KR102438769B1 - 악성 dns 서버 탐지 장치 및 그 제어방법 - Google Patents

악성 dns 서버 탐지 장치 및 그 제어방법 Download PDF

Info

Publication number
KR102438769B1
KR102438769B1 KR1020200134882A KR20200134882A KR102438769B1 KR 102438769 B1 KR102438769 B1 KR 102438769B1 KR 1020200134882 A KR1020200134882 A KR 1020200134882A KR 20200134882 A KR20200134882 A KR 20200134882A KR 102438769 B1 KR102438769 B1 KR 102438769B1
Authority
KR
South Korea
Prior art keywords
dns server
address
malicious
verified
normal
Prior art date
Application number
KR1020200134882A
Other languages
English (en)
Other versions
KR20220051861A (ko
Inventor
강병탁
최화재
Original Assignee
주식회사 에이아이스페라
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에이아이스페라 filed Critical 주식회사 에이아이스페라
Priority to KR1020200134882A priority Critical patent/KR102438769B1/ko
Priority to PCT/KR2020/015672 priority patent/WO2022085839A1/ko
Publication of KR20220051861A publication Critical patent/KR20220051861A/ko
Application granted granted Critical
Publication of KR102438769B1 publication Critical patent/KR102438769B1/ko
Priority to US18/180,930 priority patent/US20230224330A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Investigating Or Analysing Biological Materials (AREA)

Abstract

본 발명은 서버 탐지 장치에서 수행되는 악성 DNS 서버를 탐지하는 방법에 있어서, 적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소를 전송하는 단계; 상기 적어도 하나의 DNS 서버 후보로부터 상기 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 수신하는 단계; 상기 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정하는 단계; 및 적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 상기 적어도 하나의 검증 대상 DNS 서버 중 악성 DNS 서버를 결정하는 단계;를 포함한다.

Description

악성 DNS 서버 탐지 장치 및 그 제어방법 {MALIGNANT DNS SERVER DETECTION DEVICE AND THE CONTROL METHOD THEREOF}
본 발명은 악성 DNS 서버 탐지 장치 및 그 제어방법에 관한 것으로, 보다 구체적으로 도메인 주소와 IP 주소에 기초하여 악성 DNS 서버를 탐지하는 악성 DNS 서버 탐지 장치 및 그 제어방법에 관한 것이다.
인터넷의 편리함으로 말미암아 개인과 기업들의 경제활동에서 전자메일, 파일 전송과 같이 간단한 업무 처리뿐 아니라, 전자결재, 웹 서버를 통한 기업 광고, 전자상거래에 이르기까지 일상생활의 전반적인 영역에 걸쳐 인터넷이 활용되고 있다. 이와 같이 인터넷 이용이 일반화되면서, 인터넷 상에서 악성 DNS(Domain Name System) 서버가 급속도로 증가하는 문제점이 나타나고 있다. 이러한 악성 DNS 서버에 의해 정상 IP 주소가 유해 IP 주소로 불법 변경된 사례가 지속 발생되고 있다.
상술한 문제점을 해결하기 위한 본 발명의 목적은, 악성 DNS 서버를 사전에 탐지하여 인터넷 사용자들에게 제공함으로써 정상 IP 주소가 유해 IP 주소로 불법 변경되는 피해를 막기 위해 악성 DNS 서버 탐지 장치 및 그 제어방법 제공하는데 있다.
상술한 과제를 해결하기 위해 본 발명인 서버 탐지 장치에서 수행되는 악성 DNS 서버를 탐지하는 방법은, 적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소를 전송하는 단계; 상기 적어도 하나의 DNS 서버 후보로부터 상기 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 수신하는 단계; 상기 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정하는 단계; 및 적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 상기 적어도 하나의 검증 대상 DNS 서버 중 악성 DNS 서버를 결정하는 단계;를 포함할 수 있다.
본 발명의 상기 적어도 하나의 DNS 서버 후보는, 포트 스캔(port scan)을 이용하여 주기적으로 선정되며, 사용 서비스 포트가 UDP(User Datagram Protocol) 53번 및 TCP(Transmission Control Protocol) 53번 중 적어도 하나일 수 있다.
본 발명의 상기 검증 대상 DNS 서버 결정 단계는, 상기 적어도 하나의 DNS 서버 후보 중 IP 주소가 수신되는 DNS 서버 후보만을 검증 대상 DNS 서버로 결정하는 단계를 포함할 수 있다.
본 발명의 상기 악성 DNS 서버 결정 단계는, 상기 수신된 적어도 하나의 IP 주소 중에서, 상기 적어도 하나의 정상 IP 주소와 동일하지 않은, 적어도 하나의 IP 주소와 관련된 적어도 하나의 DNS 서버를 악성 DNS 서버로 결정하는 단계를 포함하고, 상기 적어도 하나의 정상 IP 주소는, 사전에 검증된 적어도 하나의 DNS 서버에 상기 사전에 검증된 적어도 하나의 도메인 주소를 전송하여, 상기 사전에 검증된 적어도 하나의 DNS 서버로부터 주기적으로 획득될 수 있다.
상술한 과제를 해결하기 위해 본 발명인 악성 DNS 서버 탐지 장치는 통신부; 메모리; 및 적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소가 전송되도록 상기 통신부를 제어하고, 적어도 하나의 정상 IP 주소를 저장하도록 상기 메모리를 제어하고, 상기 통신부를 통해 상기 적어도 하나의 DNS 서버 후보로부터 상기 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 수신하고, 상기 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정하며, 상기 적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 상기 적어도 하나의 검증 대상 DNS 서버 중 악성 DNS 서버를 결정하는 프로세서;를 포함할 수 있다.
본 발명에 개시된 실시예들에 따르면, 악성 DNS 서버를 탐지하고 차단하여 파밍(pharming)으로 인한 인터넷 사용자들의 피해를 원천적으로 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 개략도이다.
도 2는 본 발명의 일 실시예에 따른 악성 DNS 서버 탐지 장치를 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 방법을 나타낸 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 방법을 나타낸 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 방법을 나타낸 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제 1", "제 2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제 1 구성요소는 본 발명의 기술적 사상 내에서 제 2 구성요소일 수도 있음은 물론이다.
"예시적인"이라는 단어는 본 명세서에서 "예시 또는 예증으로서 사용된"의 의미로 사용된다. 본 명세서에서 "예시적인"것으로 설명된 임의의 실시예는 반드시 바람직한 것으로서 해석되거나 다른 실시예들보다 이점을 갖는 것으로 해석되어서는 안된다.
또한, 명세서에서 사용되는 "부"라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 엘리먼트를 의미하며, "부"는 어떤 역할들을 수행한다. 그렇지만 "부"는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. "부"는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 "부"는 소프트웨어 엘리먼트들, 객체지향 소프트웨어 엘리먼트들, 클래스 엘리먼트들 및 태스크 엘리먼트들과 같은 엘리먼트들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 엘리먼트들과 "부"들 안에서 제공되는 기능은 더 작은 수의 엘리먼트들 및 "부"들로 결합되거나 추가적인 엘리먼트들과 "부"들로 더 분리될 수 있다.
또한, 본 명세서의 모든 “부”는 적어도 하나의 프로세서에 의해 제어될 수 있으며 본 개시의 “부”가 수행하는 동작을 적어도 하나의 프로세서가 수행할 수도 있다.
본 개시의 실시예들은 기능 또는 기능을 수행하는 블록의 관점에서 설명될 수 있다. 본 개시의 ‘부’ 또는 ‘모듈’ 등으로 지칭될 수 있는 블록은 논리 게이트, 집적 회로, 마이크로 프로세서, 마이크로 컨트롤러, 메모리, 수동 전자 부품, 능동 전자 부품, 광학 컴포넌트, 하드와이어드 회로(hardwired circuits) 등과 같은 아날로그 또는 디지털 회로에 의해 물리적으로 구현되고, 선택적으로 펌웨어 및 소프트웨어에 의해 구동될 수 있다.
본 개시의 실시예는 적어도 하나의 하드웨어 디바이스 상에서 실행되는 적어도 하나의 소프트웨어 프로그램을 사용하여 구현될 수 있고 엘리먼트를 제어하기 위해 네트워크 관리 기능을 수행할 수 있다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 발명에서, 정상 IP 주소는 사전에 검증된 DNS 서버로부터 수신된 IP 주소이다. 상기 정상 IP 주소는 특정 도메인 주소와 대응되는 올바른 IP 주소일 수 있다. 또한, 상기 정상 IP 주소는 하나 이상의 IP 주소들이 리스트화 되어 나열된 형태일 수 있다.
본 발명에서, 사전에 검증된 도메인 주소는 DNS 서버 후보로부터 IP 주소를 수신하기 위해 전송하는 것으로, 일반적으로 사용자들에게 널리 알려진 도메인 주소일 수 있다. 일 예로서, 상기 사전에 검증된 도메인 주소는 "www.naver.com", "www.google.com" 등일 수 있다.
본 발명에서, 사전에 검증된 DNS 서버는 사전에 검증된 도메인 주소와 대응되는 웹 사이트를 운영하는 회사의 DNS 서버일 수 있다.
본 발명에서, 검증 대상 DNS 서버는 악성 DNS 서버인지 여부를 결정함에 있어, 반환 (또는 회신)하는 IP 주소에 따라 악성 또는 정상 DNS 서버로 결정되는 대상일 수 있다. 또한, 상기 검증 대상 DNS 서버는 사전에 검증된 DNS 서버를 제외한 모든 DNS 서버를 지칭할 수 있다.
본 발명에서, 악성 DNS 서버는 사전에 검증된 DNS 서버가 반환 (또는 회신)한 IP 주소와 다른 IP 주소를 반환하는 서버일 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 개략도이다.
악성 DNS 서버 탐지 장치(100)는 악성 DNS 서버를 탐지하기 위해 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e)와 통신할 수 있다. 이 경우, 악성 DNS 서버 탐지 장치(100)는 네트워크(120)를 이용하여 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e)와 통신할 수 있으며, 네트워크(120)는 유선, 무선 통신 링크 또는 광파이버 케이블과 같은 접속부(미도시)를 포함할 수 있다. 또는 네트워크(120)는 인트라넷, 근거리 통신망(LAN)이나 광역 통신망(WAN)과 같은 여러 가지 각종 네트워크로도 구현될 수도 있다.
도 1을 참조하면, 악성 DNS 서버 탐지 장치(100)와 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e)는 네트워크(120)에 연결된다. 도시된 예에서 서버(110a, 110b, 110c, 110d, 110e)는 부트 파일, 운영 체제 이미지나 애플리케이션, IP 주소와 같은 데이터를 악성 DNS 서버 탐지 장치(100)에 제공할 수 있다.
전자 장치(미도시)의 일반 사용자가 악성 DNS 서버에 접속하는 경우, 악성 DNS 서버는 인터넷 브라우저에 도메인 주소를 입력시 정상 IP 주소 대신 위조 사이트의 IP 주소를 응답한다. 이때, DNS란 특정 사이트에 접속하기 위해 일일이 숫자로 된 IP 주소를 기억하지 않고 도메인 네임만으로도 가능하게 하기 위해 도메인 네임을 IP 주소로 전환시켜 주는 시스템을 뜻한다. 예를 들어, IP 주소가 "111.112.113.114"와 같이 각 바이트마다 마침표로 구분된 4바이트 크기의 숫자 주소인 데 비해, 도메인 네임은 "www.abc.co.kr"과 같이 문자로 구성되어 있어서 숫자보다는 이름을 이해하거나 기억하기 쉽다.
또한, 도 1의 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e)는 포트(port)를 사용하여 네트워크(120)로 연결될 수 있다.
포트는 네트워크(120)를 통해 연결된 사용자의 전자 장치(미도시)와 서버(110a, 110b, 110c, 110d, 110e) 간의 논리적 접속으로의 종단점이다. 포트들은 통상적으로 포트 번호로 식별된다. 포트 번호는 0에서 65,536의 범위에 이른다. 포트 번호는 인터넷 할당 번호 관리 기관(Internet Assigned Numbers Authority: IANA)에서 할당한다. 인터넷 할당 번호 관리 기관은 국제 인터넷 주소관리 기구(Internet Corporation for Assigned Names and Numbers: ICANN)에서 운영한다.
서버(110a, 110b, 110c, 110d, 110e)는 각각 사용하고 있는 포트와 사용하지 않고 있는 포트가 있으며, 어떤 포트 번호는 현재 서버와 관련된 애플리케이션이나 서비스의 종류에 따라 미리 할당된다. 이들 미리 할당된 또는 표준 포트 번호를 주지 포트라고 한다. 특정 서비스 및 애플리케이션에 지정된 또는 미리 할당된 주지 포트 번호의 수는 대략 1,024개이다. 예컨대 주지 포트 번호는 하이퍼텍스트 전송 프로토콜(HTTP) 트랙픽을 위해서는 포트 80, 텔넷을 위해서는 포트 23, 단순 메일 전송 프로토콜(SMTP)을 위해서는 포트 25, 도메인 네임 서버(DNS)을 위해서는 포트 53, 그리고 인터넷 릴레이 채트(IRC)를 위해서는 포트 194를 포함하나 이에 한정되는 것은 아니다. 따라서 하이퍼텍스트 전송 프로토콜을 위해 지정된 임의의 서버 상의 임의의 포트는 통상적으로 80의 할당된 포트 번호를 가질 것이다.
도 1을 참조하면, 악성 DNS 서버 탐지 장치(100)는 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e) 중 DNS 서버 후보를 선정하고, 선정된 DNS 서버 후보로 사전에 검증된 도메인 주소를 전송하여, 수신되는 IP 주소에 기초하여 악성 DNS 서버를 결정할 수 있다.
악성 DNS 서버를 결정하는 방법에 대하여는 도 2 내지 도 5를 참조하여 상세히 후술한다.
도 2는 본 발명의 일 실시예에 따른 악성 DNS 서버 탐지 장치(100)를 나타낸 블록도이다.
본 발명의 일 실시예에 따르면, 악성 DNS 서버 탐지 장치(100)는 통신부(210), 메모리(220) 및 프로세서(230)를 포함할 수 있다.
본 발명이 일 실시예에 따르면, 악성 DNS 서버 탐지 장치(100)는 서버, 모바일 단말기, PDA, 스마트 폰, 데스크 탑 등을 포함할 수 있다.
본 발명의 일 실시예에 따르면, 통신부(210)는 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e)로 사전에 검증된 도메인 주소를 전송하고, 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e)로부터 IP 주소를 반환값으로 수신할 수 있다.
또한, 본 발명의 통신부(210)는 다양한 유형의 통신방식에 따라 다양한 유형의 외부 장치와 통신을 수행할 수 있다. 통신부(210)는 와이파이칩, 블루투스 칩, 무선 통신 칩, NFC 칩 중 적어도 하나를 포함할 수 있다.
와이파이 칩, 블루투스 칩은 각각 WiFi 방식, 블루투스 방식으로 통신을 수행할 수 있다. 와이파이 칩 또는 블루투스 칩을 이용하는 경우에는 SSID 및 세션 키 등과 같은 각종 연결 정보를 먼저 송수신하여, 이를 이용하여 통신 연결한 후 각종 정보들을 송수신할 수 있다. 무선 통신 칩은 IEEE, 지그비, 3G(3rd Generation), 3GPP(3rd Generation PartnershIP Project), LTE(Long Term Evolution) 등과 같은 다양한 통신 규격에 따라 통신을 수행하는 칩을 의미한다. NFC 칩은 135kHz, 13.56MHz, 433MHz, 860~960MHz, 2.45GHz 등과 같은 다양한 RF-ID 주파수 대역들 중에서 13.56MHz 대역을 사용하는 NFC(Near Field Communication) 방식으로 동작하는 칩을 의미한다.
본 발명의 메모리(220)는 사전에 검증된 도메인 주소, 사전에 검증된 IP 주소, 통신부(210)가 수신한 IP 주소 및 프로세서(230)가 처리한 데이터를 저장할 수 있는 로컬 저장 매체이다. 필요한 경우 통신부(210) 및 프로세서(230)는 메모리(120)에 저장된 데이터를 이용할 수 있다. 또한, 본 발명의 메모리(220)는 프로세서(230)가 동작하기 위한 인스트럭션 등을 저장할 수 있다.
또한, 본 발명의 메모리(220)는 악성 DNS 서버 탐지 장치(100)에 공급되는 전원이 차단되더라도 데이터들이 남아있어야 하며, 변동사항을 반영할 수 있도록 쓰기 가능한 비휘발성 메모리(Writable Rom)로 구비될 수 있다. 즉, 메모리(220)는 플래쉬메모리(Flash Memory) 또는 EPROM 또는 EEPROM 중 어느 하나로 구비될 수 있다. 본 발명에서 설명의 편의를 위해 하나의 메모리(220)에 모든 인스트럭션 정보가 저장되는 것으로 설명하고 있으나, 이에 한정되는 것은 아니며, 악성 DNS 서버 탐지 장치(100)는 복수의 메모리를 구비할 수 있다.
본 발명의 일 실시예에 따르면, 프로세서(230)는 적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소가 전송되도록 통신부(210)를 제어하고, 상기 통신부(210)를 통해 상기 적어도 하나의 DNS 서버 후보로부터 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 수신할 수 있다.
또한, 프로세서(230)는 메모리(220)로 하여금 사전에 검증된 적어도 하나의 도메인 주소 및 적어도 하나의 정상 IP 주소를 저장하도록 메모리(220)를 제어할 수 있다.
또한, 본 발명의 프로세서(230)는 상기 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정하며, 상기 적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 악성 DNS 서버를 결정할 수 있다.
본 발명에서, 사전에 검증된 도메인 주소는 DNS 서버 후보로부터 IP 주소를 수신하기 위해 전송하는 것으로, 일반적으로 사용자들에게 널리 알려진 도메인 주소일 수 있다. 일 예로서, 상기 사전에 검증된 도메인 주소는 "www.naver.com", "www.google.com" 등일 수 있다.
본 발명의 일 실시예에 따르면, 사전에 검증된 적어도 하나의 도메인 주소는 메모리(220)에 저장될 수 있다. 메모리(220)에 저장된 상기 사전에 검증된 도메인 주소는 적어도 하나의 DNS 서버를 결정하기 위해 DNS 후보로 전송될 수 있다.
상기 사전에 검증된 도메인 주소는 유명한 도메인 주소를 포함할 수 있으며, 도메인 유명도의 평균 및 도메인 유명도의 표준편차를 포함할 수 있다. 또한, 사전에 검증된 도메인 주소는 도메인이 사용된 기록을 토대로 도메인의 유명도 랭킹을 측정하여 제공하는 외부 서비스를 이용하여 구할 수 있다. 상기 외부 서비스는 외부 서버에서 제공될 수 있으며, 상기 외부 서버 (예를 들어, Alexa(등록 상표) 서버)는 특정 기간 내에 인터넷 사이트별 트래픽양 또는 순위 정보를 제공할 수 있다. 따라서, 프로세서(230)는 통신부(210)를 통해 외부 서버로부터 사전에 검증된 적어도 하나의 도메인 주소를 획득하여 메모리(220)에 저장할 수 있다.
본 발명의 일 실시예에 따르면, 사전에 검증된 DNS 서버는 사전에 검증된 도메인 주소와 대응되는 웹 사이트를 운영하는 회사의 DNS 서버일 수 있다. 또한, 상기 사전에 검증된 DNS 서버는 IP 주소를 수신하기 위해 통상적으로 도메인 주소를 전송하는 서버를 포함할 수 있다. 예를 들어, 사전에 검증된 DNS 서버는 구글 DNS 서버, 클라우드플레어 DNS 서버, Open DNS 서버, comodo Secure DNS 서버, Quad9 DNS 서버, KT DNS 서버, SK DNS 서버, LG DNS 서버 등을 포함할 수 있다.
본 발명의 일 실시예에 따르면, 프로세서(230)는 적어도 하나의 사전에 검증된 DNS 서버로 상기 사전에 검증된 도메인 주소를 전송하여 IP 주소를 반환 받을 (또는 수신할) 수 있다. 이 경우, 복수의 사전에 검증된 DNS 서버로 도메인 주소를 전송한 경우, 지리적 이유 등으로 반환되는 IP 주소는 복수의 사전에 검증된 DNS 서버 각각마다 상이할 수 있다. 따라서, 프로세서(230)는 특정 도메인 주소에 대해 반환된 모든 IP 주소를 리스트화 하여 메모리(210)에 저장할 수 있다. 여기서, 사전에 검증된 DNS 서버로 전송되는 사전에 검증된 도메인 주소는 복수개일 수 있다.
또한, 본 발명의 일 실시예에 따르면, 하나의 도메인 주소와 관련된 IP 주소는 하나 이상일 수 있다. 따라서, 적어도 하나의 도메인 주소를 수신한 사전에 검증된 DNS 서버는 수신한 도메인 주소와 동일하거나 그 보다 많은 수의 IP 주소를 반환값으로 반환 (또는 회신)할 수 있다.
도 3은 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 방법을 나타낸 흐름도이다.
본 발명의 악성 DNS 서버 탐지 장치(100)의 제어 방법의 각 단계들은 통신부(210), 메모리(220) 및 프로세서(230)를 포함하는 다양한 형태의 전자 장치에 의해 수행될 수 있다.
이하에서는 도 3을 참조하여 프로세서(230)가 본 발명에 따른 악성 DNS 서버를 탐지하는 과정을 중심으로 상세히 설명한다.
악성 DNS 서버 탐지 장치(100)에 대해 설명된 실시예들은 악성 DNS 서버 탐지 장치(100)의 제어 방법에 적어도 일부 또는 모두 적용이 가능하고, 반대로 악성 DNS 서버 탐지 장치(100)의 제어 방법에 대해 설명된 실시예들은 악성 DNS 서버 탐지 장치(100)에 대한 실시예들에 적어도 일부 또는 모두 적용이 가능하다. 또한, 개시된 실시예들에 따른 악성 DNS 서버 탐지 장치(100)의 제어 방법은 본 명세서에 개시된 악성 DNS 서버 탐지 장치(100)에 의해 수행되는 것으로 그 실시 예가 한정되지 않고, 다양한 형태의 전자장치에 의해 수행될 수 있다.
먼저, 악성 DNS 서버 탐지 장치(100)의 프로세서(230)는 통신부(210)를 통해 적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소를 전송할 수 있다[S310].
본 발명의 일 실시예에 따르면, 적어도 하나의 DNS 서버 후보는 포트 스캔(port scan)을 이용하여 주기적으로 선정될 수 있다.
본 발명에서 포트 스캔은 운영 중인 서버의 어떤 포트가 열려있는지 여부를 확인하기 위한 과정으로서, 예를 들어 서버에 이미 알려진 특정 포트로 요청 신호를 전송하고 그 서버로부터 응답 신호가 수신되는지 여부에 따라 해당 특정 포트가 열려있는지 여부를 판단할 수 있다. 이 경우, 일반적으로 DNS 서버는 UDP(User Datagram Protocol) 53번 및 TCP(Transmission Control Protocol) 53번인 서비스 포트를 이용한다. 따라서, 프로세서(230)는 적어도 하나의 서버(110a, 110b, 110c, 110d, 110e) 중 사용 서비스 포트가 UDP 53번 및 TCP 53번 중 적어도 하나인 서버를 DNS 서버 후보로 선정할 수 있다.
본 명세서에서는 사용 서비스 포트가 UDP 53번 및 TCP 53번 중 적어도 하나인 서버를 DNS 서버 후보로 선정하는 것으로 기재하였으나, 반드시 이에 제한되는 것은 아니다. 따라서, 프로세서(230)는 0 내지 65,536 포트 번호 중 특정 포트 번호를 사용하는 서버를 DNS 서버 후보로 선정할 수 있다.
포트 스캔 과정 자체는 기 공지된 기술에 해당하므로 보다 상세한 설명을 생략한다.
본 발명의 일 실시예에 따르면, 적어도 하나의 DNS 서버 후보는 악성 DNS 서버를 탐지하는 것과는 별개로 주기적으로 선정될 수 있다. 예를 들어, 프로세서(230)는 매일, 매주, 매달 단위로 적어도 하나의 DNS 서버 후보를 선정할 수 있다. 또한, 프로세서(230)는 사전에 검증된 도메인 주소를 제공하는 외부 서버가 도메인 주소의 순위 정보를 업데이트 하는 시기마다 상기 적어도 하나의 DNS 서버 후보를 선정할 수도 있다.
프로세서(130)는 선정된 적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소를 전송할 수 있다.
그 다음으로, 프로세서(130)는 통신부(210)를 통해 적어도 하나의 DNS 서버 후보로부터 상기 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 수신할 수 있다[S320].
본 발명의 일 실시예에 따르면, 하나의 도메인 주소와 관련된 IP 주소는 하나 이상일 수 있다. 따라서, 적어도 하나의 도메인 주소를 수신한 DNS 서버 후보는 수신한 도메인 주소와 동일하거나 그 보다 많은 수의 IP 주소를 반환값으로 반환 (또는 회신)할 수 있다.
그 다음으로, 프로세서(130)는 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정할 수 있다[S330].
본 발명에서, 검증 대상 DNS 서버는 악성 DNS 서버인지 여부를 결정함에 있어, 프로세서(130)에 의한 판단 대상이 될 수 있다. 검증 대상 DNS 서버를 결정하는 방법에 대하여는 도 4를 참조하여 상세히 후술한다.
그 다음으로, 프로세서(130)는 적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 상기 적어도 하나의 검증 대상 DNS 서버 중 악성 DNS 서버를 결정할 수 있다[S340]. 악성 DNS 서버를 결정하는 방법에 대하여는 도 5를 참조하여 상세히 후술한다.
도 4는 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 방법을 나타낸 흐름도이다. 도 4의 단계는 도 3의 S330의 예시일 수 있다.
본 발명의 일 실시예에 따르면, 프로세서(230)는, 적어도 하나의 IP 주소를 수신한 이후, 상기 적어도 하나의 DNS 서버 후보 중 IP 주소가 수신되는 DNS 서버 후보만을 검증 대상 DNS 서버로 결정할 수 있다[S410].
특정 서버가 DNS 서버가 아닌 경우, 상기 특정 서버는 IP 주소와 관련없는 부트 파일, 운영 체제 이미지나 애플리케이션 등의 데이터를 반환할 수 있다. 따라서, 프로세서(230)는 적어도 하나의 IP 주소를 반환값으로 반환하는 DNS 서버 후보만을, 악성 DNS 서버인지 여부를 판단하기 위한 검증 대상 DNS 서버로 결정할 수 있다.
도 5는 본 발명의 일 실시예에 따른 악성 DNS 서버를 탐지하기 위한 방법을 나타낸 흐름도이다. 도 5의 단계는 도 3의 S340의 예시일 수 있다.
본 발명의 일 실시예에 따르면, 프로세서(230)는, 검증 대상 DNS를 결정한 이후, 수신된 적어도 하나의 IP 주소 중에서, 적어도 하나의 정상 IP 주소와 동일하지 않은, 적어도 하나의 IP 주소와 관련된 적어도 하나의 DNS 서버를 악성 DNS 서버로 결정할 수 있다[S510].
본 발명에서, 정상 IP 주소는 사전에 검증된 DNS 서버로부터 수신된 IP 주소를 지칭할 수 있다. 그러므로, 상기 정상 IP 주소는 특정 도메인 주소와 대응되는 올바른 IP 주소일 수 있다. 예를 들어, 정상 IP 주소는 네이버(등록 상표) 및 구글(등록 상표) 등이 운영하는 DNS 서버로부터 수신된, 특정 도메인 또는 사전에 검증된 도메인 주소와 대응되는, IP 주소일 수 있다. 따라서, 검증 대상 DNS 서버가 악성 DNS 서버인 경우라면, 전송된 적어도 하나의 도메인 주소에 대하여 반환값으로 상기 정상 IP와 다른 적어도 하나의 IP 주소를 반환할 수 있다.
본 발명의 일 실시예에 따르면, 적어도 하나의 사전에 검증된 DNS 서버로부터 수신된 특정 도메인 주소에 대한 적어도 하나의 정상 IP 주소는, 프로세서(230)에 의해 리스트화 되어 메모리(220)에 저장될 수 있다.
특정 도메인 주소에 대한 적어도 하나의 정상 IP 주소가 리스트화 되어 있으므로, 프로세서(230)는, 수신된 적어도 하나의 IP 주소를 상기 적어도 하나의 정상 IP 주소와 비교하여, 상기 수신된 적어도 하나의 IP 주소에 정상 IP 주소와 동일하지 않은 IP 주소가 하나라도 포함되어 있는 경우, 프로세서(230)는 해당 IP 주소를 반환한 검증 대상 DNS 서버를 악성 DNS 서버로 결정할 수 있다.
또한, 사전에 검증된 도메인 주소는 복수개일 수 있으므로, 검증 대상 DNS 서버는 복수의 도메인 주소에 대한 IP 주소를 반환할 수 있다. 이 경우, 반환된 IP 주소에 정상 IP 주소와 동일하지 않은 IP 주소가 하나라도 포함되어 있는 경우, 프로세서(230)는 해당 검증 대상 DNS 서버를 악성 DNS 서버로 결정할 수 있다.
본 발명의 일 실시예에 따르면, 적어도 하나의 정상 IP 주소는 사전에 검증된 적어도 하나의 DNS 서버에 사전에 검증된 적어도 하나의 도메인 주소를 전송하여, 상기 사전에 검증된 적어도 하나의 DNS 서버로부터 주기적으로 획득될 수 있다. 획득된 적어도 하나의 정상 IP 주소는 메모리(220)에 저장되고, 메모리(220)는 적어도 하나의 정상 IP 주소가 획득될 때마다 저장하고 있는 IP 주소를 업데이트할 수 있다.
본 발명의 일 실시예에 따르면, 프로세서(230)는 검증 대상 DNS 서버로부터 수신된 IP 주소와 정상 IP 주소를 비교하는 경우, 양자가 모두 동일한 경우에만 해당 검증 대상 DNS 서버를 정상 DNS 서버로 결정할 수 있다.
본 발명의 다양한 실시예들은 기기(machine)(예를 들어, 악성 DNS 서버 탐지 장치(100) 또는 컴퓨터)에 의해 읽을 수 있는 저장 매체(storage medium)(예를 들어, 메모리)에 저장된 하나 이상의 인스트럭션들을 포함하는 소프트웨어로서 구현될 수 있다. 예를 들면, 기기의 프로세서(예를 들어, 프로세서(230))는, 저장 매체로부터 저장된 하나 이상의 인스트럭션들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 인스트럭션에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 인스트럭션들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, ‘비일시적 저장매체'는 실재(tangible)하는 장치이고, 신호(signal)(예를 들어, 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. 예를 들어, '비일시적 저장매체'는 데이터가 임시적으로 저장되는 버퍼를 포함할 수 있다.
일 실시예에 따르면, 본 명세서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예를 들어, compact disc read only memory (CD-ROM))의 형태로 배포되거나, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 또는 두개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품(예: 다운로더블 앱(downloadable app))의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해만 한다.
100 : 악성 DNS 서버 탐지 장치

Claims (10)

  1. 서버 탐지 장치에서 수행되는 악성 DNS 서버를 탐지하는 방법에 있어서,
    적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소를 전송하는 단계;
    상기 적어도 하나의 DNS 서버 후보로부터 상기 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 각각 수신하는 단계;
    상기 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정하는 단계;
    적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 상기 적어도 하나의 검증 대상 DNS 서버 중 악성 DNS 서버를 결정하는 단계; 및
    상기 악성 DNS 서버로 결정된 검증 대상 DNS 서버로부터 상기 수신된 적어도 하나의 도메인 주소에 대하여 반환값으로 상기 적어도 하나의 정상 IP 주소와 다른 적어도 하나의 IP 주소를 반환하는 단계를 포함하며,
    상기 검증 대상 DNS 서버 결정 단계는,
    DNS 서버가 아닌 특정 서버는 IP 주소와 관련없는 부트 파일, 운영 체제 이미지 및 애플리케이션 중 적어도 하나를 포함하는 데이터를 반환하게 되므로, 상기 적어도 하나의 DNS 서버 후보 중 적어도 하나의 IP 주소가 수신되는 DNS 서버 후보만을 검증 대상 DNS 서버로 결정하고,
    상기 악성 DNS 서버 결정 단계는,
    상기 수신된 적어도 하나의 IP 주소 중에서 상기 적어도 하나의 정상 IP 주소와 동일하지 않은 IP 주소가 하나라도 포함되어 있는 경우에는 해당 검증 대상 DNS 서버를 악성 DNS 서버로 결정하고, 상기 수신된 적어도 하나의 IP 주소 중에서 상기 적어도 하나의 정상 IP 주소가 모두 동일한 경우에만 해당 검증 대상 DNS 서버를 정상 DNS 서버로 결정하는 단계를 포함하고,
    상기 적어도 하나의 정상 IP 주소는,
    사전에 검증된 적어도 하나의 DNS 서버에 상기 사전에 검증된 적어도 하나의 도메인 주소를 전송하여, 상기 사전에 검증된 적어도 하나의 DNS 서버로부터 주기적으로 획득되며, 상기 적어도 하나의 정상 IP 주소가 획득될 때마다 기 저장된 IP 주소를 업데이트하고,
    상기 사전에 검증된 적어도 하나의 DNS 서버는,
    상기 사전에 검증된 적어도 하나의 도메인 주소와 대응되는 웹 사이트를 운영하는 회사의 DNS 서버인 것을 특징으로 하는, 악성 DNS 서버를 탐지하는 방법.
  2. 제 1 항에 있어서,
    상기 적어도 하나의 DNS 서버 후보는,
    포트 스캔(port scan)을 이용하여 주기적으로 선정되며,
    사용 서비스 포트가 UDP(User Datagram Protocol) 53번 및 TCP(Transmission Control Protocol) 53번 중 적어도 하나인, 악성 DNS 서버를 탐지하는 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 통신부;
    메모리; 및
    적어도 하나의 DNS 서버 후보 각각에 사전에 검증된 적어도 하나의 도메인 주소가 전송되도록 상기 통신부를 제어하고,
    적어도 하나의 정상 IP 주소를 저장하도록 상기 메모리를 제어하고,
    상기 통신부를 통해 상기 적어도 하나의 DNS 서버 후보로부터 상기 전송된 적어도 하나의 도메인 주소와 관련된 적어도 하나의 IP 주소를 각각 수신하고,
    상기 수신된 적어도 하나의 IP 주소에 기초하여, 적어도 하나의 검증 대상 DNS 서버를 결정하며,
    상기 적어도 하나의 정상 IP 주소와 상기 수신된 적어도 하나의 IP 주소를 비교하여, 상기 적어도 하나의 검증 대상 DNS 서버 중 악성 DNS 서버를 결정하고,
    상기 악성 DNS 서버로 결정된 검증 대상 DNS 서버로부터 상기 수신된 적어도 하나의 도메인 주소에 대하여 반환값으로 상기 적어도 하나의 정상 IP 주소와 다른 적어도 하나의 IP 주소를 반환하는 프로세서;를 포함하며,
    상기 프로세서는,
    상기 검증 대상 DNS 서버를 결정할 시,
    DNS 서버가 아닌 특정 서버는 IP 주소와 관련없는 부트 파일, 운영 체제 이미지 및 애플리케이션 중 적어도 하나를 포함하는 데이터를 반환하게 되므로, 상기 적어도 하나의 DNS 서버 후보 중 적어도 하나의 IP 주소가 수신되는 DNS 서버 후보만을 검증 대상 DNS 서버로 결정하고,
    상기 악성 DNS 서버를 결정할 시,
    상기 수신된 적어도 하나의 IP 주소 중에서 상기 적어도 하나의 정상 IP 주소와 동일하지 않은 IP 주소가 하나라도 포함되어 있는 경우에는 해당 검증 대상 DNS 서버를 악성 DNS 서버로 결정하고, 상기 수신된 적어도 하나의 IP 주소 중에서 상기 적어도 하나의 정상 IP 주소가 모두 동일한 경우에만 해당 검증 대상 DNS 서버를 정상 DNS 서버로 결정하고,
    상기 적어도 하나의 정상 IP 주소는,
    사전에 검증된 적어도 하나의 DNS 서버에 상기 사전에 검증된 적어도 하나의 도메인 주소를 전송하여, 상기 사전에 검증된 적어도 하나의 DNS 서버로부터 주기적으로 획득되며, 상기 적어도 하나의 정상 IP 주소가 획득될 때마다 기 저장된 IP 주소를 업데이트하고,
    상기 사전에 검증된 적어도 하나의 DNS 서버는,
    상기 사전에 검증된 적어도 하나의 도메인 주소와 대응되는 웹 사이트를 운영하는 회사의 DNS 서버인 것을 특징으로 하는, 악성 DNS 서버 탐지 장치.
  7. 제 6 항에 있어서,
    상기 적어도 하나의 DNS 서버 후보는,
    포트 스캔(port scan)을 이용하여 주기적으로 선정되며,
    사용 서비스 포트가 UDP(User Datagram Protocol) 53번 및 TCP(Transmission Control Protocol) 53번 중 적어도 하나인, 악성 DNS 서버 탐지 장치.
  8. 삭제
  9. 삭제
  10. 제 1 항에 기재된 악성 DNS 서버 탐지 방법을 구현하기 위한 프로그램이 저장된 컴퓨터 판독 가능한 기록매체.
KR1020200134882A 2020-10-19 2020-10-19 악성 dns 서버 탐지 장치 및 그 제어방법 KR102438769B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020200134882A KR102438769B1 (ko) 2020-10-19 2020-10-19 악성 dns 서버 탐지 장치 및 그 제어방법
PCT/KR2020/015672 WO2022085839A1 (ko) 2020-10-19 2020-11-10 악성 dns 서버 탐지 장치 및 그 제어방법
US18/180,930 US20230224330A1 (en) 2020-10-19 2023-03-09 Malicious dns server detection device and control method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200134882A KR102438769B1 (ko) 2020-10-19 2020-10-19 악성 dns 서버 탐지 장치 및 그 제어방법

Publications (2)

Publication Number Publication Date
KR20220051861A KR20220051861A (ko) 2022-04-27
KR102438769B1 true KR102438769B1 (ko) 2022-09-01

Family

ID=81289875

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200134882A KR102438769B1 (ko) 2020-10-19 2020-10-19 악성 dns 서버 탐지 장치 및 그 제어방법

Country Status (3)

Country Link
US (1) US20230224330A1 (ko)
KR (1) KR102438769B1 (ko)
WO (1) WO2022085839A1 (ko)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1866783B1 (en) * 2005-02-24 2020-11-18 EMC Corporation System and method for detecting and mitigating dns spoofing trojans
KR101623570B1 (ko) * 2014-09-02 2016-05-23 주식회사 케이티 위조 사이트 검출 방법과 이에 대한 보안 시스템
GB2532475B (en) * 2014-11-20 2017-03-08 F Secure Corp Integrity check of DNS server setting
KR101673385B1 (ko) * 2015-03-04 2016-11-07 주식회사 안랩 Dns정보 기반 ap 진단장치 및 dns정보 기반 ap 진단방법
KR101874815B1 (ko) * 2016-07-06 2018-07-06 네이버 주식회사 Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치
KR101997181B1 (ko) * 2017-04-21 2019-07-05 에스케이브로드밴드주식회사 Dns관리장치 및 그 동작 방법

Also Published As

Publication number Publication date
WO2022085839A1 (ko) 2022-04-28
KR20220051861A (ko) 2022-04-27
US20230224330A1 (en) 2023-07-13

Similar Documents

Publication Publication Date Title
US11645414B2 (en) Data privacy opt in/out solution
US11425137B2 (en) Centralized authentication for granting access to online services
CN103825895B (zh) 一种信息处理方法及电子设备
US8214537B2 (en) Domain name system using dynamic DNS and global address management method for dynamic DNS server
US20120311660A1 (en) SYSTEM AND METHOD FOR MANAGING IPv6 ADDRESS AND ACCESS POLICY
CN111683054A (zh) 用于远程接入的方法和装置
US11113405B2 (en) Vulnerability assessment
US11722488B2 (en) Non-intrusive / agentless network device identification
CN109937608B (zh) 从传感器装置采集传感器数据的方法和系统
US20150103678A1 (en) Identification of user home system in a distributed environment
KR102310027B1 (ko) 결정 방법 및 대응하는 단말기, 컴퓨터 프로그램 제품 및 저장 매체
US10694555B2 (en) Wireless mesh network formation
CN104994501A (zh) 无线网络的连接方法和终端设备
KR102438769B1 (ko) 악성 dns 서버 탐지 장치 및 그 제어방법
US8239930B2 (en) Method for controlling access to a network in a communication system
KR102460692B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
EP3910978B1 (en) Method for detecting fake device and wireless device care apparatus
CN113812125B (zh) 登录行为的校验方法及装置、系统、存储介质、电子装置
JP7140845B2 (ja) ネットワーク接続をセキュアにするためのデバイスおよび方法
US20200053186A1 (en) Communication terminal, communication method, and recording medium
KR102405519B1 (ko) 사설 서버 탐지 장치 및 그 제어방법
US20220408264A1 (en) Wireless communication method between a client object and a server object
JP6778988B2 (ja) 認証情報生成プログラム、認証情報生成装置、及び認証情報生成方法
US20240152502A1 (en) Data authentication and validation across multiple sources, interfaces, and networks
CN105939516A (zh) 用户认证方法及装置

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right