KR101223931B1 - Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 - Google Patents

Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 Download PDF

Info

Publication number
KR101223931B1
KR101223931B1 KR1020110008551A KR20110008551A KR101223931B1 KR 101223931 B1 KR101223931 B1 KR 101223931B1 KR 1020110008551 A KR1020110008551 A KR 1020110008551A KR 20110008551 A KR20110008551 A KR 20110008551A KR 101223931 B1 KR101223931 B1 KR 101223931B1
Authority
KR
South Korea
Prior art keywords
dns
packet
abnormal behavior
domain
packets
Prior art date
Application number
KR1020110008551A
Other languages
English (en)
Other versions
KR20120087393A (ko
Inventor
양승호
최원덕
박병욱
한성일
노유성
박용철
김경호
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Priority to KR1020110008551A priority Critical patent/KR101223931B1/ko
Publication of KR20120087393A publication Critical patent/KR20120087393A/ko
Application granted granted Critical
Publication of KR101223931B1 publication Critical patent/KR101223931B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 목적은 DNS 패킷만을 수집/분석함으로써 시스템의 성능과 정탐률을 향상시킬 수 있는 실시간 비정상 행위 탐지 방법을 제공하는 것이다. 본 발명에 의하면, 호스트와 DNS 서버 사이에서 구비되는 비정상 행위 탐지 시스템을 이용하여 비정상 행위를 탐지하는 방법에 있어서, 상기 비정상 행위 탐지 시스템에 유입되는 모든 패킷 중 DNS 패킷만을 수집하는 DNS 패킷 수집 단계를 구비하며, 상기 DNS 패킷 수집 단계에서 수집된 DNS 패킷을 분석하여 비정상 행위를 탐지하는 제1 탐지 단계를 포함하는 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법이 제공된다.

Description

DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법 {METHOD FOR REAL-TIME DETECTING ANOMALIES USING DNS PACKET}
본 발명은 DNS 패킷을 이용하여 실시간으로 비정상 행위를 탐지하는 방법에 관한 것이다.
인터넷 등의 네트워크 상에서 데이터는 패킷이라는 전송단위로 나뉘어져서 전송된다. 네트워크 상에서 비정상 행위를 통제하기 위하여, 패킷에 대한 수집 및 분석이 이루어지는데, 수많은 패킷에 대한 수집 및 분석이 이루어짐에 따라 시스템의 성능이 저하되며 이로 인해 오탐 발생률이 증가하고 있어 개선이 요구된다.
본 발명의 목적은 DNS 패킷만을 수집/분석함으로써 시스템의 성능과 정탐률을 향상시킬 수 있는 실시간 비정상 행위 탐지 방법을 제공하는 것이다.
본 발명의 일측면에 따르면,
호스트와 DNS 서버 사이에서 구비되는 비정상 행위 탐지 시스템을 이용하여 비정상 행위를 탐지하는 방법에 있어서, 상기 비정상 행위 탐지 시스템에 유입되는 모든 패킷 중 DNS 패킷만을 수집하는 DNS 패킷 수집 단계를 구비하며, 상기 DNS 패킷 수집 단계에서 수집된 DNS 패킷을 분석하여 비정상 행위를 탐지하는 제1 탐지 단계를 포함하는 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법이 제공된다.
상기 제1 탐지 단계는, 화이트리스트 포함 여부를 확인하는 단계; RFC 규약 위반 여부를 확인 하는 단계; 블랙리스트 포함 여부를 확인하는 단계; 상기 DNS 패킷 중 질의 패킷을 분석하여 상기 DNS 서버의 주소의 변경 여부를 확인하는 단계; 및 상기 DNS 패킷 중 응답 패킷을 분석하여 DNS 서버에 저장되어 있는 도메인 테이블의 변경 여부를 확인하는 단계들 중 적어도 하나의 단계를 더 구비할 수 있다.
상기 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법은, 상기 DNS 패킷의 분석 결과에 기반한 통계 데이터를 생성하고 저장하는 DNS 패킷 통계 데이터 생성 및 저장 단계를 구비하며 상기 DNS 패킷 통계 데이터를 이용하여 비정상 행위를 탐지하는 제2 탐지 단계를 더 포함할 수 있다.
상기 제2 탐지 단계는, 전체 유입량 통계 데이터를 기준으로 전체 유입량의 변화를 확인하는 단계; 도메인별 유입량 통계 데이터를 기준으로 특정 도메인의 유입량을 확인하는 확인 단계; 호스트별 유입량 통계 데이터를 기준으로 특정 호스트의 유입량을 확인하는 확인 단계; 및 도메인별 유입량 통계 데이터를 기준으로 도메인 접속 순위 상승폭을 확인하는 단계들 중 적어도 하나의 단계를 더 구비할 수 있다.
상기 제1 탐지 단계는 상기 제1 탐지 단계에서 비정상 행위가 탐지되었을 때 이를 경고하는 제1 경고 단계를 더 구비하며, 상기 제2 탐지 단계는 상기 제2 탐지 단계에서 비정상 행위가 탐지되었을 때 이를 경고하는 제2 경고 단계를 더 구비할 수 있다.
본 발명에 의하면 앞서서 기재한 본 발명의 목적을 달성할 수 있다. 구체적으로는 모든 패킷에 대한 수집 및 분석을 수행하지 않고 유입량은 적지만 활용할 수 있는 정보를 많이 가지고 있는 DNS 패킷만을 수집하고 분석하여 비정상 행위 탐지에 이용하므로 시스템의 성능과 정탐률을 현저하게 향상시킬 수 있다.
도 1은 본 발명의 일 실시예에 따른 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법이 사용될 수 있는 운영 환경의 일 예를 개략적으로 도시한 것이다.
도 2는 본 발명의 일 실시예에 따른 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법을 도시한 순서도이다.
도 3은 도 2에 도시된 제1 탐지 단계를 실행하는 일 실시예를 도시한 순서도이다.
도 4는 도 2에 도시된 제2 탐지 단계를 실행하는 일 실시예를 도시한 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예의 구성 및 작용을 상세히 설명한다.
도 1에는 본 발명의 일 실시예에 따른 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법이 사용될 수 있는 운영 환경의 일 예가 개략적으로 도시되어 있다. 도 1을 참조하면, 사용자(A)가 특정 도메인(예를 들면, naver.com)을 실행하면 질의 패킷이 비정상행위 탐지 시스템(100)에 저장된다. 비정상행위 시스템(100)은 사용자(A)로부터 발생된 패킷 중 DNS 패킷만을 수집하여 저장한다. 사용자(A)로부터 발생된 DNS 패킷은 스위치 라우터(B)에 의해 인터넷(C)을 통해 DNS 서버(D)로 전달한다. DNS 서버(D)는 전달받은 질의 패킷을 분석해서 사용자(A)가 요청한 도메인의 실제 주소를 매핑한 후 응답 패킷을 인터넷(C)을 통해 스위치 라우터(B)로 전달한다. 비정상행위 탐지 시스템(100)은 스위치 라우터(B)에서 전달 받은 응답 패킷을 저장한다. 스위치 라우터(B)는 응답 패킷을 사용자에게 전달한다.
본 실시예에서 비정상행위는, RFC(Request For Comment) 규약에 위반되는 비정상 DNS 패킷이 탐지되는 경우, 사용자가 등록한 유해 도메인(블랙리스트)이 탐지되는 경우, DNS 패킷의 유입량이 갑자기 증가할 경우, DNS 서버의 IP 주소 정보가 변경되었을 경우 및 DNS 서버에 저장되어 있는 IP 테이블 정보가 변경되었을 경우 중 적어도 하나를 포함하는 것으로 설명한다. 비정상행위 탐지 시스템(100)은 DNS 패킷 만을 수집하고 분석하여 적어도 하나의 비정상행위가 발생하였을 때 이를 탐지하고 경고해준다. 이를 위하여, 비정상행위 탐지 시스템(100)은 적절한 하드웨어로 구성될 수 있다. 예를 들면, 비정상행위 탐지 시스템(100)은 비정상행위 탐지 수행에 필요한 소프트웨어 및 데이터가 저장되는 메모리 장치와, 소프트웨어가 실행되는 프로세서와, 사용자(A)와 스위치 라우터(B)에 연결되는 통신장치 등을 구비할 수 있다.
도 2에는 본 발명의 일 실시예에 따른 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법에 대한 순서도가 도시되어 있다. 도 2를 참조하면, DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법은 DNS 패킷 수집 단계(S10)와, 제1 탐지 단계(S20)와, 제2 탐지 단계(S30)를 포함한다. 본 실시예에 따른 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법은 예를 들어 도 1에 도시된 바와 같은 환경에서 비정상행위 탐지 시스템(100)에 의해 수행된다.
DNS 패킷 수집 단계(S10)에서는 비정상행위 탐지 시스템(도 1의 100)에 유입되는 모든 패킷 중 DNS 패킷 만을 수집한다. DNS 패킷은 헤더, 질의 패킷 및 응답 패킷을 포함한다. DNS 패킷 헤더는 Identification(인증의 위한 질의에 대한 응답 변호), Flags(질의 및 응답에 대한 세부 속성 정보), Number of question records(질의 섹션 내의 질의 수), Number of answer records(응답 레코드의 수), Number of authoritavice records(권한 레코드의 수), Number of additional records(추가 레코드의 수)의 정보를 제공한다. DNS 질의 패킷은 Question section(질의할 도메인 이름)의 정보를 제공한다. DNS 응답 패킷은 Question section(응답할 도메인 이름), Answer section(질의에 대한 응답 레코드를 반환. 이름, 유형, 클래스, 수명, 자원 데이터 길이, 자원 데이터), Authoritative sectin(질의에 대한 권한이 있는 서버 정보, 도메인 이름), Additionsal section(해석기에 추가 정보 제공)의 정보를 제공한다.
DNS 질의 패킷 수집은, 외부로 나가는 패킷들 중 TCP, UDP 프로토콜 중 목적지 서비스 번호가 53번일 경우에 대하여 수행된다. DNS 응답 패킷 수집은, 내부로 들어오는 패킷들 중 TCP, UDP 프로토콜 중 출발지 서비스 번호가 53번일 경우에 대하여 수행된다.
제1 탐지 단계(S20)는 비정상행위에 대한 1차 탐지를 수행하는 단계이다. 도 3에는 제1 탐지 단계(S20)의 일 실시예에 따른 순서도가 도시되어 있다. 도 3을 참조하면, 제1 탐지 단계(S20)는 DNS 패킷 분석 단계(S21)와, 화이트 리스트 포함 확인 단계(S22)와, RFC 규약 위반 확인 단계(S23)와, 블랙리스트 포함 확인 단계(S24)와, DNS 서버 주소 변경 확인 단계(S25)와, 도메인 테이블 변경 확인 단계(S26)와, 제1 경고 단계(S27)를 포함한다.
DNS 패킷 분석 단계(S21)에서는 DNS 패킷 수집 단계(S10)에서 수집된 DNS 질의 패킷과 DNS 응답 패킷에 저장되어 있는 도메인 정보를 분석한다.
화이트 리스트 포함 확인 단계(S22)에서는 DNS 패킷 분석 단계(S21)에서 수행된 도메인에 대한 분석 결과와 등록된 화이트리스트(안전한 도메인 리스트)를 비교한다. 비교 결과 도메인이 등록된 화이트리스트에 포함된 경우에는 비정상행위 탐지 대상에서 제외되며, 비교 결과 등록된 화이트리스트에 포함되어 있지 않은 경우에는 RFC 규약 위반 확인 단계(S23)가 수행된다.
RFC 규약 위반 확인 단계(S23)에서는 DNS 패킷 분석 단계(S21)에서 수행된 도메인에 대한 분석 결과와 RFC 규약을 비교하게 된다. RFC 기관은 DNS에 대하여 프로토콜 형태 및 도메인 이름 명명에 대한 표준 규칙을 정의하고 있다.
RFC에 정의된 도메인 이름 명명 표준 규칙은 다음과 같다.
가. 각 레이블은 최대 63개 문자를 초과할 수 없음
나. 전체 도메인 이름은 235개의 문자를 초과할 수 없음
다. 레이블에 사용될 수 있는 문자는 알파벳 a~z, A~Z, 0~9, -, (아스키 코드)
라. 대소문자의 구분 없고 레이블은 하이픈으로 시작하거나 끝날 수 없음
RFC 규약 위반 확인 단계(S23)에서 도메인이 RFC 규약을 위반(예를 들면, www._naver.com, www.$#naver.com 등)한 것으로 확인된 경우에는 해당 도메인을 유해한 도메인으로 간주하여 제1 경고 단계(S27)가 수행되며, 비교 결과 도메인이 RFC 규약을 위반하지 않은 것으로 확인된 경우에는 블랙리스트 포함 확인 단계(S24)가 수행된다.
블랙리스트 포함 확인 단계(S24)에서는 DNS 패킷 분석 단계(S21)에서 수행된 도메인에 대한 분석 결과와 유해 도메인을 포함하는 블랙리스트를 비교한다. 비교결과 사용자가 접속을 시도하는 도메인이 블랙리스트에 해당하는 경우 제1 경고 단계(S27)가 수행되며, 비교 결과 블랙리스트에 해당하지 않는 경우 DNS 서버 주소 변경 확인 단계(S25)가 수행된다.
DNS 서버 주소 변경 확인 단계(S25)에서는 DNS 패킷 분석 단계(S21)에서 수행된 도메인에 대한 분석 결과와 저장된 DNS 서버 IP 주소를 비교한다. 비교 결과, DNS 서버 주소가 변경된 것으로 확인된 경우에는 제1 경고 단계(S27)가 수행되며, 비교 결과 DNS 서버 주소가 변경되지 않은 것으로 확인된 경우에는 도메인 테이블 변경 확인 단계(S26)가 수행된다.
도메인 테이블 변경 확인 단계(S26)에서는 DNS 패킷 분석 단계(S21)에서 수행된 도메인에 대한 분석 결과와 저장된 DNS 서버의 도메인 테이블을 비교한다. 비교 결과, DNS 서버에 저장되어 있는 도메인 테이블이 변경된 것으로 확인된 경우에는 제1 경고 단계(S27)가 수행되며, 비교 결과 DNS 서버에 저장되어 있는 도메인 테이블이 변경되지 않은 것을 확인된 경우에는 제2 탐지 단계(S30)가 수행된다.
제1 경고 단계(S27)는 제1 탐지 단계(S20)에서 비정상행위가 탐지된 경우 이에 대한 경고를 수행한다. 제1 경고 단계(S27)는 RFC 규약 위반 확인 단계(S23)를 통해 RFC 규약 위반이 확인된 경우, 블랙리스트 포함 확인 단계(S24)를 통해 블랙리스트 포함이 확인된 경우, DNS 서버 주소 변경 확인 단계(S25)를 통해 DNS 서버 주소의 변경이 확인된 경우, 도메인 테이블 변경 확인 단계(S26)를 통해 DNS 서버에 저장되어 있는 도메인 테이블의 변경이 확인된 경우 중 어느 하나가 발견되면 경고를 수행한다. 제1 경고 단계(S27)가 수행된 후에는 제2 탐지 단계(S30)가 수행된다.
제2 탐지 단계(S30)는 비정상행위에 대한 2차 탐지를 수행하는 단계이다. 도 4에는 제2 탐지 단계(S30)의 일 실시예에 따른 순서도가 도시되어 있다. 도 4를 참조하면, 제2 탐지 단계(S30)는 DNS 패킷 통계 데이터 생성 및 저장 단계(S31)와, 전체 유입량 확인 단계(S32)와, 도메인별 유입량 확인 단계(S33)와, 호스트별 유입량 확인 단계(S34)와, 순위상승폭 확인 단계(S35)와, 제2 경고 단계(S36)를 포함한다.
DNS 패킷 통계 데이터 생성 및 저장 단계(S31)에서는 DNS 패킷 분석 결과를 기반으로 전체 유입량 통계 데이터, 도메인 별 유입량 통계 데이터 및 호스트 별 유입량 통계 데이터를 포함하는 통계 데이터가 생성되고 저장된다.
전체 유입량 확인 단계(S32)에서는 DNS 패킷 통계 데이터 생성 및 저장 단계(S31)에서 생성된 전체 유입량 통계 데이터를 기준으로 전체 유입량 변화를 실시간으로 모니터링하며 전체 유입량이 제1 기준값(R1)보다 커서 전체 유입량 통계 데이터에 비해 큰 폭으로 상승한 것으로 확인되면 제2 경고 단계(S36)가 수행되고 그렇지 않으면 도메인별 유입량 확인 단계(S33)가 수행된다.
도메인별 유입량 확인 단계(S33)에서는 DNS 패킷 통계 데이터 생성 및 저장 단계(S31)에서 생성된 도메인별 유입량 통계 데이터를 기준으로 유입량의 변화를 실시간으로 모니터링하며 특정 도메인의 DNS 패킷 유입량이 제2 기준값(R2)보다 커서 통계 데이터에 비해 큰 폭으로 상승한 것으로 확인되면 제2 경고 단계(S36)가 수행되고 그렇지 않으면 호스트별 유입량 확인 단계(S34)가 수행된다.
호스트별 유입량 확인 단계(S34)에서는 DNS 패킷 데이터 생성 및 저장 단계(S31)에서 생성된 호스트별 유입량 통계 데이터를 기준으로 유입량의 변화를 실시간으로 모니터링하며 특정 호스트의 DNS 패킷 유입량이 제3 기준값(R3)보다 커서 통계 데이터에 비해 큰 폭으로 상승한 것으로 확인되면 제2 경고 단계(S36)가 수행되고 그렇지 않으면 순위 상승폭 확인 단계(S35)가 수행된다.
순위 상승폭 확인 단계(S35)에서는 DNS 패킷 데이터 생성 및 저장 단계(S31)에서 생성된 도메인별 유입량 통계 데이터를 기준으로 실시간 도메인 접속 랭킹 정보를 모니터링 하며 특정 도메인의 DNS 패킷 유입량 변화에 따른 순위 상승폭이 제4 기준값(R4)보다 커서 큰 폭으로 상승한 것으로 확인되면 제2 경고 단계(S36)가 수행되고 그렇지 않으면 비정상행위 탐지가 종료된다.
제2 경고 단계(S36)는 제2 탐지 단계(S30)에서 비정상행위가 탐지된 경우 이에 대한 경고를 수행한다. 제2 경고 단계(S36)는 전체 유입량 확인 단계(S32)를 통해 전체 유입량의 변화가 통계 데이터에 비해 큰 폭으로 상승한 것으로 확인된 경우, 도메인별 유입량 확인 단계(S33)를 통해 특정 도메인의 DNS 패킷 유입량이 통계 데이터에 비해 큰 폭으로 상승한 것으로 확인된 경우, 호스트별 유입량 확인 단계(S34)를 통해 특정 호스트의 DNS 패킷 유입량이 통계 데이터에 비해 큰 폭으로 상승한 것으로 확인된 경우, 순위 상승폭 확인 단계(S35)를 통해 특정 도메인의 순위가 큰 폭으로 상승한 것으로 확인된 경우 중 어느 하나가 발견되면 경고를 수행한다. 제2 경고 단계(S36)가 수행된 후에는 DNS 패킷 통계 데이터 생성 및 저장 단계(S31)를 다시 수행하게 된다.
이상 실시예를 들어 본 발명을 설명하였으나, 본 발명은 이에 제한되는 것은 아니다. 상기 실시예는 본 발명의 취지 및 범위를 벗어나는 않고 수정되거나 변경될 수 있으며, 당업자는 이러한 수정과 변경도 본 발명에 속하는 것임을 알 수 있을 것이다.
A : 호스트 B : 스위치 라우터
C : 인터넷 D : DNS 서버
100 : 비정상 행위 탐지 시스템 S10 : DNS 패킷 수집 단계
S20 : 제1 탐지 단계 S21 : DNS 패킷 분석 단계
S22 : 화이트리스트 포함 확인 단계 S23 : RFC 규약 위반 확인 단계
S24 : 블랙리스트 포함 확인 단계 S25 : DNS 서버 주소 변경 확인 단계
S26 : 도메인 테이블 변경 확인 단계 S27 : 제1 경고 단계
S30 : 제2 탐지 단계
S31 : DNS 패킷 통계 데이터 생성 및 저장 단계
S32 : 전체 유입량 확인 단계 S33 : 도메인별 유입량 확인 단계
S34 : 호스트별 유입량 확인 단계 S35 : 순위 상승폭 확인 단계
S36 : 제2 경고 단계

Claims (5)

  1. 호스트와 DNS 서버 사이에서 구비되는 비정상 행위 탐지 시스템을 이용하여 비정상 행위를 탐지하는 방법에 있어서,
    상기 비정상 행위 탐지 시스템에 유입되는 모든 패킷 중 DNS 패킷만을 수집하되, 상기 DNS 패킷은 Identification(인증의 위한 질의에 대한 응답 변호), Flags(질의 및 응답에 대한 세부 속성 정보), Number of question records(질의 섹션 내의 질의 수), Number of answer records(응답 레코드의 수), Number of authoritavice records(권한 레코드의 수), Number of additional records(추가 레코드의 수)의 정보를 제공하는 DNS 패킷 헤더와, Question section(질의할 도메인 이름)의 정보를 제공하는 DNS 질의 패킷 및 Question section(응답할 도메인 이름), Answer section(질의에 대한 응답 레코드를 반환. 이름, 유형, 클래스, 수명, 자원 데이터 길이, 자원 데이터), Authoritative sectin(질의에 대한 권한이 있는 서버 정보, 도메인 이름), Additionsal section(해석기에 추가 정보 제공)의 정보를 제공하는 DNS 응답 패킷을 수집하는 DNS 패킷 수집 단계; 및
    상기 DNS 패킷 수집 단계에서 수집된 DNS 패킷을 분석하여 화이트리스트 포함 여부를 확인하는 단계와, RFC 규약 위반 여부를 확인하는 단계와, 블랙리스트 포함 여부를 확인하는 단계와, 상기 DNS 패킷 중 질의 패킷을 분석하여 상기 DNS 서버의 주소의 변경 여부를 확인하는 단계 및 상기 DNS 패킷 중 응답 패킷을 분석하여 DNS 서버에 저장되어 있는 도메인 테이블의 변경 여부를 확인하는 단계들 중 적어도 하나의 단계를 더 구비하여 비행위를 탐지하는 제1 탐지 단계;
    를 포함하는 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 DNS 패킷의 분석 결과에 기반한 통계 데이터를 생성하고 저장하는 DNS 패킷 통계 데이터 생성 및 저장 단계를 구비하며 상기 DNS 패킷 통계 데이터를 이용하여 비정상 행위를 탐지하는 제2 탐지 단계를 더 포함하는 것을 특징으로 하는 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법.
  4. 청구항 3에 있어서,
    상기 제2 탐지 단계는,
    전체 유입량 통계 데이터를 기준으로 전체 유입량의 변화를 확인하는 단계;
    도메인별 유입량 통계 데이터를 기준으로 특정 도메인의 유입량을 확인하는 확인 단계;
    호스트별 유입량 통계 데이터를 기준으로 특정 호스트의 유입량을 확인하는 확인 단계; 및
    도메인별 유입량 통계 데이터를 기준으로 도메인 접속 순위 상승폭을 확인하는 단계들 중 적어도 하나의 단계를 더 구비하는 것을 특징으로 하는 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법.
  5. 청구항 3에 있어서,
    상기 제1 탐지 단계는 상기 제1 탐지 단계에서 비정상 행위가 탐지되었을 때 이를 경고하는 제1 경고 단계를 더 구비하며,
    상기 제2 탐지 단계는 상기 제2 탐지 단계에서 비정상 행위가 탐지되었을 때 이를 경고하는 제2 경고 단계를 더 구비하는 것을 특징으로 하는 DNS 패킷을 이용한 실시간 비정상 행위 탐지 방법.
KR1020110008551A 2011-01-28 2011-01-28 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 KR101223931B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110008551A KR101223931B1 (ko) 2011-01-28 2011-01-28 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110008551A KR101223931B1 (ko) 2011-01-28 2011-01-28 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법

Publications (2)

Publication Number Publication Date
KR20120087393A KR20120087393A (ko) 2012-08-07
KR101223931B1 true KR101223931B1 (ko) 2013-02-05

Family

ID=46872947

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110008551A KR101223931B1 (ko) 2011-01-28 2011-01-28 Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법

Country Status (1)

Country Link
KR (1) KR101223931B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105610830A (zh) * 2015-12-30 2016-05-25 山石网科通信技术有限公司 域名的检测方法及装置
KR101702102B1 (ko) * 2015-08-13 2017-02-13 주식회사 케이티 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
KR20180118399A (ko) * 2017-04-21 2018-10-31 에스케이브로드밴드주식회사 Dns관리장치 및 그 동작 방법
US10474820B2 (en) 2014-06-17 2019-11-12 Hewlett Packard Enterprise Development Lp DNS based infection scores

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104994117A (zh) * 2015-08-07 2015-10-21 国家计算机网络与信息安全管理中心江苏分中心 一种基于dns解析数据的恶意域名检测方法及系统
CN107534646A (zh) * 2015-08-28 2018-01-02 慧与发展有限责任合伙企业 用于确定dns分组是否为恶意的提取数据分类
US10805318B2 (en) 2015-08-28 2020-10-13 Hewlett Packard Enterprise Development Lp Identification of a DNS packet as malicious based on a value
KR101713909B1 (ko) * 2015-10-05 2017-03-09 주식회사 윈스 화이트 도메인을 이용한 네트워크 방어 방법 및 이를 위한 장치
KR20180051806A (ko) * 2016-11-09 2018-05-17 한국정보보호시스템(주) 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법
CN111641663B (zh) * 2020-07-06 2022-08-12 奇安信科技集团股份有限公司 一种安全检测方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010052007A1 (en) 2000-01-21 2001-12-13 Nec Corporation DNS server filter
US20060146816A1 (en) 2004-12-22 2006-07-06 Jain Hemant K System and method for integrated header, state, rate and content anomaly prevention for domain name service
KR20080063952A (ko) * 2007-01-03 2008-07-08 주식회사 케이티 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법
KR20090036808A (ko) * 2007-10-10 2009-04-15 주식회사 케이티 중앙 집중형 dns 분석 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010052007A1 (en) 2000-01-21 2001-12-13 Nec Corporation DNS server filter
US20060146816A1 (en) 2004-12-22 2006-07-06 Jain Hemant K System and method for integrated header, state, rate and content anomaly prevention for domain name service
KR20080063952A (ko) * 2007-01-03 2008-07-08 주식회사 케이티 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법
KR20090036808A (ko) * 2007-10-10 2009-04-15 주식회사 케이티 중앙 집중형 dns 분석 시스템

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10474820B2 (en) 2014-06-17 2019-11-12 Hewlett Packard Enterprise Development Lp DNS based infection scores
KR101702102B1 (ko) * 2015-08-13 2017-02-13 주식회사 케이티 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
WO2017026840A1 (ko) * 2015-08-13 2017-02-16 주식회사 케이티 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
CN105610830A (zh) * 2015-12-30 2016-05-25 山石网科通信技术有限公司 域名的检测方法及装置
KR20180118399A (ko) * 2017-04-21 2018-10-31 에스케이브로드밴드주식회사 Dns관리장치 및 그 동작 방법
KR101997181B1 (ko) * 2017-04-21 2019-07-05 에스케이브로드밴드주식회사 Dns관리장치 및 그 동작 방법

Also Published As

Publication number Publication date
KR20120087393A (ko) 2012-08-07

Similar Documents

Publication Publication Date Title
KR101223931B1 (ko) Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법
CN112651006B (zh) 一种电网安全态势感知系统
KR101239401B1 (ko) 보안 시스템의 로그 분석 시스템 및 방법
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN101924757B (zh) 追溯僵尸网络的方法和系统
US7792049B2 (en) Techniques for modeling and evaluating protocol interactions
US8392963B2 (en) Techniques for tracking actual users in web application security systems
TW201703465A (zh) 網路異常偵測技術
US20050108377A1 (en) Method for detecting abnormal traffic at network level using statistical analysis
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
CN111181978B (zh) 异常网络流量的检测方法、装置、电子设备及存储介质
Pan et al. Anomaly based intrusion detection for building automation and control networks
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
CN117792733A (zh) 一种网络威胁的检测方法及相关装置
US11159548B2 (en) Analysis method, analysis device, and analysis program
Oudah et al. Using burstiness for network applications classification
KR101084681B1 (ko) 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법
CN113609089A (zh) 接口请求处理方法、装置、可读存储介质及计算机设备
KR20100041471A (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
Karapoola et al. Towards identifying early indicators of a malware infection
CN113660247B (zh) 集群环境的配置生效方法、系统及可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160115

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170116

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 8