KR20100075016A - Network based irc and http botnet detect and countermeasure system and method thereof - Google Patents

Network based irc and http botnet detect and countermeasure system and method thereof Download PDF

Info

Publication number
KR20100075016A
KR20100075016A KR1020080133610A KR20080133610A KR20100075016A KR 20100075016 A KR20100075016 A KR 20100075016A KR 1020080133610 A KR1020080133610 A KR 1020080133610A KR 20080133610 A KR20080133610 A KR 20080133610A KR 20100075016 A KR20100075016 A KR 20100075016A
Authority
KR
South Korea
Prior art keywords
botnet
information
network
service provider
detection
Prior art date
Application number
KR1020080133610A
Other languages
Korean (ko)
Other versions
KR101025502B1 (en
Inventor
정현철
임채태
지승구
노상균
오주형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080133610A priority Critical patent/KR101025502B1/en
Publication of KR20100075016A publication Critical patent/KR20100075016A/en
Application granted granted Critical
Publication of KR101025502B1 publication Critical patent/KR101025502B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A system for detecting and treating IRC and HTTP botnet based on a network and a method thereof are provided to effectively protect IRC and HTTP botnet using a system for botnet control and security management. CONSTITUTION: A botnet detecting system(200) is formed in multiple internet service provider networks. A system for botnet control and security management(300) shares botnet information between the multiple internet service provider networks. A traffic information gathering sensor(100) is distributed to the multiple internet service provider networks to transmit the traffic information to the botnet detecting system.

Description

네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법{NETWORK BASED IRC AND HTTP BOTNET DETECT AND COUNTERMEASURE SYSTEM AND METHOD THEREOF}NETWORK-BASED IRC AND HTTP BOTNET DETECT AND COUNTERMEASURE SYSTEM AND METHOD THEREOF}

본 발명은 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법에 관한 것으로서, 특히 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷의 정보를 공유하여 이에 대한 대응을 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법에 대한 것이다.The present invention relates to a system and method for detecting and responding to network-based IRC and HTTP botnets. In particular, the present invention relates to network-based IRC that can easily cope with the information of botnets existing in a plurality of Internet service provider networks. And detection and response systems for and HTTP botnets.

봇은 로봇(Robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 그리고 봇넷이란 이러한 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다. 즉 봇넷을 이루는 봇 클라이언트와 C&C 서버간의 통신 프로토콜이 IRC 프로토콜일 경우에는 IRC 봇넷으로 분류되며, HTTP 프로토콜일 경우에는 HTTP 봇넷으로 분류된다. 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다.Bot stands for Robot, which means a personal computer (PC) infected with malicious intentional software. And a botnet is a type of network in which many computers infected with these bots are connected. Botnets can be classified according to the protocol used by the botnet. That is, if the communication protocol between the bot client and the C & C server forming the botnet is an IRC protocol, it is classified as an IRC botnet, and if it is an HTTP protocol, it is classified as an HTTP botnet. The botnet is remotely controlled by the Bot Master, which is used for various malicious activities such as DDoS attacks, personal information collection, phishing, malware distribution, and spam mailing.

이와 같은 봇넷을 통한 공격은 지속적으로 증가하고 있으며, 그 방법도 점차 다양화되고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/암호(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.Attacks through these botnets continue to increase, and methods are increasingly diversified. Unlike the case of causing Internet service failure through DDoS, there are bots that cause personal system failure or illegally acquire personal information, and illegal user information such as ID / password and financial information. Increasingly, cybercrime abuse is becoming more common. In addition, while the existing hacking attacks show the hacker's own ability or compete with the community, the botnet shows the hacker group intensively exploiting and cooperating for the purpose of financial gain.

하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어, 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있기 때문에 문제점이 심각하다. 이러한 봇넷을 구성하는 봇 좀비들은 국가의 구분 없이 전 세계의 인터넷 서비스 제공자 망에 분포되며, 봇 좀비를 제어하는 봇 C&C(Command & Control)의 경우도 다른 AS(Autonomous System)들로 이주가 가능하다. However, botnets are becoming more sophisticated to detect and circumvent using advanced technologies such as periodic updates, execution compression techniques, coder changes, and command channel encryption. In addition, the source of the botnet is open to thousands of variants, and the bot code can be easily generated or controlled through the user interface, making it possible for people without specialized knowledge or skills to create and use the botnet. The problem is serious. The bot zombies that make up this botnet are distributed in Internet service provider networks all over the world. .

따라서 현재 봇넷의 심각성을 주지하고 많은 연구가 이루어지고 있다. 하지만 특정 인터넷 서비스 제공자 망의 봇넷만을 탐지하여 봇넷의 전체적인 구성 및 분포를 파악하기 어려운 문제점이 있다.Therefore, the seriousness of the botnet is well known and many studies are being made. However, it is difficult to detect the overall configuration and distribution of the botnet by detecting only the botnet of a specific internet service provider network.

본 발명의 목적은 다양한 인터넷 서비스 제공자 망에 존재하는 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법을 제공하는 것이다.An object of the present invention is to provide a system and method for detecting and responding to network-based IRC and HTTP botnets that can easily detect and manage botnets existing in various Internet service provider networks.

다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템에 있어서, 상기 다수의 인터넷 서비스 제공자 망에 마련된 봇넷 탐지 시스템과, 상기 봇넷 탐지 시스템을 관제 및 관리하며 상기 다수의 인터넷 서비스 제공자 망간의 봇넷 정보를 공유하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는, 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템을 제공한다.A system for detecting and responding to network-based IRC and HTTP botnets that detect and share botnet information of a plurality of Internet service provider networks, the botnet detection system provided in the plurality of Internet service provider networks, and the botnet detection system. It provides a network-based IRC and HTTP botnet detection and response system, characterized in that it comprises a botnet control and security management system that controls and manages and share the botnet information between the plurality of Internet service provider networks.

또 본 발명의 시스템은, 상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와, 상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함한다. 봇넷 관제 및 보안관리 시스템은 상기 다수의 인터넷 서비스 제공자 망에 적어도 하나 이상이 구비될 수 있다.In addition, the system of the present invention is distributed in the plurality of Internet service provider network for transmitting traffic information to the botnet detection system, and manages the configuration and status information of the traffic information collection sensor and botnet detection system It includes a management system. At least one botnet control and security management system may be provided in the plurality of Internet service provider networks.

상기 봇넷 관제 및 보안 관리 시스템은 상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과, 상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과, 상기 보안 이벤트 중 미 분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과, 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과, 상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과, 상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과, 상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹 방화벽을 등록하는 시스템 감독 모듈과, 상기 인터넷 서비스 제공자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망에 공유하는 봇넷 정보 공유 모듈과, 상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과, 상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함할 수 있다.The botnet control and security management system includes a security event management module for receiving and processing a security event from the botnet detection system, an exception configuration log analysis module for analyzing the similarity with the botnet for the security event, Unclassified behavior log analysis module for receiving and classifying classification behavior logs, botnet response technology module for establishing a response policy for the detected botnets, the detected botnet information, botnet malicious behavior information, system information, policy information, Detection log supervision module for managing botnet response policy information, policy supervision module for setting policy of the botnet control and security management system, botnet detection system, traffic collection sensor, and domain name system sink in the botnet control and security management system Hall Server, BGP Router, Domain Name System Server, and Web A system supervision module for registering a firewall, a botnet information sharing module for sharing botnet information detected in the Internet service provider network to other Internet service provider networks, and statistical data based on the detected botnet information and malicious behavior information. It may include a static reporting management module for generating, and a botnet monitoring module for monitoring the detected botnet structure and malicious behavior.

또한, 본 발명은 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법에 있어서, 상기 봇넷을 탐지하는 단계와, 상기 탐지된 봇넷의 정보를 상기 다수의 인터넷 서비스 제공자 망간에 공유하는 단계와, 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법을 제공한다.In addition, the present invention provides a network-based IRC and HTTP botnet detection and corresponding method for detecting botnet information of a plurality of Internet service provider networks and sharing each other, the method comprising: detecting the botnet, and detecting the information of the detected botnet; It provides a network-based IRC and HTTP botnet detection and response method comprising the step of sharing between a plurality of Internet service provider networks, and establishing a response policy for the detected botnet.

상기 탐지된 봇넷의 정보를 공유하는 단계는 상기 인터넷 서비스 제공자 망의 트래픽을 수집하는 단계와, 상기 수집된 트래픽의 로그를 분류하는 단계와, 상기 로그를 분석하는 단계를 포함한다. 이때, 상기 로그를 분석하는 단계는 상기 수 집된 트래픽 중 비정상적으로 구성된 로그를 분석하는 단계와, 상기 수집된 트래픽 중 미분류된 행위 로그를 분석하는 단계를 포함한다. 또한, 상기 비정상적으로 구성된 로그는 봇넷과의 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하이다.Sharing the detected botnet information includes collecting traffic of the internet service provider network, classifying logs of the collected traffic, and analyzing the logs. In this case, analyzing the log includes analyzing an abnormally configured log among the collected traffic, and analyzing an unclassified behavior log among the collected traffic. In addition, the abnormally configured log has a similarity value to the botnet above a minimum threshold and below a confidence threshold.

또 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법은 통계 데이터를 작성하는 단계를 더 포함할 수 있고, 상기 통계 데이터는 봇넷 정보 및 악성행위 정보를 그래프와 테이블로 표현할 수 있다.In addition, the network-based IRC and HTTP botnet detection and response method according to the present invention may further comprise the step of preparing statistical data, the statistical data may represent the botnet information and malicious behavior information in graphs and tables.

본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템과 그 방법을 제공할 수 있다.The present invention can provide a system and method for detecting and responding to network-based IRC and HTTP botnets that can easily detect and manage botnets by detecting botnets existing in a plurality of Internet service provider networks and sharing the information thereof. have.

본 발명은 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷을 효과적으로 방어할 수 있는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공할 수 있다.The present invention can provide a management system for IRC and HTTP botnet security control that can effectively defend the IRC and HTTP botnet using a botnet control and security management system.

이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 구성도이고, 도 2는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 탐지 시스템의 구성도이다. 또한, 도 3은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택이고, 도 4는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택을 도시한 개념도이다. 또한, 도 5는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템을 도시한 개념도이고, 도 6은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템의 모듈 구성도이다. 또한, 도 7은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 송수신 데이터 흐름도이다.1 is a block diagram of a network-based IRC and HTTP botnet detection and response system according to the present invention, Figure 2 is a block diagram of a network-based IRC and HTTP botnet detection and response system botnet detection system to be. 3 is a stack of a network-based IRC and HTTP botnet detection and response system according to the present invention, Figure 4 is a conceptual diagram showing a stack of a network-based IRC and HTTP botnet detection and response system according to the present invention to be. 5 is a conceptual diagram illustrating a botnet control and security management system of a network-based IRC and HTTP botnet detection and response system, and FIG. 6 is a diagram of a network-based IRC and HTTP botnet detection and response system according to the present invention. This is a module configuration of botnet control and security management system. 7 is a flow chart of transmission and reception of a network-based IRC and HTTP botnet detection and response system according to the present invention.

본 발명에 따른 네트워크 기반 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템은 도 1 및 도 2에 도시된 바와 같이, 인터넷 서비스 제공자 망에 각각 마련된 봇넷 탐지 시스템과, 봇넷 탐지 시스템의 정보를 취합하는 통합관제/보안관리 시스템을 포함한다. 이때, 인터넷 서비스 제공자(Internet Service Provider, ISP) 망은 각 개인이나 단체가 인터넷에 접속할 수 있는 회선 등을 포함하는 서비스 망을 의미하며, 본 실시예는 이러한 인터넷 서비스 제공자 망으로 세 개의 인터넷 서비스 제공자 망을 예시한다. 또한, 이에 따라, 인터넷 서비스 제공자 망은 제 1 내지 제 3 인터넷 서비스 제공자 망을 포함한다. 하지만 본 발명은 이에 한정되는 것은 아니며, 적어도 하나 이상의 인터넷 서비스 제공자 망을 포함하는 네트워크에 적용될 수 있다.A system for detecting and responding to network-based IRC and HTTP botnets according to the present invention is integrated with a botnet detection system provided in an Internet service provider network and information of a botnet detection system, respectively, as shown in FIGS. 1 and 2. Includes a control / security management system. In this case, an Internet Service Provider (ISP) network refers to a service network including a line through which an individual or a group can access the Internet, and the present embodiment includes three Internet service providers. Illustrate your network. Also, accordingly, the internet service provider network includes first to third internet service provider networks. However, the present invention is not limited thereto and may be applied to a network including at least one internet service provider network.

봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 정보 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이때, 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 m개 존재할 수 있다. 또한, 수집된 트래픽 정보를 이용하여 봇넷을 탐지하고 악성행위를 분석한다. 탐지된 봇넷 정보는 봇넷 관제 및 보안 관리시스템으로 전송된다. 한편, 상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 정책은 관리 시스템에서 설정될 수 있다. 이러한 봇넷 탐지 시스템은 도 3에 도시된 바와 같이 트래픽 정보 수집 센서와, 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템과 접속된다.The botnet detection system is installed in the internet service provider network and detects a botnet operating in the corresponding internet service provider network based on the traffic information collected by the traffic information collection sensor. In this case, m botnet detection systems may exist in the corresponding Internet service provider network. It also detects botnets and analyzes malicious behaviors using collected traffic information. The detected botnet information is sent to the botnet control and security management system. Meanwhile, the policies of the traffic information collecting sensor and the botnet detection system may be set in the management system. The botnet detection system is connected with a traffic information collection sensor, a management system for managing the setting and status information of the traffic information collection sensor and the botnet detection system as shown in FIG.

트래픽 정보 수집 센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래픽을 수집한다. 이때, 트래픽 정보 수집 센서는 해당 인터넷 서비스 제공자 망에 봇넷 탐지 시스템의 개수(m)×해당 봇넷 탐지 시스템에 구비된 트래픽 정보 수집 센서의 개수(n)개 만큼 존재할 수 있다. 또한, 이러한 트래픽 정보 수집 센서는 봇넷 관제 및 보안관리 시스템에서 설정한 수집 정책에 따라 도메인 네임 시스템(Domain Name System, DNS) 트래픽과 트래픽 정보 등을 수집한다. 이때, 수집된 트래픽 정보는 주기적으로 봇넷 탐지 시스템에 전송된다.The traffic information collecting sensor collects traffic of the corresponding internet service provider network for botnet detection. In this case, the traffic information collection sensor may exist in the corresponding Internet service provider network as the number (m) of the botnet detection system x the number (n) of traffic information collection sensors provided in the corresponding botnet detection system. In addition, the traffic information collection sensor collects Domain Name System (DNS) traffic and traffic information according to a collection policy set by the botnet control and security management system. At this time, the collected traffic information is periodically transmitted to the botnet detection system.

호스트레벨 능동형 봇 감염 탐지 시스템은 독립적으로 설치된 시스템으로서, 능동적으로 감염된 악성 봇을 분석하여 봇넷이 사용하는 봇 정보를 제공한다.Host-level active bot infection detection system is a stand-alone system that analyzes actively infected malicious bots and provides bot information used by botnets.

봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 해당 인터넷 서비스 제공자 망의 봇넷 정보를 시각화하며 대응 정책을 설정할 수 있는 기능을 제공한다. 또한, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 관제 시스템과 동일하게 인터넷 서비스 제공자 망간 또는 국가간 봇넷 대응을 위해 탐지된 봇넷 정보를 유기적으로 공유하는 기능을 수행한다. 이때, 일반적으로 봇넷 관제 및 보안관리 시스템은 인터넷 서비스 제공자 망에 한 개가 존재한다. 이러한 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 도 4에 도시된 바와 같이, 봇넷 대응, 봇넷 정보 공유 통계 리포팅, 시스템 관리, 봇넷 구조/악성행위 시각화, 정책 관리를 위한 인터페이스는 HTTP를 사용하여 관리자가 웹 브라우저를 통해 운영 할 수 있다.Botnet Management Security Management System (BMSM) provides the function to visualize the botnet information of the relevant internet service provider network and set the response policy. In addition, the Botnet Management Security Management System (BMSM) performs a function of organically sharing the detected botnet information for botnet response between Internet service provider networks or countries, similarly to the control system. In this case, there is generally one botnet control and security management system in the Internet service provider network. As shown in FIG. 4, the botnet control and security management system (BMSM) is an interface for botnet response, botnet information sharing statistics reporting, system management, botnet structure / malicious behavior visualization, policy management, and HTTP. Using it, the administrator can operate through a web browser.

또한, 봇넷 관제 및 보안관리 시스템은 도 6에 도시된 바와 같이, 보안 이벤트 관리 모듈(Security Event Collector, SEC)과, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)과, 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)과, 봇넷 정보 공유 모듈(Botnet Information Share, BIS)과, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)과, 정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)과, 봇넷 모니터링 모듈(Botnet Monitoring, BM)과, 탐지 로그 감독 모듈(Detection Log Management, DLM)과, 정책 감독 모듈(Policy Management, PM)과, 시스템 감독 모듈(System Management, SM)을 포함한다.In addition, as shown in FIG. 6, the botnet control and security management system includes a security event management module (SEC), an exception organization log analysis module (AOA), and an unclassified behavior log analysis. Modules (Unclassified Behavior Log Analysis, UBA), Botnet Information Share (BIS), Botnet Against Technology (BAT), Static Reporting Management (SRM), It includes a botnet monitoring module (BM), a detection log management module (DLM), a policy management module (PM), and a system management module (SM).

보안 이벤트 관리 모듈(Security Event Collector, SEC)은 도 5 및 도 6에 도시된 바와 같이, 봇넷 탐지 시스템으로부터 탐지로그와, 분류 행위로그 및 비정상 구성로그로 이루어진 보안 이벤트를 수신한다. 이때, 탐지로그는 봇넷 탐지 시스템에서 기존 봇넷과의 유사도 분석 결과 탐지된 봇넷의 정보이다. 또한, 분류 행위로그는 봇넷 탐지 시스템에서 봇넷의 행위와 유사도 분석 결과 탐지된 봇넷의 정보이며, 비정상 구성로그는 봇넷 탐지 시스템에서 기존 봇넷과의 유사도 분석 결과 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하인 봇넷 정보를 의미한다. 이 때, 수신한 탐지로그와 분류 행위로그는 데이터베이스에 저장하고 도메인 네임 시스템 싱크홀 등과 같은 봇넷 대응 정책을 수립한다. 또한, 비정상 구성로그는 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)로 전달하며, 미분류 행위로그는 분류되지 않은 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)로 전달한다.As shown in FIGS. 5 and 6, a security event management module (SEC) receives a security event consisting of a detection log, a classification behavior log, and an abnormal configuration log from a botnet detection system. At this time, the detection log is the information of the botnet detected as a result of similarity analysis with the existing botnet in the botnet detection system. In addition, the classification behavior log is the information of the botnet detected as a result of the similarity analysis with the behavior of the botnet in the botnet detection system. The following means botnet information. At this time, the received detection log and classification behavior log are stored in a database and a botnet response policy such as domain name system sinkhole is established. In addition, the abnormal configuration log is delivered to the exception organization log analysis module (AOA), and the unclassified behavior log is delivered to the unclassified behavior log analysis module (UBA).

예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)은 다수의 탐지 시스템으로부터 비정상 로그를 취합하여 분석한다. 이를 위해 탐지시스템은 도메인 유사도와 IP/Port 유사도 및 URL(Uniform Resource Locator) 유사도의 분석 결과 유사도가 최소 임계치 이상이며 신뢰 임계치 미만인 비정상 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다.Anomaly Organization Log Analysis (AOA) collects and analyzes abnormal logs from multiple detection systems. To this end, the detection system analyzes domain similarity, IP / Port similarity, and Uniform Resource Locator (URL) similarity, and sends abnormal logs whose similarity is above the minimum threshold and below the trust threshold to the Botnet Management Security Management System (BMSM). send.

미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)은 미분류 행위로그를 전달받아 이를 분류하고 대응 정책을 설정한다. 또한, 이를 위해 탐지시스템은 미분류된 행위 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송하고, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지시스템으로부터 미분류 행위로그를 전달받아 분류를 수행한다.Unclassified Behavior Log Analysis (UBA) receives unclassified behavior log and classifies it and sets response policy. To this end, the detection system sends unclassified behavior logs to the Botnet Management Security Management System (BMSM), and the Botnet Management Security Management System (BMSM) can Classify by receiving unclassified behavior log.

봇넷 정보 공유 모듈(Botnet Information Share, BIS)은 인터넷 서비스 공급자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 공급자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)과 공유한다. 또한, 타 인터넷 서비스 공급자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에서 탐지된 봇넷 정보를 수신하여 대응 정책 생성한다.The botnet information sharing module (BIS) shares botnet information detected in an internet service provider network with a botnet management security management system (BMSM) of another internet service provider network. In addition, it generates a response policy by receiving botnet information detected by botnet control and security management system (BMSM) of another Internet service provider network.

봇넷 대응 기술 모듈(Botnet Against Technology, BAT)은 탐지된 봇넷에 대한 대응 정책을 수립한다. 또한, 탐지된 봇넷을 기초로 작성된 블랙리스트의 공유와, 도메인 네임 시스템 싱크홀의 적용과, BGP 피딩(Border Gateway Protocol feeding), 웹 방화벽을 이용한 HTTP 봇넷 C&C 접근 URL차단 등의 대응정책을 수립한다.The Botnet Against Technology (BAT) establishes a response policy for detected botnets. In addition, it establishes a policy for sharing blacklists based on detected botnets, applying domain name system sinkholes, BGP feeding (Border Gateway Protocol feeding), and blocking HTTP botnet C & C access URLs using web firewalls.

정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)은 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터 생성한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공하며, 이러한 정적인 리포팅 관리부는 웹 기반 사용자 인터페이스를 통해서 사용할 수 있다.Static Reporting Management Module (SRM) generates botnet information and malicious behavior information such as various graphs and tables. In addition, a reporting function is provided for the generated statistical data, and this static reporting manager can be used through a web-based user interface.

봇넷 모니터링 모듈(Botnet Monitoring, BM)은 봇넷 구조 및 악성행위를 쉽게 확인 할 수 있는 모니터링 기능 제공한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공한다.Botnet Monitoring (BM) provides a monitoring function to easily check the botnet structure and malicious behavior. In addition, reporting function is provided for the generated statistical data.

탐지 로그 감독 모듈(Detection Log Management, DLM)은 봇넷 정보, 봇넷 악성행위 정보, 시스템 정보, 정책 정보, 봇넷 대응 정책 정보 등을 관리하기 위한 프로세서이다.Detection Log Management (DLM) is a processor for managing botnet information, botnet malicious activity information, system information, policy information, and botnet response policy information.

정책 감독 모듈(Policy Management, PM)은 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM) 내부에서 실행되고 있는 모듈에 대한 정책을 설정한다. 또한, 정책 감독부는 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록된 탐지시스템의 탐지 정책을 설정한다. 또한, 등록된 탐지 시스템을 통한 트래픽 정보 수집 센서 정책을 설정한다.The Policy Management Module (PM) sets policies for modules running inside the Botnet Management Security Management System (BMSM). Also, the policy supervisor sets the detection policy of the detection system registered in the Botnet Management Security Management System (BMSM). In addition, the traffic information collection sensor policy through the registered detection system is set.

시스템 감독 모듈(System Management, SM)은 탐지시스템, 트래픽 수집센서, 도메인 네임 시스템 싱크홀 서버, BGP 라우터, 도메인 네임 시스템 서버, 웹 방화벽 등을 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록하는 기능을 제공한다. 또한, 등록된 탐지 시스템, 트래픽 수집센서에 대한 모니터링 및 온/오프 기능을 제공한다.The System Management Module (SM) is a botnet management security management system (BMSM) for detection systems, traffic collection sensors, domain name system sinkhole servers, BGP routers, domain name system servers, and web firewalls. Provides the ability to register with. In addition, it provides monitoring and on / off function of registered detection system, traffic collection sensor.

상술한 구조를 갖는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 데이터 흐름은 도 7에 도시된 바와 같이, 트래픽 정보 수집 센서로부터 전달되는 수집 트래픽 데이터는 중앙집중형 트래픽 데이터로 Class O-1(도메인 기반 트래픽)과 Class 0-2(IP/Port 기반 트래픽)를 포함하고, 행위트래픽 데이터로 Class B-1 내지 6을 포함한다. 또한, 봇넷 탐지 시스템으로부터 전달되는 행위트래픽 수집 요청 데이터는 수집 대상 좀비리스트를 전달하는 Class R로 표현된다. 또한, 봇넷 탐지 시스템으로부터 관제 시스템으로 전달되는 탐지 결과 데이터는, 봇넷의 초기 구성단계 탐지 결과인 Class O-1, 봇넷의 초기 구성단계로 의심될만한 비정상 트래픽 탐지 결과인 Class O-2, 그리고 봇넷의 행위 분류 결과인 Class B-1 내지 8을 포함한다.As shown in FIG. 7, the data flow of the network-based IRC and HTTP botnet detection and response system according to the present invention having the above-described structure is the centralized traffic data. Class O-1 (domain based traffic) and Class 0-2 (IP / Port based traffic) are included, and behavior traffic data includes Class B-1 to 6. In addition, the behavior traffic collection request data transmitted from the botnet detection system is represented as Class R for delivering the zombie list to be collected. In addition, the detection data transmitted from the botnet detection system to the control system includes Class O-1, which is the initial configuration of the botnet, Class O-2, which is suspected of the initial configuration of the botnet, and It includes Class B-1 to 8 as a result of behavior classification.

상술한 바와 같이 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 시스템은 다수의 인터넷 서비스 제공자 망에 존재하는 봇넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템을 제공할 수 있다.As described above, the network-based IRC and HTTP botnet detection and response system according to the present invention detects botnets existing in a plurality of Internet service provider networks and shares the information thereof to easily detect and manage botnets. It can provide IRC and HTTP botnet detection and response system.

다음은 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 네트워크 기반 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.Next, a method for detecting and responding to network-based IRC and HTTP botnet according to the present invention will be described with reference to the accompanying drawings. Among the contents to be described later, descriptions overlapping with the description of the system for detecting and responding to the network-based IRC and HTTP botnet according to the present invention will be omitted or briefly described.

도 8은 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법의 순서도이다.8 is a flowchart illustrating a method for detecting and responding to network-based IRC and HTTP botnet according to the present invention.

본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법은 도 8에 도시된 바와 같이, 봇넷을 탐지하는 단계(S1)와, 탐지된 봇넷의 정보를 공유하는 단계(S2)와, 대응 정책을 수립하는 단계(S3)와, 통계 데이터를 작성하는 단계(S4)를 포함한다.Network-based IRC and HTTP botnet detection and response method according to the present invention, as shown in Figure 8, the step of detecting the botnet (S 1 ), the step of sharing the information of the detected botnet (S 2 ), Establishing a response policy (S 3 ), and generating statistical data (S 4 ).

봇넷을 탐지하는 단계(S1)는 다수의 인터넷 서비스 제공자 망 각각에서 봇넷을 탐지한다. 이러한 봇넷을 탐지하는 단계는 트래픽을 수집하는 단계(S1-1)와, 로그를 분류하는 단계(S1-2)와, 로그를 분석하는 단계(S1-3)를 포함한다.Detecting the botnet (S 1 ) detects the botnet in each of the plurality of Internet service provider networks. Detecting such botnets includes collecting traffic (S 1-1 ), classifying logs (S 1-2 ), and analyzing logs (S 1-3 ).

트래픽을 수집하는 단계(S1-1)는 다수의 인터넷 서비스 제공자 망 각각에서 트래픽을 수집한다. 이를 위해 다수의 인터넷 서비스 제공자 망에는 트래픽 정보 수집 센서가 구비되며, 봇넷 관제 및 보안관리 시스템에서 설정한 트래픽 수집 정책에 따라 도메인 네임 시스템 트래픽과 트래픽 정보 등을 수집한다. 이때, 상기 트래픽 수집 정책은 예를 들어, 특정 서버에 집중적으로 접속하는 중앙집중형 접속 특성을 갖는 트래픽 등과 같이 특정한 특성을 보이는 트래픽일 수 있다.Collecting traffic (S 1-1 ) collects traffic in each of the plurality of Internet service provider networks. To this end, a plurality of Internet service provider networks are equipped with a traffic information collection sensor, and collects domain name system traffic and traffic information according to the traffic collection policy set by the botnet control and security management system. In this case, the traffic collection policy may be traffic that exhibits a specific characteristic, such as traffic having a centralized access characteristic for intensively accessing a specific server.

로그를 분류하는 단계(S1-2)는 수집된 트래픽의 보안 이벤트를 분류한다. 이때, 분류된 보안 이벤트는 탐지 로그와 분류 행위 로그 및 비정상 구성 로그를 포함한다.Classifying the log (S 1-2 ) classifies the security events of the collected traffic. In this case, the classified security event includes a detection log, a classification behavior log, and an abnormal configuration log.

로그를 분석하는 단계(S1-3)는 트래픽을 수집하는 단계에서 수집된 트래픽의 로그를 분석한다. 이러한 로그를 분석하는 단계는 비정상적으로 구성된 로그를 분석하는 단계(S1-3-1)와, 미분류된 행위 로그를 분석하는 단계(S1-3-2)를 포함한다.Analyzing the log (S 1-3 ) analyzes the log of traffic collected in the step of collecting traffic. Analyzing such logs includes analyzing abnormally configured logs (S 1-3-1 ) and analyzing unclassified behavior logs (S 1-3-2 ).

비정상적으로 구성된 로그를 분석하는 단계(S1-3-1)는 우선, 탐지 시스템의 유사도 분석 결과 도메인 유사도와 IP/Port 유사도 및 URL 유사도가 최소 임계치 이상이며 신뢰 임계치 미만인 비정상 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다. 또한, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 전송된 비정상 로그를 취합하여 이를 분석한다.Analyzing abnormally configured logs (S 1-3-1 ), first, the botnet control and security of abnormal logs whose domain similarity, IP / Port similarity, and URL similarity are above the minimum threshold and below the trust threshold are the result of the similarity analysis of the detection system. Send to the management system (Botnet Management Security Management, BMSM). In addition, the botnet management security management system (Botnet Management Security Management, BMSM) collects the abnormal log transmitted and analyzes it.

미분류된 행위 로그를 분석하는 단계(S1-3-2)는 탐지 시스템의 유사도 분석 결과 미분류된 행위 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다. 이때, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지 시스템으로부터 미분류 행위로그를 전달받아 이를 분류한다.Analyzing the unclassified behavior log (S 1-3-2 ) transmits the unclassified behavior log to the botnet management security management system (BMSM) as a result of the similarity analysis of the detection system. At this time, the botnet management and security management system (Botnet Management Security Management, BMSM) receives the unclassified behavior log from a plurality of detection systems and classifies it.

탐지된 봇넷의 정보를 공유하는 단계(S2)는 인터넷 서비스 제공자 망 내에 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)과 공유한다. 이러한 탐지된 봇넷의 정보 공유는 봇넷 정보 공유 모듈(Botnet Information Share, BIS)에 의해 이루어질 수 있다.In step S 2 of sharing the detected botnet information, the botnet information detected in the Internet service provider network is shared with a botnet control and security management system (BMSM) of another Internet service provider network. The information sharing of the detected botnet may be performed by a botnet information sharing module (BIS).

대응 정책을 수립하는 단계(S3)는 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템에서 탐지된 봇넷 정보를 수신하고 이를 토대로 대응 정책을 수립한다. 상기 대응 정책은 탐지된 봇넷의 정보를 공유하는 봇넷 정보 공유 모듈(Botnet Information Share, BIS)에 의해 이루어질 수 있다. 이때, 상기 대응 정책은 봇넷으로 판명된 블랙리스트의 공유, 도메인 네임 시스템 싱크홀 적용, BGP 피딩, 웹방화벽을 이용한 HTTP 봇넷 C&C 접근 URL 차단 등을 포함할 수 있다.In establishing the response policy (S 3 ), the botnet information detected by the botnet control and security management system of another Internet service provider network is received, and a response policy is established based on this. The corresponding policy may be made by a botnet information sharing module (BIS) that shares information of detected botnets. In this case, the corresponding policy may include sharing of a blacklist found as a botnet, applying a domain name system sinkhole, BGP feeding, blocking an HTTP botnet C & C access URL using a web firewall, and the like.

통계 데이터를 작성하는 단계(S4)는 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터로 작성한다. 이때, 생성된 통계 데이터에 대해서 리포팅할 수 있으며, 이러한 통계 데이터의 작성 및 리포팅은 웹 기반 사용자 인터페이스를 통해 구현될 수 있다.In the preparing of the statistical data (S 4 ), the botnet information and malicious behavior information are prepared as statistical data such as various graphs and tables. In this case, the generated statistical data may be reported. The creation and reporting of the statistical data may be implemented through a web-based user interface.

상술한 바와 같이 본 발명은 다수의 인터넷 서비스 제공자 망에 존재하는 봇 넷을 탐지하고 이의 정보를 공유하여 봇넷의 탐지 및 관리를 쉽게 할 수 있다.As described above, the present invention can easily detect and manage botnets by detecting bot nets existing in a plurality of Internet service provider networks and sharing the information thereof.

이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the drawings and embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit of the invention described in the claims below. I can understand.

도 1은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 구성도이다.1 is a block diagram of a system for detecting and responding to network-based IRC and HTTP botnets according to the present invention.

도 2는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택이다.2 is a stack of a network-based IRC and HTTP botnet detection and response system according to the present invention.

도 3은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 탐지 시스템의 구성도이다.3 is a block diagram of a botnet detection system of a network-based IRC and HTTP botnet detection and response system according to the present invention.

도 4는 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 스택을 도시한 개념도이다.4 is a conceptual diagram illustrating a stack of a network-based IRC and HTTP botnet detection and response system according to the present invention.

도 5는 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템을 도시한 개념도이다.5 is a conceptual diagram illustrating a botnet control and security management system of a network-based IRC and HTTP botnet detection and response system.

도 6은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 봇넷 관제 및 보안관리 시스템의 모듈 구성도이다.6 is a module configuration diagram of a botnet control and security management system of a network-based IRC and HTTP botnet detection and response system according to the present invention.

도 7은 본 발명에 따른 네트워크 기반의 IRC와 HTTP 봇넷의 탐지 및 대응 시스템의 송수신 데이터 흐름도이다.7 is a flow chart of transmission and reception data of a network-based IRC and HTTP botnet detection and response system according to the present invention.

도 8은 본 발명에 따른 네트워크 기반 IRC와 HTTP 봇넷의 탐지 및 대응 방법의 순서도이다.8 is a flowchart illustrating a method for detecting and responding to network-based IRC and HTTP botnet according to the present invention.

Claims (9)

다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템에 있어서,In the system for detecting and responding to network-based IRC and HTTP botnets that detect and share botnet information of multiple Internet service provider networks, 상기 다수의 인터넷 서비스 제공자 망에 마련된 봇넷 탐지 시스템과,A botnet detection system provided in the plurality of Internet service provider networks; 상기 봇넷 탐지 시스템을 관제 및 관리하며 상기 다수의 인터넷 서비스 제공자 망간의 봇넷 정보를 공유하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.A network-based IRC and HTTP botnet detection and response system comprising a botnet control and security management system for controlling and managing the botnet detection system and sharing botnet information between the plurality of Internet service provider networks. 제 1 항에 있어서,The method of claim 1, 상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와,A traffic information collection sensor distributed in the plurality of Internet service provider networks and delivering traffic information to the botnet detection system; 상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.Network-based IRC and HTTP botnet detection and response system comprising a management system for managing the configuration and state information of the traffic information collection sensor and botnet detection system. 제 1 항에 있어서,The method of claim 1, 상기 봇넷 관제 및 보안관리 시스템은 상기 다수의 인터넷 서비스 제공자 망에 적어도 하나 이상이 구비된 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.The botnet control and security management system is a network-based IRC and HTTP botnet detection and response system, characterized in that at least one is provided in the plurality of Internet service provider networks. 제 1 항에 있어서,The method of claim 1, 상기 봇넷 관제 및 보안 관리 시스템은,The botnet control and security management system, 상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과,A security event management module for receiving and processing security events from the botnet detection system; 상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과,An exception configuration log analysis module for analyzing the similarity with the botnet for the security event; 상기 보안 이벤트 중 미분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과,An unclassified behavior log analysis module configured to receive and classify unclassified behavior logs among the security events; 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과,A botnet response technology module for establishing a response policy for the detected botnet, 상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과,A detection log supervision module for managing the detected botnet information, botnet malicious behavior information, system information, policy information, and botnet response policy information; 상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과,A policy supervision module for setting policies of the botnet control and security management system; 상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹방화벽을 등록하는 시스템 감독 모듈과,A system supervision module for registering a botnet detection system, a traffic collection sensor, a domain name system sinkhole server, a BGP router, a domain name system server, and a web firewall in the botnet control and security management system; 상기 인터넷 서비스 제공자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망에 공유하는 봇넷 정보 공유 모듈과,A botnet information sharing module for sharing the botnet information detected in the internet service provider network with other internet service provider networks; 상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과,A static reporting management module for generating statistical data based on the detected botnet information and malicious behavior information; 상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 시스템.Network-based IRC and HTTP botnet detection and response system comprising a botnet monitoring module for monitoring the detected botnet structure and malicious behavior. 다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법에 있어서,In the network-based IRC and HTTP botnet detection and response method that detects and shares botnet information of multiple Internet service provider networks, 상기 봇넷을 탐지하는 단계와,Detecting the botnet; 상기 탐지된 봇넷의 정보를 상기 다수의 인터넷 서비스 제공자 망간에 공유하는 단계와,Sharing the detected botnet information between the plurality of Internet service provider networks; 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.And establishing a response policy for the detected botnets. 제 5 항에 있어서,The method of claim 5, 상기 탐지된 봇넷의 정보를 공유하는 단계는,Sharing the information of the detected botnet, 상기 인터넷 서비스 제공자 망의 트래픽을 수집하는 단계와,Collecting traffic of the internet service provider network; 상기 수집된 트래픽의 로그를 분류하는 단계와,Classifying logs of the collected traffic; 상기 로그를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.Network-based IRC and HTTP botnet detection and response method comprising the step of analyzing the log. 제 6 항에 있어서,The method of claim 6, 상기 로그를 분석하는 단계는,Analyzing the log, 상기 수집된 트래픽 중 비정상적으로 구성된 로그를 분석하는 단계와,Analyzing an abnormally configured log among the collected traffic; 상기 수집된 트래픽 중 미분류된 행위 로그를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.A network-based IRC and HTTP botnet detection and response method comprising the step of analyzing the unclassified behavior log of the collected traffic. 제 7 항에 있어서,The method of claim 7, wherein 상기 비정상적으로 구성된 로그는 봇넷과의 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하인 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.The abnormally configured log is a network-based IRC and HTTP botnet detection and response method, characterized in that the similarity value with the botnet is more than the minimum threshold and less than the confidence threshold. 제 5 항에 있어서,The method of claim 5, 통계 데이터를 작성하는 단계를 더 포함하고,Further comprising creating statistical data, 상기 통계 데이터는 봇넷 정보 및 악성행위 정보를 그래프와 테이블로 표현한 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷 탐지 및 대응 방법.The statistical data is a network-based IRC and HTTP botnet detection and response method characterized in that the botnet information and malicious behavior information represented by graphs and tables.
KR1020080133610A 2008-12-24 2008-12-24 Network based detection and response system and method of irc and http botnet KR101025502B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080133610A KR101025502B1 (en) 2008-12-24 2008-12-24 Network based detection and response system and method of irc and http botnet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080133610A KR101025502B1 (en) 2008-12-24 2008-12-24 Network based detection and response system and method of irc and http botnet

Publications (2)

Publication Number Publication Date
KR20100075016A true KR20100075016A (en) 2010-07-02
KR101025502B1 KR101025502B1 (en) 2011-04-06

Family

ID=42637478

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080133610A KR101025502B1 (en) 2008-12-24 2008-12-24 Network based detection and response system and method of irc and http botnet

Country Status (1)

Country Link
KR (1) KR101025502B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101692982B1 (en) * 2015-10-06 2017-01-04 (주)아이와즈 Automatic access control system of detecting threat using log analysis and automatic feature learning

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10673719B2 (en) * 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006504178A (en) * 2002-10-22 2006-02-02 ウンホ チェ Comprehensive infringement accident response system in IT infrastructure and its operation method
KR20070077517A (en) * 2006-01-24 2007-07-27 박재철 Profile-based web application intrusion detection system and the method
KR100838799B1 (en) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system
US20080307526A1 (en) 2007-06-07 2008-12-11 Mi5 Networks Method to perform botnet detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101692982B1 (en) * 2015-10-06 2017-01-04 (주)아이와즈 Automatic access control system of detecting threat using log analysis and automatic feature learning

Also Published As

Publication number Publication date
KR101025502B1 (en) 2011-04-06

Similar Documents

Publication Publication Date Title
Mahjabin et al. A survey of distributed denial-of-service attack, prevention, and mitigation techniques
Masdari et al. A survey and taxonomy of DoS attacks in cloud computing
KR101010302B1 (en) Security management system and method of irc and http botnet
Bhatia et al. Distributed denial of service attacks and defense mechanisms: current landscape and future directions
US9942270B2 (en) Database deception in directory services
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
US7823204B2 (en) Method and apparatus for detecting intrusions on a computer system
Manavi Defense mechanisms against distributed denial of service attacks: A survey
US20060026669A1 (en) System and method of characterizing and managing electronic traffic
Fung Collaborative Intrusion Detection Networks and Insider Attacks.
Haddadi et al. DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment
Alparslan et al. BotNet detection: Enhancing analysis by using data mining techniques
Chauhan et al. A literature review: Intrusion detection systems in internet of things
KR101188305B1 (en) System and method for botnet detection using traffic analysis of non-ideal domain name system
Prasad et al. Flooding attacks to internet threat monitors (ITM): modeling and counter measures using botnet and honeypots
KR101025502B1 (en) Network based detection and response system and method of irc and http botnet
Gaylah et al. Mitigation and prevention methods for distributed denial-of-service attacks on network servers
KR101045332B1 (en) System for sharing information and method of irc and http botnet
Ji et al. Botnet detection and response architecture for offering secure internet services
KR101156008B1 (en) System and method for botnet detection based on signature using network traffic analysis
KR101224994B1 (en) System for analyzing of botnet detection information and method thereof
Prasad et al. An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots
Yuvaraju et al. To Defeat DDoS Attacks in Cloud Computing Environment Using Software Defined Networking (SDN)
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Fung et al. Cooperation in Intrusion Detection Networks

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140415

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150416

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee