KR101538374B1 - 사이버 위협 사전 예측 장치 및 방법 - Google Patents

사이버 위협 사전 예측 장치 및 방법 Download PDF

Info

Publication number
KR101538374B1
KR101538374B1 KR1020110103255A KR20110103255A KR101538374B1 KR 101538374 B1 KR101538374 B1 KR 101538374B1 KR 1020110103255 A KR1020110103255 A KR 1020110103255A KR 20110103255 A KR20110103255 A KR 20110103255A KR 101538374 B1 KR101538374 B1 KR 101538374B1
Authority
KR
South Korea
Prior art keywords
server
threat
zombie
network
information
Prior art date
Application number
KR1020110103255A
Other languages
English (en)
Other versions
KR20130014300A (ko
Inventor
임선희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US13/451,375 priority Critical patent/US20130031625A1/en
Publication of KR20130014300A publication Critical patent/KR20130014300A/ko
Application granted granted Critical
Publication of KR101538374B1 publication Critical patent/KR101538374B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

본 발명에 따른 사이버 위협 사전 예측 장치는, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 DNS 기반 C&C 서버 탐지부; 네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 네트워크 기반 비정상 탐지부; 및 상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 사이버 위협 예측부를 포함하는 것을 특징으로 한다.

Description

사이버 위협 사전 예측 장치 및 방법{Cyber threat prior prediction apparatus and method}
본 발명은 봇넷을 기반으로 하는 사이버 위협을 사전에 예측하기 위한 장치 및 방법에 관한 것이다.
현재 사이버 공간에서는 수많은 위협들이 대두되고 있다. 제3자의 개인정보를 갈취 또는 수집하여 악용하거나, 불특정 다수를 향해 음란, 광고 메일을 유포하여 금전적 이익을 보거나, 또는 경쟁사의 정보화 기기의 서비스를 못하게 하는 등 인터넷 상의 위협 요인들이 산재해 있다.
최근 취약성 정보와 국내외 네트워크 트래픽 분석을 통해 인터넷 상의 위협을 사전에 감지하고, 조기 예/경보를 통해 보안정책 설정 기준과 대처방안을 제공하기 위한 TMS(Threat Management System)와 RMS(Risk Management System) 기술이 연구되고 있다. TMS/RMS 기술은 기존 보안 솔루션의 단점을 극복하고 효율적인 대안으로 부상하고 있다. 그러나 이미 발생한 공격 상황에 대한 정보를 기반으로 인터넷 상의 위협을 예/경보하는데 중점을 두고 있어 기존 보안 솔루션과 크게 차별화하기 어렵고, 로컬 차원의 보안 솔루션이라는 한계가 있으며, 전역 차원의 실제 공격이 발생하기 전에 위협 상황을 사전 인지하기 위한 솔루션으로 활용하기는 어렵다.
최근 사이버 상에서 빈번하게 발생하고 있는 공격들인 분산 서비스 거부(DDoS) 공격, 스팸 전송, 개인정보 유출 등과 같은 사이버 위협들은 60% 이상이 봇넷을 통하여 이루어지고 있다.
봇넷(Botnet)이란 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 즉, 봇들을 자유자재로 통제하는 권한을 가진 봇마스터에 의해 원격 조종되며 각종 악성 행위를 수행할 수 있는 수천에서 수십만 대의 봇에 감염된 컴퓨터(좀비라고도 불림)들과 명령/제어를 내리는 C&C(Command and Control) 서버가 네트워크로 연결되어 있는 형태를 봇넷이라 한다.
초기의 봇넷은 구조가 유연하고 널리 사용되는 IRC(Internet Relay Chat)를 이용한 중앙집중형 구조의 봇넷이 주를 이루었다. 이러한 중앙집중형 구조의 봇넷에서는 하나의 C&C 서버가 다수의 봇들을 명령/제어하기 때문에 C&C 서버의 탐지가 용이하고, C&C 서버의 탐지 및 차단으로 다수개 봇들이 유실됨으로써 공격자 입장에서는 커다란 손실을 가져오게 된다. 따라서 C&C 서버의 탐지 및 대응을 보다 어렵게 하기 위해 웹 프로토콜인 HTTP를 기반으로 하거나, 중앙집중형 명령/제어 구조(IRC, HTTP 봇넷)를 탈피하여 모든 좀비들이 C&C가 될 수 있는 분산형 명령/제어 방식, 즉 P2P 봇넷으로 진화하고 있다.
이러한 진화된 봇넷들은 분산 서비스 거부 공격, 스팸 전송, 개인정보 유출 등과 같은 심각한 공격과 더불어 자산에 대한 심각한 위협을 초래하고 있다.
본 발명이 이루고자 하는 기술적 과제는, 사이버 위협을 위한 대량의 공격 수단인 봇넷을 사이버 위협의 전조 증상으로 판단하고 전역 네트워크를 대상으로 하는 대규모의 공격이 실제로 발생하기 전에 위협을 예측할 수 있는 사이버 위협 사전 예측 장치 및 방법을 제공하는 데 있다.
상기 기술적 과제를 해결하기 위하여 본 발명에 따른 사이버 위협 사전 예측 장치는, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 DNS 기반 C&C 서버 탐지부; 네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 네트워크 기반 비정상 탐지부; 및 상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 사이버 위협 예측부를 포함하는 것을 특징으로 한다.
상기 네트워크 기반 비정상 탐지부는 국제 관문망에 설치될 수 있다.
상기 DNS 기반 C&C 서버 탐지부는 도메인 주소 기반, 트래픽 특징 기반, 또는 N-tier 기반으로 DNS 트래픽을 분석할 수 있다.
상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 탐지할 수 있다.
상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 기반으로 상기 C&C 서버를 검증할 수 있다.
상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지할 수 있다.
상기 네트워크 구조 기반 위협 정보는, 봇 규모, 봇들의 접속 횟수, 또는 ISP 도메인에 전파된 봇 수를 포함할 수 있다.
상기 행위 기반 위협 정보는, 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, 또는 exploit 실행 행위를 포함할 수 있다.
상기 사이버 위협 예측부는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 사이버 위협 상황을 예측할 수 있다.
상기 사이버 위협 예측부는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측할 수 있다.
상기 기술적 과제를 해결하기 위하여 본 발명에 따른 사이버 위협 사전 예측 방법은, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 단계; 네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 단계; 및 상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 단계를 포함하는 것을 특징으로 한다.
상기 좀비 PC들의 정보를 탐지하는 단계는 국제 관문망의 네트워크 트래픽을 분석할 수 있다.
상기 좀비 PC들의 정보를 탐지하는 단계는, 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 탐지하는 단계를 포함할 수 있다.
상기 좀비 PC들의 정보를 탐지하는 단계는, 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 기반으로 상기 C&C 서버를 검증하는 단계를 포함할 수 있다.
상기 좀비 PC들의 정보를 탐지하는 단계는, 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는 단계를 포함할 수 있다.
상기 사이버 위협 상황을 예측하는 단계는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 사이버 위협 상황을 예측할 수 있다.
상기 사이버 위협 상황을 예측하는 단계는, 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하는 단계; 및 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는 단계를 포함할 수 있다.
상기된 본 발명에 의하면, 사이버 위협을 위한 대량의 공격 수단인 봇넷을 사이버 위협의 전조 증상으로 판단하고 전역 네트워크를 대상으로 하는 대규모의 공격이 실제로 발생하기 전에 위협을 예측할 수 있다.
도 1은 본 발명이 적용되는 봇넷 구조의 일 예를 나타낸다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 구성을 나타낸다.
도 3은 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 보다 구체적인 구성을 나타낸다.
도 4는 본 발명의 일 실시예에 따른 사이버 위협 예측 방법의 흐름도를 나타낸다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.
도 1은 본 발명이 적용되는 봇넷 구조의 일 예를 나타낸다. 봇넷은 도시된 바와 같이, 네트워크로 연결된 다수의 봇에 감염된 컴퓨터들(좀비)(120, 130)과, 이들에게 명령/제어를 내리기 위한 C&C 서버(110)로 구성된다. 도시된 바와 같이 봇넷은 중앙집중형 구조(140)이거나 분산형 구조(150)일 수 있고, 중앙집중형 구조와 분산형 구조가 결합된 하이브리드 구조일 수도 있다.
이러한 봇넷 구조에서 감염된 봇들은 C&C 서버와의 통신을 위하여 DNS 서비스를 이용한다. 여기서 DNS 서비스를 이용하는 이유는, 고정적인 C&C의 IP 주소가 할당된다면 IP 추적이 용이하여 해당 IP 주소를 강제로 차단하는 등의 대응 방법으로 C&C 서버가 쉽게 차단될 수 있기 때문이다. 공격자들인 이러한 대응 방법을 회피하기 위해 다수의 봇들이 도메인 주소를 통하여 C&C 서버에 접속하도록 DNS 서비스를 이용한다. 이와 더불어 더욱 진화된 방법으로 도메인 네임에 대응하는 IP 주소가 계속 변경되는 DDNS(Dynamic DNS) 서비스 Fast-Flux 기법이 적용된다면 C&C 서버의 탐지가 더욱 어려워진다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 구성을 나타낸다. 본 실시예에 따른 사이버 위협 사전 예측 장치는 DNS 기반 C&C 서버 탐지부(210), 네트워크 기반 비정상 탐지부(220), 사이버 위협 예측부(230)를 포함한다.
DNS 기반 C&C 서버 탐지부(210)는 DNS 서버 또는 DNS 서버 팜(farm) 측에 설치되고, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출한다. DNS 기반 C&C 서버 탐지부(210)는 ISP(Internet Service Provider) 망과 로컬 망의 DNS 서버 군 영역에 적용될 수 있다. 그리고 DNS 기반 C&C 서버 탐지부(210)는 DNS 서버에 DNS 쿼리를 전송하여, 추출된 의심되는 도메인 주소의 IP 주소를 획득한다.
네트워크 기반 비정상 탐지부(220)는 네트워크 기반으로, 네트워크 트래픽을 분석하여 DNS 기반 C&C 서버 탐지부(210)에서 추출된 의심되는 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 좀비 PC들의 접속 정보를 기반으로 C&C 서버를 검증하고, C&C 서버와 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지한다. 네트워크 기반 비정상 탐지부(220)는 도시된 바와 같이 국제 관문망(Internation Gateway Network)에 설치되어, 국제 관문망을 통과하는 네트워크 트래픽을 분석하는 것이 바람직하다. C&C 서버는 주로 해외에 거주하고 국내에 있는 봇들을 명령/제어하기 때문에, 네트워크 기반 비정상 탐지부(220)를 국제 관문망에 설치함으로써 C&C 서버와 통신하는 봇들을 효과적으로 탐지할 수 있다.
사이버 위협 예측부(230)는 네트워크 기반 비정상 탐지부(220)에서 탐지된 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 기반으로, 사이버 위협 가능성을 정량화하여 정량화된 위협 지수를 산출하고, 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측한다. 그리고 사이버 위협 예측부(230)는 사이버 위협 상황에 관한 정보를 관리자에게 제공하고, 위협 상황을 예/경보한다. 사이버 위협 예측부(230)를 통하여, 전역 네트워크 차원의 사이버 위협이 공격 이전에 인지되어 사이버 위협의 예/경보가 가능해진다.
도 3은 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 보다 구체적인 구성을 나타낸다. DNS 기반 C&C 서버 탐지부(210)는 DNS 트래픽 수집부(211), DNS 트래픽 분석부(212), 의심 도메인/IP 데이터베이스(213)로 이루어진다. 네트워크 기반 비정상 탐지부(220)는 네트워크 트래픽 수집부(221), 좀비 IP 검출부(222), 네트워크 분석부(223), C&C 서버 검증부(224), 연관성 분석부(225)로 이루어진다. 사이버 위협 예측부(230)는 위협 지수 산출부(231), 위협 상황 예측부(232), 사용자 인터페이스(233), 블랙리스트/화이트리스트 데이터베이스(234)로 이루어진다.
DNS 기반 C&C 서버 탐지부(210)에서, DNS 트래픽 수집부(211)는 DNS 트래픽을 수집하고 DNS 트래픽 데이터셋을 생성한다. 블랙리스트/화이트리스트 데이터베이스(234)는 이미 알려진 블랙리스트 도메인과 화이트리스트 도메인 정보를 가지는데, DNS 트래픽 수집부(211)는 대용량의 DNS 쿼리를 수집하고 데이터셋을 생성하기 위해, 블랙리스트 도메인 정보와 화이트도메인 정보를 이용하여, 수집된 DNS 트래픽을 필터링할 수 있다.
DNS 트래픽 분석부(212)는 수집된 DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출한다. DNS 트래픽 분석부(212)은 DNS 트래픽을 분석할 때, 도메인 기반으로 분석하거나, 트래픽 특징 기반으로 분석하거나, N-tier 기반으로 분석할 수 있다. 또한 DNS 트래픽 분석부(212)는 둘 이상의 분석 기법을 조합하여 분석할 수도 있다.
도메인 기반으로 분석하는 경우, N-gram 알고리즘이나 ZipFian 알고리즘이 이용될 수 있다. 이들 알고리즘은 정상적인 도메인 주소로 잘 사용하는 않는 문자(character)들로 조합된 도메인 주소를 추출하는 기법이다. 트래픽 특징 기반으로 분석하는 경우, DDNS 또는 Fast-Flux를 사용하는 봇넷들은 TTL(time to live)이 매우 짧고, 유사한 패턴의 접속이나 순간적인 대용량의 접속을 발생시키는 바, 이러한 특징을 분석한다. 봇넷들의 구조가 다양하기 때문에 하나의 분석 기법을 사용하는 것보다는 여러 가지 분석 기법을 조합하는 것이 효과적이다. 진화된 C&C 서버와 봇들은 접속 패턴이 랜덤한 것처럼 보이고자 하지만 일반 정상적인 사용자와는 달리 감염된 봇으로 명령/제어를 받기 때문에 특정 패턴을 가지게 마련이다. 그리고 DNS 트래픽 분석부(212)는 DNS 서버에 송수신되는 DNS 쿼리를 분석하여, 특정 패턴으로 질의를 하는 DNS 트래픽으로부터 의심 C&C 서버의 도메인 주소의 IP 주소를 획득한다. 의심 DNS 서버의 도메인 주소와 IP 주소는 의심 도메인/IP 데이터베이스(213)에 저장된다.
네트워크 기반 비정상 탐지부(220)에서, 네트워크 트래픽 수집부(221)는 네트워크 트래픽을 수집한다.
좀비 IP 검출부(222)는 수집된 네트워크 트래픽으로부터, 의심 C&C 서버의 도메인 주소와 IP 주소를 이용하여, 의심 C&C 서버에 접속하는 좀비 PC들의 IP 주소(이하, 좀비 IP)를 검출한다.
네트워크 분석부(223)는 검출된 좀비 PC의 접속 유형, 접속 상태, 접속 횟수, 접속 패턴 등의 접속 정보를 탐지하고, 의심 C&C 서버의 도메인 주소에 접속하는 좀비 PC의 통신 유형을 네트워크 기반으로 탐지한다. 또한 네트워크 분석부(223)는 의심 C&C 서버의 도메인 주소에 접속하는 좀비 PC들 간의 네트워크 행위의 유사성(similarity)을 분석한다.
C&C 서버 검증부(224)는 네트워크 분석부(223)에서 분석된 결과, 즉 좀비 PC의 접속 정보와 통신 유형, 그리고 좀비 PC들 간의 네트워크 행위의 유사성 등을 기반으로 DNS 기반 C&C 서버 탐지부(210)에서 탐지된 의심 C&C 서버들을 검증한다. 구체적으로, C&C 서버 검증부(224)는 네트워크 분석부(223)에서 분석된 결과를 기반으로 의심 C&C 서버와 좀비 PC들 간의 네트워크 행위의 비정상 여부를 판별하고, 비정상으로 판별된 C&C 서버와 좀비 PC는 액티브 상태로, 정상으로 판별된 C&C 서버와 좀비 PC는 디액티브 상태로 구별한다.
연관성 분석부(225)는 액티브 상태로 구별된 C&C 서버와 좀비 PC 간의 연관성을 분석한다. 네트워크 기반 비정상 탐지부(220)가 국제 관문망에 적용되는 경우 국외에 있는 C&C 서버와 국내에 있는 봇들 간의 연관성을 분석할 수 있다.
연관성 분석부(225)는 C&C 서버와 좀비 PC 간의 연관성으로서 해당 C&C의 봇 규모, C&C 서버에의 봇들의 접속 횟수, 각 ISP 도메인에서의 봇들의 전파 정도를 산출한다. 이들 정보는 구체적으로 다음과 같이 나타낼 수 있으며, C&C 서버와 봇들의 네트워크 구조 기반 위협을 나타내는 정보에 해당한다.
1. 봇 규모(Bot Size) Bsize : 해당 C&C 서버에 접속하는 모든 ISP 도메인의 봇의 수
2. 접속 횟수(Frequency between C&C and Bots) Bfrequency : 해당 C&C 서버에의 봇들의 접속 횟수
3. ISP 도메인에 전파된 봇 수 Bp : 각 ISP 도메인 당 전파된 봇 수(Bp≤Bsize)
또한, 연관성 분석부(225)는 액티브 상태의 봇들의 행위를 분석한다. 연관성 분석부(225)는 C&C 서버가 좀비 PC에게 전송하는 명령 및 제어(Command and Control) 메시지 패킷의 컨텐츠를 분석하여 봇들의 악성 행위를 탐지할 수 있다. 봇의 행위는 예컨대 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, exploit 실행 행위의 4가지로 분류될 수 있다. 따라서 봇의 행위는 다음과 같이 나타낼 수 있고, C&C 서버와 봇들의 행위 기반 위협을 나타내는 정보에 해당한다.
1. none(Wn) : 어떤 행위도 하지 않을 경우
2. 스팸 (Wspam)
3. 스캔 (Wscan)
4. 바이너리 코드 다운로딩 (WBinary)
5. 취약점 공격(WE)
각 행위마다 위험 정도에 따른 가중치가 부여될 수 있는데, 일반적으로 스팸 공격보다는 취약점 공격이 더욱 위험하다. 따라서 가중치는 예컨대 Wn=1, Wspam=2, Wscan=3, WBinary=4, WE=5로 부여될 수 있다.
연관성 분석부(225)는 위와 같이 구해진 봇 규모, 접속 횟수, 각 ISP 도메인에 전파된 봇 수에 관한 정보와, 봇들의 행위 정보를 사이버 위협 예측부(230)로 전송한다.
DNS 트래픽 분석부(212)와 네트워크 기반 비정상 탐지부(220)는 여러 DNS 서버 팜(farm)과 여러 국제 관문망마다 설치될 수 있으며, 사이버 위협 예측부(230)는 여러 DNS 트래픽 분석부(212)와 네트워크 여러 기반 비정상 탐지부(220)로부터 정보를 수신하고 통합하여 전역적 네트워크의 위협 상황을 예측할 수 있다.
사이버 위협 예측부(230)에서, 위협 지수 산출부(231)는 네트워크 기반 비정상 탐지부(220)로부터 수신되는 정보를 기반으로 사이버 위협 가능성을 정량화하여 정량화된 위협 지수를 산출한다. 위협 지수 산출부(231)는 다음과 같은 위협 지수를 산출할 수 있다.
1. 위협 정도(DT)
Figure 112011079038441-pat00001
2. ISP 도메인의 취약점 정도(VISP)
Figure 112011079038441-pat00002
< 1 (1에 근사할수록 해당 ISP 도메인은 취약함)
여기서, 위협 정도(DT)는 전역적 네트워크의 위협 정도를 나타내며, 만일 특정 ISP 도메인에 대하여 계산할 경우 해당 ISP 도메인의 위협 정도를 나타낸다.
위협 상황 예측부(232)는 위협 지수 산출부(231)에서 산출된 위협 지수를 이용하여 위협 상황을 예측한다. 예컨대, 위협 정도(DT) 또는 ISP 도메인의 취약점 정도(VISP)를 임계값과 비교하여, 임계값을 초과하는 경우 위협 가능성이 있는 것으로 판단한다. 다른 예로, 위협 정도(DT) 또는 ISP 도메인의 취약점 정도(VISP)의 범위에 따라서 위협 가능성의 레벨을 정의할 수도 있다. 위협 가능성은 전역적 네트워크를 대상으로 판단할 수도 있고, 특정 ISP 도메인을 대상으로 판단할 수도 있다.
사용자 인터페이스(233)는 위협 상황 예측부(232)에서 예측된 위협 상황을 사용자 또는 관리자가 인지할 수 있도록 시각화하여 표시한다. 실시예에 따라 사용자 인터페이스(233)는 시각화 표시와 더불어 음향을 통하여 예/경보를 발령할 수도 있다.
전술한 바와 같이, 블랙리스트/화이트리스트 데이터베이스(234)는 이미 알려진 블랙리스트 도메인과 화이트리스트 도메인 주소를 저장한다. 네트워크 기반 비정상 탐지부(220)에서 탐지된 액티브 상태의 C&C 서버의 도메인 주소는 블랙리스트/화이트리스트 데이터베이스(234)의 블랙리스트 도메인으로 업데이트된다. 또한, 이러한 블랙리스트 도메인과 화이트리스트 도메인은 사용자 인터페이스(233)를 통하여 사용자 또는 관리자에게 제공될 수 있다.
도 4는 본 발명의 일 실시예에 따른 사이버 위협 예측 방법의 흐름도이다. 본 실시예에 따른 사이버 위협 예측 방법은 전술한 사이버 위협 예측 장치에서 처리되는 단계들로 구성된다. 따라서 이하 생략된 내용이라 하더라도 사이버 위협 예측 장치에 관하여 이상에서 기술된 내용은 본 실시예에 따른 사이버 위협 예측 방법에도 적용된다.
410단계에서, DNS 기반 C&C 서버 탐지부(210)는 DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출한다.
420단계에서, 네트워크 기반 비정상 탐지부(220)는 410단계에서 검출된 의심 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 좀비 PC들의 접속 정보를 기반으로 C&C 서버를 검증하고, C&C 서버와 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지한다.
430단계에서, 사이버 위협 예측부(230)는 420단계에서 탐지된 네트워크 기반 위협 정보와 행위 기반 위협 정보를 기반으로, 사이버 위협 가능성을 정량화하여 정량화된 위협 지수를 산출하고, 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측한다.
상술한 본 발명에서는 1차적으로 DNS 분석을 통하여 의심 C&C 서버를 탐지하고, 2차적으로 네트워크 기반으로 네트워크 트래픽의 비정상을 탐지하여 의심 C&C를 검증한다. 네트워크 기반의 비정상 탐지는 C&C 서버가 주로 해외에 거주하고 국내에 있는 봇들을 명령/제어하는 점을 고려하여 국제 관문망이나 국제 연동망에 적용되는 것이 효과적이고, 네트워크 기반의 비정상 탐지를 통하여 실시간으로 C&C 서버를 검증하고 C&C 서버와 통신하는 봇들을 탐지할 수 있다.
상술한 본 발명은 봇넷 구조에 관계 없이 적용 가능하며, C&C 서버가 해외에 거주하는 경우에 효과적으로 운용할 수 있고, DNS 트래픽을 기반으로 악성 도메인을 추출하기 때문에 의심 대상이 감소하며, 봇넷 탐지를 기반으로 사이버 위협 상황을 사전에 인지할 수 있는 장점이 있다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같은 저장매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (17)

  1. DNS 트래픽을 분석하여 C&C 서버로 의심되는 의심 C&C 서버의 도메인 주소를 추출하고, DNS 서버에 송수신되는 DNS 퀴리를 분석하여 상기 의심 C&C 서버의 도메인 주소의 IP 주소를 획득하는 DNS 기반 C&C 서버 탐지부;
    네트워크 트래픽을 분석하고 상기 의심 C&C 서버의 도메인 주소와 IP 주소를 이용하여 상기 의심 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 상기 의심 C&C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 접속 정보를 탐지하고, 상기 접속 정보를 기반으로 상기 의심 C&C 서버가 실제 C&C 서버인지 여부를 판단하고, 상기 실제 C&C 서버로 판단된 C&C 서버와 상기 C&C 서버에 접속하는 상기 좀비 PC 간의 연관성을 분석하여 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는 네트워크 기반 비정상 탐지부; 및
    상기 네트워크 기반 비정상 탐지부에서 탐지된 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는 사이버 위협 예측부를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.
  2. 제1항에 있어서,
    상기 네트워크 기반 비정상 탐지부는 국제 관문망에 설치되는 것을 특징으로 하는 사이버 위협 사전 예측 장치.
  3. 제1항에 있어서,
    상기 DNS 기반 C&C 서버 탐지부는 도메인 주소 기반, 트래픽 특징 기반, 또는 N-tier 기반으로 DNS 트래픽을 분석하는 것을 특징으로 하고,
    상기 도메인 주소 기반으로 DNS 트래픽을 분석하는 경우는, 도메인 주소로 사용되지 않는 비 정상적인 문자들로 조합된 도메인 주소를 추출하여 상기 의심 C&C 서버의 도메인 주소를 추출하고,
    상기 트래픽 특징 기반으로 DNS 트래픽을 분석하는 경우는, 접속들 간에 일정한 정도 이상의 유사한 패턴을 가지는 접속이나 일정한 시간 내에 미리 정해진 정도 이상의 순간적인 대용량의 접속을 발생시키는 도메인 주소를 추출하여 상기 의심 C&C 서버의 도메인 주소를 추출하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.
  4. 제1항에 있어서,
    상기 네트워크 구조 기반 위협 정보는, 상기 C&C 서버와 상기 좀비 PC 간의 네트워크 구조에 기반한 사이버 위협을 나타내는 정보이고, 상기 C&C 서버에 접속하는 모든 ISP 도메인의 상기 좀비 PC의 수인 봇 규모, 상기 C&C 서버에 상기 좀비 PC가 접속하는 횟수인 봇들의 접속 횟수를 포함하고,
    상기 위협 지수는, 상기 행위 기반 위협 정보에 따른 가중치가 적용된 상기 봇들의 접속 횟수에 대한 가중합으로 산출되는, 위협 정도를 포함하고,
    상기 사이버 위협 예측부는 상기 산출된 위협 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치.
  5. 제1항에 있어서, 상기 네트워크 기반 비정상 탐지부는,
    상기 네트워크 트래픽을 수집하는 네트워크 트래픽 수집부;
    상기 수집된 네트워크 트래픽으로부터, 상기 DNS 기반 C&C 서버 탐지부에서 획득된 상기 의심 C&C 서버의 도메인 주소와 IP 주소를 이용하여, 상기 의심 C&C 서버에 접속하는 상기 좀비 PC들의 IP 주소를 검출하는 좀비 IP 검출부;
    상기 의심 C&C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 상기 접속 정보를 탐지하는 네트워크 분석부;
    상기 좀비 PC들의 접속 정보를 기반으로 상기 의심 C&C 서버가 상기 실제 C&C 서버인지 여부를 판단하는 C&C 서버 검증부;
    상기 실제 C&C 서버로 판단된 상기 C&C 서버에 대하여 상기 C&C 서버와 상기 좀비 PC 간의 연관성에 관한 정보를 분석 및 획득하는 연관성 분석부를 포함하고,
    상기 연관성 분석부는 상기 C&C 서버가 상기 좀비 PC에게 전송하는 명령 및 제어 패킷을 분석하여 상기 좀비 PC들의 악성 행위에 관한 정보를 분석하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치.
  6. 제5항에 있어서,
    상기 네트워크 분석부는 상기 의심 C&C 서버에 접속하는 상기 좀비 PC의 통신 유형과, 상기 의심 C&C 서버에 접속하는 상기 좀비 PC들 간의 네트워크 행위의 유사성을 더 분석하고,
    상기 C&C 서버 검증부는 상기 접속 정보와 상기 좀비 PC의 통신 유형과 상기 좀비 PC들 간의 네트워크 행위의 유사성을 기반으로, 상기 의심 C&C 서버가 상기 실제 C&C 서버인지 여부를 판단하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치.
  7. 제1항에 있어서, 상기 네트워크 구조 기반 위협 정보는,
    상기 C&C 서버와 상기 좀비 PC 간의 네트워크 구조에 기반한 사이버 위협을 나타내는 정보이고,
    상기 C&C 서버에 접속하는 모든 ISP 도메인의 상기 좀비 PC의 수인 봇 규모, 상기 C&C 서버에 상기 좀비 PC가 접속하는 횟수인 봇들의 접속 횟수, 또는 각 ISP 도메인 당 전파된 좀비 PC의 수인 ISP 도메인에 전파된 봇 수를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.
  8. 제1항에 있어서,
    상기 행위 기반 위협 정보는, 상기 좀비 PC들의 행위에 기반한 사이버 위협을 나타내는 정보이고, 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, 또는 exploit 실행 행위를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.
  9. 제7항에 있어서,
    상기 위협 지수는 상기 ISP 도메인에 전파된 봇 수를 상기 봇 규모로 나눈 값으로 산출되는, ISP 도메인의 취약점 정도를 포함하고,
    상기 사이버 위협 예측부는 상기 산출된 ISP 도메인의 취약점 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 장치.
  10. 제9항에 있어서,
    상기 위협 지수 중 상기 위협 정도는 하기 식 1과 같이 산출되고, 상기 ISP 도메인의 취약점 정도는 하기 식 2와 같이 산출되는 것을 특징으로 하는, 사이버 위협 사전 예측 장치.
    식 1
    Figure 112015018116625-pat00007

    (여기서,
    Figure 112015018116625-pat00008
    는 상기 위협 정도이고,
    Figure 112015018116625-pat00009
    는 상기 행위 기반 위협 정보에 따른 가중치이고, j는 상기 행위 기반 위협 정보에 포함되는 각 악성 행위를 나타내는 인덱스이고,
    Figure 112015018116625-pat00010
    는 상기 봇 규모이고,
    Figure 112015018116625-pat00011
    는 상기 봇들의 접속 횟수이고, AVG는 평균 연산자이다)
    식 2
    Figure 112015018116625-pat00012

    (여기서,
    Figure 112015018116625-pat00013
    는 상기 ISP 도메인의 취약점 정도이고,
    Figure 112015018116625-pat00014
    는 상기 ISP 도메인에 전파된 봇 수이다)
  11. DNS 트래픽을 분석하여 C&C 서버로 의심되는 의심 C&C 서버의 도메인 주소를 추출하고, DNS 서버에 송수신되는 DNS 퀴리를 분석하여 상기 의심 C&C 서버의 도메인 주소의 IP 주소를 획득하는, DNS 기반 C&C 서버 탐지 단계;
    네트워크 트래픽을 분석하고 상기 의심 C&C 서버의 도메인 주소와 IP 주소를 이용하여 상기 의심 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 상기 의심 C&C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 접속 정보를 탐지하고, 상기 접속 정보를 기반으로 상기 의심 C&C 서버가 실제 C&C 서버인지 여부를 판단하고, 상기 실제 C&C 서버로 판단된 C&C 서버와 상기 C&C 서버에 접속하는 상기 좀비 PC 간의 연관성을 분석하여 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는, 네트워크 기반 비정상 탐지 단계; 및
    상기 네트워크 기반 비정상 탐지 단계에서 탐지된 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는, 사이버 위협 예측 단계를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.
  12. 제11항에 있어서,
    상기 좀비 PC들의 정보를 탐지하는 단계는 국제 관문망의 네트워크 트래픽을 분석하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.
  13. 제11항에 있어서, 상기 네트워크 기반 비정상 탐지 단계는,
    상기 네트워크 트래픽을 수집하는 네트워크 트래픽 수집 단계;
    상기 수집된 네트워크 트래픽으로부터, 상기 DNS 기반 C&C 서버 탐지 단계에서 획득된 상기 의심 C&C 서버의 도메인 주소와 IP 주소를 이용하여, 상기 의심 C&C 서버에 접속하는 상기 좀비 PC들의 IP 주소를 검출하는 좀비 IP 검출 단계;
    상기 의심 C&C 서버에 접속하는 상기 좀비 PC들의 접속 유형 또는 접속 횟수를 포함하는 상기 접속 정보를 탐지하는 네트워크 분석 단계;
    상기 좀비 PC들의 접속 정보를 기반으로 상기 의심 C&C 서버가 상기 실제 C&C 서버인지 여부를 판단하는 C&C 서버 검증 단계;
    상기 실제 C&C 서버로 판단된 상기 C&C 서버에 대하여 상기 C&C 서버와 상기 좀비 PC 간의 연관성에 관한 정보를 분석 및 획득하는 연관성 분석 단계를 포함하고,
    상기 연관성 분석 단계는 상기 C&C 서버가 상기 좀비 PC에게 전송하는 명령 및 제어 패킷을 분석하여 상기 좀비 PC들의 악성 행위에 관한 정보를 분석하는 것을 특징으로 하는, 사이버 위협 사전 예측 방법.
  14. 제11항에 있어서, 상기 네트워크 구조 기반 위협 정보는,
    상기 C&C 서버와 상기 좀비 PC 간의 네트워크 구조에 기반한 사이버 위협을 나타내는 정보이고,
    상기 C&C 서버에 접속하는 모든 ISP 도메인의 상기 좀비 PC의 수인 봇 규모, 상기 C&C 서버에 상기 좀비 PC가 접속하는 횟수인 봇들의 접속 횟수, 또는 각 ISP 도메인 당 전파된 좀비 PC의 수인 ISP 도메인에 전파된 봇 수를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.
  15. 제14항에 있어서,
    상기 위협 지수는, 상기 행위 기반 위협 정보에 따른 가중치가 적용된 상기 봇들의 접속 횟수에 대한 가중합으로 산출되는, 위협 정도를 포함하고,
    상기 사이버 위협 예측 단계는 상기 산출된 위협 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 방법.
  16. 제15항에 있어서,
    상기 위협 지수는 상기 ISP 도메인에 전파된 봇 수를 상기 봇 규모로 나눈 값으로 산출되는, ISP 도메인의 취약점 정도를 포함하고,
    상기 사이버 위협 예측 단계는 상기 산출된 ISP 도메인의 취약점 정도가 미리 정해진 임계값을 초과하는 경우를 사이버 위협 상황으로 예측하는 것을 특징으로 하는, 사이버 위협 사전 예측 방법.
  17. 제16항에 있어서,
    상기 위협 지수 중 상기 위협 정도는 하기 식 1과 같이 산출되고, 상기 ISP 도메인의 취약점 정도는 하기 식 2와 같이 산출되는 것을 특징으로 하는, 사이버 위협 사전 예측 방법.
    식 1
    Figure 112015018116625-pat00015

    (여기서,
    Figure 112015018116625-pat00016
    는 상기 위협 정도이고,
    Figure 112015018116625-pat00017
    는 상기 행위 기반 위협 정보에 따른 가중치이고, j는 상기 행위 기반 위협 정보에 포함되는 각 악성 행위를 나타내는 인덱스이고,
    Figure 112015018116625-pat00018
    는 상기 봇 규모이고,
    Figure 112015018116625-pat00019
    는 상기 봇들의 접속 횟수이고, AVG는 평균 연산자이다)
    식 2
    Figure 112015018116625-pat00020

    (여기서,
    Figure 112015018116625-pat00021
    는 상기 ISP 도메인의 취약점 정도이고,
    Figure 112015018116625-pat00022
    는 상기 ISP 도메인에 전파된 봇 수이다)
KR1020110103255A 2011-07-29 2011-10-10 사이버 위협 사전 예측 장치 및 방법 KR101538374B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US13/451,375 US20130031625A1 (en) 2011-07-29 2012-04-19 Cyber threat prior prediction apparatus and method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020110076092 2011-07-29
KR20110076092 2011-07-29

Publications (2)

Publication Number Publication Date
KR20130014300A KR20130014300A (ko) 2013-02-07
KR101538374B1 true KR101538374B1 (ko) 2015-07-22

Family

ID=47894578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110103255A KR101538374B1 (ko) 2011-07-29 2011-10-10 사이버 위협 사전 예측 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101538374B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170013041A (ko) * 2015-07-27 2017-02-06 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
WO2017039591A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a dns packet is malicious
US10805318B2 (en) 2015-08-28 2020-10-13 Hewlett Packard Enterprise Development Lp Identification of a DNS packet as malicious based on a value

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101544322B1 (ko) * 2014-08-18 2015-08-21 명지대학교 산학협력단 시각화를 이용한 악성 코드 탐지 시스템과 방법
KR101662530B1 (ko) * 2015-05-28 2016-10-05 한국전자통신연구원 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법
CN109474572B (zh) * 2017-12-29 2021-02-09 北京安天网络安全技术有限公司 基于集群僵尸网络监控捕获放马站点的方法及系统
KR102623681B1 (ko) * 2022-02-21 2024-01-11 주식회사 리니어리티 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100074504A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100074504A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170013041A (ko) * 2015-07-27 2017-02-06 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
KR102045468B1 (ko) * 2015-07-27 2019-11-15 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
WO2017039591A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a dns packet is malicious
US10764307B2 (en) 2015-08-28 2020-09-01 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a DNS packet is malicious
US10805318B2 (en) 2015-08-28 2020-10-13 Hewlett Packard Enterprise Development Lp Identification of a DNS packet as malicious based on a value

Also Published As

Publication number Publication date
KR20130014300A (ko) 2013-02-07

Similar Documents

Publication Publication Date Title
US20130031625A1 (en) Cyber threat prior prediction apparatus and method
KR101538374B1 (ko) 사이버 위협 사전 예측 장치 및 방법
Zeidanloo et al. A taxonomy of botnet detection techniques
US9781157B1 (en) Mitigating denial of service attacks
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
EP3171567B1 (en) Advanced persistent threat detection
US20120167161A1 (en) Apparatus and method for controlling security condition of global network
CN104243408B (zh) 域名解析服务dns系统中监控报文的方法、装置及系统
EP2672676B1 (en) Methods and systems for statistical aberrant behavior detection of time-series data
Amini et al. A survey on Botnet: Classification, detection and defense
Palmieri et al. Automatic security assessment for next generation wireless mobile networks
JP2004030286A (ja) 侵入検知システムおよび侵入検知プログラム
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Alparslan et al. BotNet detection: Enhancing analysis by using data mining techniques
Bijalwan et al. Botnet Forensic: Issues, Challenges and Good Practices.
EP2112800B1 (en) Method and system for enhanced recognition of attacks to computer systems
Prasad et al. Flooding attacks to internet threat monitors (ITM): modeling and counter measures using botnet and honeypots
KR20130105769A (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
Zeidanloo et al. New approach for detection of irc and p2pbotnets
KR101231966B1 (ko) 장애 방지 서버 및 방법
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
Ji et al. Botnet detection and response architecture for offering secure internet services
Anbar et al. Investigating study on network scanning techniques

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
LAPS Lapse due to unpaid annual fee