KR102661261B1 - 봇넷 탐지 시스템 및 방법 - Google Patents

봇넷 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR102661261B1
KR102661261B1 KR1020230012721A KR20230012721A KR102661261B1 KR 102661261 B1 KR102661261 B1 KR 102661261B1 KR 1020230012721 A KR1020230012721 A KR 1020230012721A KR 20230012721 A KR20230012721 A KR 20230012721A KR 102661261 B1 KR102661261 B1 KR 102661261B1
Authority
KR
South Korea
Prior art keywords
host
information
host information
botnet
suspicious
Prior art date
Application number
KR1020230012721A
Other languages
English (en)
Inventor
박건량
송중석
최상수
김규일
이윤수
이준
권태웅
문형우
김태용
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Application granted granted Critical
Publication of KR102661261B1 publication Critical patent/KR102661261B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/75Information technology; Communication
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

실시예들에 따른 봇넷 탐지 시스템은, 미사용 IP에 대해 접근하는 호스트 정보를 수집하는 수집부와, 수집부에서 수집된 호스트 정보를 의심 호스트 정보로 분류하는 분류부와, 분류부에서 분류된 의심 호스트 정보에 대하여 위협 여부를 판단하는 판단부 및 판단부에서 위협으로 판단되지 않은 의심 호스트 정보에 대하여 IoT 기기 여부를 검증하는 검증부를 포함한다.

Description

봇넷 탐지 시스템 및 방법{A SYSTEM FOR DETECTING BOTNET AND A METHOD THEREOF}
이하의 개시는 악성코드에 감염된 IoT 봇(bot) 또는 봇넷(botnet)을 미리 탐지하여 사이버 보안을 개선할 수 있는 봇넷 탐지 시스템 및 방법에 관한 것이다.
봇넷(botnet)은 로봇(Robot)과 네트워크(Network)를 합성한 신조어로, 동일한 악성코드(Malware)에 감염되어 중앙 통제 장치의 지시를 받는 컴퓨팅 디바이스들로 구성된 네트워크를 의미한다. 봇(bot)은 특정 기능을 자동 수행하는 프로그램이 설치된 디바이스를 지칭하는 용도로 사용되며, 봇넷(botnet)은 봇(bot)들 간에 네트워크가 연결된 집합으로 이해할 수 있다.
봇넷은 DDoS(Distributed Denial of Service) Attack, SPAM 발송, Spyware 등의 사이버 위협 행위를 대규모로 수행하는데 활용될 뿐만 아니라, 봇넷 자체가 자가 증식하여 다른 기기 장치를 악성코드에 감염시킬 수 있다. 감염된 기기는 봇넷의 규모를 키우고 다른 봇들과 함께 사이버 위협 행위에 동원된다.
이와 같이 봇넷을 이용한 사이버 위협을 사전에 예방하기 위해서, 봇넷에 해당하는 디바이스에 대한 정보를 사전에 수집할 필요가 있다. 하지만, 봇넷에 여부를 수동 분석에 의하여 판단하는 것은 현실적으로 어려운 문제가 있다. 일 평균 수천만 건 발생하는 접근 정보에 대하여 사람이 하나하나 판단하는 것은 불가능하기 때문이다.
또한, 종래에 기계학습 기반의 사이버 공격 분류 방식은 별도의 데이터 셋 생성 과정이 필요하므로 분석 속도가 낮고, 대용량 보안 로그 분석에 적합하지 않다. 그리고, 지속적/주기적으로 기계학습 모델의 재학습시켜야 하는 문제가 있다.
이와 같은 어려움으로 봇넷에 대한 정보가 축적되기 어려우며, 봇넷을 이용한 사이버 공격에 대해 취약할 수밖에 없다. 따라서, 개선된 기술의 필요성이 있다.
이하에서 개시하는 실시예는 알려지지 않은 봇넷을 탐지하고 이를 이용하여 위협 정보를 구축하는 시스템 및 방법을 제공하는 것을 일 목적으로 한다.
이하에서 개시하는 실시예는 봇넷 탐지를 수동 분석에 의존하지 않고 자동화하여 위협 정보를 구축할 수 있는 시스템 및 방법을 제공하는 것을 일 목적으로 한다.
이하에서 개시하는 실시예는 신뢰도 높은 봇넷 탐지를 수행하는 시스템 및 방법을 제공하는 것을 일 목적으로 한다.
본 발명의 실시예들에서 해결하고자 하는 과제는 전술한 것에 한정되지 않으며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람이 도출할 수 있는 다른 과제들을 포함할 수 있다.
본 발명의 실시예에 따른 봇넷 탐지 시스템으로서, 미사용 IP에 대해 접근하는 호스트 정보를 수집하는 수집부, 수집부에서 수집된 호스트 정보를 의심 호스트 정보로 분류하는 분류부, 분류부에서 분류된 의심 호스트 정보에 대하여 위협 여부를 판단하는 판단부 및 판단부에서 위협으로 판단되지 않은 의심 호스트 정보에 대하여 IoT 기기 여부를 검증하는 검증부를 포함한다.
바람직하게는, 분류부는, 미사용 IP에 대한 접근 주기, 접근 빈도, 접근 범위 및 접근 순서를 기반으로 호스트 정보를 분류한다.
또한, 바람직하게는, 분류부는, 미사용 IP에 대한 접근 주기, 접근 빈도, 접근 범위 및 접근 순서가 정상 범위에 있지 않은 경우, 호스트 정보를 의심 호스트 정보로 분류한다.
봇넷 탐지 시스템은 악성 호스트에 대한 정보를 저장하는 데이터베이스를 더 포함하고, 판단부는 의심 호스트 정보를 데이터베이스에 조회하여 위협 여부를 판단한다.
바람직하게는, 데이터베이스는 분류부에서 분류된 정상 호스트 정보를 저장한다. 검증부는 FINGERPRINING 방식으로 의심 호스트 정보가 IoT 기기인지 여부를 검증하고, 데이터베이스는 검증부에서 IoT 기기로 검증된 의심 호스트 정보를 악성 호스트 정보로 저장한다.
실시예에 따른 봇넷 탐지 방법으로서, 미사용 IP에 대해 접근하는 호스트 정보를 수집하는 단계와, 수집된 호스트 정보를 의심 호스트 정보로 분류하는 단계, 분류된 의심 호스트 정보에 대하여 위협 여부를 판단하는 단계, 위협으로 판단되지 않은 의심 호스트 정보에 대하여 IoT 기기 여부를 검증하는 단계 및 검증하는 단계에서 IoT 기기로 검증된 의심 호스트 정보를 데이터베이스에 악성 호스트로 저장하는 단계를 포함한다.
바람직하게는, 분류하는 단계는, 미사용 IP에 대한 접근 주기, 접근 빈도, 접근 범위 및 접근 순서를 기반으로 호스트 정보를 분류한다. 저장하는 단계는, 분류하는 단계에서 분류된 정상 호스트 정보를 데이터베이스에 정상 호스트로 저장한다.
이하의 실시예에 따르면, 봇넷을 사전에 탐지하여 위협 정보를 구축하므로 시스템의 사이버 보안 환경을 개선할 수 있다.
또한, 봇넷을 자동으로 탐지하므로 수동 분석 대비 봇넷 탐지 효율성이 현저하게 증대된다.
또한, 봇넷을 탐지하는 체계적인 방법으로 봇넷 탐지의 신뢰도가 증대된다.
본 발명의 실시예들에 따른 효과는 전술한 것에 한정되지 않으며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람이 본 문서에 의해 개시된 내용에 의해 도출할 수 있는 다른 효과들을 포함할 수 있다.
도 1은 본 발명의 실시예에 따른 봇넷 탐지 시스템의 일 실시예를 나타낸 도면이다.
도 2는 실시예에 따른 봇넷 탐지 시스템의 분류 방법을 나타낸 도면이다.
도 3은 실시예에 따른 봇넷 탐지 시스템의 판단 방법을 나타낸 도면이다.
도 4는 실시예에 따른 봇넷 탐지 시스템의 장치 검증 방법을 나타낸 도면이다.
이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 실시예에 따른 봇넷 탐지 시스템(100)(이하, “시스템”이라고 함)의 일 실시예를 나타낸 도면이다.
도 1을 참조하면, 시스템(100)은 수집부(101), 분류부(110), 판단부(120) 및/또는 검증부(130)를 포함한다.
수집부(101)는 미사용 IP 주소들에 대한 접근 정보(또는, 네트워크 트래픽 정보)를 수집한다. 미사용 IP 주소들에 대해 네트워크 스캐닝을 수행하는 다양한 주체의 접근 정보를 기록, 저장하여, 분석/판단/검증에 사용될 수 있는 정보를 생성한다. 미사용 IP 주소들에 대한 접근 정보(또는, 네트워크 트래픽 정보)는 접근하는 호스트 정보를 포함할 수 있다. 시스템(100)은 미사용 IP 주소(미사용 IP 대역)들에 대해 접근하는 호스트 정보를 활용하는 점에서 다크넷을 기반으로 하는 봇넷 탐지 시스템이라고 할 수 있다.
분류부(110)는 수집부(101)에서 수집된 미사용 IP 주소들에 대해 접근하는 호스트 정보를 분류한다. 분류부(110)는 호스트의 접근 정보를 정상 호스트에 의한 접근 정보(또는, 정상 호스트 정보)와 의심 호스트에 의한 접근 정보(또는, 의심 호스트 정보)로 분류할 수 있다. 분류부(110)는 접근 정보를 분류 시 접근 정보의 주기성, 빈도성, 범위성 및 연속성을 고려할 수 있다.
주기성(Periodic, PR)이란, 어떤 호스트가 일정한 시간 간격으로 접근하는지 여부를 나타낸다. 특정한 시간 간격으로 접근하는 호스트에 대해서는 주기성이 있다고 판단될 수 있다.
빈도성(Frequency, FQ)이란, 임의의 단위 시간 당 어떤 호스트가 반복적으로 접근하는 횟수를 나타낸다. 단위 시간 당 접근 횟수에 따라 어떤 호스트의 접근 빈도가 정상 범위 이내인지 여부가 판단될 수 있다.
범위성(Range, RG)이란, 단위시간당 출발지 IP가 도착지로 접근한 IP 대역의 범위를 나타낸다. 구체적으로, 어떤 호스트가 네트워크 스캐닝 과정에서 미사용 IP 주소들에 접근한 경우, 전체 미사용 IP 대역 중 그 호스트가 접근한 미사용 IP 대역의 범위가 어느 정도인지를 나타낼 수 있다.
연속성(Seriality, SR)이란, 출발지 IP에서 연속적으로 미사용 IP 주소들에 접근하였는지 여부를 나타낸다. 예를 들어, 어떤 호스트가 미사용 IP 주소들을 순서에 따라 순차적으로 접근하고 있는 경우, 그 호스트는 연속성이 있다고 판된될 수 있다. 연속성의 판단은 순차적인 접근 방식 이외에 다양한 규칙적인 접근 방식들이 고려될 수 있다.
전술한 주기성, 빈도성, 범위성 및 연속성에 대하여, 각각의 특성은 통상적인 접근일 때와 봇넷을 통한 접근일 때 나타나는 양상이 다르다. 따라서, 각 특성에 대하여 통상적인 접근으로 판단되는 범주와 봇넷의 접근으로 의심되는 범주가 정의되면, 어떤 호스트의 접근 정보는 각 특성 별로 정상 또는 의심으로 분류될 수 있다. 따라서, 분류부(110)는 미사용 IP에 대한 접근 주기, 접근 빈도, 접근 범위 및 접근 순서를 기반으로 상기 호스트 정보를 분류할 수 있다.
실시예들에 따른 분류부(110)는 어떤 접근 정보의 주기성, 빈도성, 범위성 및 연속성이 모두 의심 범주에 해당하는 경우 그 접근 정보를 의심 호스트의 접근 정보로 분류한다. 같은 의미에서, 분류부(110)는 어떤 접근 정보의 주기성, 빈도성, 범위성 및 연속성 중에서 어느 하나라도 정상 범주에 해당하면 그 접근 정보를 정상 호스트의 네트워크 스캔 활동에 따른 것으로 간주한다.
도 2는 실시예에 따른 봇넷 탐지 시스템의 분류 방법을 나타낸 도면이다. 도 2는 도 1의 분류부(110)에서 수행하는 분류 방법을 나타낸다. 분류부(110)는 접근 정보가 의심 호스트에 의한 것인지 여부를 판단한다. 분류부(110)는 주기성, 빈도성, 범위성 및 연속성 중 적어도 어느 하나가 정상 범위인지 여부를 판단한다(S110). 주기성, 빈도성, 범위성 및 연속성 중 하나라도 정상 범위이면, 정상 호스트에 의한 접근 정보로 판단되고, 주기성, 빈도성, 범위성 및 연속성이 모두 의심 범위에 있는 경우 의심 호스트에 의한 접근정보로 분류된다. 즉, S110의 판단 결과에 따라, 접근 정보는 정상 호스트에 의한 접근 정보과 의심 호스트에 의한 접근 정보로 분류된다.
분류부(110)는 어떤 호스트의 미사용 IP에 대한 접근 주기, 접근 빈도, 접근 범위 및 접근 순서가 정상 범위에 있지 않은 경우, 호스트 정보를 의심 호스트 정보로 분류한다.
판단부(120)는 분류부(110)에서 의심 호스트로 분류된 접근 정보에 대하여 위협 여부를 판단한다. 판단부(120)는 의심 호스트가 악성 호스트인지 여부를 보다 명확하게 판단할 수 있다.
이와 관련하여, 도 3은 실시예에 따른 봇넷 탐지 시스템의 판단 방법을 나타낸 도면이다. 도 3은 도 1의 판단부(120)에서 수행하는 판단 방법을 나타낸다. 판단부(120)는 데이터베이스(140)에 저장된 악성 호스트의 정보에서 의심 호스트를 조회하여 의심 호스트의 정보가 악성 호스트의 정보와 일치하는 지 여부를 판단한다(S120). 의심 호스트의 정보가 악성 호스트와 일치하는 경우, 의심 호스트가 악성 호스트로 판단된다. 의심 호스트와 일치하는 악성 호스트 정보가 데이터베이스(140)에 없는 경우, 알려지지 않은 의심 호스트로 판단된다. 알려지지 않은 의심 호스트 정보에 대해서는 검증부(130)에서 추가로 검증이 수행된다.
한편, 데이터베이스(140)는 위협정보(CTI)를 저장한다. CTI는 Cyber threat intelligence의 약자로서, 사이버 공간에서 발생하는 잠재 위협 및 행위자의 발생/평가에 대한 정보를 포함할 수 있다. 위협정보(CTI)는 데이터베이스(140)가 자체로 생성하여 구축한 위협정보 및/또는 외부에 공개된 위협정보를 포함한다. 데이터베이스(140)가 생성한 위협정보는 도 4에서 IoT 기기로 판단된 악성 호스트에 대한 정보이거나, 그밖에 데이터베이스(140)가 자체 분석하여 획득한 위협정보를 나타낼 수 있다. 외부에 공개된 위협정보는 악성 코드 정보를 제공하는 서비스에 의하여 공개된 정보이거나, 그밖에 보안과 관련하여 서비스를 제공하는 업체 등에 의하여 공개된 다양한 악성 정보 등을 포함할 수 있다.
데이터베이스(140)는 이미 알려진 악성 호스트에 대한 정보들을 저장한다.
또한, 데이터베이스(140)는 정상 호스트에 대한 정보를 저장하는 정상 호스트 데이터베이스(142)와 악성 호스트에 대한 정보를 저장하는 악성 호스트 데이터베이스(144)를 포함한다.
데이터베이스(140)에 저장된 악성 호스트에 대한 정보는 도 1의 판단부(120)에서 의심 호스트가 악성 호스트인지 여부를 판단할 때 사용된다. 예를 들어, 판단부(120)는 의심 호스트 정보를 데이터베이스(140)에 조회하여 위협 여부를 판단할 수 있다.
정상 호스트 데이터베이스(142)에 저장된 정상 호스트에 대한 정보는 수집부(101)에서 수집하는 접근 정보에 대해 분류 과정을 거치지 않고 곧바로 정상 호스트인지 여부를 판단하는데 사용될 수 있다.
정상 호스트 데이터베이스(142)와 악성 호스트 데이터베이스(144)는 시스템(100)의 접근 정보 수집, 분류, 판단, 검증 과정에서 판단되는 정상 호스트에 대한 정보와 악성 호스트에 대한 정보가 지속적으로 업데이트되어 관리될 수 있다. 시스템(100)은 봇넷에 대한 탐지를 수행할 뿐만 아니라 봇넷에 대한 정보를 지속적으로 업데이트하여 개선된 보안 효과를 제공할 수 있다.
검증부(130)는 알려지지 않은 의심 호스트에 대한 정보가 IoT 기기에 의한 것인지 검증한다. 핑거프린팅(Fingerprinting) 방법에 의하여 알려지지 않은 의심 호스트가 IoT 기기인지 확인될 수 있다. 실시예에 따른 IoT(Internet of Things) 기기는 인터넷을 통하여 데이터를 다른 기기 및 시스템과 연결할 목적으로 센서, 소프르웨어 등을 내장한 물리적 객체를 나타낼 수 있다. 이러한 물리적 객체의 종류는 가전제품, 모바일 장비, 웨어러블 컴퓨터 등 다른 사물들과 데이터를 공유할 수 있는 기기들을 포함할 수 있다.
실시예에 따른 IoT 기기는 기존의 레거시 기기(PC, 서버 등)와 대비하여 제한된 수준의 하드웨어 자원으로 구성된 기기를 나타낼 수 있다. 예를 들어, 실시예들에 따른 IoT 기기는 저전력 기기일 수 있고, 특정 목적을 위해 제한된 서비스를 수행하는 점에서 다른 기기와 구별될 수 있다.
도 4는 실시예에 따른 봇넷 탐지 시스템(100)의 검증 방법을 나타낸 도면이다. 도 4는 도 1의 검증부(130)에서 수행하는 검증 방법을 나타낼 수 있다.
도 4를 참조하면, 검증부(130)는 알려지지 않은 의심 호스트에 대한 정보가 IoT 기기에 의한 것인지 여부를 확인한다(S130). S130 단계에서 알려지지 않은 의심 호스트에 대한 정보가 IoT 기기에 의한 것임이 확인되면, 알려지지 않은 의심 호스트에 대한 정보는 악성 호스트로서 악성 호스트 정보 데이터베이스(144)에 저장될 수 있다. 의심 호스트에 대한 정보가 IoT 기기에 의한 것이 아닌 경우, 의심 호스트에 대한 정보는 별도의 악성 의심 호스트로 분류될 수 있다.
이하, 실시예에 따른 봇넷 탐지 방법을 설명한다. 봇넷 탐지 방법은 도 1의 시스템(100)에 의하여 수행될 수 있다.
봇넷 탐지 방법은 미사용 IP에 대해 접근하는 호스트 정보를 수집하는 단계와, 수집된 호스트 정보를 의심 호스트 정보로 분류하는 단계, 분류된 의심 호스트 정보에 대하여 위협 여부를 판단하는 단계, 위협으로 판단되지 않은 의심 호스트 정보에 대하여 IoT 기기 여부를 검증하는 단계 및 검증하는 단계에서 IoT 기기로 검증된 의심 호스트 정보를 데이터베이스에 악성 호스트로 저장하는 단계를 포함할 수 있다.
미사용 IP에 대해 접근하는 호스트 정보를 수집하는 단계는 도 1의 수집부(101)에서 수행될 수 있고, 분류하는 단계는 도 1의 분류부(110)에서 수행된다. 위협 여부를 판단하는 단계는 판단부(120)에서 수행되고, 검증하는 단계는 검증부(130)에서 수행될 수 있다. 또한, 저장하는 단계는 데이터베이스(140)에서 수행될 수 있다.
한편, 분류하는 단계는 미사용 IP에 대한 접근 주기, 접근 빈도, 접근 범위 및 접근 순서를 기반으로 호스트 정보를 분류할 수 있다. 저장하는 단계는 분류하는 단계에서 분류된 정상 호스트 정보를 데이터베이스(140)에 정상 호스트로 저장할 수 있다.
도 1을 참조하면, 시스템(100)은 개념적 또는 논리적으로 구분되어 표현된다. 하지만, 시스템(100)의 구성 요소들은 물리적으로 구분되지 않은 것일 수 있으며, 하나 이상의 프로세서, 하나 이상의 메모리 및 메모리에 저장된 명령어에 의하여 봇넷 탐지 방법을 수행하는 장치일 수 있다. 실시예들에 따른 봇넷 탐지 방법은 소프트웨어 프로그램으로 작성되어 컴퓨터로 판독이 가능한 기록 매체에 저장될 수 있다. 실시예들에 따른 발명의 동작은 “컴퓨터”(시스템 온 칩(system on chip; SoC) 또는 마이크로 프로세서 등을 포함하는 포괄적인 개념)에 의해 구현, 실시 또는 실행될 수 있는 코드 또는 상기 코드를 저장 또는 포함한 어플리케이션, 컴퓨터-판독 가능한 저장 매체 또는 컴퓨터 프로그램 제품(product) 등으로도 제공될 수 있다.
본 발명의 바람직한 실시예들에 대한 상세한 설명은 당업자가 본 발명을 구현하고 실시할 수 있도록 제공되었다. 상기에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 본 발명의 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있다. 예를 들어, 당업자는 상술한 실시예들에 기재된 각 구성을 서로 조합하는 방식으로 이용할 수 있다.
따라서, 본 발명은 여기에 나타난 실시예들에 의해 제한되는 것이 아니라, 여기서 개시된 원리들 및 신규한 특징들을 포함하는 최광의의 기술적 사상으로 이해될 수 있다.

Claims (12)

  1. 다크넷 기반 알려지지 않은 봇넷 탐지 시스템으로서,
    미사용 IP에 대해 접근하는 호스트 정보를 수집하는 수집부;
    상기 수집부에서 수집된 상기 호스트 정보를 의심 호스트 정보로 분류하는 분류부;
    상기 분류부에서 분류된 상기 의심 호스트 정보에 대하여 위협 여부를 판단하는 판단부; 및
    상기 판단부에서 위협으로 판단되지 않은 상기 의심 호스트 정보에 대하여 IoT 기기 여부를 검증하는 검증부를 포함하고,
    상기 분류부는 상기 미사용 IP에 대한 접근 시간 간격의 주기성, 접근 횟수의 빈도성, 접근 IP 대역의 범위성, 및 접근 대상의 연속성에 기반하여 상기 호스트 정보가 감염 봇넷에 대한 의심 호스트인지 정상 호스트인지를 분류하고,
    상기 호스트 정보가 정상 호스트인 경우, 상기 호스트 정보는 상기 봇넷 탐지 시스템의 정상 데이터베이스에 저장되고,
    상기 판단부는 상기 의심 호스트로 분류된 호스트 정보를 식별하고, 상기 봇넷 탐지 시스템의 악성 데이터베이스에 기초하여, 상기 호스트 정보가 알려진 위협 정보인지 여부를 조회하고,
    상기 검증부는 상기 호스트 정보가 알려진 위협 정보가 아닌 경우, 알려지지 않은 상기 호스트 정보를 핑거프린팅 방식에 기초하여 식별하고, 상기 식별된 호스트 정보가 인터넷에 연결된 IoT 장치에 관한 것인지 판단하여, 상기 식별된 호스트 정보가 상기 인터넷에 연결된 IoT 장치에 관한 것인 경우, 상기 호스트 정보를 신규 IoT 봇넷 감염 호스트로써 상기 악성 데이터베이스에 저장하도록 구성되는,
    봇넷 탐지 시스템.
  2. 제 1항에 있어서,
    상기 신규 IoT 봇넷 감염 호스트에 기초하여 상기 악성 데이터베이스가 갱신됨으로써, 알려지지 않은 IoT 봇넷이 자동으로 탐지되는,
    봇넷 탐지 시스템.
  3. 제 1항에 있어서,
    상기 분류부는 다크넷 기반 네트워크 패킷들의 복수의 호스트 정보에 대한 알려지지 않은 위협 정보를 자동으로 분류하는,
    봇넷 탐지 시스템.
  4. 제 1항에 있어서,
    상기 분류부, 상기 판단부, 및 상기 검증부는 상기 알려지지 않은 상기 호스트 정보를 별도의 데이터 셋 및 학습과정 없이 신규 IoT 봇넷 감염 호스트를 감지하는,
    봇넷 탐지 시스템.
  5. 삭제
  6. 삭제
  7. 다크넷 기반 알려지지 않은 봇넷 탐지 방법에 있어서,
    미사용 IP에 대해 접근하는 호스트 정보를 수집하는 단계;
    수집된 상기 호스트 정보를 의심 호스트 정보로 분류하는 단계;
    분류된 상기 의심 호스트 정보에 대하여 위협 여부를 판단하는 단계;
    위협으로 판단되지 않은 상기 의심 호스트 정보에 대하여 IoT 기기 여부를 검증하는 단계; 및
    상기 검증하는 단계에서 IoT 기기로 검증된 상기 의심 호스트 정보를 데이터베이스에 악성 호스트로 저장하는 단계를 포함하고,
    상기 분류하는 단계는 상기 미사용 IP에 대한 접근 시간 간격의 주기성, 접근 횟수의 빈도성, 접근 IP 대역의 범위성, 및 접근 대상의 연속성에 기반하여 상기 호스트 정보가 감염 봇넷에 대한 의심 호스트인지 정상 호스트인지를 분류하는 것을 포함하고,
    상기 호스트 정보가 정상 호스트인 경우, 상기 호스트 정보는 상기 봇넷 탐지 시스템의 정상 데이터베이스에 저장되고,
    상기 판단하는 단계는 상기 의심 호스트로 분류된 호스트 정보를 식별하고, 상기 봇넷 탐지 시스템의 악성 데이터베이스에 기초하여, 상기 호스트 정보가 알려진 위협 정보인지 여부를 조회하는 것을 포함하고,
    상기 검증하는 단계는 상기 호스트 정보가 알려진 위협 정보가 아닌 경우, 알려지지 않은 상기 호스트 정보를 핑거프린팅 방식에 기초하여 식별하고, 상기 식별된 호스트 정보가 인터넷에 연결된 IoT 장치에 관한 것인지 판단하여, 상기 식별된 호스트 정보가 상기 인터넷에 연결된 IoT 장치에 관한 것인 경우, 상기 호스트 정보를 신규 IoT 봇넷 감염 호스트로써 상기 악성 데이터베이스에 저장하는 것을 포함하는,
    봇넷 탐지 방법.
  8. 청구항 7에 있어서,
    상기 신규 IoT 봇넷 감염 호스트에 기초하여 상기 악성 데이터베이스가 갱신됨으로써, 알려지지 않은 IoT 봇넷이 자동으로 탐지되는,
    봇넷 탐지 방법.
  9. 청구항 7에 있어서,
    상기 분류하는 단계는 다크넷 기반 네트워크 패킷들의 복수의 호스트 정보에 대한 알려지지 않은 위협 정보를 자동으로 분류하는 것을 더 포함하는,
    봇넷 탐지 방법.
  10. 청구항 7에 있어서,
    상기 분류하는 단계, 상기 판단하는 단계, 및 상기 검증하는 단계에 기초하여, 상기 알려지지 않은 상기 호스트 정보를 별도의 데이터 셋 및 학습과정 없이 신규 IoT 봇넷 감염 호스트가 감지되는,
    봇넷 탐지 방법.
  11. 삭제
  12. 청구항 7 내지 청구항 10 중 어느 하나의 방법을 컴퓨터에서 실행시키기 위한 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
KR1020230012721A 2022-10-20 2023-01-31 봇넷 탐지 시스템 및 방법 KR102661261B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020220135921 2022-10-20
KR20220135921 2022-10-20

Publications (1)

Publication Number Publication Date
KR102661261B1 true KR102661261B1 (ko) 2024-04-29

Family

ID=90883505

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230012721A KR102661261B1 (ko) 2022-10-20 2023-01-31 봇넷 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102661261B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190028076A (ko) * 2017-09-08 2019-03-18 한국과학기술정보연구원 공격자 가시화 방법 및 장치
KR102135024B1 (ko) * 2019-11-25 2020-07-20 한국인터넷진흥원 IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치
US20210058411A1 (en) * 2018-02-15 2021-02-25 Nippon Telegraph And Telephone Corporation Threat information extraction device and threat information extraction system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190028076A (ko) * 2017-09-08 2019-03-18 한국과학기술정보연구원 공격자 가시화 방법 및 장치
US20210058411A1 (en) * 2018-02-15 2021-02-25 Nippon Telegraph And Telephone Corporation Threat information extraction device and threat information extraction system
KR102135024B1 (ko) * 2019-11-25 2020-07-20 한국인터넷진흥원 IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치

Similar Documents

Publication Publication Date Title
US11068588B2 (en) Detecting irregularities on a device
US11785035B2 (en) System and methods for malware detection using log analytics for channels and super channels
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US9311476B2 (en) Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US9032521B2 (en) Adaptive cyber-security analytics
Bagui et al. Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset
CN1841397B (zh) 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害
CN109074454B (zh) 基于赝象对恶意软件自动分组
US20180309772A1 (en) Method and device for automatically verifying security event
US20200304524A1 (en) Cloud view detection of virtual machine brute force attacks
US20200195672A1 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
US11258825B1 (en) Computer network monitoring with event prediction
KR102222377B1 (ko) 위협 대응 자동화 방법
Jiang et al. Novel intrusion prediction mechanism based on honeypot log similarity
Gomes et al. Cryingjackpot: Network flows and performance counters against cryptojacking
Rosli et al. Clustering analysis for malware behavior detection using registry data
Akhtar Malware detection and analysis: Challenges and research opportunities
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
JP7172104B2 (ja) ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
KR102661261B1 (ko) 봇넷 탐지 시스템 및 방법
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors
RU186198U1 (ru) Средство обнаружения вторжений уровня узла сети
Jawhar A Survey on Malware Attacks Analysis and Detected
Kruczkowski et al. Cross-layer analysis of malware datasets for malicious campaigns identification
US20230214489A1 (en) Rootkit detection based on system dump files analysis

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant