KR101045332B1 - System for sharing information and method of irc and http botnet - Google Patents

System for sharing information and method of irc and http botnet Download PDF

Info

Publication number
KR101045332B1
KR101045332B1 KR1020080133656A KR20080133656A KR101045332B1 KR 101045332 B1 KR101045332 B1 KR 101045332B1 KR 1020080133656 A KR1020080133656 A KR 1020080133656A KR 20080133656 A KR20080133656 A KR 20080133656A KR 101045332 B1 KR101045332 B1 KR 101045332B1
Authority
KR
South Korea
Prior art keywords
botnet
information
sharing
botnet information
shared
Prior art date
Application number
KR1020080133656A
Other languages
Korean (ko)
Other versions
KR20100075055A (en
Inventor
정현철
임채태
지승구
노상균
오주형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080133656A priority Critical patent/KR101045332B1/en
Publication of KR20100075055A publication Critical patent/KR20100075055A/en
Application granted granted Critical
Publication of KR101045332B1 publication Critical patent/KR101045332B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

본 발명은 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법에 관한 것으로서, 특히 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷의 정보를 공유하여 이에 대한 대응을 쉽게 할 수 있는 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법에 대한 것이다. 본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법을 제공할 수 있다.The present invention relates to an IRC and HTTP botnet information sharing system and a method thereof, and more particularly to an IRC and HTTP botnet information sharing system that can easily cope with by sharing information of botnets existing in a plurality of Internet service provider networks. It's about how. The present invention can provide an IRC and HTTP botnet information sharing system and a method for detecting and managing botnets by detecting botnets existing in a plurality of Internet service provider networks and sharing the information thereof.

IRC, HTTP, 봇넷, 탐지, 대응, 관리, 정보, 공유 IRC, HTTP, Botnets, Detection, Response, Management, Information, Sharing

Description

IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법{SYSTEM FOR SHARING INFORMATION AND METHOD OF IRC AND HTTP BOTNET}IRC and HPTT botnet information sharing system and method thereof {SYSTEM FOR SHARING INFORMATION AND METHOD OF IRC AND HTTP BOTNET}

본 발명은 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법에 관한 것으로서, 특히 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷의 정보를 공유하여 이에 대한 대응을 쉽게 할 수 있는 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법에 대한 것이다.The present invention relates to an IRC and HTTP botnet information sharing system and a method thereof, and more particularly to an IRC and HTTP botnet information sharing system that can easily cope with by sharing information of botnets existing in a plurality of Internet service provider networks. It's about how.

봇은 로봇(Robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 이러한 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다. 즉, 봇넷을 이루는 봇 클라이언트와 C&C 서버간의 통신 프로토콜로 IRC 프로토콜일 경우에 IRC 봇넷으로 분류되며, HTTP 프로토콜일 경우에는 HTTP 봇넷으로 분류될 수 있다. 이때, 개인용 컴퓨터에 감염되어 수많은 봇이 네트워크로 연결되어 봇넷(Botnet)을 형성하게 된다. 이렇게 형성된 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다.Bot stands for Robot, which means a personal computer (PC) infected with malicious intentional software. These botnets can be classified according to the protocol used by the botnet. That is, a communication protocol between a bot client and a C & C server forming a botnet may be classified as an IRC botnet in the case of the IRC protocol, and an HTTP botnet in the case of the HTTP protocol. At this time, a number of bots are infected by a personal computer and are connected to a network to form a botnet. The botnet thus formed is remotely controlled by a bot master and is used for various malicious activities such as DDoS attacks, personal information collection, phishing, malware distribution, and spam mailing.

이와 같이, 봇넷을 통한 공격이 지속적으로 증가하고, 점차 방법이 다양화되 고 있으며, 또한 금전적 이득을 목표로 하는 범죄화 양상을 보이고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/암호(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.As such, attacks through botnets continue to increase, methods are increasingly diversified, and criminalization aims at monetary gains. Unlike the case of causing Internet service failure through DDoS, there are bots that cause personal system failure or illegally acquire personal information, and illegal user information such as ID / password and financial information. Increasingly, cybercrime abuse is becoming more common. In addition, while the existing hacking attacks show the hacker's own ability or compete with the community, the botnet shows the hacker group intensively exploiting and cooperating for the purpose of financial gain.

하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있어 그 문제점이 심각하다. 이러한 봇넷을 구성하는 봇 좀비들은 국가의 구분 없이 전세계의 인터넷 서비스 제공자 망에 분포되며, 봇 좀비를 제어하는 봇 C&C(Command & Control)의 경우도 다른 AS(Autonomous System)들로 이주가 가능하다. 따라서, 현재 봇넷의 심각성을 주지하고 많은 연구가 이루어지고 있지만, 특정 인터넷 서비스 제공자 망의 봇넷만을 탐지하여 봇넷의 전체적인 구성 및 분포를 파악하기 어려운 문제점이 있다.However, botnets are becoming more sophisticated to detect and circumvent using advanced technologies such as periodic updates, execution compression techniques, coder changes, and command channel encryption. In addition, the source of the botnet is open source, and thousands of variants occur, and the bot code can be easily generated or controlled through the user interface, so people without specialized knowledge or skills can make and use the botnet. This is serious. Bot zombies that make up these botnets are distributed in Internet service provider networks around the world regardless of country, and bots Command & Control (C & C) that controls bot zombies can be migrated to other AS (Autonomous Systems). Therefore, although many studies have been made while cognizing the seriousness of the botnet, there is a problem that it is difficult to detect the overall configuration and distribution of the botnet by detecting only the botnet of a specific Internet service provider network.

본 발명의 목적은 다양한 인터넷 서비스 제공자 망에 존재하는 봇넷의 탐지 및 관리를 쉽게 할 수 있는 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법을 제공하는 것이다.An object of the present invention is to provide an IRC and HTTP botnet information sharing system and a method for easily detecting and managing botnets existing in various Internet service provider networks.

상술한 목적을 달성하기 위해 본 발명은 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 IRC와 HTTP 봇넷 정보 공유 시스템에 있어서, 상기 봇넷 정보의 공유를 요청하는 봇넷 정보 공유 요청 모듈과, 상기 공유된 봇넷 정보를 처리하는 공유된 봇넷 정보 처리 모듈을 가지는 봇넷 정보 공유 모듈을 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 시스템을 제공한다.In order to achieve the above object, the present invention provides an IRC and HTTP botnet information sharing system that detects and shares botnet information of a plurality of Internet service provider networks, the botnet information sharing request module for requesting sharing of the botnet information; It provides an IRC and HTTP botnet information sharing system comprising a botnet information sharing module having a shared botnet information processing module for processing the shared botnet information.

상기 봇넷 정보 공유 요청 모듈은 상기 봇넷 정보에 대한 공유 요청 대상을 분류하는 공유 요청 분류 모듈과, 상기 봇넷 정보에 대한 공유 요청 대상에 따라 공유 정보를 생성하는 공유 정보 생성 모듈과, 상기 다수의 인터넷 서비스 제공자 망 중 봇넷 정보를 요청한 인터넷 서비스 제공자 망에 봇넷 정보를 전송하는 봇넷 정보 공유 메시지 전송 모듈을 포함한다.The botnet information sharing request module includes: a sharing request classification module for classifying a sharing request object for the botnet information, a sharing information generating module for generating sharing information according to the sharing request object for the botnet information, and the plurality of Internet services. It includes a botnet information sharing message transmission module for transmitting the botnet information to the Internet service provider network requesting the botnet information of the provider network.

상기 공유된 봇넷 정보 처리 모듈은 상기 인터넷 서비스 제공자 망으로부터 공유된 봇넷 정보를 수집하여 파싱한 후 분류하는 공유 봇넷 정보 수집 및 파서 모듈과, 상기 공유된 봇넷 정보에 해당하는 대응 정책의 설정 여부를 검사하는 대응 정책 체크 모듈과, 상기 대응 정책이 설정되어 있지 않을 경우 봇넷 C&C 접근 차단 대응 설정 요청을 생성하는 대응 정책 생성 요청 메시지 생성 모듈을 포함한다. 상기 봇넷 정보 공유 모듈의 인터페이스는 HTTP를 사용하여 관리자가 웹 브라우저를 통해 운영될 수 있다.The shared botnet information processing module checks whether a shared botnet information collection and parser module collects and parses shared botnet information from the Internet service provider network and sets a corresponding policy corresponding to the shared botnet information. And a response policy check module for generating a botnet C & C access blocking response setting request if the response policy is not set. The interface of the botnet information sharing module may be operated by an administrator through a web browser using HTTP.

또한, 본 발명은 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 이를 봇넷 정보 데이터베이스에 저장하고 서로 공유하는 IRC와 HTTP 봇넷 정보 공유 방법에 있어서, 상기 봇넷 정보에 대한 공유 요청을 처리하는 단계와, 상기 공유된 봇넷 정보를 처리하는 단계를 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법을 제공한다.The present invention also provides an IRC and HTTP botnet information sharing method of detecting botnet information of a plurality of Internet service provider networks, storing them in a botnet information database, and sharing each other, the method comprising: processing a sharing request for the botnet information; It provides an IRC and HTTP botnet information sharing method comprising the step of processing the shared botnet information.

상기 봇넷 정보에 대한 공유 요청을 처리하는 단계는 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청을 처리하는 단계, 또는 SEC, MMBOA, MMBBA, 관리자 콘솔 그래픽 사용자 인터페이스로부터 공유 요청을 처리하는 단계를 포함한다.Processing the share request for botnet information includes processing a share request from a management console graphical user interface setup timer, or processing a share request from a SEC, MMBOA, MMBBA, or administrator console graphical user interface. .

상기 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청을 처리하는 단계는 봇넷 탐지가 이전 만료된 시점에서 최근 만료 시점까지 신규로 탐지된 봇넷 정보를 검색하여 공유 봇넷 정보를 생성하는 단계를 포함한다. 또한, 상기 SEC, MMBOA, MMBBA, 관리자 콘솔 그래픽 사용자 인터페이스로부터 공유 요청을 처리하는 단계는 상기 봇넷 정보 데이터베이스를 검색하여 봇넷 정보를 얻는 단계를 포함한다. 상기 봇넷 정보는 봇넷 C&C IP 주소와 사용 포트 번호 및 악성 행위를 포함할 수 있다.Processing the sharing request from the management console graphical user interface configuration timer includes retrieving newly detected botnet information from when the botnet detection expired previously to the latest expiration time to generate shared botnet information. In addition, processing the sharing request from the SEC, MMBOA, MMBBA, Administrator Console graphical user interface includes searching the botnet information database to obtain botnet information. The botnet information may include a botnet C & C IP address, a port number used, and malicious behavior.

상기 공유된 봇넷 정보를 처리하는 단계는 상기 공유된 봇넷 정보에 대한 자 동 대응 정책을 설정하는 단계와, 상기 공유된 봇넷 정보를 기초로 봇넷 C&C 접근 차단 대응정책을 설정하는 단계와, 상기 공유된 봇넷 정보를 기초로 봇넷 악성행위 대응 정책을 수립하는 단계를 포함한다. 상기 공유된 봇넷 정보에 대한 자동 대응 정책을 설정하는 단계는 상기 공유된 봇넷 정보에 대한 자동 대응 정책 수립이 설정되어 있지 않을 경우 탐지된 봇넷 C&C 리스트를 포함하는 블랙 리스트 공유 대응 정책 생성을 요청한다. 상기 공유된 봇넷 정보를 기초로 봇넷 C&C 접근 차단 대응정책을 설정하는 단계는 상기 공유된 봇넷 C&C로의 접근 차단을 위한 대응 정책이 수립되어 있지 않을 경우 도메인 네임 시스템 싱크홀, BGP 피딩, HTTP 기반 C&C URL 차단 룰 설정을 요청한다. 상기 공유된 봇넷 정보를 기초로 봇넷 악성행위 대응 정책을 수립하는 단계는 상기 공유된 봇넷 정보를 기초로 BGP 피딩을 요청한다.The processing of the shared botnet information may include: setting an automatic response policy for the shared botnet information; setting a botnet C & C access blocking response policy based on the shared botnet information; And establishing a botnet malicious behavior response policy based on the botnet information. In the setting of the automatic response policy for the shared botnet information, if the automatic response policy establishment for the shared botnet information is not set, the request for generating a black list sharing response policy including the detected botnet C & C list is requested. The step of setting a botnet C & C access blocking response policy based on the shared botnet information may include domain name system sinkholes, BGP feeding, and HTTP-based C & C URLs if a response policy for blocking access to the shared botnet C & C is not established. Request blocking rule setting. The step of establishing a botnet malicious behavior response policy based on the shared botnet information requests BGP feeding based on the shared botnet information.

본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법을 제공할 수 있다.The present invention can provide an IRC and HTTP botnet information sharing system and a method for detecting and managing botnets by detecting botnets existing in a plurality of Internet service provider networks and sharing the information thereof.

이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템이고, 도 2는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 봇넷 탐지 시스템의 접속관계를 나타내는 도면이다. 또한, 도 3은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 스택이고, 도 4는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 봇넷 정보 공유 모듈의 구성도이다.1 is an IRC and HTTP botnet information sharing system according to the present invention, Figure 2 is a view showing a connection relationship between the botnet detection system of the IRC and HTTP botnet information sharing system according to the present invention. 3 is a stack of an IRC and HTTP botnet information sharing system according to the present invention, and FIG. 4 is a block diagram of a botnet information sharing module of the IRC and HTTP botnet information sharing system according to the present invention.

본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템은 도 1에 도시된 바와 같이, 인터넷 서비스 제공자 망에 각각 마련된 봇넷 탐지 시스템과, 봇넷 탐지 시스템의 정보를 취합하는 본넷 관제/보안관리 시스템을 포함한다. 이때, 인터넷 서비스 제공자(Internet Service Provider, ISP) 망은 각 개인이나 단체가 인터넷에 접속할 수 있는 회선 등을 포함하는 서비스 망을 의미하며, 본 실시예는 이러한 인터넷 서비스 제공자 망으로 세 개의 인터넷 서비스 제공자 망을 예시한다. 또한, 이에 따라, 인터넷 서비스 제공자 망은 제 1 내지 제 3 인터넷 서비스 제공자 망을 포함한다. 하지만 본 발명은 이에 한정되는 것은 아니며, 적어도 하나 이상의 인터넷 서비스 제공자 망을 포함하는 네트워크에 적용될 수 있다.As shown in FIG. 1, the IRC and HTTP botnet information sharing system according to the present invention includes a botnet detection system provided in an internet service provider network, and a bonnet control / security management system that collects information of the botnet detection system. In this case, an Internet Service Provider (ISP) network refers to a service network including a line through which an individual or a group can access the Internet, and the present embodiment includes three Internet service providers. Illustrate your network. Also, accordingly, the internet service provider network includes first to third internet service provider networks. However, the present invention is not limited thereto and may be applied to a network including at least one internet service provider network.

봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이러한, 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 m개 존재할 수 있다. 또한, 수집된 트래픽 정보를 이용하여 봇넷을 탐지하고 악성행위를 분석한다. 탐지된 봇넷 정보는 봇넷 관제 및 보안 관리시스템으로 전송된다. 한편, 상기 트래픽 수집 센서와 봇넷 탐지 시스템의 정책은 관리 시스템에서 설정될 수 있다. 이러한 봇넷 탐지 시스템은 도 2에 도시된 바와 같이 트래픽 정보 수집 센서와, 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템과 접속된다.The botnet detection system is installed in an internet service provider network and detects a botnet operating in the corresponding internet service provider network based on the traffic information collected by the traffic collection sensor. There may be m such botnet detection systems in the Internet service provider network. It also detects botnets and analyzes malicious behaviors using collected traffic information. The detected botnet information is sent to the botnet control and security management system. Meanwhile, policies of the traffic collection sensor and the botnet detection system may be set in the management system. The botnet detection system is connected with a traffic information collection sensor, a management system for managing the setting and status information of the traffic information collection sensor and the botnet detection system as shown in FIG.

트래픽 수집 센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래 픽을 수집한다. 이때, 트래픽 수집 센서는 해당 인터넷 서비스 제공자 망에 봇넷 탐지 시스템의 개수(m)×해당 봇넷 탐지 시스템에 구비된 트래픽 수집 센서의 개수(n)개 만큼 존재할 수 있다. 또한, 이러한 트래픽 수집 센서는 봇넷 관제 및 보안관리 시스템에서 설정한 수집 정책에 따라 도메인 네임 시스템(Domain Name System, DNS) 트래픽과 트래픽 정보 등을 수집한다. 이때, 수집된 트래픽 정보는 주기적으로 봇넷 탐지 시스템에 전송된다.The traffic collection sensor collects traffic of the internet service provider network for botnet detection. In this case, the number of traffic collection sensors may exist in the corresponding Internet service provider network (m) x the number (n) of traffic collection sensors provided in the botnet detection system. In addition, the traffic collection sensor collects Domain Name System (DNS) traffic and traffic information according to a collection policy set by the botnet control and security management system. At this time, the collected traffic information is periodically transmitted to the botnet detection system.

호스트레벨 능동형 봇 감염 탐지 시스템은 독립적으로 설치된 시스템으로서, 능동적으로 감염된 악성 봇을 분석하여 봇넷이 사용하는 봇 정보를 제공한다.Host-level active bot infection detection system is a stand-alone system that analyzes actively infected malicious bots and provides bot information used by botnets.

봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 해당 인터넷 서비스 제공자 망의 봇넷 정보를 시각화하며 대응 정책을 설정할 수 있는 기능을 제공한다. 또한, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 관제 시스템과 동일하게 인터넷 서비스 제공자 망간 또는 국가간 봇넷 대응을 위해 탐지된 봇넷 정보를 유기적으로 공유하는 기능을 수행한다. 이때, 일반적으로 봇넷 관제 및 보안관리 시스템은 인터넷 서비스 제공자 망에 한 개가 존재한다. 이러한 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 도 3에 도시된 바와 같이, 봇넷 대응, 봇넷 정보 공유 통계 리포팅, 시스템 관리, 봇넷 구조/악성행위 시각화, 정책 관리를 위한 인터페이스는 HTTP를 사용하여 관리자가 웹 브라우저를 통해 운영 할 수 있다.Botnet Management Security Management System (BMSM) provides the function to visualize the botnet information of the relevant internet service provider network and set the response policy. In addition, the Botnet Management Security Management System (BMSM) performs a function of organically sharing the detected botnet information for botnet response between Internet service provider networks or countries, similarly to the control system. In this case, there is generally one botnet control and security management system in the Internet service provider network. As shown in FIG. 3, the botnet control and security management system (BMSM) is an interface for botnet response, botnet information sharing statistics reporting, system management, botnet structure / malicious behavior visualization, policy management, and HTTP. Using it, the administrator can operate through a web browser.

또한, 봇넷 관제 및 보안관리 시스템은 보안 이벤트 관리 모듈(Security Event Collector, SEC)과, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)과, 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)과, 봇넷 정보 공유 모듈(Botnet Information Share, BIS)과, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)과, 정적인 리포팅 관리 모듈(Static Reporting Management, SRM)과, 봇넷 모니터링 모듈(Botnet Monitoring, BM)과, 탐지 로그 감독 모듈(Detection Log Management, DLM)과, 정책 감독 모듈(Policy Management, PM)과, 시스템 감독 모듈(System Management, SM)을 포함할 수 있다.In addition, the botnet control and security management system includes the Security Event Collector (SEC), the Anomaly Organization Log Analysis (AOA), and the Unclassified Behavior Log Analysis (UBA). ), Botnet Information Share (BIS), Botnet Against Technology (BAT), Static Reporting Management (SRM), Botnet Monitoring (Botnet Monitoring) BM), detection log management module (Detection Log Management (DLM)), policy management module (Policy Management, PM), and system management module (System Management, SM).

보안 이벤트 관리 모듈(Security Event Collector, SEC)은 탐지시스템으로부터 탐지로그와, 분류 행위로그 및 비정상 구성로그로 이루어진 보안 이벤트를 수신한다. 이때, 수신한 탐지로그와 분류 행위로그는 데이터베이스에 저장하고 도메인 네임 시스템 싱크홀 등과 같은 봇넷 대응 정책을 수립한다. 또한, 비정상 구성로그는 예외 구성 로그 분석(Anomaly Organization Log Analysis, AOA)으로 전달하며, 미분류 행위로그는 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)로 전달한다.The Security Event Collector (SEC) receives a security event consisting of a detection log, a classification behavior log, and an abnormal configuration log from a detection system. At this time, the received detection log and classification behavior log are stored in a database and a botnet response policy such as a domain name system sinkhole is established. In addition, the abnormal configuration log is forwarded to Anomaly Organization Log Analysis (AOA), and the unclassified behavior log is forwarded to an unclassified behavior log analysis module (UBA).

예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)은 다수의 탐지 시스템으로부터 비정상 로그를 취합하여 분석한다. 이를 위해 탐지시스템은 도메인 유사도와 IP/Port 유사도 및 URL(Uniform Resource Locator) 유사도의 분석 결과 유사도가 최소 임계치 이상이며 신뢰 임계치 미만인 비정상 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송 한다. 이때, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지 시스템으로부터 비정상 로그를 취합하여 분석한다.Anomaly Organization Log Analysis (AOA) collects and analyzes abnormal logs from multiple detection systems. To this end, the detection system analyzes domain similarity, IP / Port similarity, and Uniform Resource Locator (URL) similarity, and sends abnormal logs whose similarity is above the minimum threshold and below the trust threshold to the Botnet Management Security Management System (BMSM). send. In this case, the botnet management security management system (Botnet Management Security Management, BMSM) collects and analyzes abnormal logs from a plurality of detection systems.

미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)은 미분류 행위로그를 전달받아 이를 분류하고 대응 정책을 설정한다. 또한, 이를 위해 탐지시스템은 미분류된 행위 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송하고, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지시스템으로부터 미분류 행위로그를 전달받아 분류를 수행한다.Unclassified Behavior Log Analysis (UBA) receives unclassified behavior log and classifies it and sets response policy. To this end, the detection system sends unclassified behavior logs to the Botnet Management Security Management System (BMSM), and the Botnet Management Security Management System (BMSM) can Classify by receiving unclassified behavior log.

봇넷 대응 기술 모듈(Botnet Against Technology, BAT)은 탐지된 봇넷에 대한 대응 정책을 수립한다. 또한, 탐지된 봇넷을 기초로 작성된 블랙리스트의 공유와, 도메인 네임 시스템 싱크홀의 적용과, BGP 피딩(Border Gateway Protocol feeding), 웹 방화벽을 이용한 HTTP 봇넷 C&C 접근 URL차단 등의 대응정책을 수립한다.The Botnet Against Technology (BAT) establishes a response policy for detected botnets. In addition, it establishes a policy for sharing blacklists based on detected botnets, applying domain name system sinkholes, BGP feeding (Border Gateway Protocol feeding), and blocking HTTP botnet C & C access URLs using web firewalls.

정적인 리포팅 관리 모듈(Static Reporting Management, SRM)은 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터 생성한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공하며, 이러한 정적인 리포팅 관리부는 웹 기반 사용자 인터페이스(User Interface, UI)를 통해서 사용할 수 있다.Static Reporting Management (SRM) generates botnet information and malicious behavior information such as various graphs and tables. In addition, a reporting function is provided for the generated statistical data, and this static reporting manager can be used through a web-based user interface (UI).

봇넷 모니터링 모듈(Botnet Monitoring, BM)은 봇넷 구조 및 악성행위를 쉽게 확인 할 수 있는 모니터링 기능 제공한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공한다.Botnet Monitoring (BM) provides a monitoring function to easily check the botnet structure and malicious behavior. In addition, reporting function is provided for the generated statistical data.

탐지 로그 감독 모듈(Detection Log Management, DLM)은 봇넷 정보, 봇넷 악성행위 정보, 시스템 정보, 정책 정보, 봇넷 대응 정책 정보 등을 관리하기 위한 프로세서이다.Detection Log Management (DLM) is a processor for managing botnet information, botnet malicious activity information, system information, policy information, and botnet response policy information.

정책 감독 모듈(Policy Management, PM)은 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM) 내부에서 실행되고 있는 모듈에 대한 정책을 설정한다. 또한, 정책 감독 모듈은 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록된 탐지시스템의 탐지 정책을 설정한다. 또한, 등록된 탐지 시스템을 통한 트래픽 수집 센서 정책을 설정한다.The Policy Management Module (PM) sets policies for modules running inside the Botnet Management Security Management System (BMSM). In addition, the policy supervision module sets the detection policy of the detection system registered in the Botnet Management Security Management System (BMSM). In addition, the traffic collection sensor policy through the registered detection system is set.

시스템 감독 모듈(System Management, SM)은 탐지시스템, 트래픽 수집센서, 도메인 네임 시스템 싱크홀 서버, BGP 라우터, 도메인 네임 시스템 서버, 웹 방화벽 등을 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록하는 기능을 제공한다. 또한, 등록된 탐지 시스템, 트래픽 수집센서에 대한 모니터링 및 온/오프 기능을 제공한다.The System Management Module (SM) is a botnet management security management system (BMSM) for detection systems, traffic collection sensors, domain name system sinkhole servers, BGP routers, domain name system servers, and web firewalls. Provides the ability to register with. In addition, it provides monitoring and on / off function of registered detection system, traffic collection sensor.

도 4를 참조하면, 봇넷 정보 공유 모듈(Botnet Information Share, BIS)은 인터넷 서비스 공급자 망내에서 탐지된 봇넷 정보를 타 인터넷 서비스 공급자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)과 공유한다. 또한, 타 인터넷 서비스 공급자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에서 탐지된 봇넷 정보를 수신하 여 대응 정책 생성한다. 이러한 봇넷 정보 공유 모듈(Botnet Information Share, BIS)은 봇넷 정보 공유 요청 모듈과 봇넷 정보 처리 모듈을 포함한다.Referring to FIG. 4, the botnet information sharing module (BIS) shares botnet information detected in an internet service provider network with a botnet control and security management system (BMSM) of another internet service provider network. do. In addition, it generates botnet information by receiving botnet information detected from botnet control and security management system (BMSM) of other Internet service provider networks. The botnet information sharing module (BIS) includes a botnet information sharing request module and a botnet information processing module.

봇넷 정보 공유 요청 모듈은 봇넷 정보에 대한 공유 요청을 처리하기 위한 것으로서, 공유 요청 분류 모듈과, 공유 정보 생성 모듈과, 봇넷 정보 공유 메시지 전송 모듈을 포함한다.The botnet information sharing request module is for processing a sharing request for botnet information, and includes a sharing request classification module, a sharing information generating module, and a botnet information sharing message transmission module.

공유 요청 분류 모듈은 봇넷 정보 공유를 요청한 구성에 따라 이를 분류한다. 이러한 봇넷 정보 공유 요청은 보안 이벤트 관리 모듈(Security Event Collector, SEC), MMBOA, MMBBA, 관리 콘솔 그래픽 사용자 인터페이스(Graphic User Interface, GUI), 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터 생성되어 올 수 있다. 이때, MMBOA는 탐지시스템으로부터 트래픽의 구성상 봇넷으로 의심되지만 확신할 수 없는 트래픽인 비정상적인 봇넷 트래픽으로 의심되는 보안 이벤트를 취합한다. 이때, 이러한 비정상적인 봇넷 트래픽은 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)로 전달되며, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)은 여러 탐지 시스템으로부터 C&C 정보가 동일한 의심 트래픽들만을 다시 취합하여 최종적으로 봇넷 여부를 확인한다. 또한, MMBBA는 탐지시스템으로부터 트래픽의 행위상 봇넷으로 의심되지만 확신할 수 없는 트래픽인 비정상적인 봇넷 트래픽으로 의심되는 보안 이벤트를 취합한다. 이때, 이러한 비정상적인 봇넷 트래픽은 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)로 전달되며, 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)은 여러 탐지 시스템으로부터 해당 MMBBA와 유사한 트래픽을 취합하여 최종적으로 봇넷 여부를 확인한다.The sharing request classification module classifies the sharing request according to the configuration that requested the sharing of botnet information. The botnet information sharing request may be generated from a security event collector (SEC), an MMBOA, an MMBBA, a management console graphical user interface (GUI), and a management console graphical user interface setting timer. At this time, the MMBOA collects a security event suspected of abnormal botnet traffic, which is suspected as a botnet in the configuration of the traffic, but not assured, from the detection system. At this time, the abnormal botnet traffic is passed to the Anomaly Organization Log Analysis module (AOA), and the Anomaly Organization Log Analysis module (AOA) is used only for suspicious traffic having the same C & C information from multiple detection systems. It is reassembled and finally checked for botnets. In addition, the MMBBA collects security events that are suspected of botnet traffic, which is suspected of botnet traffic in the behavior of traffic from the detection system, but of unreliable traffic. At this time, the abnormal botnet traffic is passed to the Unclassified Behavior Log Analysis (UBA), and the Unclassified Behavior Log Analysis (UBA) receives traffic similar to the corresponding MMBBA from various detection systems. Collect and finally check for botnets.

관리 콘솔 그래픽 사용자 인터페이스로부터의 봇넷 정보 공유 요청은 관리자에 의해 수행될 수 있으며, 관리 콘솔 그래픽 사용자 인터페이스를 통해 데이터베이스에 저장되어 있는 봇넷 정보를 선택하여 공유할 수 있다. 또한, 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머를 이용한 봇넷 정보 공유는 타이머가 동작한 시간 동안 신규로 탐지된 봇넷 정보를 공유할 수 있다. 또한, 보안 이벤트 관리 모듈(Security Event Collector, SEC), MMBOA, MMBBA는 관리자가 탐지된 봇넷 정보 자동 공유 기능을 활성화 했을 때만 탐지된 신규 봇넷 정보를 자동 공유할 수 있다. 이때, 보안 이벤트 관리 모듈(Security Event Collector, SEC), MMBOA, MMBBA, 관리 콘솔 그래픽 사용자 인터페이스로부터의 공유 요청은 요청 메시지 공유하고자 하는 봇넷 정보가 포함되어 있으나 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로 부터의 공유 요청 메시지는 필요한 봇넷 정보가 없으므로, 분류하여 따로 공유 봇넷 정보를 생성해야 한다. 또한, 보안 이벤트 관리 모듈(Security Event Collector, SEC), MMBOA, MMBBA, 관리 콘솔 그래픽 사용자 인터페이스, 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청은 봇넷 정보 공유 요청 메시지의 타입 비트를 참고하여 분류될 수 있다.The request for sharing botnet information from the management console graphical user interface may be performed by an administrator, and the botnet information stored in the database may be selected and shared through the management console graphical user interface. In addition, sharing the botnet information using the management console graphical user interface setting timer may share newly detected botnet information during the time that the timer is running. In addition, the Security Event Collector (SEC), MMBOA, and MMBBA can automatically share new botnet information detected only when the administrator has enabled the automatic sharing of detected botnet information. At this time, the sharing request from the Security Event Collector (SEC), MMBOA, MMBBA, Management Console Graphical User Interface includes botnet information to share the request message, but is shared from the Management Console Graphical User Interface Setting Timer. Since the request message does not have the necessary botnet information, it must be classified and generate shared botnet information. In addition, sharing requests from the Security Event Collector (SEC), MMBOA, MMBBA, Management Console Graphical User Interface, and Management Console Graphical User Interface Settings Timer may be classified by reference to the type bits of the Botnet Information Sharing Request message. have.

공유 정보 생성 모듈은 분류된 봇넷 공유 요청에 대응되도록 공유 정보를 생성한다. 이때, 공유 정보는 악성 행위, 봇넷 정보, 봇넷 대응 정보, 시스템 정보를 포함할 수 있다.The sharing information generation module generates sharing information to correspond to the classified botnet sharing request. In this case, the sharing information may include malicious behavior, botnet information, botnet correspondence information, and system information.

봇넷 정보 공유 메시지 전송 모듈은 생성된 공유 정보를 공유 메시지로 생성 하여 타 인터넷 서비스 제공자 망의 관제 시스템 또는 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 전송한다. 또한, 이러한 공유 정보는 시스템 감독 모듈(System Management, SM)이 등록한 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안 관리 시스템으로 전송된다. 이때, 공유 정보의 전송은 소켓 통신을 이용할 수 있다.The botnet information sharing message transmission module generates the shared information as a shared message and transmits the generated shared information to a control system of another internet service provider network or a botnet control and security management system (BMSM) of another internet service provider network. In addition, the shared information is transmitted to the botnet control and security management system of another Internet service provider network registered by the System Management (SM). In this case, the transmission of the shared information may use socket communication.

봇넷 정보 처리 모듈은 공유된 봇넷 정보에 대한 처리를 위한 것으로서, 공유 봇넷 정보 수집 및 파서 모듈과, 대응 정책 체크 모듈과, 대응 정책 생성 요청 메시지 생성 모듈을 포함한다.The botnet information processing module is for processing shared botnet information, and includes a shared botnet information collection and parser module, a response policy check module, and a response policy generation request message generation module.

공유 봇넷 정보 수집 및 파서 모듈은 타 인터넷 서비스 제공자 망의 관제 시스템 또는 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로부터 공유된 봇넷 정보를 수집한다. 또한, 공유 봇넷 정보 수집 및 파서 모듈은 수집된 공유 봇넷 정보를 파싱한 후 분류한다. 공유된 봇넷 정보에 대한 자동 대응 정책 기능이 설정되어 있지 않을 경우, 블랙 리스트 공유 대응 정책을 수행한다. 물론, 공유된 봇넷 정보에 대한 자동 대응 정책 기능이 설정되어 있을 경우, 대응 정책 체크를 수행한다.The shared botnet information collection and parser module collects shared botnet information from a control system of another internet service provider network or a botnet control and security management system (BMSM) of another internet service provider network. In addition, the shared botnet information collection and parser module parses and classifies the collected shared botnet information. If the automatic response policy for the shared botnet information is not set, the blacklist sharing response policy is performed. Of course, when the automatic response policy function for the shared botnet information is set, the response policy check is performed.

대응 정책 체크 모듈은 공유된 봇넷 정보에 해당하는 대응 정책이 설정되어 있는지 검사한다. 이때, 공유된 봇넷 정보에 포함된 봇넷 C&C에 대한 차단 대응 정책이 설정되어 있는지 검사한다.The response policy check module checks whether a response policy corresponding to the shared botnet information is set. At this time, it is checked whether a blocking response policy for botnet C & C included in the shared botnet information is set.

대응 정책 생성 요청 메시지 생성 모듈은 대응 정책이 설정되어 있지 않을 경우, 봇넷 C&C 접근 차단 대응 설정 요청을 생성하여 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)로 전송한다.If the response policy generation request message generation module does not set the response policy, the module generates a botnet C & C access blocking response setup request and transmits the request to the botnet against technology module (BAT).

상술한 바와 같이 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷 정보 공유 시스템은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법을 제공할 수 있다.As described above, the network-based IRC and HTTP botnet information sharing system according to the present invention detects botnets existing in a plurality of Internet service provider networks and shares the information thereof to facilitate network-based detection and management of botnets. Provides detection and response systems and methods of IRC and HTTP botnets.

다음은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.Next, an IRC and HTTP botnet information sharing method according to the present invention will be described with reference to the accompanying drawings. Among the contents to be described later, descriptions overlapping with the description of the IRC and HTTP botnet information sharing system according to the present invention will be omitted or briefly described.

도 5는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법 중 봇넷 정보에 대한 공유 요청을 처리하는 단계의 순서도이고, 도 6은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법 중 공유된 봇넷 정보를 처리하는 단계의 순서도이다. 또한, 도 7은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법의 봇넷 정보 공유 시퀀스 다이어그램이고, 도 8은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법의 공유된 봇넷 정보 처리 시퀀스 다이어그램이다. 또한, 도 9는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법의 순서도이다.5 is a flowchart illustrating a process of processing a sharing request for botnet information in an IRC and HTTP botnet information sharing method according to the present invention, and FIG. 6 illustrates processing of botnet information shared in an IRC and HTTP botnet information sharing method according to the present invention. This is a flow chart of the steps. FIG. 7 is a botnet information sharing sequence diagram of the IRC and HTTP botnet information sharing method according to the present invention, and FIG. 8 is a shared botnet information processing sequence diagram of the IRC and HTTP botnet information sharing method according to the present invention. 9 is a flowchart of a method for sharing IRC and HTTP botnet information according to the present invention.

본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법은 도 5 내지 도 9에 도시된 바와 같이, 봇넷 정보에 대한 공유 요청을 처리하는 단계(S1)와, 공유된 봇넷 정보를 처리하는 단계(S2)를 포함한다.In the method of sharing IRC and HTTP botnet information according to the present invention, as illustrated in FIGS. 5 to 9, a process (S 1 ) of processing a sharing request for botnet information and a process of processing shared botnet information (S 2) ).

도 5와 도 7 및 도 9를 참조하면, 봇넷 정보에 대한 공유 요청을 처리하는 단계(S1)는 봇넷 정보에 대한 공유 요청을 처리한다. 이때, 봇넷 정보 공유 요청 처리는 공유 요청에 봇넷 정보가 포함되어 있는지 여부에 따라 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청을 처리하는 단계(S1-1) 또는 SEC, MMBOA, MMBBA, 관리자 콘솔 그래픽 사용자 인터페이스로부터 공유 요청을 처리하는 단계(S1-2)를 포함한다.5 and 7 and 9, the step S 1 of processing a sharing request for botnet information processes a sharing request for botnet information. At this time, the botnet information sharing request processing is a step of processing a sharing request from the management console graphical user interface setting timer (S 1-1 ) or SEC, MMBOA, MMBBA, administrator console depending on whether the botnet information is included in the sharing request. Processing (S 1-2 ) of the sharing request from the graphical user interface.

관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청을 처리하는 단계(S1-1)에서 관리자는 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머를 통해 일정 기간 동안 신규로 탐지된 봇넷에 대한 정보를 공유 할 수 있다. 이때, 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청은 요청 메시지에 봇넷에 대한 정보가 포함되어 있지 않으므로, 이전 만료된 시점에서 최근 만료 시점까지 신규로 탐지된 봇넷 정보를 검색해서 공유 봇넷 정보를 생성하는 것이 바람직하다. 또한, 봇넷 정보의 공유는 생성된 공유 봇넷 정보를 공유 메시지로 생성하여 등록된 타 인터넷 서비스 제공자 망의 관제 시스템 또는 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다.In step S 1-1 of processing the sharing request from the management console graphical user interface setting timer, the administrator may share information about a newly detected botnet through a management console graphical user interface setting timer. At this time, since the sharing request from the management console graphical user interface setting timer does not include the information on the botnet in the request message, the newly detected botnet information is generated from the previous expiration time to the latest expiration time, thereby creating the shared botnet information. It is desirable to. In addition, the sharing of botnet information generates the generated shared botnet information as a shared message and transmits it to a control system of another registered internet service provider network or a botnet control and security management system (BMSM).

SEC, MMBOA, MMBBA, 관리자 콘솔 그래픽 사용자 인터페이스로부터 공유 요청을 처리하는 단계(S1-2)에서 이러한 구성으로부터의 공유 요청은 요청 메시지에 공유할 봇넷 정보가 포함되어 있으므로, 요청 메시지에 포함된 정보를 이용하여 봇 정보 데이터베이스(Bot Information Database, BIDB)를 검색해서 추가적인 정보(봇넷 C&C IP주소, 사용 포트번호등, 악성행위)를 얻을 수 있다. 또한, 봇넷 정보의 공유는 생성된 공유 봇넷 정보를 공유 메시지로 생성하여 등록된 타 인터넷 서비스 제공자 망의 관제 시스템 또는 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다.In the process of processing a share request from the SEC, MMBOA, MMBBA, Administrator Console graphical user interface (S 1-2 ), the share request from this configuration contains the botnet information to share in the request message, so the information contained in the request message You can search the Bot Information Database (BIDB) to get additional information (botnet C & C IP address, port number used, etc.). In addition, the sharing of botnet information generates the generated shared botnet information as a shared message and transmits it to a control system of another registered internet service provider network or a botnet control and security management system (BMSM).

도 6과 도 8 및 도 9를 참조하면, 공유된 봇넷 정보를 처리하는 단계(S2)는 공유 메시지를 파싱(parsing)한 후 봇넷 별로 분류한 다음 공유된 봇넷 정보에 대한 자동 대응 정책을 설정하는 단계(S2-1)와, 봇넷 C&C 접근 차단 대응 정책을 설정하는 단계(S2-2)와, 봇넷 악성행위 대응 정책을 수립하는 단계(S2-3)로 구분된다.6, 8, and 9, in the processing of shared botnet information (S 2 ), after parsing the shared message, the botnet is classified by botnet and then an automatic response policy for the shared botnet information is set. Step (S 2-1 ), the step of setting the botnet C & C access blocking response policy (S 2-2 ), and the step of establishing a botnet malicious behavior response policy (S 2-3 ).

공유된 봇넷 정보에 대한 자동 대응 정책을 설정하는 단계(S2-1)에서 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에서 탐지된 봇넷에 대한 정보를 수신할 경우, 자동으로 대응 정책을 수립할 것인지 설정한다. 이때, 자동 대응 정책 수립이 설정되어 있지 않을 경우, 탐지된 봇넷 C&C 리스트를 포함한 블랙 리스트를 생성하여 탐지 시스템으로 전송될 수 있도록 봇넷 대응 기술부(Botnet Against Technology, BAT)로 블랙 리스트 공유 대응 정책 생성을 요청한다.In the step of setting an automatic response policy for shared botnet information (S 2-1 ), the botnet management security management system (BMSM) is a botnet control and security management system of another Internet service provider network. When receiving information about botnets detected by Security Management (BMSM), set whether to establish a response policy automatically. In this case, if automatic response policy establishment is not set, a black list sharing response policy generation is generated by a botnet against technology (BAT) to generate a black list including the detected botnet C & C list and transmit it to the detection system. request.

봇넷 C&C 접근 차단 대응 정책을 설정하는 단계(S2-2)에서 공유된 봇넷 C&C로 의 접근 차단을 위한 대응 정책이 수립되어 있지 않을 경우, 도메인 네임 시스템 싱크홀, BGP 피딩, HTTP 기반 C&C URL 차단 룰에 대한 봇넷 대응 정책 생성 설정 요청을 전송한다.If a response policy for blocking access to the shared botnet C & C is not established in the step S2-2 of setting the botnet C & C access blocking response policy, domain name system sinkhole, BGP feeding, HTTP-based C & C URL blocking Sends a request to create a botnet response policy for a rule.

봇넷 악성행위 대응 정책을 수립하는 단계(S2-3)는 공유된 봇넷의 악성행위에 대응하기 위해 BGP 피딩 등과 같은 봇넷 대응 정책 생성 요청을 전송한다.Establishing a botnet malicious behavior response policy (S 2-3 ) transmits a request for creating a botnet response policy such as BGP feeding to cope with malicious behavior of a shared botnet.

상술한 바와 같이 본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있다.As described above, the present invention can easily detect and manage botnets by detecting botnets existing in a plurality of Internet service provider networks and sharing their information.

이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the drawings and embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit of the invention described in the claims below. I can understand.

도 1은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템이다.1 is an IRC and HTTP botnet information sharing system according to the present invention.

도 2는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 봇넷 탐지 시스템의 접속관계를 나타내는 도면이다.2 is a diagram illustrating a connection relationship between an IRC and a botnet detection system of an HTTP botnet information sharing system according to the present invention.

또한, 도 3은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 스택을 나타내는 도면이다.3 is a diagram illustrating a stack of an IRC and HTTP botnet information sharing system according to the present invention.

도 4는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 봇넷 정보 공유 모듈의 구성도이다.4 is a block diagram of a botnet information sharing module of the IRC and HTTP botnet information sharing system according to the present invention.

도 5는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법 중 봇넷 정보에 대한 공유 요청을 처리하는 단계의 순서도이다.5 is a flowchart illustrating a process of processing a sharing request for botnet information in an IRC and HTTP botnet information sharing method according to the present invention.

도 6은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법 중 공유된 봇넷 정보를 처리하는 단계의 순서도이다.6 is a flowchart illustrating a process of processing shared botnet information in an IRC and HTTP botnet information sharing method according to the present invention.

도 7은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법의 봇넷 정보 공유 시퀀스 다이어그램이다.7 is a botnet information sharing sequence diagram of an IRC and HTTP botnet information sharing method according to the present invention.

도 8은 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법의 공유된 봇넷 정보 처리 시퀀스 다이어그램이다.8 is a shared botnet information processing sequence diagram of the IRC and HTTP botnet information sharing method according to the present invention.

도 9는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 방법의 순서도이다.9 is a flowchart illustrating a method of sharing IRC and HTTP botnet information according to the present invention.

Claims (13)

다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 IRC와 HTTP 봇넷 정보 공유 시스템에 있어서,In the IRC and HTTP botnet information sharing system that detects and shares botnet information of multiple internet service provider networks, 상기 봇넷 정보의 공유를 요청하는 봇넷 정보 공유 요청 모듈과,A botnet information sharing request module for requesting sharing of the botnet information; 상기 공유된 봇넷 정보를 처리하는 공유된 봇넷 정보 처리 모듈을 가지는 봇넷 정보 공유 모듈을 포함하며,A botnet information sharing module having a shared botnet information processing module for processing the shared botnet information, 상기 공유된 봇넷 정보 처리 모듈은, 상기 인터넷 서비스 제공자 망으로부터 공유된 봇넷 정보를 수집하여 파싱한 후 분류하는 공유 봇넷 정보 수집 및 파서 모듈과, 상기 공유된 봇넷 정보에 해당하는 대응 정책의 설정 여부를 검사하는 대응 정책 체크 모듈과, 상기 대응 정책이 설정되어 있지 않을 경우 봇넷 C&C 접근 차단 대응 설정 요청을 생성하는 대응 정책 생성 요청 메시지 생성 모듈을 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 시스템.The shared botnet information processing module is configured to collect and parse shared botnet information from the internet service provider network and classify the shared botnet information collection and parser module, and whether to set a corresponding policy corresponding to the shared botnet information. And a response policy check module for checking and a response policy generation request message generation module for generating a botnet C & C access blocking response setting request if the response policy is not set. 제 1 항에 있어서,The method of claim 1, 상기 봇넷 정보 공유 요청 모듈은,The botnet information sharing request module, 상기 봇넷 정보에 대한 공유 요청 대상을 분류하는 공유 요청 분류 모듈과,A sharing request classification module for classifying a sharing request object for the botnet information; 상기 봇넷 정보에 대한 공유 요청 대상에 따라 공유 정보를 생성하는 공유 정보 생성 모듈과,A sharing information generation module configured to generate sharing information according to a sharing request object for the botnet information; 상기 다수의 인터넷 서비스 제공자 망 중 봇넷 정보를 요청한 인터넷 서비스 제공자 망에 봇넷 정보를 전송하는 봇넷 정보 공유 메시지 전송 모듈을 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 시스템.And a botnet information sharing message transmission module for transmitting botnet information to an internet service provider network that has requested botnet information from among the plurality of internet service provider networks. 삭제delete 제 1 항에 있어서,The method of claim 1, 상기 봇넷 정보 공유 모듈의 인터페이스는 HTTP를 사용하여 관리자가 웹 브라우저를 통해 운영하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 시스템.The interface of the botnet information sharing module is an IRC and HTTP botnet information sharing system, characterized in that the administrator operates through a web browser using HTTP. 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 이를 봇넷 정보 데이터베이스에 저장하고 서로 공유하는 IRC와 HTTP 봇넷 정보 공유 방법에 있어서,In the IRC and HTTP botnet information sharing method of detecting botnet information of a plurality of Internet service provider networks, storing them in a botnet information database and sharing them with each other, 상기 봇넷 정보에 대한 공유 요청을 처리하는 단계, 및Processing a sharing request for the botnet information, and 상기 공유된 봇넷 정보를 처리하는 단계를 포함하며,Processing the shared botnet information; 상기 공유된 봇넷 정보를 처리하는 단계는, 상기 공유된 봇넷 정보에 대한 자동 대응 정책을 설정하는 단계와, 상기 공유된 봇넷 정보를 기초로 봇넷 C&C 접근 차단 대응정책을 설정하는 단계와, 상기 공유된 봇넷 정보를 기초로 봇넷 악성행위 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.The processing of the shared botnet information may include: setting an automatic response policy for the shared botnet information; setting a botnet C & C access blocking response policy based on the shared botnet information; IRC and HTTP botnet information sharing method comprising the step of establishing a botnet malicious behavior response policy based on the botnet information. 제 5 항에 있어서,The method of claim 5, 상기 봇넷 정보에 대한 공유 요청을 처리하는 단계는,Processing the sharing request for the botnet information, 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청을 처리하는 단계, 또는Processing a share request from an administrative console graphical user interface setup timer, or SEC, MMBOA, MMBBA, 관리자 콘솔 그래픽 사용자 인터페이스로부터 공유 요청을 처리하는 단계를 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.A method for sharing IRC and HTTP botnet information comprising processing a share request from a SEC, MMBOA, MMBBA, or Admin Console graphical user interface. 제 6 항에 있어서,The method of claim 6, 상기 관리 콘솔 그래픽 사용자 인터페이스 설정 타이머로부터의 공유 요청을 처리하는 단계는,Processing the share request from the management console graphical user interface setup timer may include: 봇넷 탐지가 이전 만료된 시점에서 최근 만료 시점까지 신규로 탐지된 봇넷 정보를 검색하여 공유 봇넷 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.And searching for newly detected botnet information from the time when the botnet detection expired to the latest expiration time to generate shared botnet information. 제 6 항에 있어서,The method of claim 6, 상기 SEC, MMBOA, MMBBA, 관리자 콘솔 그래픽 사용자 인터페이스로부터 공유 요청을 처리하는 단계는,Processing the sharing request from the SEC, MMBOA, MMBBA, administrator console graphical user interface, 상기 봇넷 정보 데이터베이스를 검색하여 봇넷 정보를 얻는 단계를 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.And searching for the botnet information database to obtain botnet information. 제 8 항에 있어서,The method of claim 8, 상기 봇넷 정보는 봇넷 C&C IP 주소와 사용 포트 번호 및 악성 행위를 포함하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.The botnet information sharing method of the IRC and HTTP botnet information, characterized in that it includes a botnet C & C IP address and port number and malicious behavior. 삭제delete 제 5 항에 있어서,The method of claim 5, 상기 공유된 봇넷 정보에 대한 자동 대응 정책을 설정하는 단계는,Setting an automatic response policy for the shared botnet information, 상기 공유된 봇넷 정보에 대한 자동 대응 정책 수립이 설정되어 있지 않을 경우 탐지된 봇넷 C&C 리스트를 포함하는 블랙 리스트 공유 대응 정책 생성을 요청하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.When the automatic response policy establishment for the shared botnet information is not set, requesting generation of a black list sharing response policy including a detected botnet C & C list is requested. 제 5 항에 있어서,The method of claim 5, 상기 공유된 봇넷 정보를 기초로 봇넷 C&C 접근 차단 대응정책을 설정하는 단계는,Setting the botnet C & C access blocking response policy based on the shared botnet information, 상기 공유된 봇넷 C&C로의 접근 차단을 위한 대응 정책이 수립되어 있지 않을 경우 도메인 네임 시스템 싱크홀, BGP 피딩, HTTP 기반 C&C URL 차단 룰 설정을 요청하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.If the corresponding policy for blocking access to the shared botnet C & C is not established, IRC and HTTP botnet information sharing method, characterized in that requesting domain name system sinkhole, BGP feeding, HTTP-based C & C URL blocking rule settings. 제 5 항에 있어서,The method of claim 5, 상기 공유된 봇넷 정보를 기초로 봇넷 악성행위 대응 정책을 수립하는 단계는,The step of establishing a botnet malicious behavior response policy based on the shared botnet information, 상기 공유된 봇넷 정보를 기초로 BGP 피딩을 요청하는 것을 특징으로 하는 IRC와 HTTP 봇넷 정보 공유 방법.Method for sharing IRC and HTTP botnet information, characterized in that for requesting BGP feeding based on the shared botnet information.
KR1020080133656A 2008-12-24 2008-12-24 System for sharing information and method of irc and http botnet KR101045332B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080133656A KR101045332B1 (en) 2008-12-24 2008-12-24 System for sharing information and method of irc and http botnet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080133656A KR101045332B1 (en) 2008-12-24 2008-12-24 System for sharing information and method of irc and http botnet

Publications (2)

Publication Number Publication Date
KR20100075055A KR20100075055A (en) 2010-07-02
KR101045332B1 true KR101045332B1 (en) 2011-06-30

Family

ID=42637504

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080133656A KR101045332B1 (en) 2008-12-24 2008-12-24 System for sharing information and method of irc and http botnet

Country Status (1)

Country Link
KR (1) KR101045332B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005927B1 (en) * 2010-07-05 2011-01-07 펜타시큐리티시스템 주식회사 Method for detecting a web application attack

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
카달로그_001

Also Published As

Publication number Publication date
KR20100075055A (en) 2010-07-02

Similar Documents

Publication Publication Date Title
Mahjabin et al. A survey of distributed denial-of-service attack, prevention, and mitigation techniques
Vishwakarma et al. A survey of DDoS attacking techniques and defence mechanisms in the IoT network
US11888897B2 (en) Implementing decoys in a network environment
KR101010302B1 (en) Security management system and method of irc and http botnet
Yan et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges
Dayal et al. Research trends in security and DDoS in SDN
Hoque et al. Botnet in DDoS attacks: trends and challenges
US9942270B2 (en) Database deception in directory services
Zhou et al. A survey of coordinated attacks and collaborative intrusion detection
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
Bhatia et al. Distributed denial of service attacks and defense mechanisms: current landscape and future directions
KR100947211B1 (en) System for active security surveillance
Haddadi et al. DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment
KR101188305B1 (en) System and method for botnet detection using traffic analysis of non-ideal domain name system
Chauhan et al. A literature review: Intrusion detection systems in internet of things
Haddadi et al. Botnet behaviour analysis: How would a data analytics‐based system with minimum a priori information perform?
Yen Detecting stealthy malware using behavioral features in network traffic
Feitosa et al. An orchestration approach for unwanted Internet traffic identification
KR101025502B1 (en) Network based detection and response system and method of irc and http botnet
KR101045332B1 (en) System for sharing information and method of irc and http botnet
KR101224994B1 (en) System for analyzing of botnet detection information and method thereof
Tesfahun et al. Botnet detection and countermeasures-a survey
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Dodopoulos DNS-based Detection of Malicious Activity
Sadok et al. RIP–A robust IP access architecture

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150617

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee