KR20100075016A - 네트워크 기반의 irc와 http 봇넷의 탐지 및 대응 시스템과 그 방법 - Google Patents

네트워크 기반의 irc와 http 봇넷의 탐지 및 대응 시스템과 그 방법 Download PDF

Info

Publication number
KR20100075016A
KR20100075016A KR1020080133610A KR20080133610A KR20100075016A KR 20100075016 A KR20100075016 A KR 20100075016A KR 1020080133610 A KR1020080133610 A KR 1020080133610A KR 20080133610 A KR20080133610 A KR 20080133610A KR 20100075016 A KR20100075016 A KR 20100075016A
Authority
KR
South Korea
Prior art keywords
botnet
information
network
service provider
detection
Prior art date
Application number
KR1020080133610A
Other languages
English (en)
Other versions
KR101025502B1 (ko
Inventor
정현철
임채태
지승구
노상균
오주형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080133610A priority Critical patent/KR101025502B1/ko
Publication of KR20100075016A publication Critical patent/KR20100075016A/ko
Application granted granted Critical
Publication of KR101025502B1 publication Critical patent/KR101025502B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법에 관한 것으로서, 특히 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷의 정보를 공유하여 이에 대한 대응을 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법에 대한 것이다. 본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법을 제공할 수 있다.
IRC, HTTP, 봇넷, 탐지, 대응, 관리, 정보, 공유

Description

네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법{NETWORK BASED IRC AND HTTP BOTNET DETECT AND COUNTERMEASURE SYSTEM AND METHOD THEREOF}
본 발명은 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법에 관한 것으로서, 특히 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷의 정보를 공유하여 이에 대한 대응을 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법에 대한 것이다.
봇은 로봇(Robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 그리고 봇넷이란 이러한 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다. 즉 봇넷을 이루는 봇 클라이언트와 C&C 서버간의 통신 프로토콜이 IRC 프로토콜일 경우에는 IRC 봇넷으로 분류되며, HTTP 프로토콜일 경우에는 HTTP 봇넷으로 분류된다. 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다.
이와 같은 봇넷을 통한 공격은 지속적으로 증가하고 있으며, 그 방법도 점차 다양화되고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/암호(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.
하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어, 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있기 때문에 문제점이 심각하다. 이러한 봇넷을 구성하는 봇 좀비들은 국가의 구분 없이 전 세계의 인터넷 서비스 제공자 망에 분포되며, 봇 좀비를 제어하는 봇 C&C(Command & Control)의 경우도 다른 AS(Autonomous System)들로 이주가 가능하다.
따라서 현재 봇넷의 심각성을 주지하고 많은 연구가 이루어지고 있다. 하지만 특정 인터넷 서비스 제공자 망의 봇넷만을 탐지하여 봇넷의 전체적인 구성 및 분포를 파악하기 어려운 문제점이 있다.
본 발명의 목적은 다양한 인터넷 서비스 제공자 망에 존재하는 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법을 제공하는 것이다.
다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템에 있어서, 상기 다수의 인터넷 서비스 제공자 망에 마련된 봇넷 탐지 시스템과, 상기 봇넷 탐지 시스템을 관제 및 관리하며 상기 다수의 인터넷 서비스 제공자 망간의 봇넷 정보를 공유하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는, 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템을 제공한다.
또 본 발명의 시스템은, 상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와, 상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함한다. 봇넷 관제 및 보안관리 시스템은 상기 다수의 인터넷 서비스 제공자 망에 적어도 하나 이상이 구비될 수 있다.
상기 봇넷 관제 및 보안 관리 시스템은 상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과, 상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과, 상기 보안 이벤트 중 미 분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과, 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과, 상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과, 상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과, 상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹 방화벽을 등록하는 시스템 감독 모듈과, 상기 인터넷 서비스 제공자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망에 공유하는 봇넷 정보 공유 모듈과, 상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과, 상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함할 수 있다.
또한, 본 발명은 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법에 있어서, 상기 봇넷을 탐지하는 단계와, 상기 탐지된 봇넷의 정보를 상기 다수의 인터넷 서비스 제공자 망간에 공유하는 단계와, 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법을 제공한다.
상기 탐지된 봇넷의 정보를 공유하는 단계는 상기 인터넷 서비스 제공자 망의 트래픽을 수집하는 단계와, 상기 수집된 트래픽의 로그를 분류하는 단계와, 상기 로그를 분석하는 단계를 포함한다. 이때, 상기 로그를 분석하는 단계는 상기 수 집된 트래픽 중 비정상적으로 구성된 로그를 분석하는 단계와, 상기 수집된 트래픽 중 미분류된 행위 로그를 분석하는 단계를 포함한다. 또한, 상기 비정상적으로 구성된 로그는 봇넷과의 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하이다.
또 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법은 통계 데이터를 작성하는 단계를 더 포함할 수 있고, 상기 통계 데이터는 봇넷 정보 및 악성행위 정보를 그래프와 테이블로 표현할 수 있다.
본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법을 제공할 수 있다.
본 발명은 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷을 효과적으로 방어할 수 있는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공할 수 있다.
이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
도 1은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 구성도이고, 도 2는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 탐지 시스템의 구성도이다. 또한, 도 3은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택이고, 도 4는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택을 도시한 개념도이다. 또한, 도 5는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템을 도시한 개념도이고, 도 6은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템의 모듈 구성도이다. 또한, 도 7은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 송수신 데이터 흐름도이다.
본 발명에 따른 네트워크 기반 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템은 도 1 및 도 2에 도시된 바와 같이, 인터넷 서비스 제공자 망에 각각 마련된 봇넷 탐지 시스템과, 봇넷 탐지 시스템의 정보를 취합하는 통합관제/보안관리 시스템을 포함한다. 이때, 인터넷 서비스 제공자(Internet Service Provider, ISP) 망은 각 개인이나 단체가 인터넷에 접속할 수 있는 회선 등을 포함하는 서비스 망을 의미하며, 본 실시예는 이러한 인터넷 서비스 제공자 망으로 세 개의 인터넷 서비스 제공자 망을 예시한다. 또한, 이에 따라, 인터넷 서비스 제공자 망은 제 1 내지 제 3 인터넷 서비스 제공자 망을 포함한다. 하지만 본 발명은 이에 한정되는 것은 아니며, 적어도 하나 이상의 인터넷 서비스 제공자 망을 포함하는 네트워크에 적용될 수 있다.
봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 정보 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이때, 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 m개 존재할 수 있다. 또한, 수집된 트래픽 정보를 이용하여 봇넷을 탐지하고 악성행위를 분석한다. 탐지된 봇넷 정보는 봇넷 관제 및 보안 관리시스템으로 전송된다. 한편, 상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 정책은 관리 시스템에서 설정될 수 있다. 이러한 봇넷 탐지 시스템은 도 3에 도시된 바와 같이 트래픽 정보 수집 센서와, 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템과 접속된다.
트래픽 정보 수집 센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래픽을 수집한다. 이때, 트래픽 정보 수집 센서는 해당 인터넷 서비스 제공자 망에 봇넷 탐지 시스템의 개수(m)×해당 봇넷 탐지 시스템에 구비된 트래픽 정보 수집 센서의 개수(n)개 만큼 존재할 수 있다. 또한, 이러한 트래픽 정보 수집 센서는 봇넷 관제 및 보안관리 시스템에서 설정한 수집 정책에 따라 도메인 네임 시스템(Domain Name System, DNS) 트래픽과 트래픽 정보 등을 수집한다. 이때, 수집된 트래픽 정보는 주기적으로 봇넷 탐지 시스템에 전송된다.
호스트레벨 능동형 봇 감염 탐지 시스템은 독립적으로 설치된 시스템으로서, 능동적으로 감염된 악성 봇을 분석하여 봇넷이 사용하는 봇 정보를 제공한다.
봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 해당 인터넷 서비스 제공자 망의 봇넷 정보를 시각화하며 대응 정책을 설정할 수 있는 기능을 제공한다. 또한, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 관제 시스템과 동일하게 인터넷 서비스 제공자 망간 또는 국가간 봇넷 대응을 위해 탐지된 봇넷 정보를 유기적으로 공유하는 기능을 수행한다. 이때, 일반적으로 봇넷 관제 및 보안관리 시스템은 인터넷 서비스 제공자 망에 한 개가 존재한다. 이러한 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 도 4에 도시된 바와 같이, 봇넷 대응, 봇넷 정보 공유 통계 리포팅, 시스템 관리, 봇넷 구조/악성행위 시각화, 정책 관리를 위한 인터페이스는 HTTP를 사용하여 관리자가 웹 브라우저를 통해 운영 할 수 있다.
또한, 봇넷 관제 및 보안관리 시스템은 도 6에 도시된 바와 같이, 보안 이벤트 관리 모듈(Security Event Collector, SEC)과, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)과, 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)과, 봇넷 정보 공유 모듈(Botnet Information Share, BIS)과, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)과, 정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)과, 봇넷 모니터링 모듈(Botnet Monitoring, BM)과, 탐지 로그 감독 모듈(Detection Log Management, DLM)과, 정책 감독 모듈(Policy Management, PM)과, 시스템 감독 모듈(System Management, SM)을 포함한다.
보안 이벤트 관리 모듈(Security Event Collector, SEC)은 도 5 및 도 6에 도시된 바와 같이, 봇넷 탐지 시스템으로부터 탐지로그와, 분류 행위로그 및 비정상 구성로그로 이루어진 보안 이벤트를 수신한다. 이때, 탐지로그는 봇넷 탐지 시스템에서 기존 봇넷과의 유사도 분석 결과 탐지된 봇넷의 정보이다. 또한, 분류 행위로그는 봇넷 탐지 시스템에서 봇넷의 행위와 유사도 분석 결과 탐지된 봇넷의 정보이며, 비정상 구성로그는 봇넷 탐지 시스템에서 기존 봇넷과의 유사도 분석 결과 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하인 봇넷 정보를 의미한다. 이 때, 수신한 탐지로그와 분류 행위로그는 데이터베이스에 저장하고 도메인 네임 시스템 싱크홀 등과 같은 봇넷 대응 정책을 수립한다. 또한, 비정상 구성로그는 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)로 전달하며, 미분류 행위로그는 분류되지 않은 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)로 전달한다.
예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)은 다수의 탐지 시스템으로부터 비정상 로그를 취합하여 분석한다. 이를 위해 탐지시스템은 도메인 유사도와 IP/Port 유사도 및 URL(Uniform Resource Locator) 유사도의 분석 결과 유사도가 최소 임계치 이상이며 신뢰 임계치 미만인 비정상 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다.
미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)은 미분류 행위로그를 전달받아 이를 분류하고 대응 정책을 설정한다. 또한, 이를 위해 탐지시스템은 미분류된 행위 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송하고, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지시스템으로부터 미분류 행위로그를 전달받아 분류를 수행한다.
봇넷 정보 공유 모듈(Botnet Information Share, BIS)은 인터넷 서비스 공급자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 공급자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)과 공유한다. 또한, 타 인터넷 서비스 공급자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에서 탐지된 봇넷 정보를 수신하여 대응 정책 생성한다.
봇넷 대응 기술 모듈(Botnet Against Technology, BAT)은 탐지된 봇넷에 대한 대응 정책을 수립한다. 또한, 탐지된 봇넷을 기초로 작성된 블랙리스트의 공유와, 도메인 네임 시스템 싱크홀의 적용과, BGP 피딩(Border Gateway Protocol feeding), 웹 방화벽을 이용한 HTTP 봇넷 C&C 접근 URL차단 등의 대응정책을 수립한다.
정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)은 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터 생성한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공하며, 이러한 정적인 리포팅 관리부는 웹 기반 사용자 인터페이스를 통해서 사용할 수 있다.
봇넷 모니터링 모듈(Botnet Monitoring, BM)은 봇넷 구조 및 악성행위를 쉽게 확인 할 수 있는 모니터링 기능 제공한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공한다.
탐지 로그 감독 모듈(Detection Log Management, DLM)은 봇넷 정보, 봇넷 악성행위 정보, 시스템 정보, 정책 정보, 봇넷 대응 정책 정보 등을 관리하기 위한 프로세서이다.
정책 감독 모듈(Policy Management, PM)은 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM) 내부에서 실행되고 있는 모듈에 대한 정책을 설정한다. 또한, 정책 감독부는 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록된 탐지시스템의 탐지 정책을 설정한다. 또한, 등록된 탐지 시스템을 통한 트래픽 정보 수집 센서 정책을 설정한다.
시스템 감독 모듈(System Management, SM)은 탐지시스템, 트래픽 수집센서, 도메인 네임 시스템 싱크홀 서버, BGP 라우터, 도메인 네임 시스템 서버, 웹 방화벽 등을 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록하는 기능을 제공한다. 또한, 등록된 탐지 시스템, 트래픽 수집센서에 대한 모니터링 및 온/오프 기능을 제공한다.
상술한 구조를 갖는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 데이터 흐름은 도 7에 도시된 바와 같이, 트래픽 정보 수집 센서로부터 전달되는 수집 트래픽 데이터는 중앙집중형 트래픽 데이터로 Class O-1(도메인 기반 트래픽)과 Class 0-2(IP/Port 기반 트래픽)를 포함하고, 행위트래픽 데이터로 Class B-1 내지 6을 포함한다. 또한, 봇넷 탐지 시스템으로부터 전달되는 행위트래픽 수집 요청 데이터는 수집 대상 좀비리스트를 전달하는 Class R로 표현된다. 또한, 봇넷 탐지 시스템으로부터 관제 시스템으로 전달되는 탐지 결과 데이터는, 봇넷의 초기 구성단계 탐지 결과인 Class O-1, 봇넷의 초기 구성단계로 의심될만한 비정상 트래픽 탐지 결과인 Class O-2, 그리고 봇넷의 행위 분류 결과인 Class B-1 내지 8을 포함한다.
상술한 바와 같이 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 시스템은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템을 제공할 수 있다.
다음은 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 네트워크 기반 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.
도 8은 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법의 순서도이다.
본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법은 도 8에 도시된 바와 같이, 봇넷을 탐지하는 단계(S1)와, 탐지된 봇넷의 정보를 공유하는 단계(S2)와, 대응 정책을 수립하는 단계(S3)와, 통계 데이터를 작성하는 단계(S4)를 포함한다.
봇넷을 탐지하는 단계(S1)는 다수의 인터넷 서비스 제공자 망 각각에서 봇넷을 탐지한다. 이러한 봇넷을 탐지하는 단계는 트래픽을 수집하는 단계(S1-1)와, 로그를 분류하는 단계(S1-2)와, 로그를 분석하는 단계(S1-3)를 포함한다.
트래픽을 수집하는 단계(S1-1)는 다수의 인터넷 서비스 제공자 망 각각에서 트래픽을 수집한다. 이를 위해 다수의 인터넷 서비스 제공자 망에는 트래픽 정보 수집 센서가 구비되며, 봇넷 관제 및 보안관리 시스템에서 설정한 트래픽 수집 정책에 따라 도메인 네임 시스템 트래픽과 트래픽 정보 등을 수집한다. 이때, 상기 트래픽 수집 정책은 예를 들어, 특정 서버에 집중적으로 접속하는 중앙집중형 접속 특성을 갖는 트래픽 등과 같이 특정한 특성을 보이는 트래픽일 수 있다.
로그를 분류하는 단계(S1-2)는 수집된 트래픽의 보안 이벤트를 분류한다. 이때, 분류된 보안 이벤트는 탐지 로그와 분류 행위 로그 및 비정상 구성 로그를 포함한다.
로그를 분석하는 단계(S1-3)는 트래픽을 수집하는 단계에서 수집된 트래픽의 로그를 분석한다. 이러한 로그를 분석하는 단계는 비정상적으로 구성된 로그를 분석하는 단계(S1-3-1)와, 미분류된 행위 로그를 분석하는 단계(S1-3-2)를 포함한다.
비정상적으로 구성된 로그를 분석하는 단계(S1-3-1)는 우선, 탐지 시스템의 유사도 분석 결과 도메인 유사도와 IP/Port 유사도 및 URL 유사도가 최소 임계치 이상이며 신뢰 임계치 미만인 비정상 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다. 또한, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 전송된 비정상 로그를 취합하여 이를 분석한다.
미분류된 행위 로그를 분석하는 단계(S1-3-2)는 탐지 시스템의 유사도 분석 결과 미분류된 행위 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다. 이때, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지 시스템으로부터 미분류 행위로그를 전달받아 이를 분류한다.
탐지된 봇넷의 정보를 공유하는 단계(S2)는 인터넷 서비스 제공자 망 내에 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)과 공유한다. 이러한 탐지된 봇넷의 정보 공유는 봇넷 정보 공유 모듈(Botnet Information Share, BIS)에 의해 이루어질 수 있다.
대응 정책을 수립하는 단계(S3)는 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템에서 탐지된 봇넷 정보를 수신하고 이를 토대로 대응 정책을 수립한다. 상기 대응 정책은 탐지된 봇넷의 정보를 공유하는 봇넷 정보 공유 모듈(Botnet Information Share, BIS)에 의해 이루어질 수 있다. 이때, 상기 대응 정책은 봇넷으로 판명된 블랙리스트의 공유, 도메인 네임 시스템 싱크홀 적용, BGP 피딩, 웹방화벽을 이용한 HTTP 봇넷 C&C 접근 URL 차단 등을 포함할 수 있다.
통계 데이터를 작성하는 단계(S4)는 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터로 작성한다. 이때, 생성된 통계 데이터에 대해서 리포팅할 수 있으며, 이러한 통계 데이터의 작성 및 리포팅은 웹 기반 사용자 인터페이스를 통해 구현될 수 있다.
상술한 바와 같이 본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇 넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있다.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 구성도이다.
도 2는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택이다.
도 3은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 탐지 시스템의 구성도이다.
도 4는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택을 도시한 개념도이다.
도 5는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템을 도시한 개념도이다.
도 6은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템의 모듈 구성도이다.
도 7은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 송수신 데이터 흐름도이다.
도 8은 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법의 순서도이다.

Claims (9)

  1. 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템에 있어서,
    상기 다수의 인터넷 서비스 제공자 망에 마련된 봇넷 탐지 시스템과,
    상기 봇넷 탐지 시스템을 관제 및 관리하며 상기 다수의 인터넷 서비스 제공자 망간의 봇넷 정보를 공유하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.
  2. 제 1 항에 있어서,
    상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와,
    상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.
  3. 제 1 항에 있어서,
    상기 봇넷 관제 및 보안관리 시스템은 상기 다수의 인터넷 서비스 제공자 망에 적어도 하나 이상이 구비된 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.
  4. 제 1 항에 있어서,
    상기 봇넷 관제 및 보안 관리 시스템은,
    상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과,
    상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과,
    상기 보안 이벤트 중 미분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과,
    상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과,
    상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과,
    상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과,
    상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹방화벽을 등록하는 시스템 감독 모듈과,
    상기 인터넷 서비스 제공자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망에 공유하는 봇넷 정보 공유 모듈과,
    상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과,
    상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.
  5. 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법에 있어서,
    상기 봇넷을 탐지하는 단계와,
    상기 탐지된 봇넷의 정보를 상기 다수의 인터넷 서비스 제공자 망간에 공유하는 단계와,
    상기 탐지된 봇넷에 대한 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.
  6. 제 5 항에 있어서,
    상기 탐지된 봇넷의 정보를 공유하는 단계는,
    상기 인터넷 서비스 제공자 망의 트래픽을 수집하는 단계와,
    상기 수집된 트래픽의 로그를 분류하는 단계와,
    상기 로그를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.
  7. 제 6 항에 있어서,
    상기 로그를 분석하는 단계는,
    상기 수집된 트래픽 중 비정상적으로 구성된 로그를 분석하는 단계와,
    상기 수집된 트래픽 중 미분류된 행위 로그를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.
  8. 제 7 항에 있어서,
    상기 비정상적으로 구성된 로그는 봇넷과의 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하인 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.
  9. 제 5 항에 있어서,
    통계 데이터를 작성하는 단계를 더 포함하고,
    상기 통계 데이터는 봇넷 정보 및 악성행위 정보를 그래프와 테이블로 표현한 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.
KR1020080133610A 2008-12-24 2008-12-24 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법 KR101025502B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080133610A KR101025502B1 (ko) 2008-12-24 2008-12-24 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080133610A KR101025502B1 (ko) 2008-12-24 2008-12-24 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법

Publications (2)

Publication Number Publication Date
KR20100075016A true KR20100075016A (ko) 2010-07-02
KR101025502B1 KR101025502B1 (ko) 2011-04-06

Family

ID=42637478

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080133610A KR101025502B1 (ko) 2008-12-24 2008-12-24 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법

Country Status (1)

Country Link
KR (1) KR101025502B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101692982B1 (ko) * 2015-10-06 2017-01-04 (주)아이와즈 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10673719B2 (en) * 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004038594A1 (en) * 2002-10-22 2004-05-06 Unho Choi Integrated emergency response system in information infrastructure and operating method therefor
KR20070077517A (ko) * 2006-01-24 2007-07-27 박재철 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
US20080307526A1 (en) 2007-06-07 2008-12-11 Mi5 Networks Method to perform botnet detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101692982B1 (ko) * 2015-10-06 2017-01-04 (주)아이와즈 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템

Also Published As

Publication number Publication date
KR101025502B1 (ko) 2011-04-06

Similar Documents

Publication Publication Date Title
Mahjabin et al. A survey of distributed denial-of-service attack, prevention, and mitigation techniques
Masdari et al. A survey and taxonomy of DoS attacks in cloud computing
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
US9942270B2 (en) Database deception in directory services
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
Bhatia et al. Distributed denial of service attacks and defense mechanisms: current landscape and future directions
Manavi Defense mechanisms against distributed denial of service attacks: A survey
US20060026669A1 (en) System and method of characterizing and managing electronic traffic
US20060117386A1 (en) Method and apparatus for detecting intrusions on a computer system
Fung Collaborative Intrusion Detection Networks and Insider Attacks.
Haddadi et al. DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment
KR101188305B1 (ko) 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법
Alparslan et al. BotNet detection: Enhancing analysis by using data mining techniques
Chauhan et al. A literature review: Intrusion detection systems in internet of things
Prasad et al. Flooding attacks to internet threat monitors (ITM): modeling and counter measures using botnet and honeypots
KR101025502B1 (ko) 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
Gaylah et al. Mitigation and prevention methods for distributed denial-of-service attacks on network servers
KR101045332B1 (ko) Irc 및 http 봇넷 정보 공유 시스템 및 그 방법
KR101156008B1 (ko) 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법
KR101224994B1 (ko) 봇넷 탐지 정보의 분석 시스템 및 방법
Ji et al. Botnet detection and response architecture for offering secure internet services
Prasad et al. An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots
Yuvaraju et al. To Defeat DDoS Attacks in Cloud Computing Environment Using Software Defined Networking (SDN)
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Fung et al. Cooperation in Intrusion Detection Networks

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140415

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150416

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee