KR101398740B1 - 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 - Google Patents

악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 Download PDF

Info

Publication number
KR101398740B1
KR101398740B1 KR1020120026387A KR20120026387A KR101398740B1 KR 101398740 B1 KR101398740 B1 KR 101398740B1 KR 1020120026387 A KR1020120026387 A KR 1020120026387A KR 20120026387 A KR20120026387 A KR 20120026387A KR 101398740 B1 KR101398740 B1 KR 101398740B1
Authority
KR
South Korea
Prior art keywords
malicious domain
information
domain
malicious
packet
Prior art date
Application number
KR1020120026387A
Other languages
English (en)
Other versions
KR20130105769A (ko
Inventor
김무성
김현호
김동욱
최원덕
이남일
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Priority to KR1020120026387A priority Critical patent/KR101398740B1/ko
Publication of KR20130105769A publication Critical patent/KR20130105769A/ko
Application granted granted Critical
Publication of KR101398740B1 publication Critical patent/KR101398740B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위를 탐지하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것으로서, 특히 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함한다.

Description

악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체{SYSTEM, METHOD AND COMPUTER READABLE RECORDING MEDIUM FOR DETECTING A MALICIOUS DOMAIN}
본 발명은 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것으로, 보다 상세하게는 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위를 탐지하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.
일반적으로 인터넷은 전세계 어디서나, 누구나 접속하고자 하는 상대편 컴퓨터에 TCP/IP 라는 공통의 프로토콜을 적용하여 자유롭게 연결하여 사용할 수 있도록 구성된 개방형 네트워크로서, 기본적인 문자정보의 전달은 물론 압축기술의 발전과 더불어 멀티미디어 정보의 전달에 이용되는 등 전자우편, 파일전송, WWW(World Wide Web) 등의 다양한 서비스를 이용할 수 있다.
이와 같은 인터넷은 국내를 비롯하여 세계적으로 사용이 급격하게 증가되면서 기존 산업의 전 부분에 걸쳐 효율성과 생산성 제고를 위한 전략적인 도구로서 중요성이 급속히 증대되고 있으며, 인터넷을 통한 새로운 비즈니스 기회가 지속적으로 창출됨은 물론, 그 영역도 확장되고 있는 추세로서 인터넷을 이용한 사업자들도 점점 더 증가되고 있다.
한편, 이러한 인터넷을 통한 통신 환경을 저해하는 요소로서 악성 프로그램을 이용하여 인터넷에 연결된 특정 대상 컴퓨터를 공격함으로써 원하는 정보를 탈취하려는 공격들이 이루어지고 있다.
악성 프로그램(malicious program)은 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 멀웨어(malware, malicious software), 악성코드(malicious code)라고도 하며, 자기 복제 능력과 감염 대상의 유무에 따라, 바이러스(Virus), 웜바이러스(worm virus), 트로이목마(Trojan horse) 등으로 분류될 수 있다.
또한, 악성 프로그램과 유사한 스파이웨어(spyware)는 다른 사람의 컴퓨터에 잠입하여 중요한 개인정보를 추출해가는 소프트웨어로서, 최근에는 사용자 이름은 물론 IP 주소와 즐겨 찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많아 문제가 되고 있다. 이러한 악성 프로그램에 의한 주요 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동 발송, 개인 정보 유출, 원격 제어 등으로 그 피해가 증대되고 있다. 또한, 대부분의 악성 프로그램은 해당 악성 프로그램이 보안 전문가에 의해 분석되더라도 쉽게 해당 악성 프로그램의 의도 및 행위가 알려지지 않도록 하기 위해 다양한 분석 방해 기법이 적용되고 있다.
예컨대, 일반적인 악성 프로그램(즉, 멀웨어) 탐지 절차는 그 일예로서 시그니처(signature) 기반으로 멀웨어를 스캐닝하고, 멀웨어가 탐지되었을 경우 해당 멀웨어 처리 프로세스를 수행한다.
상기 시그니처 기반의 멀웨어 진단 방법은 바이러스의 샘플을 수집하여 진단하는 방법이다. 즉, 컴퓨터 바이러스가 새로 출현하면, 안티 바이러스 제작사들은 이러한 샘플을 수집하여 진단하고 치료하는 방법을 알아내어 이를 안티 바이러스 데이터베이스에 추가하는 방식을 사용한다. 이러한 방식을 리엑티브(reactive) 방식이라고 하며, 상기 바이러스의 흔적을 '시그니처'라고 한다.
이와 같이 종래의 악성 프로그램 탐지 방법은 기 발견된 악성 프로그램에 대한 전문가의 분석을 통해 시그니처를 생성하고 이를 기반으로 동일한 악성 프로그램이 사용되는 경우 이를 탐지하는 것이 대부분으로서, 기 탐지 가능한 악성 프로그램과 매우 유사한 악성 프로그램이라고 할지라도 시그니처와 정확히 일치하는 특징을 가지지 않는 악성 프로그램은 탐지가 불가능하다는 한계가 있으며 알려지지 않은 악성 프로그램에 대해서는 즉각적인 탐지 및 대처가 불가능하다는 문제점이 있다.
한편, 이러한 악성 프로그램 또는 악성 사이트를 검출하기 위한 기술로서 대한민국 특허 등록 공보 제10-1044274호 "악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체(주식회사 안철수연구소)"(문헌 1)에는 특정 사이트에서 다운된 프로그램의 프로세스 실행 시점에 해당 프로세스 내에 인증서가 포함되어 있는지, 스택 구조가 정상적인지 여부를 확인하여 현재 사이트가 위험한 사이트인지 혹은 현재 컴퓨터에서 실행한 프로세스가 비정상적인지를 판단할 수 있는 방법이 개시된다.
그러나, 악성 프로그램으로 인한 증상이나 유포 방법이 점차 복잡해지고 지능화되고 있어, 이와 같은 기존의 안티바이러스 프로그램만으로는 다양한 악성프로그램을 진단 및 치료할 수 없다는 한계가 있다.
한편, 최근 공격 중 가장 많은 비율을 차지하고 있는 공격은 HTTP(HyperText Transfer Protocol; 하이퍼텍스트 전송 프로토콜)를 이용하여 악성 페이지를 요청하거나 악성 파일을 다운받는 것이다. 즉, 각종 소프트웨어, 프로토콜의 취약점을 이용하여 악성 파일을 다운로드 받아 실행시키는 행위가 공격의 주를 이루고 있다.
따라서, 최근의 사이버 공격 경향에 따라 악성 도메인의 리스트를 등록 유지하는 한편 네트워크상에 흐르는 패킷을 분석하여 사용자에게 경고할 수 있는 기술이 요구되고 있는 실정이다.
[문헌 1] 대한민국등록특허공보 10-1044274 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체(주식회사 안철수연구소) 2011.06.20
본 발명의 목적은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성하여 적용하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.
또한, 본 발명의 다른 목적은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성하고 이를 위협 관리 시스템에 적용하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특유의 효과를 달성하기 위한, 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 태양에 따르면, 악성 도메인 탐지 시스템은, 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함한다.
바람직하게는, 상기 악성 도메인 탐지룰은 액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현된다.
바람직하게는, 상기 악성 도메인 관리 서버는, 적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부; 사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부; 상기 악성 도메인 수집부 및 악성 도메인 등록부에 의해 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 악성 도메인 분석부; 상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 도메인 리스트 분류부; 상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부; 및 상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 도메인 국가 판별부를 포함한다.
바람직하게는, 상기 위협 관리 시스템 매니저는, 상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 분석 정보 수신부; 사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 정보 요청 수신부; 및 상기 정보 요청 수신부에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 UI 정보 생성부를 포함한다.
바람직하게는, 상기 위협 관리 시스템 센서는, 네트워크상에서 전송되는 패킷 데이터를 수집하는 패킷 수집 드라이버; 상기 패킷 수집 드라이버에서 수집된 패킷을 파싱하는 패킷 파싱부; 상기 패킷 파싱부에서 파싱된 패킷을 분석하는 패킷 분석부; 상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 링크 정보 요청부; 상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 탐지룰 수신부; 및 상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 악성 도메인 검사부를 포함한다.
바람직하게는, 상기 패킷 분석부는, 상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 URL 추출부; HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 링크 정보 추출부; 단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 응답 링크 추출부; 응답코드의 내용에서 링크를 추출하여 검사하는 내용 추출부; 및 요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 XSS 응답 링크 검사부를 포함한다.
본 발명의 다른 태양에 따르면, 악성 도메인 탐지 시스템은, 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 악성 도메인 탐지 시스템 센서; 및 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 악성 도메인 탐지 시스템 매니저를 포함한다.
본 발명의 또 다른 태양에 따르면, 악성 도메인 탐지 방법은, 악성 도메인 관리 서버에서 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하는 단계; 위협 관리 시스템 매니저에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 단계; 및 위협 관리 시스템 센서에서 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계를 포함한다.
본 발명의 또 다른 태양에 따르면, 악성 도메인 탐지 방법은, 악성 도메인 관리 서버에 의해 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 단계; 악성 도메인 탐지 시스템 센서에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계; 및 악성 도메인 탐지 시스템 매니저에서, 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 단계를 포함한다.
한편, 상기 악성 도메인 탐지 방법을 제공받기 위한 정보는 서버 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있다. 이러한 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있도록 프로그램 및 데이터가 저장되는 모든 종류의 기록매체를 포함한다. 그 예로는, 롬(Read Only Memory), 램(Random Access Memory), CD(Compact Disk), DVD(Digital Video Disk)-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 케리어 웨이브(예를 들면, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한, 이러한 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
상술한 바와 같이, 본 발명에 따르면, 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성함으로써 MDDS 센서 또는 TMS 센서에서 악성 도메인을 효과적으로 탐지할 수 있는 장점이 있다.
또한, 본 발명에 따르면, 수집된 악성 도메인에 대해 주기적으로 실체 요청을 보내 응답을 확인하여 해당 도메인의 활성화 상태를 검사함으로써 악성 도메인에 대한 정확한 정보를 유지할 수 있는 장점이 있다.
또한, 본 발명에 따르면, 악성 도메인 관리 서버에서 각 악성 도메인에 대한 탐지룰을 자동 생성하여 MDDS 센서 또는 TMS 센서에 제공함으로써 악성 도메인을 탐지하는 센서에 대한 부하를 줄일 수 있는 장점이 있다.
도 1은 본 발명의 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다.
도 2는 본 발명의 다른 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 악성 도메인 관리 서버의 세부 구성을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 TMS 센서의 세부 구성을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 TMS 매니저의 세부 구성을 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 악성 도메인 탐지 절차를 나타내는 신호 흐름도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는 적절하게 설명된다면 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 발명은 HTTP 프로토콜을 포함한 다양한 전송 프로토콜을 이용하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 악성 도메인의 탐지 장치 및 방법을 제안한다. 즉, 본 발명에서는 네트워크상에 전송되는 패킷을 분석하고, 패킷 내에 포함된 링크 정보를 악성 도메인 리스트와 비교하여 사용자에게 경고함으로써 악성 도메인을 탐지한다. 이때, 본 발명의 실시예에 따라 악성 도메인 정보를 수집 및 유지하는 악성 도메인 관리 서버로부터 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 악성 도메인 탐지룰을 자동으로 생성하여 MDDS(Malicious Domain Detection System; 악성 도메인 탐지 시스템) 센서 또는 TMS(Threat Management System; 위협 관리 시스템) 센서로 제공함으로써 효과적인 악성 도메인 탐지가 가능하게 된다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
먼저, 도 1 및 도 2를 참조하여 본 발명의 실시예에 따른 시스템을 설명하고, 도 3 내지 도 5를 참조하여 시스템을 구성하는 각 장치의 세부 구성을 설명한다.
악성 도메인 탐지 시스템은 다음과 같다.
도 1은 본 발명의 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다. 도 1을 참조하면, 본 발명에 따른 시스템은 악성 도메인 관리 서버(100), 인터넷(110), 라우터(120), 방화벽(130), MDDS 센서(140), MDDS 매니저(150), 내부망 스위치(160), 회사 인트라넷(intranet)(170) 및 사용자 단말(180)등을 포함하여 구성될 수 있다.
먼저, 악성 도메인 관리 서버(100)는 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 역할을 수행한다. 이때, 상기 악성 도메인 관리 서버(100)는 상기 MDDS 센서(140)와 통신하여 악성 도메인에 대한 정보를 분석 및 비교하고 관련 정보를 MDDS 센서(140)로 제공한다. 특히, 본 발명의 실시예에 따라 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 상기 MDDS 센서(140)로 하여금 악성 도메인을 탐지하도록 한다. 상기 악성 도메인 관리 서버(100)의 세부 구성은 도 3의 설명에서 후술하기로 한다
인터넷(110)은 통신 네트워크의 예로서 유선 및 무선 등과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 단거리 통신망(PAN; Personal Area Network), 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 또한, 상기 인터넷(520)은 공지의 월드와이드웹(WWW; World Wide Web)일 수 있으며, 적외선(Infrared Data Association; IrDA) 또는 블루투스(Bluetooth)와 같이 단거리 통신에 이용되는 무선전송기술을 부분적으로 이용할 수도 있다.
한편, 특정 서버에서 전송된 사용자 단말(180)을 목적지로 하는 패킷은 인터넷(110)을 통해 라우터(120), 방화벽(130), 내부망 스위치(160), 회사 인트라넷(170)을 거쳐 회사 내의 각 사용자 단말(180)로 전송될 수 있다. 이때, 본 발명의 실시예에 따라 MDDS 센서(140)에서는 상기 전송되는 패킷을 분석하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 코드가 포함되어 있을 경우, 사용자에게 경고를 하게 된다.
즉, MDDS 센서(140)는 네트워크상에서 전송되는 패킷을 검사하여 링크를 추출하고, 이를 악성 도메인 리스트와 비교함으로써 사용자에게 통보하는 역할을 수행하며, 이와 관련된 IP, MAC, 호스트 정보, 패턴 정보 등을 제공한다. 상기 MDDS 센서(140)에 대한 세부적인 내용은 도 4의 설명에서 후술하기로 한다.
MDDS 매니저(150)는 MDDS 센서(140)를 통해 분석된 패킷에 대해 악성 도메인 관리 서버(100)와 비교된 정보를 사용자에게 UI(User Interface; 사용자 인턴페이스) 등을 통해서 제공한다. 이때, 제공되는 정보로는 IP, MAC, 사용자 인터넷 사용 기록 등이 포함될 수 있다. 상기 MDDS 매니저(150)의 세부 구성은 도 5의 설명에서 후술하기로 한다.
한편, 도 1에 따르면, MDDS 센서(140)에서는 네트워크상에서 전송되는 모든 패킷들을 후술하는 방법에 따라 검사한다. 이때, 상기 MDDS 센서(140)에서는 악성 도메인 관리 서버(100)로 각 악성 도메인에 대한 관련 정보를 요청(①)한다. 이에 따라, 상기 악성 도메인 관리 서버(100)는 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 MDDS 센서(140)로 제공(②)한다. 또한, 다른 방법으로서, 상기 MDDS 센서(140)는 상기 악성 도메인 관리 서버(100)로부터 악성 도메인에 대한 정보를 요청하여 수신하고, 해당 악성 도메인의 탐지룰을 자동으로 생성하여 악성 도메인을 탐지하도록 구현하는 것도 가능하다.
예컨대, 상기 악성 도메인 탐지를 위한 MDDS의 자동 룰 생성 방법은 다음과 같이 생성될 수 있다.
만약, 악성 도메인의 URL이 "http://doublediet.com/w.php?f=16&e=2"라고 가정할 경우, 본 발명의 실시예에 따라 자동으로 생성되는 탐지룰은 다음과 같이 생성될 수 있다.
alert tcp any any -> any 80 (uricontent:”w.php?f=16&e=2”; nocase;
content:”Host|3a20|doublediet.com”; nocase;)
상기 탐지룰은 'snort'의 형태로 구현 가능하며 상기와 같이 액션(action), 프로토콜(protocol), 발신자 IP, 포트(port), 수신자 IP, 포트, 탐지룰 내용 등을 포함하여 구성될 수 있다. 즉, 상기 예를 든 탐지룰은 입력되는 모든 IP의 패킷에 대해 상기 악성 도메인의 URL이 포함되어 있을 경우 알람 신호를 발생시키는 것을 의미한다.
이와 같이, MDDS 센서(140)에서 상기 악성 도메인 탐지룰에 의해 악성 도메인이 탐지되면, 상기 탐지 결과를 MDDS 매니저(150)로 전송(③)한다. 상기 MDDS 매니저(150)는 상기 탐지 결과를 참조하여 보안 정책을 적용(④)한다. 예컨대, 내부망 스위치(160)를 제어하여 특정 패킷이 회사 인트라넷(170) 내부로 유입되는 것을 차단할 수가 있다.
한편, TMS(Threat Management System)는 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 만든 통합보안관리 시스템 중에 하나로서, 공격 트래픽에 대해서 능동적으로 대응하고 방어할 수 있으며, 이상 트래픽 증가 시에 관리자가 원하는 정보(상위 5개 공격 IP, Port, Protocol별 분석, 최근 5분간 공격유형 등)를 비교적 정교하고 다양하게 제공할 수 있는 장치이다.
따라서, 도 2에 도시된 바와 같이 본 발명의 다른 실시예에 따라 상기 MDDS 센서(140) 및 MDDS 매니저(150)에서 수행되는 각 기능들이 기구축된 TMS 센서(210) 및 TMS 매니저(220) 내에 포함되어 수행되도록 구현하는 것도 가능하다.
도 2는 본 발명의 다른 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다. 도 2를 참조하면, 본 발명에 따른 시스템은 악성 도메인 관리 서버(100), 인터넷(110), 라우터(120), 방화벽(130), TMS 센서(210), TMS 매니저(220), 내부망 스위치(160), 회사 인트라넷(intranet)(170) 및 사용자 단말(180)등을 포함하여 구성될 수 있다.
먼저, 악성 도메인 관리 서버(100)는 상기 도 1에서 상술한 바와 같이 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 역할을 수행한다. 이때, 상기 악성 도메인 관리 서버(100)는 상기 TMS 매니저(220)와 통신하여 악성 도메인에 대한 정보를 분석 및 비교하고 관련 정보를 TMS 센서(210)로 제공한다. 특히, 본 발명의 실시예에 따라 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 상기 TMS 센서(210)로 하여금 악성 도메인을 탐지하도록 한다. 상기 악성 도메인 관리 서버(100)의 세부 구성은 도 3의 설명에서 후술하기로 한다
상기 도 1에서도 설명한 바와 같이, 특정 서버에서 전송된 사용자 단말(180)을 목적지로 하는 패킷은 인터넷(110)을 통해 라우터(120), 방화벽(130), 내부망 스위치(160), 회사 인트라넷(170)을 거쳐 회사 내의 각 사용자 단말(180)로 전송될 수 있다. 이때, 본 발명의 실시예에 따라 TMS 센서(210)에서는 상기 전송되는 패킷을 분석하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 코드가 포함되어 있을 경우, 사용자에게 경고를 하게 된다.
즉, TMS 센서(210)는 네트워크상에서 전송되는 패킷을 검사하여 링크를 추출하고, 이를 악성 도메인 리스트와 비교함으로써 사용자에게 통보하는 역할을 수행하며, 이와 관련된 IP, MAC, 호스트 정보, 패턴 정보 등을 제공한다. 상기 TMS 센서(210)에 대한 세부적인 내용은 도 4의 설명에서 후술하기로 한다.
TMS 매니저(220)는 TMS 센서(210)를 통해 분석된 패킷에 대해 악성 도메인 관리 서버(100)와 비교된 정보를 사용자에게 UI(User Interface; 사용자 인턴페이스) 등을 통해서 제공한다. 이때, 제공되는 정보로는 IP, MAC, 사용자 인터넷 사용 기록 등이 포함될 수 있다. 상기 TMS 매니저(220)의 세부 구성은 도 5의 설명에서 후술하기로 한다.
한편, 도 2에 따르면, TMS 센서(210)에서는 네트워크상에서 전송되는 모든 패킷들을 후술하는 방법에 따라 검사한다. 이때, 상기 TMS 매니저(220)에서는 먼저 악성 도메인 관리 서버(100)로 각 악성 도메인에 대한 관련 정보를 요청(①)한다. 이에 따라, 상기 악성 도메인 관리 서버(100)는 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 TMS 매니저(220)로 제공(②)한다. 또한, 다른 방법으로서, 상기 TMS 매니저(220)는 상기 악성 도메인 관리 서버(100)로부터 악성 도메인에 대한 정보를 요청하여 수신하고, 해당 악성 도메인의 탐지룰을 자동으로 생성(③)하도록 구현하는 것도 가능하다. 이와 같이 자동으로 생성된 악성 도메인에 대한 탐지룰은 TMS 센서(210)로 제공(④)되며, TMS 센서(210)에서는 자동 생성된 탐지룰에 의해 전송되는 패킷에 포함된 악성 도메인 정보를 검출하게 된다.
이때, 상기 악성 도메인 탐지를 위한 자동 룰 생성 방법은 상기 도 1의 설명에서 상술한 바와 같다.
이와 같이, TMS 센서(210)에서 상기 악성 도메인 탐지룰에 의해 악성 도메인이 탐지되면, 상기 탐지 결과를 TMS 매니저(220)로 전송한다. 상기 TMS 매니저(220)는 상기 탐지 결과를 참조하여 보안 정책을 적용한다. 예컨대, 내부망 스위치(160)를 제어하여 특정 패킷이 회사 인트라넷(170) 내부로 유입되는 것을 차단할 수가 있다.
이하, 도 3 내지 도 5를 참조하여 도 1 및 도 2를 구성하는 시스템의 각 구성요소들의 세부 구조를 상세히 설명한다. 한편, 후술하는 설명에서는 도 2에 포함된 구성요소들(예컨대, 악성 도메인 관리 서버(100), TMS 센서(210), TMS 매니저(220) 등)에 대해 설명하며, 도 1에 포함된 구성요소들(예컨대, 악성 도메인 관리 서버(100), MDDS 센서(140), MDDS 매니저(150) 등)의 기능들은 상기 도 2의 구성요소들에 부분 또는 전체적으로 포함되어 구성될 수 있다.
악성 도메인 관리 서버는 다음과 같다.
도 3은 본 발명의 실시예에 따른 악성 도메인 관리 서버의 세부 구성을 나타내는 도면이다. 도 3을 참조하면, 본 발명의 실시예에 따른 악성 도메인 관리 서버(100)는 악성 도메인 수집부(310), 악성 도메인 입력부(320), 악성 도메인 분석부(330), 악성 도메인 정보 데이터베이스(340), 도메인 리스트 분류부(350), 도메인 활성화 검사부(360) 및 도메인 국가 판별부(370) 등을 포함하여 구성될 수 있다.
악성 도메인 수집부(310)는 악성 도메인의 목록을 다양한 방법에 의해 수집한다. 예컨대, 악성 도메인 공개 사이트를 통해 등록할 수도 있으며, 각종 악성 도메인 수집 업체를 통해 제공받을 수도 있다. 또한, 예컨대, TMS에서 제공하는 블랙리스트 URL을 등록할 수도 있다
한편, 악성 도메인 등록부(320)는 사용자에 의해 입력된 악성 도메인을 입력받아 등록하며, 이때 상기 사용자가 등록한 악성 도메인은 시스템 내에서의 검증을 거쳐 등록하게 된다.
이와 같이, 상기 악성 도메인 수집부(310) 및 악성 도메인 등록부(320)에 의해 수집 또는 등록된 각 도메인은 악성 도메인 분석부(330)에 의해 상기 도메인이 악성 도메인인지를 판별한다. 이때, 상기 도메인의 악성 도메인 여부를 판별하는 방법은 다양하게 구현할 수 있으며, 예컨대, 외부의 자동 분석 서버(380)를 통해 분석할 수 있다. 또한, 다른 방법으로 악성 도메인 관리 서버(100) 내에서 분석되도록 구현하는 것도 가능하다. 이와 같이, 각 도메인에 대한 분석이 완료되면, 분석된 악성 도메인 정보는 악성 도메인 정보 데이터베이스(340)에 저장된다.
또한, 상기 저장된 악성 도메인은 도메인 리스트 분류부(350)를 통해 복수의 종류로 분류되어 저장될 수 있다. 예컨대, 악성 도메인의 예로서 봇넷, IRC, zeus, 악성코드 다운, C&C 서버, js 등으로 분류될 수 있다.
또한, 상기 저장된 악성 도메인은 실제로 동작하고 있는 도메인들인지를 판별할 수 있다. 즉, 도메인 활성화 검사부(360)에서는 각 해당 도메인에 주기적으로 실체 요청을 하고, 응답되는 정보를 확인함으로써 각 도메인의 활성화 상태를 검사하게 된다. 상기 검사에 따라 비활성화된 도메인은 상기 악성 도메인 정보 데이터베이스(340)에서 삭제할 수도 있다.
한편, 도메인 국가 판별부(370)에서는 상기 악성 도메인 정보 데이터베이스(340)에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단한다. 이때, 상기 도메인 국가 판별부(370)에서는 'whois', 도메인 조회 사이트 등과 같이 국가 정보가 제공되는 국가 판별 서버(390)를 통해 판별할 수가 있다.
TMS 센서는 다음과 같다.
도 4는 본 발명의 실시예에 따른 TMS 센서의 세부 구성을 나타내는 도면이다. 도 4를 참조하면, 본 발명의 실시예에 따른 TMS 센서(210)는 패킷 수집 드라이버(410), 패킷 파싱부(420), 패킷 분석부(430), 링크 정보 요청부(440), 탐지룰 수신부(450), 악성 도메인 검사부(460) 및 결과 처리부(470)를 포함하여 구성될 수 있다.
패킷 수집 드라이버(410)는 네트워크상에서 전송되는 패킷 데이터를 수집하는 기능을 수행한다. 패킷 파싱부(420)는 상기 패킷 수집 드라이버(410)에서 수집된 패킷을 파싱하는 기능을 수행한다. 패킷 분석부(430)는 상기 패킷 파싱부(420)에서 파싱된 패킷을 분석하는 기능을 수행한다.
이때, 상기 패킷 분석부(430)는 다양한 분석 방법에 의해 패킷을 분석할 수 있다. 따라서, 상기 패킷 분석부(430)는 URL 추출부(431), 링크 정보 추출부(432), 응답 링크 추출부(433), 코드 내용 링크 추출부(434), XSS 응답 링크 검사부(435) 등을 포함하여 구성될 수 있다.
상기 URL 추출부(431)는 상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 기능을 수행한다. 링크 정보 추출부(432)는 HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사한다.
또한, 응답 링크 추출부(433)는 단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사한다. 코드 내용 추출부(434)는 응답코드의 내용에서 링크를 추출하여 검사한다. XSS 응답 링크 검사부(435)는 요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사한다.
이와 같이, 상기 패킷 분석부(430)에 의한 패킷 분석이 완료되면, 상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 악성 도메인 관리 서버(100), 또는 TMS 매니저(220)로 요청한다. 상기 요청에 따라 탐지룰 수신부(450)에서는 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신한다. 그런 다음, 악성 도메인 검사부(460)에서는 상기 수신된 탐지룰에 의해 악성 도메인을 검사하고, 결과 처리부(470)를 통해 검사 결과를 처리한다. 예컨대, 상기 악성 도메인 검사 결과 악성 도메인임을 알람으로써 TMS 매니저(220) 등에 통보할 수 있다.
TMS 매니저는 다음과 같다.
도 5는 본 발명의 실시예에 따른 TMS 매니저의 세부 구성을 나타내는 도면이다. 도 5를 참조하면, 본 발명의 실시예에 따른 TMS 매니저(220)는 분석 정보 수신부(510), 패킷 분석 정보 데이터베이스(520), UI 정보 생성부(530), 정보 요청 수신부(540) 등을 포함하여 구성될 수 있다.
분석 정보 수신부(510)는 상기 TMS 센서(210)에 의해 분석된 정보를 패킷 분석 정보 데이터베이스(520)에 저장된다.
이때, 정보 요청 수신부(540)에서는 사용자 단말(180)로부터 입력된 분석 결과에 대한 정보 요청을 수신하고, UI 정보 생성부(530)에서는 상기 정보 요청 수신부(540)에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스(520)에 저장된 패킷 분석 정보를 다양한 형태로 사용자 단말(180)로 제공하게 된다.
이상으로, 도 3 내지 도 5를 참조하여 본 발명의 실시예에 따른 각 장치의 세부 구조를 설명하였다. 한편, 상기에서는 도 2에 도시된 TMS 센서(210) 및 TMS 매니저(220)의 세부 기능들을 설명하였으나, 본 발명의 다른 실시예에 따라 상기 도 1의 MDDS 센서(140) 및 MDDS 매니저(150)의 기능들을 전체 또는 부분적으로 포함할 수 있다.
이하, 도 6을 참조하여, 악성 도메인 탐지 절차를 상세히 설명한다.
악성 도메인 탐지 절차는 다음과 같다.
도 6은 본 발명의 실시예에 따른 악성 도메인 탐지 절차를 나타내는 신호 흐름도이다. 도 6을 참조하면, 먼저 악성 도메인 관리 서버(100)에서는 악성 도메인 정보를 수집하여 데이터베이스에 저장(S601)한다. 이때, 상술한 바와 같이 수집된 악성 도메인에 대한 분류를 더 수행할 수 있으며, 도메인의 활성화 여부를 검사하거나 도메인의 국가를 판별하여 정보를 저장할 수 있다.
다음으로, TMS 매니저(220)에서 상기 악성 도메인 관리 서버(100)로 악성 도메인 정보를 요청(S602)하면, 상기 악성 도메인 관리 서버(100)에서는 상기 요청에 따라 상기 저장된 악성 도메인 정보를 TMS 매니저(220)로 제공(S603)한다. 이때, 상기 악성 도메인 관련 정보의 제공은 상기와 같이 TMS 매니저(220)의 요청에 따라 제공될 수도 있으며, 설정된 다양한 방식에 따라 주기적 또는 비주기적으로 제공될 수도 있다.
한편, TMS 센서(210)에서는 네트워크상에서 전송되는 패킷을 실시간으로 추출하여 분석(S604)을 하게 된다. 이때, 상기 TMS 센서(210)에서는 TMS 매니저(220)로 링크 정보를 요청(S605)하고, 상기 TMS 매니저(220)에서는 상기 요청에 따라 해당 도메인 정보로 탐지룰을 자동으로 생성(S606)한다. 상기 생성된 탐지룰은 TMS 매니저(220)에서 TMS 센서(210)로 전송(S607)되며, 상기 TMS 센서(210)에서는 상기 전송된 탐지룰을 적용하여 악성 도메인을 검사(S608)한다.
이와 같이, TMS 센서(210)에서 탐지룰에 의해 악성 도메인 검사가 완료되면, 탐지 결과가 TMS 매니저(220)로 전송(S609)된다. TMS 매니저(220)에서는 상기 전송된 탐지 결과를 데이터베이스에 저장(S10)한다.
이때, 사용자 단말(180)에서는 상기 TMS 매니저(220)로 도메인 정보를 요청(S611)하면, TMS 매니저(220)에서는 해당 요청된 도메인에 대한 정보를 검색(S612)하여 사용자 단말로 전송(S613)한다. 사용자 단말(180)에서는 요청에 따른 결과로 도메인 관련 정보를 디스플레이(S614)한다.
한편, 본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(megneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동되도록 구성될 수 있으며, 그 역도 마찬가지다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 악성 도메인 관리 서버 110 : 인터넷 네트워크
120 : 라우터 130 : 방화벽
140 : MDDS 센서 150 : MDDS 매니저
160 : 내부망 스위치 170 : 회사 인트라넷
180 : 사용자 단말 210 : TMS 센서
220 : TMS 매니저 310 : 악성 도메인 수집부
320 : 악성 도메인 입력부 330 : 악성 도메인 분석부
340 : 악성 도메인 정보 D/B 350 : 도메인 리스트 분류부
360 : 도메인 활성화 검사부 370 : 도메인 국가 판별부
380 : 자동 분석 서버 390 : 국가 판별 서버
410 : 패킷 수집 드라이버 420 : 패킷 파싱부
430 : 패킷 분석부 431 : URL 추출부
432 : 링크 정보 추출부 433 : 응답 링크 추출부
434 : 코드 내용 링크 추출부 435 : XSS 응답 링크 검사부
440 : 링크 정보 요청부 450 : 탐지룰 수신부
460 : 악성 도메인 검사부 470 : 결과 처리부
510 : 분석 정보 수신부 520 : 패킷 분석 정보 D/B
530 : UI 정보 생성부 540 : 정보 요청 수신부

Claims (15)

  1. 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버;
    상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및
    상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함하며,
    상기 악성 도메인 관리 서버는,
    적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부;
    사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부; 및
    상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부;를 포함하는, 악성 도메인 탐지 시스템.
  2. 청구항 1에 있어서, 상기 악성 도메인 탐지룰은,
    액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현되는, 악성 도메인 탐지 시스템.
  3. 청구항 1에 있어서, 상기 악성 도메인 관리 서버는,
    상기 악성 도메인 수집부 및 악성 도메인 등록부에 의해 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 악성 도메인 분석부;
    상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 도메인 리스트 분류부; 및
    상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 도메인 국가 판별부를 더 포함하는, 악성 도메인 탐지 시스템.
  4. 청구항 1에 있어서, 상기 위협 관리 시스템 매니저는,
    상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 분석 정보 수신부;
    사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 정보 요청 수신부; 및
    상기 정보 요청 수신부에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 UI 정보 생성부를 포함하는, 악성 도메인 탐지 시스템.
  5. 청구항 1에 있어서, 상기 위협 관리 시스템 센서는,
    네트워크상에서 전송되는 패킷 데이터를 수집하는 패킷 수집 드라이버;
    상기 패킷 수집 드라이버에서 수집된 패킷을 파싱하는 패킷 파싱부;
    상기 패킷 파싱부에서 파싱된 패킷을 분석하는 패킷 분석부;
    상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 링크 정보 요청부;
    상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 탐지룰 수신부; 및
    상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 악성 도메인 검사부를 포함하는, 악성 도메인 탐지 시스템.
  6. 청구항 5에 있어서, 상기 패킷 분석부는,
    상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 URL 추출부;
    HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 링크 정보 추출부;
    단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 응답 링크 추출부;
    응답코드의 내용에서 링크를 추출하여 검사하는 내용 추출부; 및
    요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 XSS 응답 링크 검사부를 포함하는, 악성 도메인 탐지 시스템.
  7. 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버;
    상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 악성 도메인 탐지 시스템 센서; 및
    상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 악성 도메인 탐지 시스템 매니저를 포함하며,
    상기 악성 도메인 관리 서버는,
    적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부;
    사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부; 및
    상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부;를 포함하는, 악성 도메인 탐지 시스템.
  8. 악성 도메인 관리 서버에서 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하는 단계;
    위협 관리 시스템 매니저에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 단계; 및
    위협 관리 시스템 센서에서 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계를 포함하며,
    상기 악성 도메인에 대한 정보를 수집하는 단계는,
    적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 단계;
    사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 단계; 및
    상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 단계;를 포함하는, 악성 도메인 탐지 방법.
  9. 청구항 8에 있어서, 상기 악성 도메인 탐지룰은,
    액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현되는, 악성 도메인 탐지 방법.
  10. 청구항 8에 있어서, 상기 악성 도메인 관리 서버의 악성 도메인에 대한 정보를 수집하는 단계는,
    상기 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 단계;
    상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 단계; 및
    상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 단계를 더 포함하는, 악성 도메인 탐지 방법.
  11. 청구항 8에 있어서, 상기 위협 관리 시스템 매니저의 악성 도메인 탐지룰을 자동으로 생성하는 단계는,
    상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 단계;
    사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 단계; 및
    상기 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 단계를 포함하는, 악성 도메인 탐지 방법.
  12. 청구항 8에 있어서, 상기 위협 관리 시스템 센서의 탐지하는 단계는,
    네트워크상에서 전송되는 패킷 데이터를 수집하는 단계;
    상기 수집된 패킷을 파싱하는 단계;
    상기 파싱된 패킷을 분석하는 단계;
    상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 단계;
    상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 단계; 및
    상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 단계를 포함하는, 악성 도메인 탐지 방법.
  13. 청구항 12에 있어서, 상기 패킷을 분석하는 단계는,
    상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 단계;
    HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 단계;
    단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 단계;
    응답코드의 내용에서 링크를 추출하여 검사하는 단계; 및
    요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 단계를 포함하는, 악성 도메인 탐지 방법.
  14. 악성 도메인 관리 서버에 의해 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하는 단계;
    상기 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 단계;
    악성 도메인 탐지 시스템 센서에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계; 및
    악성 도메인 탐지 시스템 매니저에서, 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 단계를 포함하며,
    상기 악성 도메인에 대한 정보를 수집하는 단계는,
    적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 단계;
    사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 단계; 및
    상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 단계;를 포함하는, 악성 도메인 탐지 방법.
  15. 청구항 8 내지 청구항 14 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터 판독 가능한 기록 매체.
KR1020120026387A 2012-03-15 2012-03-15 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 KR101398740B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120026387A KR101398740B1 (ko) 2012-03-15 2012-03-15 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120026387A KR101398740B1 (ko) 2012-03-15 2012-03-15 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체

Publications (2)

Publication Number Publication Date
KR20130105769A KR20130105769A (ko) 2013-09-26
KR101398740B1 true KR101398740B1 (ko) 2014-05-27

Family

ID=49454022

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120026387A KR101398740B1 (ko) 2012-03-15 2012-03-15 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체

Country Status (1)

Country Link
KR (1) KR101398740B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102336384B1 (ko) 2020-11-11 2021-12-07 인천대학교 산학협력단 사물인터넷(IoT)상에서 악성 URL 자동 탐지 방법

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101443071B1 (ko) * 2013-12-10 2014-09-22 주식회사 브이시스템즈 웹페이지의 에러 체크 시스템
CN107786575B (zh) * 2017-11-11 2020-07-10 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN112861132A (zh) * 2021-02-08 2021-05-28 杭州迪普科技股份有限公司 一种协同防护方法和装置
CN117972237B (zh) * 2024-04-01 2024-06-14 北京长亭科技有限公司 一种暗链威胁的页面劫持检测方法、***、设备及介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110129020A (ko) * 2010-05-25 2011-12-01 (주)위너다임 코드 분석기법을 이용한 악성코드 차단 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110129020A (ko) * 2010-05-25 2011-12-01 (주)위너다임 코드 분석기법을 이용한 악성코드 차단 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102336384B1 (ko) 2020-11-11 2021-12-07 인천대학교 산학협력단 사물인터넷(IoT)상에서 악성 URL 자동 탐지 방법

Also Published As

Publication number Publication date
KR20130105769A (ko) 2013-09-26

Similar Documents

Publication Publication Date Title
US10778705B1 (en) Deep-learning-based intrusion detection method, system and computer program for web applications
CN109951500B (zh) 网络攻击检测方法及装置
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US9762543B2 (en) Using DNS communications to filter domain names
US10855700B1 (en) Post-intrusion detection of cyber-attacks during lateral movement within networks
US8375120B2 (en) Domain name system security network
US7302480B2 (en) Monitoring the flow of a data stream
US11245667B2 (en) Network security system with enhanced traffic analysis based on feedback loop and low-risk domain identification
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
EP1730917A1 (en) Method and system for network intrusion detection, related network and computer program product
JP6356749B2 (ja) 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
Xiong et al. User-assisted host-based detection of outbound malware traffic
KR20130116418A (ko) Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
WO2015097889A1 (ja) 情報処理装置及び情報処理方法及びプログラム
JP6007308B1 (ja) 情報処理装置、情報処理方法及びプログラム
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
US20230362176A1 (en) System and method for locating dga compromised ip addresses
JP6105792B1 (ja) 情報処理装置、情報処理方法及びプログラム
Wang et al. Dynamic network forensic based plug-in architecture
Han et al. Threat evaluation method for distributed network environment
JP2017117429A (ja) 情報処理装置、情報処理方法及びプログラム

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170524

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180515

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190429

Year of fee payment: 6