KR101322692B1 - Method and system for detecting botnet transmitting spam mail - Google Patents
Method and system for detecting botnet transmitting spam mail Download PDFInfo
- Publication number
- KR101322692B1 KR101322692B1 KR1020130085370A KR20130085370A KR101322692B1 KR 101322692 B1 KR101322692 B1 KR 101322692B1 KR 1020130085370 A KR1020130085370 A KR 1020130085370A KR 20130085370 A KR20130085370 A KR 20130085370A KR 101322692 B1 KR101322692 B1 KR 101322692B1
- Authority
- KR
- South Korea
- Prior art keywords
- sending
- sending terminal
- monitoring
- botnet
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 55
- 238000001514 detection method Methods 0.000 claims description 15
- 238000012552 review Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 208000015181 infectious disease Diseases 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 2
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/222—Monitoring or handling of messages using geographical location information, e.g. messages transmitted or received in proximity of a certain spot or area
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Marketing (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Human Resources & Organizations (AREA)
- General Engineering & Computer Science (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명은 봇넷 탐지에 관한 것으로서, 좀 더 상세하게는 스팸 메일을 발송한 봇넷을 탐지하는 방법 및 시스템에 관한 것이다.
The present invention relates to botnet detection, and more particularly, to a method and system for detecting botnets that send spam.
현재 사이버 공간에서는 수많은 위협들이 대두되고 있다. 제3자의 개인정보를 갈취 또는 수집하여 악용하고, 불특정 다수를 향해 음란, 광고메일을 유포하고 금전적 이익을 보거나, 또는 경쟁사의 정보화 기기의 서비스를 못하게 하는 등 인터넷상의 위협요인들은 산재해 있다. 이러한 사이버 피해가 두드러지는 가운데 새로운 위협적 요소가 인터넷을 장악해 나가고 있는데 그것이 바로 봇넷(BotNet)이다. 분산서비스 거부공격(DDoS)과 함께 가장 심각한 네트워크 위협으로 인식되고 있는 봇넷은 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. In cyber space, a lot of threats are emerging. Threats on the Internet are scattered, such as harassing or collecting personal information of third parties, exploiting towards the unspecified majority, distributing advertising mails, monetary gain, or preventing competitors' services of information devices. As cyber damage is prominent, new threats are dominating the Internet, which is BotNet. Botnets, which are recognized as the most serious network threats with distributed denial of service attacks (DDoS), are a network of computers infected with malicious software bots.
봇넷들이 여러 방면에서 악영향을 끼치고 있다고는 하지만 이를 잡아내는 것은 결코 쉬운 일이 아니다. 봇넷의 핵심적인 특성인 [분산성]과 [유저 의존성] 때문이다. 하나 혹은 소수의 PC들이 같은 태스크(task: 악의적 행동)를 반복적으로 수행한다면 이를 찾아내는 일은 크게 어렵지 않다. 하지만 수백 만대의 PC가 같은 태스크를 1~2번씩 수행한다면 이 태스크를 수행하는 주체를 찾아내는 일은 매우 어려울 것이다. 심지어는 그런 악의적 태스크가 수행되고 있는지 조차 모를 수도 있다. 또 하나 고려해야 할 점은 태스크에 동원되는 봇(bot)들은 일반 유저들의 개인 PC라는 것이다. 이들은 자발적으로 태스크에 참여하는 것이 아니기 때문에 단순히 조종자가 명령을 내리는 순간에 컴퓨터가 켜져 있을 경우에만 태스크에 참여하게 된다. 쉽게 말해 각각의 봇들이 언제 켜져 있고(참여), 언제 꺼져(비 참여) 있을지 아무도 예측할 수 없다.
Although botnets are badly affected in many ways, catching them is no easy task. This is due to the core characteristics of botnets-dispersibility and user dependence. If one or a few PCs perform the same task repeatedly, it's not difficult to find them. But if millions of PCs perform the same task once or twice, it will be very difficult to find out who is doing it. You may not even know whether such malicious tasks are being performed. Another thing to consider is that the bots used for the task are the personal PCs of the average user. Because they do not voluntarily participate in the task, they only participate in the task if the computer is turned on at the moment the operator gives the command. Simply put, no one can predict when each bot will be on (participate) and when (off) it will be off.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 봇넷에 의해 발송되는 스팸 메일들을 분석하여 그 봇넷을 탐지하는 방법 및 시스템을 제공하기 위한 것이다.Accordingly, the present invention has been made to solve the above-described problem, and to provide a method and system for detecting the botnet by analyzing spam mails sent by the botnet.
본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
Other objects of the present invention will become more apparent through the following preferred embodiments.
본 발명의 일 측면에 따르면, 메일이 수신되면, 발송단말의 아이피와 상기 메일을 업로드하는 메일 감시서버들; 및 상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함하는 봇넷 탐지 시스템이 제공된다.According to an aspect of the present invention, when the mail is received, mail monitoring server for uploading the mail and the IP of the sending terminal; And a main server that processes the monitored target sending terminal as a bot when a country corresponding to IPs of a specific number of monitored target sending terminals sending the same mail by comparing mails uploaded from the mail monitoring servers with each other is a preset number. There is provided a botnet detection system comprising a.
여기서, 상기 메인 서버는 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 상기 특정 개수를 결정할 수 있다.Here, the main server may check whether one or more of a URL, an attached file, a specific character, and a phone number are included in the mail, and determine the specific number according to the confirmed contents.
또한, 상기 메인 서버는 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 다른 발송단말들을 대상으로 국가를 재검토할 수 있다.In addition, the main server may review the country for other sending terminals if the countries according to the IPs of the monitoring target sending terminal are all the same but different regions are more than a certain number.
또한, 상기 메인 서버는 봇으로 처리된 상기 감시대상 발송단말들로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공할 수 있다.In addition, the main server may process all sending terminals that have sent the same mail as the mails from the monitoring target sending terminals processed by the bot to the bot, and provide related information to each mail monitoring server.
또한, 상기 메일 감시서버들은 메일이 수신된 발송단말이 봇으로 처리되면, 발송단말로 봇 감염을 알리는 회신 메일을 송신할 수 있다.In addition, the mail monitoring server may send a reply mail notifying the bot infection to the sending terminal when the sending terminal receiving the mail is processed by the bot.
또한, 상기 메일 감시서버들은 수신된 메일이 스팸메일로 인식되는 경우에만 해당 메일과 아이피에 대한 정보를 업로드할 수 있다.
In addition, the mail monitoring servers may upload information about the mail and the IP only when the received mail is recognized as spam mail.
본 발명의 다른 측면에 따르면, 메일 감시서버들과 통신망을 통해 연결된 서버 장치에서의 봇넷 탐지 방법에 있어서, 메일 감시서버들로부터 수신된 메일과 상기 메일을 발송한 발송단말의 아이피에 대한 정보를 수집하는 단계; 수집된 정보를 기반으로, 동일한 메일을 발송한 발송단말들을 특정 개수 선정하는 단계; 및 선정된 감시대상 발송단말들의 각 아이피에 따른 국가가 일정 개수 이상인지 여부를 판단함으로써, 상기 동일한 메일을 발송한 발송단말들을 봇으로 처리하는 단계를 포함하는 봇넷 탐지 방법 및 그 방법을 실행하는 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록매체가 제공된다.According to another aspect of the present invention, in a botnet detection method in a server device connected to a mail monitoring server via a communication network, collecting information on the mail received from the mail monitoring server and the IP of the sending terminal that sent the mail. Making; Selecting a specific number of sending terminals sending the same mail based on the collected information; And determining whether the number of countries corresponding to each IP of the selected monitoring target sending terminals is greater than or equal to a number, thereby processing the sending terminals sending the same mail as a bot, and a program for executing the method. Recorded recording media are provided for the computer to read.
여기서, 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 선정되는 감시대상 발송단말들의 특정 개수를 결정할 수 있다.Here, it is possible to check whether one or more of a URL, an attached file, a specific character, and a phone number are included in the mail, and determine a specific number of monitoring target dispatch terminals selected according to the confirmed contents.
또한, 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 상기 동일한 메일을 발송한 다른 발송단말들을 대상으로 국가를 재검토하는 단계를 더 포함할 수 있다.
In addition, if the countries according to the IPs of the monitoring target sending terminal are all the same but different areas are a certain number, may further comprise the step of reviewing the country for the other sending terminal that sent the same mail.
본 발명에 따르면, 수신된 메일들을 이용하여 봇넷을 탐지함으로써, 봇넷에 의한 피해를 예방할 수 있다.
According to the present invention, by detecting the botnet using the received mails, it is possible to prevent damage caused by the botnet.
도 1은 본 발명의 일 실시예에 따른 봇넷 탐지 시스템 개략적으로 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 봇넷 탐지의 개략적인 과정을 도시한 흐름도.
도 3은 본 발명의 일 실시예에 따른 동일한 메일을 발송한 발송단말들의 봇 여부를 결정하는 과정을 도시한 흐름도.Figure 1 is a schematic diagram showing a botnet detection system according to an embodiment of the present invention.
2 is a flow diagram illustrating a schematic process of botnet detection in accordance with an embodiment of the present invention.
3 is a flowchart illustrating a process of determining whether or not to send bots that send the same mail according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.
이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성 요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout the specification and claims. The description will be omitted.
도 1은 본 발명의 일 실시예에 따른 봇넷 탐지 시스템 개략적으로 도시한 구성도이다.Figure 1 is a schematic diagram showing a botnet detection system according to an embodiment of the present invention.
도 1을 참조하면, 본 실시예에 따른 전체 시스템은 봇넷을 구성하는 컴퓨터 장치인 봇 장치들(10-1, 10-2, ..., 10-n : 이하 10으로 통칭), 메일 감시서버들(30-1, 30-2, ..., 30-m : 이하 30으로 통칭) 및 메인 서버(50)를 포함한다.Referring to Figure 1, the entire system according to the present embodiment is a computer device constituting a bot net bot devices (10-1, 10-2, ..., 10-n: collectively referred to as 10 below), mail monitoring server Fields 30-1, 30-2, ..., 30-m: collectively referred to as 30 below and the
봇넷은 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말하는 것으로, 봇 장치(10)는 상술한 바와 같은 봇에 감염되어 스팸 메일을 발송하는 컴퓨팅 장치이다.The botnet refers to a form in which a plurality of computers infected by malicious software bots are connected to a network, and the
메일 감시서버(30)는 관리되는 메일계정을 가진 유저들에게 전달되는 메일을 감시하기 위한 서버장치로서, 예를 들어 일반 메일 서버일 수 있으며 또는 메일 서버들로 전달되는 메일을 감시하기 위한 별도의 감시장치일 수도 있다.The
메일 감시서버(30)는 봇 장치(10)를 포함한 메일을 발송하는 단말(이하 발송단말이라 칭함)로부터 수신되는 메일과 해당 발송단말의 아이피(IP) 주소에 대한 정보를 메인 서버(50)로 업로드한다. 예를 들어, 메일 감시서버(30)는 자체적으로 스팸메일을 필터링하는 기능을 보유할 수 있으며, 이러한 필터링 기능에 의해 스팸메일로 의심되는 메일이 수신되면, 해당 메일에 대해 관련정보(메일 내용 및 발신자(즉 발송단말)의 아이피)를 메인 서버(50)로 업로드한다. 물론 이는 일례일 뿐이며, 메일 감시서버(30)는 상술한 필터링 기능 없이 바로 모든 메일에 대해 메인 서버(50)로 관련 정보를 업로드할 수도 있다.The
또 다른 일례에 따르면, 메일 감시서버(30)는 메인 서버(50)로부터 취득된 봇에 감염된 봇넷을 구성하는 단말로 식별된 봇 장치들에 대한 리스트를 이용하여, 수신된 메일이 봇으로부터 발송된 것인지 여부를 먼저 판단하고, 봇으로 판단되면 자체적으로 필터링하며, 봇이 아닌 경우에만 해당 메일에 관련된 정보를 메인 서버(50)로 업로드할 수도 있다.According to another example, the
메인 서버(50)는 메일 감시서버(30)들로부터 업로드되는 메일 관련정보를 기반으로, 해당 발송단말이 봇넷을 구성하는 봇 장치인지 여부를 판단한다.The
메인 서버(50)는 메일 감시서버(30)들로부터 수집된 각 메일 관련정보를 기반으로, 동일한 내용의 메일을 발송한 특정 개수의 발송단말(이하, 감시대상 발송단말이라 칭함)의 아이피를 이용한다. 쉽게 말해, k개의 메일 감시서버(30)로부터 수집된 메일이 서로 동일한 경우, 해당 메일을 발송한 감시대상 발송단말의 아이피를 이용하여 그 감시대상 발송단말이 봇인지 여부를 판단하는 것이다.The
각 감시대상 발송단말의 아이피에 따른 국가가 미리 설정된 개수(예를 들어, 2개 등) 이상인 경우 해당 감시대상 발송단말들은 봇으로 인식될 수 있으며, 물론 그 감시대상 발송단말들과 동일한 메일을 발송한 모든 발송단말들도 봇으로서 처리될 수 있다.If the number of countries according to IP of each monitored sending terminal is more than a preset number (for example, two, etc.), the monitored sending terminals may be recognized as bots, and of course, the same mail as the monitored sending terminals is sent. All sending terminals can also be treated as bots.
일반적으로 아이피 주소 체계는 국가마다 할당되는 주소 대역이 정해져 있어, 아이피 주소만으로도 국가를 확인할 수 있다. 따라서, 메인 서버(50)는 각 감시대상 발송단말의 아이피를 이용하여 어떤 국가들에서 해당 메일이 발송되었는지를 확인할 수 있으며, 만일 다양한 국가에서 발송된 것이라면 그 감시대상 발송단말들을 봇으로 인식하는 것이다. 일반적으로 봇넷은 수천, 수만대의 봇들이 여러 나라에 분포된다는 점을 이용하는 것이다. In general, the IP address system has an address band assigned to each country, so the IP address alone can identify the country. Therefore, the
이하, 도 1에 따른 메일 감시서버(30)와 메인 서버(50)간의 협업을 통한 봇넷 탐지 과정에 대해 설명하기로 한다.Hereinafter, a botnet detection process through collaboration between the
도 2는 본 발명의 일 실시예에 따른 봇넷 탐지의 개략적인 과정을 도시한 흐름도이다.2 is a flowchart illustrating a schematic process of botnet detection according to an embodiment of the present invention.
도 2를 참조하면, 메일 감시서버(30)는 수신된 메일이 스팸메일로서 인식되면(S210), 해당 메일 및 발송단말의 아이피에 대한 정보(이하, 보고 정보라 칭함)를 메인 서버(50)로 업로드한다(S220). 본 실시예에서는 메일 감시서버(30)가 수신된 메일이 스팸인지 여부를 판단하고, 스팸인 경우에만 메인 서버(50)로 보고 정보를 업로드하는 것으로 설명하였으나, 이는 일례일 뿐이며 다른 예에 따르면, 모든 메일에 대해 메인 서버(50)로 해당 메일 및 발송단말의 아이피 정보를 업로드할 수도 있다. 또는 상술한 바와 같이 메일 감시서버(30)는 봇넷에 대한 정보를 미리 가지고 있어, 수신된 메일이 봇넷에 의한 메일인지 여부를 판단하고, 봇넷이 아닌 것으로 판단되는 경우(신종 봇넷일 경우)에만 보고 정보를 메인 서버(50)로 업로드할 수도 있다.Referring to FIG. 2, when the received mail is recognized as spam mail (S210), the
메인 서버(50)는 다른 메일 감시서버(30)로부터 동일한 스팸메일에 따른 보고 정보가 업로드되면, 그 보고 정보들 중 특정 개수, 즉 특정 개수(이하 k개라 함)의 발송단말들을 감시대상 발송단말로서 선정한다(S230). 즉, 봇들은 통상적으로 수천, 수만대일 수 있으므로, 그 중 일부만을 감시대상 발송단말들로서 선정하는 것이다.When the
메인 서버(50)는 k개의 감시대상 발송단말의 각 아이피에 따른 국가를 확인하고(S240), 그 국가들이 미리 설정된 개수 이상인지 여부에 따라 봇 여부를 결정한다(S250). 쉬운 예로 k개의 감시대상 발송단말들 중 일부 또는 전부가 서로 다른 국가인 경우, 해당 감시대상 발송단말들을 포함한 동일 스팸메일을 발송한 모든 발송단말들은 봇으로 인식될 수 있다. 여기서, 상술한 k개의 값은 고정된 값이 이용될 수도 있으나, 다양한 조건에 따라 가변적으로 설정될 수도 있는데 그에 대한 방식은 도 3을 참조하여 후술하기로 한다.The
만일, 감시대상 발송단말들이 봇으로 결정되면, 메인 서버(50)는 봇으로 처리된 감시대상 발송단말들로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공한다.If the monitored sending terminals are determined to be bots, the
따라서, 메일 감시서버(30)는 메인 서버(50)로부터 그 스팸메일을 발송한 발송단말들의 봇 여부에 대한 정보를 수신하면(S260), 그에 따라 해당 메일을 처리한다(S270). 쉬운 예로, 발송단말이 봇으로 인식되는 경우, 메일 감시서버(30)는 해당 메일에 대해 스팸처리하여 메일 수신 계정으로의 전달을 처리하지 않고 해당 발송단말에 대한 정보(아이피 등)를 봇넷 리스트에 등록한다. 이와 달리 발송단말이 봇이 아닌 것으로 결정되면, 해당 메일은 정상적으로 처리될 수 있으며, 또는 S210에서 스팸메일로서 인식되었으므로 스팸처리될 수도 있다.Therefore, the
그리고, 일례에 따르면, 메일 감시서버(30)는 메일이 수신된 발송단말이 봇으로 처리되면, 해당 발송단말로 봇 감염을 알리는 회신 메일을 송신할 수 있다. 즉, 발송단말의 사용자는 자신의 단말이 봇에 감염된 것을 알지 못할 수도 있으므로, 회신메일로서 이를 알려주는 것이다.And, according to an example, the
본 실시예에서는 메인 서버(50)가 감시대상 발송단말의 아이피에 따른 국가를 인식하여 봇 여부를 결정하였다. 이와 다른 실시예에 따르면, 국가 외에도 아이피에 따른 지역까지 인식하여 이를 활용할 수도 있다.
In the present embodiment, the
도 3은 본 발명의 일 실시예에 따른 동일한 메일을 발송한 발송단말들의 봇 여부를 결정하는 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of determining whether or not to send bots that send the same mail according to an embodiment of the present invention.
도 3을 참조하면, 메인 서버(50)는 메일 내용을 분석하여 아이피에 따른 국가를 확인할 감시대상 발송단말의 개수(k)를 결정한다(S310). 메인 서버(50)는 해당 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 k값을 결정한다. 쉬운 예로, 상기한 바와 같은 의심되는 내용들이 존재하지 않는 경우 k값은 미리 설정된 값(예를 들어, 10 등)으로 결정되고, 첨부파일, URL 등이 존재하는 경우 봇넷에 의한 공격일 가능성이 더욱 높으므로 k값은 보다 낮게(예를 들어, 3 또는 5 이하) 설정될 수 있다. 다른 예로서, 특정 문자로서 개인정보 관련 키워드(예를 들어, 주민등록번호, 주소 등), 불건전 키워드(예를 들어 성인물 등) 등이 포함되는 경우에도 봇넷에 의한 공격일 가능성이 높아 k값은 보다 낮게 설정될 수 있다. Referring to FIG. 3, the
메인 서버(50)는 결정된 k개의 감시대상 발송단말들의 아이피에 따른 국가가 복수개인지 여부를 판단하고(S320), 복수개인 경우 해당 메일을 발송한 감시대상 발송단말들을 봇으로서 처리한다(S370).The
이와 달리, 국가가 하나인 경우, 그 아이피에 따른 지역이 서로 다른지 여부를 판단한다(S330). 일반적으로 아이피 주소를 이용하여 대략적인 지역을 확인할 수 있기 때문이다. On the other hand, if there is only one country, it is determined whether the regions according to the IP are different (S330). In general, the IP address can be used to determine the approximate location.
메인 서버(50)는 만일 그 지역들이 동일하다면 해당 메일은 봇넷에 의한 스팸이 아닌 것으로 처리하고(S340), 상이하다면 다른 감시대상 발송단말들을 선정하여 해당 아이피에 따른 국가를 재검토한다(S350). 일반적으로 봇넷에 따른 봇들은 넓은 분포로 퍼져있기 때문에, 감시대상 발송단말들의 아이피에 따른 지역이 다소 상이하다는 것은 봇넷에 의한 봇들일 가능성이 높기 때문이므로 다른 발송단말들을 대상으로 국가를 재검토하는 것이다.If the regions are the same, the mail is treated as non-spam by the botnet if the regions are the same (S340), and if different, select other monitoring target terminals to review the country according to the IP (S350). In general, because botnets are spread over a wide range, the area of the monitored sending terminals is somewhat different because the botnets are more likely to be botnets.
메인 서버(50)는 재검토 결과 국가가 복수개인지 여부를 확인하고(S360), 확인 결과 국가가 복수개인 경우 S370으로 진행하고, 또는 하나의 국가인 경우 S340으로 진행한다.
The
상술한 본 발명에 따른 스팸 메일을 발송한 봇넷 탐지 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The botnet detection method for sending spam mail according to the present invention described above may be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, it may be a ROM (Read Only Memory), a RAM (Random Access Memory), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, or the like. In addition, the computer-readable recording medium may be distributed and executed in a computer system connected to a computer network, and may be stored and executed as a code readable in a distributed manner.
또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that various modifications and changes may be made.
10-1, 10-2, ..., 10-n : 봇 장치
30-1, 30-2, ..., 30-m : 메일 감시서버
50 : 메인 서버10-1, 10-2, ..., 10-n: Bot Device
30-1, 30-2, ..., 30-m: mail monitoring server
50: main server
Claims (9)
상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하고, 봇으로 처리된 상기 감시대상 발송단말로부터의 메일과 동일한 메일을 송신한 모든 발송단말들을 봇으로 처리하고, 관련 정보를 각 메일 감시서버들로 제공하는 메인 서버를 포함하는 봇넷 탐지 시스템.
When the mail is received, the IP of the sending terminal and the mail monitoring server for uploading the mail; And
If the number of countries according to IPs of a certain number of monitored target sending terminals that have sent the same mail by comparing mails uploaded from the mail monitoring servers with each other is greater than a predetermined number, the monitored target sending terminal is treated as a bot, A botnet detection system comprising a main server for processing all sending terminals that have sent the same mail as the mail from the monitored target sending terminal, and providing related information to each mail monitoring server.
상기 메일 감시서버들로부터 업로드되는 메일을 서로 비교하여 동일한 메일을 발송한 특정 개수의 감시대상 발송단말의 아이피들에 따른 국가가 미리 설정된 개수 이상인 경우 상기 감시대상 발송단말을 봇으로 처리하는 메인 서버를 포함하되,
상기 메인 서버는 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고, 확인된 내용에 따라 상기 특정 개수를 결정하는 것을 특징으로 하는 봇넷 탐지 시스템.
When the mail is received, the IP of the sending terminal and the mail monitoring server for uploading the mail; And
Comparing the uploaded mails from the mail monitoring servers with each other, the main server processing the monitored sending terminal as a bot when the number of countries according to the IPs of the specific number of monitored sending terminals sending the same mail is more than a preset number; Including,
The main server checks whether one or more of a URL, an attached file, a specific character, and a phone number is included in the mail, and determines the specific number according to the checked contents.
상기 메인 서버는 상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 다른 발송단말들을 대상으로 국가를 재검토하는 것을 특징으로 하는 봇넷 탐지 시스템.
The method according to claim 1,
The main server is a botnet detection system, if the country according to the IP of the monitoring target sending terminal is the same, but different areas more than a certain number, review the country for the other sending terminal.
상기 메일 감시서버들은 메일이 수신된 발송단말이 봇으로 처리되면, 발송단말로 봇 감염을 알리는 회신 메일을 송신하는 것을 특징으로 하는 봇넷 탐지 시스템.
The method according to claim 1,
The mail monitoring server is a botnet detection system characterized in that when the sending terminal receiving the mail is processed by the bot, sending a reply mail notifying the bot infection to the sending terminal.
상기 메일 감시서버들은 수신된 메일이 스팸메일로 인식되는 경우에만 해당 메일과 아이피에 대한 정보를 업로드하는 것을 특징으로 하는 봇넷 탐지 시스템.
The method according to claim 1,
The mail monitoring server is a botnet detection system, characterized in that for uploading information about the mail and IP only if the received mail is recognized as spam mail.
메일 감시서버들로부터 수신된 메일과 상기 메일을 발송한 발송단말의 아이피에 대한 정보를 수집하는 단계;
수집된 정보를 기반으로 동일한 메일을 발송한 발송단말들을 특정 개수 선정하되, 상기 메일에 URL, 첨부파일, 특정 문자, 전화번호 중 어느 하나 이상이 포함되어 있는지 여부를 확인하고 확인된 내용에 따라 상기 특정 개수가 결정되는 단계; 및
선정된 감시대상 발송단말들의 각 아이피에 따른 국가가 일정 개수 이상인지 여부를 판단함으로써, 상기 동일한 메일을 발송한 발송단말들을 봇으로 처리하는 단계를 포함하는 봇넷 탐지 방법.
A botnet detection method in a server device connected to a mail monitoring server through a communication network,
Collecting information on the mails received from the mail monitoring servers and the IP of the sending terminal that sent the mails;
Based on the collected information, select a specific number of sending terminals sending the same mail, and check whether the mail includes at least one of a URL, an attached file, a specific character, and a phone number. Determining a specific number; And
And determining whether the number of countries corresponding to each IP of the selected monitoring target sending terminals is greater than or equal to a certain number, thereby processing the sending terminals sending the same mail to the bot.
상기 감시대상 발송단말의 아이피들에 따른 국가가 모두 동일하나 상이한 지역이 일정 개수 이상이면, 상기 동일한 메일을 발송한 다른 발송단말들을 대상으로 국가를 재검토하는 단계를 더 포함하는 봇넷 탐지 방법.The method of claim 7,
If the countries according to the IPs of the monitored sending terminal are all the same but different regions are more than a certain number, botnet detection method further comprising the step of reviewing the country for the other sending terminal that sent the same mail.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130085370A KR101322692B1 (en) | 2013-07-19 | 2013-07-19 | Method and system for detecting botnet transmitting spam mail |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130085370A KR101322692B1 (en) | 2013-07-19 | 2013-07-19 | Method and system for detecting botnet transmitting spam mail |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101322692B1 true KR101322692B1 (en) | 2013-10-28 |
Family
ID=49639409
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130085370A KR101322692B1 (en) | 2013-07-19 | 2013-07-19 | Method and system for detecting botnet transmitting spam mail |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101322692B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101048159B1 (en) | 2009-02-27 | 2011-07-08 | (주)다우기술 | Botnet Detection and Blocking System and Method |
-
2013
- 2013-07-19 KR KR1020130085370A patent/KR101322692B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101048159B1 (en) | 2009-02-27 | 2011-07-08 | (주)다우기술 | Botnet Detection and Blocking System and Method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
EP3206364B1 (en) | Message authenticity and risk assessment | |
US9479532B1 (en) | Mitigating denial of service attacks | |
EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
CN107465648B (en) | Abnormal equipment identification method and device | |
US20120239751A1 (en) | Multi-dimensional reputation scoring | |
US20160142429A1 (en) | Preventing access to malicious content | |
EP3195172A1 (en) | Blocking forgiveness for ddos | |
US10951649B2 (en) | Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content | |
CN105592017B (en) | The defence method and system of cross-site scripting attack | |
CN102404741B (en) | Method and device for detecting abnormal online of mobile terminal | |
CN108390870B (en) | Method, device, storage medium and equipment for defending network attack | |
KR102119718B1 (en) | Technique for Detecting Suspicious Electronic Messages | |
CN109561051A (en) | Content distributing network safety detection method and system | |
AU2008207924A1 (en) | Web reputation scoring | |
Ghafir et al. | DNS query failure and algorithmically generated domain-flux detection | |
US10142360B2 (en) | System and method for iteratively updating network attack mitigation countermeasures | |
Yan et al. | Unwanted traffic control via hybrid trust management | |
Wang et al. | Hiding fast flux botnet in plain email sight | |
CN115017502A (en) | Flow processing method and protection system | |
KR101473652B1 (en) | Method and appratus for detecting malicious message | |
KR101322692B1 (en) | Method and system for detecting botnet transmitting spam mail | |
Panimalar et al. | A review on taxonomy of botnet detection | |
KR101686472B1 (en) | Network security apparatus and method of defending an malicious behavior | |
Chen et al. | Detecting hybrid botnets with web command and control servers or fast flux domain. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161010 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180731 Year of fee payment: 6 |