KR20100075043A - Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 - Google Patents

Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 Download PDF

Info

Publication number
KR20100075043A
KR20100075043A KR1020080133644A KR20080133644A KR20100075043A KR 20100075043 A KR20100075043 A KR 20100075043A KR 1020080133644 A KR1020080133644 A KR 1020080133644A KR 20080133644 A KR20080133644 A KR 20080133644A KR 20100075043 A KR20100075043 A KR 20100075043A
Authority
KR
South Korea
Prior art keywords
botnet
module
information
log
security
Prior art date
Application number
KR1020080133644A
Other languages
English (en)
Other versions
KR101010302B1 (ko
Inventor
정현철
임채태
지승구
노상균
오주형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080133644A priority Critical patent/KR101010302B1/ko
Priority to US12/544,569 priority patent/US20100162350A1/en
Publication of KR20100075043A publication Critical patent/KR20100075043A/ko
Application granted granted Critical
Publication of KR101010302B1 publication Critical patent/KR101010302B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 방법에 관한 것으로서, 인터넷 서비스 제공자 망의 봇넷을 탐지하여 봇넷에 대한 정보를 데이터베이스에 저장하고 이에 대응하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템에 있어서, 상기 인터넷 서비스 제공자 망내의 봇넷 정보를 시각화하며 상기 봇넷에 대한 대응 정책을 설정하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 방법에 관한 것이다.
이에 본 발명은 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷의 보안 관제를 효율적으로 관리할 수 있는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공할 수 있으며, 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷을 효과적으로 방어할 수 있는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공할 수 있다.
IRC, HTTP, 봇넷, 탐지, 대응, 보안, 관제

Description

IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 그 방법{MANAGEMENT SYSTEM FOR SECURITY CONTROL OF IRC AND HTTP BOTNET AND METHOD THEREOF}
본 발명은 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 방법에 관한 것으로서, 특히 봇넷 관제 및 보안 관리 시스템을 이용한 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 방법에 대한 것이다.
봇은 로봇(Robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 이러한 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다. 즉, 봇넷을 이루는 봇 클라이언트와 C&C(Command & Control) 서버간의 통신 프로토콜로 IRC 프로토콜일 경우에 IRC 봇넷으로 분류되며, HTTP 프로토콜일 경우에는 HTTP 봇넷으로 분류될 수 있다. 이때, 개인용 컴퓨터에 감염되어 수많은 봇이 네트워크로 연결되어 봇넷(Botnet)을 형성하게 된다. 이렇게 형성된 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다.
이와 같이, 봇넷을 통한 공격이 지속적으로 증가하고, 점차 방법이 다양화되고 있으며, 또한 금전적 이득을 목표로 하는 범죄화 양상을 보이고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/암호(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.
하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있어 그 문제점이 심각하다.
본 발명의 목적은 IRC와 HTTP 봇넷의 보안 관제를 효율적으로 할 수 있는 IRC와 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 그 방법을 제공하는 것이다.
상술한 목적을 달성하기 위해 본 발명은 인터넷 서비스 제공자 망의 봇넷을 탐지하여 봇넷에 대한 정보를 데이터베이스에 저장하고 이에 대응하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템에 있어서, 상기 인터넷 서비스 제공자 망내의 봇넷 정보를 시각화하며 상기 봇넷에 대한 대응 정책을 설정하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공한다.
상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와, 상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함한다.
상기 봇넷 관제 및 보안 관리 시스템은 상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과, 상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과, 상기 보안 이벤트 중 미분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과, 상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과, 상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과, 상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과, 상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹 방화벽을 등록하는 시스템 감독 모듈과, 상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과, 상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함한다.
상기 보안 이벤트 관리 모듈은 상기 수집된 보안 이벤트를 분류하는 보안 이벤트 수집 분류 모듈과, 상기 정책 감독 모듈이 설정한 정책에 따라 봇넷의 차단을 위한 대응 정책 요청 메시지를 상기 봇넷 대응 기술 모듈부에 전송하는 대응정책 체크 모듈과, 상기 보안 이벤트에 대한 수집/분류/정책 생성관리 모듈과, 상기 수집된 보안 이벤트 중 비정상 구성로그를 저장하는 비정상 구성로그 버퍼를 포함한다.
상기 예외 구성 로그 분석 모듈은 상기 보안 이벤트 중 비정상 구성 로그 버퍼를 주기적으로 리딩하여 동일 타임 슬롯내에서 발생된 구성로그를 구성별로 매트릭스에 기록하는 비정상 구성로그 검색 및 분류 모듈과, 현재 타임 슬롯내의 봇넷 C&C와 바로 이전의 타임 슬롯의 봇넷 C&C 정보를 비교하는 봇넷 C&C 비교 모듈과, 현재 타임 슬롯과 바로 이전 타임 슬롯에 존재하는 봇넷 C&C의 소스 IP들을 대상으로 악성 봇넷과의 유사도를 분석하는 C&C 분석 및 탐지 모듈과, 상기 C&C 분석 및 탐지 모듈에서 탐지된 봇넷 트래픽을 전송 받아 프로토콜별로 C&C를 추출하여 분석 결과를 로그에 저장하는 C&C 추출 모듈과, 상기 봇넷 관제 및 보안관리 시스템에서 신규로 탐지된 봇넷 C&C에 대한 블랙리스트 생성 대응 정책 설정 요청 메시지를 생성하는 대응 정책 설정 모듈을 포함한다.
상기 봇넷 대응 기술 모듈은 블랙리스트 공유, 도메인 네임 시스템 싱크홀, HTTP 봇넷 C&C URL 접근 차단, BGP 피딩을 포함하는 봇넷 대응 정책을 설정한다.
상기 탐지 로그 감독 모듈은 상기 데이터베이스와의 접속을 관리하는 커넥션 풀과, 상기 데이터베이스로의 조회와 삽입과 삭제 및 수정 요청을 담당하는 조회/삽입/삭제/수정 모듈과, 상기 탐리 로그 감독 모듈로의 요청 메시지를 분류하여 상기 조회/삽입/삭제/수정 모듈로 전달하는 쿼리 분류 모듈과, 상기 조회/삽입/삭제/수정 모듈에서 상기 데이터베이스로의 삽입 요청과 수정 요청에 대한 중복 여부를 체크하는 중복체크 모듈과, 상기 요청 메시지를 전달 받아 SQL문을 생성하여 전송하는 SQL문 생성/전송 모듈과, 상기 생성된 SQL문을 전송한 후 응답 받은 결과를 리턴하는 결과 전송 모듈을 포함한다.
상기 시스템 감독 모듈은 상기 인터넷 서비스 제공자 망내에서 봇넷 정보를 수집하는 다수의 트래픽 수집 센서 또는 다수의 트래픽 수집 센서에서 수집된 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템으로부터 전송된 상태 정보를 수신하여 처리하는 기능과, 사용자가 웹 상에 디스플레이된 상기 봇넷 관제 및 보안관리 시스템을 조작할 수 있는 관리 콘솔 그래픽 유저 인터페이스로부터 상태 정보 조회 요청을 처리하는 기능을 수행한다.
또한, 본 발명은 인터넷 서비스 제공자 망의 봇넷을 탐지하여 봇넷에 대한 정보를 데이터베이스에 저장하고 이에 대응하는 IRC 및 HTTP 봇넷 보안 관제를 위한 방법에 있어서, 상기 인터넷 서비스 제공자 망에서 봇넷을 탐지하는 단계와, 상기 봇넷에 따른 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법을 제공한다.
상기 인터넷 서비스 제공자 망에서 봇넷을 탐지하는 단계는 상기 인터넷 서비스 제공자 망에서 트래픽을 수집하는 단계와, 상기 수집된 트래픽을 기초로 로그를 분류하는 단계와, 상기 로그를 처리하는 단계를 포함한다. 이때, 상기 로그는 탐지로그와 분류 행위 로그와 비정상 구성 로그와 미분류 행위로그를 포함한다.
상기 로그를 처리하는 단계는 상기 탐지로그를 처리하는 단계와, 상기 분류 행위로그를 처리하는 단계와, 상기 비정상 구성로그를 처리하는 단계와, 상기 미분류 행위로그를 처리하는 단계를 포함한다. 상기 봇넷 정보에 대한 통계 데이터를 작성하는 단계를 더 포함한다.
본 발명은 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷의 보안 관제를 효율적으로 관리할 수 있는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공할 수 있다.
또한, 본 발명은 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷을 효과적으로 방어할 수 있는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템을 제공할 수 있다.
도 1은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 구성도이고, 도 2는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 봇넷 탐지 시스템의 구성도이다. 도 3은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 스택이고, 도 4는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 관제 및 보안관리 시스템의 개념도이다. 도 5는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 관제 및 보안관리 시스템의 구성도이고, 도 6은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 보안 이벤트 관리 모듈의 구성도이다. 도 7은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 보안 이벤트 관리 모듈을 설명하기 위한 순서도이고, 도 8은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 탐지/분류 행위로그 처리에 대한 SEC 시퀀스 다이어그램이다. 또한, 도 9는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 비정상 구성로그 처리에 대한 SEC 시퀀스 다이어그램이고, 도 10은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 AOA의 구성도이다. 도 11은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 AOA를 설명하기 위한 순서도이고, 도 12는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BAT의 구성도이다. 도 13은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BAT를 설명하기 위한 순서도이고, 도 14는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BAT 시퀀스 다이어그램이다. 도 15는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 대응 정책 설정 요청 검증의 순서도이고, 도 16은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 대응 정책 설정 요청 검증의 구성도이다. 도 17은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 통계 시퀀스 다이어그램이고, 도 18은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 좀비 통계 시퀀스 다이어그램이다. 도 19는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 도메인 네임 시스템 싱크홀 트래픽 통계 시퀀스 다이어그램이고, 도 20은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 통합 보고서 시퀀스 다이어그램이다. 도 21은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 보고서 예약 시퀀스 다이어그램이고, 도 22는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 초기화면 및 봇넷 C&C 클릭에 대한 시퀀스 다이어그램이다. 도 23은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BM 구성도이고, 도 24는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 리프레쉬와 줌인/줌아웃 및 타이머 시퀀스 다이어그램이다. 도 25는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 TOP N 통계 시퀀스 다이어그램이고, 도 26은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 DLM 구성도이다. 도 27은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 SM 구성도이다.
본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템은 도 1에 도시된 바와 같이, 인터넷 서비스 제공자 망에 각각 마련된 봇넷 탐지 시스템과, 봇넷 탐지 시스템의 정보를 취합하는 통합관제/보안관리 시스템을 포함한다. 이때, 인터넷 서비스 제공자(Internet Service Provider, ISP) 망은 각 개인이나 단체가 인터넷에 접속할 수 있는 회선 등을 포함하는 서비스 망을 의미하며, 본 실시예는 이러한 인터넷 서비스 제공자 망으로 세 개의 인터넷 서비스 제공자 망을 예시한다. 또한, 이에 따라, 인터넷 서비스 제공자 망은 제 1 내지 제 3 인터넷 서비스 제공자 망을 포함한다. 하지만 본 발명은 이에 한정되는 것은 아니며, 적어도 하나 이상의 인터넷 서비스 제공자 망을 포함하는 네트워크에 적용될 수 있다.
봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이러한 봇넷 탐지 시스템은 도 2에 도시된 바와 같이 트래픽 정보 수집 센서와, 트래픽 정보 수집 센서에서 수집된 트래픽 정보에 의해 봇넷을 탐지하는 봇넷 탐지 시스템과, 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함한다.
트래픽 수집 센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래픽을 수집한다. 이때, 트래픽 수집 센서는 해당 인터넷 서비스 제공자 망에 봇넷 탐지 시스템의 개수(m)×해당 봇넷 탐지 시스템에 구비된 트래픽 수집 센서의 개수(n)개 만큼 존재할 수 있다. 또한, 이러한 트래픽 수집 센서는 봇넷 관제 및 보안관리 시스템에서 설정한 수집 정책에 따라 도메인 네임 시스템(Domain Name System, DNS) 트래픽과 트래픽 정보 등을 수집한다. 이때, 수집된 트래픽 정보는 주기적으로 봇넷 탐지 시스템에 전송된다.
봇넷 탐지 시스템은 트래픽 수집 센서에서 수집된 특정 트래픽을 기초로 봇넷을 탐지한다. 이러한 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 m개 존재할 수 있다. 또한, 수집된 트래픽 정보를 이용하여 봇넷을 탐지하고 악성행위를 분석한다. 탐지된 봇넷 정보는 봇넷 관제 및 보안 관리시스템으로 전송된다. 한편, 상기 트래픽 수집 센서와 봇넷 탐지 시스템의 정책은 관리 시스템에서 설정될 수 있다.
호스트레벨 능동형 봇 감염 탐지 시스템은 독립적으로 설치된 시스템으로서, 능동적으로 감염된 악성 봇을 분석하여 봇넷이 사용하는 봇 정보를 제공한다.
봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 해당 인터넷 서비스 제공자 망의 봇넷 정보를 시각화하며 대응 정책을 설정할 수 있는 기능을 제공한다. 이때, 일반적으로 봇넷 관제 및 보안관리 시스템은 인터넷 서비스 제공자 망에 한 개가 존재한다. 이러한 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 도 3에 도시된 바와 같이, 봇넷 대응, 봇넷 정보 통계 리포팅, 시스템 관리, 봇넷 구조/악성행위 시각화, 정책 관리를 위한 인터페이스는 HTTP를 사용하여 관리자가 웹 브라우저를 통해 운영 할 수 있다.
또한, 봇넷 관제 및 보안관리 시스템은 도 4와 도 5에 도시된 바와 같이, 보안 이벤트 관리 모듈(Security Event Collector, SEC)과, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)과, 미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)과, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)과, 정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)과, 봇넷 모니터링 모듈(Botnet Monitoring, BM)과, 탐지 로그 감독 모듈(Detection Log Management, DLM)과, 정책 감독 모듈(Policy Management, PM)과, 시스템 감독 모듈(System Management, SM)을 포함한다.
도 6을 참조하면, 보안 이벤트 관리 모듈(Security Event Collector, SEC)은 다수의 탐지시스템으로부터 탐지로그와, 분류 행위로그 및 비정상 구성로그로 이루어진 보안 이벤트를 수신한다. 이때, 탐지로그는 봇넷 탐지시스템에서 봇넷 구성 분석 수행 결과 탐지된 봇넷의 정보이며, 분류 행위로그는 봇넷 탐지시스템에서 봇넷 행위 분석 수행결과 탐지된 봇넷의 행위 정보이다. 또한, 비정상 구성로그는 봇넷 탐지 시스템에서 봇넷 구성 분석 수행 결과 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하인 경우 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송하는 로그이다. 로그의 분류는 보안 이벤트 메시지 헤더의 클래스(Class) 정보를 참고하여 분류할 수 있다. 이러한 보안 이벤트 관리 모듈(Security Event Collector, SEC)은 수집/분류/정책생성관리 모듈과 보안 이벤트 수집 분류 모듈과 대응 정책 체크 모듈 및 버퍼를 포함한다. 이때, 버퍼는 비정상 구성로그 버퍼와 미분류 행위로그 버퍼를 포함한다.
보안 이벤트 수집 분류 모듈은 수집한 보안 이벤트를 분류하여 탐지로그와 분류 행위로그는 대응 정책 체크 모듈로 전달하고, 비정상 구성로그는 비정상 구성로그 버퍼에 저장한다.
대응 정책 체크 모듈은 탐지로그와 분류 행위로그를 봇넷 정보 데이터베이 스(Botnet Information Database, BIDB) 또는 봇넷 행위 데이터베이스(Botnet Behavior Database, BBDB)에 저장한다. 또한, 정책 감독 모듈(Policy Management, PM)이 설정한 정책에 따라 자동 대응이 필요한 경우 봇넷 C&C 접근 차단 또는 봇넷 악성행위 차단을 위한 대응 정책 요청 메시지를 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)로 전송한다. 이때, 정책 감독 모듈(Policy Management, PM)은 탐지 로그에 대해 자동 대응 여부를 설정할 수 있다.
한편, 도 7을 참조하면, SEC의 메시지 처리는 탐지 로그/분류 행위로그 처리와 비정상 구성로그를 버퍼에 저장하는 것으로 구분되며, PM이 설정한 '탐지 정보에 대한 자동 대응 정책 생성'에 따라 대응 정책을 설정될 수 있다.
도 8을 참조하면, 탐지로그 처리는 보안 이벤트로부터 분류한 탐지로그는 봇넷 정보 데이터베이스(BIDB) 또는 봇넷 행위 데이터베이스(BBDB)에 저장한다. 이때, 데이터베이스 저장 후 탐지 정보에 대한 '자동 대응 정책 설정'기능이 온(on)되어 있을 경우 봇넷 C&C 접근 차단 대응 정책이 존재하는지 검사한다. 봇넷 C&C 접근 차단 정책이 존재하지 않을 경우 봇넷 C&C 접근 차단 대응 정책 설정 요청 메시지를 생성하여 BAT로 전송한다. 이때, 봇넷 C&C 접근 차단 정책은 도메인 네임 시스템 싱크홀, 웹 방화벽을 이용한 C&C URL 접근 차단이 있다.
분류 행위로그 처리는 보안 이벤트로부터 분류한 분류 행위로그는 봇넷 행위 데이터베이스(BBDB)에 저장한다. 또한, 이와 같이 데이터베이스를 저장한 후 분류 행위로그에 대한 '자동 대응 정책 설정'기능이 온(on)되어 있을 경우 봇넷 악성행위 대응 정책이 존재하는지 검사한다. 봇넷 악성행위에 대한 대응 정책이 존재하지 않을 경우 봇넷 악성행위 대응 정책 설정 요청 메시지를 생성하여 BAT로 전송한다.
도 9를 참조하면, 비정상 구성로그 처리는 보안 이벤트로부터 분류한 비정상 구성로그는 비정상 구성로그 버퍼에 저장하며, 미분류 행위로그 처리는 보안 이벤트로부터 분류한 미분류 행위로그는 미분류 행위로그 버퍼에 저장한다.
도 10을 참조하면, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)은 탐지시스템은 도메인 유사도와 IP/Port 유사도 및 URL(Uniform Resource Locator) 유사도의 분석 결과 유사도가 최소 임계치 이상이며 신뢰 임계치 미만인 비정상 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송한다. 이때, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지 시스템으로부터 비정상 로그를 취합하여 분석한다. 이러한 예외 구성 로그 분석 모듈은 비정상 구성로그 검색/분류 모듈과 봇넷 C&C 비교 모듈과 C&C 분석 및 탐지 모듈과 C&C 추출 모듈과 대응 정책 설정 모듈을 포함한다.
비정상 구성로그 검색/분류 모듈은 비정상 구성로그 버퍼를 주기적으로 읽어 동일 타임 슬롯내에서 발생된 구성로그를 Dst 도메인, Dst IP/Port 또는 Dst hash별로 소스 IP들을 매트릭스에 기록한다.
봇넷 C&C 비교 모듈은 현대 타임 슬롯내의 봇넷 C&C와 바로 전 타임 슬롯의 봇넷 C&C 정보를 비교한다. 이때, 현재 타임 슬롯내에 발생된 로그들 중 바로 전 타임 슬롯에 존재하지 않는 봇넷 C&C는 삭제하는 것이 바람직하다.
C&C 분석 및 탐지 모듈은 현재 타임 슬롯과 바로 전 타임 슬롯에 존재하는 봇넷 C&C의 소스 IP들을 대상으로 유사도를 분석한다. 이때, 이러한 유사도 분석은 도메인 유사도 분석과 IP/Port 유사도 분석 및 URL 유사도 분석을 포함한다.
도메인 유사도 분석은 도메인별로 쿼리를 한 소스 IP들을 매트릭스에 기록한 후 특정 시간이 지난 후 매트릭스를 분석하여 유사도를 측정한다. 또한, 이와 같이 유사도를 분석한 후 좀비 IP 리스트를 생성한다. 이때, 좀비는 봇넷에 감염된 컴퓨터를 의미한다.
IP/Port 유사도 분석은 DST_IP/Port 정보를 읽어 각 IP/Port 조합과 매칭되는 패킷을 전송한 소스 IP들을 매트릭스에 기록한다. 또한, 특정 시간이 지난 후 매트릭스를 분석하여 유사도를 측정하며, 이에 따라 좀비 IP 리스트를 생성한다.
URL 유사도 분석은 DST_URL 정보를 읽어 각 URL별 쿼리를 한 소스 IP들을 매트릭스에 기록한다. 또한, 특정 시간이 지난 후 매트릭스를 분석하고 유사도를 측정하며, 이에 따라 좀비 IP 리스트를 생성한다.
C&C 추출 모듈은 C&C 분석 및 탐지 모듈에서 탐지된 봇넷 트래픽을 전송받아 프로토콜별 C&C를 추출하여 분석결과를 로그에 저장한다. 이때, 분석을 마친 트래픽은 다시 좀비 리스트 추출 모듈로 전송한다.
대응 정책 설정 모듈은 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에서 신규 탐지된 봇넷 C&C에 대한 정보를 탐지시스템으로 전송하기 위해 '블랙리스트 생성 대응 정책' 설정 요청 메시지를 생성한다.
한편, 도 11을 참조하면, 예외 구성 로그 분석 모듈(Anomaly Organization Log Analysis, AOA)에서의 비정상 구성로그 처리는 주기적으로 비정상 구성 로그 버퍼를 검색하여 구현할 수 있다. 이때, 검색한 비정상 구성 로그가 현재 타임 엔트리(Time Entry)에 해당되지 않는다면 해당 구성 로그를 버퍼에서 삭제하는 것이 바람직하다. 이 경우, 현재 타임 엔트리에 해당되는 구성로그를 C&C 정보를 기반으로 분류한다. 이때, 분류 후 IP 카운트(Count)값이 임계값보다 클 경우 봇넷으로 탐지하며, 탐지된 봇넷 정보는 '블랙 리스트 공유 요청' 메시지를 생성하여 PM으로 전송된다.
미분류된 행동 로그 분석 모듈(Unclassified Behavior Log Analysis, UBA)은 미분류 행위로그를 전달받아 이를 분류하고 대응 정책을 설정한다. 또한, 이를 위해 탐지시스템은 미분류된 행위 로그를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)으로 전송하고, 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)은 다수의 탐지시스템으로부터 미분류 행위로그를 전달받아 분류를 수행한다.
도 12를 참조하면, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)은 탐지된 봇넷에 대한 대응 정책을 수립한다. 또한, 탐지된 봇넷을 기초로 작성된 블랙리스트의 공유와, 도메인 네임 시스템 싱크홀의 적용과, BGP 피딩(Border Gateway Protocol feeding), 웹 방화벽을 이용한 HTTP 봇넷 C&C 접근 URL차단 등의 대응 정책을 수립한다. 이러한 대응 정책의 생성은 SEC, MMBOA, MMBBA, BIS, 관리 콘솔 그래픽 유저 인터페이스로부터 '봇넷 대응 정책 설정 요청'을 수집하여 실시될 수 있다. 또한, 이와 같이 대응 정책을 생성한 후 도메인 네임 시스템 서버와 BGP 라우터와 탐지 시스템 및 웹 방화벽 등과 같이 등록된 시스템으로 전송하는 역 할을 수행한다. 이때, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)을 이용하여 설정할 수 있는 봇넷 대응 정책은 블랙리스트 공유, 도메인 네임 시스템 싱크홀, HTTP 봇넷 C&C URL 접근 차단, BGP 피딩을 포함한다.
블랙리스트 공유는 SEC, MMBOA, MMBBA, BIS로부터 생성되는 봇넷 대응 정책으로서, 특정 AS(탐지 시스템이 관리하는 영역)와 짧은 시간에 다수의 좀비가 새로운 C&C에 접근하는 것이 발견될 경우 C&C에 대한 정보를 다른 AS의 탐지 시스템에게 공유한다.
도메인 네임 시스템 싱크홀은 SEC와 MMBOA, BIS로부터 생성되는 봇넷 대응 정책으로서, 주로 IRC 기반의 봇넷 C&C 접근 차단을 위해 사용되는 대응 정책이다. 이때, 신규로 발견된 IRC 봇넷에 대한 접근 차단을 위해 도메인 네임 시스템 자원 레코드(Domain Name System Resource Record, DNS RR)를 생성하여 도메인 네임 시스템 서버로 전송한다.
HTTP 봇넷 C&C URL 접근 차단은 SEC와 MMBOA 및 BIS로부터 생성되는 봇넷 대응 정책으로서, 주로 HTTP 기반의 봇넷 C&C 접근 차단을 위해 사용되는 대응 정책이다. 이러한 좀비의 HTTP 봇넷 C&C URL 접근 차단은 공개 웹 방화벽의 룰 설정을 통해 구현될 수 있다.
BGP 피딩은 SEC와 MMBBA 및 BIS로부터 생성되는 봇넷 대응 정책으로서, 디도스(DDoS) 등의 봇넷을 이용한 공격 행위 차단을 위해 사용되는 대응 정책이다. 이러한 BGP 피딩에 의한 대응 정책에 의해 공격 대상(Victim)으로 가는 디도스(DDoS) 트래픽 등을 널 라우팅(Null Routing)을 통해 차단할 수 있다.
한편, 도 13 및 도 14를 참조하면, 봇넷 대응 기술 모듈(Botnet Against Technology, BAT)에 의한 메시지 처리는 관리 콘솔 그래픽 사용자 인터페이스로부터의 봇넷 대응 정책 설정 요청 처리와 나머지 요청 처리로 구분될 수 있다. 이때, 관리 콘솔 그래픽 사용자 인터페이스로부터 봇넷 대응 정책 설정 요청은 대응 정책 설정 요청 검증을 수행하고 대응 정책을 생성한 후 등록된 시스템으로 전송한다.
한편, 도 15를 참조하면, 봇넷 대응 정책 설정 요청 검증 메시지 처리는 대응 정책 타입에 따라 도메인 네임 시스템 자원 레코드(DNS RR) 검증, BGP 라우팅 룰 검증, 공개 웹 방화벽 기반 HTTP C&C URL 접근 차단 룰 검증으로 구분될 수 있다.
도메인 네임 시스템 자원 레코드를 이용한 도메인 네임 시스템 싱크홀 대응 정책 검증은 도메인 네임 시스템 자원 레코드에 포함된 도메인 네임 시스템이 봇넷 정보 데이터베이스(BIDB)에 존재하는지 검사한다. 또한, 도메인 네임 자원 레코드를 적용할 도메인 네임 시스템 서버가 시스템 정보 데이터베이스에 존재하는지 검사한다.
BGP 라우팅 정책을 이용한 BGP 피딩 정책 검증은 BGP 라우팅 정책의 목적지 주소가 봇넷 행위 데이터베이스(BBDB)에 존재하는지 검사한다. 또한, BGP 라우팅 룰을 적용할 BGP 라우터가 시스템 정보 데이터베이스에 존재하는지 검사한다.
공개 웹 방화벽을 이용한 HTTP 봇넷 C&C 접근 차단 정책 검증은 차단룰의 URL이 봇넷 정보 데이터베이스(BIDB)에 존재하는지 검사한다. 또한, 차단룰을 적용한 공개 웹 방화벽이 시스템 정보 데이터베이스에 존재하는지 검사한다.
한편, 도 16에 도시된 바와 같이, 봇넷 대응 정책 검증은 관리 콘솔 그래픽 사용자 인터페이스로부터 대응 정책 생성 요청일 경우 수행하는 대응 정책 검증 프로세스를 관리자가 수동으로 수행할 수 있다. 이때, 대응 정책에 포함된 봇넷 정보 또는 시스템 정보가 실제 시스템 정보 데이터베이스에 등록된 것인지 확인이 필요하다.
도메인 네임 시스템 싱크홀 정책 검증은 도메인 네임 자원 레코드에 포함된 C&C 도메인 네임이 봇넷 정보 데이터베이스에 존재하는지 체크하고, 이를 적용하고자 하는 도메인 네임 시스템 서버가 존재하는지 검사한다. BGP 피딩 정책 검증은 라우팅 정책에 포함된 IP 주소를 공격 대상(Victim)으로 하는 악성 행위가 존재하는지 체크하고, 적용하고자 하는 BGP 라우터가 존재하는지 검사한다. HTTP C&C 접근 차단 룰 검증은 룰 파싱 후 해당 URL을 C&C로 가지는 HTTP 봇넷이 존재하는지 체크하고, 적용하고자 하는 보안 장비가 존재하는지 검사한다. 물론, 블랙리스트 공유는 관리자가 직접 생성할 수 없으므로 검증 과정이 필요하지 않다.
정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)은 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터 생성한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능 제공하며, 이러한 정적인 리포팅 관리부는 웹 기반 사용자 인터페이스(User Interface, UI)를 통해서 사용할 수 있다.
도 17을 참조하면, 봇넷 통계 시퀀스는 우선, 사용자가 메뉴에서 봇넷 통계를 선택([1])한다. 이후, 기본 검색 조건을 기간'최근 일주일'로 하여 봇넷 정보 데이터베이스에 쿼리하고 결과를 수집([2])한다. 수집한 봇넷 통계(봇넷 타입, 봇 넷 C&C 도메인 네임, IP 주소, 보유 좀비 수 등)를 추이 그래프로 표시하고 내림차순 정렬하여 화면에 표시([3])한다. 사용자는 통계 항목의 검색 조건(통계 영역, 봇넷 타입, C&C 도메인 네임, 도메인 IP, 포트 번호, 악성 행위 등)을 활용하여 해당 통계를 요청([4])한다. 사용자가 선택한 검색 조건을 봇넷 정보 데이터베이스와 악성행위 데이터베이스로 쿼리하여 정보를 수집([5])하고, 이에 대한 결과를 화면에 표시([6])한다.
도 18을 참조하면, 봇넷 좀비 통계 시퀀스는 우선, 사용자가 메뉴에서 봇넷 좀비 통계를 선택([1])한다. 이후, 기본 검색 조건을 기간'최근 일주일'로 하여 봇넷 정보 데이터베이스에 쿼리하고 결과를 수집([2])한다. 수집한 봇넷 통계(봇넷 타입, 봇넷 C&C 도메인 네임, IP 주소, 사용 봇 바이너리, 악성행위 등)를 추이 그래프로 표시하고 내림차순 정렬하여 화면에 표시([3])한다. 사용자는 통계 항목의 검색 조건(봇넷 타입, 봇넷 C&C 도메인 네임, 좀비 IP 주소, 사용 봇 바이너리, 악성행위 등)을 활용하여 해당 통계를 요청([4])한다. 사용자가 선택한 검색 조건을 봇넷 정보 데이터베이스와 악성행위 데이터베이스로 쿼리하여 정보를 수집([5])하고, 이에 대한 결과를 화면에 표시([6])한다.
도 19를 참조하면, 도메인 네임 시스템 싱크홀 트래픽 통계 시퀀스는 우선, 사용자가 메뉴에서 도메인 네임 시스템 싱크홀 유입 트래픽 통계를 선택([1])한다. 이후, 기본 검색 조건을 기간'최근 일주일'로 하여 봇넷 정보 데이터베이스에 쿼리하고 결과를 수집([2])한다. 수집한 도메인 네임 시스템 싱크홀 서버 트래픽을 추이 그래프와 표 형태로 화면에 표시([3])한다. 사용자는 통계 항목의 검색 조건(소 스 IP)을 활용하여 해당 통계를 요청([4])한다. 사용자가 선택한 검색 조건을 봇넷 정보 데이터베이스로 쿼리하여 정보를 수집([5])하고, 이에 대한 결과를 화면에 표시([6])한다.
도 20을 참조하면, 통합 보고서 시퀀스는 우선, 사용자가 메뉴에서 통합 보고서를 선택([1])한다. 이는 통합 보고서의 이름, 형식, 기간, 보고서 종류 등을 선택하여 보고서 생성을 클릭함으로써 수행할 수 있다. 사용자가 선택한 검색 조건에 따라 봇넷 정보 데이터베이스와 악성행위 정보 데이터베이스를 쿼리하여 결과를 수집([2])한다. 해당 보고서를 생성하여 보고서 테이블에 결과를 기록([3])하고 생성된 보고서를 사용자의 화면에 표시([4])한다.
도 21을 참조하면, 보고서 예약 시퀀스는 우선, 사용자가 메뉴에서 보고서 예약을 선택([1])한다. 예약 보고서 리스트 데이터베이스를 쿼리하여 예약 보고서 리스트 결과를 읽고([2]), 이를 화면에 표시([3])한다. 이후, 사용자가 예약 등록을 선택([4])하면 예약등록 화면이 화면에 표시([5])된다. 예약 등록 화면에서 예약할 보고서의 종류를 선택하고, 보고서 이름과 보고서의 확장자 및 기간 등을 선택하고 보고서 예약 버튼을 선택([6])한다. 예약 보고서 리스트 데이터베이스에 해당 보고서 정보를 저장([7])하고 예약 보고서 리스트를 화면에 표시([8])한다. 예약된 시간이 되면 봇넷 정보 데이터베이스와 악성 행위 데이터베이스 등에 쿼리하여 정보를 수집하고 보고서 데이터베이스에 해당 보고서를 생성한 후 저장([9])한다.
봇넷 모니터링 모듈(Botnet Monitoring, BM)은 봇넷 구조 및 악성행위를 쉽 게 확인 할 수 있는 모니터링 기능을 제공한다. 또한, 생성된 통계 데이터에 대해서 리포팅 기능을 제공한다.
이러한 봇넷 모니터링 모듈(Botnet Monitoring, BM)은 도 22 및 도 23에 도시된 바와 같이, 사용자가 시스템을 시작([1])하면 C&C 지도 화면과 C&C와 관련된 모든 정보인 C&C 리스트를 요청([2])한다. 또한, 봇넷 정보 데이터베이스에 C&C 정보를 쿼리([3])하며, 타 인터넷 서비스 제공자 망에 존재하는 C&C와 좀비 정보(OtherISPList)를 수신([4][5])한다. 이때, 봇넷 정보 데이터베이스는 데이터베이스에 존재하는 C&C 정보(CCList)와 현재 인터넷 서비스 제공자 망인지 타 인터넷 서비스 제공자 망인지를 파악하여 이에 대한 정보를 전송([6])한다. 이후, 그래픽 사용자 인터페이스에 C&C 맵과 C&C 리스트를 출력([7])하고, 사용자가 맵에서 특정 C&C를 클릭([8])한다. 또한, 정책 감독 모듈(Policy Management, PM)에 해당 C&C(CC)의 좀비 지도와 좀비 리스트 및 대표 공격 유형 시각화를 요청([9])한다. 이때, 정책 감독 모듈(Policy Management, PM)은 봇넷 정보 데이터베이스에 해당 C&C(CC)의 좀비 정보를 요청([10])하며, 이에 따라 봇넷 정보 데이터베이스는 정책 감독 모듈(Policy Management, PM)에 좀비 정보를 전송([11])한다. 이후 정책 감독 모듈(Policy Management, PM)은 악성 행위 데이터베이스에 해당 좀비들의 공격 유형을 요청([12])하며, 악성 행위 데이터베이스는 해당 좀비들에 대한 공격 유형을 전송([13])한다. 또한, 이에 따라 봇넷 정보 데이터베이스는 정책 감독 모듈(Policy Management, PM)은 좀비 리스트와 공격 유형을 분석하여 가장 많이 사용된 공격 유형(HighZom)을 찾는다([14]). 이후 정책 감독 모듈(Policy Management, PM)은 가장 많이 사용된 공격 유형(HighZOm)에 해당하는 시각화를 시각화 정책 데이터베이스에 요청([15])하며, 이에 따른 시각화 정보(AttackVisual)를 전송([16])받는다. 또한, 이에 따라 그래픽 사용자 인터페이스 지도에 좀비들의 위치와 공격 유형과 좀비 리스트 및 대표 공격 유형을 시각화하여 출력([17])한다.
도 24를 참조하면, 리프레쉬(Refresh)와 줌인(Zoom in)/줌아웃(Zoom out) 및 타이머(Timer) 시퀀스는 우선 관리자가 리프레쉬를 요청([1])하면, 정책 감독 모듈(Policy Management, PM)은 C&C 지도 화면과 C&C와 관련된 모든 정보인 C&C 리스트를 요청([2])한다. 또한, 봇넷 정보 데이터베이스에 C&C 정보를 쿼리([3])하며, 타 인터넷 서비스 제공자 망에 존재하는 C&C와 좀비 정보(OtherISPList)를 수신([4][5])한다. 이때, 봇넷 정보 데이터베이스는 데이터베이스에 존재하는 C&C 정보(CCList)와 현재 인터넷 서비스 제공자 망인지 타 인터넷 서비스 제공자 망인지를 파악하여 이에 대한 정보를 전송([6])한다. 이후, 그래픽 사용자 인터페이스에 C&C 맵과 C&C 리스트를 출력([7])하면, 사용자가 줌인/줌아웃을 요청([8])한다. 줌인/줌아웃(InOut)에 따라 사용자는 정책 감독 모듈(Policy Management, PM)에 새로운 봇넷 지도와 리스트를 요청([9])한다. 또한, 정책 감독 모듈(Policy Management, PM)은 InOut에 따라 사용자의 봇넷 지도와 리스트 범위를 변경([10])한다. 그래픽 사용자 인터페이스에 새로운 봇넷 지도와 리스트를 출력([11])한다. 사용자가 타이머 시간을 지정해서 요청([12])하며, 이에 따라 정책 감독 모듈(Policy Management, PM)에 시간(Start~End)에 해당하는 봇넷 지도와 리스트를 요청([13])한다. 정책 감독 모듈(Policy Management, PM)은 봇넷 정보 데이터베이 스에 해당 시간에 해당하는 C&C 정보를 요청([14])한다. 또한, 정책 감독 모듈(Policy Management, PM)은 타 인터넷 서비스 제공자 망에 존재하는 C&C와 좀비 정보(OtherISPList)를 요청하고 이를 수신([15][16])한다. 봇넷 정보 데이터베이스는 데이터베이스에 존재하는 C&C 정보(CCList)와 현재 인터넷 서비스 제공자 망인지 타 인터넷 서비스 제공자 망인지를 파악하여 이에 대한 정보를 전송([17])한다. 이후, 그래픽 사용자 인터페이스에 C&C 맵과 C&C 리스트를 출력([18])한다.
도 25를 참조하면, 정적인 리포팅 관리 모듈(Statics Reporting Management, SRM)의 TOP N 통계 시퀀스는 우선, 사용자가 메뉴에서 TOP N 통계를 선택([1])한다. 이후 기본 검색 조건을 기간 '최근 일주일'로 하여 봇넷 정보 데이터베이스에 쿼리하고 결과를 수집([2])한다. 수집한 봇넷 통계(봇넷 타입, 봇넷 C&C 도메인 네임, 보유 좀비 수 등)를 내림 차순 정렬로 화면에 표시([3])한다. 사용자는 통계 항목의 검색 조건을 활용하여 해당 통계를 요청([4])하고, 사용자가 선택한 검색 조건을 봇넷 정보 데이터베이스와 악성 행위 데이터베이스로 쿼리하여 정보를 수집([5])한다. 이후, 이에 따른 검색 결과를 화면에 표시([6])한다.
도 26을 참조하면, 탐지 로그 감독 모듈(Detection Log Management, DLM)은 봇넷 정보, 봇넷 악성행위 정보, 시스템 정보, 정책 정보, 봇넷 대응 정책 정보 등을 관리하기 위한 프로세서이다. 또한, 탐지 로그 감독 모듈(Detection Log Management, DLM)은 SM, BAT, SRM, BM, PM으로부터 장비 정보 데이터베이스, 봇넷 대응 정보 데이터베이스, 봇넷 정보 데이터베이스, 악성행위 데이터베이스, 정책 데이터베이스 등으로의 로그 삽입/삭제/수정/검색 등의 요청을 받아 결과를 돌려주 는 기능을 수행한다. 이러한 탐지 로그 감독부(Detection Log Management, DLM)는 데이터베이스와의 커넥션을 관리하는 커넥션 풀과 쿼리 분류와 조회/삽입/삭제/수정, 중복체크, SQL문 생성/전송 모듈로 구성된다.
커넥션 풀(Connection Pool) 모듈은 DB와의 커넥션을 관리하고 있는 버퍼로써, 미리 데이터베이스 커넥션을 생성하여, 데이터베이스 접속(Connection) 요청 시 할당을 수행한다.
쿼리 분류 모듈은 탐지 로그 감독부(Detection Log Management, DLM)로의 요청을 분류하여 조회, 삽입, 삭제,수정 모듈로 전달하는 기능을 수행한다. 또한, 조회/삽입/삭제/수정 모듈은 데이터베이스로의 조회/삽입/삭제/수정 요청을 담당한다.
중복체크 모듈은 조회/삽입/삭제/수정 모듈에서 데이터베이스로의 삽입 요청과 수정 요청에 대한 중복 여부를 체크한다. 또한, SQL문 생성/전송 모듈은 요청 메시지를 전달 받아 SQL문을 생성하여, 전송하는 기능을 수행하며, 결과 전송 모듈은 생성된 SQL문을 전송 한 후, 응답 받은 결과를 리턴해 주는 기능을 수행한다.
정책 감독 모듈(Policy Management, PM)은 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM) 내부에서 실행되고 있는 모듈에 대한 정책을 설정한다. 또한, 정책 감독부는 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록된 탐지시스템의 탐지 정책을 설정한다. 또한, 등록된 탐지 시스템을 통한 트래픽 수집 센서 정책을 설정한다.
도 27을 참조하면, 시스템 감독 모듈(System Management, SM)은 탐지시스템, 트래픽 수집센서, 도메인 네임 시스템 싱크홀 서버, BGP 라우터, 도메인 네임 시스템 서버, 웹 방화벽 등을 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)에 등록하는 기능을 제공한다. 또한, 등록된 탐지 시스템, 트래픽 수집센서에 대한 모니터링 및 온/오프 기능을 제공한다. 이러한 시스템 감독 모듈(System Management, SM)은 관리자가 접근해서 사용하는 웹 사용자 인터페이스와 시스템 감독 프로세스로 구성된다. 또한, 시스템 감독 모듈(System Management, SM)은 웹 사용자 인터페이스를 통해 시스템의 등록, 수정, 삭제를 수행하고, 등록된 트래픽 수집 센서와 탐지 시스템에 대한 모니터링 및 환경설정을 수행한다. 시스템 감독 프로세서는 다수의 트래픽 수집 센서 또는 탐지 시스템으로부터 전송된 상태 정보(on/off, cpu usage 등)를 수신하여 처리 하는 상태 정보 처리 기능과 관리 콘솔 그래픽 사용자 인터페이스로부터 상태 정보 조회 요청을 처리한다.
상태 정보 처리는 트래픽 수집 센서 또는 탐지 시스템은 상태 정보를 봇넷 관제 및 보안관리 시스템(Botnet Management Security Management, BMSM)로 주기적으로 전송한다. 이때, 시스템 감독 모듈(System Management, SM)은 IP 필터 기능을 사용하여 등록된 트래픽 수집 센서 및 탐지 시스템으로 부터의 정보만 수신한다. 또한, 수신된 상태 정보 메시지는 상태 메시지 수집/분류를 거친 후, 상태정보 저장 버퍼로 저장한다.
관리 콘솔 그래픽 사용자 인터페이스로부터 상태 정보 조회 요청 처리는 관리 콘솔 그래픽 사용자 인터페이스는 관리자의 요청에 따라 등록된 트래픽 수집 센 서 또는 탐지 시스템의 상태 정보 요청한다. 시스템 감독 모듈(System Management, SM)은 상태 정보 요청 메시지를 전달 받아 상태 정보 저장 버퍼에 저장된 상태 정보를 조회한다.
상술한 바와 같이 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템은 봇넷 관제 및 보안 관리 시스템을 이용하여 IRC와 HTTP 봇넷의 보안 관제를 효율적으로 관리할 수 있다.
다음은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법에 대해 도면을 참조하여 간략히 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다. 이때, 후술할 내용의 각 단계에 대한 상세한 설명은 전술된 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템에서 기술되었으므로 생략하기로 한다.
도 28은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법을 설명하기 위한 순서도이다.
본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법은 도 28에 도시된 바와 같이, 봇넷을 탐지하는 단계(S1)와, 대응 정책을 수립하는 단계(S2)와, 통계 데이터를 작성하는 단계(S3)를 포함한다.
봇넷을 탐지하는 단계(S1)는 다수의 인터넷 서비스 제공자 망 각각에서 봇넷 을 탐지한다. 이러한 봇넷을 탐지하는 단계는 트래픽을 수집하는 단계(S1-1)와, 로그를 분류하는 단계(S1-2)와, 로그를 처리하는 단계(S1-3)를 포함한다.
트래픽을 수집하는 단계(S1-1)는 다수의 인터넷 서비스 제공자 망 각각에서 트래픽을 수집한다. 이를 위해 다수의 인터넷 서비스 제공자 망에는 트래픽 수집 센서가 구비되며, 봇넷 관제 및 보안관리 시스템에서 설정한 트래픽 수집 정책에 따라 도메인 네임 시스템 트래픽과 트래픽 정보 등을 수집한다. 이때, 상기 트래픽 수집 정책은 예를 들어, 특정 서버에 집중적으로 접속하는 중앙집중형 접속 특성을 갖는 트래픽 등과 같이 특정한 특성을 보이는 트래픽일 수 있다.
로그를 분류하는 단계(S1-2)는 수집된 트래픽의 보안 이벤트를 분류한다. 이때, 분류된 보안 이벤트는 탐지 로그와 분류 행위 로그와 비정상 구성 로그 및 미분류 행위 로그를 포함한다.
로그를 처리하는 단계(S1-3)는 트래픽을 수집하는 단계에서 수집된 트래픽의 로그를 분석한다. 이러한 로그를 분석하는 단계는 탐지로그를 처리하는 단계(S1-3-1)와, 분류 행위 로그를 처리하는 단계(S1-3-2)와, 비정상 구성 로그를 처리하는 단계(S1-3-3)와, 미분류 행위로그를 처리하는 단계(S1-3-4)를 포함한다.
탐지로그를 처리하는 단계(S1-3-1)는 보안 이벤트로부터 분류한 탐지 로그를 봇넷 정보 데이터베이스에 저장한다. 이후, 탐지 정보에 대한 '자동 대응 정책 설 정'기능이 온되어 있을 경우 봇넷 C&C 접근 차단 대응 정책이 존재하는지 검사한다. 이때, 봇넷 C&C 접근 차단 정책이 존재하지 않을 경우 봇넷 C&C 접근 차단 대응 정책 설정 요청 메시지를 생성하여 봇넷 대응 기술 모듈로 전송한다.
분류 행위 로그를 처리하는 단계(S1-3-2)는 보안 이벤트로부터 분류한 분류 행위 로그를 봇넷 행위 데이터베이스에 저장한다. 이후, 분류 행위 로그에 대한 '자동 대응 정책 설정'기능이 온되어 있을 경우 봇넷 악성행위 대응 정책이 존재하는지 검사한다. 이때, 봇넷 악성행위에 대한 대응 정책이 존재하지 않을 경우, 봇넷 악성행위 대응 정책 설정 요청 메시지를 생성하여 봇넷 대응 기술 모듈로 전송한다.
비정상 구성 로그를 처리하는 단계(S1-3-3)는 보안 이벤트로부터 분류한 비정상 구성로그를 비정상 구성로그 버퍼에 저장한다. 또한, 예외 구성 로그 분석부는 주기적으로 비정상 구성 로그 버퍼를 검색하며, 검색한 비정상 구성 로그가 현재 타임 엔트리에 해당되지 않는다면 해당 구성 로그를 버퍼에서 삭제한다. 또한, 현재 타임 엔트리에 해당되는 구성로그를 C&C 정보를 기반으로 하여 분류한다. 이후, IP 카운트 값이 임계값보다 클 경우 봇넷으로 탐지하며, 탐지된 봇넷 정보는 '블랙 리스트 공유 요청'메시지를 생성하여 정책 감독 모듈에 전송한다.
미분류 행위로그를 처리하는 단계(S1-3-4)는 보안 이벤트로부터 분류한 미분류 행위로그를 미분류 행위로그 버퍼에 저장한다.
대응 정책을 수립하는 단계(S3)는 타 인터넷 서비스 제공자 망의 봇넷 관제 및 보안관리 시스템에서 탐지된 봇넷 정보를 수신하고 이를 토대로 대응 정책을 수립한다. 상기 대응 정책은 봇넷 대응 기술 모듈에 의해 구현될 수 있다. 이때, 상기 대응 정책은 봇넷으로 판명된 블랙 리스트의 공유, 도메인 네임 시스템 싱크홀 적용, BGP 피딩, 웹방화벽을 이용한 HTTP 봇넷 C&C 접근 URL 차단 등을 포함할 수 있다.
통계 데이터를 작성하는 단계(S4)는 봇넷 정보 및 악성행위 정보를 다양한 그래프와 테이블 등과 같은 통계 데이터로 작성한다. 이때, 생성된 통계 데이터에 대해서 리포팅할 수 있으며, 이러한 통계 데이터의 작성 및 리포팅은 웹 기반 사용자 인터페이스를 통해 구현될 수 있다.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 구성도이다.
도 2는 본 발명에 따른 IRC와 HTTP 봇넷 정보 공유 시스템의 봇넷 탐지 시스템의 구성도이다.
도 3은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 스택이다.
도 4는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 관제 및 보안관리 시스템의 개념도이다.
도 5는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 관제 및 보안관리 시스템의 구성도이다.
도 6은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 보안 이벤트 관리 모듈의 구성도이다.
도 7은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 보안 이벤트 관리 모듈을 설명하기 위한 순서도이다.
도 8은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 탐지/분류 행위로그 처리에 대한 SEC 시퀀스 다이어그램이다.
도 9는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 비정상 구성로그 처리에 대한 SEC 시퀀스 다이어그램이다.
도 10은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 AOA의 구성도이다.
도 11은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 AOA를 설명하기 위한 순서도이다.
도 12는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BAT의 구성도이다.
도 13은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BAT를 설명하기 위한 순서도이다.
도 14는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BAT 시퀀스 다이어그램이다.
도 15는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 대응 정책 설정 요청 검증의 순서도이다.
도 16은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 대응 정책 설정 요청 검증의 구성도이다.
도 17은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 통계 시퀀스 다이어그램이다.
도 18은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 봇넷 좀비 통계 시퀀스 다이어그램이다.
도 19는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 도메인 네임 시스템 싱크홀 트래픽 통계 시퀀스 다이어그램이다.
도 20은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 통합 보고서 시퀀스 다이어그램이다.
도 21은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 보고서 예약 시퀀스 다이어그램이다.
도 22는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 초기화면 및 봇넷 C&C 클릭에 대한 시퀀스 다이어그램이다.
도 23은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 BM의 구성도이다.
도 24는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 리프레쉬와 줌인/줌아웃 및 타이머 시퀀스 다이어그램이다.
도 25는 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 TOP N 통계 시퀀스 다이어그램이다.
도 26은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 DLM의 구성도이다.
도 27은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템의 SM의 구성도이다.
도 28은 본 발명에 따른 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법을 설명하기 위한 순서도이다.

Claims (13)

  1. 인터넷 서비스 제공자 망의 봇넷을 탐지하여 봇넷에 대한 정보를 데이터베이스에 저장하고 이에 대응하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템에 있어서,
    상기 인터넷 서비스 제공자 망내의 봇넷 정보를 시각화하며 상기 봇넷에 대한 대응 정책을 설정하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  2. 제 1 항에 있어서,
    상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와,
    상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  3. 제 1 항에 있어서,
    상기 봇넷 관제 및 보안 관리 시스템은,
    상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과,
    상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과,
    상기 보안 이벤트 중 미분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과,
    상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과,
    상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과,
    상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과,
    상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹 방화벽을 등록하는 시스템 감독 모듈과,
    상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과,
    상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  4. 제 3 항에 있어서,
    상기 보안 이벤트 관리 모듈은,
    상기 수집된 보안 이벤트를 분류하는 보안 이벤트 수집 분류 모듈과,
    상기 정책 감독 모듈이 설정한 정책에 따라 봇넷의 차단을 위한 대응 정책 요청 메시지를 상기 봇넷 대응 기술 모듈부에 전송하는 대응정책 체크 모듈과,
    상기 보안 이벤트에 대한 수집/분류/정책 생성관리 모듈과,
    상기 수집된 보안 이벤트 중 비정상 구성로그를 저장하는 비정상 구성로그 버퍼를 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  5. 제 3 항에 있어서,
    상기 예외 구성 로그 분석 모듈은,
    상기 보안 이벤트 중 비정상 구성 로그 버퍼를 주기적으로 리딩하여 동일 타임 슬롯내에서 발생된 구성로그를 구성별로 매트릭스에 기록하는 비정상 구성로그 검색 및 분류 모듈과,
    현재 타임 슬롯내의 봇넷 C&C와 바로 이전의 타임 슬롯의 봇넷 C&C 정보를 비교하는 봇넷 C&C 비교 모듈과,
    현재 타임 슬롯과 바로 이전 타임 슬롯에 존재하는 봇넷 C&C의 소스 IP들을 대상으로 악성 봇넷과의 유사도를 분석하는 C&C 분석 및 탐지 모듈과,
    상기 C&C 분석 및 탐지 모듈에서 탐지된 봇넷 트래픽을 전송 받아 프로토콜별로 C&C를 추출하여 분석결과를 로그에 저장하는 C&C 추출 모듈과,
    상기 봇넷 관제 및 보안관리 시스템에서 신규로 탐지된 봇넷 C&C에 대한 블랙리스트 생성 대응 정책 설정 요청 메시지를 생성하는 대응 정책 설정 모듈을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  6. 제 5 항에 있어서,
    상기 봇넷 대응 기술 모듈은 블랙리스트 공유, 도메인 네임 시스템 싱크홀, HTTP 봇넷 C&C URL 접근 차단, BGP 피딩을 포함하는 봇넷 대응 정책을 설정하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  7. 제 3 항에 있어서,
    상기 탐지 로그 감독 모듈은,
    상기 데이터베이스와의 접속을 관리하는 커넥션 풀과,
    상기 데이터베이스로의 조회와 삽입과 삭제 및 수정 요청을 담당하는 조회/삽입/삭제/수정 모듈과,
    상기 탐리 로그 감독 모듈로의 요청 메시지를 분류하여 상기 조회/삽입/삭제/수정 모듈로 전달하는 쿼리 분류 모듈과,
    상기 조회/삽입/삭제/수정 모듈에서 상기 데이터베이스로의 삽입 요청과 수정 요청에 대한 중복 여부를 체크하는 중복체크 모듈과,
    상기 요청 메시지를 전달 받아 SQL문을 생성하여 전송하는 SQL문 생성/전송 모듈과,
    상기 생성된 SQL문을 전송한 후 응답 받은 결과를 리턴하는 결과 전송 모듈을 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  8. 제 3 항에 있어서,
    상기 시스템 감독 모듈은 상기 인터넷 서비스 제공자 망내에서 봇넷 정보를 수집하는 다수의 트래픽 수집 센서 또는 다수의 트래픽 수집 센서에서 수집된 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템으로부터 전송된 상태 정보를 수신하여 처리하는 기능과,
    사용자가 웹상에 디스플레이된 상기 봇넷 관제 및 보안관리 시스템을 조작할 수 있는 관리 콘솔 그래픽 유저 인터페이스로부터 상태 정보 조회 요청을 처리하는 기능을 수행하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템.
  9. 인터넷 서비스 제공자 망의 봇넷을 탐지하여 봇넷에 대한 정보를 데이터베이스에 저장하고 이에 대응하는 IRC 및 HTTP 봇넷 보안 관제를 위한 방법에 있어서,
    상기 인터넷 서비스 제공자 망에서 봇넷을 탐지하는 단계와,
    상기 봇넷에 따른 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법.
  10. 제 9 항에 있어서,
    상기 인터넷 서비스 제공자 망에서 봇넷을 탐지하는 단계는,
    상기 인터넷 서비스 제공자 망에서 트래픽을 수집하는 단계와,
    상기 수집된 트래픽을 기초로 로그를 분류하는 단계와,
    상기 로그를 처리하는 단계를 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법.
  11. 제 10 항에 있어서,
    상기 로그는 탐지로그와 분류 행위 로그와 비정상 구성 로그와 미분류 행위로그를 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법.
  12. 제 11 항에 있어서,
    상기 로그를 처리하는 단계는,
    상기 탐지로그를 처리하는 단계와,
    상기 분류 행위로그를 처리하는 단계와,
    상기 비정상 구성로그를 처리하는 단계와,
    상기 미분류 행위로그를 처리하는 단계를 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법.
  13. 제 10 항에 있어서,
    상기 봇넷 정보에 대한 통계 데이터를 작성하는 단계를 더 포함하는 것을 특징으로 하는 IRC 및 HTTP 봇넷 보안 관제를 위한 관리 방법.
KR1020080133644A 2008-12-24 2008-12-24 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 KR101010302B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080133644A KR101010302B1 (ko) 2008-12-24 2008-12-24 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
US12/544,569 US20100162350A1 (en) 2008-12-24 2009-08-20 Security system of managing irc and http botnets, and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080133644A KR101010302B1 (ko) 2008-12-24 2008-12-24 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20100075043A true KR20100075043A (ko) 2010-07-02
KR101010302B1 KR101010302B1 (ko) 2011-01-25

Family

ID=42268089

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080133644A KR101010302B1 (ko) 2008-12-24 2008-12-24 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US20100162350A1 (ko)
KR (1) KR101010302B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101109669B1 (ko) * 2010-04-28 2012-02-08 한국전자통신연구원 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
KR101697189B1 (ko) * 2015-08-28 2017-01-17 국방과학연구소 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9418040B2 (en) * 2005-07-07 2016-08-16 Sciencelogic, Inc. Dynamically deployable self configuring distributed network management system
CN101848197B (zh) * 2009-03-23 2015-01-21 华为技术有限公司 检测方法、装置和具有检测功能的网络
JP5487864B2 (ja) * 2009-09-30 2014-05-14 富士通株式会社 データ収集装置、データ収集方法およびデータ収集プログラム
JP5222823B2 (ja) * 2009-10-20 2013-06-26 株式会社日立製作所 アクセスログ管理方法
US20110153811A1 (en) * 2009-12-18 2011-06-23 Hyun Cheol Jeong System and method for modeling activity patterns of network traffic to detect botnets
WO2012011070A1 (en) * 2010-07-21 2012-01-26 Seculert Ltd. Network protection system and method
US11343265B2 (en) 2010-07-21 2022-05-24 Seculert Ltd. System and methods for malware detection using log analytics for channels and super channels
US10397246B2 (en) 2010-07-21 2019-08-27 Radware, Ltd. System and methods for malware detection using log based crowdsourcing analysis
KR20120072266A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 전역 네트워크 보안상황 제어 장치 및 방법
US8682812B1 (en) * 2010-12-23 2014-03-25 Narus, Inc. Machine learning based botnet detection using real-time extracted traffic features
KR101036750B1 (ko) * 2011-01-04 2011-05-23 주식회사 엔피코어 좀비행위 차단 시스템 및 방법
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
US8479302B1 (en) * 2011-02-28 2013-07-02 Emc Corporation Access control via organization charts
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US8555388B1 (en) * 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US9495393B2 (en) 2011-07-27 2016-11-15 EMC IP Holding Company, LLC System and method for reviewing role definitions
US8595837B2 (en) * 2011-08-29 2013-11-26 Novell, Inc. Security event management apparatus, systems, and methods
US8949982B2 (en) * 2011-12-30 2015-02-03 Verisign, Inc. Method for administering a top-level domain
CN102571796B (zh) * 2012-01-13 2014-07-16 电子科技大学 一种移动互联网中僵尸木马防护方法及其系统
US9832211B2 (en) * 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
EP2901612A4 (en) * 2012-09-28 2016-06-15 Level 3 Communications Llc APPARATUS, SYSTEM AND METHOD FOR IDENTIFYING AND MITIGATING MALICIOUS THREATS ON A NETWORK
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9338134B2 (en) * 2013-03-27 2016-05-10 Fortinet, Inc. Firewall policy management
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
CN103746982B (zh) * 2013-12-30 2017-05-31 中国科学院计算技术研究所 一种http网络特征码自动生成方法及其系统
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US10084816B2 (en) * 2015-06-26 2018-09-25 Fortinet, Inc. Protocol based detection of suspicious network traffic
US10673719B2 (en) 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
US10176325B1 (en) * 2016-06-21 2019-01-08 Symantec Corporation System and method for dynamic detection of command and control malware
US10860664B2 (en) 2018-03-19 2020-12-08 Roblox Corporation Data flood checking and improved performance of gaming processes
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
DK3588897T3 (da) * 2018-06-30 2020-05-25 Ovh Fremgangsmåde og system til at forsvare en infrastruktur mod et distributed denial of service-angreb
US11363063B2 (en) * 2018-12-28 2022-06-14 Charter Communications Operating, Llc Botnet detection and mitigation
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
CN113132292B (zh) * 2019-12-30 2022-09-06 中国电信股份有限公司 僵尸网络控制通道的动态监测方法和系统
CN111327632B (zh) * 2020-03-06 2022-08-09 深信服科技股份有限公司 一种僵尸主机检测方法、系统、设备及存储介质
US11997494B2 (en) * 2020-06-19 2024-05-28 AO Kaspersky Lab System and method for classifying incoming events by user's mobile device
CN114244580A (zh) * 2021-11-29 2022-03-25 北京华清信安科技有限公司 用于互联网僵尸网络的图形分析识别方法
CN115277170B (zh) * 2022-07-25 2023-09-12 南京未来网络产业创新有限公司 一种僵尸网络与cdn网络的主动分类方法及系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030035143A (ko) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 통합보안관리 시스템
US7355996B2 (en) * 2004-02-06 2008-04-08 Airdefense, Inc. Systems and methods for adaptive monitoring with bandwidth constraints
US7324804B2 (en) * 2003-04-21 2008-01-29 Airdefense, Inc. Systems and methods for dynamic sensor discovery and selection
CA2426606A1 (en) * 2003-04-25 2004-10-25 Ibm Canada Limited - Ibm Canada Limitee Using buffer to facilitate log catchup for online operations
US20050015363A1 (en) * 2003-07-15 2005-01-20 International Business Machines Corporation Method and structure for representing complex query elements in a modelling tool
US20060026682A1 (en) * 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
US9160755B2 (en) * 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US8738708B2 (en) * 2004-12-21 2014-05-27 Mcafee, Inc. Bounce management in a trusted communication network
WO2007050244A2 (en) * 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
KR100748246B1 (ko) 2006-03-29 2007-08-10 한국전자통신연구원 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
US9064115B2 (en) * 2006-04-06 2015-06-23 Pulse Secure, Llc Malware detection system and method for limited access mobile platforms
US20080059588A1 (en) * 2006-09-01 2008-03-06 Ratliff Emily J Method and System for Providing Notification of Nefarious Remote Control of a Data Processing System
US8533819B2 (en) * 2006-09-29 2013-09-10 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting compromised host computers
US7634454B2 (en) * 2006-11-21 2009-12-15 Microsoft Corporation Concept keywords colorization in program identifiers
KR100838799B1 (ko) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101109669B1 (ko) * 2010-04-28 2012-02-08 한국전자통신연구원 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
US8706866B2 (en) 2010-04-28 2014-04-22 Eletronics And Telecommunications Research Institute Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information
KR101697189B1 (ko) * 2015-08-28 2017-01-17 국방과학연구소 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법

Also Published As

Publication number Publication date
KR101010302B1 (ko) 2011-01-25
US20100162350A1 (en) 2010-06-24

Similar Documents

Publication Publication Date Title
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
Yen et al. Beehive: Large-scale log analysis for detecting suspicious activity in enterprise networks
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
US10129270B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US7761918B2 (en) System and method for scanning a network
US20110153811A1 (en) System and method for modeling activity patterns of network traffic to detect botnets
CN101924757B (zh) 追溯僵尸网络的方法和系统
US20160191549A1 (en) Rich metadata-based network security monitoring and analysis
US20060161816A1 (en) System and method for managing events
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
Husák et al. Security monitoring of http traffic using extended flows
KR101188305B1 (ko) 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법
Haddadi et al. Botnet behaviour analysis: How would a data analytics‐based system with minimum a priori information perform?
Yen Detecting stealthy malware using behavioral features in network traffic
KR101078851B1 (ko) 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법
KR101084681B1 (ko) 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법
KR101025502B1 (ko) 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统
RU186198U1 (ru) Средство обнаружения вторжений уровня узла сети
KR101224994B1 (ko) 봇넷 탐지 정보의 분석 시스템 및 방법
KR101045332B1 (ko) Irc 및 http 봇넷 정보 공유 시스템 및 그 방법
Helmer Intelligent multi-agent system for intrusion detection and countermeasures
Hubballi et al. Event Log Analysis and Correlation: A Digital Forensic Perspective

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140213

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150416

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee