KR101322692B1 - Method and system for detecting botnet transmitting spam mail - Google Patents

Method and system for detecting botnet transmitting spam mail Download PDF

Info

Publication number
KR101322692B1
KR101322692B1 KR1020130085370A KR20130085370A KR101322692B1 KR 101322692 B1 KR101322692 B1 KR 101322692B1 KR 1020130085370 A KR1020130085370 A KR 1020130085370A KR 20130085370 A KR20130085370 A KR 20130085370A KR 101322692 B1 KR101322692 B1 KR 101322692B1
Authority
KR
South Korea
Prior art keywords
mail
sending
sending terminal
monitoring
botnet
Prior art date
Application number
KR1020130085370A
Other languages
Korean (ko)
Inventor
차형건
Original Assignee
(주)지란지교소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교소프트 filed Critical (주)지란지교소프트
Priority to KR1020130085370A priority Critical patent/KR101322692B1/en
Application granted granted Critical
Publication of KR101322692B1 publication Critical patent/KR101322692B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/222Monitoring or handling of messages using geographical location information, e.g. messages transmitted or received in proximity of a certain spot or area

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Human Resources & Organizations (AREA)
  • General Engineering & Computer Science (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

PURPOSE: A method for detecting botnet transmitting a spam mail and a system thereof are provided to detect the botnet from received mails, thereby preventing the damage caused by the botnet. CONSTITUTION: When a mail is received, mail monitoring servers (30-1~30-m) upload the mail and an internet protocol of a transmitting terminal. A main server (50) compares mails which are uploaded from the mail monitoring servers. When the number of countries according to internet protocols of the number of monitoring object transmitting terminals, which transmits the same mail, exceeds a constant number, the main server processes the monitoring object transmitting terminals by using botnet. The main server processes the whole transmitting terminals which transmits the same mail by using the botnet and provides related information to the mail monitoring servers. [Reference numerals] (50) Main server; (AA) Network

Description

스팸 메일을 발송한 봇넷 탐지 방법 및 시스템{Method and system for detecting botnet transmitting spam mail}Method and system for detecting botnet transmitting spam mail

본 발명은 봇넷 탐지에 관한 것으로서, 좀 더 상세하게는 스팸 메일을 발송한 봇넷을 탐지하는 방법 및 시스템에 관한 것이다.
The present invention relates to botnet detection, and more particularly, to a method and system for detecting botnets that send spam.

현재 사이버 공간에서는 수많은 위협들이 대두되고 있다. 제3자의 개인정보를 갈취 또는 수집하여 악용하고, 불특정 다수를 향해 음란, 광고메일을 유포하고 금전적 이익을 보거나, 또는 경쟁사의 정보화 기기의 서비스를 못하게 하는 등 인터넷상의 위협요인들은 산재해 있다. 이러한 사이버 피해가 두드러지는 가운데 새로운 위협적 요소가 인터넷을 장악해 나가고 있는데 그것이 바로 봇넷(BotNet)이다. 분산서비스 거부공격(DDoS)과 함께 가장 심각한 네트워크 위협으로 인식되고 있는 봇넷은 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. In cyber space, a lot of threats are emerging. Threats on the Internet are scattered, such as harassing or collecting personal information of third parties, exploiting towards the unspecified majority, distributing advertising mails, monetary gain, or preventing competitors' services of information devices. As cyber damage is prominent, new threats are dominating the Internet, which is BotNet. Botnets, which are recognized as the most serious network threats with distributed denial of service attacks (DDoS), are a network of computers infected with malicious software bots.

봇넷들이 여러 방면에서 악영향을 끼치고 있다고는 하지만 이를 잡아내는 것은 결코 쉬운 일이 아니다. 봇넷의 핵심적인 특성인 [분산성]과 [유저 의존성] 때문이다. 하나 혹은 소수의 PC들이 같은 태스크(task: 악의적 행동)를 반복적으로 수행한다면 이를 찾아내는 일은 크게 어렵지 않다. 하지만 수백 만대의 PC가 같은 태스크를 1~2번씩 수행한다면 이 태스크를 수행하는 주체를 찾아내는 일은 매우 어려울 것이다. 심지어는 그런 악의적 태스크가 수행되고 있는지 조차 모를 수도 있다. 또 하나 고려해야 할 점은 태스크에 동원되는 봇(bot)들은 일반 유저들의 개인 PC라는 것이다. 이들은 자발적으로 태스크에 참여하는 것이 아니기 때문에 단순히 조종자가 명령을 내리는 순간에 컴퓨터가 켜져 있을 경우에만 태스크에 참여하게 된다. 쉽게 말해 각각의 봇들이 언제 켜져 있고(참여), 언제 꺼져(비 참여) 있을지 아무도 예측할 수 없다.
Although botnets are badly affected in many ways, catching them is no easy task. This is due to the core characteristics of botnets-dispersibility and user dependence. If one or a few PCs perform the same task repeatedly, it's not difficult to find them. But if millions of PCs perform the same task once or twice, it will be very difficult to find out who is doing it. You may not even know whether such malicious tasks are being performed. Another thing to consider is that the bots used for the task are the personal PCs of the average user. Because they do not voluntarily participate in the task, they only participate in the task if the computer is turned on at the moment the operator gives the command. Simply put, no one can predict when each bot will be on (participate) and when (off) it will be off.

따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 봇넷에 의해 발송되는 스팸 메일들을 분석하여 그 봇넷을 탐지하는 방법 및 시스템을 제공하기 위한 것이다.Accordingly, the present invention has been made to solve the above-described problem, and to provide a method and system for detecting the botnet by analyzing spam mails sent by the botnet.

본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
Other objects of the present invention will become more apparent through the following preferred embodiments.

본 발명의 일 측면에 따르면, 메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및 상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함하는 봇넷 탐지 시스템이 제공된다.According to an aspect of the present invention, when the mail is received, mail monitoring server for uploading the mail and the IP of the sending terminal; And a main server that processes the monitored target sending terminal as a bot when a country corresponding to IPs of a specific number of monitored target sending terminals sending the same mail by comparing mails uploaded from the mail monitoring servers with each other is a preset number. There is provided a botnet detection system comprising a.

여기서, 상기 메인 서버는 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 상기 특정 개수를 결정할 수 있다.Here, the main server may check whether one or more of a URL, an attached file, a specific character, and a phone number are included in the mail, and determine the specific number according to the confirmed contents.

또한, 상기 메인 서버는 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 다른 발송단말들을 대상으로 국가를 재검토할 수 있다.In addition, the main server may review the country for other sending terminals if the countries according to the IPs of the monitoring target sending terminal are all the same but different regions are more than a certain number.

또한, 상기 메인 서버는 봇으로 처리된 상기 감시대상 발송단말들로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공할 수 있다.In addition, the main server may process all sending terminals that have sent the same mail as the mails from the monitoring target sending terminals processed by the bot to the bot, and provide related information to each mail monitoring server.

또한, 상기 메일 감시서버들은 메일이 수신된 발송단말이 봇으로 처리되면, 발송단말로 봇 감염을 알리는 회신 메일을 송신할 수 있다.In addition, the mail monitoring server may send a reply mail notifying the bot infection to the sending terminal when the sending terminal receiving the mail is processed by the bot.

또한, 상기 메일 감시서버들은 수신된 메일이 스팸메일로 인식되는 경우에만 해당 메일과 아이피에 대한 정보를 업로드할 수 있다.
In addition, the mail monitoring servers may upload information about the mail and the IP only when the received mail is recognized as spam mail.

본 발명의 다른 측면에 따르면, 메일 감시서버들과 통신망을 통해 연결된 서버 장치에서의 봇넷 탐지 방법에 있어서, 메일 감시서버들로부터 수신된 메일과 상기 메일을 발송한 발송단말의 아이피에 대한 정보를 수집하는 단계; 수집된 정보를 기반으로, 동일한 메일을 발송한 발송단말들을 특정 개수 선정하는 단계; 및 선정된 감시대상 발송단말들의 각 아이피에 따른 국가가 일정 개수 이상인지 여부를 판단함으로써, 상기 동일한 메일을 발송한 발송단말들을 봇으로 처리하는 단계를 포함하는 봇넷 탐지 방법 및 그 방법을 실행하는 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록매체가 제공된다.According to another aspect of the present invention, in a botnet detection method in a server device connected to a mail monitoring server via a communication network, collecting information on the mail received from the mail monitoring server and the IP of the sending terminal that sent the mail. Making; Selecting a specific number of sending terminals sending the same mail based on the collected information; And determining whether the number of countries corresponding to each IP of the selected monitoring target sending terminals is greater than or equal to a number, thereby processing the sending terminals sending the same mail as a bot, and a program for executing the method. Recorded recording media are provided for the computer to read.

여기서, 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 선정되는 감시대상 발송단말들의 특정 개수를 결정할 수 있다.Here, it is possible to check whether one or more of a URL, an attached file, a specific character, and a phone number are included in the mail, and determine a specific number of monitoring target dispatch terminals selected according to the confirmed contents.

또한, 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 상기 동일한 메일을 발송한 다른 발송단말들을 대상으로 국가를 재검토하는 단계를 더 포함할 수 있다.
In addition, if the countries according to the IPs of the monitoring target sending terminal are all the same but different areas are a certain number, may further comprise the step of reviewing the country for the other sending terminal that sent the same mail.

본 발명에 따르면, 수신된 메일들을 이용하여 봇넷을 탐지함으로써, 봇넷에 의한 피해를 예방할 수 있다.
According to the present invention, by detecting the botnet using the received mails, it is possible to prevent damage caused by the botnet.

도 1은 본 발명의 일 실시예에 따른 봇넷 탐지 시스템 개략적으로 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 봇넷 탐지의 개략적인 과정을 도시한 흐름도.
도 3은 본 발명의 일 실시예에 따른 동일한 메일을 발송한 발송단말들의 봇 여부를 결정하는 과정을 도시한 흐름도.Figure 1 is a schematic diagram showing a botnet detection system according to an embodiment of the present invention.
2 is a flow diagram illustrating a schematic process of botnet detection in accordance with an embodiment of the present invention.
3 is a flowchart illustrating a process of determining whether or not to send bots that send the same mail according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성 요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout the specification and claims. The description will be omitted.

도 1은 본 발명의 일 실시예에 따른 봇넷 탐지 시스템 개략적으로 도시한 구성도이다.Figure 1 is a schematic diagram showing a botnet detection system according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예에 따른 전체 시스템은 봇넷을 구성하는 컴퓨터 장치인 봇 장치들(10-1, 10-2, ..., 10-n : 이하 10으로 통칭), 메일 감시서버들(30-1, 30-2, ..., 30-m : 이하 30으로 통칭) 및 메인 서버(50)를 포함한다.Referring to Figure 1, the entire system according to the present embodiment is a computer device constituting a bot net bot devices (10-1, 10-2, ..., 10-n: collectively referred to as 10 below), mail monitoring server Fields 30-1, 30-2, ..., 30-m: collectively referred to as 30 below and the main server 50.

봇넷은 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말하는 것으로, 봇 장치(10)는 상술한 바와 같은 봇에 감염되어 스팸 메일을 발송하는 컴퓨팅 장치이다.The botnet refers to a form in which a plurality of computers infected by malicious software bots are connected to a network, and the bot device 10 is a computing device infected with the bots described above and sending spam mail.

메일 감시서버(30)는 관리되는 메일계정을 가진 유저들에게 전달되는 메일을 감시하기 위한 서버장치로서, 예를 들어 일반 메일 서버일 수 있으며 또는 메일 서버들로 전달되는 메일을 감시하기 위한 별도의 감시장치일 수도 있다.The mail monitoring server 30 is a server device for monitoring mail delivered to users having a managed mail account. For example, the mail monitoring server 30 may be a general mail server or a separate server for monitoring mail delivered to mail servers. It may be a monitoring device.

메일 감시서버(30)는 봇 장치(10)를 포함한 메일을 발송하는 단말(이하 발송단말이라 칭함)로부터 수신되는 메일과 해당 발송단말의 아이피(IP) 주소에 대한 정보를 메인 서버(50)로 업로드한다. 예를 들어, 메일 감시서버(30)는 자체적으로 스팸메일을 필터링하는 기능을 보유할 수 있으며, 이러한 필터링 기능에 의해 스팸메일로 의심되는 메일이 수신되면, 해당 메일에 대해 관련정보(메일 내용 및 발신자(즉 발송단말)의 아이피)를 메인 서버(50)로 업로드한다. 물론 이는 일례일 뿐이며, 메일 감시서버(30)는 상술한 필터링 기능 없이 바로 모든 메일에 대해 메인 서버(50)로 관련 정보를 업로드할 수도 있다.The mail monitoring server 30 sends mail received from a terminal (hereinafter referred to as a sending terminal) including the bot device 10 and information on an IP address of the corresponding sending terminal to the main server 50. Upload. For example, the mail monitoring server 30 may have a function for filtering spam mails by itself, and when a mail suspected to be spam mail is received by such filtering function, related information (mail content and The IP of the sender (that is, the sending terminal) is uploaded to the main server 50. Of course, this is only an example, and the mail monitoring server 30 may upload relevant information to the main server 50 for all mails without the above-described filtering function.

또 다른 일례에 따르면, 메일 감시서버(30)는 메인 서버(50)로부터 취득된 봇에 감염된 봇넷을 구성하는 단말로 식별된 봇 장치들에 대한 리스트를 이용하여, 수신된 메일이 봇으로부터 발송된 것인지 여부를 먼저 판단하고, 봇으로 판단되면 자체적으로 필터링하며, 봇이 아닌 경우에만 해당 메일에 관련된 정보를 메인 서버(50)로 업로드할 수도 있다.According to another example, the mail monitoring server 30 uses a list of bot devices identified as terminals forming a botnet infected with the bot obtained from the main server 50, so that the received mail is sent from the bot. If it is determined first, and if it is determined that the bot is filtered by itself, the information related to the mail may be uploaded to the main server 50 only if the bot.

메인 서버(50)는 메일 감시서버(30)들로부터 업로드되는 메일 관련정보를 기반으로, 해당 발송단말이 봇넷을 구성하는 봇 장치인지 여부를 판단한다.The main server 50 determines whether the corresponding sending terminal is a bot device constituting the botnet based on the mail related information uploaded from the mail monitoring servers 30.

메인 서버(50)는 메일 감시서버(30)들로부터 수집된 각 메일 관련정보를 기반으로, 동일한 내용의 메일을 발송한 특정 개수의 발송단말(이하, 감시대상 발송단말이라 칭함)의 아이피를 이용한다. 쉽게 말해, k개의 메일 감시서버(30)로부터 수집된 메일이 서로 동일한 경우, 해당 메일을 발송한 감시대상 발송단말의 아이피를 이용하여 그 감시대상 발송단말이 봇인지 여부를 판단하는 것이다.The main server 50 uses the IP of a specific number of sending terminals (hereinafter referred to as monitoring target sending terminals) that have sent mail having the same content, based on each mail related information collected from the mail monitoring servers 30. . In other words, when the mails collected from the k mail monitoring servers 30 are identical to each other, it is determined whether the monitoring target sending terminal is a bot using the IP of the monitoring target sending terminal that sent the mail.

각 감시대상 발송단말의 아이피에 따른 국가가 미리 설정된 개수(예를 들어, 2개 등) 이상인 경우 해당 감시대상 발송단말들은 봇으로 인식될 수 있으며, 물론 그 감시대상 발송단말들과 동일한 메일을 발송한 모든 발송단말들도 봇으로서 처리될 수 있다.If the number of countries according to IP of each monitored sending terminal is more than a preset number (for example, two, etc.), the monitored sending terminals may be recognized as bots, and of course, the same mail as the monitored sending terminals is sent. All sending terminals can also be treated as bots.

일반적으로 아이피 주소 체계는 국가마다 할당되는 주소 대역이 정해져 있어, 아이피 주소만으로도 국가를 확인할 수 있다. 따라서, 메인 서버(50)는 각 감시대상 발송단말의 아이피를 이용하여 어떤 국가들에서 해당 메일이 발송되었는지를 확인할 수 있으며, 만일 다양한 국가에서 발송된 것이라면 그 감시대상 발송단말들을 봇으로 인식하는 것이다. 일반적으로 봇넷은 수천, 수만대의 봇들이 여러 나라에 분포된다는 점을 이용하는 것이다. In general, the IP address system has an address band assigned to each country, so the IP address alone can identify the country. Therefore, the main server 50 can check which countries the mail is sent to by using the IP of each monitored sending terminal, and if it is sent from various countries, the monitored sending terminals are recognized as bots. . In general, botnets take advantage of the fact that thousands and tens of thousands of bots are distributed in many countries.

이하, 도 1에 따른 메일 감시서버(30)와 메인 서버(50)간의 협업을 통한 봇넷 탐지 과정에 대해 설명하기로 한다.Hereinafter, a botnet detection process through collaboration between the mail monitoring server 30 and the main server 50 according to FIG. 1 will be described.

도 2는 본 발명의 일 실시예에 따른 봇넷 탐지의 개략적인 과정을 도시한 흐름도이다.2 is a flowchart illustrating a schematic process of botnet detection according to an embodiment of the present invention.

도 2를 참조하면, 메일 감시서버(30)는 수신된 메일이 스팸메일로서 인식되면(S210), 해당 메일 및 발송단말의 아이피에 대한 정보(이하, 보고 정보라 칭함)를 메인 서버(50)로 업로드한다(S220). 본 실시예에서는 메일 감시서버(30)가 수신된 메일이 스팸인지 여부를 판단하고, 스팸인 경우에만 메인 서버(50)로 보고 정보를 업로드하는 것으로 설명하였으나, 이는 일례일 뿐이며 다른 예에 따르면, 모든 메일에 대해 메인 서버(50)로 해당 메일 및 발송단말의 아이피 정보를 업로드할 수도 있다. 또는 상술한 바와 같이 메일 감시서버(30)는 봇넷에 대한 정보를 미리 가지고 있어, 수신된 메일이 봇넷에 의한 메일인지 여부를 판단하고, 봇넷이 아닌 것으로 판단되는 경우(신종 봇넷일 경우)에만 보고 정보를 메인 서버(50)로 업로드할 수도 있다.Referring to FIG. 2, when the received mail is recognized as spam mail (S210), the mail monitoring server 30 may display information on the IP of the mail and the sending terminal (hereinafter referred to as report information) on the main server 50. Upload to (S220). In the present exemplary embodiment, the mail monitoring server 30 determines whether the received mail is spam and uploads the report information to the main server 50 only when the mail is spam. However, this is only an example and according to another example, It is also possible to upload the IP information of the mail and the sending terminal to the main server 50 for all the mail. Alternatively, as described above, the mail monitoring server 30 has information about the botnet in advance, and determines whether the received mail is a mail by the botnet, and reports only when it is determined that the mail is not a botnet (new botnet). Information can also be uploaded to the main server 50.

메인 서버(50)는 다른 메일 감시서버(30)로부터 동일한 스팸메일에 따른 보고 정보가 업로드되면, 그 보고 정보들 중 특정 개수, 즉 특정 개수(이하 k개라 함)의 발송단말들을 감시대상 발송단말로서 선정한다(S230). 즉, 봇들은 통상적으로 수천, 수만대일 수 있으므로, 그 중 일부만을 감시대상 발송단말들로서 선정하는 것이다.When the main server 50 uploads the report information according to the same spam mail from the other mail monitoring server 30, a specific number of the report information, that is, a specific number (hereinafter, referred to as "k") of sending terminals are monitored. It is selected as (S230). That is to say, bots can typically be thousands or tens of thousands, so select only some of them as monitored sending terminals.

메인 서버(50)는 k개의 감시대상 발송단말의 각 아이피에 따른 국가를 확인하고(S240), 그 국가들이 미리 설정된 개수 이상인지 여부에 따라 봇 여부를 결정한다(S250). 쉬운 예로 k개의 감시대상 발송단말들 중 일부 또는 전부가 서로 다른 국가인 경우, 해당 감시대상 발송단말들을 포함한 동일 스팸메일을 발송한 모든 발송단말들은 봇으로 인식될 수 있다. 여기서, 상술한 k개의 값은 고정된 값이 이용될 수도 있으나, 다양한 조건에 따라 가변적으로 설정될 수도 있는데 그에 대한 방식은 도 3을 참조하여 후술하기로 한다.The main server 50 checks the countries according to the IPs of the k monitored target sending terminals (S240), and determines whether or not the bots are based on whether the countries are greater than or equal to a preset number (S250). As an easy example, if some or all of the k monitored sending terminals are in different countries, all sending terminals sending the same spam mail, including the monitored sending terminals, can be recognized as bots. Here, the k values described above may be fixed values, but may be set variably according to various conditions. A method thereof will be described later with reference to FIG. 3.

만일, 감시대상 발송단말들이 봇으로 결정되면, 메인 서버(50)는 봇으로 처리된 감시대상 발송단말들로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공한다.If the monitored sending terminals are determined to be bots, the main server 50 processes all sending terminals that send the same mail as the mails from the monitored sending terminals processed by the bots, and processes the relevant information for each mail. Provided as surveillance servers.

따라서, 메일 감시서버(30)는 메인 서버(50)로부터 그 스팸메일을 발송한 발송단말들의 봇 여부에 대한 정보를 수신하면(S260), 그에 따라 해당 메일을 처리한다(S270). 쉬운 예로, 발송단말이 봇으로 인식되는 경우, 메일 감시서버(30)는 해당 메일에 대해 스팸처리하여 메일 수신 계정으로의 전달을 처리하지 않고 해당 발송단말에 대한 정보(아이피 등)를 봇넷 리스트에 등록한다. 이와 달리 발송단말이 봇이 아닌 것으로 결정되면, 해당 메일은 정상적으로 처리될 수 있으며, 또는 S210에서 스팸메일로서 인식되었으므로 스팸처리될 수도 있다.Therefore, the mail monitoring server 30 receives information on whether or not the bots of the sending terminal that sent the spam mail from the main server 50 (S260), and processes the mail accordingly (S270). As an easy example, if the sending terminal is recognized as a bot, the mail monitoring server 30 spams the corresponding mail and does not process the delivery to the mail receiving account, but the information about the sending terminal (IP, etc.) on the botnet list. Register. On the other hand, if it is determined that the sending terminal is not a bot, the mail may be processed normally, or may be spam because it is recognized as spam in S210.

그리고, 일례에 따르면, 메일 감시서버(30)는 메일이 수신된 발송단말이 봇으로 처리되면, 해당 발송단말로 봇 감염을 알리는 회신 메일을 송신할 수 있다. 즉, 발송단말의 사용자는 자신의 단말이 봇에 감염된 것을 알지 못할 수도 있으므로, 회신메일로서 이를 알려주는 것이다.And, according to an example, the mail monitoring server 30 may send a reply mail notifying the bot infection to the sending terminal when the sending terminal receiving the mail is processed by the bot. That is, the user of the sending terminal may not know that its terminal is infected with the bot, so it informs it by reply mail.

본 실시예에서는 메인 서버(50)가 감시대상 발송단말의 아이피에 따른 국가를 인식하여 봇 여부를 결정하였다. 이와 다른 실시예에 따르면, 국가 외에도 아이피에 따른 지역까지 인식하여 이를 활용할 수도 있다.
In the present embodiment, the main server 50 recognizes the country according to the IP of the monitored sending terminal to determine whether or not the bot. According to another embodiment, in addition to the country can also recognize and utilize the area according to the IP.

도 3은 본 발명의 일 실시예에 따른 동일한 메일을 발송한 발송단말들의 봇 여부를 결정하는 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of determining whether or not to send bots that send the same mail according to an embodiment of the present invention.

도 3을 참조하면, 메인 서버(50)는 메일 내용을 분석하여 아이피에 따른 국가를 확인할 감시대상 발송단말의 개수(k)를 결정한다(S310). 메인 서버(50)는 해당 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 k값을 결정한다. 쉬운 예로, 상기한 바와 같은 의심되는 내용들이 존재하지 않는 경우 k값은 미리 설정된 값(예를 들어, 10 등)으로 결정되고, 첨부파일, URL 등이 존재하는 경우 봇넷에 의한 공격일 가능성이 더욱 높으므로 k값은 보다 낮게(예를 들어, 3 또는 5 이하) 설정될 수 있다. 다른 예로서, 특정 문자로서 개인정보 관련 키워드(예를 들어, 주민등록번호, 주소 등), 불건전 키워드(예를 들어 성인물 등) 등이 포함되는 경우에도 봇넷에 의한 공격일 가능성이 높아 k값은 보다 낮게 설정될 수 있다. Referring to FIG. 3, the main server 50 analyzes the mail content and determines the number k of monitoring target sending terminals to check a country according to IP (S310). The main server 50 checks whether the mail includes one or more of a URL, an attached file, a specific character, and a phone number, and determines the k value according to the confirmed contents. As an easy example, if there is no suspicious content as described above, the k value is determined as a preset value (for example, 10), and if there is an attachment, a URL, etc., it is more likely that the attack is caused by a botnet. Since it is high, the k value can be set lower (e.g., 3 or 5 or less). As another example, even if a specific character includes a keyword related to personal information (e.g. social security number, address, etc.), abusive keyword (e.g. adult content, etc.), the k value is likely to be lower because the attack is likely caused by a botnet. Can be set.

메인 서버(50)는 결정된 k개의 감시대상 발송단말들의 아이피에 따른 국가가 복수개인지 여부를 판단하고(S320), 복수개인 경우 해당 메일을 발송한 감시대상 발송단말들을 봇으로서 처리한다(S370).The main server 50 determines whether there are a plurality of countries according to the IPs of the determined k monitoring target sending terminals (S320), and processes the monitored target sending terminals sending the corresponding mail as bots (S370).

이와 달리, 국가가 하나인 경우, 그 아이피에 따른 지역이 서로 다른지 여부를 판단한다(S330). 일반적으로 아이피 주소를 이용하여 대략적인 지역을 확인할 수 있기 때문이다. On the other hand, if there is only one country, it is determined whether the regions according to the IP are different (S330). In general, the IP address can be used to determine the approximate location.

메인 서버(50)는 만일 그 지역들이 동일하다면 해당 메일은 봇넷에 의한 스팸이 아닌 것으로 처리하고(S340), 상이하다면 다른 감시대상 발송단말들을 선정하여 해당 아이피에 따른 국가를 재검토한다(S350). 일반적으로 봇넷에 따른 봇들은 넓은 분포로 퍼져있기 때문에, 감시대상 발송단말들의 아이피에 따른 지역이 다소 상이하다는 것은 봇넷에 의한 봇들일 가능성이 높기 때문이므로 다른 발송단말들을 대상으로 국가를 재검토하는 것이다.If the regions are the same, the mail is treated as non-spam by the botnet if the regions are the same (S340), and if different, select other monitoring target terminals to review the country according to the IP (S350). In general, because botnets are spread over a wide range, the area of the monitored sending terminals is somewhat different because the botnets are more likely to be botnets.

메인 서버(50)는 재검토 결과 국가가 복수개인지 여부를 확인하고(S360), 확인 결과 국가가 복수개인 경우 S370으로 진행하고, 또는 하나의 국가인 경우 S340으로 진행한다.
The main server 50 checks whether there are a plurality of countries as a result of the review (S360), and if there are a plurality of countries as a result of the review, proceeds to S370, or, if there is one country, goes to S340.

상술한 본 발명에 따른 스팸 메일을 발송한 봇넷 탐지 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The botnet detection method for sending spam mail according to the present invention described above may be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, it may be a ROM (Read Only Memory), a RAM (Random Access Memory), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, or the like. In addition, the computer-readable recording medium may be distributed and executed in a computer system connected to a computer network, and may be stored and executed as a code readable in a distributed manner.

또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that various modifications and changes may be made.

10-1, 10-2, ..., 10-n : 봇 장치
30-1, 30-2, ..., 30-m : 메일 감시서버
50 : 메인 서버10-1, 10-2, ..., 10-n: Bot Device
30-1, 30-2, ..., 30-m: mail monitoring server
50: main server

Claims (9)

메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및
상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하고, 봇으로 처리된 상기 감시대상 발송단말로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공하는 메인 서버를 포함하는 봇넷 탐지 시스템.
When the mail is received, the IP of the sending terminal and the mail monitoring server for uploading the mail; And
If the number of countries according to IPs of a certain number of monitored target sending terminals that have sent the same mail by comparing mails uploaded from the mail monitoring servers with each other is greater than a predetermined number, the monitored target sending terminal is treated as a bot, A botnet detection system comprising a main server for processing all sending terminals that have sent the same mail as the mail from the monitored target sending terminal, and providing related information to each mail monitoring server.
메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및
상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함하되,
상기 메인 서버는 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 상기 특정 개수를 결정하는 것을 특징으로 하는 봇넷 탐지 시스템.
When the mail is received, the IP of the sending terminal and the mail monitoring server for uploading the mail; And
Comparing the uploaded mails from the mail monitoring servers with each other, the main server processing the monitored sending terminal as a bot when the number of countries according to the IPs of the specific number of monitored sending terminals sending the same mail is more than a preset number; Including,
The main server checks whether one or more of a URL, an attached file, a specific character, and a phone number is included in the mail, and determines the specific number according to the checked contents.
청구항 1에 있어서,
상기 메인 서버는 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 다른 발송단말들을 대상으로 국가를 재검토하는 것을 특징으로 하는 봇넷 탐지 시스템.
The method according to claim 1,
The main server is a botnet detection system, if the country according to the IP of the monitoring target sending terminal is the same, but different areas more than a certain number, review the country for the other sending terminal.
삭제delete 청구항 1에 있어서,
상기 메일 감시서버들은 메일이 수신된 발송단말이 봇으로 처리되면, 발송단말로 봇 감염을 알리는 회신 메일을 송신하는 것을 특징으로 하는 봇넷 탐지 시스템.
The method according to claim 1,
The mail monitoring server is a botnet detection system characterized in that when the sending terminal receiving the mail is processed by the bot, sending a reply mail notifying the bot infection to the sending terminal.
청구항 1에 있어서,
상기 메일 감시서버들은 수신된 메일이 스팸메일로 인식되는 경우에만 해당 메일과 아이피에 대한 정보를 업로드하는 것을 특징으로 하는 봇넷 탐지 시스템.
The method according to claim 1,
The mail monitoring server is a botnet detection system, characterized in that for uploading information about the mail and IP only if the received mail is recognized as spam mail.
메일 감시서버들과 통신망을 통해 연결된 서버 장치에서의 봇넷 탐지 방법에 있어서,
메일 감시서버들로부터 수신된 메일과 상기 메일을 발송한 발송단말의 아이피에 대한 정보를 수집하는 단계;
수집된 정보를 기반으로 동일한 메일을 발송한 발송단말들을 특정 개수 선정하되, 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고 확인된 내용에 따라 상기 특정 개수가 결정되는 단계; 및
선정된 감시대상 발송단말들의 각 아이피에 따른 국가가 일정 개수 이상인지 여부를 판단함으로써, 상기 동일한 메일을 발송한 발송단말들을 봇으로 처리하는 단계를 포함하는 봇넷 탐지 방법.
A botnet detection method in a server device connected to a mail monitoring server through a communication network,
Collecting information on the mails received from the mail monitoring servers and the IP of the sending terminal that sent the mails;
Based on the collected information, select a specific number of sending terminals sending the same mail, and check whether the mail includes at least one of a URL, an attached file, a specific character, and a phone number. Determining a specific number; And
And determining whether the number of countries corresponding to each IP of the selected monitoring target sending terminals is greater than or equal to a certain number, thereby processing the sending terminals sending the same mail to the bot.
삭제delete 청구항 7에 있어서,
상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 상기 동일한 메일을 발송한 다른 발송단말들을 대상으로 국가를 재검토하는 단계를 더 포함하는 봇넷 탐지 방법.The method of claim 7,
If the countries according to the IPs of the monitored sending terminal are all the same but different regions are more than a certain number, botnet detection method further comprising the step of reviewing the country for the other sending terminal that sent the same mail.
KR1020130085370A 2013-07-19 2013-07-19 Method and system for detecting botnet transmitting spam mail KR101322692B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130085370A KR101322692B1 (en) 2013-07-19 2013-07-19 Method and system for detecting botnet transmitting spam mail

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130085370A KR101322692B1 (en) 2013-07-19 2013-07-19 Method and system for detecting botnet transmitting spam mail

Publications (1)

Publication Number Publication Date
KR101322692B1 true KR101322692B1 (en) 2013-10-28

Family

ID=49639409

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130085370A KR101322692B1 (en) 2013-07-19 2013-07-19 Method and system for detecting botnet transmitting spam mail

Country Status (1)

Country Link
KR (1) KR101322692B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101048159B1 (en) 2009-02-27 2011-07-08 (주)다우기술 Botnet Detection and Blocking System and Method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101048159B1 (en) 2009-02-27 2011-07-08 (주)다우기술 Botnet Detection and Blocking System and Method

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
EP3206364B1 (en) Message authenticity and risk assessment
US9479532B1 (en) Mitigating denial of service attacks
EP2863611B1 (en) Device for detecting cyber attack based on event analysis and method thereof
CN107465648B (en) Abnormal equipment identification method and device
US20120239751A1 (en) Multi-dimensional reputation scoring
US20160142429A1 (en) Preventing access to malicious content
EP3195172A1 (en) Blocking forgiveness for ddos
US10951649B2 (en) Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content
CN105592017B (en) The defence method and system of cross-site scripting attack
CN102404741B (en) Method and device for detecting abnormal online of mobile terminal
CN108390870B (en) Method, device, storage medium and equipment for defending network attack
KR102119718B1 (en) Technique for Detecting Suspicious Electronic Messages
CN109561051A (en) Content distributing network safety detection method and system
AU2008207924A1 (en) Web reputation scoring
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
Yan et al. Unwanted traffic control via hybrid trust management
Wang et al. Hiding fast flux botnet in plain email sight
CN115017502A (en) Flow processing method and protection system
KR101473652B1 (en) Method and appratus for detecting malicious message
KR101322692B1 (en) Method and system for detecting botnet transmitting spam mail
Panimalar et al. A review on taxonomy of botnet detection
KR101686472B1 (en) Network security apparatus and method of defending an malicious behavior
Chen et al. Detecting hybrid botnets with web command and control servers or fast flux domain.

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161010

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 6