KR101084681B1 - Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting - Google Patents

Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting Download PDF

Info

Publication number
KR101084681B1
KR101084681B1 KR1020090126884A KR20090126884A KR101084681B1 KR 101084681 B1 KR101084681 B1 KR 101084681B1 KR 1020090126884 A KR1020090126884 A KR 1020090126884A KR 20090126884 A KR20090126884 A KR 20090126884A KR 101084681 B1 KR101084681 B1 KR 101084681B1
Authority
KR
South Korea
Prior art keywords
traffic
botnet
information
traffic information
network
Prior art date
Application number
KR1020090126884A
Other languages
Korean (ko)
Other versions
KR20110070161A (en
Inventor
정현철
임채태
지승구
오주형
강동완
이태진
원용근
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090126884A priority Critical patent/KR101084681B1/en
Priority to US12/821,510 priority patent/US20110153811A1/en
Publication of KR20110070161A publication Critical patent/KR20110070161A/en
Application granted granted Critical
Publication of KR101084681B1 publication Critical patent/KR101084681B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법에 대한 것으로서, 수집되는 네트워크 트래픽에 대해서 목적지를 기준으로 네트워크 트래픽의 프로토콜 구분하고, 해당 프로토콜에 대한 세부 항목에 따른 패턴화를 수행함으로써 각각의 클라이언트에 대한 통신 행위를 분류하여 네트워크 행위를 모델링할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법에 관한 것이다. 또한, 본 발명은 네트워크 행위를 모델링, 즉, 네트워크 기반의 행위 패턴을 분석하여 탐지된 봇넷 그룹에서 C&C로 추정되는 서버들에 대해 다운로드와 업로드, 스팸서버 및 명령 제어 서버를 분류할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공할 수 있다.The present invention relates to a behavior pattern modeling system of network traffic for botnet detection and a behavior pattern modeling method of network traffic for botnet detection. The present invention relates to a protocol for classifying network traffic based on a destination for the collected network traffic, and to a corresponding protocol. Network traffic behavior pattern modeling system for botnet detection that can classify communication behaviors for each client by modeling the network behavior by performing patterning according to detailed items and network traffic behavior pattern modeling method for botnet detection It is about. In addition, the present invention models the network behavior, that is, by analyzing the network-based behavior pattern botnet detection that can classify the download and upload, spam server and command control server for the servers estimated to be C & C in the detected botnet group It is possible to provide a behavior pattern modeling system of network traffic and a behavior pattern modeling method of network traffic for botnet detection.

봇넷, 탐지, 네트워크, 트래픽, 행위, 패턴, 모델링 Botnet, detection, network, traffic, behavior, pattern, modeling

Description

봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법{BEHAVIOR PATTERN MODELLING SYSTEM OF NETWORK TRAFFIC FOR BOTNET DETECTING AND BEHAVIOR PATTERN MODELLING METHOD OF NETWORK TRAFFIC FOR BOTNET DETECTING}BEHAVIOR PATTERN MODELLING SYSTEM OF NETWORK TRAFFIC FOR BOTNET DETECTING AND BEHAVIOR PATTERN MODELLING METHOD OF NETWORK TRAFFIC FOR BOTNET DETECTING}

본 발명은 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법에 대한 것으로서, 수집되는 네트워크 트래픽에 대해서 목적지를 기준으로 네트워크 트래픽의 프로토콜 구분하고, 해당 프로토콜에 대한 세부 항목에 따른 패턴화를 수행함으로써 각각의 클라이언트에 대한 통신 행위를 분류하여 네트워크 행위를 모델링할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법에 관한 것이다.The present invention relates to a behavior pattern modeling system of network traffic for botnet detection and a behavior pattern modeling method of network traffic for botnet detection. The present invention relates to a protocol for classifying network traffic based on a destination for the collected network traffic, and to a corresponding protocol. Network traffic behavior pattern modeling system for botnet detection that can classify communication behaviors for each client by modeling the network behavior by performing patterning according to detailed items and network traffic behavior pattern modeling method for botnet detection It is about.

봇은 로봇(robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 그리고 봇넷이란 이러한 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다. 이러한 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다.Bot is short for robot and means a personal computer (PC) infected with malicious intention software. And a botnet is a type of network in which many computers infected with these bots are connected. The botnet is remotely controlled by the Bot Master, which is used for various malicious activities such as DDoS attacks, personal information collection, phishing, malware distribution, and spam mailing. These botnets can be classified according to the protocol used by the botnet.

이와 같은 봇넷을 통한 공격은 지속적으로 증가하고 있으며, 그 방법도 점차 다양화되고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/패스워드(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.Attacks through these botnets continue to increase, and methods are increasingly diversified. Unlike the case of causing Internet service failure through DDoS, there are bots that cause personal system failure or illegally acquire personal information, and illegal user information such as ID / Password and financial information. Increasingly, cybercrime abuse is becoming more common. In addition, while the existing hacking attacks show the hacker's own ability or compete with the community, the botnet shows the hacker group intensively exploiting and cooperating for the purpose of financial gain.

하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어, 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있기 때문에 문제점이 심각하다. 이러한 봇넷을 구성하는 봇 좀비들은 국가의 구분 없이 전 세계의 인터넷 서비스 제공자 망에 분포되며, 봇 좀비를 제어하는 봇 C&C(Command & Control)의 경우도 다른 네트워크들로 이주가 가능하다.However, botnets are becoming more sophisticated to detect and circumvent using advanced technologies such as periodic updates, execution compression techniques, coder changes, and command channel encryption. In addition, the source of the botnet is open to thousands of variants, and the bot code can be easily generated or controlled through the user interface, making it possible for people without specialized knowledge or skills to create and use the botnet. The problem is serious. The bot zombies that make up these botnets are distributed in Internet service provider networks all over the world, and bots that control bot zombies can be migrated to other networks.

따라서 현재 봇넷의 심각성을 주지하고 많은 연구가 이루어지고 있다. 하지만 특정 인터넷 서비스 제공자 망의 봇넷만을 탐지하여 봇넷의 전체적인 구성 및 분포를 파악하기 어려우며, 많은 변종 등으로 인해 쉽게 봇넷을 탐지할 수 있는 방법이 절실한 상황이다.Therefore, the seriousness of the botnet is well known and many studies are being made. However, it is difficult to determine the overall configuration and distribution of botnets by detecting only the botnets of a specific internet service provider network, and there is an urgent need for a way to easily detect botnets due to many variants.

본 발명의 목적은 봇넷을 효과적으로 탐지할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공하는 것이다.An object of the present invention is to provide a behavior pattern modeling system of network traffic for botnet detection that can effectively detect botnets and a behavior pattern modeling method of network traffic for botnet detection.

상술한 목적을 달성하기 위해 본 발명은 네트워크 내의 트래픽을 수집하여 목적지별로 분류하는 봇넷 트래픽 수집센서와, 상기 봇넷 트래픽 수집센서에서 수집된 봇넷 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템을 제공한다. 상기 봇넷 트래픽 수집센서는, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집하는 트래픽 정보 수집/분류 모듈과, 상기 트래픽 정보 수집/분류 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신, 파싱(parsing)한 후 그룹 데이터를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리하는 트래픽 정보 관리 모듈과, 상기 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 데이터 전송하는 트래픽 정보 전송 모듈, 및 분류 툴, 트래픽 정보관리 툴, 데이터 전송 주기 정보의 설정/상태 정보를 트래픽 정보 수집/분류 모듈과 트래픽 정보 관리 모듈 및 트래픽 정보 전송 모듈에 전송하는 센서 정책 관리 모듈을 포함한다. 상기 트래픽 정보 관리 모듈은 수집된 네트워크 트 래픽의 패턴을 전송 제어 프로토콜(Transmission Control Protocol, TCP)과, 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)로 분류한다. 또한, 상기 트래픽 정보 관리 모듈은 상기 전송 제어 프로토콜(Transmission Control Protocol, TCP)을 하이퍼텍스트 통신 프로토콜(HyperText Transport Protocol, HTTP)과, 간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP), 및 상기 하이퍼텍스트 통신 프로토콜과 상기 간이 전자 우편 전송 프로토콜 이외의 하이퍼텍스트 통신 프로토콜로 분류하며, 상기 하이퍼텍스트 통신 프로토콜은 페이지를 요청하는 "request"와, 서버가 사용자의 요청에 대해 응답하는 "Respones"로 분류한다. 상기 "request"는 웹 서버 자원을 요청하는 대상의 도메인인 호스트(host) 부분과, 상기 호스트에서 원하는 특정 페이지에 대한 정보를 가지고 있는 페이지(page), 및 현재 접속된 사이트 이전 단계에 대한 정보를 가지고 있는 리퍼러(referer) 부분으로 분류한다. 상기 간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP)은 간이 전자 우편 전송 프로토콜 통신 자체를 패턴 데이터로 사용하며, 상기 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)은 사용자 데이터그램 프로토콜 통신 자체를 패턴 데이터로 판정한다. 상기 트래픽 정보 관리 모듈은 상기 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)을 도메인 네임 서버(Domain Name Server, DNS)와, 상기 도메인 네임 서버 이외의 도메인 네임 서버로 분류한다.In order to achieve the above object, the present invention includes a botnet traffic collection sensor that collects traffic in the network and classifies them by destination, and a botnet detection system that detects a botnet based on the botnet traffic collected by the botnet traffic collection sensor. Provided is a behavior pattern modeling system of network traffic for botnet detection. The botnet traffic collecting sensor may classify the information received from the traffic information collecting / classifying module and the traffic information collecting / classifying module to collect the traffic by capturing packets of the monitoring network according to a collection policy using a packet capture tool. Traffic information management module for receiving and parsing traffic information and processing group data, and storing / managing the traffic information in a database, and transmitting the traffic information parsed by the traffic information management module to a transmission header and transmission data. The traffic information transmission module for dividing the data into packages and transmitting the data through the transmission channel, and the traffic information collection / classification module and the traffic information management module for classifying tool, traffic information management tool, and setting / status information of data transmission cycle information. And a sensor policy management module that sends to the traffic information transmission module. It is. The traffic information management module classifies the pattern of the collected network traffic into a transmission control protocol (TCP) and a user datagram protocol (UDP). In addition, the traffic information management module uses the Transmission Control Protocol (TCP) as a HyperText Transport Protocol (HTTP), a Simple Mail Transfer Protocol (SMTP), and the hyper. It is classified as a hypertext communication protocol other than the text communication protocol and the simple e-mail transmission protocol. The hypertext communication protocol is classified into "request" for requesting a page and "Respones" for which the server responds to a user's request. . The " request " refers to a host portion, which is a domain of a target for requesting a web server resource, a page having information on a specific page desired by the host, and information about a site transfer step that is currently connected. It is classified as a referer part that it has. The Simple Mail Transfer Protocol (SMTP) uses the Simple Mail Transfer Protocol communication itself as pattern data, and the User Datagram Protocol (UDP) patterns User Datagram Protocol communication itself. Judging from the data. The traffic information management module classifies the user datagram protocol into a domain name server (DNS) and a domain name server other than the domain name server.

또한, 본 발명은 트래픽을 수집하는 단계와, 상기 수집된 트래픽의 프로토콜을 분류하는 단계, 및 상기 분류된 트래픽에 대한 행위를 모델링하는 단계를 포함 하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공한다. 상기 수집된 트래픽의 프로토콜을 분류하는 단계는, 상기 수집된 트래픽을 목적지별 클라이언트 집합으로 구성하는 단계와, 상기 목적지별 클라이언트 집합으로 구성된 트래픽의 특징 요소를 추출하는 단계를 포함한다. 상기 수집된 트래픽을 목적지별 클라이언트 집합으로 구성하는 단계는, 상기 수집된 트래픽의 접속 기록을 저장하는 단계와, 상기 수집된 트래픽을 목적지별 클라이언트 집합으로 구성하는 단계를 포함한다.In addition, the present invention includes the steps of collecting traffic, classifying the protocol of the collected traffic, and modeling the behavior for the classified traffic. Provides a pattern modeling method. The classifying the protocol of the collected traffic may include configuring the collected traffic into a client set for each destination, and extracting feature elements of the traffic configured as the client set for each destination. Configuring the collected traffic into a destination-specific client set includes storing an access record of the collected traffic, and configuring the collected traffic into a destination-specific client set.

본 발명은 수집되는 네트워크 트래픽에 대해서 목적지를 기준으로 네트워크 트래픽의 프로토콜 구분하고, 해당 프로토콜에 대한 세부 항목에 따른 패턴화를 수행함으로써 각각의 클라이언트에 대한 통신 행위를 분류하여 네트워크 행위를 모델링할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공할 수 있다.The present invention can classify the network behavior by classifying the network traffic based on the destination for the collected network traffic and performing patterning according to the detailed items for the corresponding protocol. A behavior pattern modeling system of network traffic for botnet detection and a behavior pattern modeling method of network traffic for botnet detection can be provided.

또한, 본 발명은 네트워크 행위를 모델링, 즉, 네트워크 기반의 행위 패턴을 분석하여 탐지된 봇넷 그룹에서 C&C로 추정되는 서버들에 대해 다운로드와 업로드, 스팸서버 및 명령 제어 서버를 분류할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공할 수 있다.In addition, the present invention models the network behavior, that is, by analyzing the network-based behavior pattern botnet detection that can classify the download and upload, spam server and command control server for the servers estimated to be C & C in the detected botnet group It is possible to provide a behavior pattern modeling system of network traffic and a behavior pattern modeling method of network traffic for botnet detection.

이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.It will be apparent to those skilled in the art that the present invention may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, It is provided to let you know. Like reference numerals in the drawings refer to like elements.

도 1은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 개념도이고, 도 2는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 구성도이다. 도 3은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 봇넷 트래픽 수집센서 개념도이고, 도 4는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 트래픽 정보 수집 모듈 개념도이다. 도 5는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 TCP 접속 패턴 모델링 구성도이며, 도 6은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 UDP 접속 패턴 모델링 구성도이다.1 is a conceptual diagram of a behavior pattern modeling system of network traffic for botnet detection according to the present invention, and FIG. 2 is a block diagram of a behavior pattern modeling system of network traffic for botnet detection according to the present invention. 3 is a conceptual diagram of a botnet traffic collection sensor of a behavior pattern modeling system of network traffic for botnet detection according to the present invention, and FIG. 4 is a conceptual diagram of a traffic information collection module of a behavior pattern modeling system of network traffic for botnet detection according to the present invention. to be. 5 is a TCP connection pattern modeling diagram of the behavior pattern modeling system of network traffic for botnet detection according to the present invention, and FIG. 6 is a UDP connection pattern modeling of the behavior pattern modeling system of network traffic for botnet detection according to the present invention. It is a block diagram.

본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템은 도 1 및 도 2에 도시된 바와 같이, 봇넷 트래픽 수집센서와, 봇넷 트래픽 수집센서에서 수집된 봇넷 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함한다.In the network traffic behavior pattern modeling system for botnet detection according to the present invention, as shown in FIGS. 1 and 2, a botnet detecting a botnet based on the botnet traffic collecting sensor and the botnet traffic collected by the botnet traffic collecting sensor. Detection system.

봇넷 트래픽 수집센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래픽을 수집하기 위한 것으로서, 도 3에 도시된 바와 같이, 트래픽 정보 수집 모 듈과, 트래픽 정보 관리 모듈과, 트래픽 정보 전송 모듈 및 센서 정책 관리 모듈을 포함한다.The botnet traffic collection sensor is for collecting traffic of the corresponding internet service provider network for botnet detection. As shown in FIG. 3, the botnet traffic collection sensor, a traffic information management module, a traffic information management module, a traffic information transmission module, and a sensor policy are provided. Contains a management module.

트래픽 정보 수집 모듈은 도 4에 도시된 바와 같이, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집한다. 수집된 트래픽 정보는 트래픽 정보 저장소의 임시 저장소에 저장되며, 임시 저장소에 저장된 수집 정보는 트래픽 정보 관리 모듈에서 다시 처리된다.The traffic information collection module collects traffic by capturing packets of the monitoring network according to a collection policy using a packet capture tool, as shown in FIG. 4. The collected traffic information is stored in the temporary storage of the traffic information storage, and the collected information stored in the temporary storage is processed again by the traffic information management module.

트래픽 정보 관리 모듈은 트래픽 정보 수집 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신, 파싱(parsing)한 후 그룹화된 행위 정보, 즉, 그룹 데이터 및 피어 봇 정보를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리한다. 이때, 트래픽을 패턴에 따라 분류하고 그룹화하는 것은 아래와 같이 수행할 수 있다.The traffic information management module classifies the information received from the traffic information collection module, receives and parses the traffic information, and processes the grouped behavior information, that is, group data and peer bot information, and stores the traffic information on the database. Store / manage in. In this case, classifying and grouping traffic according to a pattern may be performed as follows.

표 1은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 네트워크 트래픽 패턴 데이터를 나타낸 것이다.Table 1 shows network traffic pattern data of a behavior pattern modeling system of network traffic for botnet detection according to the present invention.

Figure 112009078502454-pat00001
Figure 112009078502454-pat00001

의사소통을 할 수 있는 전송 제어 프로토콜(Transmission Control Protocol, TCP; 이하 TCP라 함)과, 서로 정보를 주고 받을 때 일방적으로 데이터를 전달하는 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP; 이하 UDP라 함)로 분류한다. 또한, 표 1과 도 5를 참조하면, TCP는 하이퍼텍스트 통신 프로토콜(HyperText Transport Protocol, HTTP; 이하 HTTP라 함)과 간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP; 이하 SMTP라 함) 및 그 외의 HTTP(Nomal)로 분류한다. HTTP는 페이지를 요청하는 "request"와, 서버가 사용자의 요청에 대해 응답하는 "Respones"로 분류한다. 이때, SMTP는 그 자체를 패턴 데이터로 사용하며, 그 외의 TCP 트래픽에 대해서는 TCP 통신 자체를 패턴 데이터로 판정한다. 또한, UDP는 표 1과 도 6을 참조하면, DNS와 그 외의 DNS(Nomal)로 분류한다. 이때, UDP 트래픽에 대해서는 UDP 통신 자체를 패턴 데이터로 판정한다. Transmission Control Protocol (TCP), which can communicate, and User Datagram Protocol (UDP), which transfers data unilaterally when exchanging information with each other. Classify as) In addition, referring to Tables 1 and 5, TCP is referred to as the HyperText Transport Protocol (HTTP) (hereinafter referred to as HTTP) and the Simple Mail Transfer Protocol (SMTP) as referred to below. Classified as other HTTP (Nomal). HTTP classifies "request" for requesting a page and "Respones" for which the server responds to a user's request. At this time, SMTP uses itself as the pattern data, and for other TCP traffic, TCP communication itself is determined as the pattern data. Further, referring to Table 1 and Fig. 6, UDP is classified into DNS and other DNS (Nomal). At this time, for UDP traffic, UDP communication itself is determined as pattern data.

표 2는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 접속 패턴 모델링 기준을 나타낸 것이다.Table 2 shows the connection pattern modeling criteria of the behavior pattern modeling system of the network traffic for botnet detection according to the present invention.

Figure 112009078502454-pat00002
Figure 112009078502454-pat00002

표 2를 참조하면, 본 발명은 표 1에서 분류된 프로토콜을 네트워크 트래픽 패턴에 따라 세부적으로 구분한다. 또한, 대분류에 따라 T1, T2, U1 등과 같은 고정적인 표시와, 이에 따른 세부 구분의 하위 패턴이 표현된다. TCP의 HTTP "Request"에 대한 세부 구분에 대해서 웹 서버 자원을 요청하는 대상의 도메인인 호스트(Host) 부분과, 해당 호스트에서 원하는 특정 페이지에 대한 정보를 가지고 있는 페이지(page), 그리고 현 사이트에 접속하기 이전 단계 위에 대한 정보를 가지고 있는 리퍼러(Referer) 부분이 존재하며, 이를 이용하여 HTTP "Request"에 대한 트래픽을 패턴화 한다. 또한, 이에 따라, Host ID와 Page ID 및 리퍼러를 포함하는 세 가지 데이터 필드가 존재한다. TCP의 HTTP "Respones"에 대해서 해당 서버에 대한 응답 코드를 사용하여 트래픽을 패턴화 한다. UDP의 DNS 쿼리(Query)에 대해서 도메인 네임으로 DNS 쿼리 트래픽을 패턴화하며, UDP의 DNS 앤서(Answer)에 대해서 응답으로 온 IP 주소를 사용하여 트래픽을 패턴화 한다.Referring to Table 2, the present invention classifies the protocols classified in Table 1 according to network traffic patterns in detail. In addition, according to a large classification, a fixed display such as T1, T2, U1, and the like, and a subpattern of subdivision accordingly are expressed. For details on the HTTP "Request" of TCP, the Host part, which is the domain of the web server resource request, the page containing information on the specific page desired by the host, and the current site. There is a referrer section that contains information about the steps before connecting, and it uses this to pattern traffic for HTTP "Requests". In addition, there are three data fields including a Host ID, a Page ID, and a referrer. For TCP's HTTP "Respones", pattern the traffic using the response code for that server. Pattern DNS query traffic by domain name for DNS query of UDP, and pattern traffic using IP address in response to DNS answer of UDP.

표 3은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 세부 분류에 대한 패턴 요소 데이터 테이블이다.Table 3 is a pattern element data table for a detailed classification of the behavior pattern modeling system of network traffic for botnet detection according to the present invention.

IDID datadata 1One www.naver.comwww.naver.com 22 www.daum.netwww.daum.net ·
·
·
·
·
·
·
·
·
·
·
·

표 3을 참조하면, HTTP 접속의 호스트 도메인 데이터와 DNS 쿼리의 도메인 데이터는 중복될 가능성이 많으므로 하나의 테이블을 공유한다. 또한, 호스트 리스트는 HTTP 요청에 의해 필수적인 데이터로 삽입되는 것으로서, 도메인 네임이 저장되어 있다. 도메인 리스트는 DNS 쿼리에 대한 질의에 포함되는 데이터이며 질의 하고자 하는 도메인에 대한 이름이 저장되어 있다.Referring to Table 3, the host domain data of the HTTP connection and the domain data of the DNS query are likely to overlap, so they share a table. In addition, the host list is inserted as essential data by the HTTP request, and the domain name is stored. Domain list is the data included in the query for DNS query and the name of the domain to be queried is stored.

표 4는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 페이지 리스트를 나타낸 것이다.Table 4 shows a page list of a network traffic behavior pattern modeling system for botnet detection according to the present invention.

IDID datadata 1One index.htmlindex.html 22 download.phpdownload.php ·
·
·
·
·
·
·
·
·
·
·
·

표 4를 참조하면, 페이지 리스트는 HTTP 요청에 의해 표현되며, 해당 도메인(호스트)에서 어떠한 서버 자원을 사용할 것이지를 요청하는 상세 페이지를 지칭하는 파일명이 저장되어 있다.Referring to Table 4, the page list is represented by an HTTP request, and a file name indicating a detail page for requesting which server resource to use in the corresponding domain (host) is stored.

표 5는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 리퍼러 리스트를 나타낸 것이다.Table 5 shows a referrer list of the behavior pattern modeling system of network traffic for botnet detection according to the present invention.

IDID datadata 1One http://search.naver.com/search.naver..http://search.naver.com/search.naver .. 22 http://www.goggle.co.kr/search?hl=ko&..http://www.goggle.com/search?hl=en& .. ·
·
·
·
·
·
·
·
·
·
·
·

표 5를 참조하면, 리퍼러 리스트는 HTTP 요청에 대해서, 수행하는 객체가 현재 페이지를 방문하기 전에 어떤 링크를 따라오게 되었는지를 알 수 있는 정보로서, 균일 자원 로케이터(Uniform Resource Locator, URL; 이하 URL이라 함) 정보가 저장되어 있다.Referring to Table 5, the referrer list is information that can be used to determine which link the performing object is followed before visiting the current page for the HTTP request, and is referred to as a Uniform Resource Locator (URL). Information is stored.

표 6은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 상태 코드 리스트를 나타낸 것이다.Table 6 shows a status code list of the behavior pattern modeling system of network traffic for botnet detection according to the present invention.

IDID datadata 1One 1xx(정보제공 메시지)1xx (information message) 22 2xx(성공)2xx (success) 33 ...3xx(리다이렉션)... 3xx (Redirect) 44 4xx(클라이언트 에러)4xx (client error) 55 5xx(서버 에러)5xx (server error)

표 6을 참조하면, 상태 코드는 HTTP 응답에 대한 패턴 데이터로서, 해당 서버가 사용자의 웹 서버 자원 요청에 대해 어떻게 처리하였는지를 나타내는 응답 코드이다. 또한, 상태 코드는 응답 코드로서 서버의 서비스 상태를 알 수 있으며, 다양한 응답 코드가 존재하나 본 실시예는 세 자리 숫자에서 첫 번째 한 자리 숫자에 대해서만 패턴 데이터로 사용하여 저장된 것을 예시한다.Referring to Table 6, the status code is pattern data for the HTTP response, and is a response code indicating how the corresponding server handled the user's web server resource request. In addition, the status code can know the service status of the server as a response code, but there are various response codes, but this embodiment illustrates that the first code is stored as the pattern data only for the first one digit from three digits.

표 7은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 쿼리 IP 리스트를 나타낸 것이다.Table 7 shows a query IP list of the behavior pattern modeling system of network traffic for botnet detection according to the present invention.

IDID datadata 1One xxx.xxx.xxx.xxxxxx.xxx.xxx.xxx 22 xxx.xxx.xxx.xxxxxx.xxx.xxx.xxx ·
·
·
·
·
·
·
·
·
·
·
·

표 7을 참조하면, 쿼리 IP 리스트는 DNS 쿼리에 대한 응답, 즉, 앤서(Answer) 트래픽 패턴에 대한 데이터로서, 질의한 도메인에 대한 IP의 정보가 저장되어 있다.Referring to Table 7, the query IP list is a response to a DNS query, that is, data about Answer traffic patterns, and stores information of IPs for the queried domains.

본 발명은 전술된 표시와 ID들을 이용하여 네트워크 트래픽의 행위 패턴을 모델링할 수 있다. 예를 들어, "T1.2.1"은 직접 주소를 입력하여 다음에 접속하는 행위를 의미하며, "T1.1.2.2"는 구글에서 검색한 후 클릭하여 네이버에 접속하는 행위를 의미한다. 또한, "T2.3"은 리다이렉션 연결을 의미하며, "T2.5"는 서버 접속 에러를 의미한다.The present invention can model behavior patterns of network traffic using the indications and IDs described above. For example, "T1.2.1" refers to the act of entering the address directly to access the next time, and "T1.1.2.2" refers to the act of clicking on Naver after searching on Google. In addition, "T2.3" means a redirection connection, "T2.5" means a server connection error.

한편, 트래픽 정보 전송 모듈은 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 봇넷 탐지 시스템에 전송한다.Meanwhile, the traffic information transmission module divides the traffic information parsed by the traffic information management module into a transmission header and transmission data, and then packages the data and transmits the data to the botnet detection system through a transmission channel.

센서 정책 관리 모듈은 분류 툴, 트래픽 정보관리 툴, 데이터 전송 주기 정보의 설정/상태 정보를 트래픽 정보 수집 모듈과 트래픽 정보 관리 모듈 및 트래픽 정보 전송 모듈에 전송한다.The sensor policy management module transmits the setting / status information of the classification tool, the traffic information management tool, and the data transmission period information to the traffic information collection module, the traffic information management module, and the traffic information transmission module.

봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이러한 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 하나 이상이 존재할 수 있다.The botnet detection system is installed in an internet service provider network and detects a botnet operating in the corresponding internet service provider network based on the traffic information collected by the traffic collection sensor. One or more such botnet detection systems may exist in the Internet service provider network.

봇넷 관제/보안관리 시스템은 각종 설정 및 상태정보를 관제시스템과 송수신하고, 봇넷 트래픽 수집센서로부터 봇넷에 관한 그룹행위정보와 피어봇 정보를 수신하여 트래픽 분류 후 구성 및 행위분석을 한 후 데이터베이스에 저장한다. 또한, 데이터베이스에 저장된 구성 및 행위분석 정보를 다시 관제시스템으로 전송한다.The botnet control / security management system sends and receives various settings and status information with the control system, receives group behavior information and peer bot information about the botnet from the botnet traffic collection sensor, classifies the traffic, stores it in the database after configuration and behavior analysis. do. In addition, the configuration and behavior analysis information stored in the database is transmitted back to the control system.

상술한 바와 같이 본 발명은 수집되는 네트워크 트래픽에 대해서 목적지를 기준으로 네트워크 트래픽의 프로토콜 구분하고, 해당 프로토콜에 대한 세부 항목에 따른 패턴화를 수행함으로써 각각의 클라이언트에 대한 통신 행위를 분류하여 네트워크 행위를 모델링할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템을 제공할 수 있다. 또한, 본 발명은 네트워크 행위를 모델링, 즉, 네트워크 기반의 행위 패턴을 분석하여 탐지된 봇넷 그룹에서 C&C로 추정되는 서버들에 대해 다운로드와 업로드, 스팸서버 및 명령 제어 서버를 분류할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템을 제공할 수 있다.As described above, the present invention classifies the network activity by classifying the communication activity for each client by performing protocol classification of the network traffic on the basis of the destination for the collected network traffic, and performing patterning according to the detailed items for the corresponding protocol. It is possible to provide a behavior pattern modeling system of network traffic for botnet detection that can be modeled. In addition, the present invention models the network behavior, that is, by analyzing the network-based behavior pattern botnet detection that can classify the download and upload, spam server and command control server for the servers estimated to be C & C in the detected botnet group It can provide a behavior pattern modeling system of network traffic for.

다음은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템에 대한 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.Next, a behavior pattern modeling method of network traffic for botnet detection according to the present invention will be described with reference to the accompanying drawings. In the following description, the description overlapping with the description of the behavior pattern modeling system of the network traffic for botnet detection according to the present invention will be omitted or briefly described.

도 7은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법의 순서도이다.7 is a flowchart illustrating a behavior pattern modeling method of network traffic for botnet detection according to the present invention.

본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법은 도 7에 도시된 바와 같이, 트래픽을 수집하는 단계(S1)와, 프로토콜을 분류하는 단계(S2), 및 트래픽에 대한 행위를 모델링하는 단계(S3)를 포함한다.In the behavior pattern modeling method of network traffic for botnet detection according to the present invention, as shown in FIG. 7, the traffic collecting step S 1 , the protocol classification step S 2 , and the traffic acting Modeling step (S 3 ) comprises.

트래픽을 수집하는 단계(S1)는 패킷 캡춰 도구를 사용하여 네트워크의 트래픽 데이터를 수집 정책에 따라 수집한다. 이를 위해 다수의 네트워크 내에는 트래픽 정보 수집 센서가 구비되며, 봇넷 관제 및 보안관리 시스템에서 설정한 트래픽 수집 정책에 따라 트래픽 정보를 수집한다.In the step of collecting traffic (S 1 ), traffic data of the network is collected using a packet capture tool according to a collection policy. To this end, traffic information collection sensors are provided in a plurality of networks, and traffic information is collected according to a traffic collection policy set by a botnet control and security management system.

프로토콜을 분류하는 단계(S2)는 트래픽을 수집하는 단계에서 수집된 트래픽을 프로토콜별로 분류한다. 프로토콜을 분류하는 단계는 목적지별 클라이언트 집합으로 구성하는 단계(S2-1), 및 트래픽의 특징 요소를 추출하는 단계(S2-2)를 포함한다.In the step of classifying protocols (S 2 ), the traffic collected in the step of collecting traffic is classified for each protocol. The step of classifying the protocol includes configuring a set of destination-specific clients (S 2-1 ), and extracting traffic feature elements (S 2-2 ).

목적지별 클라이언트 집합으로 구성하는 단계(S2-1)는 트래픽을 수집하는 단계에서 수집된 프로토콜을 분석하여 목적지가 동일한 클라이언트 집합으로 구성한다. 이러한 목적지별 클라이언트 집합으로 구성하는 단계(S2-1)는 수집된 접속 기록을 저장하는 단계(S2-1-1)와, 클라이언트 집합으로 구성하는 단계(S2-1-2)를 포함한다.Phase constituting the destination set by the client (S 2-1) is configured to analyze the collected protocol on collecting the traffic in the same client sets the destination. The step S 2-1 of configuring the destination-specific client set includes storing the collected access records S 2-1-1 and configuring the client set S 2-1-2 . do.

수집된 접속 기록을 저장하는 단계(S2-1-1)는 트래픽 정보 수집 센서를 통해 수집된 접속 기록을 저장함과 동시에 일정한 시간 구간 동안 수집된 접속 기록을 모두 저장한다.In the storing of the collected access records (S 2-1-1 ), the access records collected through the traffic information collecting sensor are stored and at the same time, all the access records collected for a certain time interval are stored.

클라이언트 집합으로 구성하는 단계(S2-1-2)는 수집된 트래픽 정보를 분석하여 프로토콜별로 구분한 후 이를 클라이언트 집합으로 구성한다. 프로토콜의 분류는 전술된 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 같이 크게 TCP와 UDP로 구분되며, TCP는 HTTP와 SMTP 및 그 외 HTTP로 분류된다. 또한, UDP는 DNS와 그 외 DNS로 분류된다. 이때, 프로토콜의 분석은 실제 트래픽의 콘텐츠를 분석하여 구분하며, 그룹 데이터는 아이피와 포트, 즉, 목적지 주소를 기반으로 하여 구성한다.In step S 2-1-2 , the collected traffic information is analyzed and classified according to protocols, and then configured as a client set. The classification of protocol is largely divided into TCP and UDP like the behavior pattern modeling system of network traffic for botnet detection according to the present invention described above, and TCP is classified into HTTP, SMTP and other HTTP. Also, UDP is classified into DNS and other DNS. At this time, the analysis of the protocol is to analyze the content of the actual traffic, and the group data is configured based on the IP and port, that is, the destination address.

트래픽의 특징 요소를 추출하는 단계(S2-2)는 분류된 프로토콜 패킷의 헤더와 콘텐츠를 분석하여 트래픽의 특징 요소를 추출한다.Extracting the feature elements of the traffic (S 2-2 ) extracts the feature elements of the traffic by analyzing headers and contents of the classified protocol packets.

트래픽에 대한 행위를 모델링하는 단계(S3)는 추출된 트래픽의 특징 요소 중 TCP/IP 계층의 헤더와 IPv4 헤더를 분석하여 트래픽에 대한 행위를 모델링한다. 이후, 모델링된 트래픽에 대한 행위 정보를 이용하여 봇넷을 탐지할 수 있다.In the step S 3 of modeling the behavior of traffic, the behavior of the traffic is modeled by analyzing the header of the TCP / IP layer and the IPv4 header among the features of the extracted traffic. Then, the botnet can be detected using the behavior information on the modeled traffic.

상술한 바와 같이 본 발명은 수집되는 네트워크 트래픽에 대해서 목적지를 기준으로 네트워크 트래픽의 프로토콜 구분하고, 해당 프로토콜에 대한 세부 항목에 따른 패턴화를 수행함으로써 각각의 클라이언트에 대한 통신 행위를 분류하여 네트워크 행위를 모델링할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공할 수 있다. 또한, 본 발명은 네트워크 행위를 모델링, 즉, 네트워크 기반의 행위 패턴을 분석하여 탐지된 봇넷 그룹에서 C&C로 추정되는 서버들에 대해 다운로드와 업로드, 스팸서버 및 명령 제어 서버를 분류할 수 있는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법을 제공할 수 있다.As described above, the present invention classifies the network activity by classifying the communication activity for each client by performing protocol classification of the network traffic on the basis of the destination for the collected network traffic, and performing patterning according to the detailed items for the corresponding protocol. It is possible to provide a method for modeling behavior patterns of network traffic for botnet detection that can be modeled. In addition, the present invention models the network behavior, that is, by analyzing the network-based behavior pattern botnet detection that can classify the download and upload, spam server and command control server for the servers estimated to be C & C in the detected botnet group It can provide a behavior pattern modeling method of network traffic for.

이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the drawings and embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit of the invention described in the claims below. I can understand.

도 1은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 개념도.1 is a conceptual diagram of a behavior pattern modeling system of network traffic for botnet detection according to the present invention;

도 2는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 구성도.2 is a block diagram of a behavior pattern modeling system of network traffic for botnet detection according to the present invention;

도 3은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 봇넷 트래픽 수집센서 개념도.3 is a conceptual diagram of a botnet traffic collecting sensor of a behavior pattern modeling system of network traffic for botnet detection according to the present invention;

도 4는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 트래픽 정보 수집 모듈 개념도.4 is a conceptual diagram of a traffic information collection module of a behavior pattern modeling system of network traffic for botnet detection according to the present invention;

도 5는 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 TCP 접속 패턴 모델링 구성도.5 is a TCP connection pattern modeling configuration diagram of a behavior pattern modeling system for network traffic for botnet detection according to the present invention;

도 6은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템의 UDP 접속 패턴 모델링 구성도.Figure 6 is a UDP connection pattern modeling configuration of the behavior pattern modeling system of network traffic for botnet detection according to the present invention.

도 7은 본 발명에 따른 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법의 순서도.7 is a flowchart of a behavior pattern modeling method of network traffic for botnet detection according to the present invention;

Claims (10)

삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 네트워크 내의 트래픽을 수집하여 목적지별로 분류하는 봇넷 트래픽 수집센서와, 상기 봇넷 트래픽 수집센서에서 수집된 봇넷 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템으로서,A botnet traffic collection sensor for collecting traffic in the network and classifying the destination by a destination, and a botnet detection system for detecting a botnet based on the botnet traffic collected by the botnet traffic collection sensor. Behavior pattern modeling system, 상기 봇넷 트래픽 수집센서가,The botnet traffic collection sensor, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집하는 트래픽 정보 수집 모듈;A traffic information collection module for capturing traffic by capturing packets of the monitoring network according to a collection policy using a packet capture tool; 상기 트래픽 정보 수집 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신 및 파싱(parsing)한 후 그룹화된 행위 정보인 그룹 데이터 및 피어 봇 정보를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리하는 트래픽 정보 관리 모듈;After classifying the information received from the traffic information collection module, receiving and parsing the traffic information, processing the group data and peer bot information, which is grouped behavior information, and storing and managing the traffic information in the database An information management module; 상기 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 데이터 전송하는 트래픽 정보 전송 모듈; 및A traffic information transmission module for dividing the traffic information parsed by the traffic information management module into a transmission header and transmission data and packaging the data to transmit data through a transmission channel; And 분류 툴, 트래픽 정보관리 툴, 데이터 전송 주기 정보의 설정/상태 정보를 트래픽 정보 수집 모듈, 트래픽 정보 관리 모듈 및 트래픽 정보 전송 모듈에 전송하는 센서 정책 관리 모듈을 포함하고,A classification tool, a traffic information management tool, a sensor policy management module for transmitting setting / status information of data transmission cycle information to a traffic information collecting module, a traffic information management module, and a traffic information transmitting module, 상기 트래픽 정보 관리 모듈이,The traffic information management module, 수집된 네트워크 트래픽의 패턴을 분류함에 있어서, TCP 및 UDP로 분류하고, 상기 TCP를, HTTP, SMTP 및 상기 HTTP 및 SMTP 이외의 HTTP(Normal)로 분류하고, 상기 HTTP를 페이지를 요청하는 "Request" 및 서버가 사용자의 요청에 대해 응답하는 "Respone"로 분류하고,In classifying the pattern of collected network traffic, classify as TCP and UDP, classify the TCP as HTTP, SMTP and HTTP (Normal) other than the HTTP and SMTP, and request the page to request "HTTP". And "Respone" in which the server responds to user requests. 분류된 프로토콜에 대하여 패턴화함에 있어서, 세부 구분의 하위 패턴으로 구분하되, 상기 TCP의 HTTP의 "Request"를 웹 서버 자원을 요청하는 대상의 도메인 네임이 저장되는 호스트 부분(Host ID), 상기 호스트에서 어떠한 서버 자원을 사용할 것인지를 요청하기 위한 상세 페이지를 나타내는 파일명이 저장되는 페이지 부분(Page ID) 및 현재 접속한 페이지를 방문하기 전의 이전 페이지에 대한 URL 정보가 저장되는 리퍼러 부분(Referer ID)으로 분류한 후 이를 사용하여 "Request"에 대한 트래픽을 패턴화하고, 상기 TCP의 HTTP의 "Response"를 해당 서버가 사용자의 웹 서버 자원 요청에 대하여 처리한 결과인 응답 코드(State Code ID)를 사용하여 "Response" 트래픽을 패턴화하고, 상기 SMTP에 대하여는 SMTP 통신 자체를 패턴 데이터로 사용하여 패턴화하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.In the patterning of the classified protocols, the subdivisions are divided into sub-patterns, and the host portion (Host ID) in which the domain name of the target of requesting the web server resource is stored in the "Request" of the HTTP. Page ID that stores the file name indicating the detail page for requesting which server resource to use, and Referer ID, which stores URL information about the previous page before visiting the currently accessed page. After classifying, use it to pattern traffic for "Request", and use the response code (State Code ID) that is the result of processing the "Response" of HTTP of the TCP for the user's web server resource request. Patterning "Response" traffic, and patterning the SMTP using the SMTP communication itself as pattern data. Network traffic behavior patterns modeling system for detection. 네트워크 내의 트래픽을 수집하여 목적지별로 분류하는 봇넷 트래픽 수집센서와, 상기 봇넷 트래픽 수집센서에서 수집된 봇넷 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템으로서,A botnet traffic collection sensor for collecting traffic in the network and classifying the destination by a destination, and a botnet detection system for detecting a botnet based on the botnet traffic collected by the botnet traffic collection sensor. Behavior pattern modeling system, 상기 봇넷 트래픽 수집센서가,The botnet traffic collection sensor, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 패킷을 수집 정책에 따라 캡처하여 트래픽을 수집하는 트래픽 정보 수집 모듈;A traffic information collection module for capturing traffic by capturing packets of the monitoring network according to a collection policy using a packet capture tool; 상기 트래픽 정보 수집 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신 및 파싱(parsing)한 후 그룹화된 행위 정보인 그룹 데이터 및 피어 봇 정보를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리하는 트래픽 정보 관리 모듈;After classifying the information received from the traffic information collection module, receiving and parsing the traffic information, processing the group data and peer bot information, which is grouped behavior information, and storing and managing the traffic information in the database An information management module; 상기 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 데이터 전송하는 트래픽 정보 전송 모듈; 및A traffic information transmission module for dividing the traffic information parsed by the traffic information management module into a transmission header and transmission data and packaging the data to transmit data through a transmission channel; And 분류 툴, 트래픽 정보관리 툴, 데이터 전송 주기 정보의 설정/상태 정보를 트래픽 정보 수집 모듈, 트래픽 정보 관리 모듈 및 트래픽 정보 전송 모듈에 전송하는 센서 정책 관리 모듈을 포함하고,A classification tool, a traffic information management tool, a sensor policy management module for transmitting setting / status information of data transmission cycle information to a traffic information collecting module, a traffic information management module, and a traffic information transmitting module, 상기 트래픽 정보 관리 모듈이,The traffic information management module, 수집된 네트워크 트래픽의 패턴을 분류함에 있어서, TCP 및 UDP로 분류하고, 상기 UDP를 DNS와 상기 DNS 이외의 DNS(Normal)로 분류하고, DNS를 도메인에 대한 질의인 DNS 쿼리(Query)와 DNS 쿼리에 대한 응답인 DNS 앤서(Answer)로 분류하고,In classifying the pattern of collected network traffic, classify as TCP and UDP, classify the UDP as DNS and DNS (Normal) other than the DNS, and DNS as a query for domain and DNS query Categorize as DNS Answer, the response to 분류된 프로토콜에 대하여 패턴화함에 있어서, 상기 UDP에 대하여 UDP 통신 자체를 패턴 데이터로 사용하여 패턴화하되, 상기 UDP의 DNS의 DNS 쿼리에 대하여 도메인 네임(Domain ID)을 사용하여 DNS 쿼리에 대한 트래픽을 패턴화하고, 상기 UDP의 DNS의 DNS 앤서에 대하여 DNS 쿼리에 대한 응답으로 온 IP 주소(IP ID)를 사용하여 DNS 앤서에 대한 트래픽을 패턴화하는 것을 특징으로 하는 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템.In patterning the classified protocol, the UDP communication is used as pattern data for the UDP, and the traffic for the DNS query is performed by using a domain ID for the DNS query of the UDP. Patterning the traffic to the DNS answer using an IP address (IP ID) in response to a DNS query for the DNS answer of the DNS of the UDP. Behavior pattern modeling system. 삭제delete 삭제delete 삭제delete
KR1020090126884A 2009-12-18 2009-12-18 Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting KR101084681B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090126884A KR101084681B1 (en) 2009-12-18 2009-12-18 Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting
US12/821,510 US20110153811A1 (en) 2009-12-18 2010-06-23 System and method for modeling activity patterns of network traffic to detect botnets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090126884A KR101084681B1 (en) 2009-12-18 2009-12-18 Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting

Publications (2)

Publication Number Publication Date
KR20110070161A KR20110070161A (en) 2011-06-24
KR101084681B1 true KR101084681B1 (en) 2011-11-22

Family

ID=44401722

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090126884A KR101084681B1 (en) 2009-12-18 2009-12-18 Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting

Country Status (1)

Country Link
KR (1) KR101084681B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190021758A (en) * 2017-08-23 2019-03-06 주식회사 수산아이앤티 Method and apparatus for identifying terminals

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101424489B1 (en) * 2013-01-02 2014-08-13 주식회사 윈스 System and the method for detecting unknown Command and Control Server
US11553054B2 (en) * 2020-04-30 2023-01-10 The Nielsen Company (Us), Llc Measurement of internet media consumption

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문1 : 한국정보처리학회 (2008.11)*

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190021758A (en) * 2017-08-23 2019-03-06 주식회사 수산아이앤티 Method and apparatus for identifying terminals
KR101976162B1 (en) * 2017-08-23 2019-08-28 주식회사 수산아이앤티 Method and apparatus for identifying terminals

Also Published As

Publication number Publication date
KR20110070161A (en) 2011-06-24

Similar Documents

Publication Publication Date Title
KR101010302B1 (en) Security management system and method of irc and http botnet
US20110153811A1 (en) System and method for modeling activity patterns of network traffic to detect botnets
Lima Filho et al. Smart detection: an online approach for DoS/DDoS attack detection using machine learning
TWI648650B (en) Gateway device, detection method of malicious domain and host host, and non-transitory computer readable media
Bhatia et al. Distributed denial of service attacks and defense mechanisms: current landscape and future directions
CN101924757B (en) Method and system for reviewing Botnet
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
KR20140027616A (en) Apparatus and method for detecting http botnet based on the density of web transaction
Cai et al. Detecting HTTP botnet with clustering network traffic
Husák et al. Security monitoring of http traffic using extended flows
Bachupally et al. Network security analysis using Big Data technology
Jin et al. Design of detecting botnet communication by monitoring direct outbound DNS queries
KR101188305B1 (en) System and method for botnet detection using traffic analysis of non-ideal domain name system
Garant et al. Mining botnet behaviors on the large-scale web application community
CN106790073B (en) Blocking method and device for malicious attack of Web server and firewall
KR101084681B1 (en) Behavior pattern modelling system of network traffic for botnet detecting and behavior pattern modelling method of network traffic for botnet detecting
EP3789890A1 (en) Fully qualified domain name (fqdn) determination
Lampesberger et al. An on-line learning statistical model to detect malicious web requests
KR101078851B1 (en) Botnet group detecting system using group behavior matrix based on network and botnet group detecting method using group behavior matrix based on network
Zheng et al. A network state based intrusion detection model
Mohammed Network-Based Detection and Prevention System Against DNS-Based Attacks
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
KR101025502B1 (en) Network based detection and response system and method of irc and http botnet
Najafabadi Machine Learning Algorithms for the Analysis and Detection of Network Attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141104

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151020

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee