KR101078851B1 - Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network - Google Patents

Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network Download PDF

Info

Publication number
KR101078851B1
KR101078851B1 KR1020090126905A KR20090126905A KR101078851B1 KR 101078851 B1 KR101078851 B1 KR 101078851B1 KR 1020090126905 A KR1020090126905 A KR 1020090126905A KR 20090126905 A KR20090126905 A KR 20090126905A KR 101078851 B1 KR101078851 B1 KR 101078851B1
Authority
KR
South Korea
Prior art keywords
group
botnet
traffic
information
matrix
Prior art date
Application number
KR1020090126905A
Other languages
Korean (ko)
Other versions
KR20110070182A (en
Inventor
정현철
임채태
지승구
오주형
강동완
이태진
원용근
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090126905A priority Critical patent/KR101078851B1/en
Priority to US12/821,510 priority patent/US20110153811A1/en
Publication of KR20110070182A publication Critical patent/KR20110070182A/en
Application granted granted Critical
Publication of KR101078851B1 publication Critical patent/KR101078851B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법에 대한 것으로서, 목적지의 IP/Port를 기준으로 하여 동일한 목적지를 가진 클라이언트의 집합에 대한 정보를 수집하고, 수집된 트래픽의 그룹간 유사도를 기반으로 한 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법에 관한 것이다. 본 발명은 그룹 데이터를 기반으로 행위 패턴 기반의 그룹 매트릭스를 생성하는 그룹 정보 관리 기능과 그룹 정보 중 봇넷으로 의심되는 그룹에 대하여 상호 유사성 분석을 통해 봇넷 그룹을 탐지할 수 있는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법을 제공할 수 있다.The present invention relates to a botnet group detection system using a network-based group behavior matrix and a botnet group detection method using a network-based group behavior matrix. The present invention relates to a set of clients having the same destination based on a destination IP / Port. The present invention relates to a botnet group detection system using a network-based group behavior matrix based on the similarity between groups of collected traffic, and a botnet group detection method using a network-based group behavior matrix. The present invention provides a group information management function for generating a group matrix based on group data and a network-based group behavior matrix capable of detecting botnet groups through mutual similarity analysis for groups suspected of botnets among group information. It can provide a botnet group detection system using botnet group detection system and a botnet group detection method using a network-based group behavior matrix.

봇넷, 탐지, 네트워크, 트래픽, 행위, 패턴, 그룹, 매트릭스 Botnet, detection, network, traffic, activity, pattern, group, matrix

Description

네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법{BOTNET GROUP DETECTING SYSTEM USING GROUP BEHAVIOR MATRIX BASED ON NETWORK AND BOTNET GROUP DETECTING METHOD USING GROUP BEHAVIOR MATRIX BASED ON NETWORK}BOTNET GROUP DETECTING SYSTEM USING GROUP BEHAVIOR MATRIX BASED ON NETWORK AND BOTNET GROUP DETECTING METHOD USING GROUP BEHAVIOR MATRIX BASED ON NETWORK}

본 발명은 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법에 대한 것으로서, 목적지의 IP/Port를 기준으로 하여 동일한 목적지를 가진 클라이언트의 집합에 대한 정보를 수집하고, 수집된 트래픽의 그룹간 유사도를 기반으로 한 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법에 관한 것이다.The present invention relates to a botnet group detection system using a network-based group behavior matrix and a botnet group detection method using a network-based group behavior matrix. The present invention relates to a set of clients having the same destination based on a destination IP / Port. The present invention relates to a botnet group detection system using a network-based group behavior matrix based on the similarity between groups of collected traffic, and a botnet group detection method using a network-based group behavior matrix.

봇은 로봇(robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 그리고 봇넷이란 이러한 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다. 이러한 봇넷 은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다.Bot is short for robot and means a personal computer (PC) infected with malicious intention software. And a botnet is a type of network in which many computers infected with these bots are connected. The botnet is remotely controlled by the Bot Master, which is used for various malicious activities such as DDoS attacks, personal information collection, phishing, malware distribution, and spam mailing. These botnets can be classified according to the protocol used by the botnet.

이와 같은 봇넷을 통한 공격은 지속적으로 증가하고 있으며, 그 방법도 점차 다양화되고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/패스워드(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.Attacks through these botnets continue to increase, and methods are increasingly diversified. Unlike the case of causing Internet service failure through DDoS, there are bots that cause personal system failure or illegally acquire personal information, and illegal user information such as ID / Password and financial information. Increasingly, cybercrime abuse is becoming more common. In addition, while the existing hacking attacks show the hacker's own ability or compete with the community, the botnet shows the hacker group intensively exploiting and cooperating for the purpose of financial gain.

하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어, 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있기 때문에 문제점이 심각하다. 이러한 봇넷을 구성하는 봇 좀비들은 국가의 구분 없이 전 세계의 인터넷 서비스 제공자 망에 분포되며, 봇 좀비를 제어하는 봇 C&C(Command & Control)의 경우도 다른 네트워크들로 이주가 가능하다.However, botnets are becoming more sophisticated to detect and circumvent using advanced technologies such as periodic updates, execution compression techniques, coder changes, and command channel encryption. In addition, the source of the botnet is open to thousands of variants, and the bot code can be easily generated or controlled through the user interface, making it possible for people without specialized knowledge or skills to create and use the botnet. The problem is serious. The bot zombies that make up these botnets are distributed in Internet service provider networks all over the world, and bots that control bot zombies can be migrated to other networks.

따라서 현재 봇넷의 심각성을 주지하고 많은 연구가 이루어지고 있다. 하지만 특정 인터넷 서비스 제공자 망의 봇넷만을 탐지하여 봇넷의 전체적인 구성 및 분포를 파악하기 어려우며, 많은 변종 등으로 인해 쉽게 봇넷을 탐지할 수 있는 방 법이 절실한 상황이다.Therefore, the seriousness of the botnet is well known and many studies are being made. However, it is difficult to determine the overall configuration and distribution of botnets by detecting only the botnets of a specific internet service provider network, and there is a need for a method for easily detecting botnets due to many variants.

본 발명의 목적은 봇넷을 효과적으로 탐지할 수 있는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법을 제공하는 것이다.An object of the present invention is to provide a botnet group detection system using a network-based group behavior matrix that can effectively detect botnets and a botnet group detection method using a network-based group behavior matrix.

상술한 목적을 달성하기 위해 본 발명은 네트워크 내의 트래픽을 수집하여 목적지별로 분류하는 봇넷 트래픽 수집센서와, 상기 목적지별로 분류된 트래픽을 시간 간격에 따라 그룹화한 후 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 봇넷 그룹을 탐지하는 봇넷 탐지 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템을 제공한다. 상기 봇넷 트래픽 수집센서는, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집하는 트래픽 정보 수집/분류 모듈과, 상기 트래픽 정보 수집/분류 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신, 파싱(parsing)한 후 그룹 데이터를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리하는 트래픽 정보 관리 모듈과, 상기 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 데이터 전송하는 트래픽 정보 전송 모듈, 및 분류 툴, 트래픽 정보관리 툴, 데이터 전송 주기 정보의 설정/상태 정보를 트래픽 정보 수집/분류 모듈과 트래픽 정보 관리 모듈 및 트래픽 정보 전송 모듈에 전송하는 센서 정책 관리 모듈을 포함한다. 상기 트래픽 정보 관리 모듈은 수집된 네트워크 트래픽의 패턴을 전송 제어 프로토콜(Transmission Control Protocol, TCP)과, 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)로 분류한다. 이때, 상기 트래픽 정보 관리 모듈은 상기 전송 제어 프로토콜(Transmission Control Protocol, TCP)을 하이퍼텍스트 통신 프로토콜(HyperText Transport Protocol, HTTP)과, 간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP), 및 상기 하이퍼텍스트 통신 프로토콜과 상기 간이 전자 우편 전송 프로토콜 이외의 하이퍼텍스트 통신 프로토콜로 분류하며, 상기 트래픽 정보 관리 모듈은 상기 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)을 도메인 네임 서버(Domain Name Server, DNS)와, 상기 도메인 네임 서버 이외의 도메인 네임 서버로 분류한다. 상기 봇넷 탐지 시스템은, 상기 봇넷 트래픽 수집센서로부터 전송된 그룹 데이터들에 대해서 봇넷 그룹을 판정하는 봇넷 그룹 분석 모듈(Botnet Group Analyzer, BGA)과, 상기 봇넷 그룹 분석 모듈에 의해 봇넷 그룹으로 판정된 봇넷 그룹군에 대해서 각 봇넷 그룹의 대표적인 접속 패턴을 분석하는 봇넷 구성 분석 모듈(Botnet Organization Analyzer, BOA)과, 상기 봇넷 그룹의 공격행위와 봇넷 그룹이 확산 또는 이주 여부를 분석하는 봇넷 행위 분석 모듈(Botnet Behavior Analyzer, BBA)과, 상기 봇넷 그룹의 구성 정보와 행위 정보에 대한 로그를 관리하는 탐지 로그 관리 모듈(Detection Log Management, DLM)을 포함한다. 상기 봇넷 그룹 분석 모듈은, 상기 봇넷 트래픽 수집센서로부터 수신된 그룹 데이터를 상기 봇넷 탐지 시스템 내부에 저장하고 그에 따른 그룹 매트릭스를 생성하는 그룹 정보 관리 모듈과, 상기 그룹 정보 관리 모듈 에서 관리되는 그룹 정보 중, 봇넷으로 의심되는 그룹을 선정하여 좀비 리스트를 생성하는 의심 그룹 선정 모듈과, 상기 좀비 리스트의 그룹들에 대해서 상호 유사성을 비교 및 분석하여 봇넷 그룹을 판정하는 의심 그룹 비교 분석 모듈, 및 상기 의심 그룹 비교 분석 모듈에서 판정된 봇넷 그룹에 대한 정보를 생성하는 탐지 정보 생성 모듈을 포함한다. 상기 그룹 정보 관리 모듈은, 상기 봇넷 트래픽 수집센서로부터 수신된 그룹 데이터를 상기 봇넷 탐지 시스템의 내부에서 관리하는 그룹 데이터 관리 모듈과, 상기 그룹 데이터에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 매트릭스의 그룹을 관리하는 그룹 매트릭스 관리 모듈을 포함한다. 상기 그룹 데이터는 단일 목적지 기반에 다수의 소스 정보를 갖는 데이터이고, 상기 그룹 매트릭스는 그룹 데이터에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 데이터인 매트릭스의 그룹이며, 상기 그룹 정보는 상기 그룹 데이터와 상기 그룹 매트릭스를 포함한다.In order to achieve the above object, the present invention provides a botnet traffic collection sensor for collecting traffic in a network and classifying the traffic by destination, and grouping the traffic classified by the destination according to a time interval, where a specific connection pattern exceeds a number of times above a threshold. It provides a botnet group detection system using a network-based group behavior matrix characterized in that it comprises a botnet detection system for detecting a botnet group. The botnet traffic collecting sensor may classify the information received from the traffic information collecting / classifying module and the traffic information collecting / classifying module to collect the traffic by capturing packets of the monitoring network according to a collection policy using a packet capture tool. Traffic information management module for receiving and parsing traffic information and processing group data, and storing / managing the traffic information in a database, and transmitting the traffic information parsed by the traffic information management module to a transmission header and transmission data. The traffic information transmission module for dividing the data into packages and transmitting the data through the transmission channel, and the traffic information collection / classification module and the traffic information management module for classifying tool, traffic information management tool, and setting / status information of data transmission cycle information. And a sensor policy management module that sends to the traffic information transmission module. It should. The traffic information management module classifies the collected pattern of network traffic into a transmission control protocol (TCP) and a user datagram protocol (UDP). At this time, the traffic information management module uses the Transmission Control Protocol (TCP) as a HyperText Transport Protocol (HTTP), a Simple Mail Transfer Protocol (SMTP), and the hyper. The traffic information management module classifies the user datagram protocol (UDP) into a domain name server (DNS) and a hypertext communication protocol other than the text communication protocol and the simple e-mail transmission protocol. It is classified into a domain name server other than the domain name server. The botnet detection system includes a botnet group analyzer (BGA) for determining a botnet group for group data transmitted from the botnet traffic collection sensor, and a botnet group determined by the botnet group analysis module. Botnet Organization Analyzer (BOA), which analyzes typical connection patterns of each botnet group with respect to group groups, and Botnet Behavior Analysis Module (Botnet), which analyzes the attack behavior of the botnet group and whether the botnet group spreads or migrates. Behavior Analyzer (BBA), and a detection log management module (Detection Log Management, DLM) for managing the log of the configuration information and behavior information of the botnet group. The botnet group analysis module includes a group information management module for storing group data received from the botnet traffic collection sensor in the botnet detection system and generating a group matrix according to the group information managed by the group information management module. A suspicious group selection module for generating a zombie list by selecting suspicious groups of botnets, a suspicious group comparison analysis module for determining a botnet group by comparing and analyzing mutual similarities with respect to the groups of the zombie list, and the suspicious group And a detection information generation module for generating information on the botnet group determined by the comparison analysis module. The group information management module includes a group data management module for managing group data received from the botnet traffic collection sensor in the botnet detection system and an IP count according to a connection behavior pattern generated from the group data. And a group matrix management module for managing groups of matrices. The group data is data having a plurality of source information based on a single destination, and the group matrix is a group of matrices which are data stored by analyzing a count of IP according to a connection behavior pattern generated from group data. Data and the group matrix.

또한, 본 발명은 트래픽을 수집하는 단계와, 상기 수집된 트래픽에 대한 그룹 정보를 생성하는 단계, 및 상기 그룹 정보를 기초로 봇넷 그룹을 판정하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법을 제공한다. 상기 수집된 트래픽에 대한 그룹 정보를 생성하는 단계는, 상기 수집된 트래픽을 프로토콜별로 분류하는 단계를 포함한다. 상기 수집된 트래픽의 프로토콜별로 분류하는 단계는, 상기 수집된 트래픽을 목적지별 클라이언트 집합으로 구성하는 단계를 포함한다. 상기 그룹 정보를 기초로 봇넷 그룹을 판정하는 단계는, 그룹 매트릭스를 관리하는 단계, 및 상기 각각의 그룹 매트릭스 별로 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 경우, 해당 그룹을 분석 대상 그룹으로 선정하는 단계를 포함한다. 상기 그룹 매트릭스를 관리하는 단계는, 상기 그룹 매트릭스가 존재하지 않을 경우 그룹 매트릭스를 생성하는 단계와, 상기 그룹 매트릭스가 존재할 경우 그룹 매트릭스를 업데이트하는 단계, 및 상기 그룹 매트릭스가 일정 기간 또는 일정 비율 이상 업데이트 되지 않을 경우 그룹 매트릭스를 삭제하는 단계를 포함한다. 상기 분석 대상으로 선정된 그룹 매트릭스들의 특정 접속 패턴에 대한 클라이언트 유사도를 분석하는 단계를 더 포함할 수 있다. 이 경우, 상기 분석 대상으로 선정된 그룹 매트릭스들의 특정 접속 패턴에 대한 클라이언트 유사도를 분석하는 단계는, 상기 분석 대상으로 선정된 그룹 매트릭스 중 유사도가 비교된 그룹 매트릭스들의 특정 접속 패턴에 대한 클라이언트 유사도가 일정값 이상일 경우, 상기 유사도가 비교된 그룹 매트릭스들은 동일한 봇넷 그룹으로 판단한다.In addition, the present invention includes the steps of collecting traffic, generating group information for the collected traffic, and determining a botnet group based on the group information. Provides a method for detecting botnet groups using the matrix. Generating group information on the collected traffic includes classifying the collected traffic by protocol. The classifying the collected traffic for each protocol includes configuring the collected traffic into a client set for each destination. The determining of the botnet group based on the group information may include managing a group matrix and selecting a group as an analysis target group when a specific access pattern exceeds a number of times greater than or equal to a threshold value for each group matrix. It includes. The managing of the group matrix may include generating a group matrix if the group matrix does not exist, updating the group matrix if the group matrix exists, and updating the group matrix for a predetermined period or a predetermined ratio or more. If not, deleting the group matrix. The method may further include analyzing client similarity with respect to a specific access pattern of the group matrices selected as the analysis target. In this case, analyzing the client similarity with respect to a specific access pattern of the group matrices selected as the analysis target, the client similarity with respect to the specific access pattern of the group matrices compared the similarity among the group matrices selected as the analysis target If the value is greater than or equal to the value, the group matrices with which the similarity is compared are determined as the same botnet group.

본 발명은 그룹 데이터를 기반으로 행위 패턴 기반의 그룹 매트릭스를 생성하는 그룹 정보 관리 기능과 그룹 정보 중 봇넷으로 의심되는 그룹에 대하여 상호 유사성 분석을 통해 봇넷 그룹을 탐지할 수 있는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법을 제공할 수 있다.The present invention provides a group information management function for generating a group matrix based on group data and a network-based group behavior matrix capable of detecting botnet groups through mutual similarity analysis for groups suspected of botnets among group information. It can provide a botnet group detection system using botnet group detection system and a botnet group detection method using a network-based group behavior matrix.

이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.It will be apparent to those skilled in the art that the present invention may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, It is provided to let you know. Like reference numerals in the drawings refer to like elements.

도 1은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 개념도이고, 도 2는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 구성도이다. 도 3은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 트래픽 수집센서 개념도이고, 도 4는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 트래픽 정보 수집 모듈 구성도이다. 도 5는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 트래픽 정보 관리 모듈의 구성도이고, 도 6은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 관리 통신 모듈 구성도이다. 도 7은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 정책 관리 모듈 구성도이고, 도 8은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 탐지 시스템 구성도이다. 도 9는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 탐지 시스템 구조도이고, 도 10은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 그룹 분석 모듈 구성도이다. 도 11은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 그룹 분석 모듈 작동 순서도이고, 도 12는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 그룹 정보 관리 모듈 작동 순서도이다. 도 13은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 그룹 데이터 관리 모듈 작동 순서도이고, 도 14는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 그룹 매트릭스 관리 모듈 작동 순서도이다. 도 15는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 의심 그룹 선정 모듈 작동 순서도이고, 도 16은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 의심 그룹 비교 분석 모듈 작동 순서도이다. 도 17은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 구성 분석 모듈의 구성도이고, 도 18은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 구성 분석 모듈 작동 순서도이다.1 is a conceptual diagram of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 2 is a block diagram of a botnet group detection system using a network-based group behavior matrix according to the present invention. 3 is a conceptual diagram of a botnet traffic collection sensor of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 4 is a collection of traffic information of a botnet group detection system using a network-based group behavior matrix according to the present invention. Module configuration diagram. 5 is a block diagram of a traffic information management module of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 6 is a management of a botnet group detection system using a network-based group behavior matrix according to the present invention. Communication module configuration diagram. 7 is a block diagram of a policy management module of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 8 is a botnet detection system of a botnet group detection system using a network-based group behavior matrix according to the present invention. It is a block diagram. 9 is a structural diagram of a botnet detection system of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 10 is a botnet group analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention. It is a block diagram. 11 is a flowchart illustrating an operation of a botnet group analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 12 is a group information of a botnet group detection system using a network-based group behavior matrix according to the present invention. Management module operation flowchart. 13 is a flowchart illustrating a group data management module operation of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 14 is a group matrix of a botnet group detection system using a network-based group behavior matrix according to the present invention. Management module operation flowchart. 15 is a flowchart illustrating a suspicious group selection module operation of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 16 is a suspicious group of a botnet group detection system using a network-based group behavior matrix according to the present invention. Comparative analysis module operation flowchart. 17 is a block diagram of a botnet configuration analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention, and FIG. 18 is a botnet of a botnet group detection system using a network-based group behavior matrix according to the present invention. A flowchart of the configuration analysis module operation.

본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템은 도 1 및 도 2에 도시된 바와 같이, 봇넷 트래픽 수집센서와, 봇넷 트래픽 수집센서에서 수집된 봇넷 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함한다.In the botnet group detection system using the network-based group behavior matrix according to the present invention, as shown in FIGS. 1 and 2, the botnet traffic detection sensor and the botnet traffic detection system are detected based on the botnet traffic collected by the botnet traffic collection sensor. Botnet detection system.

봇넷 트래픽 수집센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래픽을 수집하기 위한 것으로서, 도 3에 도시된 바와 같이, 트래픽 정보 수집 모 듈과, 트래픽 정보 관리 모듈과, 트래픽 정보 전송 모듈 및 센서 정책 관리 모듈을 포함한다.The botnet traffic collection sensor is for collecting traffic of the corresponding internet service provider network for botnet detection. As shown in FIG. 3, the botnet traffic collection sensor, a traffic information management module, a traffic information management module, a traffic information transmission module, and a sensor policy are provided. Contains a management module.

트래픽 정보 수집 모듈은 도 4에 도시된 바와 같이, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집한다. 수집된 트래픽 정보는 트래픽 정보 저장소의 임시 저장소에 저장되며, 임시 저장소에 저장된 수집 정보는 트래픽 정보 관리 모듈에서 다시 처리된다.The traffic information collection module collects traffic by capturing packets of the monitoring network according to a collection policy using a packet capture tool, as shown in FIG. 4. The collected traffic information is stored in the temporary storage of the traffic information storage, and the collected information stored in the temporary storage is processed again by the traffic information management module.

트래픽 정보 관리 모듈은 도 5에 도시된 바와 같이, 트래픽 정보 수집 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신, 파싱(parsing)한 후 그룹화된 행위 정보, 즉, 그룹 데이터 및 피어 봇 정보를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리한다. 이때, 트래픽을 패턴에 따라 분류하고 그룹화하는 것은 아래와 같이 수행할 수 있다.As shown in FIG. 5, the traffic information management module classifies the information received from the traffic information collection module, receives and parses the traffic information, and then processes the grouped behavior information, that is, group data and peer bot information. It stores and manages the traffic information in the database. In this case, classifying and grouping traffic according to a pattern may be performed as follows.

트래픽 정보 전송 모듈은 도 6에 도시된 바와 같이, 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 봇넷 탐지 시스템에 전송한다.As shown in FIG. 6, the traffic information transmission module classifies the traffic information parsed by the traffic information management module into a transmission header and transmission data, and then packages the data and transmits the data to the botnet detection system through a transmission channel.

센서 정책 관리 모듈은 도 7에 도시된 바와 같이, 봇넷 트래픽 수집센서의 전반적인 설정 관리 및 제어기능을 가지며, 모든 모듈과 상호 작용을 한다. 정책 관리 모듈의 설정 관리 모듈에서는 상태 데이터베이스를 관리하며, 관리 명령 채널에서는 룰 데이터베이스와 피어 데이터베이스를 업데이트하고 관리한다. 룰 데이터베이스와 피어 데이터베이스의 정보는 관리 통신 모듈(COMM)에 의해 수신되어 적용되며, 상태 데이터베이스에는 트래픽 수집 모듈(TC)과 트래픽 정보 관리 모듈(TIM) 및 관리 통신 모듈(COMM)이 접근하여 작업에 대한 로그를 기록한다.As shown in FIG. 7, the sensor policy management module has overall configuration management and control functions of the botnet traffic collection sensor and interacts with all modules. The configuration management module of the policy management module manages the state database, and the administrative command channel updates and manages the rule database and the peer database. The information in the rule database and peer database is received and applied by the management communication module (COMM), and the traffic database, the traffic information management module (TIM), and the management communication module (COMM) access the state database to work. Record the log for

봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이러한 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 하나 이상이 존재할 수 있다. 또한, 봇넷 탐지 시스템은 도 8 및 도 9에 도시된 바와 같이, 봇넷 그룹 분석 모듈(Botnet Group Analyzer, BGA)과, 봇넷 구성 분석 모듈(Botnet Organization Analyzer, BOA), 봇넷 행위 분석 모듈(Botnet Behavior Analyzer, BBA), 탐지 로그 관리 모듈(Detection Log Management, DLM), 이벤트 전송 모듈(Event Transfer, ET), 정책 감독 모듈(Policy Management, PM)을 포함한다.The botnet detection system is installed in an internet service provider network and detects a botnet operating in the corresponding internet service provider network based on the traffic information collected by the traffic collection sensor. One or more such botnet detection systems may exist in the Internet service provider network. 8 and 9, the botnet detection system includes a botnet group analyzer (BGA), a botnet organization analyzer (BOA), and a botnet behavior analyzer (Botnet Behavior Analyzer). , BBA), Detection Log Management Module (DLM), Event Transfer Module (ET), and Policy Management Module (Policy Management, PM).

봇넷 그룹 분석 모듈(Botnet Group Analyzer, BGA)은 도 10에 도시된 바와 같이, 봇넷 트래픽 수집센서로부터 전송된 그룹 데이터들에 대해서 봇넷 그룹을 판정한다. 봇넷 트래픽 수집센서로부터 전송된 그룹 데이터들은 그룹에 대한 매트릭스를 생성/갱신하며, 그룹 매트릭스의 갱신 및 삭제는 그룹 관리 알고리듬에 따라 수행된다. 이때, 그룹 전체 중 50% 이상의 클라이언트에 대해 업데이트가 없을 경우 단계별 관리에 따라 삭제된다. 또한, 봇넷 그룹 분석 모듈은 그룹 데이터에 대한 매트릭스를 관리한다. 기존 그룹에 대해서는 매트릭스를 업데이트하며, 신규 그룹에 대해서는 새로 생성한다. 업데이트에 대해서는 그룹 매트릭스 관리 알고리듬에 따라 일정 시간동안 소속 클라이언트의 활동이 없을 경우, 그룹 매트릭스를 삭제한다. 또한, 그룹 매트릭스가 업데이트 된 이후, 각 그룹 매트릭스 별로 특정 접 속 패턴이 임계치 이상의 횟수를 상회하는 경우, 해당 그룹을 분석 대상 그룹으로 판정한다. 이후, 분석 대상 그룹으로 판정된 그룹 군에 대해서 클라이언트 유사도를 분석한다. 유사도가 일정 수치, 예를 들어, 80% 이상일 경우 대표되는 특정 접속 패턴에 대한 세부 클라이언트 리스트에 대해 유사도를 분석한다. 이때, 특정 접속 패턴에 대한 클라이언트 유사도가 일정 수치, 예를 들어, 80% 이상일 경우 해당 두 그룹에 대해서는 동일한 봇넷으로 판정한다. 또한, 각 모듈에서 분석된 결과를 종합하여 로그 관리자에게 전송하며, 분석 결과에서 추후 정책에 사용될 트리거 메시지를 생성하여 이벤트 트리거로 전송한다. 전술된 기능을 수행하기 위해 봇넷 그룹 분석 모듈은 그룹 정보 관리 모듈과, 의심 그룹 선정 모듈, 의심 그룹 비교 분석 모듈, 및 탐지 정보 생성 모듈을 포함한다. 이에 대해 도 11을 참조하여 설명한다.As shown in FIG. 10, the botnet group analysis module (BGA) determines a botnet group with respect to group data transmitted from a botnet traffic collection sensor. Group data transmitted from the botnet traffic collection sensor generates / updates a matrix for the group, and updating and deleting the group matrix are performed according to the group management algorithm. At this time, if there is no update for more than 50% of the clients in the group, it is deleted according to step-by-step management. In addition, the botnet group analysis module manages a matrix for group data. Update the matrix for existing groups and create new ones for new groups. For updates, the group matrix is deleted if there is no activity of the client for a certain time according to the group matrix management algorithm. In addition, after the group matrix is updated, if the specific connection pattern exceeds the number of times of the threshold or more for each group matrix, the corresponding group is determined as the analysis target group. Then, the client similarity is analyzed for the group group determined as the analysis target group. If the similarity is a certain number, for example, 80% or more, the similarity is analyzed for a detailed client list for a specific connection pattern that is represented. At this time, if the client similarity degree for a particular connection pattern is a certain value, for example, 80% or more, the two botnets are determined as the same botnet. In addition, the analysis results of each module are aggregated and sent to the log manager. From the analysis results, a trigger message to be used in a later policy is generated and transmitted to an event trigger. The botnet group analysis module includes a group information management module, a doubt group selection module, a doubt group comparison analysis module, and detection information generation module to perform the above-described function. This will be described with reference to FIG. 11.

그룹 정보 관리 모듈은 센서로부터 수신된 그룹 데이터를 탐지 시스템 내부에 저장하고 그에 따른 그룹 매트릭스를 생성한다. 그룹 정보 관리 모듈은 시스템에 저장된 그룹 정보의 수를 관리하며, 세부적으로 그룹 데이터 및 그룹 매트릭스에 대해서 각각의 업데이트를 관리한다. 이때, 그룹 데이터 및 그룹 매트릭스에 대한 관리는 해당 업데이트를 반영하는 것에 대한 관리라면, 전체 그룹 정보의 수를 관리하는 것은 시스템에 기하급수적으로 저장되는 그룹 정보의 수를 관리하기 위한 것이다.The group information management module stores the group data received from the sensor inside the detection system and generates a group matrix accordingly. The group information management module manages the number of group information stored in the system, and manages each update with respect to the group data and the group matrix in detail. At this time, if the management of the group data and the group matrix is for reflecting the corresponding update, managing the number of all group information is for managing the number of group information stored exponentially in the system.

도 12를 참조하면, 그룹 정보는 여러 단계의 레벨을 가질 수 있으며, 본 실시예는 블랙(BLACK)과, 레드(RED), 및 블루(BLUE)를 예시한다. 이때, 블랙은 봇넷 으로 탐지된 그룹 정보이며, 레드는 비활동적인 그룹 정보, 블루는 일반적인 그룹 정보를 의미할 수 있다. 그룹 정보 관리는 임계 시간을 기준으로 하여 최근 클라이언트가 접속한 시간과 현재 분석 시간과의 차이를 비교하여, 임계시간 동안 접속이 되지 않으면 단계를 낮추는 방식을 사용할 수 있다. 또한, 비활동적인 레드 그룹에 대해서는 임계시간을 초과하여 클라이언트 접속이 없을 경우 삭제하도록 하는 것이 바람직하다. 이러한 그룹 정보 관리 모듈은 그룹 데이터 관리 모듈과 그룹 매트릭스 관리 모듈을 포함한다.Referring to FIG. 12, group information may have various levels, and this embodiment illustrates black, red, and blue. In this case, black may be group information detected by a botnet, red may be inactive group information, and blue may mean general group information. Group information management may use a method of comparing the difference between a recent client access time and a current analysis time on the basis of the threshold time, and then lowering the step if no access is made during the threshold time. In addition, it is desirable to delete the inactive red group when there is no client connection beyond the threshold time. Such a group information management module includes a group data management module and a group matrix management module.

도 13을 참조하면, 그룹 데이터 관리 모듈은 봇넷 트래픽 수집센서로부터 수신되는 그룹 데이터를 봇넷 탐지 시스템 내부에서 관리한다. 봇넷 탐지 시스템은 다수의 센서에서 받는 데이터를 관리하고 있으므로, 수신되는 상당한 양의 그룹 데이터를 효율적으로 운용할 필요가 있다. 따라서, 특정한 시간 구간에 대해서만 데이터를 관리하며, 이는 수집되는 데이터의 양에 따라 유동적으로 변동될 수 있다. 예를 들어, 관리되는 그룹 데이터에 대해서 수회분(명세서 내에서 예시를 한 것이므로 큰 의미는 없으나 일반적인 표현으로 수정하였습니다)의 시간 구간을 관리하도록 할 수 있다. 이후 전송되는 업데이트에 대해서는 최근 업데이트를 반영하고, 가장 오래된 업데이트를 삭제하는 방식으로 유지할 수 있다.Referring to FIG. 13, the group data management module manages group data received from the botnet traffic collection sensor in the botnet detection system. Because botnet detection systems manage the data received from multiple sensors, there is a need to efficiently operate a significant amount of group data received. Thus, data is managed only for a specific time period, which can vary fluidly depending on the amount of data collected. For example, it is possible to manage the time intervals of several times (it does not mean much but modified to a general expression because it is an example in the specification) about the managed group data. Afterwards, the latest update can be maintained by reflecting the latest update and deleting the oldest update.

도 14를 참조하면, 그룹 매트릭스 관리 모듈은 그룹에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 매트릭스의 그룹, 즉, 그룹 매트릭스를 관리한다. 그룹 매트릭스 관리 모듈 역시 전술된 그룹 데이터 관리 모듈과 동일하게 특정한 시간 구간에 대해서만 데이터를 관리하는 것이 바람직하다.Referring to FIG. 14, the group matrix management module manages a group of the matrix, that is, a group matrix of the stored matrix by analyzing the count of IP according to the access behavior pattern generated in the group. Like the group data management module described above, the group matrix management module also manages data only for a specific time interval.

도 15를 참조하면, 의심 그룹 선정 모듈은 관리되는 그룹 정보 중 봇넷으로 의심되는 그룹을 선정하여 리스트를 생성한다. 즉, 봇넷 탐지 시스템이 보유하고 있는 그룹 정보 중, 봇넷으로 의심되는 그룹을 선정하며, 의심 그룹을 선정하기 위해 해당 그룹의 행위 매트릭스에서 가장 많은 클라이언트가 참여한 행위에 대해서 해당 클라이언트 규모를 기준으로 의심 그룹을 판정한다.Referring to FIG. 15, the suspicious group selection module selects a suspicious group from the managed group information and generates a list. In other words, a group suspected by a botnet is selected from the group information possessed by the botnet detection system, and a suspect group is selected based on the size of the client regarding the behavior of the largest number of clients in the group's behavior matrix to select the suspect group. Determine.

도 16을 참조하면, 의심 그룹 비교 분석 모듈은 의심그룹으로 분류된 그룹들에 대해서 상호 유사성을 비교 분석하여 봇넷 그룹을 판정한다. 이를 위해 의심 그룹군에서 비교 대상 그룹을 선정해야 한다. 또한, 비교 대상 그룹에 대해서는 각 그룹간 전수 비교를 수행해야 하므로, 특정한 순서를 가지지 않고 그룹에 대한 ID값을 기준으로 정렬하여 그룹간 비교 순서를 결정할 수 있다. 비교 대상으로 선정된 두 그룹에 대해서는 각 그룹의 행위 패턴 중, 가장 많은 클라이언트가 참여한 행위에 대해서, 행위를 보인 클라이언트의 IP 리스트들을 상호 비교한다. 이때, 각 그룹의 클라이언트 IP 집합의 크기가 상이할 수 있으므로, 작은 집합을 기준으로 하여 작은 집합이 큰 집합에 대해 부분 집합이 될 수 있을 정도로 분석하는 것이 바람직하다.Referring to FIG. 16, the suspicious group comparison analysis module determines a botnet group by comparing and analyzing similarities with respect to groups classified as suspicious groups. For this purpose, the target group to be compared should be selected from the suspect group. In addition, since all comparisons between groups should be performed on the comparison target groups, the comparison order between groups may be determined by sorting based on ID values of groups without having a specific order. For the two groups selected for comparison, the IP lists of the clients who showed the behaviors are compared with respect to the behaviors in which the most clients participate among the behavior patterns of each group. In this case, since the size of the client IP set of each group may be different, it is preferable to analyze the small set based on the small set so that the small set may be a subset of the large set.

탐지 정보 생성 모듈은 의심 그룹 비교 분석 모듈에 의해 판정된 봇넷 그룹에 대한 정보를 생성한다. 이때, 봇넷 그룹에 대한 정보는 클라이언트의 IP와, 해당 봇넷의 행위 등을 포함할 수 있다.The detection information generation module generates information about the botnet group determined by the suspicious group comparison analysis module. In this case, the information on the botnet group may include the IP of the client and the behavior of the botnet.

봇넷 구성 분석 모듈(Botnet Organization Analyzer, BOA)은 도 17에 도시된 바와 같이, C&C의 역할을 분석하고 좀비 리스트를 추출하기 위한 것으로서, 봇넷으 로 탐지된 봇넷 그룹군에 대해서 각 그룹의 대표적인 접속 패턴을 분석한다. 또한, 접속 패턴에 따른 그룹 정보를 기반으로 봇넷에 참여하고 있는 각 서버들에 대한 역할을 분류한다. 이때, 도 18을 참조하면, 분류 결과는 명령 제어 서버, 다운로드 서버, 업로드 서버, 및 스팸 서버로 분류될 수 있다. 봇넷으로 탐지된 그룹군에 대해서 각 그룹의 IP 리스트, 즉, 좀비 리스트를 추출한다. 각 좀비 리스트에 대해서 최종 업데이트 시간을 분석하고, 최종 업데이트 시간이 임계값 이하의 연결성을 가지면 좀비로 판정한다. 이때, 각 좀비별 최종 서버 접속 시간을 분석하여 각 서버 역할에 따른 봇넷의 구성 진화를 분석할 수 있도록 정보를 구성한다. 또한, 각 모듈에서 분석된 결과를 종합하여 로그 관리자에 전송한다. 분석 결과에서 추후 정책에 사용될 트리거 메시지를 생성하여 이벤트 트리거에 전송한다.Botnet Organization Analyzer (BOA), as shown in Figure 17, to analyze the role of the C & C and extract the zombie list, a representative connection pattern of each group to the group of botnets detected as botnets Analyze In addition, the role of each server participating in the botnet is classified based on the group information according to the access pattern. In this case, referring to FIG. 18, the classification result may be classified into a command control server, a download server, an upload server, and a spam server. For each group of botnets detected, we extract the IP list of each group, that is, the zombie list. The final update time is analyzed for each zombie list, and if the final update time has connectivity below the threshold, it is determined as a zombie. At this time, the information is configured to analyze the evolution of the botnet according to each server role by analyzing the final server access time for each zombie. In addition, the results analyzed in each module are aggregated and sent to the log manager. In the analysis result, a trigger message to be used in a later policy is generated and transmitted to an event trigger.

봇넷 행위 분석 모듈(Botnet Behavior Analyzer, BBA)은 봇넷 그룹의 공격행위와 봇넷 그룹이 확산 또는 이주 하였는지 분석한다.The Botnet Behavior Analyzer (BBA) analyzes the attack behavior of botnet groups and whether they have spread or migrated.

탐지 로그 관리 모듈(Detection Log Management, DLM)은 봇넷 그룹의 구성 정보와 행위 정보에 대한 로그를 관리하며, 내부에 봇넷 그룹의 구성 정보 데이터베이스와 봇넷 그룹의 행위 정보 데이터베이스를 구비한다.The detection log management module (DLM) manages a log of configuration information and behavior information of a botnet group, and includes a configuration information database of a botnet group and a behavior information database of a botnet group.

정책 감독 모듈(Policy Management, PM)은 봇넷 관제/보안관리 시스템 내부에서 실행되고 있는 모듈에 대한 정책을 설정한다. 또한, 정책 감독부는 봇넷 관제/보안관리 시스템에 등록된 봇넷 탐지 시스템의 탐지 정책을 설정한다. 또한, 등록된 봇넷 탐지 시스템을 통한 트래픽 정보 수집 센서 정책을 설정한다.The Policy Management Module (PM) sets policies for modules running inside the botnet control / security management system. In addition, the policy supervisor sets the detection policy of the botnet detection system registered in the botnet control / security management system. In addition, the traffic information collection sensor policy through the registered botnet detection system is set.

봇넷 관제/보안관리 시스템은 각종 설정 및 상태정보를 관제시스템과 송수신 하고, 봇넷 트래픽 수집센서로부터 봇넷에 관한 그룹행위정보와 피어봇 정보를 수신하여 트래픽 분류 후 구성 및 행위분석을 한 후 데이터베이스에 저장한다. 또한, 데이터베이스에 저장된 구성 및 행위분석 정보를 다시 관제시스템으로 전송한다.The botnet control / security management system sends and receives various settings and status information with the control system, receives group behavior information and peer bot information about the botnet from the botnet traffic collection sensor, classifies the traffic, analyzes the configuration and conducts it, and stores it in the database. do. In addition, the configuration and behavior analysis information stored in the database is transmitted back to the control system.

상술한 바와 같이 본 발명은 그룹 데이터를 기반으로 행위 패턴 기반의 그룹 매트릭스를 생성하는 그룹 정보 관리 기능과 그룹 정보 중 봇넷으로 의심되는 그룹에 대하여 상호 유사성 분석을 통해 봇넷 그룹을 탐지할 수 있는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템을 제공할 수 있다.As described above, the present invention provides a group information management function for generating a group matrix based on behavior data based on group data, and a network-based network capable of detecting botnet groups through mutual similarity analysis for groups suspected of botnets among group information. It is possible to provide a botnet group detection system using a group behavior matrix of.

다음은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템에 대한 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.Next, a behavior pattern modeling method of network traffic for botnet detection according to the present invention will be described with reference to the accompanying drawings. In the following description, the description overlapping with the description of the behavior pattern modeling system of the network traffic for botnet detection according to the present invention will be omitted or briefly described.

도 19는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법의 순서도이다.19 is a flowchart illustrating a behavior pattern modeling method of network traffic for botnet detection according to the present invention.

본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법은 도 19에 도시된 바와 같이, 트래픽을 수집하는 단계(S1)와, 그룹 정보를 생성하는 단계(S2), 및 봇넷 그룹을 판정하는 단계(S3)를 포함한다.The behavior pattern modeling method of network traffic for botnet detection according to the present invention comprises the steps of collecting traffic (S 1 ), generating group information (S 2 ), and a botnet group as shown in FIG. 19. And determining step S 3 .

트래픽을 수집하는 단계(S1)는 패킷 캡춰 도구를 사용하여 네트워크의 트래픽 데이터를 수집 정책에 따라 수집한다. 이를 위해 다수의 네트워크 내에는 트래 픽 정보 수집 센서가 구비되며, 봇넷 관제 및 보안관리 시스템에서 설정한 트래픽 수집 정책에 따라 트래픽 정보를 수집한다.In the step of collecting traffic (S 1 ), traffic data of the network is collected using a packet capture tool according to a collection policy. For this purpose, a traffic information collection sensor is provided in a plurality of networks, and traffic information is collected according to a traffic collection policy set by a botnet control and security management system.

그룹 정보를 생성하는 단계(S2)는 수집된 트래픽을 그룹화한다. 이를 위해 그룹 정보를 생성하는 단계는 프로토콜을 분류하는 단계(S2-1)를 포함한다.Generating group information (S 2 ) groups the collected traffic. Generating group information for this purpose includes classifying protocols (S 2-1 ).

프로토콜을 분류하는 단계(S2-1)는 트래픽을 수집하는 단계에서 수집된 트래픽을 프로토콜별로 분류한다. 프로토콜을 분류하는 단계는 목적지별 클라이언트 집합으로 구성하는 단계(S2-1-1)를 포함한다.In the step of classifying the protocol (S 2-1 ), the traffic collected in the step of collecting traffic is classified by protocol. Categorizing the protocol includes configuring a set of destination-specific clients (S 2-1-1 ).

목적지별 클라이언트 집합으로 구성하는 단계(S2-1-1)는 트래픽을 수집하는 단계에서 수집된 프로토콜을 분석하여 목적지가 동일한 클라이언트 집합으로 구성한다. 이러한 목적지별 클라이언트 집합으로 구성하는 단계(S2-1)는 수집된 접속 기록을 저장하는 단계(S2-1-1-1)와, 클라이언트 집합으로 구성하는 단계(S2-1-1-2)를 포함한다.In the step S2-1-1 of configuring a client set for each destination, the protocols collected in the step of collecting traffic are analyzed to configure a client set having the same destination. The step (S 2-1 ) of configuring the destination-specific client set includes storing the collected access records (S 2-1-1-1 ) and configuring the client set (S 2-1-1-). 2 ).

수집된 접속 기록을 저장하는 단계(S2-1-1-1)는 트래픽 정보 수집 센서를 통해 수집된 접속 기록을 저장함과 동시에 일정한 시간 구간 동안 수집된 접속 기록을 모두 저장한다.In the storing of the collected access record (S 2-1-1-1 ), the access record collected through the traffic information collecting sensor is stored, and at the same time, all of the access records collected for a certain time interval are stored.

클라이언트 집합으로 구성하는 단계(S2-1-1-2)는 수집된 트래픽 정보를 분석하여 프로토콜별로 구분한 후 이를 클라이언트 집합으로 구성한다. 프로토콜의 분류 는 전술된 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 같이 크게 TCP와 UDP로 구분되며, TCP는 HTTP와 SMTP 및 그 외 HTTP로 분류된다. 또한, UDP는 DNS와 그 외 DNS로 분류된다. 이때, 프로토콜의 분석은 실제 트래픽의 콘텐츠를 분석하여 구분하며, 그룹 데이터는 아이피와 포트, 즉, 목적지 주소를 기반으로 하여 구성한다.In step S2-1-1-2 , the collected traffic information is analyzed and classified into protocols, and then the client sets are configured. The classification of protocol is largely divided into TCP and UDP like the behavior pattern modeling system of network traffic for botnet detection according to the present invention described above, and TCP is classified into HTTP, SMTP and other HTTP. Also, UDP is classified into DNS and other DNS. At this time, the analysis of the protocol is to analyze the content of the actual traffic, and the group data is configured based on the IP and port, that is, the destination address.

봇넷 그룹을 판정하는 단계(S3)는 의심그룹으로 분류된 그룹들에 대해서 상호 유사성을 비교 분석하여 봇넷 그룹을 판정한다. 이러한 봇넷 그룹을 판정하는 단계는 그룹 매트릭스를 관리하는 단계(S3-1)와, 분석 대상을 선정하는 단계(S3-2), 및 그룹 유사도를 분석하는 단계(S3-3)를 포함한다.In step S 3 , the botnet group is determined by comparing and analyzing similarities with respect to groups classified as suspicious groups. The determining of the botnet group includes managing the group matrix (S 3-1 ), selecting an analysis target (S 3-2 ), and analyzing the group similarity (S 3-3 ). do.

그룹 매트릭스를 관리하는 단계(S3-1)는 트래픽 정보 수집 모듈에서 전송된 그룹 데이터에 대한 매트릭스, 즉, 그룹 매트릭스를 관리한다. 여기서, 그룹 매트릭스의 관리는 그룹 매트릭스를 생성, 업데이트, 및 삭제하는 것을 의미하며, 이에 따라, 그룹 매트릭스를 관리하는 단계는 그룹 매트릭스를 생성하는 단계(S3-1-1)와, 그룹 매트릭스를 업데이트하는 단계(S3-1-2), 및 그룹 매트릭스를 삭제하는 단계(S3-1-3)를 포함한다.The managing of the group matrix (S 3-1 ) manages a matrix for group data transmitted from the traffic information collecting module, that is, a group matrix. Here, managing the group matrix means creating, updating, and deleting a group matrix. Accordingly, managing the group matrix may include generating a group matrix (S 3-1-1 ), and Updating (S 3-1-2 ), and deleting the group matrix (S 3-1-3 ).

그룹 매트릭스를 생성하는 단계(S3-1-1)는 신규 그룹에 대해서 그룹 매트릭스를 생성한다. 즉, 기존에 존재하지 않던 신규한 그룹일 경우, 그룹 매트릭스가 존재하지 않으므로 그룹 매트릭스를 생성한다.Generating the group matrix (S 3-1-1 ) generates a group matrix for the new group. That is, in the case of a new group that does not exist previously, since the group matrix does not exist, a group matrix is generated.

그룹 매트릭스를 업데이트하는 단계(S3-1-2)는 해당 그룹이 기존에 존재하는 그룹일 경우, 해당 기존 그룹에 대해서 매트릭스를 업데이트 한다.In the updating of the group matrix (S 3-1-2 ), if the group is an existing group, the matrix is updated for the existing group.

그룹 매트릭스를 삭제하는 단계(S3-1-3)는 그룹 매트릭스 관리 알고리듬에 따라 일정 시간동안 소속 클라이언트의 활동이 없는 경우, 그룹 매트릭스를 삭제한다.The step S 3-1-3 of deleting the group matrix deletes the group matrix when there is no activity of the client for a predetermined time according to the group matrix management algorithm.

분석 대상을 선정하는 단계(S3-2)는 그룹 매트릭스가 업데이트 된 이후, 각 그룹 매트릭스 별로 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 경우, 해당 그룹을 분석 대상 그룹으로 선정한다.In the selecting of the analysis target (S 3-2 ), after the group matrix is updated, when the specific access pattern exceeds the number of times of the threshold or more for each group matrix, the corresponding group is selected as the analysis target group.

그룹 유사도를 분석하는 단계(S3-3)는 분석 대상의 그룹 군에 대해서 클라이언트의 유사도를 분석한다. 이때, 유사도가 일정 수준 이상, 예를 들어, 80% 이상인 경우, 대표되는 특정 접속 패턴에 대한 세부 클라이언트 리스트에 대해서 유사도를 분석한다. 또한, 특정 접속 패턴에 대한 클라이언트 유사도가 일정 수준 이상, 예를 들어, 80% 이상인 경우, 해당 두 그룹에 대해서는 동일한 봇넷으로 판정한다.In analyzing the group similarity (S 3-3 ), the similarity of the client with respect to the group group of the analysis target is analyzed. In this case, when the similarity is more than a predetermined level, for example, 80% or more, the similarity is analyzed with respect to a detailed client list for a specific specific access pattern. In addition, if the client similarity degree for a particular connection pattern is a certain level or more, for example, 80% or more, the two groups are determined to be the same botnet.

상술한 바와 같이 본 발명은 그룹 데이터를 기반으로 행위 패턴 기반의 그룹 매트릭스를 생성하는 그룹 정보 관리 기능과 그룹 정보 중 봇넷으로 의심되는 그룹에 대하여 상호 유사성 분석을 통해 봇넷 그룹을 탐지할 수 있는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법을 제공할 수 있다.As described above, the present invention provides a group information management function for generating a group matrix based on behavior data based on group data, and a network-based network capable of detecting botnet groups through mutual similarity analysis for groups suspected of botnets among group information. It can provide a botnet group detection method using the group behavior matrix of.

이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙 련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the drawings and embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit of the invention described in the claims below. I can understand.

도 1은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 개념도.1 is a conceptual diagram of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 2는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 구성도.2 is a block diagram of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 3은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 트래픽 수집센서 개념도.3 is a conceptual diagram of a botnet traffic collection sensor of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 4는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 트래픽 정보 수집 모듈 구성도.Figure 4 is a block diagram of a traffic information collection module of the botnet group detection system using a network-based group behavior matrix according to the present invention.

도 5는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 트래픽 정보 관리 모듈의 구성도.5 is a block diagram of a traffic information management module of a botnet group detection system using a network-based group behavior matrix according to the present invention;

도 6은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 관리 통신 모듈 구성도.6 is a block diagram of a management communication module of a botnet group detection system using a network-based group behavior matrix according to the present invention;

도 7은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 정책 관리 모듈 구성도.7 is a block diagram of a policy management module of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 8은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 탐지 시스템 구성도.8 is a block diagram of a botnet detection system of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 9는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 탐지 시스템 구조도.9 is a structural diagram of a botnet detection system of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 10은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 그룹 분석 모듈 구성도.10 is a block diagram of a botnet group analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 11은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 그룹 분석 모듈 작동 순서도.11 is a flowchart illustrating the operation of a botnet group analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 12는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 그룹 정보 관리 모듈 작동 순서도.12 is a flowchart illustrating a group information management module operation of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 13은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 그룹 데이터 관리 모듈 작동 순서도.13 is a flowchart illustrating a group data management module operation of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 14는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 그룹 매트릭스 관리 모듈 작동 순서도.14 is a flowchart illustrating a group matrix management module operation of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 15는 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 의심 그룹 선정 모듈 작동 순서도.15 is a flowchart illustrating a suspicious group selection module operation of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 16은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 의심 그룹 비교 분석 모듈 작동 순서도.16 is a flowchart of a suspicious group comparison analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 17은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 구성 분석 모듈의 구성도.17 is a block diagram of a botnet configuration analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 18은 본 발명에 따른 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템의 봇넷 구성 분석 모듈 작동 순서도.18 is a flowchart illustrating the operation of a botnet configuration analysis module of a botnet group detection system using a network-based group behavior matrix according to the present invention.

도 19는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법의 순서도.19 is a flow chart of a behavior pattern modeling method of network traffic for botnet detection in accordance with the present invention.

Claims (15)

네트워크 내의 트래픽을 수집하여 목적지별로 분류하는 봇넷 트래픽 수집센서와,A botnet traffic collection sensor that collects traffic in the network and classifies it by destination; 상기 목적지별로 분류된 트래픽을 시간 간격에 따라 그룹화한 후 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 봇넷 그룹을 탐지하는 봇넷 탐지 시스템을 포함하며,And a botnet detection system for grouping traffic classified by destinations according to time intervals and detecting a botnet group in which a specific access pattern exceeds a number of times above a threshold value. 상기 봇넷 트래픽 수집센서는,The botnet traffic collection sensor, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집하는 트래픽 정보 수집/분류 모듈과,A traffic information collection / classification module that uses a packet capture tool to capture traffic from the monitoring network according to a collection policy to collect traffic; 상기 트래픽 정보 수집/분류 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신, 파싱(parsing)한 후 그룹 데이터를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리하는 트래픽 정보 관리 모듈과,A traffic information management module for classifying the information received from the traffic information collection / classification module, receiving and parsing the traffic information, processing the group data, and storing / managing the traffic information in a database; 상기 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 데이터 전송하는 트래픽 정보 전송 모듈, 및A traffic information transmission module for dividing the traffic information parsed by the traffic information management module into a transmission header and transmission data and packaging the data to transmit data through a transmission channel; and 분류 툴, 트래픽 정보관리 툴, 데이터 전송 주기 정보의 설정/상태 정보를 트래픽 정보 수집/분류 모듈과 트래픽 정보 관리 모듈 및 트래픽 정보 전송 모듈에 전송하는 센서 정책 관리 모듈을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.A botnet detection method comprising a classification tool, a traffic information management tool, and a sensor policy management module for transmitting setting / status information of data transmission period information to a traffic information collection / classification module, a traffic information management module, and a traffic information transmission module. Behavior pattern modeling system of network traffic for network. 삭제delete 청구항 1에 있어서,The method according to claim 1, 상기 트래픽 정보 관리 모듈은 수집된 네트워크 트래픽의 패턴을 전송 제어 프로토콜(Transmission Control Protocol, TCP)과, 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)로 분류하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.The traffic information management module classifies the collected pattern of network traffic into a transmission control protocol (TCP) and a user datagram protocol (UDP). Behavior pattern modeling system. 청구항 3에 있어서,The method of claim 3, 상기 트래픽 정보 관리 모듈은 상기 전송 제어 프로토콜(Transmission Control Protocol, TCP)을 하이퍼텍스트 통신 프로토콜(HyperText Transport Protocol, HTTP)과, 간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP), 및 상기 하이퍼텍스트 통신 프로토콜과 상기 간이 전자 우편 전송 프로토콜 이외의 하이퍼텍스트 통신 프로토콜로 분류하며,The traffic information management module converts the Transmission Control Protocol (TCP) into a HyperText Transport Protocol (HTTP), a Simple Mail Transfer Protocol (SMTP), and the hypertext communication. Protocols and hypertext communication protocols other than the simple e-mail transmission protocol, 상기 트래픽 정보 관리 모듈은 상기 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)을 도메인 네임 서버(Domain Name Server, DNS)와, 상기 도메인 네임 서버 이외의 도메인 네임 서버로 분류하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.The traffic information management module classifies the user datagram protocol (UDP) into a domain name server (DNS) and a domain name server other than the domain name server. Behavior pattern modeling system for network traffic. 청구항 1에 있어서,The method according to claim 1, 상기 봇넷 탐지 시스템은,The botnet detection system, 상기 봇넷 트래픽 수집센서로부터 전송된 그룹 데이터들에 대해서 봇넷 그룹을 판정하는 봇넷 그룹 분석 모듈(Botnet Group Analyzer, BGA)과,A botnet group analyzer (BGA) for determining a botnet group with respect to group data transmitted from the botnet traffic collection sensor; 상기 봇넷 그룹 분석 모듈에 의해 봇넷 그룹으로 판정된 봇넷 그룹군에 대해서 각 봇넷 그룹의 대표적인 접속 패턴을 분석하는 봇넷 구성 분석 모듈(Botnet Organization Analyzer, BOA)과,A botnet organization analyzer (BOA) for analyzing a typical connection pattern of each botnet group for the botnet group group determined by the botnet group analysis module; 상기 봇넷 그룹의 공격행위와 봇넷 그룹이 확산 또는 이주 여부를 분석하는 봇넷 행위 분석 모듈(Botnet Behavior Analyzer, BBA)과,A botnet behavior analyzer (BBA) for analyzing the attack behavior of the botnet group and whether the botnet group is spread or migrated; 상기 봇넷 그룹의 구성 정보와 행위 정보에 대한 로그를 관리하는 탐지 로그 관리 모듈(Detection Log Management, DLM)을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.And a detection log management module (DLM) for managing logs of configuration information and behavior information of the botnet group. 청구항 5에 있어서,The method according to claim 5, 상기 봇넷 그룹 분석 모듈은,The botnet group analysis module, 상기 봇넷 트래픽 수집센서로부터 수신된 그룹 데이터를 상기 봇넷 탐지 시스템 내부에 저장하고 그에 따른 그룹 매트릭스를 생성하는 그룹 정보 관리 모듈과,A group information management module for storing group data received from the botnet traffic collecting sensor in the botnet detection system and generating a group matrix accordingly; 상기 그룹 정보 관리 모듈에서 관리되는 그룹 정보 중, 봇넷으로 의심되는 그룹을 선정하여 좀비 리스트를 생성하는 의심 그룹 선정 모듈과,A suspicious group selection module for generating a zombie list by selecting a suspicious group from a group information managed by the group information management module; 상기 좀비 리스트의 그룹들에 대해서 상호 유사성을 비교 및 분석하여 봇넷 그룹을 판정하는 의심 그룹 비교 분석 모듈, 및A suspicious group comparison analysis module for determining a botnet group by comparing and analyzing mutual similarities with respect to groups of the zombie list, and 상기 의심 그룹 비교 분석 모듈에서 판정된 봇넷 그룹에 대한 정보를 생성하는 탐지 정보 생성 모듈을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.And a detection information generation module for generating information on the botnet group determined by the suspicious group comparison analysis module. 청구항 6에 있어서,The method according to claim 6, 상기 그룹 정보 관리 모듈은,The group information management module, 상기 봇넷 트래픽 수집센서로부터 수신된 그룹 데이터를 상기 봇넷 탐지 시스템의 내부에서 관리하는 그룹 데이터 관리 모듈과,A group data management module for managing group data received from the botnet traffic collection sensor in the botnet detection system; 상기 그룹 데이터에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 매트릭스의 그룹을 관리하는 그룹 매트릭스 관리 모듈을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.And a group matrix management module configured to manage a group of stored matrices by analyzing the count of the IP according to the access behavior pattern generated in the group data. 청구항 7에 있어서,The method of claim 7, 상기 그룹 데이터는 단일 목적지 기반에 다수의 소스 정보를 갖는 데이터이고,The group data is data having a plurality of source information on a single destination base, 상기 그룹 매트릭스는 그룹 데이터에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 데이터인 매트릭스의 그룹이며,The group matrix is a group of matrices which are data stored by analyzing the count of IP according to the access behavior pattern generated from the group data. 상기 그룹 정보는 상기 그룹 데이터와 상기 그룹 매트릭스를 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.The group information includes the group data and the group matrix, behavior pattern modeling system for network traffic for botnet detection. 트래픽을 수집하는 단계와,Collecting traffic, 상기 수집된 트래픽에 대한 그룹 정보를 생성하는 단계, 및Generating group information on the collected traffic, and 상기 그룹 정보를 기초로 봇넷 그룹을 판정하는 단계를 포함하며,Determining a botnet group based on the group information, 상기 그룹 정보는 단일 목적지 기반에 다수의 소스 정보를 갖는 그룹 데이터와, 상기 그룹 데이터에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 데이터인 그룹 매트릭스를 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.The group information includes group data having a plurality of source information based on a single destination, and a group matrix which is data stored by analyzing a count of IP according to a connection behavior pattern generated from the group data. How to detect botnet groups using behavior matrices. 청구항 9에 있어서,The method according to claim 9, 상기 수집된 트래픽에 대한 그룹 정보를 생성하는 단계는,Generating group information on the collected traffic, 상기 수집된 트래픽을 프로토콜별로 분류하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.And classifying the collected traffic according to protocols. 청구항 10에 있어서,The method according to claim 10, 상기 수집된 트래픽의 프로토콜별로 분류하는 단계는,The step of classifying the collected traffic for each protocol, 상기 수집된 트래픽을 목적지별 클라이언트 집합으로 구성하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.Botnet group detection method using the network-based group behavior matrix comprising the step of configuring the collected traffic as a client set for each destination. 청구항 9에 있어서,The method according to claim 9, 상기 그룹 정보를 기초로 봇넷 그룹을 판정하는 단계는,Determining the botnet group based on the group information, 그룹 매트릭스를 관리하는 단계, 및Managing the group matrix, and 상기 각각의 그룹 매트릭스 별로 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 경우, 해당 그룹을 분석 대상 그룹으로 선정하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.And selecting a group as an analysis target group when a specific access pattern exceeds a number of times greater than or equal to a threshold value for each of the group matrices. 청구항 12에 있어서,The method according to claim 12, 상기 그룹 매트릭스를 관리하는 단계는,Managing the group matrix, 상기 그룹 매트릭스가 존재하지 않을 경우 그룹 매트릭스를 생성하는 단계와,Generating a group matrix if the group matrix does not exist; 상기 그룹 매트릭스가 존재할 경우 그룹 매트릭스를 업데이트하는 단계, 및Updating the group matrix if the group matrix exists, and 상기 그룹 매트릭스가 일정 기간 또는 일정 비율 이상 업데이트 되지 않을 경우 그룹 매트릭스를 삭제하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.And deleting the group matrix if the group matrix is not updated for a predetermined period or a predetermined ratio. 청구항 9에 있어서,The method according to claim 9, 상기 분석 대상으로 선정된 그룹 매트릭스들의 특정 접속 패턴에 대한 클라 이언트 유사도를 분석하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.And analyzing the client similarity with respect to a specific access pattern of the group matrices selected as the analysis targets. 청구항 14에 있어서,The method according to claim 14, 상기 분석 대상으로 선정된 그룹 매트릭스들의 특정 접속 패턴에 대한 클라이언트 유사도를 분석하는 단계는,Analyzing the client similarity with respect to a specific access pattern of the group matrices selected as the analysis target, 상기 분석 대상으로 선정된 그룹 매트릭스 중 유사도가 비교된 그룹 매트릭스들의 특정 접속 패턴에 대한 클라이언트 유사도가 일정값 이상일 경우, 상기 유사도가 비교된 그룹 매트릭스들은 동일한 봇넷 그룹으로 판단하는 것을 특징으로 하는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법.If the client similarity with respect to a specific access pattern of the group matrices whose similarities are compared among the group matrices selected as the analysis targets is greater than or equal to a predetermined value, the group matrices with which the similarities are compared are determined to be the same botnet group. How to detect botnet groups using the group behavior matrix.
KR1020090126905A 2009-12-18 2009-12-18 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network KR101078851B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090126905A KR101078851B1 (en) 2009-12-18 2009-12-18 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
US12/821,510 US20110153811A1 (en) 2009-12-18 2010-06-23 System and method for modeling activity patterns of network traffic to detect botnets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090126905A KR101078851B1 (en) 2009-12-18 2009-12-18 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network

Publications (2)

Publication Number Publication Date
KR20110070182A KR20110070182A (en) 2011-06-24
KR101078851B1 true KR101078851B1 (en) 2011-11-02

Family

ID=44401743

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090126905A KR101078851B1 (en) 2009-12-18 2009-12-18 Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network

Country Status (1)

Country Link
KR (1) KR101078851B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101512700B1 (en) * 2013-10-31 2015-04-16 주식회사 모두텍 A precise access control system for unauthorized traffic in a web server based on user behavior patterns and the control method thereof
KR101499470B1 (en) * 2014-09-26 2015-03-09 (주)유엠로직스 Advanced Persistent Threat attack defense system and method using transfer detection of malignant code
KR101665369B1 (en) 2015-06-10 2016-10-12 고려대학교 산학협력단 Method, device and computer readable recording medium for detecting botnet through dns traffics
CN113271303A (en) * 2021-05-13 2021-08-17 国家计算机网络与信息安全管理中心 Botnet detection method and system based on behavior similarity analysis

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문1 : 한국정보처리학회 (2008.11)*

Also Published As

Publication number Publication date
KR20110070182A (en) 2011-06-24

Similar Documents

Publication Publication Date Title
KR101070614B1 (en) Malicious traffic isolation system using botnet infomation and malicious traffic isolation method using botnet infomation
KR101010302B1 (en) Security management system and method of irc and http botnet
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
Hoque et al. Network attacks: Taxonomy, tools and systems
Lu et al. Clustering botnet communication traffic based on n-gram feature selection
Singh et al. Automated Worm Fingerprinting.
Gu et al. Botminer: Clustering analysis of network traffic for protocol-and structure-independent botnet detection
Wurzinger et al. Automatically generating models for botnet detection
Gu et al. Bothunter: Detecting malware infection through ids-driven dialog correlation.
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
US20110153811A1 (en) System and method for modeling activity patterns of network traffic to detect botnets
US11095670B2 (en) Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane
KR101188305B1 (en) System and method for botnet detection using traffic analysis of non-ideal domain name system
KR101078851B1 (en) Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
Swami et al. DDoS attacks and defense mechanisms using machine learning techniques for SDN
Gandhi et al. Detecting and preventing attacks using network intrusion detection systems
KR20020072618A (en) Network based intrusion detection system
Limmer et al. Survey of event correlation techniques for attack detection in early warning systems
Rai et al. Intrusion detection systems: A review
KR101084681B1 (en) Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting
KR101156008B1 (en) System and method for botnet detection based on signature using network traffic analysis
KR101224994B1 (en) System for analyzing of botnet detection information and method thereof
Laabid Botnet command & control detection in iot networks
KR101025502B1 (en) Network based detection and response system and method of irc and http botnet
Chan et al. A netflow based internet-worm detecting system in large network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141016

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151020

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee