KR101322692B1 - 스팸 메일을 발송한 봇넷 탐지 방법 및 시스템 - Google Patents

스팸 메일을 발송한 봇넷 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR101322692B1
KR101322692B1 KR1020130085370A KR20130085370A KR101322692B1 KR 101322692 B1 KR101322692 B1 KR 101322692B1 KR 1020130085370 A KR1020130085370 A KR 1020130085370A KR 20130085370 A KR20130085370 A KR 20130085370A KR 101322692 B1 KR101322692 B1 KR 101322692B1
Authority
KR
South Korea
Prior art keywords
mail
sending
sending terminal
monitoring
botnet
Prior art date
Application number
KR1020130085370A
Other languages
English (en)
Inventor
차형건
Original Assignee
(주)지란지교소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교소프트 filed Critical (주)지란지교소프트
Priority to KR1020130085370A priority Critical patent/KR101322692B1/ko
Application granted granted Critical
Publication of KR101322692B1 publication Critical patent/KR101322692B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/222Monitoring or handling of messages using geographical location information, e.g. messages transmitted or received in proximity of a certain spot or area

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • General Engineering & Computer Science (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

스팸 메일을 발송한 봇넷 탐지 방법 및 시스템이 개시된다. 본 발명의 일측면에 따른 봇넷 탐지 시스템은, 메일이 수신되면 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함한다. 본 발명에 따르면, 수신된 메일들을 이용하여 봇넷을 탐지함으로써, 봇넷에 의한 피해를 예방할 수 있다.

Description

스팸 메일을 발송한 봇넷 탐지 방법 및 시스템{Method and system for detecting botnet transmitting spam mail}
본 발명은 봇넷 탐지에 관한 것으로서, 좀 더 상세하게는 스팸 메일을 발송한 봇넷을 탐지하는 방법 및 시스템에 관한 것이다.
현재 사이버 공간에서는 수많은 위협들이 대두되고 있다. 제3자의 개인정보를 갈취 또는 수집하여 악용하고, 불특정 다수를 향해 음란, 광고메일을 유포하고 금전적 이익을 보거나, 또는 경쟁사의 정보화 기기의 서비스를 못하게 하는 등 인터넷상의 위협요인들은 산재해 있다. 이러한 사이버 피해가 두드러지는 가운데 새로운 위협적 요소가 인터넷을 장악해 나가고 있는데 그것이 바로 봇넷(BotNet)이다. 분산서비스 거부공격(DDoS)과 함께 가장 심각한 네트워크 위협으로 인식되고 있는 봇넷은 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다.
봇넷들이 여러 방면에서 악영향을 끼치고 있다고는 하지만 이를 잡아내는 것은 결코 쉬운 일이 아니다. 봇넷의 핵심적인 특성인 [분산성]과 [유저 의존성] 때문이다. 하나 혹은 소수의 PC들이 같은 태스크(task: 악의적 행동)를 반복적으로 수행한다면 이를 찾아내는 일은 크게 어렵지 않다. 하지만 수백 만대의 PC가 같은 태스크를 1~2번씩 수행한다면 이 태스크를 수행하는 주체를 찾아내는 일은 매우 어려울 것이다. 심지어는 그런 악의적 태스크가 수행되고 있는지 조차 모를 수도 있다. 또 하나 고려해야 할 점은 태스크에 동원되는 봇(bot)들은 일반 유저들의 개인 PC라는 것이다. 이들은 자발적으로 태스크에 참여하는 것이 아니기 때문에 단순히 조종자가 명령을 내리는 순간에 컴퓨터가 켜져 있을 경우에만 태스크에 참여하게 된다. 쉽게 말해 각각의 봇들이 언제 켜져 있고(참여), 언제 꺼져(비 참여) 있을지 아무도 예측할 수 없다.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 봇넷에 의해 발송되는 스팸 메일들을 분석하여 그 봇넷을 탐지하는 방법 및 시스템을 제공하기 위한 것이다.
본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
본 발명의 일 측면에 따르면, 메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및 상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함하는 봇넷 탐지 시스템이 제공된다.
여기서, 상기 메인 서버는 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 상기 특정 개수를 결정할 수 있다.
또한, 상기 메인 서버는 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 다른 발송단말들을 대상으로 국가를 재검토할 수 있다.
또한, 상기 메인 서버는 봇으로 처리된 상기 감시대상 발송단말들로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공할 수 있다.
또한, 상기 메일 감시서버들은 메일이 수신된 발송단말이 봇으로 처리되면, 발송단말로 봇 감염을 알리는 회신 메일을 송신할 수 있다.
또한, 상기 메일 감시서버들은 수신된 메일이 스팸메일로 인식되는 경우에만 해당 메일과 아이피에 대한 정보를 업로드할 수 있다.
본 발명의 다른 측면에 따르면, 메일 감시서버들과 통신망을 통해 연결된 서버 장치에서의 봇넷 탐지 방법에 있어서, 메일 감시서버들로부터 수신된 메일과 상기 메일을 발송한 발송단말의 아이피에 대한 정보를 수집하는 단계; 수집된 정보를 기반으로, 동일한 메일을 발송한 발송단말들을 특정 개수 선정하는 단계; 및 선정된 감시대상 발송단말들의 각 아이피에 따른 국가가 일정 개수 이상인지 여부를 판단함으로써, 상기 동일한 메일을 발송한 발송단말들을 봇으로 처리하는 단계를 포함하는 봇넷 탐지 방법 및 그 방법을 실행하는 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록매체가 제공된다.
여기서, 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 선정되는 감시대상 발송단말들의 특정 개수를 결정할 수 있다.
또한, 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 상기 동일한 메일을 발송한 다른 발송단말들을 대상으로 국가를 재검토하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 수신된 메일들을 이용하여 봇넷을 탐지함으로써, 봇넷에 의한 피해를 예방할 수 있다.
도 1은 본 발명의 일 실시예에 따른 봇넷 탐지 시스템 개략적으로 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 봇넷 탐지의 개략적인 과정을 도시한 흐름도.
도 3은 본 발명의 일 실시예에 따른 동일한 메일을 발송한 발송단말들의 봇 여부를 결정하는 과정을 도시한 흐름도.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성 요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 봇넷 탐지 시스템 개략적으로 도시한 구성도이다.
도 1을 참조하면, 본 실시예에 따른 전체 시스템은 봇넷을 구성하는 컴퓨터 장치인 봇 장치들(10-1, 10-2, ..., 10-n : 이하 10으로 통칭), 메일 감시서버들(30-1, 30-2, ..., 30-m : 이하 30으로 통칭) 및 메인 서버(50)를 포함한다.
봇넷은 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말하는 것으로, 봇 장치(10)는 상술한 바와 같은 봇에 감염되어 스팸 메일을 발송하는 컴퓨팅 장치이다.
메일 감시서버(30)는 관리되는 메일계정을 가진 유저들에게 전달되는 메일을 감시하기 위한 서버장치로서, 예를 들어 일반 메일 서버일 수 있으며 또는 메일 서버들로 전달되는 메일을 감시하기 위한 별도의 감시장치일 수도 있다.
메일 감시서버(30)는 봇 장치(10)를 포함한 메일을 발송하는 단말(이하 발송단말이라 칭함)로부터 수신되는 메일과 해당 발송단말의 아이피(IP) 주소에 대한 정보를 메인 서버(50)로 업로드한다. 예를 들어, 메일 감시서버(30)는 자체적으로 스팸메일을 필터링하는 기능을 보유할 수 있으며, 이러한 필터링 기능에 의해 스팸메일로 의심되는 메일이 수신되면, 해당 메일에 대해 관련정보(메일 내용 및 발신자(즉 발송단말)의 아이피)를 메인 서버(50)로 업로드한다. 물론 이는 일례일 뿐이며, 메일 감시서버(30)는 상술한 필터링 기능 없이 바로 모든 메일에 대해 메인 서버(50)로 관련 정보를 업로드할 수도 있다.
또 다른 일례에 따르면, 메일 감시서버(30)는 메인 서버(50)로부터 취득된 봇에 감염된 봇넷을 구성하는 단말로 식별된 봇 장치들에 대한 리스트를 이용하여, 수신된 메일이 봇으로부터 발송된 것인지 여부를 먼저 판단하고, 봇으로 판단되면 자체적으로 필터링하며, 봇이 아닌 경우에만 해당 메일에 관련된 정보를 메인 서버(50)로 업로드할 수도 있다.
메인 서버(50)는 메일 감시서버(30)들로부터 업로드되는 메일 관련정보를 기반으로, 해당 발송단말이 봇넷을 구성하는 봇 장치인지 여부를 판단한다.
메인 서버(50)는 메일 감시서버(30)들로부터 수집된 각 메일 관련정보를 기반으로, 동일한 내용의 메일을 발송한 특정 개수의 발송단말(이하, 감시대상 발송단말이라 칭함)의 아이피를 이용한다. 쉽게 말해, k개의 메일 감시서버(30)로부터 수집된 메일이 서로 동일한 경우, 해당 메일을 발송한 감시대상 발송단말의 아이피를 이용하여 그 감시대상 발송단말이 봇인지 여부를 판단하는 것이다.
각 감시대상 발송단말의 아이피에 따른 국가가 미리 설정된 개수(예를 들어, 2개 등) 이상인 경우 해당 감시대상 발송단말들은 봇으로 인식될 수 있으며, 물론 그 감시대상 발송단말들과 동일한 메일을 발송한 모든 발송단말들도 봇으로서 처리될 수 있다.
일반적으로 아이피 주소 체계는 국가마다 할당되는 주소 대역이 정해져 있어, 아이피 주소만으로도 국가를 확인할 수 있다. 따라서, 메인 서버(50)는 각 감시대상 발송단말의 아이피를 이용하여 어떤 국가들에서 해당 메일이 발송되었는지를 확인할 수 있으며, 만일 다양한 국가에서 발송된 것이라면 그 감시대상 발송단말들을 봇으로 인식하는 것이다. 일반적으로 봇넷은 수천, 수만대의 봇들이 여러 나라에 분포된다는 점을 이용하는 것이다.
이하, 도 1에 따른 메일 감시서버(30)와 메인 서버(50)간의 협업을 통한 봇넷 탐지 과정에 대해 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 봇넷 탐지의 개략적인 과정을 도시한 흐름도이다.
도 2를 참조하면, 메일 감시서버(30)는 수신된 메일이 스팸메일로서 인식되면(S210), 해당 메일 및 발송단말의 아이피에 대한 정보(이하, 보고 정보라 칭함)를 메인 서버(50)로 업로드한다(S220). 본 실시예에서는 메일 감시서버(30)가 수신된 메일이 스팸인지 여부를 판단하고, 스팸인 경우에만 메인 서버(50)로 보고 정보를 업로드하는 것으로 설명하였으나, 이는 일례일 뿐이며 다른 예에 따르면, 모든 메일에 대해 메인 서버(50)로 해당 메일 및 발송단말의 아이피 정보를 업로드할 수도 있다. 또는 상술한 바와 같이 메일 감시서버(30)는 봇넷에 대한 정보를 미리 가지고 있어, 수신된 메일이 봇넷에 의한 메일인지 여부를 판단하고, 봇넷이 아닌 것으로 판단되는 경우(신종 봇넷일 경우)에만 보고 정보를 메인 서버(50)로 업로드할 수도 있다.
메인 서버(50)는 다른 메일 감시서버(30)로부터 동일한 스팸메일에 따른 보고 정보가 업로드되면, 그 보고 정보들 중 특정 개수, 즉 특정 개수(이하 k개라 함)의 발송단말들을 감시대상 발송단말로서 선정한다(S230). 즉, 봇들은 통상적으로 수천, 수만대일 수 있으므로, 그 중 일부만을 감시대상 발송단말들로서 선정하는 것이다.
메인 서버(50)는 k개의 감시대상 발송단말의 각 아이피에 따른 국가를 확인하고(S240), 그 국가들이 미리 설정된 개수 이상인지 여부에 따라 봇 여부를 결정한다(S250). 쉬운 예로 k개의 감시대상 발송단말들 중 일부 또는 전부가 서로 다른 국가인 경우, 해당 감시대상 발송단말들을 포함한 동일 스팸메일을 발송한 모든 발송단말들은 봇으로 인식될 수 있다. 여기서, 상술한 k개의 값은 고정된 값이 이용될 수도 있으나, 다양한 조건에 따라 가변적으로 설정될 수도 있는데 그에 대한 방식은 도 3을 참조하여 후술하기로 한다.
만일, 감시대상 발송단말들이 봇으로 결정되면, 메인 서버(50)는 봇으로 처리된 감시대상 발송단말들로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공한다.
따라서, 메일 감시서버(30)는 메인 서버(50)로부터 그 스팸메일을 발송한 발송단말들의 봇 여부에 대한 정보를 수신하면(S260), 그에 따라 해당 메일을 처리한다(S270). 쉬운 예로, 발송단말이 봇으로 인식되는 경우, 메일 감시서버(30)는 해당 메일에 대해 스팸처리하여 메일 수신 계정으로의 전달을 처리하지 않고 해당 발송단말에 대한 정보(아이피 등)를 봇넷 리스트에 등록한다. 이와 달리 발송단말이 봇이 아닌 것으로 결정되면, 해당 메일은 정상적으로 처리될 수 있으며, 또는 S210에서 스팸메일로서 인식되었으므로 스팸처리될 수도 있다.
그리고, 일례에 따르면, 메일 감시서버(30)는 메일이 수신된 발송단말이 봇으로 처리되면, 해당 발송단말로 봇 감염을 알리는 회신 메일을 송신할 수 있다. 즉, 발송단말의 사용자는 자신의 단말이 봇에 감염된 것을 알지 못할 수도 있으므로, 회신메일로서 이를 알려주는 것이다.
본 실시예에서는 메인 서버(50)가 감시대상 발송단말의 아이피에 따른 국가를 인식하여 봇 여부를 결정하였다. 이와 다른 실시예에 따르면, 국가 외에도 아이피에 따른 지역까지 인식하여 이를 활용할 수도 있다.
도 3은 본 발명의 일 실시예에 따른 동일한 메일을 발송한 발송단말들의 봇 여부를 결정하는 과정을 도시한 흐름도이다.
도 3을 참조하면, 메인 서버(50)는 메일 내용을 분석하여 아이피에 따른 국가를 확인할 감시대상 발송단말의 개수(k)를 결정한다(S310). 메인 서버(50)는 해당 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 k값을 결정한다. 쉬운 예로, 상기한 바와 같은 의심되는 내용들이 존재하지 않는 경우 k값은 미리 설정된 값(예를 들어, 10 등)으로 결정되고, 첨부파일, URL 등이 존재하는 경우 봇넷에 의한 공격일 가능성이 더욱 높으므로 k값은 보다 낮게(예를 들어, 3 또는 5 이하) 설정될 수 있다. 다른 예로서, 특정 문자로서 개인정보 관련 키워드(예를 들어, 주민등록번호, 주소 등), 불건전 키워드(예를 들어 성인물 등) 등이 포함되는 경우에도 봇넷에 의한 공격일 가능성이 높아 k값은 보다 낮게 설정될 수 있다.
메인 서버(50)는 결정된 k개의 감시대상 발송단말들의 아이피에 따른 국가가 복수개인지 여부를 판단하고(S320), 복수개인 경우 해당 메일을 발송한 감시대상 발송단말들을 봇으로서 처리한다(S370).
이와 달리, 국가가 하나인 경우, 그 아이피에 따른 지역이 서로 다른지 여부를 판단한다(S330). 일반적으로 아이피 주소를 이용하여 대략적인 지역을 확인할 수 있기 때문이다.
메인 서버(50)는 만일 그 지역들이 동일하다면 해당 메일은 봇넷에 의한 스팸이 아닌 것으로 처리하고(S340), 상이하다면 다른 감시대상 발송단말들을 선정하여 해당 아이피에 따른 국가를 재검토한다(S350). 일반적으로 봇넷에 따른 봇들은 넓은 분포로 퍼져있기 때문에, 감시대상 발송단말들의 아이피에 따른 지역이 다소 상이하다는 것은 봇넷에 의한 봇들일 가능성이 높기 때문이므로 다른 발송단말들을 대상으로 국가를 재검토하는 것이다.
메인 서버(50)는 재검토 결과 국가가 복수개인지 여부를 확인하고(S360), 확인 결과 국가가 복수개인 경우 S370으로 진행하고, 또는 하나의 국가인 경우 S340으로 진행한다.
상술한 본 발명에 따른 스팸 메일을 발송한 봇넷 탐지 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10-1, 10-2, ..., 10-n : 봇 장치
30-1, 30-2, ..., 30-m : 메일 감시서버
50 : 메인 서버

Claims (9)

  1. 메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및
    상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하고, 봇으로 처리된 상기 감시대상 발송단말로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공하는 메인 서버를 포함하는 봇넷 탐지 시스템.
  2. 메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및
    상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함하되,
    상기 메인 서버는 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 상기 특정 개수를 결정하는 것을 특징으로 하는 봇넷 탐지 시스템.
  3. 청구항 1에 있어서,
    상기 메인 서버는 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 다른 발송단말들을 대상으로 국가를 재검토하는 것을 특징으로 하는 봇넷 탐지 시스템.
  4. 삭제
  5. 청구항 1에 있어서,
    상기 메일 감시서버들은 메일이 수신된 발송단말이 봇으로 처리되면, 발송단말로 봇 감염을 알리는 회신 메일을 송신하는 것을 특징으로 하는 봇넷 탐지 시스템.
  6. 청구항 1에 있어서,
    상기 메일 감시서버들은 수신된 메일이 스팸메일로 인식되는 경우에만 해당 메일과 아이피에 대한 정보를 업로드하는 것을 특징으로 하는 봇넷 탐지 시스템.
  7. 메일 감시서버들과 통신망을 통해 연결된 서버 장치에서의 봇넷 탐지 방법에 있어서,
    메일 감시서버들로부터 수신된 메일과 상기 메일을 발송한 발송단말의 아이피에 대한 정보를 수집하는 단계;
    수집된 정보를 기반으로 동일한 메일을 발송한 발송단말들을 특정 개수 선정하되, 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고 확인된 내용에 따라 상기 특정 개수가 결정되는 단계; 및
    선정된 감시대상 발송단말들의 각 아이피에 따른 국가가 일정 개수 이상인지 여부를 판단함으로써, 상기 동일한 메일을 발송한 발송단말들을 봇으로 처리하는 단계를 포함하는 봇넷 탐지 방법.
  8. 삭제
  9. 청구항 7에 있어서,
    상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 상기 동일한 메일을 발송한 다른 발송단말들을 대상으로 국가를 재검토하는 단계를 더 포함하는 봇넷 탐지 방법.
KR1020130085370A 2013-07-19 2013-07-19 스팸 메일을 발송한 봇넷 탐지 방법 및 시스템 KR101322692B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130085370A KR101322692B1 (ko) 2013-07-19 2013-07-19 스팸 메일을 발송한 봇넷 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130085370A KR101322692B1 (ko) 2013-07-19 2013-07-19 스팸 메일을 발송한 봇넷 탐지 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101322692B1 true KR101322692B1 (ko) 2013-10-28

Family

ID=49639409

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130085370A KR101322692B1 (ko) 2013-07-19 2013-07-19 스팸 메일을 발송한 봇넷 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101322692B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101048159B1 (ko) 2009-02-27 2011-07-08 (주)다우기술 봇넷 탐지 및 차단 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101048159B1 (ko) 2009-02-27 2011-07-08 (주)다우기술 봇넷 탐지 및 차단 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
EP3206364B1 (en) Message authenticity and risk assessment
US9479532B1 (en) Mitigating denial of service attacks
EP2863611B1 (en) Device for detecting cyber attack based on event analysis and method thereof
CN107465648B (zh) 异常设备的识别方法及装置
US10135785B2 (en) Network security system to intercept inline domain name system requests
US20120239751A1 (en) Multi-dimensional reputation scoring
EP3195172A1 (en) Blocking forgiveness for ddos
US10951649B2 (en) Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content
CN105592017B (zh) 跨站脚本攻击的防御方法及***
CN102404741B (zh) 移动终端上网异常检测方法和装置
CN108390870B (zh) 一种防御网络攻击的方法、装置、存储介质及设备
CN101018121A (zh) 日志的聚合处理方法及聚合处理装置
KR102119718B1 (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
CN109561051A (zh) 内容分发网络安全检测方法及***
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
Yan et al. Unwanted traffic control via hybrid trust management
Wang et al. Hiding fast flux botnet in plain email sight
CN115017502A (zh) 一种流量处理方法、及防护***
KR101473652B1 (ko) 악성 메시지 검사 방법 및 장치
KR101322692B1 (ko) 스팸 메일을 발송한 봇넷 탐지 방법 및 시스템
Panimalar et al. A review on taxonomy of botnet detection
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
Chen et al. Detecting hybrid botnets with web command and control servers or fast flux domain.

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161010

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 6