KR101391781B1 - 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 - Google Patents

웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101391781B1
KR101391781B1 KR1020120086328A KR20120086328A KR101391781B1 KR 101391781 B1 KR101391781 B1 KR 101391781B1 KR 1020120086328 A KR1020120086328 A KR 1020120086328A KR 20120086328 A KR20120086328 A KR 20120086328A KR 101391781 B1 KR101391781 B1 KR 101391781B1
Authority
KR
South Korea
Prior art keywords
list
web
http
web transaction
transaction
Prior art date
Application number
KR1020120086328A
Other languages
English (en)
Other versions
KR20140027616A (ko
Inventor
김성진
이종문
배병철
오형근
손기욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120086328A priority Critical patent/KR101391781B1/ko
Priority to US13/958,552 priority patent/US20140047543A1/en
Publication of KR20140027616A publication Critical patent/KR20140027616A/ko
Application granted granted Critical
Publication of KR101391781B1 publication Critical patent/KR101391781B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치가 개시된다. 본 발명에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치는, 트래픽 수집 센서가 수집한 HTTP 요청 패킷에서 메타데이터를 추출하는 수집 관리부, 상기 메타데이터를 분석하여 웹 트랜잭션을 추출하고, 상기 추출된 웹 트랜잭션을 접근 빈도에 따라 정렬하여 그레이리스트를 생성하는 웹 트랜잭션 분류부 및 화이트리스트와 상기 블랙리스트를 기반으로 상기 그레이리스트를 필터링하는 필터링부를 포함한다.

Description

웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법{Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction}
본 발명은 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치 및 방법에 관한 것으로, 더욱 상세하게는 웹 트랜잭션 밀집도를 기반으로 화이트리스트 및 블랙리스트를 분석하여 HTTP 봇넷 탐지를 수행하는 장치 및 방법에 관한 것이다.
봇넷은 악성코드의 일종인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 의미한다. 1990년 초반, IRC 봇넷의 등장을 시작으로 최근에는 HTTP 프로토콜을 이용한 봇넷이 등장하기 시작하였다.
HTTP 봇넷의 유형은 다음과 같이 나누어 볼 수 있다. 금융거래정보 등 내부자료 탈취를 목적으로 하는 제우스(Zeus)와 같은 내부자료 유출형 봇넷, 디도스(DDoS) 공격을 목적으로 하는 디도스(DDoS) 공격형 봇넷, 이메일(E-mail)을 통해 전파되고 다른 악성코드를 추가로 다운로드 하여 광범위한 피해를 입히는 스팸형 봇넷 등이 존재하며, 변종 및 신종 봇이 계속해서 출현하는 추세이다.
IRC 봇넷의 경우, 봇이 사용하는 특정 포트를 네트워크 운영자가 방화벽에서 차단할 수 있지만 HTTP 봇넷이 사용하는 80(HTTP)는 범용 포트로써 차단이 불가능하므로 HTTP 봇넷의 활동을 막는 것은 현실적으로 불가능하다.
또한 HTTP 봇넷은 정상적인 웹 통신과 동일한 방법으로 경유지 서버와 정보를 주고받기 때문에 특정 HTTP 봇을 분석하여 최적화된 탐지 규칙을 명세한 후 IDS(Intrusion Detection System) 장비 등에 적용하기 전까지는 탐지하기 어렵다.
기존에는 존재하는 경유지 서버 및 IP 정보에 의존하는 탐지 방법으로 인해 신종 HTTP 봇넷에 대한 탐지가 불가능하거나 신종 HTTP 봇넷으로 의심되는 트래픽을 탐지하더라도 판단 기준이 모호하여 정확한 결정을 내리는데 어려움이 따랐다.
이를 극복하기 위해 클라이언트의 DNS 질의 등 트래픽 패턴을 그룹화하여 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템이 등장했다.
하지만 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템은 그룹 행위를 식별할 수 있을 정도의 대규모 네트워크에서만 탐지가 가능하고 해당 네트워크에서 동일한 악성코드에 감염된 봇이 다수 존재해야만 식별할 수 있다는 단점이 있다.
또한 수집하는 트래픽 정보가 많기 때문에 수집 관리 및 봇넷 탐지를 위한 데이터 분석 시 시스템 부하가 큰 단점이 있다.
한국공개특허 제2011-0070182 호는 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법에 대해서 개시하고 있으나, 이 한국공개특허에 개시된 기술은 대규모 네트워크 환경에서 유사한 트래픽 행위 패턴을 가진 동일한 봇이 다수 존재하는 상황을 전제로 하고, 대량의 트래픽 수집을 필요로 하는 등의 한계가 있다.
따라서, HTTP 봇넷을 탐지를 위하여 보다 새로운 기술의 필요성이 절실하게 대두된다.
본 발명의 목적은 기관 네트워크 혹은 ISP 네트워크와 같이 클라이언트 IP 관리가 가능한 네트워크 환경에서 HTTP 봇넷의 웹 트랜잭션 밀집도가 낮은 특성을 이용하여 기존 및 신종 HTTP 봇넷을 탐지하는 장치 및 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치는, 트래픽 수집 센서가 수집한 HTTP 요청 패킷에서 메타데이터를 추출하는 수집 관리부, 상기 메타데이터를 분석하여 웹 트랜잭션을 추출하고, 상기 추출된 웹 트랜잭션을 접근 빈도에 따라 정렬하여 그레이리스트를 생성하는 웹 트랜잭션 분류부 및 화이트리스트와 상기 블랙리스트를 기반으로 상기 그레이리스트를 필터링하여 HTTP 봇넷 탐지를 수행하는 필터링부를 포함한다.
이 때, 상기 수집 관리부는, 상기 트래픽 수집 센서가 수집한 HTTP 요청 패킷 정보 중 수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인 및 요청 URL 정보를 포함하는 메타데이터를 추출할 수 있다.
이 때, 상기 웹 트랜잭션 분류부는, 상기 메타데이터를 기준으로 상기 웹 트랜잭션을 분류하여 밀집도 정보를 포함하는 메타데이터 구조체를 생성하고, 상기 밀집도 정보가 설정치 이하인 메타데이터 구조체 리스트를 추출하여 그레이리스트를 생성할 수 있다.
이 때, 상기 필터링부는, 상기 그레이리스트에서 상기 화이트리스트에 해당하는 웹 트랜잭션을 제거하고, 상기 블랙리스트와 매칭되는 웹 트랜잭션을 추출하여 기존 HTTP 봇넷 탐지 리스트에 추가하며, 남은 그레이리스트에 해당하는 웹 트랜잭션을 신종 HTTP 봇넷 탐지 리스트에 추가하여 HTTP 봇넷 탐지를 수행할 수 있다.
이 때, 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치는, 소정의 웹페이지에 주기적으로 자동 접속하여 웹 접근 기록을 수집하고, 웹 트랜잭션 분류를 수행함으로써 정상 웹 트랜잭션을 포함하는 화이트리스트를 생성하는 화이트리스트 생성 머신을 더 포함할 수 있다.
이 때, 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치는, 시스템 운용자에 의한 입력, 외부 보안업체 및 블랙리스트 데이터베이스와의 연계를 통하여 입력 받은 블랙리스트를 저장하고 관리하는 블랙리스트 관리부를 더 포함할 수 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법은 수집 관리부가 내부 클라이언트에서 외부 웹 서버로 요청하는 HTTP 요청 패킷을 수집하고 상기 HTTP 요청 패킷에서 메타데이터를 추출하는 단계, 웹 트랜잭션 분류부가 상기 메타데이터를 이용하여 그레이리스트를 생성하는 단계 및 필터링부가 화이트리스트와 블랙리스트를 기반으로 상기 그레이리스트의 범위를 필터링하여 HTTP 봇넷 탐지를 수행하는 단계를 포함한다.
이 때, 상기 메타데이터를 추출하는 단계는, 상기 HTTP 요청 패킷에서 수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인, 요청 URL 정보를 포함하는 메타데이터를 추출할 수 있다.
이 때, 상기 웹 트랜잭션 분류부가 상기 메타데이터를 이용하여 그레이리스트를 생성하는 단계는, 상기 메타데이터를 출발지 IP 별로 분류하고 레퍼러 정보와 타입 갭(Time Gap)을 기준으로 웹 트랜잭션을 분류하는 단계, 상기 메타데이터를 기준으로 밀집도(Count) 정보를 포함하는 메타데이터 구조체를 생성하고, 상기 밀집도 정보가 설정치 이하인 메타데이터 구조체 리스트를 추출하여 그레이리스트를 생성하는 단계를 포함할 수 있다.
이 때, 상기 화이트리스트와 블랙리스트를 기반으로 상기 그레이리스트의 범위를 필터링하여 HTTP 봇넷 탐지를 수행하는 단계는, 상기 그레이리스트에서 상기 화이트리스트에 해당하는 웹 트랜잭션을 제거하고, 상기 블랙리스트와 매칭되는 웹 트랜잭션을 추출하여 기존 HTTP 봇넷 탐지 리스트에 추가하며, 남은 그레이리스트에 해당하는 웹 트랜잭션을 신종 HTTP 봇넷 탐지 리스트에 추가하여 HTTP 봇넷 탐지를 수행할 수 있다.
이 때, 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법은 화이트리스트 생성 머신이 소정의 웹페이지에 주기적으로 자동 접속하여 웹 접근 기록을 수집하고, 웹 트랜잭션 분류를 수행함으로써 정상 웹 트랜잭션을 포함하는 화이트리스트를 생성하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 웹 트랜잭션 밀집도를 기반으로 HTTP 봇넷 탐지를 수행함으로써 관제대상 네트워크와 봇넷의 규모에 상관없이 HTTP 봇넷 탐지가 가능하고 화이트리스트 필터링과 접근 빈도에 따른 탐지 결과 재정렬을 수행함으로써 신종 HTTP 봇넷 탐지 시에도 정밀한 결정이 가능하다.
또한, HTTP 봇넷 탐지를 위해 HTTP 요청 패킷만을 수집하므로 모든 트래픽 혹은 TCP, UDP와 같은 하위 레벨 프로토콜의 트래픽 수집을 필요로 하는 봇넷 탐지 시스템에 비해 데이터 수집 관리 및 수집 데이터 분석 시 시스템 부하가 상대적으로 적다.
도 1은 본 발명의 일실시예에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치를 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 트랜잭션 분류부에서 생성하는 메타데이터 구조체의 포맷을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법을 나타낸 흐름도이다.
도 4는 본 발명의 일실시예에 따른 웹 트랜잭션 분류부에서 트랜잭션 분류를 수행하는 방법을 나타낸 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치를 나타낸 도면이다.
도 1을 참고하면, 본 발명의 일실시예에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치는 수집 관리부(100), 웹 트랜잭션 분류부(200), 필터링부(300), 블랙리스트 관리부(400), 화이트리스트 생성 머신(500)을 포함하여 구성된다.
웹 트랜잭션은 특정 클라이언트에서 발생하는 웹 접근 기록의 집합을 의미하며, 웹페이지에 대한 사용자의 클릭, 웹 서버에 대한 응용 프로그램의 주기적인 웹 접근 시에 생성된다. 웹 접근 기록은 클라이언트에서 외부 웹 서버로 향하는 HTTP 요청 패킷에 있는 IP 헤더 정보와 HTTP 헤더 정보를 지칭한다.
HTTP 봇넷에 의해 생성된 웹 트랜잭션이 포함하는 웹 접근 기록의 개수는 정상 웹 트랜잭션이 포함하는 웹 접근 기록의 개수에 비하여 현저히 낮은 특성을 가진다.
수집 관리부(100)은 트래픽 수집 센서가 수집한 HTTP 요청 패킷에서 메타데이터를 추출한다.
이 때, 수집 관리부(100)은 내부 클라이언트에서 외부 웹 서버로 요청이 이루어지는 HTTP 요청 패킷을 수집센서로부터 전달받고, 트래픽 수집 센서가 수집한 HTTP 요청 패킷 정보 중 수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인 및 요청 URL 정보를 포함하는 메타데이터를 추출할 수 있다.
웹 트랜잭션 분류부(200)은 상기 메타데이터를 분석하여 웹 트랜잭션을 추출하고, 상기 추출된 웹 트랜잭션을 접근 빈도에 따라 정렬하여 그레이리스트를 생성한다.
이 때, 웹 트랜잭션 분류부(200)은 메타데이터를 출발지 IP 별로 분류하고, 레퍼러 정보와 Time Gap(웹 접근 기록 쌍의 시간 차)을 기준으로 웹 트랜잭션을 분류하고, 출발지 IP, 수집시간, Count(밀집도), 레퍼러 정보, 목적지 IP, 요청 방법, 요청 도메인, 요청 URL 정보를 포함하는 메타데이터 구조체를 생성하며, 밀집도 정보가 설정치 이하인 메타데이터 구조체 리스트를 추출하여 그레이리스트를 생성할 수 있다.
이 때 생성된 하나의 메타데이터 구조체는 밀집도 정보와 같은 개수의 웹 접근 기록 정보를 가지는 웹 트랜잭션 한 그룹을 지칭한다.
메타데이터 구조체 포맷을 더욱 상세하게 설명하기 위하여 도 2를 참고하면, 메타데이터 구조체의 항목 중 목적지 IP, 요청 방법, 요청 도메인, 요청 URL의 4개 항목 쌍은 하나의 구조체 내부에 N개의 가변 배열로 구성되며, 웹 트랜잭션이 포함하는 첫 번째 웹 접근 기록의 목적지 IP, 요청 방법, 요청 도메인, 요청 URL 쌍부터 N 번째 웹 접근 기록의 목적지 IP, 요청 방법, 요청 도메인, 요청 URL 쌍까지를 저장하도록 한다.
메타데이터 구조체는 메타데이터(수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인, 요청 URL)를 바탕으로 웹 트랜잭션이 포함하는 웹 접근 기록 개수를 지칭하는 Count 필드와 웹 트랜잭션의 밀집도(N) 필드를 추가하고 목적지 IP, 요청방법, 요청 도메인, 요청 URL 쌍을 가변 배열 형태로 저장함으로써 웹 트랜잭션의 밀집도와 웹 트랜잭션의 세부 내용을 파악할 수 있도록 한다.
이 때, 가변 배열의 길이를 설정치 이하로 제한하는 것은 밀집도가 설정치 이상이면 HTTP 봇의 웹 트랜잭션이 아닐 확률이 높고 설정치 이상 저장할 경우 저장 공간의 낭비가 발생하기 때문이다.
가변 배열의 최대 개수 설정치는 시스템 운용자가 초기 설정한 값에 따르고 변경 가능하며, 웹 트랜잭션의 밀집도가 낮은 HTTP 봇넷의 웹 접근 기록을 식별하는 것을 목적으로 하기 때문에 1에서 5 사이의 값을 가지도록 할 수 있다.
또한, 웹 트랜잭션 분류부(200)은 접근 빈도에 따라 의심 정도를 판단하기 위해 그레이리스트를 재정렬할 수 있다.
이 때, 그레이리스트에 포함되는 정상 웹 트랜잭션은, 운영체제의 주기적인 업데이트 체크 및 수행, 응용 프로그램의 주기적인 업데이트 체크 및 수행, 웹 페이지의 스크립트에 의한 주기적인 웹 접근 내용이 포함될 수 있다.
한편, 위에서 열거된 정상 웹 트랜잭션의 경우, 밀집도가 낮으므로 HTTP 봇넷에 의해 생성되는 웹 트랜잭션과 혼동되어 오탐의 소지가 있다.
따라서, 정상 웹 트랜잭션을 필터링하기 위하여 화이트리스트 생성 머신(500)에서 화이트리스트를 생성한다.
화이트리스트 생성 머신(500)은 소정의 웹페이지에 주기적으로 자동 접속하여 웹 접근 기록을 수집하고, 웹 트랜잭션 분류를 수행함으로써 정상 웹 트랜잭션을 포함하는 화이트리스트를 생성한다.
화이트 리스트 생성 머신(500)은 1 이상 구비되며, 관제 대상 네트워크의 클라이언트에서 사용하는 운영체제의 종류 및 버전 별로 구성되며, 각 머신에는 잘 알려진 응용 프로그램과 웹 브라우징 도구 및 웹 접근 기록 수집 도구가 설치된다.
웹 브라우징 도구는 접속자 수가 많은 웹페이지에 주기적으로 자동 접속하면서 배너 트래픽과 스크립트에 의한 트래픽 등을 생성하고, 웹 접근 기록 수집 도구는 웹 브라우징 도구와 응용 프로그램에서 발생하는 웹 접근 기록을 수집하여 메타데이터를 생성한다.
수집된 메타데이터는 웹 트랜잭션 분류부(200)에 입력되어 최종적으로 임계치 설정치 이하의 정상 트랜잭션을 포함하는 화이트리스트를 생성한다.
이때, 화이트리스트는 목적지 IP, 도메인, URL 정보를 포함한다.
또한, 화이트리스트 생성 머신(500)은 악성코드 감염 등에 철저한 주의를 기울여야 하므로 전단부에 방화벽, IDS 등의 보안 장비가 존재하는 곳에 위치하여 외부 공격자의 침입 및 악성코드 설치 시도를 미연에 방지하도록 한다.
블랙리스트 관리부(400)은 시스템 운용자에 의한 입력, 외부 보안업체 및 블랙리스트 데이터베이스와의 연계를 통하여 입력 받은 블랙리스트를 저장하고 관리한다.
블랙리스트는 화이트리스트와 마찬가지로 목적지 IP, 도메인, URL 정보를 포함하며 블랙리스트 관리부(400)에 시스템 운용자가 직접 입력하거나 외부 보안업체 및 블랙리스트 DB와의 연계를 통하여 입력 받도록 한다.
필터링부(300)은 화이트리스트와 블랙리스트를 기반으로 그레이리스트를 필터링한다.
이 때, 필터링부(300)은 그레이리스트에서 화이트리스트에 해당하는 웹 트랜잭션을 제거하고, 블랙리스트와 매칭되는 웹 트랜잭션을 추출하여 기존 HTTP 봇넷 탐지 리스트에 추가하며, 남은 그레이리스트에 해당하는 웹 트랜잭션을 신종 HTTP 봇넷 탐지 리스트에 추가하여 HTTP 봇넷 탐지를 수행할 수 있다.
도 3은 본 발명의 일실시예에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법을 나타낸 흐름도이다.
도 3을 참고하면, 본 발명의 일실시예에 따른 웹 트랜잭션 밀지도 기반 HTTP 봇넷 탐지 방법은 우선, 수집 관리부(100)이 내부 클라이언트에서 외부 웹 서버로 요청하는 HTTP 요청 패킷을 수집하고(S10), 하고 상기 HTTP 요청 패킷에서 메타데이터를 추출한다.(S20)
이 때, 수집 관리부(100)은 내부 클라이언트에서 외부 웹 서버로 요청이 이루어지는 HTTP 요청 패킷을 수집센서로부터 전달받고, 트래픽 수집 센서가 수집한 HTTP 요청 패킷 정보 중 수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인 및 요청 URL 정보를 포함하는 메타데이터를 추출할 수 있다.
이후, 웹 트랜잭션 분류부(200)이 상기 메타데이터를 이용하여 웹 트랜잭션을 분류하고(S30), 접근 빈도로 정렬된 그레이리스트를 생성한다.(S40)
이 때, 상기 메타데이터를 출발지 IP 별로 분류하고 레퍼러 정보와 타입 갭(Time Gap)을 기준으로 웹 트랜잭션을 분류하고, 상기 메타데이터를 기준으로 밀집도(Count) 정보를 포함하는 메타데이터 구조체를 생성하고, 상기 밀집도 정보가 설정치 이하인 메타데이터 구조체 리스트를 추출하여 그레이리스트를 생성하고, 상기 그레이리스트를 접근 빈도에 따라 정렬할 수 있다.
또한, 웹 트랜잭션 분류부(200)은 접근 빈도에 따라 의심 정도를 판단하기 위해 그레이리스트를 재정렬할 수 있다.
이 때, 그레이리스트에 포함되는 정상 웹 트랜잭션은, 운영체제의 주기적인 업데이트 체크 및 수행, 응용 프로그램의 주기적인 업데이트 체크 및 수행, 웹 페이지의 스크립트에 의한 주기적인 웹 접근 내용이 포함될 수 있다.
화이트리스트는 소정의 웹페이지에 주기적으로 자동 접속하여 웹 접근 기록을 수집하고, 웹 트랜잭션 분류를 수행함으로써 정상 웹 트랜잭션을 포함하는 단계를 통해 생성될 수 있다.
블랙리스트는 시스템 운용자가 직접 입력하거나 외부 보안업체 및 블랙리스트 DB와의 연계를 통하여 입력 받아 생성될 수 있다.
이후, 필터링부(300)이 화이트리스트와 블랙리스트를 기반으로 상기 그레이리스트를 필터링하여 상기 그레이리스트의 범위를 축소한다.(S50)
이 때, 상기 그레이리스트에서 상기 화이트리스트에 해당하는 웹 트랜잭션을 제거하고, 상기 블랙리스트와 매칭되는 웹 트랜잭션을 추출하여 기존 HTTP 봇넷 탐지 리스트에 추가하며, 남은 그레이리스트에 해당하는 웹 트랜잭션을 신종 HTTP 봇넷 탐지 리스트에 추가하여 HTTP 봇넷 탐지를 수행할 수 있다.
도 4는 본 발명의 일실시예에 따른 웹 트랜잭션 분류부에서 트랜잭션 분류를 수행하는 방법을 나타낸 흐름도이다.
도 4를 참고하면, 본 발명의 일실시예에 따른 웹 트랜잭션 분류부에서 트랜잭션 분류를 수행하는 방법은 우선, 수집 관리부에서 추출한 메타데이터를 입력 받고(S100), 다음 데이터가 존재함을 확인한 뒤 데이터를 읽어온다.(S110, S120)
이후, 메타데이터의 출발지 IP를 키 값으로 하여 해싱을 수행하고(S130), 해시테이블에 키 값과 동일한 값이 존재 하는지를 판단하여(S140), 동일한 값이 없을 경우 현재의 키 값과 메타데이터를 저장하고(S160), 동일한 값이 있을 경우 이전에 기록되어 있는 메타데이터와 현재 읽어온 메타데이터의 각 항목을 비교 한다.(S150)
이후, 레퍼러 정보가 동일한지를 비교하여(S170), 레퍼러 정보가 같지 않을 경우 Time Gap(수집 시간의 차)을 비교한다.(S190)
이 때, Time Gap은 트랜잭션을 분류하는 판단기준이 된다.
Time Gap이 임계치를 초과할 경우 현재 읽어온 메타데이터를 이전에 저장된 메타데이터와 다른 트랜잭션으로 판단하고 구조체 리스트에 현재까지 저장된 메타데이터 구조체를 추가함으로써, 트랜잭션 분리를 수행하도록 한다.(S200)
Time Gap이 임계치를 초과하지 않을 경우에는 이전 메타데이터와 현재 읽어온 메타데이터가 동일한 트랜잭션임을 판별하고 Count 값 체크를 수행한다.(S180)
이 때, Count 값이 설정치 보다 작은 것으로 판별되면, 구조체의 가변배열에 메타데이터 정보를 추가하고(S210), 반대로 큰 것으로 판별되면, 구조체의 Count 래퍼러 정보를 증가시킨다.(S220)
이상에서와 같이 본 발명에 따른 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100 : 수집 관리부 200 : 웹 트랜잭션 분류부
300 : 필터링부 400 : 블랙리스트 관리부
500 : 화이트리스트 생성 머신

Claims (11)

  1. 트래픽 수집 센서가 수집한 HTTP 요청 패킷에서 메타데이터를 추출하는 수집 관리부;
    상기 메타데이터를 분석하여 웹 트랜잭션을 추출하고, 상기 추출된 웹 트랜잭션을 접근 빈도에 따라 정렬하여 그레이리스트를 생성하는 웹 트랜잭션 분류부; 및
    화이트리스트와 블랙리스트를 기반으로 상기 그레이리스트를 필터링하여 HTTP 봇넷 탐지를 수행하는 필터링부; 을 포함하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치.
  2. 청구항 1에 있어서,
    상기 수집 관리부는,
    상기 트래픽 수집 센서가 수집한 HTTP 요청 패킷 정보 중 수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인 및 요청 URL 정보를 포함하는 메타데이터를 추출하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치.
  3. 청구항 1에 있어서,
    상기 웹 트랜잭션 분류부는,
    상기 메타데이터를 기준으로 상기 웹 트랜잭션을 분류하여 밀집도 정보를 포함하는 메타데이터 구조체를 생성하고, 상기 밀집도 정보가 설정치 이하인 메타데이터 구조체 리스트를 추출하여 그레이리스트를 생성하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치.
  4. 청구항 1에 있어서,
    상기 필터링부는,
    상기 그레이리스트에서 상기 화이트리스트에 해당하는 웹 트랜잭션을 제거하고, 상기 블랙리스트와 매칭되는 웹 트랜잭션을 추출하여 기존 HTTP 봇넷 탐지 리스트에 추가하며, 남은 그레이리스트에 해당하는 웹 트랜잭션을 신종 HTTP 봇넷 탐지 리스트에 추가하여 HTTP 봇넷 탐지를 수행하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치.
  5. 청구항 1에 있어서,
    소정의 웹페이지에 주기적으로 자동 접속하여 웹 접근 기록을 수집하고, 웹 트랜잭션 분류를 수행함으로써 정상 웹 트랜잭션을 포함하는 화이트리스트를 생성하는 화이트리스트 생성 머신을 더 포함하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치.
  6. 청구항 1에 있어서,
    시스템 운용자에 의한 입력, 외부 보안업체 및 블랙리스트 데이터베이스와의 연계를 통하여 입력 받은 블랙리스트를 저장하고 관리하는 블랙리스트 관리부를 더 포함하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 장치.
  7. 수집 관리부가 내부 클라이언트에서 외부 웹 서버로 요청하는 HTTP 요청 패킷을 수집하고 상기 HTTP 요청 패킷에서 메타데이터를 추출하는 단계;
    웹 트랜잭션 분류부가 상기 메타데이터를 이용하여 그레이리스트를 생성하는 단계; 및
    필터링부가 화이트리스트와 블랙리스트를 기반으로 상기 그레이리스트의 범위를 필터링하여 HTTP 봇넷 탐지를 수행하는 단계; 를 포함하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법.
  8. 청구항 7에 있어서,
    상기 메타데이터를 추출하는 단계는,
    상기 HTTP 요청 패킷에서 수집 시간, 출발지 IP, 목적지 IP, 레퍼러 정보, 요청 방법, 요청 도메인, 요청 URL 정보를 포함하는 메타데이터를 추출하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법.
  9. 청구항 7에 있어서,
    상기 웹 트랜잭션 분류부가 상기 메타데이터를 이용하여 그레이리스트를 생성하는 단계는,
    상기 메타데이터를 출발지 IP 별로 분류하고 레퍼러 정보와 타입 갭(Time Gap)을 기준으로 웹 트랜잭션을 분류하는 단계;
    상기 메타데이터를 기준으로 밀집도(Count) 정보를 포함하는 메타데이터 구조체를 생성하고, 상기 밀집도 정보가 설정치 이하인 메타데이터 구조체 리스트를 추출하여 그레이리스트를 생성하는 단계를 포함하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법.
  10. 청구항 7에 있어서,
    상기 화이트리스트와 블랙리스트를 기반으로 상기 그레이리스트의 범위를 필터링하여 HTTP 봇넷 탐지를 수행하는 단계는,
    상기 그레이리스트에서 상기 화이트리스트에 해당하는 웹 트랜잭션을 제거하고, 상기 블랙리스트와 매칭되는 웹 트랜잭션을 추출하여 기존 HTTP 봇넷 탐지 리스트에 추가하며, 남은 그레이리스트에 해당하는 웹 트랜잭션을 신종 HTTP 봇넷 탐지 리스트에 추가하여 HTTP 봇넷 탐지를 수행하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법.
  11. 청구항 7에 있어서,
    화이트리스트 생성 머신이 소정의 웹페이지에 주기적으로 자동 접속하여 웹 접근 기록을 수집하고, 웹 트랜잭션 분류를 수행함으로써 정상 웹 트랜잭션을 포함하는 화이트리스트를 생성하는 단계를 더 포함하는 것을 특징으로 하는 웹 트랜잭션 밀집도 기반 HTTP 봇넷 탐지 방법.
KR1020120086328A 2012-08-07 2012-08-07 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 KR101391781B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120086328A KR101391781B1 (ko) 2012-08-07 2012-08-07 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US13/958,552 US20140047543A1 (en) 2012-08-07 2013-08-03 Apparatus and method for detecting http botnet based on densities of web transactions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120086328A KR101391781B1 (ko) 2012-08-07 2012-08-07 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20140027616A KR20140027616A (ko) 2014-03-07
KR101391781B1 true KR101391781B1 (ko) 2014-05-07

Family

ID=50067249

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120086328A KR101391781B1 (ko) 2012-08-07 2012-08-07 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US20140047543A1 (ko)
KR (1) KR101391781B1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150082424A1 (en) * 2013-09-19 2015-03-19 Jayant Shukla Active Web Content Whitelisting
JP6421436B2 (ja) * 2014-04-11 2018-11-14 富士ゼロックス株式会社 不正通信検知装置及びプログラム
EP3244335B1 (en) * 2015-02-20 2019-05-01 Nippon Telegraph and Telephone Corporation Blacklist generation device, blacklist generation system, blacklist generation method, and blacklist generation program
US10360365B2 (en) 2015-05-08 2019-07-23 A10 Networks, Incorporated Client profile and service policy based CAPTCHA techniques
US10250629B2 (en) * 2015-05-08 2019-04-02 A10 Networks, Incorporated Captcha risk or score techniques
US11025625B2 (en) 2015-05-08 2021-06-01 A10 Networks, Incorporated Integrated bot and captcha techniques
CN105262720A (zh) * 2015-09-07 2016-01-20 深信服网络科技(深圳)有限公司 web机器人流量识别方法及装置
CN105306436B (zh) 2015-09-16 2016-08-24 广东睿江云计算股份有限公司 一种异常流量检测方法
KR101689299B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치
CN105827522A (zh) * 2015-11-10 2016-08-03 广东亿迅科技有限公司 处理日志文件的网关设备
CN105337986B (zh) * 2015-11-20 2018-06-19 英赛克科技(北京)有限公司 可信协议转换方法和系统
US10673719B2 (en) 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification
TWI596498B (zh) * 2016-11-02 2017-08-21 FedMR-based botnet reconnaissance method
CN109391599A (zh) * 2017-08-10 2019-02-26 蓝盾信息安全技术股份有限公司 一种基于https流量特征分析的僵尸网络通讯信号的检测系统
CN109474485A (zh) * 2017-12-21 2019-03-15 北京安天网络安全技术有限公司 基于网络流量信息检测僵尸网络的方法、系统及存储介质
KR102150530B1 (ko) * 2018-08-01 2020-09-01 네이버웹툰 주식회사 분산 웹 크롤러에 대한 방어 방법 및 장치
TWI729320B (zh) * 2018-11-01 2021-06-01 財團法人資訊工業策進會 可疑封包偵測裝置及其可疑封包偵測方法
CN109471920A (zh) * 2018-11-19 2019-03-15 北京锐安科技有限公司 一种文本标识的方法、装置、电子设备及存储介质
CN109842627B (zh) * 2019-02-20 2021-07-20 北京奇艺世纪科技有限公司 一种确定服务请求频率的方法及装置
CN111182002A (zh) * 2020-02-19 2020-05-19 北京亚鸿世纪科技发展有限公司 基于http首个问答包聚类分析的僵尸网络检测装置
CN111786990B (zh) * 2020-06-29 2021-02-02 杭州优云科技有限公司 一种针对web主动推送跳转页面的防御方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818306B1 (ko) 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7606821B2 (en) * 2004-06-30 2009-10-20 Ebay Inc. Method and system for preventing fraudulent activities
US8239915B1 (en) * 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
WO2008151321A2 (en) * 2007-06-08 2008-12-11 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for enforcing a security policy in a network including a plurality of components
US8856869B1 (en) * 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
US20110072516A1 (en) * 2009-09-23 2011-03-24 Cohen Matthew L Prevention of distributed denial of service attacks
US9058607B2 (en) * 2010-12-16 2015-06-16 Verizon Patent And Licensing Inc. Using network security information to detection transaction fraud
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8677487B2 (en) * 2011-10-18 2014-03-18 Mcafee, Inc. System and method for detecting a malicious command and control channel

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818306B1 (ko) 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법

Also Published As

Publication number Publication date
US20140047543A1 (en) 2014-02-13
KR20140027616A (ko) 2014-03-07

Similar Documents

Publication Publication Date Title
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
CN109951500B (zh) 网络攻击检测方法及装置
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
Choi et al. A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN101505247A (zh) 一种共享接入主机数目的检测方法和装置
CN101018121A (zh) 日志的聚合处理方法及聚合处理装置
CN103297433A (zh) 基于网络数据流的http僵尸网络检测方法及系统
Amini et al. Botnet detection using NetFlow and clustering
CN107426132B (zh) 网络攻击的检测方法和装置
KR101188305B1 (ko) 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법
Hong et al. Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
KR20200109875A (ko) 유해 ip 판단 방법
JPWO2015141628A1 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
Nie et al. Intrusion detection using a graphical fingerprint model
Shomura et al. Analyzing the number of varieties in frequently found flows
Schales et al. Scalable analytics to detect DNS misuse for establishing stealthy communication channels
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 5