KR20110070189A - 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 - Google Patents

봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 Download PDF

Info

Publication number
KR20110070189A
KR20110070189A KR1020090126914A KR20090126914A KR20110070189A KR 20110070189 A KR20110070189 A KR 20110070189A KR 1020090126914 A KR1020090126914 A KR 1020090126914A KR 20090126914 A KR20090126914 A KR 20090126914A KR 20110070189 A KR20110070189 A KR 20110070189A
Authority
KR
South Korea
Prior art keywords
botnet
traffic
information
group
isolation system
Prior art date
Application number
KR1020090126914A
Other languages
English (en)
Other versions
KR101070614B1 (ko
Inventor
정현철
임채태
지승구
오주형
강동완
원용근
이태진
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090126914A priority Critical patent/KR101070614B1/ko
Priority to US12/821,549 priority patent/US20110154492A1/en
Publication of KR20110070189A publication Critical patent/KR20110070189A/ko
Application granted granted Critical
Publication of KR101070614B1 publication Critical patent/KR101070614B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법에 대한 것으로서, 목적지의 IP/Port를 기준으로 하여 동일한 목적지를 가진 클라이언트의 집합에 대한 트래픽을 격리시스템으로 라우팅 시키고, 라우팅되어 유입된 트래픽의 그룹간 유사도를 기반으로 한 봇넷 정보를 이용하여 봇넷 트래픽을 격리시키는 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법에 관한 것이다. 본 발명은 봇 감염 PC와 C&C 서버로부터의 트래픽을 격리소로 수용하되, 정상 사용자가 유발한 트래픽과 악성 봇에서 발송하는 트래픽을 구분하여 차단할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다. 또한, 본 발명은 봇넷 탐지 시스템과의 연동을 통한 다양한 필터링 기능(예를 들어, 호스트 및 C&C IP 기반, 페이로드 크기(paylode size), 레이트 리미트(rate-limite or Ratefiltering) 등)을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다. 또한, 본 발명은 봇넷이 유발하는 DDoS 공격 완화 기능을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다.
Figure P1020090126914
봇넷, 탐지, 네트워크, 트래픽, 행위, 패턴, 그룹, 매트릭스, 격리, 차단

Description

봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법{MALICIOUS TRAFFIC ISOLATION SYSTEM USING BOTNET INFOMATION AND MALICIOUS TRAFFIC ISOLATION METHOD USING BOTNET INFOMATION}
본 발명은 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법에 대한 것으로서, 목적지의 IP/Port를 기준으로 하여 동일한 목적지를 가진 클라이언트의 집합에 대한 트래픽을 격리시스템으로 라우팅 시키고, 라우팅되어 유입된 트래픽의 그룹간 유사도를 기반으로 한 봇넷 정보를 이용하여 봇넷 트래픽을 격리시키는 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법에 관한 것이다.
봇은 로봇(robot)의 줄임말로서 악의적 의도를 가진 소프트웨어에 감염된 개인용 컴퓨터(Personal Computer, PC)를 의미한다. 그리고 봇넷이란 이러한 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 봇넷은 봇 마스터(Bot Master)에 의해 원격 조종되어 디도스(DDoS) 공격, 개인정보 수집, 피싱, 악성코드 배포, 스팸메일 발송 등 다양한 악성행위에 이용되고 있다. 이러한 봇넷은 봇넷이 사용하는 프로토콜에 따라 분류될 수 있다.
이와 같은 봇넷을 통한 공격은 지속적으로 증가하고 있으며, 그 방법도 점차 다양화되고 있다. 디도스(DDoS)를 통한 인터넷 서비스 장애를 유발하는 경우와 달리, 개인 시스템 장애를 유발하거나, 개인정보를 불법 취득하는 봇들이 있으며, 아이디/패스워드(ID/Password), 금융정보 등 사용자 정보의 불법 유출을 통하여 사이버 범죄에 악용하는 사례가 커지고 있다. 또한, 기존의 해킹 공격들이 해커 자신의 실력을 뽐내거나 커뮤니티를 통한 실력 경쟁과 같은 수준인데 반해 봇넷은 금전적인 이익을 목적으로 해커 집단이 이를 집중적으로 악용하고 협력하는 모습을 보이고 있다.
하지만, 봇넷은 주기적 업데이트, 실행압축기술, 코드자가변경, 명령채널의 암호화 등의 첨단기술을 사용하여 탐지 및 회피가 어렵도록 더욱 교묘해지고 있다. 또한, 봇넷은 그 소스가 공개되어 있어 수천 종의 변종이 발생하고 있으며, 유저 인터페이스를 통해 쉽게 봇 코드를 생성하거나 제어할 수 있어, 전문적인 지식이나 기술이 없는 사람들도 봇넷을 만들고 이용할 수 있기 때문에 문제점이 심각하다. 이러한 봇넷을 구성하는 봇 좀비들은 국가의 구분 없이 전 세계의 인터넷 서비스 제공자 망에 분포되며, 봇 좀비를 제어하는 봇 C&C(Command & Control)의 경우도 다른 네트워크로 이주가 가능하다.
따라서 현재 봇넷의 심각성을 주지하고 많은 연구가 이루어지고 있다. 하지만 특정 인터넷 서비스 제공자 망의 봇넷만을 탐지하여 봇넷의 전체적인 구성 및 분포를 파악하기 어려우며, 많은 변종 등으로 인해 쉽게 봇넷을 탐지할 수 있는 방법이 절실한 상황이다.
본 발명의 목적은 봇넷 트래픽을 효과적으로 격리시킬 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공하는 것이다.
상술한 목적을 달성하기 위해 본 발명은 네트워크 내의 트래픽을 수집하여 봇넷을 탐지하는 봇넷 탐지 시스템과, 상기 봇넷의 트래픽을 격리시키는 봇넷 격리 시스템을 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 시스템을 제공한다. 상기 봇넷 격리 시스템은, 보호대상 리스트와 좀비 IP 및 C&C IP 리스트를 포함하는 봇넷 그룹 정보를 송신하는 격리 시스템 매니저와, 상기 격리 시스템 매니저에서 송신된 봇넷 그룹 정보를 기초로 봇넷 그룹을 격리시키는 격리 시스템 에이전트, 및 상기 봇넷 격리 시스템을 실시간으로 모니터링하는 격리 시스템 모니터링을 포함한다. 상기 격리 시스템 에이전트는, 상기 격리 시스템 매니저에서 보내진 보호대상 리스트 및 좀비 IP, C&C IP 리스트를 수신하고 의심 트래픽 및 이에 대한 차단 정보를 송신하는 격리 시스템 에이전트 송수신부와, 상기 격리 시스템 에이전트 송수신부에서 트래픽을 수신하는 BGP부와, 상기 BGP부에서 유입된 트래픽에 대하여 필터링을 제어하는 IP테이블부, 및 상기 의심 트래픽에 대하여 임시로 저장 및 격리 시스템 에이전트로 전송하는 의심 봇넷 저장부를 포함한다.
또한, 본 발명은 네트워크 내의 봇넷을 탐지하는 단계와, 상기 봇넷의 트래 픽을 격리하는 단계를 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공한다. 상기 봇넷의 트래픽을 격리하는 단계는, 상기 봇넷을 탐지하고자 하는 네트워크의 외부에서 내부로 유입되는 봇넷 그룹의 트래픽을 격리하는 단계, 또는 상기 봇넷을 탐지하고자 하는 네트워크의 내부에서 외부로 유출되는 봇넷의 트래픽을 격리하는 단계를 포함한다. 상기 봇넷을 탐지하고자 하는 네트워크의 외부에서 내부로 유입되는 봇넷의 트래픽을 격리하는 단계는, 세이프티 존(safety zone)으로 향하는 트래픽 중 좀비 IP에서 출발한 DDoS 트래픽과, C&C IP에서 출발한 통신 트래픽을 격리시켜 1차 필터링을 수행하는 단계와, L4 정보와 트래픽의 페이로드 사이크즈를 통한 반복적 검증으로 DDoS 트래픽을 2차적으로 판단하여 격리시켜 2차 필터링을 수행하는 단계, 및 상기 1차 필터링을 수행하는 단계와 상기 2차 필터링을 수행하는 단계를 수행한 이후에도 다량의 트래픽이 상기 네트워크의 외부에서 내부로 유입되는 경우, 레이트-리미트를 적용하여 3차 필터링을 수행하는 단계를 포함한다. 상기 세이프티 존(safety zone)으로 향하는 트래픽 중 좀비 IP에서 출발한 DDoS 트래픽과, C&C IP에서 출발한 통신 트래픽을 격리시켜 1차 필터링을 수행하는 단계는, C&C IP로 향하는 트래픽 중 좀비 IP에서 출발한 통신 트래픽과, 알려지지 않은 IP에서 출발한 트래픽을 격리시킨다.
또한, 상기 봇넷을 탐지하고자 하는 네트워크의 내부에서 외부로 유출되는 봇넷의 트래픽을 격리하는 단계는, C&C IP로 향하는 통신 트래픽을 격리시키되 SRC IP가 알려진 좀비 IP인 경우 드롭시키며, 좀비 IP로 향하는 통신 트래픽을 격리시켜 1차 필터링을 수행하는 단계와, 상기 1차 필터링을 수행하는 단계에서 C&C IP로 향하는 통신 트래픽 또는 좀비 IP로 향하는 통신 트래픽에서 SRC IP가 알려지지 않은 IP일 때, 해당 트래픽의 L4 정보와 페이로드 사이즈를 통한 신규 봇넷 정보 획득하고 SRC IP를 좀비 IP로 획득하고 SRC IP를 C&C IP로 획득하며, 이를 격리시켜 2차 필터링을 수행하는 단계를 포함한다.
본 발명은 봇 감염 PC와 C&C 서버로부터의 트래픽을 격리소로 수용하되, 정상 사용자가 유발한 트래픽과 악성 봇에서 발송하는 트래픽을 구분하여 차단할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다.
또한, 본 발명은 봇넷 탐지 시스템과의 연동을 통한 다양한 필터링 기능(예를 들어, 호스트 및 C&C IP 기반, 페이로드 크기(paylode size), 레이트 리미트(rate-limite or Ratefiltering) 등)을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다.
또한, 본 발명은 봇넷이 유발하는 DDoS 공격 완화 기능을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다.
이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.
도 1은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 개념도이고, 도 2는 본 발명에 따른 악성 트래픽 격리 시스템 동작에 필요한 연동 개념도이다. 도 3은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 구성도이고, 도 4는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 트래픽 수집센서 개념도이다. 도 5는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 트래픽 정보 수집 모듈 구성도이고, 도 6은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 트래픽 정보 관리 모듈의 구성도이다. 도 7은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 관리 통신 모듈 구성도이고, 도 8은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 정책 관리 모듈 구성도이다. 도 9는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 탐지 시스템 구성도이고, 도 10은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 탐지 시스템 구조도이다. 도 11은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 그룹 분석 모듈 구성도이고, 도 12는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 그룹 분석 모듈 작동 순서도이다. 도 13은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 그룹 정보 관리 모듈 작동 순서 도이고, 도 14는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 그룹 데이터 관리 모듈 작동 순서도이다. 도 15는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 그룹 매트릭스 관리 모듈 작동 순서도이고, 도 16은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 의심 그룹 선정 모듈 작동 순서도이다. 도 17은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 의심 그룹 비교 분석 모듈 작동 순서도이고, 도 18은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 구성 분석 모듈의 구성도이다. 도 19는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 구성 분석 모듈 작동 순서도이고, 도 20은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 격리 시스템 매니저와 격리 시스템 에이전트간 시퀀스를 나타낸 봇넷 격리 시스템의 전체 시그널링이다. 도 21은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 격리 시스템의 세부 모듈간 동작 절차의 블록도이다.
본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템은 도 1에 도시된 바와 같이, 봇넷 그룹 탐지 시스템과, 봇넷 격리 시스템을 포함한다. 이때, 이하에서 설명될 봇넷 그룹 탐지 시스템은 하나의 예시이며, 본 발명에서는 어떠한 봇넷 그룹 탐지 시스템도 사용할 수 있다. 즉, 예를 들어, 봇넷 그룹을 탐지하는 봇넷 그룹 탐지 시스템뿐만 아니라, 그룹이 아닌 일반적인 방법으로 봇넷을 탐지하는 봇넷 탐지 시스템 등을 사용할 수도 있다.
봇넷 그룹 탐지 시스템은 도 2 및 도 3에 도시된 바와 같이, 봇넷 트래픽 수 집센서와, 봇넷 트래픽 수집센서에서 수집된 봇넷 트래픽을 기초로 봇넷을 탐지하는 봇넷 탐지 시스템을 포함한다.
봇넷 트래픽 수집센서는 봇넷 탐지를 위해 해당 인터넷 서비스 제공자 망의 트래픽을 수집하기 위한 것으로서, 도 4에 도시된 바와 같이, 트래픽 정보 수집 모듈과, 트래픽 정보 관리 모듈과, 트래픽 정보 전송 모듈 및 센서 정책 관리 모듈을 포함한다.
트래픽 정보 수집 모듈은 도 5에 도시된 바와 같이, 패킷 캡처 도구를 사용하여 모니터링 네트워크의 트래픽 데이터를 수집 정책에 따라 수집하며, 패킷 캡처 도구를 사용하여 네트워크의 트래픽 데이터를 수집 정책에 따라 수집한다. 수집된 트래픽 정보는 트래픽 정보 저장소의 임시 저장소에 저장되며, 임시 저장소에 저장된 수집 정보는 트래픽 정보 관리 모듈에서 다시 처리된다.
트래픽 정보 관리 모듈은 도 6에 도시된 바와 같이, 트래픽 정보 수집 모듈로부터 수신한 정보를 분류하고 트래픽 정보를 수신, 파싱(parsing)한 후 그룹화된 행위 정보, 즉, 그룹 데이터 및 피어 봇 정보를 가공하며, 이에 대한 트래픽 정보를 데이터베이스에 저장/관리한다. 이때, 트래픽을 패턴에 따라 분류하고 그룹화하는 것은 아래와 같이 수행할 수 있다.
트래픽 정보 전송 모듈은 도 7에 도시된 바와 같이, 트래픽 정보 관리 모듈에서 파싱된 트래픽 정보를 전송 헤더와 전송 데이터로 구분한 후 데이터를 패키지화하여 전송 채널을 통해 봇넷 탐지 시스템에 전송한다.
센서 정책 관리 모듈은 도 8에 도시된 바와 같이, 봇넷 트래픽 수집센서의 전반적인 설정 관리 및 제어기능을 가지며, 모든 모듈과 상호 작용을 한다. 정책 관리 모듈의 설정 관리 모듈에서는 상태 데이터베이스를 관리하며, 관리 명령 채널에서는 룰 데이터베이스와 피어 데이터베이스를 업데이트하고 관리한다. 룰 데이터베이스와 피어 데이터베이스의 정보는 관리 통신 모듈(COMM)에 의해 수신되어 적용되며, 상태 데이터베이스에는 트래픽 수집 모듈(TC)과 트래픽 정보 관리 모듈(TIM) 및 관리 통신 모듈(COMM)이 접근하여 작업에 대한 로그를 기록한다.
봇넷 탐지 시스템은 인터넷 서비스 제공자 망에 마련되어 트래픽 수집 센서에서 수집된 트래픽 정보를 기초로 해당 인터넷 서비스 제공자 망에서 활동하는 봇넷을 탐지한다. 이러한 봇넷 탐지 시스템은 해당 인터넷 서비스 제공자 망에 하나 이상이 존재할 수 있다. 또한, 봇넷 탐지 시스템은 도 9 및 도 10에 도시된 바와 같이, 봇넷 그룹 분석 모듈(Botnet Group Analyzer, BGA)과, 봇넷 구성 분석 모듈(Botnet Organization Analyzer, BOA), 봇넷 행위 분석 모듈(Botnet Behavior Analyzer, BBA), 탐지 로그 관리 모듈(Detection Log Management, DLM), 이벤트 전송 모듈(Event Transfer, ET), 정책 감독 모듈(Policy Management, PM)을 포함한다.
봇넷 그룹 분석 모듈(Botnet Group Analyzer, BGA)은 도 11에 도시된 바와 같이, 봇넷 트래픽 수집센서로부터 전송된 그룹 데이터들에 대해서 봇넷 그룹을 판정한다. 봇넷 트래픽 수집센서로부터 전송된 그룹 데이터들은 그룹에 대한 매트릭스를 생성/갱신하며, 그룹 매트릭스의 갱신 및 삭제는 그룹 관리 알고리듬에 따라 수행된다. 이때, 그룹 전체 중 50% 이상의 클라이언트에 대해 업데이트가 없을 경 우 단계별 관리에 따라 삭제된다. 또한, 봇넷 그룹 분석 모듈은 그룹 데이터에 대한 매트릭스를 관리한다. 기존 그룹에 대해서는 매트릭스를 업데이트하며, 신규 그룹에 대해서는 새로 생성한다. 업데이트에 대해서는 그룹 매트릭스 관리 알고리듬에 따라 일정 시간동안 소속 클라이언트의 활동이 없을 경우, 그룹 매트릭스를 삭제한다. 또한, 그룹 매트릭스가 업데이트 된 이후, 각 그룹 매트릭스 별로 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 경우, 해당 그룹을 분석 대상 그룹으로 판정한다. 이후, 분석 대상 그룹으로 판정된 그룹 군에 대해서 클라이언트 유사도를 분석한다. 유사도가 일정 수치, 예를 들어, 80% 이상일 경우 대표되는 특정 접속 패턴에 대한 세부 클라이언트 리스트에 대해 유사도를 분석한다. 이때, 특정 접속 패턴에 대한 클라이언트 유사도가 일정 수치, 예를 들어, 80% 이상일 경우 해당 두 그룹에 대해서는 동일한 봇넷으로 판정한다. 또한, 각 모듈에서 분석된 결과를 종합하여 로그 관리자에게 전송하며, 분석 결과에서 추후 정책에 사용될 트리거 메시지를 생성하여 이벤트 트리거로 전송한다. 전술된 기능을 수행하기 위해 봇넷 그룹 분석 모듈은 그룹 정보 관리 모듈과, 의심 그룹 선정 모듈, 의심 그룹 비교 분석 모듈, 및 탐지 정보 생성 모듈을 포함한다. 이에 대해 도 12를 참조하여 설명한다.
그룹 정보 관리 모듈은 센서로부터 수신된 그룹 데이터를 탐지 시스템 내부에 저장하고 그에 따른 그룹 매트릭스를 생성한다. 그룹 정보 관리 모듈은 시스템에 저장된 그룹 정보의 수를 관리하며, 세부적으로 그룹 데이터 및 그룹 매트릭스에 대해서 각각의 업데이트를 관리한다. 이때, 그룹 데이터 및 그룹 매트릭스에 대 한 관리는 해당 업데이트를 반영하는 것에 대한 관리라면, 전체 그룹 정보의 수를 관리하는 것은 시스템에 기하급수적으로 저장되는 그룹 정보의 수를 관리하기 위한 것이다.
도 13을 참조하면, 그룹 정보는 여러 단계의 레벨을 가질 수 있으며, 본 실시예는 블랙(BLACK)과, 레드(RED), 및 블루(BLUE)를 예시한다. 이때, 블랙은 봇넷으로 탐지된 그룹 정보이며, 레드는 비활동적인 그룹 정보, 블루는 일반적인 그룹 정보를 의미할 수 있다. 그룹 정보 관리는 임계 시간을 기준으로 하여 최근 클라이언트가 접속한 시간과 현재 분석 시간과의 차이를 비교하여, 임계시간 동안 접속이 되지 않으면 단계를 낮추는 방식을 사용할 수 있다. 또한, 비활동적인 레드 그룹에 대해서는 임계시간을 초과하여 클라이언트 접속이 없을 경우 삭제하도록 하는 것이 바람직하다. 이러한 그룹 정보 관리 모듈은 그룹 데이터 관리 모듈과 그룹 매트릭스 관리 모듈을 포함한다.
도 14를 참조하면, 그룹 데이터 관리 모듈은 봇넷 트래픽 수집센서로부터 수신되는 그룹 데이터를 봇넷 탐지 시스템 내부에서 관리한다. 봇넷 탐지 시스템은 다수의 센서에서 받는 데이터를 관리하고 있으므로, 수신되는 상당한 양의 그룹 데이터를 효율적으로 운용할 필요가 있다. 따라서, 특정한 시간 구간에 대해서만 데이터를 관리하며, 이는 수집되는 데이터의 양에 따라 유동적으로 변동될 수 있다. 예를 들어, 관리되는 그룹 데이터에 대해서 수회분의 시간 구간을 관리하도록 할 수 있다. 이후 전송되는 업데이트에 대해서는 최근 업데이트를 반영하고, 가장 오래된 업데이트를 삭제하는 방식으로 유지할 수 있다.
도 15를 참조하면, 그룹 매트릭스 관리 모듈은 그룹에서 발생한 접속 행위 패턴에 따른 IP의 카운트가 분석되어 저장된 매트릭스의 그룹, 즉, 그룹 매트릭스를 관리한다. 그룹 매트릭스 관리 모듈 역시 전술된 그룹 데이터 관리 모듈과 동일하게 특정한 시간 구간에 대해서만 데이터를 관리하는 것이 바람직하다.
도 16을 참조하면, 의심 그룹 선정 모듈은 관리되는 그룹 정보 중 봇넷으로 의심되는 그룹을 선정하여 리스트를 생성한다. 즉, 봇넷 탐지 시스템이 보유하고 있는 그룹 정보 중, 봇넷으로 의심되는 그룹을 선정하며, 의심 그룹을 선정하기 위해 해당 그룹의 행위 매트릭스에서 가장 많은 클라이언트가 참여한 행위에 대해서 해당 클라이언트 규모를 기준으로 의심 그룹을 판정한다.
도 17을 참조하면, 의심 그룹 비교 분석 모듈은 의심그룹으로 분류된 그룹들에 대해서 상호 유사성을 비교 분석하여 봇넷 그룹을 판정한다. 이를 위해 의심 그룹군에서 비교 대상 그룹을 선정해야 한다. 또한, 비교 대상 그룹에 대해서는 각 그룹간 전수 비교를 수행해야 하므로, 특정한 순서를 가지지 않고 그룹에 대한 ID값을 기준으로 정렬하여 그룹간 비교 순서를 결정할 수 있다. 비교 대상으로 선정된 두 그룹에 대해서는 각 그룹의 행위 패턴 중, 가장 많은 클라이언트가 참여한 행위에 대해서, 행위를 보인 클라이언트의 IP 리스트들을 상호 비교한다. 이때, 각 그룹의 클라이언트 IP 집합의 크기가 상이할 수 있으므로, 작은 집합을 기준으로 하여 작은 집합이 큰 집합에 대해 부분 집합이 될 수 있을 정도로 분석하는 것이 바람직하다.
탐지 정보 생성 모듈은 의심 그룹 비교 분석 모듈에 의해 판정된 봇넷 그룹 에 대한 정보를 생성한다. 이때, 봇넷 그룹에 대한 정보는 클라이언트의 IP와, 해당 봇넷의 행위 등을 포함할 수 있다.
봇넷 구성 분석 모듈(Botnet Organization Analyzer, BOA)은 도 18에 도시된 바와 같이, C&C의 역할을 분석하고 좀비 리스트를 추출하기 위한 것으로서, 봇넷으로 탐지된 봇넷 그룹군에 대해서 각 그룹의 대표적인 접속 패턴을 분석한다. 또한, 접속 패턴에 따른 그룹 정보를 기반으로 봇넷에 참여하고 있는 각 서버들에 대한 역할을 분류한다. 이때, 도 19를 참조하면, 분류 결과는 명령 제어 서버, 다운로드 서버, 업로드 서버, 및 스팸 서버로 분류될 수 있다. 봇넷으로 탐지된 그룹군에 대해서 각 그룹의 IP 리스트, 즉, 좀비 리스트를 추출한다. 각 좀비 리스트에 대해서 최종 업데이트 시간을 분석하고, 최종 업데이트 시간이 임계값 이하의 연결성을 가지면 좀비로 판정한다. 이때, 각 좀비별 최종 서버 접속 시간을 분석하여 각 서버 역할에 따른 봇넷의 구성 진화를 분석할 수 있도록 정보를 구성한다. 또한, 각 모듈에서 분석된 결과를 종합하여 로그 관리자에 전송한다. 분석 결과에서 추후 정책에 사용될 트리거 메시지를 생성하여 이벤트 트리거에 전송한다.
봇넷 행위 분석 모듈(Botnet Behavior Analyzer, BBA)은 봇넷 그룹의 공격행위와 봇넷 그룹이 확산 또는 이주 하였는지 분석한다.
탐지 로그 관리 모듈(Detection Log Management, DLM)은 봇넷 그룹의 구성 정보와 행위 정보에 대한 로그를 관리하며, 내부에 봇넷 그룹의 구성 정보 데이터베이스와 봇넷 그룹의 행위 정보 데이터베이스를 구비한다.
정책 감독 모듈(Policy Management, PM)은 봇넷 관제/보안관리 시스템 내부 에서 실행되고 있는 모듈에 대한 정책을 설정한다. 또한, 정책 감독부는 봇넷 관제/보안관리 시스템에 등록된 봇넷 탐지 시스템의 탐지 정책을 설정한다. 또한, 등록된 봇넷 탐지 시스템을 통한 트래픽 정보 수집 센서 정책을 설정한다.
봇넷 관제/보안관리 시스템은 각종 설정 및 상태정보를 관제시스템과 송수신하고, 봇넷 트래픽 수집센서로부터 봇넷에 관한 그룹행위정보와 피어봇 정보를 수신하여 트래픽 분류 후 구성 및 행위분석을 한 후 데이터베이스에 저장한다. 또한, 데이터베이스에 저장된 구성 및 행위분석 정보를 다시 관제시스템으로 전송한다.
봇넷 격리 시스템은 봇넷 그룹 탐지 시스템에 의해 탐지된 봇넷 그룹, 즉, 봇 감염 PC 및 C&C 서버로부터의 트래픽을 격리소로 유도하여 격리시키기 위한 것으로서, 도 1에 도시된 바와 같이, 격리 시스템 매니저와, 격리 시스템 에이전트, 및 격리 시스템 모니터링을 포함한다.
격리 시스템 매니저는 보호대상 리스트와 좀비 IP 및 C&C IP 리스트를 포함하는 봇넷 그룹 정보를 송신하기 위한 것으로서, 봇넷 탐지 시스템에서 전송된 정보와 격리 시스템 에이전트에서 송수신되는 정보를 담당하는 격리 시스템 매니저 송수신부와, 봇넷 탐지 시스템 및 격리 시스템 에이전트의 상태에 대한 정보 및 격리 시스템 매니저에서 전달된 봇 정보를 저장하는 정보 데이터베이스부, 및 격리 시스템 에이전트에서 보내진 의심 패킷 및 차단 정보를 저장하는 수집 데이터베이스부를 포함한다.
격리 시스템 에이전트는 격리 시스템 매니저에서 송신된 봇넷 그룹 정보를 기초로 봇넷 그룹을 격리시키기 위한 것으로서, 격리 시스템 매니저의 격리 시스템 매니저 송수신부에서 보내진 보호대상 리스트 및 좀비 IP, C&C IP 리스트를 수신하고 의심 트래픽 및 이에 대한 차단 정보를 수집 데이터 베이스부에 송신하는 격리 시스템 에이전트 송수신부와, 격리 시스템 에이전트를 통해 각 대상에 대한 트래픽을 유입시키는 BGP부와, 유입된 트래픽에 대하여 필터링을 제어하는 IP테이블부, 및 의심 트래픽을 임시 저장하며 이를 격리 시스템 에이전트로 전송하는 의심 봇넷 저장부를 포함한다. 이때, 이러한 격리 시스템 에이전트와 격리 시스템 매니저간 시퀀스는 도 20과 같다.
격리 시스템 모니터링은 봇넷 격리 시스템을 실시간으로 모니터링하기 위한 것으로서, 정보 데이터베이스로부터 격리 시스템 에이전트의 상태를 전달받아 이를 실시간으로 디스플레이하는 격리 시스템 에이전트 상태부와, 수집 데이터베이스부에서 의심되는 패킷을 전달받아 이를 실시간으로 디스플레이하는 의심 패킷 상태부, 및 수집 데이터베이스부에서 차단 패킷 정보는 전달받아 이를 실시간으로 디스플레이하는 패킷 차단 상태부를 포함한다.
이러한 구조를 갖는 봇넷 격리 시스템은 도 21과 같이 동작하여 봇 감염 PC와 C&C 서버로부터의 트래픽을 격리소로 수용하되, 정상적인 트래픽과 악성 봇에서 발송하는 트래픽을 구분하여 차단한다. 또한, 격리된 봇넷 트래픽의 통계 데이터를 제공하며 선택적인 트래픽 내용을 제공할 수 있다. 봇넷 탐지 시스템과의 연동을 통한 다양한 필터링 기능(예를 들어, 호스트 및 C&C IP 기반, 페이로드 크기(paylode size), 레이트 리미트(rate-limite or Ratefiltering) 등)을 제공할 수 있으며, 봇넷을 통한 DDoS 공격 완화 기능을 제공한다.
다음은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템에 대한 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.
도 22는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 순서도이고, 도 23은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 외부에서 내부로의 봇넷 격리 시스템 테크놀로지 개념도이다. 도 24는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부 C&C IP를 기반으로 트래픽을 유입시킬 경우의 대응 알고리듬 블록도이고, 도 25는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 트래픽 유입 대상을 네트워크 내부의 세이프티 존으로 정할 경우의 대응 알고리듬 블록도이다. 도 26은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 외부에서 내부로의 트래픽을 격리시킬 경우 2차 및 3차 필터링 알고리듬 블록도이고, 도 27은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부에서 외부로의 봇넷 격리 시스템 테크놀로지 개념도이다. 도 28은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부에서 외부로의 트래픽을 격리시킬 경우 트래픽 유출 대상이 외부의 C&C IP일 때 대응 알고리듬 블록도이고, 도 29는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부에서 외부로의 트래픽을 격리시킬 경우 트래픽 유출 대상을 외부의 좀비 IP로 정할 때 대응 알고리듬 블록도이다.
본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법은 도 22에 도시된 바와 같이, 봇넷을 탐지하는 단계(S1)와, 봇넷을 통지하는 단계(S2)와, 악성 트래픽을 라우팅하는 단계(S3), 및 봇넷을 격리하는 단계(S4)를 포함한다. 한편, 이하에서 설명될 봇넷을 탐지하는 단계(S1)는 하나의 예시이며, 본 발명에서의 봇넷을 탐지하는 단계(S1)는 봇넷을 탐지할 수 있는 어떠한 방법이라도 모두 사용할 수 있다.
봇넷을 탐지하는 단계(S1)는 네트워크 내에 존재하는 봇넷을 탐지하기 위한 단계로서, 트래픽을 수집하는 단계(S1-1)와, 그룹 정보를 생성하는 단계(S1-2)와, 봇넷 그룹을 판정하는 단계(S1-3)를 포함한다.
트래픽을 수집하는 단계(S1-1)는 패킷 캡처 도구를 사용하여 네트워크의 트래픽 데이터를 수집 정책에 따라 수집한다. 이를 위해 다수의 네트워크 내에는 트래픽 정보 수집 센서가 구비되며, 봇넷 관제 및 보안관리 시스템에서 설정한 트래픽 수집 정책에 따라 트래픽 정보를 수집한다.
그룹 정보를 생성하는 단계(S1-2)는 수집된 트래픽을 그룹화한다. 이를 위해 그룹 정보를 생성하는 단계는 프로토콜을 분류하는 단계(S1-2-1)를 포함한다.
프로토콜을 분류하는 단계(S1-2-1)는 트래픽을 수집하는 단계에서 수집된 트래 픽을 프로토콜별로 분류한다. 프로토콜을 분류하는 단계는 목적지별 클라이언트 집합으로 구성하는 단계(S1-2-1-1)를 포함한다.
목적지별 클라이언트 집합으로 구성하는 단계(S1-2-1-1)는 트래픽을 수집하는 단계에서 수집된 프로토콜을 분석하여 목적지가 동일한 클라이언트 집합으로 구성한다. 이러한 목적지별 클라이언트 집합으로 구성하는 단계(S1-2-1-1)는 수집된 접속 기록을 저장하는 단계(S1-2-1-1-1)와, 클라이언트 집합으로 구성하는 단계(S1-2-1-1-2)를 포함한다.
수집된 접속 기록을 저장하는 단계(S1-2-1-1-1)는 트래픽 정보 수집 센서를 통해 수집된 접속 기록을 저장함과 동시에 일정한 시간 구간 동안 수집된 접속 기록을 모두 저장한다.
클라이언트 집합으로 구성하는 단계(S1-2-1-1-2)는 수집된 트래픽 정보를 분석하여 프로토콜별로 구분한 후 이를 클라이언트 집합으로 구성한다. 프로토콜의 분류는 전술된 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 같이 크게 TCP와 UDP로 구분되며, TCP는 HTTP와 SMTP 및 그 외 HTTP로 분류된다. 또한, UDP는 DNS와 그 외 DNS로 분류된다. 이때, 프로토콜의 분석은 실제 트래픽의 콘텐츠를 분석하여 구분하며, 그룹 데이터는 아이피와 포트, 즉, 목적지 주소를 기반으로 하여 구성한다.
봇넷 그룹을 판정하는 단계(S1-3)는 의심그룹으로 분류된 그룹들에 대해서 상 호 유사성을 비교 분석하여 봇넷 그룹을 판정한다. 이러한 봇넷 그룹을 판정하는 단계는 그룹 매트릭스를 관리하는 단계(S1-3-1)와, 분석 대상을 선정하는 단계(S1-3-2), 및 그룹 유사도를 분석하는 단계(S1-3-3)를 포함한다.
그룹 매트릭스를 관리하는 단계(S1-3-1)는 트래픽 정보 수집 모듈에서 전송된 그룹 데이터에 대한 매트릭스, 즉, 그룹 매트릭스를 관리한다. 여기서, 그룹 매트릭스의 관리는 그룹 매트릭스를 생성, 업데이트, 및 삭제하는 것을 의미하며, 이에 따라, 그룹 매트릭스를 관리하는 단계는 그룹 매트릭스를 생성하는 단계(S1-3-1-1)와, 그룹 매트릭스를 업데이트하는 단계(S1-3-1-2), 및 그룹 매트릭스를 삭제하는 단계(S1-3-1-3)를 포함한다.
그룹 매트릭스를 생성하는 단계(S1-3-1-1)는 신규 그룹에 대해서 그룹 매트릭스를 생성한다. 즉, 기존에 존재하지 않던 신규한 그룹일 경우, 그룹 매트릭스가 존재하지 않으므로 그룹 매트릭스를 생성한다.
그룹 매트릭스를 업데이트하는 단계(S1-3-1-2)는 해당 그룹이 기존에 존재하는 그룹일 경우, 해당 기존 그룹에 대해서 매트릭스를 업데이트 한다.
그룹 매트릭스를 삭제하는 단계(S1-3-1-3)는 그룹 매트릭스 관리 알고리듬에 따라 일정 시간동안 소속 클라이언트의 활동이 없는 경우, 그룹 매트릭스를 삭제한다.
분석 대상을 선정하는 단계(S1-3-2)는 그룹 매트릭스가 업데이트 된 이후, 각 그룹 매트릭스 별로 특정 접속 패턴이 임계치 이상의 횟수를 상회하는 경우, 해당 그룹을 분석 대상 그룹으로 선정한다.
그룹 유사도를 분석하는 단계(S1-3-3)는 분석 대상의 그룹 군에 대해서 클라이언트의 유사도를 분석한다. 이때, 유사도가 일정 수준 이상, 예를 들어, 80% 이상인 경우, 대표되는 특정 접속 패턴에 대한 세부 클라이언트 리스트에 대해서 유사도를 분석한다. 또한, 특정 접속 패턴에 대한 클라이언트 유사도가 일정 수준 이상, 예를 들어, 80% 이상인 경우, 해당 두 그룹에 대해서는 동일한 봇넷으로 판정한다.
봇넷을 통지하는 단계(S2)는 봇넷을 탐지하는 단계(S1)에서 탐지된 봇넷을 봇넷 격리 시스템에 통지한다. 이는 악성 행위를 발견하는 단계(S2-1)와, 악성 행위 존재를 통지하는 단계(S2-2)를 통해 수행될 수 있다.
악성 행위를 발견하는 단계(S2-1)는 봇넷 탐지 시스템을 통해 추출된 보호 대상 리스트와, 좀비 IP 및 C&C IP 리스트를 이용하여 악성 행위를 하는 의심 패킷을 선별한다.
악성 행위 존재를 통지하는 단계(S2-2)는 봇넷의 트래픽을 격리하기 위해 악성 행위를 발견하는 단계(S2-1)를 통해 발견된 악성 행위를 하는 봇넷의 트래픽을 차단하기 위해 이에 대한 의심 패킷 정보를 통지한다.
악성 트래픽을 라우팅하는 단계(S3)는 악성 행위존재를 통보받고 격리시스템에서 악성트래픽을 검사하기 위해 라우팅 설정을 하는 단계이다. 라우팅 명령은 기존에 알려진 eBGP, iBGP, OSPF등 네트워크에서 사용하는 어떠한 프로토콜도 사용할 수 있다. 라우팅 프로토콜은 네트워크 운용환경에 따라 상이하게 적용되므로, 본 발명에서는 라우팅 프로토콜을 한정하지 않는다.
트래픽을 격리하는 단계(S4)는 외부에서 내부로 유입되는 트래픽을 격리하는 단계(S4-1) 또는 내부에서 외부로 유출되는 트래픽을 격리하는 단계(S4-2)를 포함한다.
외부에서 내부로 유입되는 트래픽을 격리하는 단계(S4-1)는 도 23에 도시된 바와 같이, 네트워크의 외부에서 내부로 유입되는 의심 트래픽을 격리시킨다. 이는 1차 필터링을 수행하는 단계(S4-1-1)와, 2차 필터링을 수행하는 단계(S4-1-2), 및 3차 필터링을 수행하는 단계(S4-1-3)를 포함한다.
1차 필터링을 수행하는 단계(S4-1-1)는 도 25에 도시된 바와 같이 세이프티 존(safety zone)으로 향하는 트래픽 중 좀비 IP에서 출발한 DDoS 트래픽과, 도 24에 도시된 바와 같이 C&C IP에서 출발한 통신 트래픽을 격리시킨다. 또한, C&C IP로 향하는 트래픽 중 좀비 IP에서 출발한 통신 트래픽과, 알려지지 않은 IP에서 출발한 트래픽을 격리시킨다.
2차 필터링을 수행하는 단계(S4-1-2)는 도 26에 도시된 바와 같이 해당 트래픽 의 L2/L3/L4 정보와 단위시간당 패킷 유입수(PPS), 단위시간당 대역폭수(BPS), 트래픽의 페이로드 사이즈를 통한 반복적 검증으로 DDoS 트래픽을 2차적으로 판단하여 격리시킨다.
3차 필터링을 수행하는 단계(S4-1-3)는 도 26에 도시된 바와 같이 1차 필터링을 수행하는 단계와 2차 필터링을 수행하는 단계를 수행한 이후에도 다량의 트래픽이 외부에서 내부로 유입되는 경우, 레이트-리미트를 적용한다. 이는 예를 들어, 시스코(Cisco)사 CAR(Commit Access Rate)과 같이 구현할 수 있다.
내부에서 외부로 유출되는 트래픽을 격리하는 단계(S4-2)는 도 27에 도시된 바와 같이 네트워크의 내부에서 외부로 유출되는 의심 트래픽을 격리시킨다. 이러한 내부에서 외부로 유출되는 트래픽을 격리하는 단계는 1차 필터링을 수행하는 단계(S4-2-1)와, 2차 필터링을 수행하는 단계(S4-2-2)를 포함한다.
1차 필터링을 수행하는 단계(S4-2-1)는 도 28에 도시된 바와 같이 C&C IP로 향하는 통신 트래픽을 격리시킨다. 이 경우, SRC IP가 알려진 좀비 IP인 경우 드롭(drop)시키며, SRC IP가 알려지지 않은 IP인 경우 2차 필터링을 수행하는 단계를 수행한다. 또한, 도 29에 도시된 바와 같이 좀비 IP로 향하는 통신 트래픽을 격리시킨다. 이 경우, SRC IP가 알려지지 않은 IP인 경우 2차 필터링을 수행하는 단계를 수행한다.
2차 필터링을 수행하는 단계(S4-2-2)는 C&C IP로 향하는 통신 트래픽 또는 좀 비 IP로 향하는 통신 트래픽에서 SRC IP가 알려지지 않은 IP일 때, 해당 트래픽의 L2/L3/L4 정보와 단위시간당 패킷유입수(PPS), 단위시간당 대역폭수(BPS), 페이로드 사이즈 등을 통한 신규 봇넷 정보 획득하고 SRC IP를 좀비 IP로 획득하고 SRC IP를 C&C IP로 획득하며, 이를 격리하거나 관리자에게 통보하여 대응하게 할 수 있다.
상술한 바와 같이 본 발명은 봇 감염 PC와 C&C 서버로부터의 트래픽을 격리소로 수용하되, 정상적인 트래픽과 악성 봇에서 발송하는 트래픽을 구분하여 차단할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다. 또한, 본 발명은 격리된 봇넷 트래픽의 통계 데이터를 제공하며 선택적인 트래픽 내용을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다. 또한, 본 발명은 봇넷 탐지 시스템과의 연동을 통한 다양한 필터링 기능(예를 들어, 호스트 및 C&C IP 기반, 페이로드 크기(paylode size), 레이트 리미트(rate-limite or Ratefiltering) 등)을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다. 또한, 본 발명은 봇넷을 통한 DDoS 공격 완화 기능을 제공할 수 있는 봇넷 정보를 이용한 악성 트래픽 격리 방법을 제공할 수 있다.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 개념도.
도 2는 본 발명에 따른 악성 트래픽 격리 시스템 동작에 필요한 연동 개념도.
도 3은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 구성도.
도 4는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 트래픽 수집센서 개념도.
도 5는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 트래픽 정보 수집 모듈 구성도.
도 6은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 트래픽 정보 관리 모듈의 구성도.
도 7은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 관리 통신 모듈 구성도.
도 8은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 정책 관리 모듈 구성도.
도 9는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 탐지 시스템 구성도.
도 10은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇 넷 탐지 시스템 구조도.
도 11은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 그룹 분석 모듈 구성도.
도 12는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 그룹 분석 모듈 작동 순서도.
도 13은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 그룹 정보 관리 모듈 작동 순서도.
도 14는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 그룹 데이터 관리 모듈 작동 순서도.
도 15는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 그룹 매트릭스 관리 모듈 작동 순서도.
도 16은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 의심 그룹 선정 모듈 작동 순서도.
도 17은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 의심 그룹 비교 분석 모듈 작동 순서도.
도 18은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 구성 분석 모듈의 구성도.
도 19는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 구성 분석 모듈 작동 순서도.
도 20은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 격 리 시스템 매니저와 격리 시스템 에이전트간 시퀀스를 나타낸 봇넷 격리 시스템의 전체 시그널링.
도 21은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 시스템의 봇넷 격리 시스템의 세부 모듈간 동작 절차의 블록도.
도 22는 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 순서도.
도 23은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 외부에서 내부로의 봇넷 격리 시스템 테크놀로지 개념도.
도 24는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부 C&C IP를 기반으로 트래픽을 유입시킬 경우의 대응 알고리듬 블록도.
도 25는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 트래픽 유입 대상을 네트워크 내부의 세이프티 존으로 정할 경우의 대응 알고리듬 블록도.
도 26은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 외부에서 내부로의 트래픽을 격리시킬 경우 2차 및 3차 필터링 알고리듬 블록도.
도 27은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부에서 외부로의 봇넷 격리 시스템 테크놀로지 개념도.
도 28은 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부에서 외부로의 트래픽을 격리시킬 경우 트래픽 유출 대상이 외부의 C&C IP일 때 대응 알고리듬 블록도.
도 29는 본 발명에 따른 봇넷 정보를 이용한 악성 트래픽 격리 방법의 네트워크 내부에서 외부로의 트래픽을 격리시킬 경우 트래픽 유출 대상을 외부의 좀비 IP로 정할 때 대응 알고리듬 블록도.

Claims (9)

  1. 네트워크 내의 트래픽을 수집하여 봇넷을 탐지하는 봇넷 탐지 시스템과,
    상기 봇넷의 트래픽을 격리시키는 봇넷 격리 시스템을 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 시스템.
  2. 청구항 1에 있어서,
    상기 봇넷 격리 시스템은,
    보호대상 리스트와 좀비 IP 및 C&C IP 리스트를 포함하는 봇넷 그룹 정보를 송신하는 격리 시스템 매니저와,
    상기 격리 시스템 매니저에서 송신된 봇넷 그룹 정보를 기초로 봇넷 그룹을 격리시키는 격리 시스템 에이전트, 및
    상기 봇넷 격리 시스템을 실시간으로 모니터링하는 격리 시스템 모니터링을 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 시스템.
  3. 청구항 2에 있어서,
    상기 격리 시스템 에이전트는,
    상기 격리 시스템 매니저에서 보내진 보호대상 리스트 및 좀비 IP, C&C IP 리스트를 수신하고 의심 트래픽 및 이에 대한 차단 정보를 송신하는 격리 시스템 에이전트 송수신부와,
    상기 격리 시스템 에이전트 송수신부에서 트래픽을 수신하는 BGP부와,
    상기 BGP부에서 유입된 트래픽에 대하여 필터링을 제어하는 IP테이블부, 및
    상기 의심 트래픽에 대하여 임시로 저장 및 격리 시스템 에이전트로 전송하는 의심 봇넷 저장부를 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 시스템.
  4. 네트워크 내의 봇넷을 탐지하는 단계와,
    상기 봇넷의 트래픽을 격리하는 단계를 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 방법.
  5. 청구항 4에 있어서,
    상기 네트워크 내의 봇넷을 탐지하는 단계, 이후
    상기 탐지된 봇넷의 악성 행위를 발견하는 단계, 및
    상기 악성 행위 존재를 통보 받아 악성 트래픽을 검사하기 위해 라우팅 설정을 하는 악성 트래픽을 라우팅하는 단계를 포함하는 것을 특징으로 하는 악성 트래픽 격리 방법.
  6. 청구항 4에 있어서,
    상기 봇넷의 트래픽을 격리하는 단계는,
    상기 봇넷을 탐지하고자 하는 네트워크의 외부에서 내부로 유입되는 봇넷 그 룹의 트래픽을 격리하는 단계, 또는
    상기 봇넷을 탐지하고자 하는 네트워크의 내부에서 외부로 유출되는 봇넷의 트래픽을 격리하는 단계를 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 방법.
  7. 청구항 6에 있어서,
    상기 봇넷을 탐지하고자 하는 네트워크의 외부에서 내부로 유입되는 봇넷의 트래픽을 격리하는 단계는,
    세이프티 존(safety zone)으로 향하는 트래픽 중 좀비 IP에서 출발한 DDoS 트래픽과, C&C IP에서 출발한 통신 트래픽을 격리시켜 1차 필터링을 수행하는 단계와,
    L2/L3/L4 정보와 단위시간당 패킷유입수(PPS), 단위시간당 대역폭수(BPS), 페이로드 사이즈 등을 통한 봇넷 IP와 유사도 검증으로 DDoS 트래픽을 2차적으로 판단하여 대응하도록 하는 2차 필터링을 수행하는 단계, 및
    상기 1차 필터링을 수행하는 단계와 상기 2차 필터링을 수행하는 단계를 수행한 이후에도 다량의 트래픽이 상기 네트워크의 외부에서 내부로 유입되는 경우, 레이트-리미트를 적용하여 3차 필터링을 수행하는 단계를 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 방법.
  8. 청구항 7에 있어서,
    상기 세이프티 존(safety zone)으로 향하는 트래픽 중 좀비 IP에서 출발한 DDoS 트래픽과, C&C IP에서 출발한 통신 트래픽을 격리시켜 1차 필터링을 수행하는 단계는,
    C&C IP로 향하는 트래픽 중 좀비 IP에서 출발한 통신 트래픽과, 알려지지 않은 IP에서 출발한 트래픽을 격리시키는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 방법.
  9. 청구항 6에 있어서,
    상기 봇넷을 탐지하고자 하는 네트워크의 내부에서 외부로 유출되는 봇넷의 트래픽을 격리하는 단계는,
    C&C IP로 향하는 통신 트래픽을 격리시키되 SRC IP가 알려진 좀비 IP인 경우 드롭시키며, 좀비 IP로 향하는 통신 트래픽을 격리시켜 1차 필터링을 수행하는 단계와,
    상기 1차 필터링을 수행하는 단계에서 C&C IP로 향하는 통신 트래픽 또는 좀비 IP로 향하는 통신 트래픽에서 SRC IP가 알려지지 않은 IP일 때, 해당 트래픽의 L2/L3/L4 정보와 단위시간당 패킷유입수(PPS), 단위시간당 대역폭수(BPS), 페이로드 사이즈등을 통한 신규 봇넷 정보 획득하고 SRC IP를 좀비 IP로 또는 SRC IP를 C&C IP로 획득하며, 이를 격리하거나 관리자에게 통보하여 대응하도록하는 단계를 포함하는 것을 특징으로 하는 봇넷 정보를 이용한 악성 트래픽 격리 방법.
KR1020090126914A 2009-12-18 2009-12-18 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 KR101070614B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090126914A KR101070614B1 (ko) 2009-12-18 2009-12-18 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
US12/821,549 US20110154492A1 (en) 2009-12-18 2010-06-23 Malicious traffic isolation system and method using botnet information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090126914A KR101070614B1 (ko) 2009-12-18 2009-12-18 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법

Publications (2)

Publication Number Publication Date
KR20110070189A true KR20110070189A (ko) 2011-06-24
KR101070614B1 KR101070614B1 (ko) 2011-10-10

Family

ID=44153133

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090126914A KR101070614B1 (ko) 2009-12-18 2009-12-18 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법

Country Status (2)

Country Link
US (1) US20110154492A1 (ko)
KR (1) KR101070614B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210092142A1 (en) * 2016-02-25 2021-03-25 Imperva, Inc. Techniques for targeted botnet protection

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101036750B1 (ko) * 2011-01-04 2011-05-23 주식회사 엔피코어 좀비행위 차단 시스템 및 방법
DE102011082237B4 (de) * 2011-09-07 2013-04-04 Deutsche Telekom Ag Netzwerkkommunikationsgerät zur Kommunikation über ein Kommunikationsnetzwerk
CN102546298B (zh) * 2012-01-06 2015-03-04 北京大学 一种基于主动探测的僵尸网络家族检测方法
GB2502254B (en) 2012-04-20 2014-06-04 F Secure Corp Discovery of suspect IP addresses
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
CN102801719B (zh) * 2012-08-08 2015-02-25 中国人民解放军装备学院 基于主机流量功率谱相似性度量的僵尸网络检测方法
US9740390B2 (en) * 2013-03-11 2017-08-22 Spikes, Inc. Dynamic clip analysis
US9443075B2 (en) * 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
EP3103237B1 (en) 2014-02-06 2020-02-19 Council of Scientific and Industrial Research Method and device for detecting a malicious sctp receiver terminal
WO2015138508A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. Method and system for detecting bot behavior
US10165004B1 (en) 2015-03-18 2018-12-25 Cequence Security, Inc. Passive detection of forged web browsers
US11418520B2 (en) * 2015-06-15 2022-08-16 Cequence Security, Inc. Passive security analysis with inline active security device
KR102045468B1 (ko) * 2015-07-27 2019-11-15 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
US10135790B2 (en) 2015-08-25 2018-11-20 Anchorfree Inc. Secure communications with internet-enabled devices
KR20170096780A (ko) * 2016-02-17 2017-08-25 한국전자통신연구원 침해사고 정보 연동 시스템 및 방법
CN108063749A (zh) * 2016-11-07 2018-05-22 西藏民族大学 一种基于搜索引擎的命令控制节点地址查找机制
CN106549980B (zh) * 2016-12-30 2020-04-07 北京神州绿盟信息安全科技股份有限公司 一种恶意c&c服务器确定方法及装置
US10841321B1 (en) * 2017-03-28 2020-11-17 Veritas Technologies Llc Systems and methods for detecting suspicious users on networks
US10616267B2 (en) 2017-07-13 2020-04-07 Cisco Technology, Inc. Using repetitive behavioral patterns to detect malware
US10929878B2 (en) * 2018-10-19 2021-02-23 International Business Machines Corporation Targeted content identification and tracing
US10880329B1 (en) * 2019-08-26 2020-12-29 Nanning Fugui Precision Industrial Co., Ltd. Method for preventing distributed denial of service attack and related equipment
CN113452647B (zh) * 2020-03-24 2022-11-29 百度在线网络技术(北京)有限公司 特征鉴定方法、装置、电子设备及计算机可读存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603356B2 (en) * 2001-01-26 2009-10-13 Ascentive Llc System and method for network administration and local administration of privacy protection criteria
US7631351B2 (en) * 2003-04-03 2009-12-08 Commvault Systems, Inc. System and method for performing storage operations through a firewall
US7409712B1 (en) 2003-07-16 2008-08-05 Cisco Technology, Inc. Methods and apparatus for network message traffic redirection
US7363513B2 (en) * 2004-04-15 2008-04-22 International Business Machines Corporation Server denial of service shield
KR100663546B1 (ko) * 2005-07-08 2007-01-02 주식회사 케이티 악성 봇 대응 방법 및 그 시스템
WO2007050244A2 (en) * 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US8533819B2 (en) * 2006-09-29 2013-09-10 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting compromised host computers
US7870610B1 (en) * 2007-03-16 2011-01-11 The Board Of Directors Of The Leland Stanford Junior University Detection of malicious programs
US7953969B2 (en) * 2007-04-16 2011-05-31 Microsoft Corporation Reduction of false positive reputations through collection of overrides from customer deployments
US20080307526A1 (en) * 2007-06-07 2008-12-11 Mi5 Networks Method to perform botnet detection
US20090265786A1 (en) * 2008-04-17 2009-10-22 Microsoft Corporation Automatic botnet spam signature generation
US8627060B2 (en) * 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface
US8225400B2 (en) 2008-05-13 2012-07-17 Verizon Patent And Licensing Inc. Security overlay network
CA2949090C (en) * 2008-07-11 2018-10-30 Thomson Reuters Global Resources Systems, methods, and interfaces for researching contractual precedents
US8176173B2 (en) * 2008-09-12 2012-05-08 George Mason Intellectual Properties, Inc. Live botmaster traceback
US8069210B2 (en) * 2008-10-10 2011-11-29 Microsoft Corporation Graph based bot-user detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210092142A1 (en) * 2016-02-25 2021-03-25 Imperva, Inc. Techniques for targeted botnet protection

Also Published As

Publication number Publication date
US20110154492A1 (en) 2011-06-23
KR101070614B1 (ko) 2011-10-10

Similar Documents

Publication Publication Date Title
KR101070614B1 (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
Ghorbani et al. Network intrusion detection and prevention: concepts and techniques
Artail et al. A hybrid honeypot framework for improving intrusion detection systems in protecting organizational networks
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
Gupta et al. An ISP level solution to combat DDoS attacks using combined statistical based approach
US20050216956A1 (en) Method and system for authentication event security policy generation
US20060129810A1 (en) Method and apparatus for evaluating security of subscriber network
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
Amaral et al. Deep IP flow inspection to detect beyond network anomalies
AU2013272211A1 (en) Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness
KR100947211B1 (ko) 능동형 보안 감사 시스템
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
Shanthi et al. Detection of botnet by analyzing network traffic flow characteristics using open source tools
Xiao et al. Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model
Swami et al. DDoS attacks and defense mechanisms using machine learning techniques for SDN
Alsadhan et al. Detecting NDP distributed denial of service attacks using machine learning algorithm based on flow-based representation
Koch et al. Command evaluation in encrypted remote sessions
KR101078851B1 (ko) 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
Limmer et al. Survey of event correlation techniques for attack detection in early warning systems
Jadidoleslamy Weaknesses, Vulnerabilities and Elusion Strategies Against Intrusion Detection Systems
Ibrahim et al. Sdn-based intrusion detection system
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system
Kaliyamurthie et al. Artificial intelligence technique applied to intrusion detection
Chan et al. A netflow based internet-worm detecting system in large network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140829

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150915

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee