KR102638308B1 - DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 - Google Patents
DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 Download PDFInfo
- Publication number
- KR102638308B1 KR102638308B1 KR1020210183344A KR20210183344A KR102638308B1 KR 102638308 B1 KR102638308 B1 KR 102638308B1 KR 1020210183344 A KR1020210183344 A KR 1020210183344A KR 20210183344 A KR20210183344 A KR 20210183344A KR 102638308 B1 KR102638308 B1 KR 102638308B1
- Authority
- KR
- South Korea
- Prior art keywords
- domain
- dns
- ddos
- level
- white
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 92
- 238000001514 detection method Methods 0.000 title claims abstract description 55
- 230000004044 response Effects 0.000 claims abstract description 53
- 235000000391 Lepidium draba Nutrition 0.000 claims description 18
- 238000001914 filtration Methods 0.000 claims description 16
- 230000003321 amplification Effects 0.000 claims description 12
- 238000000034 method Methods 0.000 claims description 12
- 238000003199 nucleic acid amplification method Methods 0.000 claims description 12
- 239000000284 extract Substances 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 7
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 12
- 230000007123 defense Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치는, 인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집하는 수집부; 및 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하는 분석부를 포함한다.
Description
본 발명은 기존 DDoS 방어를 위한 정상성 판단을 위해, 분석 시간을 최소화하고, 빠른 DDoS 판단과 정상 질의 폭주 상황 인지를 빠르게 확인하여 DNS 서비스망을 신속히 안정화할 수 있는 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치에 관한 것이다.
전통적으로, DNS(Domain Name System)는 사용자 데이터그램 프로토콜(UDP: User Datagram Protocol)을 이용한 트랜잭션 방식을 사용하고 있다. 이에 따라, 위변조가 쉽고, 대규모 트래픽의 분산 서비스 거부 공격(DDoS attack: Distributed Denial of Service attack)을 발생시키기 쉽다.
한편, 기존의 DDoS 판단 감지 방법 중 트래픽 량(Traffic Bandwidth)을 통한 판단 방법에서는, 평상시 트래픽 허용 임계치의 15% 이상 트래픽 량이 증가하는 경우, 트래픽 이상 감지로서 판단하며, 육안 또는 별도의 시스템에서 트랙픽 량을 통해 인지하며, 2차적인 분석을 진행하여, DDoS 판단을 수행하여야 하는데, 신규 도메인 생성에 의한 NS 증가 또는 유명 사이트 도메인(Homepage) 장애에 의한 DNS 질의 폭증인지를 판단하기 위해서는 추가적인 분석이 진행되고 장시간의 분석이 필요하게 된다.
또한, DNS 증폭(Amplification)과 같은 DDoS의 경우, 특정한 특징을 가지는 패턴을 가지며, 해당 공격 확산을 방지하기 위해, 해당 패턴을 가지고 DDoS 판단을 하게 된다.
따라서, 기존의 DDoS 감지 방법은, 추가적인 분석이 필요하기 때문에, DDoS 공격을 감지하는데 많은 시간이 소요되며, 이에 따라 DDoS에 대한 대응도 늦기 때문에, DDoS 공격의 확산을 조기에 방어하는데 문제점이 있었다.
본 발명이 해결하고자 하는 과제는 DNS 반사(Reflection), DNS 증폭(Amplification) 및 DNS 워터-토처(Water-torture) 등의 공격을 DNS 트래픽을 통해 자동으로 판단하고, 정상적인 트래픽 요청 폭주인지, 알려지지 않은 공격인지를 신속히 판단할 수 있는 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는, 분석 시간을 최소화하고, 빠른 DDoS 판단과 정상 질의 폭주 상황 인지를 빠르게 확인하여 DNS 서비스망을 신속히 안정화할 수 있는 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 과제는, 기존의 DDoS 방어 대응을 위해짧게는 30분 내지 1시간이 걸렸다면, DDoS 대응 전략으로 5분 이내의 빠른 판단을 통해 DDoS를 감지할 수 있어 DDoS에 대한 대응 방어를 신속히 할 수 있는 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 또 다른 과제는, DDoS 판단에 사용된 정보를 활용하여 침입 방지 시스템(IPS: Intrusion Prevention System) 및 방화벽 시스템과 연계하여, 보다 효과적인 대응 전략을 수립할 수 있는 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치를 제공하는 것이다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치는,
인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집하는 수집부; 및
상기 수집부로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하는 분석부를 포함한다.
본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치에 있어서, 상기 수집부는,
상기 인바운드 트래픽 중 DNS 요청 패킷에서, 알려진 화이트 도메인, 알려진 악성 도메인인 블랙리스트 도메인, 알려진 악성 DGA(Domain Generation Algorithm) 도메인 및 PTR(pointer) 화이트 도메인을 필터링하여 제외시키기 위한 제1 필터부;
상기 아웃바운드 트래픽 중 DNS 요청 패킷에서, 알려진 DNS 서버 질의를 의미하는 화이트 DNS IP 및 악성 DNS 서버 질의를 의미하는 블랙리스트 페이크(fake) DNS IP를 필터링하여 제외시키기 위한 제2 필터부;
상기 아웃바운드 트래픽 중 DNS 응답 패킷에서, NX 도메인(Non-eXistent Domain)을 필터링하여 제외시키기 위한 제3 필터부; 및
상기 제1 필터부, 상기 제2 필터부 및 상기 제3 필터부의 출력에서 도메인 정보를 추출하는 도메인 정보 추출부를 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치에 있어서, 상기 수집부는, NX 도메인 응답 유형이 DNS 워터-토처(water-torture) 공격인지를 판단하는 DNS 워터-토처 DDoS 판단부를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치에 있어서, 상기 도메인 정보 추출부는, 송신지 IP, 송신지 포트, 목적지 IP, 목적지 포트 및 프로토콜을 포함하는 5-튜플(Tuple), DNS 유형 및 DNS 메시지를 추출할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치에 있어서, 상기 분석부는,
상기 수집부로부터 수신되는 도메인 정보가, 상기 인바운드 트래픽 중 DNS 요청 패킷, 상기 아웃바운드 트래픽 중 DNS 요청 패킷 또는 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인지를 판단하고, 수신되는 도메인을 탑-레벨 도메인, 세컨드-레벨 도메인 또는 서브 도메인으로 분류하는 DNS 파서;
상기 DNS 파서로부터 수신되는 도메인 정보가 상기 인바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보인 경우,
DNS 질의 유형을 판별하는 DNS 질의 유형 판별부;
상기 DNS 질의 유형이 A 또는 AAAA인 경우, 상기 도메인이 화이트 탑-레벨 도메인인지 여부를 판단하고, 탑-레벨 도메인이 랜덤성을 가지는지 판단하며, 탑-레벨 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 탑-레벨 화이트 판단부;
상기 도메인이 화이트 탑-레벨 도메인인 것으로 상기 탑-레벨 화이트 판단부가 판단한 경우, 세컨드-레벨 도메인을 클러스터링하는 세컨드-레벨 도메인 클러스터링부;
상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인지를 판단하는 화이트 세컨드-레벨 도메인 판단부;
상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인 것으로 상기 화이트 세컨드-레벨 도메인 판단부가 판단한 경우, 서브 도메인이 랜덤성을 가지는지를 판단하고, 서브 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 서브 도메인 랜덤성 판단부;
상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인이 아닌 것으로 상기 화이트 세컨드-레벨 도메인 판단부가 판단한 경우 그리고 상기 세컨드-레벨 도메인들의 문자열이 랜덤 분포를 가질 경우, 상기 세컨드-레벨 도메인들을 DGA 도메인으로 판단하는 DGA 도메인 판단부;
상기 서브 도메인이 랜덤성을 가지지 않는 것으로 판단된 경우, 상기 서브 도메인을 알려진 서브 도메인으로 결정하는 알려진 서브 도메인 결정부;
상기 서브 도메인이 화이트 세컨드-레벨 도메인이고, 알려진 서브 도메인이며, 화이트 탑-레벨 도메인인 경우, 송신지 IP의 질의양을 확인하고, 송신지 IP의 질의양이 임계치 이상인 경우 DDoS 도메인으로 판단하며, 요청 송신지 IP의 질의양이 임계치 미만인 경우 정상 도메인으로 판단하는 제1 질의양 판단부; 및
상기 DNS 질의 유형이 PTR(pointer) 도메인 질의인 경우, 요청 송신지 IP가 동일한 IP를 가지는 지를 검출하고, 질의량이 임계치 이상인 경우 DNS 증폭(Amplication) 공격에 의해 발생한 DDoS 도메인으로 판단하는 제2 질의양 판단부를 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치에 있어서, 상기 분석부는,
상기 DNS 파서로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보이고 송신지 IP 및 송신지 포트가 화이트 DNS가 아닌 경우, 상기 도메인 정보가 페이크 DNS IP인지를 판단하고, 상기 도메인 정보가 페이크 DNS IP인 경우, 악성 도메인 판단 경보를 발생하는, 페이크 DNS IP 판단부;
상기 도메인 정보가 페이크 DNS IP가 아닌 경우, 알려진 화이트 IP 필터 데이터베이스를 업데이트하는 화이트 IP 필터 데이터베이스 업데이트부; 및
상기 도메인 정보가 페이크 DNS IP인 경우, 블랙리스트 IP 필터 데이터베이스를 업데이트하는 블랙리스트 IP 필터 데이터베이스 업데이트부를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치에 있어서, 상기 분석부는,
상기 DNS 파서로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인 경우, 상기 수신되는 도메인이 NX 도메인인지를 판단하는 NX 도메인 판단부; 및
상기 NX 도메인의 송신지 IP의 질의양이 임계치 이상인 경우 DNS 워터-토처 공격에 의해 발생한 DDoS 도메인으로 판단하는 제3 질의양 판단부를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치는, 상기 분석부에서 발생한 업데이트 정보를 상기 수집부에 제공하고, 상기 분석부에서 DDoS 도메인이 검출되는 경우, 검출된 DDoS 도메인 정보를 보안 장비에 제공하는 관리부를 더 포함할 수 있다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법은,
(A) 수집부가, 인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집하는 단계; 및
(B) 분석부가, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하는 단계를 포함한다.
본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법에 있어서, 상기 단계 (A)는,
(A-1) 상기 인바운드 트래픽 중 DNS 요청 패킷에서, 알려진 화이트 도메인, 알려진 악성 도메인인 블랙리스트 도메인, 알려진 악성 DGA(Domain Generation Algorithm) 도메인 및 PTR(pointer) 화이트 도메인을 필터링하여 제외시키는 단계;
(A-2) 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서, 알려진 DNS 서버 질의를 의미하는 화이트 DNS IP 및 악성 DNS 서버 질의를 의미하는 블랙리스트 페이크(fake) DNS IP를 필터링하여 제외시키는 단계;
(A-3) 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서, NX 도메인(Non-eXistent Domain)을 필터링하여 제외시키기 단계; 및
(A-4) 단계 (A-1), 단계 (A-2) 및 단계 (A-3)의 출력에서 도메인 정보를 추출하는 단계를 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법은, 상기 단계 (A-3) 이후에, 상기 아웃바운드 트래픽 중 DNS 응답 패킷에 기반하여 NX 도메인 응답 유형이 DNS 워터-토처(water-torture) 공격인지를 판단하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법에 있어서, 상기 단계 (A-4)는, 송신지 IP, 송신지 포트, 목적지 IP, 목적지 포트 및 프로토콜을 포함하는 5-튜플(Tuple), DNS 유형 및 DNS 메시지를 추출할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법에 있어서, 상기 단계 (B)는,
(B-1) 상기 수집부로부터 수신되는 도메인 정보가, 상기 인바운드 트래픽 중 DNS 요청 패킷, 상기 아웃바운드 트래픽 중 DNS 요청 패킷 또는 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인지를 판단하고, 수신되는 도메인을 탑-레벨 도메인, 세컨드-레벨 도메인 또는 서브 도메인으로 분류하는 DNS 파싱 단계;
(B-2) 상기 DNS 파싱 단계로부터 수신되는 도메인 정보가 상기 인바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보인 경우, DNS 질의 유형을 판별하는 DNS 질의 유형 판별 단계;
(B-3) 상기 DNS 질의 유형이 A 또는 AAAA인 경우, 상기 도메인이 화이트 탑-레벨 도메인인지 여부를 판단하고, 탑-레벨 도메인이 랜덤성을 가지는지 판단하며, 탑-레벨 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 탑-레벨 화이트 판단 단계;
(B-4) 상기 도메인이 화이트 탑-레벨 도메인인 것으로 상기 탑-레벨 화이트 판단부가 판단한 경우, 세컨드-레벨 도메인을 클러스터링하는 세컨드-레벨 도메인 클러스터링 단계;
(B-5) 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인지를 판단하는 화이트 세컨드-레벨 도메인 판단 단계;
(B-6) 상기 화이트 세컨드-레벨 도메인 판단 단계에서 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인 것으로 판단된 경우, 서브 도메인이 랜덤성을 가지는지를 판단하고, 서브 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 서브 도메인 랜덤성 판단 단계;
(B-7) 상기 화이트 세컨드-레벨 도메인 판단 단계에서 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인이 아닌 것으로 판단된 경우 그리고 상기 세컨드-레벨 도메인들의 문자열이 랜덤 분포를 가질 경우, 상기 세컨드-레벨 도메인들을 DGA 도메인으로 판단하는 DGA 도메인 판단 단계;
(B-8) 상기 서브 도메인이 랜덤성을 가지지 않는 것으로 판단된 경우, 상기 서브 도메인을 알려진 서브 도메인으로 결정하는 단계;
(B-9) 상기 서브 도메인이 화이트 세컨드-레벨 도메인이고, 알려진 서브 도메인이며, 화이트 탑-레벨 도메인인 경우, 송신지 IP의 질의양을 확인하고, 송신지 IP의 질의양이 임계치 이상인 경우 DDoS 도메인으로 판단하며, 요청 송신지 IP의 질의양이 임계치 미만인 경우 정상 도메인으로 판단하는 제1 질의양 판단 단계; 및
(B-10) 상기 DNS 질의 유형이 PTR(pointer) 도메인 질의인 경우, 요청 송신지 IP가 동일한 IP를 가지는 지를 검출하고, 질의량이 임계치 이상인 경우 DNS 증폭(Amplication) 공격에 의해 발생한 DDoS 도메인으로 판단하는 제2 질의양 판단 단계를 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법에 있어서, 상기 단계 (B)는,
(B-11) 상기 DNS 파싱 단계로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보이고 송신지 IP 및 송신지 포트가 화이트 DNS가 아닌 경우, 상기 도메인 정보가 페이크 DNS IP인지를 검출하고, 상기 도메인 정보가 페이크 DNS IP인 경우, 악성 도메인 판단 경보를 발생하는, 페이크 DNS IP 검출 단계;
(B-12) 상기 도메인 정보가 페이크 DNS IP가 아닌 경우, 알려진 화이트 IP 필터 데이터베이스를 업데이트하는 화이트 IP 필터 데이터베이스 업데이트 단계; 및
상기 도메인 정보가 페이크 DNS IP인 경우, 블랙리스트 IP 필터 데이터베이스를 업데이트하는 블랙리스트 IP 필터 데이터베이스 업데이트 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법에 있어서, 상기 단계 (B)는,
(B-13) 상기 DNS 파서로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인 경우, 상기 수신되는 도메인이 NX 도메인인지를 판단하는 NX 도메인 판단 단계; 및
(B-14) 상기 NX 도메인의 송신지 IP의 질의양이 임계치 이상인 경우 DNS 워터-토처 공격에 의해 발생한 DDoS 도메인으로 판단하는 제3 질의양 판단 단계를 포함할 수 있다.
또한, 본 발명의 일 실시예에 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법은, 상기 단계 (B) 이후에, 상기 분석부에서 발생한 업데이트 정보를 상기 수집부에 제공하고, 상기 분석부에서 DDoS 도메인이 검출되는 경우, 검출된 DDoS 도메인 정보를 보안 장비에 제공하는 단계를 더 포함할 수 있다.
본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치에 의하면, DNS 반사(Reflection), DNS 증폭(Amplification) 및 DNS 워터-토처(Water-torture) 등의 공격을 DNS 트래픽을 통해 자동으로 판단하고, 정상적인 트래픽 요청 폭주인지, 알려지지 않은 공격인지를 신속히 판단할 수 있다.
본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치에 의하면, 분석 시간을 최소화하고, 빠른 DDoS 판단과 정상 질의 폭주 상황 인지를 빠르게 확인하여 DNS 서비스망을 신속히 안정화할 수 있다.
본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치에 의하면, 기존의 DDoS 방어 대응을 위해짧게는 30분 내지 1시간이 걸렸다면, DDoS 대응 전략으로 5분 이내의 빠른 판단을 통해 DDoS를 감지할 수 있어 DDoS에 대한 대응 방어를 신속히 할 수 있다.
본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치에 의하면, DDoS 판단에 사용된 정보를 활용하여 침입 방지 시스템(IPS: Intrusion Prevention System) 및 방화벽 시스템과 연계하여, 보다 효과적인 대응 전략을 수립할 수 있다.
도 1은 DNS의 기본 동작을 도시한 도면.
도 2a 및 도 2b는 DNS 메시지의 구조를 도시한 도면.
도 3은 DNS 워터-토처 공격을 설명하기 위한 도면.
도 4a 및 도 4b는 DNS NX 도메인 공격을 설명하기 위한 도면.
도 5는 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치의 블록도를 도시한 도면.
도 6은 도 5에 도시된 수집부의 상세 블록도를 도시한 도면.
도 7은 도 5에 도시된 분석부의 상세 블록도를 도시한 도면.
도 8은 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법의 흐름도를 도시한 도면.
도 9는 도 8에 도시된 DDoS 의심 도메인 정보 수집 단계의 상세 흐름도를 도시한 도면.
도 10은 도 8에 도시된 DDoS 도메인 판단 단계의 상세 흐름도를 도시한 도면.
도 2a 및 도 2b는 DNS 메시지의 구조를 도시한 도면.
도 3은 DNS 워터-토처 공격을 설명하기 위한 도면.
도 4a 및 도 4b는 DNS NX 도메인 공격을 설명하기 위한 도면.
도 5는 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치의 블록도를 도시한 도면.
도 6은 도 5에 도시된 수집부의 상세 블록도를 도시한 도면.
도 7은 도 5에 도시된 분석부의 상세 블록도를 도시한 도면.
도 8은 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법의 흐름도를 도시한 도면.
도 9는 도 8에 도시된 DDoS 의심 도메인 정보 수집 단계의 상세 흐름도를 도시한 도면.
도 10은 도 8에 도시된 DDoS 도메인 판단 단계의 상세 흐름도를 도시한 도면.
본 발명의 목적, 특정한 장점들 및 신규한 특징들은 첨부된 도면들과 연관되어지는 이하의 상세한 설명과 바람직한 실시예들로부터 더욱 명백해질 것이다.
이에 앞서 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이고 사전적인 의미로 해석되어서는 아니되며, 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있는 원칙에 입각하여 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.
본 명세서에서 각 도면의 구성요소들에 참조번호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다.
또한, "제1", "제2", "일면", "타면" 등의 용어는, 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 상기 용어들에 의해 제한되는 것은 아니다.
이하, 본 발명을 설명함에 있어, 본 발명의 요지를 불필요하게 흐릴 수 있는 관련된 공지 기술에 대한 상세한 설명은 생략한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시형태를 상세히 설명하기로 한다.
본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치 및 방법에서는, DNS 반사(Reflection), DNS 증폭(Amplification) 및 DNS 워터-토처(Water-torture) 등의 공격을 DNS 트래픽을 통해 자동으로 판단하고, 정상적인 트래픽 요청 폭주인지, 알려지지 않은 공격인지를 판단한다.
도 1은 DNS의 예시적인 기본 동작을 도시한 도면이다.
클라이언트(100)는 서버(110)의 해당 도메인(www.google.com)에 대응하는 IP 주소를 획득하기 위하여, 로컬 DNS 서버(102)에 DNS 요청을 하고, 로컬 DNS 서버(102)는 자신의 캐시에 클라이언트(100)가 요청한 도메인(www.goolgle.com)의 IP 주소가 없는 경우, 루트 DNS 서버(104), 일반 탑-레벨(.com) DNS 서버(106) 및 google.com DNS 서버(108)에 차례로 문의하여 해당하는 도메인의 IP 주소를 획득한다. 로컬 DNS 서버(102)는 리커시브(recursive) DNS 리졸버(resolver)라고도 한다.
한편, 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치 및 방법에서 인바운드(inbound) 트래픽은 DNS 서버(102, 104, 106, 108, 110)로 들어오는 트래픽을 의미하고, 아웃바운드(outbound) 트래픽은 DNS 서버버(102, 104, 106, 108, 110)에서 나가는 트래픽을 의미한다.
도 2a 및 도 2b는 도 1에 도시된 DNS에서 해당 주체들 간에 전달되는 DNS 메시지(200)의 구조를 도시한 도면이다. 도 2a에 도시된 바와 같이, DNS 메시지(200)는 질의 세션(Query section)에 질의 네임 스트링(Query Name Striong)(202)을 포함하고 있다.
도 2b에 도시된 바와 같이, 질의 네임 스트림(202)의 도메인 구조는 탑-레벨 도메인(204), 세컨드 레벨 도메인(206) 및 서브도메인(208)으로 구성되어 있다.
한편, DNS 증폭(Amplification) 공격은 공격을 확대하기 위해 공개된 DNS 서버들을 이용한 정교화된 DoS 공격으로서 DNS 반사(Reflection) 공격이라고도 한다. DNS 반사 공격이라고 하는 이유는 실제 자신이 공격을 수행하지 않고 리플렉터(Reflector)(DNS 서버)fmf 사용하여 공격하기 때문이다. 다수의 DNS 서버를 이용하는 경우 DNS 증폭(Amplification) DDoS 공격이라고도 한다. 소스 IP 주소를 조작하여 DNS 요청(DNS query)에 대한 응답(DNS response)이 조작된 IP 주소(Victiom)로 전송되도록 하는 공격 방법이다. 조작하여 공격이 가능한 이유는 기본적으로 DNS 패킷에는 인증 절차가 존재하지 않기 때문이다.
도 3a 및 도 3b는 DNS 워터-토처(DNS Water-Torture) 공격을 설명하기 위한 도면이다.
도 3a에 도시된 바와 같이, DNS 워터-토처 공격은 서브도메인(300) 또는 탑-레벨 도메인(302) 등이 랜덤하게 변화하면서, DNS 서비스 부하를 발생시키는 공격이다. DNS 서버는 없는 도메인에 대한 비존재(NX) 도메인 응답으로 인하여 부하가 발생한다. 이러한 공격에 대해서는, IPS의 DNS A/AAAA 타입 질의 플러딩(Flooding)의 레이트리미트(Ratelimit) 정책으로 일정 임계치 이하로 서비스 트래픽을 줄여 공격에 대응하는 방법이 있다.
도메인 생성 알고리즘(DGA: Domain Generation Algorithm)은 악성 코드가 C&C(Command & Control) 서버와 고정된 IP가 아니라 알고리즘에 의해 동적으로 생성되는 도메인 주소를 사용할 수 있도록 하는 DDoS 공격 차단을 우회하는 방법이다. 멀웨어(Malware)에 존재하지 않는 도메인을 생성하여 C&C 서버의 도메인으로 활용하는 기술이다. 멀웨어는 해당 도메인에 지속 질의후 C&C 서버 도메인이 활성화되면, 멀웨어 동작이 활성화된다. C&C와 멀웨어는 같은 DGA 알고리즘을 통해, 같은 도메인을 활성화한다.
도 4a 및 도 4b는 DNS NX 도메인 공격을 설명하기 위한 도면이다. DNS NX 도메인 공격은 비-존재 인터넷 도메인 명칭 공격으로 불리울수도 있다. DNS NX 도메인 공격은 도메인 정보가 존재하지 않는 도메인에 정보를 요청하여 서버에 부하를 주는 공격을 의미한다.
도 4a에 도시된 바와 같이 봇넷(400)이 서브도메인이 변조된 질의를 하는 경우, 리커시브 DNS(402)는 도 4b에 도시된 바와 같이 사용자에게 알 수 없는 도메인이라는 응답을 하게 되어, DNS 서버에 부하를 주게 된다.
페이크(Fake) DNS 또는 팬톰(Phantom) 도메인 공격은, 공격자가 요청이 매우 느리게 응답하거나, 전혀 응답하지 않는 팬톰 DNS를 설정하고, 공격자가 DNS 리졸버에 해당 도메인에 대한 많은 도메인 질의를 요청하게 되어, DNS 리졸버는 해당 질의의 응답을 기다리게 되어 성능 저하가 발생하게 된다.
도 5는 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치(500)의 블록도를 도시한 도면이다.
도 5에 도시된 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치(500)는, 인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집하는 수집부(502), 상기 수집부(500)로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부(502)로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하는 분석부(504); 및 상기 분석부(504)에서 발생한 업데이트 정보를 상기 수집부(502)에 제공하고, 상기 분석부(504)에서 DDoS 도메인이 검출되는 경우, 검출된 DDoS 도메인 정보를 보안 장비(508)에 제공하는 관리부(506)를 포함한다.
도 6을 참조하면, 수집부(600)는, 상기 인바운드 트래픽 중 DNS 요청 패킷에서, 알려진 화이트 도메인, 알려진 악성 도메인인 블랙리스트 도메인, 알려진 악성 DGA(Domain Generation Algorithm) 도메인 및 PTR(pointer) 화이트 도메인을 필터링하여 제외시키기 위한 제1 필터부(605), 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서, 알려진 DNS 서버 질의를 의미하는 화이트 DNS IP 및 악성 DNS 서버 질의를 의미하는 블랙리스트 페이크(fake) DNS IP를 필터링하여 제외시키기 위한 제2 필터부(615), 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서, NX 도메인(Non-eXistent Domain)을 필터링하여 제외시키기 위한 제3 필터부인 NX 도메인 필터(620), 및 상기 제1 필터부(605), 상기 제2 필터부(615) 및 상기 제3 필터부(620)의 출력에서 도메인 정보를 추출하는 도메인 정보 추출부(614)를 포함한다.
또한, 상기 수집부(600)는, NX 도메인 응답 유형이 DNS 워터-토처(water-torture) 공격인지를 판단하는 DNS 워터-토처 DDoS 판단부(622)를 더 포함한다.
참조번호 602는 분석부를 나타내고, 참조번호 604는 관리부를 나타낸다.
도 7을 참조하면, 분석부(700)는, 상기 수집부(702)로부터 수신되는 도메인 정보가, 상기 인바운드 트래픽 중 DNS 요청 패킷, 상기 아웃바운드 트래픽 중 DNS 요청 패킷 또는 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인지를 판단하고, 수신되는 도메인을 탑-레벨 도메인, 세컨드-레벨 도메인 또는 서브 도메인으로 분류하는 DNS 파서(706), 상기 DNS 파서(706)로부터 수신되는 도메인 정보가 상기 인바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보인 경우, DNS 질의 유형을 판별하는 DNS 질의 유형 판별부(708), 상기 DNS 질의 유형이 A 또는 AAAA인 경우, 상기 도메인이 화이트 탑-레벨 도메인인지 여부를 판단하고, 탑-레벨 도메인이 랜덤성을 가지는지 판단하며, 탑-레벨 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 탑-레벨 화이트 판단부(710), 상기 도메인이 화이트 탑-레벨 도메인인 것으로 상기 탑-레벨 화이트 판단부가 판단한 경우, 세컨드-레벨 도메인을 클러스터링하는 세컨드-레벨 도메인 클러스터링부(712), 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인지를 판단하는 화이트 세컨드-레벨 도메인 판단부(714), 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인 것으로 상기 화이트 세컨드-레벨 도메인 판단부가 판단한 경우, 서브 도메인이 랜덤성을 가지는지를 판단하고, 서브 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 서브 도메인 랜덤성 판단부(716), 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인이 아닌 것으로 상기 화이트 세컨드-레벨 도메인 판단부가 판단한 경우 그리고 상기 세컨드-레벨 도메인들의 문자열이 랜덤 분포를 가질 경우, 상기 세컨드-레벨 도메인들을 DGA 도메인으로 판단하는 DGA 도메인 판단부(720), 상기 서브 도메인이 랜덤성을 가지지 않는 것으로 판단된 경우, 상기 서브 도메인을 알려진 서브 도메인으로 결정하는 서브 도메인 판단부(722), 상기 서브 도메인이 화이트 세컨드-레벨 도메인이고, 알려진 서브 도메인이며, 화이트 탑-레벨 도메인인 경우, 송신지 IP의 질의양을 확인하고, 송신지 IP의 질의양이 임계치 이상인 경우 DDoS 도메인으로 판단하며, 요청 송신지 IP의 질의양이 임계치 미만인 경우 정상 도메인으로 판단하는 제1 질의양 판단부(724), 및 상기 DNS 질의 유형이 PTR(pointer) 도메인 질의인 경우, 요청 송신지 IP가 동일한 IP를 가지는 지를 검출하고, 질의량이 임계치 이상인 경우 DNS 증폭(Amplication) 공격에 의해 발생한 DDoS 도메인으로 판단하는 제2 질의양 판단부인 PTR 질의양 판단부(718)를 포함한다.
또한, 상기 분석부(700)는, 상기 DNS 파서(706)로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보이고 송신지 IP 및 송신지 포트가 화이트 DNS가 아닌 경우, 상기 도메인 정보가 페이크 DNS IP인지를 판단하고, 상기 도메인 정보가 페이크 DNS IP인 경우, 악성 도메인 판단 경보를 발생하는, 페이크 DNS IP 판단부(728), 상기 도메인 정보가 페이크 DNS IP가 아닌 경우, 알려진 화이트 IP 필터 데이터베이스를 업데이트하는 화이트 IP 필터 데이터베이스 업데이트부(730), 및 상기 도메인 정보가 페이크 DNS IP인 경우, 블랙리스트 IP 필터 데이터베이스를 업데이트하는 블랙리스트 IP 필터 데이터베이스 업데이트부(732)를 더 포함한다.
상기 분석부(700)는, 상기 DNS 파서(706)로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인 경우, 상기 수신되는 도메인이 NX 도메인인지를 판단는 NX 도메인 판단부(734) 및 상기 NX 도메인의 송신지 IP의 질의양이 임계치 이상인 경우 DNS 워터-토처 공격에 의해 발생한 DDoS 도메인으로 판단하는 제3 질의양 판단부(735)를 더 포함한다.
이하, 상기와 같이 구성된 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치의 동작을 도 8 내지 도 10에 도시된 본 발명의 일 실시예에 의한 DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법을 참조하여 자세히 설명하기로 한다.
도 8을 참조하면, 단계 S800에서, 수집부(502)는, 인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집한다.
단계 S802에서, 분석부(504)는, 상기 수집부(502)로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부(502)로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단한다.
단계 S804에서, 관리부(506)는, 상기 분석부(504)에서 발생한 업데이트 정보를 상기 수집부(502)에 제공하고, 상기 분석부(504)에서 DDoS 도메인이 검출되는 경우, 검출된 DDoS 도메인 정보를 보안 장비(508)에 제공한다.
도 6 및 도 9를 참조하여, 수집부(600)의 동작을 상세히 설명하기로 한다.
제1 필터부(605)는, 단계 S900, S902, S904, S906, S908 및 S910을 통해, 인바운드 트래픽 중 DNS 요청 패킷에서, 알려진 화이트 도메인, 알려진 악성 도메인인 블랙리스트 도메인, 알려진 악성 DGA(Domain Generation Algorithm) 도메인 및 PTR(pointer) 화이트 도메인을 필터링하여 제외시킨다.
단계 S900에서, 트래픽이 인바운드 트래픽인지가 판단된다. 단계 S902에서, 인바운드 트래픽에 포함된 도메인이 DNS 요청 도메인인지가 판단된다. DNS 요청 도메인인 경우, 단계 S904에서, 화이트 도메인 필터(606)는, 알려진 화이트 도메인을 필터링 처리하여 제거한다. 이 단계는 알려진 화이트 도메인을 예외 처리하는 단계로서, 악성 및 알려지지 않은 도메인을 추출한다. 알려진 도메인이나 소스 IP가 랜덤(Random)성을 가진 경우, 반사(Reflect) DDoS 또는 서비스 망 장애로 의심된다.
단계 S906에서, 블랙리스트 도메인 필터(608)는, 알려진 악성 도메인인 블랙리스트 도메인을 필터링하여 제거한다. 이 단계는 알려진 악성 도메인을 예외 처리하는 단계로서, 알려지지 않은 도메인을 추출한다.
단계 S908에서, DGA 도메인 필터(610)는, 알려진 악성 DGA 도메인을 필터링 처리하여 제거한다.
단계 S910에서, PTR 화이트 DNS 필터(612)는, PTR DNS 도메인 정보의 유효성을 체크하고, PTR 화이트 DNS 도메인을 필터링하여 제거한다.
제2 필터부(615)는, 단계 S912, S914 및 S916을 통해, 아웃바운드 트래픽 중 DNS 요청 패킷에서, 알려진 DNS 서버 질의를 의미하는 화이트 DNS IP 및 악성 DNS 서버 질의를 의미하는 블랙리스트 페이크(fake) DNS IP를 필터링하여 제외시킨다.
단계 S912에서, 트래픽이 아웃바운드 트래픽이고 DNS 요청인지가 판단된다.
단계 S914에서, 화이트 도메인 IP 필터(616)는, 아웃바운드 트래픽 중 DNS 요청(Request) 패킷을 처리하는데, 알려진 DNS 서버 질의의 화이트 도메인 IP를 필터링하여 제거한다.
단계 S916에서, 블랙리스트 도메인 IP 필터(618)는, 아웃바운드 트래픽 중 DNS 요청(Request) 패킷을 처리하는데, 악성 DNS 서버 질의의 DNS 서버 IP가 블랙리스트 페이트(Fake) DNS IP를 필터링하여 제거한다.
제3 필터부인 NX 도메인 필터(620)는, 단계 S918을 통해, 아웃바운드 트래픽 중 DNS 응답 패킷에서, NX 도메인(Non-eXistent Domain)을 필터링하여 제외시킨다. NX 도메인 응답인 경우, 증가량으로 판단한다.
단계 S920에서, DNS 워터-토처 DDoS 판단부(622)는, NX 도메인 응답 유형이 DNS 워터-토처(water-torture) 공격인지를 판단하고, 단계 S922에서 DDos 판단 결과를 관리부(506)에 전달한다.
단계 S922에서, 도메인 정보 추출부(614)는, 제1 필터부(605), 제2 필터부(615) 및 제3 필터부(620)의 출력에서 도메인 정보를 추출한다. 즉, 도메인 정보 추출부(614)는, 인바운드 질의 패킷, 아웃바운드 질의 패킷 및 아웃바운드 응답 패킷의 도메인 정보를 추출한다.
상기 도메인 정보 추출부(614)는, 송신지 IP, 송신지 포트, 목적지 IP, 목적지 포트 및 프로토콜을 포함하는 5-튜플(Tuple), DNS 유형, 질의 DNS 메시지, 및 d응답 질의 DNS 메시지를 추출한다.
도 7 및 도 10을 참조하여, 분석부(700)의 동작을 상세히 설명하기로 한다.
단계 S900에서, DNS 파서(706)는, 수집부(500)로부터 수신되는 도메인 정보가, 인바운드 트래픽 중 DNS 요청 패킷, 아웃바운드 트래픽 중 DNS 요청 패킷 또는 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인지를 판단하고, 수집부(500)로부터 수신되는 도메인 정보에서 송신지 IP, 송신지 포트, 목적지 IP, 목적지 포트 및 프로토콜을 포함하는 5-튜플(Tuple), 도메인 및 도메인 유형을 추출하며, 추출된 도메인을 탑-레벨 도메인, 세컨드-레벨 도메인 또는 서브 도메인으로 분류한다.
단계 S1002에서, DNS 질의 유형 판단부(708)는, DNS 파싱 단계로부터 수신되는 도메인 정보가 인바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보인 경우, DNS 질의 유형을 판별한다.
단계 S1004에서, 탑-레벨 화이트 판단부(710)는, DNS 질의 유형이 A 또는 AAAA인 경우, 상기 도메인이 화이트 탑-레벨 도메인인지 여부를 판단하고, 탑-레벨 도메인이 랜덤성을 가지는지 판단하며, 탑-레벨 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단한다.
단계 S1006에서, 세컨드 레벨 도메인 클러스터링부(712)는, 상기 도메인이 화이트 탑-레벨 도메인인 것으로 상기 탑-레벨 화이트 판단부가 판단한 경우, 인바운드 질의 DNS를 분석하고, 질의의 세컨드-레벨 도메인을 클러스터링한다.
단계 S1008에서, 화이트 세컨드 레벨 도메인 판단부(714)는, 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인지를 판단한다.
단계 S1010에서, 서브 도메인 랜덤성 판단부(716)는, 상기 화이트 세컨드-레벨 도메인 판단 단계에서 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인 것으로 판단된 경우, 서브 도메인이 랜덤성을 가지는지를 판단하고, 서브 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단한다.
단계 S1018에서, 상기 화이트 세컨드-레벨 도메인 판단 단계(S1008)에서 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인이 아닌 것으로 판단한 경우 그리고 상기 세컨드-레벨 도메인들의 문자열이 랜덤 분포를 가질 경우, 상기 세컨드-레벨 도메인들을 DGA 도메인으로 판단한다.
단계 S1012에서, 알려진 서브 도메인 결정부(722)는, 상기 서브 도메인이 랜덤성을 가지지 않는 것으로 판단된 경우, 상기 서브 도메인을 알려진 서브 도메인으로 결정한다.
단계 S1014에서, 제1 질의양 판단부(724)는, 상기 서브 도메인이 화이트 세컨드-레벨 도메인이고, 알려진 서브 도메인이며, 화이트 탑-레벨 도메인 경우, 송신지 IP의 질의양을 확인하고, 송신지 IP의 질의양이 임계치 이상인 경우 DDoS 도메인으로 판단하며, 단계 S1016에서 요청 송신지 IP의 질의양이 임계치 미만인 경우 정상 질의의 정상 도메인으로 판단한다.
단계 S1020에서, DNS 질의 유형이 PTR(pointer) 도메인 질의인지가 판단되고, 상기 DNS 질의 유형이 PTR(pointer) 도메인 질의인 경우, 단계 S1022에서, 제2 질의양 판단부(718)는, 요청 송신지 IP가 동일한 IP를 가지는 지를 검출하고, 질의량이 임계치 이상인 경우 DNS 증폭(Amplication) 공격에 의해 발생한 DDoS 도메인으로 판단한다.
단계 S1024에서 상기 DNS 파싱 단계로부터 수신되는 도메인 정보가 아웃바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보로 판단되는 경우, 단계 S1026에서, 페이크(Fake) DNS IP 판단부(728)는, 송신지 IP 및 송신지 포트가 화이트 DNS가 아닌 경우, 상기 도메인 정보가 페이크 DNS(또는 팬텀(phantom) DNS) IP인지를 판단하고, 단계 S1030에서 상기 도메인 정보가 페이크 DNS IP인 경우, 악성 도메인 판단 경보를 발생한다.
상기 도메인 정보가 페이크 DNS IP가 아닌 경우, 단계 S1028에서, 화이트 IP 필터 데이터베이스 업데이트부(730)는, 알려진 화이트 IP 필터 데이터베이스를 업데이트한다.
상기 도메인 정보가 페이크 DNS IP인 경우, 단계 S1030에서, 블랙 IP 필터 데이터베이스 업데이트부(732)는, 블랙리스트 IP 필터 데이터베이스를 업데이트하고, 악성 판단 경보를 발생하여 관리부(504)에 알린다.
상기 DNS 파서(706)로부터 수신되는 도메인 정보가 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인 경우, 단계 S1032에서, NX 도메인 판단부(734)는, NX 도메인 응답인지를 판단하고, NX 도메인 응답인 경우, 단계 S1034에서 제3 질의양 판단부(735)는, 상기 NX 도메인의 송신지 IP의 질의양이 임계치 이상인 경우 DNS 워터-토처 공격에 의해 발생한 DDoS 도메인으로 판단한다.
한편, 단계 S1016, S1028, S1030, S1032 및 S1036에서 분석된 결과들은 관리부(504)의 필터 정보로서 활용된다.
이상 본 발명을 구체적인 실시예를 통하여 상세하게 설명하였으나, 이는 본 발명을 구체적으로 설명하기 위한 것으로, 본 발명은 이에 한정되지 않으며, 본 발명의 기술적 사상 내에서 당 분야의 통상의 지식을 가진 자에 의해 그 변형이나 개량이 가능함은 명백하다고 할 것이다.
본 발명의 단순한 변형 내지 변경은 모두 본 발명의 영역에 속하는 것으로, 본 발명의 구체적인 보호 범위는 첨부된 청구범위에 의하여 명확해질 것이다.
100 : 클라이언트 102 : 로컬 DNS 서버
104 : 루트 DNS 서버 106 : 일반 탑-레벨(.com) DNS 서버
108 : google.com DNS 서버 110 : 서버
200 : DNS 메시지 202 : 질의 네임 스트링
204 : 탑-레벨 도메인 206 : 세컨드 레벨 도메인
208 : 서브도메인
500 : DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치
502, 600, 702 : 수집부 504, 602, 700 : 분석부
506, 604, 704 : 관리부 605 : 제1 필터부
606 : 화이트 도메인 필터 608 : 블랙리스트 도메인 필터
610 : DGA 도메인 필터 612 :PTR 화이트 DNS 필터
614 : 도메인 정보 추출부 615 : 제2 필터부
616 : 화이트 도메인 IP 필터 618 : 블랙리스트 도메인 IP 필터
620 : NX 도메인 필터 622 : DNS 워터토처 DDoS 판단부
706 : DNS 파서 708 : DNS 질의 유형 판단부
710 : 탑-레벨 화이트 판단부
712 : 세컨드-레벨 도메인 클러스터링부
714 : 화이트 세컨드-레벨 도메인 판단부
716 : 서브 도메인 랜덤성 판단부 718 : 제2(PTR) 질의양 판단부
720 : DGA 도메인 판단부 722 : 알려진 서브 도메인 결정부
724 : 제1 질의양 판단부 726 : 정상 도메인
728 : 페이크 DNS IP 판단부
730 : 화이트 IP 필터 데이터베이스 업데이트부
732 : 블랙리스트 IP 필터 데이터베이스 업데이트부
734 : NX 도메인 판단부 735 : 제3 질의양 판단부
736 : DDoS 판단부
104 : 루트 DNS 서버 106 : 일반 탑-레벨(.com) DNS 서버
108 : google.com DNS 서버 110 : 서버
200 : DNS 메시지 202 : 질의 네임 스트링
204 : 탑-레벨 도메인 206 : 세컨드 레벨 도메인
208 : 서브도메인
500 : DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치
502, 600, 702 : 수집부 504, 602, 700 : 분석부
506, 604, 704 : 관리부 605 : 제1 필터부
606 : 화이트 도메인 필터 608 : 블랙리스트 도메인 필터
610 : DGA 도메인 필터 612 :PTR 화이트 DNS 필터
614 : 도메인 정보 추출부 615 : 제2 필터부
616 : 화이트 도메인 IP 필터 618 : 블랙리스트 도메인 IP 필터
620 : NX 도메인 필터 622 : DNS 워터토처 DDoS 판단부
706 : DNS 파서 708 : DNS 질의 유형 판단부
710 : 탑-레벨 화이트 판단부
712 : 세컨드-레벨 도메인 클러스터링부
714 : 화이트 세컨드-레벨 도메인 판단부
716 : 서브 도메인 랜덤성 판단부 718 : 제2(PTR) 질의양 판단부
720 : DGA 도메인 판단부 722 : 알려진 서브 도메인 결정부
724 : 제1 질의양 판단부 726 : 정상 도메인
728 : 페이크 DNS IP 판단부
730 : 화이트 IP 필터 데이터베이스 업데이트부
732 : 블랙리스트 IP 필터 데이터베이스 업데이트부
734 : NX 도메인 판단부 735 : 제3 질의양 판단부
736 : DDoS 판단부
Claims (16)
- 인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집하는 수집부; 및
상기 수집부로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하는 분석부를 포함하고,
상기 분석부는,
상기 수집부로부터 수신되는 도메인 정보가, 상기 인바운드 트래픽 중 DNS 요청 패킷, 상기 아웃바운드 트래픽 중 DNS 요청 패킷 또는 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인지를 판단하고, 수신되는 도메인을 탑-레벨 도메인, 세컨드-레벨 도메인 또는 서브 도메인으로 분류하는 DNS 파서;
상기 DNS 파서로부터 수신되는 도메인 정보가 상기 인바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보인 경우,
DNS 질의 유형을 판별하는 DNS 질의 유형 판별부;
상기 DNS 질의 유형이 A 또는 AAAA인 경우, 상기 도메인이 화이트 탑-레벨 도메인인지 여부를 판단하고, 탑-레벨 도메인이 랜덤성을 가지는지 판단하며, 탑-레벨 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 탑-레벨 화이트 판단부;
상기 도메인이 화이트 탑-레벨 도메인인 것으로 상기 탑-레벨 화이트 판단부가 판단한 경우, 세컨드-레벨 도메인을 클러스터링하는 세컨드-레벨 도메인 클러스터링부;
상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인지를 판단하는 화이트 세컨드-레벨 도메인 판단부; 및
상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인 것으로 상기 화이트 세컨드-레벨 도메인 판단부가 판단한 경우, 서브 도메인이 랜덤성을 가지는지를 판단하고, 서브 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 서브 도메인 랜덤성 판단부를 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 1에 있어서,
상기 수집부는,
상기 인바운드 트래픽 중 DNS 요청 패킷에서, 알려진 화이트 도메인, 알려진 악성 도메인인 블랙리스트 도메인, 알려진 악성 DGA(Domain Generation Algorithm) 도메인 및 PTR(pointer) 화이트 도메인을 필터링하여 제외시키기 위한 제1 필터부;
상기 아웃바운드 트래픽 중 DNS 요청 패킷에서, 알려진 DNS 서버 질의를 의미하는 화이트 DNS IP 및 악성 DNS 서버 질의를 의미하는 블랙리스트 페이크(fake) DNS IP를 필터링하여 제외시키기 위한 제2 필터부;
상기 아웃바운드 트래픽 중 DNS 응답 패킷에서, NX 도메인(Non-eXistent Domain)을 필터링하여 제외시키기 위한 제3 필터부; 및
상기 제1 필터부, 상기 제2 필터부 및 상기 제3 필터부의 출력에서 도메인 정보를 추출하는 도메인 정보 추출부를 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 2에 있어서,
상기 수집부는, NX 도메인 응답 유형이 DNS 워터-토처(water-torture) 공격인지를 판단하는 DNS 워터-토처 DDoS 판단부를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 2에 있어서,
상기 도메인 정보 추출부는, 송신지 IP, 송신지 포트, 목적지 IP, 목적지 포트 및 프로토콜을 포함하는 5-튜플(Tuple), DNS 유형 및 DNS 메시지를 추출하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 1에 있어서,
상기 분석부는,
상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인이 아닌 것으로 상기 화이트 세컨드-레벨 도메인 판단부가 판단한 경우 그리고 상기 세컨드-레벨 도메인들의 문자열이 랜덤 분포를 가질 경우, 상기 세컨드-레벨 도메인들을 DGA 도메인으로 판단하는 DGA 도메인 판단부;
상기 서브 도메인이 랜덤성을 가지지 않는 것으로 판단된 경우, 상기 서브 도메인을 알려진 서브 도메인으로 결정하는 알려진 서브 도메인 결정부;
상기 서브 도메인이 화이트 세컨드-레벨 도메인이고, 알려진 서브 도메인이며, 화이트 탑-레벨 도메인인 경우, 송신지 IP의 질의양을 확인하고, 송신지 IP의 질의양이 임계치 이상인 경우 DDoS 도메인으로 판단하며, 요청 송신지 IP의 질의양이 임계치 미만인 경우 정상 도메인으로 판단하는 제1 질의양 판단부; 및
상기 DNS 질의 유형이 PTR(pointer) 도메인 질의인 경우, 요청 송신지 IP가 동일한 IP를 가지는 지를 검출하고, 질의량이 임계치 이상인 경우 DNS 증폭(Amplication) 공격에 의해 발생한 DDoS 도메인으로 판단하는 제2 질의양 판단부를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 5에 있어서,
상기 분석부는,
상기 DNS 파서로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보이고 송신지 IP 및 송신지 포트가 화이트 DNS가 아닌 경우, 상기 도메인 정보가 페이크 DNS IP인지를 판단하고, 상기 도메인 정보가 페이크 DNS IP인 경우, 악성 도메인 판단 경보를 발생하는, 페이크 DNS IP 판단부;
상기 도메인 정보가 페이크 DNS IP가 아닌 경우, 알려진 화이트 IP 필터 데이터베이스를 업데이트하는 화이트 IP 필터 데이터베이스 업데이트부; 및
상기 도메인 정보가 페이크 DNS IP인 경우, 블랙리스트 IP 필터 데이터베이스를 업데이트하는 블랙리스트 IP 필터 데이터베이스 업데이트부를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 6에 있어서,
상기 분석부는,
상기 DNS 파서로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인 경우, 상기 수신되는 도메인이 NX 도메인인지를 판단하는 NX 도메인 판단부; 및
상기 NX 도메인의 송신지 IP의 질의양이 임계치 이상인 경우 DNS 워터-토처 공격에 의해 발생한 DDoS 도메인으로 판단하는 제3 질의양 판단부를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - 청구항 1에 있어서,
상기 분석부에서 발생한 업데이트 정보를 상기 수집부에 제공하고, 상기 분석부에서 DDoS 도메인이 검출되는 경우, 검출된 DDoS 도메인 정보를 보안 장비에 제공하는 관리부를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 장치. - (A) 수집부가, 인바운드 트래픽의 DNS 요청 패킷, 아웃바운드 트래픽의 DNS 요청 패킷 및 상기 아웃바운드 트래픽의 DNS 응답 패킷으로부터 DDoS(Distributed Denial of Service) 의심 도메인 정보를 수집하는 단계; 및
(B) 분석부가, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보중 상기 인바운드 트래픽의 DNS 요청 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하고, 상기 수집부로부터 수신되는 DDoS 의심 도메인 정보 중 상기 아웃바운드 트래픽의 DNS 응답 패킷과 관련된 도메인 정보를 분석하여 상기 수집된 DDoS 의심 도메인 정보가 DDoS 도메인인지 여부를 판단하는 단계를 포함하고,
상기 단계 (B)는,
(B-1) 상기 수집부로부터 수신되는 도메인 정보가, 상기 인바운드 트래픽 중 DNS 요청 패킷, 상기 아웃바운드 트래픽 중 DNS 요청 패킷 또는 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인지를 판단하고, 수신되는 도메인을 탑-레벨 도메인, 세컨드-레벨 도메인 또는 서브 도메인으로 분류하는 DNS 파싱 단계;
(B-2) 상기 DNS 파싱 단계로부터 수신되는 도메인 정보가 상기 인바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보인 경우, DNS 질의 유형을 판별하는 DNS 질의 유형 판별 단계;
(B-3) 상기 DNS 질의 유형이 A 또는 AAAA인 경우, 상기 도메인이 화이트 탑-레벨 도메인인지 여부를 판단하고, 탑-레벨 도메인이 랜덤성을 가지는지 판단하며, 탑-레벨 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 탑-레벨 화이트 판단 단계;
(B-4) 상기 도메인이 화이트 탑-레벨 도메인인 것으로 상기 탑-레벨 화이트 판단부가 판단한 경우, 세컨드-레벨 도메인을 클러스터링하는 세컨드-레벨 도메인 클러스터링 단계;
(B-5) 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인지를 판단하는 화이트 세컨드-레벨 도메인 판단 단계; 및
(B-6) 상기 화이트 세컨드-레벨 도메인 판단 단계에서 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인인 것으로 판단된 경우, 서브 도메인이 랜덤성을 가지는지를 판단하고, 서브 도메인이 랜덤성을 갖는 경우 DNS 워터-토처 공격으로 판단하는, 서브 도메인 랜덤성 판단 단계를 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 9에 있어서,
상기 단계 (A)는,
(A-1) 상기 인바운드 트래픽 중 DNS 요청 패킷에서, 알려진 화이트 도메인, 알려진 악성 도메인인 블랙리스트 도메인, 알려진 악성 DGA(Domain Generation Algorithm) 도메인 및 PTR(pointer) 화이트 도메인을 필터링하여 제외시키는 단계;
(A-2) 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서, 알려진 DNS 서버 질의를 의미하는 화이트 DNS IP 및 악성 DNS 서버 질의를 의미하는 블랙리스트 페이크(fake) DNS IP를 필터링하여 제외시키는 단계;
(A-3) 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서, NX 도메인(Non-eXistent Domain)을 필터링하여 제외시키기 단계; 및
(A-4) 단계 (A-1), 단계 (A-2) 및 단계 (A-3)의 출력에서 도메인 정보를 추출하는 단계를 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 10에 있어서,
상기 단계 (A-3) 이후에,
상기 아웃바운드 트래픽 중 DNS 응답 패킷에 기반하여 NX 도메인 응답 유형이 DNS 워터-토처(water-torture) 공격인지를 판단하는 단계를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 10에 있어서,
상기 단계 (A-4)는, 송신지 IP, 송신지 포트, 목적지 IP, 목적지 포트 및 프로토콜을 포함하는 5-튜플(Tuple), DNS 유형 및 DNS 메시지를 추출하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 9에 있어서,
상기 단계 (B)는,
(B-7) 상기 화이트 세컨드-레벨 도메인 판단 단계에서 상기 클러스터링된 세컨드-레벨 도메인들이 화이트 세컨드-레벨 도메인이 아닌 것으로 판단된 경우 그리고 상기 세컨드-레벨 도메인들의 문자열이 랜덤 분포를 가질 경우, 상기 세컨드-레벨 도메인들을 DGA 도메인으로 판단하는 DGA 도메인 판단 단계;
(B-8) 상기 서브 도메인이 랜덤성을 가지지 않는 것으로 판단된 경우, 상기 서브 도메인을 알려진 서브 도메인으로 결정하는 단계;
(B-9) 상기 서브 도메인이 화이트 세컨드-레벨 도메인이고, 알려진 서브 도메인이며, 화이트 탑-레벨 도메인인 경우, 송신지 IP의 질의양을 확인하고, 송신지 IP의 질의양이 임계치 이상인 경우 DDoS 도메인으로 판단하며, 요청 송신지 IP의 질의양이 임계치 미만인 경우 정상 도메인으로 판단하는 제1 질의양 판단 단계; 및
(B-10) 상기 DNS 질의 유형이 PTR(pointer) 도메인 질의인 경우, 요청 송신지 IP가 동일한 IP를 가지는 지를 검출하고, 질의량이 임계치 이상인 경우 DNS 증폭(Amplication) 공격에 의해 발생한 DDoS 도메인으로 판단하는 제2 질의양 판단 단계를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 13에 있어서,
상기 단계 (B)는,
(B-11) 상기 DNS 파싱 단계로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 요청 패킷에서 추출된 정보이고 송신지 IP 및 송신지 포트가 화이트 DNS가 아닌 경우, 상기 도메인 정보가 페이크 DNS IP인지를 검출하고, 상기 도메인 정보가 페이크 DNS IP인 경우, 악성 도메인 판단 경보를 발생하는, 페이크 DNS IP 검출 단계;
(B-12) 상기 도메인 정보가 페이크 DNS IP가 아닌 경우, 알려진 화이트 IP 필터 데이터베이스를 업데이트하는 화이트 IP 필터 데이터베이스 업데이트 단계; 및
상기 도메인 정보가 페이크 DNS IP인 경우, 블랙리스트 IP 필터 데이터베이스를 업데이트하는 블랙리스트 IP 필터 데이터베이스 업데이트 단계를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 14에 있어서,
상기 단계 (B)는,
(B-13) 상기 DNS 파싱 단계로부터 수신되는 도메인 정보가 상기 아웃바운드 트래픽 중 DNS 응답 패킷에서 추출된 정보인 경우, 상기 수신되는 도메인이 NX 도메인인지를 판단하는 NX 도메인 판단 단계; 및
(B-14) 상기 NX 도메인의 송신지 IP의 질의양이 임계치 이상인 경우 DNS 워터-토처 공격에 의해 발생한 DDoS 도메인으로 판단하는 제3 질의양 판단 단계를 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법. - 청구항 9에 있어서,
상기 단계 (B) 이후에,
상기 분석부에서 발생한 업데이트 정보를 상기 수집부에 제공하고, 상기 분석부에서 DDoS 도메인이 검출되는 경우, 검출된 DDoS 도메인 정보를 보안 장비에 제공하는 단계를 더 포함하는, DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210183344A KR102638308B1 (ko) | 2021-12-21 | 2021-12-21 | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210183344A KR102638308B1 (ko) | 2021-12-21 | 2021-12-21 | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230094303A KR20230094303A (ko) | 2023-06-28 |
| KR102638308B1 true KR102638308B1 (ko) | 2024-02-20 |
Family
ID=86994668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210183344A KR102638308B1 (ko) | 2021-12-21 | 2021-12-21 | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102638308B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101535503B1 (ko) * | 2014-02-25 | 2015-07-09 | 한국인터넷진흥원 | 상용 이메일 기반 악성코드 감염단말 탐지 방법 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101188305B1 (ko) * | 2010-12-24 | 2012-10-09 | 한국인터넷진흥원 | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 |
| US9819696B2 (en) * | 2015-11-04 | 2017-11-14 | Bitdefender IPR Management Ltd. | Systems and methods for detecting domain generation algorithm (DGA) malware |
| KR101980901B1 (ko) | 2016-11-30 | 2019-05-24 | 숭실대학교산학협력단 | SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법 |
| KR102550043B1 (ko) * | 2018-04-09 | 2023-06-29 | 삼성에스디에스 주식회사 | 트래픽 분석 장치 및 그 방법 |
-
2021
- 2021-12-21 KR KR1020210183344A patent/KR102638308B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101535503B1 (ko) * | 2014-02-25 | 2015-07-09 | 한국인터넷진흥원 | 상용 이메일 기반 악성코드 감염단말 탐지 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230094303A (ko) | 2023-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| Wang et al. | Your state is not mine: A closer look at evading stateful internet censorship | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| US8869275B2 (en) | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks | |
| US8006306B2 (en) | Exploit-based worm propagation mitigation | |
| Weaver et al. | Detecting Forged TCP Reset Packets. | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| WO2014129587A1 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| Kambourakis et al. | A fair solution to dns amplification attacks | |
| Singh et al. | Detecting bot-infected machines using DNS fingerprinting | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| Indre et al. | Detection and prevention system against cyber attacks and botnet malware for information systems and Internet of Things | |
| JP2014519751A (ja) | ドメイン名をフィルタリングするためのdns通信の使用 | |
| JPWO2008084729A1 (ja) | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| US20150033335A1 (en) | SYSTEMS AND METHODS TO DETECT AND RESPOND TO DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS | |
| JP2002026907A (ja) | 通信ネットワークセキュリティ方法および通信ネットワークのネットワークセキュリティを分析するための方法および通信システムおよびセキュリティホストコンピュータおよび機械で読み出し可能な媒体。 | |
| KR101188305B1 (ko) | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 | |
| US8578479B2 (en) | Worm propagation mitigation | |
| Sharma et al. | BotMAD: Botnet malicious activity detector based on DNS traffic analysis | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| KR102638308B1 (ko) | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 | |
| EP2112800B1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| Han et al. | A collaborative botnets suppression system based on overlay network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |