KR101156008B1 - 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법 - Google Patents

Abstract

본 발명은 봇넷 탐지 시스템 및 그 방법에 대한 것으로서, 특히 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법에 관한 것이다. 본 발명은 수집된 트래픽의 패턴을 매칭하여 해당 트래픽의 통신 객체를 효과적으로 탐지할 수 있는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법을 제공할 수 있다. 또한, 본 발명은 수집된 트래픽의 패턴을 탐지할 때 사용되는 룰을 순차적으로 업데이트하여 룰 업데이트를 효과적으로 할 수 있는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법을 제공할 수 있다.

Description

네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법{SYSTEM AND METHOD FOR BOTNET DETECTION BASED ON SIGNATURE USING NETWORK TRAFFIC ANALYSIS}

본 발명은 봇넷 탐지 시스템 및 그 방법에 대한 것으로서, 특히 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법에 관한 것이다.

봇은 로봇(Robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 이러한 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다. 즉, 봇넷을 이루는 봇 클라이언트와 C&C(Command and Control) 서버간의 통신 프로토콜로 IRC 프로토콜일 경우에 IRC 봇넷으로 분류되며, HTTP 프로토콜일 경우에는 HTTP 봇넷으로 분류될 수 있다. 이때, 개인용 컴퓨터에 감염되어 수많은 봇이 네트워크로 연결되어 봇넷(Botnet)을 형성하게 된다. 이렇게 형성된 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다.

이와 같이, 봇넷을 통한 공격이 지속적으로 증가하고, 점차 방법이 다양화되고 있으며, 또한 금전적 이득을 목표로 하는 범죄화 양상을 보이고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/암호(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.

하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있어 그 문제점이 심각하다.

본 발명의 목적은 수집된 트래픽의 통신 객체를 탐지할 수 있는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법을 제공하는 것이다.

상술한 목적을 달성하기 위해 본 발명은 봇넷 탐지 대상 네트워크의 트래픽을 수집하여 필터링하는 트래픽 수집 엔진과, 상기 트래픽 수집 엔진에서 필터링된 트래픽 중 로우 트래픽 정보를 이용하여 해당 로우 트래픽의 패턴을 미리 저장된 봇넷 통신 패턴과 매칭하여 봇넷을 탐지하는 경량 탐지 엔진을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템을 제공한다. 상기 트래픽 수집 엔진에서 필터링된 트래픽 중 IP 트래픽 정보를 이용하여 해당 트래픽을 목적지별로 그룹화하는 그룹 분석 엔진과, 상기 트래픽 수집 엔진에서 필터링된 트래픽 중 DNS 트래픽 정보를 이용하여 이상 DNS와 패스트-플럭스를 탐지하는 DNS 분석 엔진을 포함한다. 상기 그룹 분석 엔진의 그룹 수집 정책과, 상기 DNS 분석 엔진의 도메인 관리 정책을 관리하는 정책관리 모듈과, 상기 트래픽 수집 센서 시스템을 관리하는 시스템 관리 모듈과, 상기 트래픽 수집 정책이 저장되는 정책 데이터베이스, 및 상기 트래픽 수집 엔진의 트래픽 수집에 대한 로그가 저장되는 상태 데이터베이스를 가지는 시스템 관리 엔진을 포함한다.

상기 트래픽 수집 엔진은 상기 트래픽 필터링 모듈에서 필터링된 트래픽 중 트래픽 덤프 대상인 트래픽을 덤프시키는 트래픽 덤프 모듈을 포함한다. 상기 경량 탐지 엔진은, 상기 트래픽 수집 엔진에서 필터링된 트래픽 중 로우 트래픽 정보를 이용하여 해당 로우 트래픽의 패턴을 봇넷 통신 패턴과 매칭하여 봇넷 C&C IP와 좀비 IP를 탐지하는 패턴 기반 탐지 모듈과, 상기 트래픽 덤프 모듈에서 덤프된 트래픽으로 트래픽 탐지 패턴을 생성하는 패턴 생성 모듈, 및 상기 패턴 생성 모듈에서 생성된 트래픽 탐지 패턴과, 상기 시스템 관리 엔진의 정책 데이터베이스를 상기 패턴 기반 탐지 모듈에 적용 및 관리하는 패턴 적용 및 룰 관리 모듈을 포함한다. 상기 패턴 기반 탐지 모듈은 다수개의 패턴 기반 탐지 모듈을 포함하고, 상기 패턴 적용 및 룰 관리 모듈은 상기 다수개의 패턴 기반 탐지 모듈에 순차적으로 룰을 업데이트하며, 상기 다수개의 패턴 기반 탐지 모듈 중 룰이 업데이트되는 패턴 기반 탐지 모듈은 룰이 업데이트될 때 동작을 중지하고, 룰 업데이트가 완료된 후 재작동되는 것이 바람직하다.

또한, 본 발명은 봇넷 탐지 대상 네트워크의 트래픽을 수집하는 단계와, 상기 수집된 트래픽 중 로우 트래픽의 패턴을 미리 저장된 봇넷 통신 패턴과 매칭시켜 상기 로우 트래픽의 통신 객체를 탐지하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법을 제공한다. 상기 봇넷 탐지 대상 네트워크의 트래픽을 수집하는 단계는, 상기 수집된 트래픽이 덤프 대상 트래픽일 경우, 해당 트래픽을 덤프하는 단계를 포함한다. 상기 수집된 트래픽 중 로우 트래픽의 패턴을 미리 저장된 봇넷 통신 패턴과 매칭시켜 상기 로우 트래픽의 통신 객체를 탐지하는 단계는, 상기 덤프된 트래픽 정보로 트래픽 탐지 패턴을 생성하는 단계, 및 상기 로우 트래픽의 패턴과 상기 트래픽 탐지 패턴을 매칭시켜 상기 로우 트래픽의 통신 객체를 탐지하는 단계를 포함한다.

본 발명은 수집된 트래픽의 패턴을 매칭하여 해당 트래픽의 통신 객체를 효과적으로 탐지할 수 있는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법을 제공할 수 있다.

또한, 본 발명은 수집된 트래픽의 패턴을 탐지할 때 사용되는 룰을 순차적으로 업데이트하여 룰 업데이트를 효과적으로 할 수 있는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법을 제공할 수 있다.

도 1은 본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템의 개념도.
도 2는 본 발명에 따른 트래픽 수집 센서 시스템의 개념도.
도 3은 본 발명에 따른 트래픽 수집 엔진의 개념도.
도 4 및 도 5는 본 발명에 따른 DNS 분석 엔진의 개념도.
도 6은 본 발명에 따른 경량 탐지 엔진의 개념도.
도 7은 본 발명에 따른 룰 입력 방안에 대한 순서도.
도 8은 본 발명에 따른 블랙리스트 관리 방안에 대한 순서도.
도 9는 본 발명에 따른 시스템 관리 엔진의 개념도.
도 10은 본 발명에 따른 봇넷 탐지 시스템의 개념도.
도 11과 도 12는 본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법의 순서도.

이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.

그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.

도 1은 본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템의 개념도이다.

본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템은 도 1에 도시된 바와 같이, 탐지 대상인 네트워크의 트래픽을 수집하는 트래픽 수집 센서 시스템과, 트래픽 수집 센서 시스템에서 탐지된 정보로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함한다.

도 2는 본 발명에 따른 트래픽 수집 센서 시스템의 개념도이다.

트래픽 수집 센서 시스템(Traffic Collector sensor System, TCS)은 봇넷을 탐지를 위해 트래픽을 수집하기 위한 것으로서, 도 2에 도시된 바와 같이, 봇넷 탐지 대상인 네트워크의 트래픽을 수집하는 트래픽 수집 엔진과, 트래픽 수집 엔진에서 수집된 트래픽 중 IP 트래픽 정보를 이용하여 IP를 기준으로 그룹화하는 그룹 분석 엔진, 수집 트래픽 중 DNS 요청 트래픽을 분석하여 비이상적인 트래픽 행위 및 의심 도메인에 대한 패스트-플럭스를 탐지하는 DNS 분석 엔진, 수집된 트래픽 중 로우 패킷 정보를 이용하여 패턴 기반 탐지 정보를 생성하는 경량 탐지 엔진, 그룹 분석 엔진과 DNS 분석 엔진 및 경량 탐지 엔진에서 전송된 정보를 저장하여 관리하는 정보 관리 엔진, 블랙리스트와 화이트리스트 및 트래픽 덤프 수집 정보 정책 등을 관리하는 시스템 관리 엔진, 및 트래픽 수집 센서 시스템에서 가공된 정보를 봇넷 탐지 시스템으로 전송하는 등의 외부 시스템과 통신을 수행하는 통신 엔진을 포함한다.

도 3은 본 발명에 따른 트래픽 수집 엔진의 개념도이다.

트래픽 수집 엔진(Botnet Collection Sensor, TCE)은 모니터링 네트워크를 미러링한 후 트래픽 수신하기 위한 것으로서, 도 3에 도시된 바와 같이, 탐지 대상인 네트워크의 트래픽을 필터링하는 트래픽 필터링 모듈과, 탐지 대상인 네트워크에서 수집되는 트래픽 패킷의 풀을 관리하는 트래픽 패킷 풀 관리 모듈, 탐지 대상인 네트워크에서 수집되는 트래픽 중 덤프 대상인 트래픽을 덤프시키는 트래픽 덤프 모듈, 탐지 대상인 네트워크에서 수집되는 트래픽의 수집 상태를 관리하는 수집 상태 관리 모듈을 포함한다.

트래픽 필터링 모듈은 수집되는 트래픽을 필터링 하기 위한 것으로서, 트래픽 덤프 모듈과 경량 탐지 엔진, DNS 분석 엔진, 및 그룹 분석 엔진에 필터링된 트래픽을 전달한다. 이때, 트래픽 수집 엔진에서 수집된 모든 트래픽을 필터링 없이 모든 엔진에 보내는 것은 효율적이지 못하므로, 각 엔진이 필요로 하는 트래픽을 필터링하여 전송한다. 예외적으로 트래픽 덤프 엔진은 관리자에 의해 특정 대상의 트래픽을 수집하는 엔진으로 필터링 하지 않은 트래픽을 전송한다. 또한, 화이트 리스트와 블랙리스트를 필터링하여 각 탐지 엔진에 적합한 트래픽을 전송하는 것이 바람직하다.

트래픽 덤프 모듈은 트래픽 필터링 모듈에서 필터링된 트래픽 중 덤프 대상인 트래픽을 덤프시키기 위한 것으로서, 수집 정책에 따라 관리자가 지정한 IP에 대해서는 시간과 용량에 상응하는 트래픽 정보를 pcap 형태로 덤프할 수 있다.

그룹 분석 엔진(Group Analysys Engine, GAE)은 수집된 트래픽을 목적지별 그룹 데이터로 가공하기 위한 것으로서, IP 기반 그룹 추출 모듈과, P2P 그룹 추출 모듈을 포함한다.

IP 기반 그룹 추출 모듈은 수집된 트래픽에서 특정 IP로의 통신 행위를 기준으로 그룹 정보를 추출한다. 이때, 그룹화 대상은 그룹화 정책에 명시된 IP로 한정할 수 있으며, 전체 트래픽을 대상으로 할 수도 있다. 물론, 전체 트래픽이 대상인 경우, 화이트리스트를 제외한 트래픽에 한해서 IP 기잔 그룹 정보를 생성하는 것이 바람직하다. 또한, 그룹 구성은 단위 시간에 구성된 그룹의 클라이언트 개수가 n개 이상인 경우에 그룹으로 수집하여 IP 기반 그룹 정보를 생성하는 것이 바람직하다. 이러한 IP 기반 그룹 정보는 특정 시간 구간을 두고 이루어지는 것이 효과적이다.

P2P 그룹 추출 모듈은 수집된 트래픽에서 개인 간의 통신 행위를 기준으로 그룹 정보를 추출한다.

도 4 및 도 5는 본 발명에 따른 DNS 분석 엔진의 개념도이다.

DNS 분석 엔진(Domain name system Analysys Engine, DAE)은 수집 트래픽 중 DNS 요청 트래픽을 분석하여 비이상적인 트래픽 행위를 탐지하고, 봇넷을 탐지하기 위해 활용될 수 있는 DNS 기반 탐지 정보를 추출한다. 이러한 DNS 분석 엔진은 트래픽 수집 엔진으로부터 DNS 관련 트래픽을 수신하여 화이트 리스트를 제외한 의심 도메인을 추출하고 특정 도메인에 대한 그룹 정보를 수집한다. 또한, 추출된 의심 도메인에서 패스트-플럭스를 탐지하는 기능을 수행한다. 이를 위해서 DNS 분석 엔진은 도 4에 도시된 바와 같이, DNS 기반 그룹 추출 모듈과, DNS 패스트-플럭스 탐지 모듈, 및 DNS 트래픽 분석 모듈을 포함한다.

DNS 기반 그룹 추출 모듈은 DNS 트래픽을 분석하여 네트워크에서 요청되는 유아르엘(Uniform Resource Locator, URL; 이하, URL 이라 함)을 추출한다. 여기서, 추출되는 URL은 잘 알려진 안전한 도메인을 제외할 수 있다. 또한, 추출된 URL을 의심 URL로 리스트 업하여 저장한다. 이때, 의심 URL을 쿼리한 클라이언트를 URL을 기준으로 그룹화 한다.

DNS 패스트-플럭스 탐지 모듈은 의심 URL 리스트에 있는 각 URL에 대해, 분산된 IP 공간을 만들어내는 패스트-플럭스(Fast-Flux)를 능동적 모니터링(Active Monitoring) 방식으로 탐지한다. 이때, DNS 패스트-플럭스의 탐지는 탐지 대상인 도메인(Domain) 리스트를 이용하여 시스템의 리소스가 허용하는 만큼 탐지 엔진을 운영한다. 입력 도메인에 대해 직접 최초 도메인 네임 시스템 룩업 쿼리(Domain Name System LookUp Query, DNSLPQ)를 수행하여 A 섹션의 IP 정보를 분석한다. 이때, 응답 정보에 대해서 응답 IP가 3개 이하인 경우 패스트-플럭스일 가능성이 희박하므로, 해당 도메인에 대해서는 탐지 프로세스를 종료한다. 반면, 응답 정보에 대해서 다수의 응답 IP가 있는 경우, 응답 정보의 TTL이 지난 후 다시 해당 도메인에 대한 도메인 네임 시스템 룩업 쿼리를 요청하여 A 섹션의 IP와 그 전의 IP와의 변동 유무를 분석한다. 이때, TTL이 길 경우, 그 만큼 탐지 시간이 길고, 패스트-플러스일 가능성이 희박하므로 TTL이 300을 초과하는 경우에는 해당 도메인에 대해서 탐지 프로세스를 종료한다. 하지만, TTL이 300이하일 경우에는 추가 쿼리 결과에 따라 B Class 이상의 IP가 50% 이상 변경된 경우, 패스트-플럭스로 판정한다.

DNS 트래픽 분석 모듈은 DNS 기반 그룹 추출 모듈에서 그룹화된 DNS 트래픽, 즉, DNS 그룹에서 이상 DNS 트래픽을 분석한다.

도 6은 본 발명에 따른 경량 탐지 엔진의 개념도이다.

도 6을 참조하면, 경량 탐지 엔진(Light Botnet Detection Engine, LBDE)은 수집 트래픽에 대해 패턴 기반 탐지와 이상 DNS를 탐지하기 위한 것으로서, 알려진 봇넷 통신 패턴을 입력으로 하여 해당 통신 패턴의 통신 객체를 탐지한다. 이러한 경량 탐지 엔진은 패턴 기반 탐지 모듈과, 트래픽 탐지 패턴 생성 모듈, 및 패턴 적용 및 룰 관리 모듈을 포함한다.

패턴 기반 탐지 모듈은 필터링 되지 않은 네트워크 트래픽 입력으로부터 봇넷 트래픽 시그니쳐(signature)를 기술한 룰 정보를 바탕으로 봇넷 C&C 및 좀비를 탐지한다.

트래픽 탐지 패턴 생성 모듈은 특정 트래픽 덤프 정보(pcap)와 같은 네트워크 트래픽 정보를 입력으로 하여 관리자에 의해 특정 트래픽 패턴에 대해서 시그니쳐를 생성하고 룰 파일로 만들어 경량 탐지 엔진에 적용시킨다.

패턴 적용 및 룰 관리 모듈은 현재 적용되고 있는 룰 파일을 관리하기 위한 것으로서, 룰 파일에 대한 추가, 변경, 삭제, 및 적용을 수행 한다. 룰 관리모듈은 유저 인터페이스(UI)를 통해 관리자의 입력을 기반으로 이루어진다. 룰 파일은 외부에서 관리자에 의해 직접 입력이 될 수 있고, 아니면 룰이 들어있는 일련의 파일이 될 수 있다. 또한, 봇넷 탐지를 위한 호스트 기반 악성 봇 분석 시스템 등의 외부 시스템으로부터 룰 파일을 제공받을 수도 있다.

도 7은 본 발명에 따른 룰 입력 방안에 대한 순서도이다.

도 7을 참조하면, 패턴 기반 탐지 모듈에서 룰 입력은 특정한 전처리를 필요로 하기 때문에 동적인 적용이 어려울 수 있다. 패턴 기반 탐지 모듈과 시스템 특성 상 패턴 기반 탐지 모듈이 정지하지 않고 룰 업데이트가 가능하거나 가능하지 않을 수 있으며, 동적인 적용이 가능한 경우는 실시간으로 입력 룰에 대해서 룰 업데이트를 하여 적용할 수 있다. 하지만, 동적인 적용이 불가능한 경우에는 우선, 패턴 기반 탐지 모듈이 시스템 상에서 다수개가 동작할 때, 각각의 패턴 기반 탐지 모듈은 입력 트래픽을 자신의 할당 영역에 따라 분배받아 패턴 탐지를 수행한다. 입력 트래픽은 패턴 기반 탐지 모듈의 전처리 기능에 의해 현재 동작하고 있는 패턴 기반 탐지 모듈의 수만큼 네트워크 트래픽을 분할하여 분배한다. 이때, 각각의 패턴 기반 탐지 모듈은 자신이 담당하고 있는 IP가 정해져 있어야 한다. 이후, 룰 업데이트 상황이 발생되어 패턴 기반 탐지 모듈의 일시적인 중단이 필요한 경우, 패턴 기반 탐지 모듈의 중단으로 인한 탐지 중단을 방지하기 위해 각각의 패턴 기반 탐지 모듈을 분할하여 재시작 하도록 한다. 즉, 네트워크 대역폭 및 시스템 성능에 따라 단일 패턴 기반 탐지 모듈이 최대한으로 감당할 수 있을 정도로 일부를 중단하여 룰 업데이트를 수행하고, 업데이트를 수행하고 있는 패턴 기반 탐지 모듈에 할당된 트래픽은 아직 업데이트를 수행하지 않은 패턴 기반 탐지 모듈에 전송하도록 한다. 따라서, 입력되는 트래픽은 처리가 누락되는 것 없이 룰 업데이트를 수행하지 않은 패턴 기반 탐지 모듈에서 처리가 가능하다. 또한, 룰 업데이트가 완료되면 룰 업데이트된 패턴 기반 탐지 모듈을 재작동시키며, 룰 업데이트가 되지 않은 나머지 패턴 기반 탐지 모듈에서 치리하고 있던 트래픽은 룰 업데이트가 완료된 패턴 기반 탐지 모듈에 전송하여 처리하도록 하고, 자신은 룰 업데이트를 수행한다. 이후, 룰 업데이트가 완료된 패턴 기반 탐지 모듈은 다시 정상적으로 동작하게 된다.

도 8은 본 발명에 따른 블랙리스트 관리 방안에 대한 순서도이다.

도 8을 참조하면, 블랙리스트는 무한정 많을 수가 없으며, 봇넷 등이 검출되지 않아 없어지는 경우도 있다. 또한, 정상적인 사이트인데 악용되어 잠시 동안 블랙리스트가 되는 경우도 있다. 따라서, 네트워크 상태에 대한 현 상태의 취약점 및 탐지 현황 통계정보를 블랙리스트에 대한 히트 카운트(Hit Count)를 관리하여 변화에 유연하게 대응할 수 있도록 해야 한다. 이를 위해서, 패턴 기반 탐지 엔진에서 사용되는 룰에 대해서 추가/삭제/변경을 위해 관리자가 유저 인터페이스를 통해서 시스템 관리 엔진의 설정 기능을 사용할 수 있다. 또한, 룰의 개수는 무한정이 아니기 때문에 일정 개수에 이르면 룰 추가 시에 확인을 하고 관리자의 결정을 받는다. 더 이상 추가가 되지 못하는 경우에는 잠시 보류하고 다른 룰 삭제를 통해서 등록이 가능하다. 룰의 적용은 설정된 설정값을 통해서 수동적으로 패턴 기반 탐지 엔진을 재시작하는 명령이다. 이를 위해서는 현재 변경된 설정값이 있는지 확인하고, 변경된 설정값이 없을 경우 아무것도 수행하지 않는다. 다만, 일전에 관리자에 의해 미적용되어 보류된 룰이 있는 경우, 관리자의 확인을 받아 진행하도록 한다.

정보 관리 엔진(Information Management Engine, IME)은 그룹 데이터와 패턴 탐지 정보/DNS 패스트-플럭스 탐지 정보를 탐지 시스템에 전송할 수 있도록 가공하기 위한 것으로서, 패턴 탐지 정보/DNS 패스트-플럭스 탐지 정보를 관리하는 탐지 정보 관리 모듈과, 패턴 탐지 정보/DNS 패스트-플럭스 탐지 정보를 저장하는 탐지 정보 저장 모듈, 및 그룹 데이터를 저장하는 그룹 정보 저장 모듈을 포함한다.

도 9는 본 발명에 따른 시스템 관리 엔진의 개념도이다.

도 9를 참조하면, 시스템 관리 엔진(System Management Engine, SME)은 각 엔진들에 사용되는 정책을 관리하고 시스템의 상태 로그를 생성하는 등의 관리를 수행하기 위한 것으로서, 탐지 대상인 네트워크의 트래픽 수집 정책을 관리하는 정책 관리 모듈과, 트래픽 수집 센서 시스템을 관리하는 시스템 관리 모듈, 정책 데이터베이스, 및 트래픽 수집 엔진과 정보 관리 엔진 및 통신 모듈이 접근하여 작업에 대한 로그를 기록하는 상태 데이터베이스를 포함한다.

도 10은 본 발명에 따른 봇넷 탐지 시스템의 개념도이다.

도 10을 참조하면, 봇넷 탐지 시스템은 트래픽 수집 센서 시스템에서 수집된 정보를 기초로 봇넷을 탐지하기 위한 것으로서, 트래픽 수집 센서 시스템에서 그룹화된 정보를 바탕으로 그룹간 유사도 분석을 통한 멀티 C&C 봇넷 구성을 탐지하는 봇넷 탐지 엔진과, 탐지된 봇넷에 대해서 트래픽 정보를 기반으로 봇넷의 행위와 각 서버별 역할에 대해 분석하는 봇넷 행위 분석 엔진, 봇넷의 좀비에 대한 활성/비활성과 봇넷의 위험도를 분석하며 멀티 C&C 봇넷 정보와 DNS 기반 그룹 정보를 분석하여 봇넷의 도메인을 탐지하는 통합 분석 엔진, 및 탐지된 봇넷 정보와 P2P 그룹 정보를 기반으로 하여 하이브리드 봇넷에 대한 구성 및 레이어(Layer)를 탐지하는 하이브리드 탐지 엔진을 포함한다.

다음은 본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.

도 11과 도 12는 본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법의 순서도이다.

본 발명에 따른 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법은 트래픽을 수집하는 단계와, 이상 DNS를 탐지하는 단계와, 패스트-플럭스를 탐지하는 단계, 및 통신 객체를 탐지하는 단계를 포함한다.

트래픽을 수집하는 단계는 도 11에 도시된 바와 같이, 봇넷 탐지 대상 네트워크의 트래픽을 수집하여 덤프 또는 필터링한다. 이를 위해, 트래픽을 수집하는 단계는 트래픽을 덤프하는 단계, 또는 트래픽을 필터링하는 단계를 포함한다.

트래픽을 덤프하는 단계는 봇넷 탐지 대상 네트워크에서 수집된 트래픽이 덤프 대상 트래픽인지 판단하여, 해당 트래픽이 덤프 대상 트래픽일 경우 해당 트래픽을 덤프한다. 이때, 트래픽 수집 정책에 따라 관리자가 지정한 IP에 대해서 시간과 용량에 상응하는 트래픽을 pcap 형태로 덤프할 수 있다.

트래픽을 필터링하는 단계는 봇넷 탐지 대상 네트워크에서 수집된 트래픽이 덤프 대상이 아닐 경우, 해당 트래픽을 필터링한다. 이때, 트래픽을 필터링하는 단계는 트래픽을 드랍하는 단계, 또는 트래픽을 의심 트래픽으로 분류하는 단계, 또는 트래픽을 분류하는 단계를 포함한다.

트래픽을 드랍하는 단계는 필터링 대상 트래픽이 트래픽 화이트리스트에 포함되어 있을 경우, 해당 트래픽을 드랍한다. 즉, 트래픽 화이트리스트에는 봇넷이 아닌 것으로 판명된 트래픽 리스트가 포함되어 있으며, 트래픽을 드랍하는 단계는 필터링 대상 트래픽이 트래픽 화이트리스트에 포함된 트래픽 리스트에 포함된 것을 확인하여 해당 트래픽을 드랍한다. 이때, 드랍된 트래픽은 봇넷 트래픽이 아닌 것으로 판명된 것이므로 해당 트래픽에 대한 봇넷 탐지를 중지한다.

트래픽을 의심 트래픽으로 분류하는 단계는 필터링 대상 트래픽이 트래픽 화이트리스트에 포함되어 있지 않을 경우, 해당 트래픽이 트래픽 블랙리스트에 포함되어 있는지 판단한다. 또한, 해당 트래픽이 트래픽 블랙리스트에 포함되어 있을 경우, 해당 트래픽을 의심 트래픽으로 분류한다.

트래픽을 분류하는 단계는 필터링 대상 트래픽이 트래픽 블랙리스트에 포함되어 있을 경우, 해당 트래픽을 로우 트래픽과 DNS 트래픽 및 IP 트래픽으로 분류한다. 이를 위해, 트래픽을 분류하는 단계는 로우 트래픽을 분류하는 단계와, DNS 트래픽을 분류하는 단계, 및 IP 트래픽을 분류하는 단계를 포함한다.

이상 DNS를 탐지하는 단계는 도 12에 도시된 바와 같이, DNS 트래픽을 분류하는 단계에서 분류된 DNS 트래픽을 분석하여 이상 DNS를 탐지한다. 이때, 해당 DNS 트래픽이 화이트리스트에 존재하는지 판단하여 해당 DNS 트래픽이 화이트리스트에 존재한다면 해당 DNS 트래픽은 정상적인 것이므로 드랍한다. 하지만, 해당 DNS 트래픽이 화이트리스트에 존재하지 않는다면, 도메인을 기반으로 한 그룹을 추출한다. 즉, 도메인별로 그룹을 형성한다. 또한, 해당 도메인 그룹이 블랙리스트에 존재하는지 확인하여, 해당 도메인 그룹이 블랙리스트에 존재할 경우, 알려진 봇넷 그룹으로 분류하여 DNS 탐지 엔진 저장 모듈에 저장한다. 하지만, 해당 도메인 그룹이 블랙리스트에 존재하지 않을 경우, DNS 요청 IP 개수를 카운트하여 DNS 요청 IP 개수가 n개 이하인 경우, 해당 도메인 그룹은 봇넷이 아니므로 드랍한다. 물론, DNS 요청 IP 개수가 n개 이상인 경우, 해당 도메인 그룹을 의심 봇넷 그룹으로 분류하여 DNS 탐지 엔진 저장 모듈에 저장한다. 즉, 이상 DNS를 탐지하는 단계는 화이트리스트를 제외한 특정 도메인에 대해서 임계치 이상의 쿼리 요청이나 짧은 시간동안의 반복적인 요청 행위를 하는 DNS 트래픽을 의심 DNS 트래픽, 즉, 의심 봇넷 그룹으로 분류한다.

패스트-플럭스를 탐지하는 단계는 도 12에 도시된 바와 같이, DNS 트래픽을 분류하는 단계에서 분류된 DNS 트래픽을 분석하여 패스트-플럭스를 탐지한다. 이는 우선, DNS 트래픽의 도메인 리스트를 패스트-플럭스 탐지 도메인 대기 큐에 대기시킨 후, 도메인 리스트의 도메인에 대해 도메인 네임 시스템 룩업 쿼리를 수행하여 A 섹션의 IP 정보를 분석하여 응답 정보에 대한 응답 IP의 개수를 판단한다. 이때, 응답 IP의 개수가 일정 개수 이하, 예를 들어, 3개 이하인 경우에는 패스트-플럭스일 가능성이 희박하므로, 해당 도메인에 대해서는 탐지를 중단한다. 하지만, 응답 IP의 개수가 일정 개수 이상, 즉, 다수개일 경우, 응답 정보의 TTL이 지난 후 다시 해당 도메인에 대한 도메인 네임 시스템 룩업 쿼리를 요청하여 A 섹션의 IP와 그 전의 IP와의 변동 유무를 분석한다. 이때, TTL이 길 경우는 그 만큼 탐지 시간이 길어지고, 패스트-플럭스일 가능성이 희박하므로, TTL이 소정시간, 예를 들어, 300을 초과하는 경우에는 해당 도메인에 대한 탐지를 중단한다. 하지만, TTL이 소정시간, 예를 들어, 300이하일 경우에는 추가 쿼리 결과에 따라 B Class 이상의 IP가 50% 이상 변경된 경우 패스트-플럭스로 판정한다.

통신 객체를 탐지하는 단계는 로우 트래픽을 분류하는 단계에서 분류된 로우 트래픽의 패턴과 미리 저장된 알려진 봇넷 통신 패턴을 입력으로 하여, 상기 로우 트래픽의 통신 객체를 탐지한다. 이러한, 통신 객체를 탐지하는 단계는 트래픽 탐지 패턴을 생성하는 단계, 및 패턴 기반 탐지를 수행하는 단계를 포함한다.

트래픽 탐지 패턴을 생성하는 단계는 트래픽을 덤프하는 단계에서 덤프된 트래픽 정보를 이용하여 트래픽 탐지 패턴을 생성한다.

패턴 기반 탐지를 수행하는 단계는 생성된 트래픽 탐지 패턴을 로우 트래픽의 패턴과 매칭하여, 봇넷 C&C IP와 좀비 IP를 탐지한다. 이때, 트래픽 탐지 패턴은 트래픽을 덤프하는 단계에서 전송된 특정 IP에 대한 트래픽 덤프 정보를 기반으로 룰 파일을 생성하여 형성되거나, 별도의 유저 인터페이스를 통해 입력될 수 있다.

이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (9)

1. 봇넷 탐지 대상 네트워크의 트래픽을 수집하여 필터링하는 트래픽 수집 엔진과,
   상기 트래픽 수집 엔진에서 필터링된 트래픽 중 IP 트래픽 정보를 이용하여 해당 트래픽을 목적지별로 그룹화하는 그룹 분석 엔진과,
   상기 트래픽 수집 엔진에서 필터링된 트래픽 중 DNS 트래픽 정보를 이용하여 이상 DNS와 패스트-플럭스를 탐지하는 DNS 분석 엔진과,
   상기 트래픽 수집 엔진에서 필터링된 트래픽 중 로우 트래픽 정보를 이용하여 해당 로우 트래픽의 패턴을 미리 저장된 봇넷 통신 패턴과 매칭하여 봇넷을 탐지하는 경량 탐지 엔진을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템.
2. 삭제
3. 청구항 1에 있어서,
   상기 그룹 분석 엔진의 그룹 수집 정책과, 상기 DNS 분석 엔진의 도메인 관리 정책을 관리하는 정책관리 모듈과,
   상기 트래픽 수집 센서 시스템을 관리하는 시스템 관리 모듈과,
   상기 트래픽 수집 정책이 저장되는 정책 데이터베이스, 및
   상기 트래픽 수집 엔진의 트래픽 수집에 대한 로그가 저장되는 상태 데이터베이스를 가지는 시스템 관리 엔진을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템.
4. 청구항 3에 있어서,
   상기 트래픽 수집 엔진은 상기 트래픽 필터링 모듈에서 필터링된 트래픽 중 트래픽 덤프 대상인 트래픽을 덤프시키는 트래픽 덤프 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템.
5. 청구항 4에 있어서,
   상기 경량 탐지 엔진은,
   상기 트래픽 수집 엔진에서 필터링된 트래픽 중 로우 트래픽 정보를 이용하여 해당 로우 트래픽의 패턴을 봇넷 통신 패턴과 매칭하여 봇넷 C&C IP와 좀비 IP를 탐지하는 패턴 기반 탐지 모듈과,
   상기 트래픽 덤프 모듈에서 덤프된 트래픽으로 트래픽 탐지 패턴을 생성하는 패턴 생성 모듈, 및
   상기 패턴 생성 모듈에서 생성된 트래픽 탐지 패턴과, 상기 시스템 관리 엔진의 정책 데이터베이스를 상기 패턴 기반 탐지 모듈에 적용 및 관리하는 패턴 적용 및 룰 관리 모듈을 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템.
6. 청구항 5에 있어서,
   상기 패턴 기반 탐지 모듈은 다수개의 패턴 기반 탐지 모듈을 포함하고,
   상기 패턴 적용 및 룰 관리 모듈은 상기 다수개의 패턴 기반 탐지 모듈에 순차적으로 룰을 업데이트하며,
   상기 다수개의 패턴 기반 탐지 모듈 중 룰이 업데이트되는 패턴 기반 탐지 모듈은 룰이 업데이트될 때 동작을 중지하고, 룰 업데이트가 완료된 후 재작동되는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템.
7. 봇넷 탐지 대상 네트워크의 트래픽을 수집하는 단계와,
   상기 수집된 트래픽 중 로우 트래픽의 패턴을 미리 저장된 봇넷 통신 패턴과 매칭시켜 상기 로우 트래픽의 통신 객체를 탐지하는 단계를 포함하고,
   상기 봇넷 탐지 대상 네트워크의 트래픽을 수집하는 단계는,
   상기 수집된 트래픽이 덤프 대상 트래픽일 경우, 해당 트래픽을 덤프하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법.
8. 삭제
9. 청구항 7에 있어서,
   상기 수집된 트래픽 중 로우 트래픽의 패턴을 미리 저장된 봇넷 통신 패턴과 매칭시켜 상기 로우 트래픽의 통신 객체를 탐지하는 단계는,
   상기 덤프된 트래픽 정보로 트래픽 탐지 패턴을 생성하는 단계, 및
   상기 로우 트래픽의 패턴과 상기 트래픽 탐지 패턴을 매칭시켜 상기 로우 트래픽의 통신 객체를 탐지하는 단계를 포함하는 것을 특징으로 하는 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 방법.

Images