KR20120110852A - 봇넷 탐지 방법 및 장치 - Google Patents

봇넷 탐지 방법 및 장치 Download PDF

Info

Publication number
KR20120110852A
KR20120110852A KR1020110029006A KR20110029006A KR20120110852A KR 20120110852 A KR20120110852 A KR 20120110852A KR 1020110029006 A KR1020110029006 A KR 1020110029006A KR 20110029006 A KR20110029006 A KR 20110029006A KR 20120110852 A KR20120110852 A KR 20120110852A
Authority
KR
South Korea
Prior art keywords
domain
botnet
address
queried
packet
Prior art date
Application number
KR1020110029006A
Other languages
English (en)
Other versions
KR101351998B1 (ko
Inventor
신효정
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020110029006A priority Critical patent/KR101351998B1/ko
Publication of KR20120110852A publication Critical patent/KR20120110852A/ko
Application granted granted Critical
Publication of KR101351998B1 publication Critical patent/KR101351998B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

봇넷을 탐지하여 차단하는 봇넷 탐지 장치로서, 적어도 하나의 도메인 네임 시스템 서버로 제1 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집하고, 적어도 하나의 도메인 네임 시스템 서버로부터 제2 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집하는 패킷 수집부, 질의 패킷을 기초로 질의 패킷에 포함된 제1 도메인이 봇넷의 공격 명령 및 제어에 관계된 차단대상인지 판단한 후, 제1 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 봇넷 차단용 패킷을 생성하는 봇넷 차단부, IP 주소가 변하는 도메인 목록과 해당 도메인의 IP 주소를 저장하며, 저장된 도메인의 위험 정보를 관리하는 가변 가능성 도메인 데이터베이스, 응답 패킷을 기초로 제2 도메인의 IP 주소의 변화를 비교하여 가변 가능성 도메인 데이터베이스를 갱신하고, 제2 도메인의 위험 정보가 기준값을 넘으면 제2 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 봇넷 판단부를 포함한다.

Description

봇넷 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING BOTNET}
본 발명은 봇넷 탐지 방법 및 장치에 관한 것이다.
인터넷에서 악성 코드는 이른바 봇(bot)이라고 말하는데, 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등의 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어이다. 악성 봇이 설치된 시스템은 감염되어 명령 및 제어(Command and Control, C&C) 서버와 관계되어 공격 명령 및 제어를 받는다. 특히 이러한 악성 코드는 봇넷(botnet)이라는 네트워크를 이루어 공격자(bot master)의 명령에 의해 다양한 형태의 공격을 수행한다. 봇은 명령 및 제어 서버와 통신하기 위해 DNS(Domain Name System) 서버로 질의(query)한다. 봇넷은 DNS 질의를 통해 획득한 IP(internet protocol) 주소를 기초로 명령 및 제어 서버와 연결된다.
최근 봇넷 제작자는 특정 도메인을 차단하지 않는 DNS 서버, 즉 개방된 DNS 서버를 이용하여 봇넷 차단을 회피하고 있다. 또한, 봇넷 제작자는 공격 명령을 지시하는 명령 및 제어 서버를 숨기기 위해 동적(dynamic) DNS 서버를 이용한다. 이와 같이 지금까지 봇넷이 개방된 DNS 서버를 이용하는 경우, 자체 DNS 서버만 관리하는 인터넷 서비스 제공자는 개방된 DNS 서버로 전달되는 질의에 대한 제어가 어려워 봇넷을 탐지하기가 쉽지 않다. 또한 봇넷이 동적 DNS 서버를 이용하여 IP 주소를 수시로 바꾸는 경우에도, 인터넷 사업자는 명령 및 제어 서버를 탐지하기 어려워 미리 공격을 차단하기가 어렵다.
본 발명이 해결하려는 과제는 개방된 DNS 서버로의 DNS 질의를 분석하여 봇넷을 차단하고, DNS 질의에 대한 응답을 기초로 가변 가능성 도메인 여부를 판단하여 봇넷을 검출하는 봇넷 탐지 방법 및 장치에 관한 것이다.
본 발명의 한 실시예에 따른 봇넷 탐지 장치가 악성 코드를 포함하여 공격 명령에 따라 네트워크를 공격하는 제1 네트워크의 봇넷을 탐지하는 방법으로서, 상기 제1 네트워크에서 상기 제1 네트워크와 다른 제2 네트워크로 전달되는 패킷 중에서, 상기 제2 네트워크의 특정 도메인 네임 시스템 서버에 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집하는 단계, 상기 질의 패킷에 포함된 상기 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단하는 단계, 상기 도메인이 차단대상인 경우, 상기 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 상기 질의 패킷에 대응하는 응답 패킷을 생성하는 단계, 그리고 상기 응답 패킷을 상기 제1 네트워크로 전송하는 단계를 포함한다.
상기 봇넷 탐지 장치는 상기 제1 네트워크와 상기 제2 네트워크 사이에 위치할 수 있다.
상기 질의 패킷을 수집하는 단계는 상기 제1 네트워크와 상기 제2 네트워크 사이를 오고 가는 트래픽을 미러링하여 상기 질의 패킷을 수집할 수 있다.
상기 특정 도메인 네임 시스템 서버는 임의 도메인을 차단하지 않고 도메인 네임 문의에 응답하는 개방된 서버이며, 상기 봇넷 탐지 장치는 상기 특정 도메인 네임 시스템 서버 목록을 관리할 수 있다.
상기 차단대상인지 판단하는 단계는 봇넷의 공격명령 및 제어에 관계된 도메인을 수집하여 차단대상도메인 목록에 저장하는 단계, 그리고 상기 차단대상도메인 목록에 상기 도메인이 포함되어 있는지 판단하는 단계를 포함할 수 있다.
본 발명의 다른 실시예에 따른 봇넷 탐지 장치가 IP 주소가 변하는 도메인 정보가 저장된 가변 가능성 도메인 데이터베이스를 기초로 패킷을 모니터링하여 봇넷을 탐지하는 방법으로서, 특정 도메인 네임 시스템 서버로부터 전송되는 패킷 중에서, 질의된 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집하는 단계, 상기 질의된 도메인이 상기 가변 가능성 도메인 데이터베이스에 있는지 검사하여 상기 질의된 도메인이 가변 가능성 도메인인지 판단하는 단계, 상기 질의된 도메인이 가변 가능성 도메인이면, 상기 가변 가능성 도메인 데이터베이스를 기초로 상기 질의된 도메인의 과거 IP 주소와 상기 응답 패킷의 IP 주소를 비교하여 상기 질의된 도메인의 위험 정보를 갱신하는 단계, 그리고 상기 질의된 도메인의 위험 정보가 기준값을 넘으면 상기 질의된 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 단계를 포함한다.
상기 방법은 상기 질의된 도메인이 상기 가변 가능성 도메인 데이터베이스에 포함되어 있지 않으면, 상기 응답 패킷의 존속 시간이 기준 시간 이하인지 판단하는 단계, 그리고 기준 시간 이하이면 상기 가변 가능성 도메인 데이터베이스에 상기 질의된 도메인과 상기 질의된 도메인의 IP 주소 정보를 저장하는 단계를 더 포함할 수 있다.
상기 방법은 상기 질의된 도메인이 상기 가변 가능성 도메인 데이터베이스에 포함되어 있지 않으면, 상기 질의된 도메인이 동적 도메인 네임 시스템 서버에 의해 서비스되는 도메인인지 판단하는 단계, 그리고 상기 질의된 도메인이 상기 동적 도메인 네임 시스템 서버에 의해 서비스되는 도메인인 경우, 상기 가변 가능성 도메인 데이터베이스에 상기 질의된 도메인과 상기 질의된 도메인의 IP 주소 정보를 저장하는 단계를 더 포함할 수 있다.
상기 질의된 도메인의 위험 정보는 상기 질의된 도메인을 포함하는 응답 패킷을 수집한 수집 개수와 상기 질의된 도메인의 위험 강도 지수를 포함할 수 있다.
상기 질의된 도메인의 위험 정보를 갱신하는 단계는 상기 질의된 도메인의 과거 IP 주소와 상기 응답 패킷의 IP 주소가 동일하면, 상기 질의된 도메인에 대응하는 상기 수집 개수를 높이는 단계, 그리고 상기 질의된 도메인의 과거 IP 주소와 상기 응답 패킷의 IP 주소가 다르면, 상기 질의된 도메인에 대응하는 상기 수집 개수 및 상기 위험 강도 지수를 높이는 단계를 포함할 수 있다.
상기 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 단계는 상기 수집 개수의 기준 개수와 상기 위험 강도 지수의 기준 강도를 기초로 상기 질의된 도메인이 상기 봇넷의 공격명령 및 제어에 관계된 서버 도메인인지 판단할 수 있다.
본 발명의 한 실시예에 따른 봇넷을 탐지하여 차단하는 봇넷 탐지 장치로서, 적어도 하나의 도메인 네임 시스템 서버로 제1 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집하고, 상기 적어도 하나의 도메인 네임 시스템 서버로부터 제2 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집하는 패킷 수집부, 상기 질의 패킷을 기초로 상기 질의 패킷에 포함된 상기 제1 도메인이 봇넷의 공격 명령 및 제어에 관계된 차단대상인지 판단한 후, 상기 제1 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 봇넷 차단용 패킷을 생성하는 봇넷 차단부, IP 주소가 변하는 도메인 목록과 해당 도메인의 IP 주소를 저장하며, 저장된 도메인의 위험 정보를 관리하는 가변 가능성 도메인 데이터베이스, 상기 응답 패킷을 기초로 상기 제2 도메인의 IP 주소의 변화를 비교하여 상기 가변 가능성 도메인 데이터베이스를 갱신하고, 상기 제2 도메인의 위험 정보가 기준값을 넘으면 상기 제2 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 봇넷 판단부를 포함한다.
상기 적어도 하나의 도메인 네임 시스템 서버는 임의 도메인 네임을 차단하지 않고 도메인 네임 문의에 응답하는 개방된 서버이며, 상기 패킷 수집부는 상기 개방된 서버 목록을 관리할 수 있다.
상기 봇넷 차단부는 상기 봇넷의 공격명령 및 제어에 관계된 도메인 목록인 차단대상도메인 목록을 관리하며, 상기 차단대상도메인 목록을 기초로 상기 제1 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단할 수 있다.
상기 가변 가능성 도메인 데이터베이스는 상기 도메인 목록에 대응하는 도메인별로 각 도메인이 포함된 응답 패킷을 수집한 수집 개수와 상기 각 도메인의 위험 강도 지수를 포함하는 상기 위험 정보를 관리할 수 있다.
상기 봇넷 판단부는 상기 가변 가능성 도메인 데이터베이스를 기초로 상기 제2 도메인의 과거 IP 주소와 상기 응답 패킷에 포함된 IP 주소를 비교하여, 상기 과거 IP 주소와 상기 응답 패킷에 포함된 IP 주소가 동일하면 상기 제2 도메인에 대응하는 상기 수집 개수를 높이고, 상기 과거 IP 주소와 상기 응답 패킷에 포함된 IP 주소가 다르면 상기 제2 도메인에 대응하는 상기 수집 개수 및 상기 위험 강도 지수를 높일 수 있다.
본 발명의 실시예에 따르면 봇넷 탐지 장치는 개방된 DNS 서버로 오고 가는 트래픽 중 질의 패킷과 응답 패킷을 분석하여 봇넷을 탐지할 수 있으며, 적은 양의 패킷을 모니터링하면 되므로 간단하고 저렴한 비용으로 악성코드 공격 개시 전에 차단할 수 있다. 또한 인터넷 서비스 제공자는 봇넷 탐지 장치를 다른 인터넷 서비스 제공자의 네트워크의 관문에 설치하여, 직접 관리할 수 없는 다른 네트워크의 개방된 DNS 서버를 이용하는 봇넷이더라도 탐지할 수 있으므로 효과적으로 네트워크를 보호할 수 있다.
도 1은 본 발명의 한 실시예에 따른 봇넷의 개념도이다.
도 2는 본 발명의 한 실시예에 따른 봇넷 탐지 방법의 개념도이다.
도 3은 본 발명의 한 실시예에 따른 봇넷 탐지 시스템을 나타내는 도면이다.
도 4는 본 발명의 한 실시예에 따른 봇넷 탐지 방법을 나타내는 흐름도이다.
도 5는 본 발명의 한 실시예에 따른 봇넷 차단 패킷 구조의 예시이다.
도 6은 본 발명의 다른 실시예에 따른 봇넷 탐지 방법을 나타내는 흐름도이다.
도 7은 본 발명의 한 실시예에 따른 가변 가능성 도메인 데이터베이스를 관리하는 방법을 나타내는 흐름도이다.
도 8은 본 발명의 한 실시예에 따른 봇넷 탐지 장치의 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이제 도면을 참고하여 본 발명의 실시예에 따른 봇넷 탐지 방법 및 장치에 대해 상세하게 설명한다.
도 1은 본 발명의 한 실시예에 따른 봇넷의 개념도이다.
도 1을 참고하면, 봇넷(botnet)은 악성 코드 봇(bot)이 설치된 감염 단말(10, 20, 30)과 이들을 제어하는 명령 및 제어(Command and Control, C&C) 서버(200)의 네트워크를 말하며, 도메인 네임 시스템(Domain Name System, DNS) 서버(300)를 이용하여 공격 명령 및 제어 관련 채널을 형성한다. 이러한 봇넷은 정보 수집, 스팸 메일 발송, DDoS(Distributed Deniel of Service) 공격과 같이 다양한 형태의 공격을 한다.
봇이 설치된 감염 단말(10, 20, 30)은 공격 명령을 내리는 명령 및 제어 서버(200)에 접속하여 공격 명령, 공격시간, 공격 대상 등에 대한 값을 얻어 공격을 시작한다. 그런데 감염 단말(10, 20, 30)의 봇이 명령 및 제어 서버(200)의 IP 주소를 알고 있다면 명령 및 제어 서버(200)가 발각되기 쉽다. 따라서 봇은 IP 주소 대신에 명령 및 제어 서버(200)의 도메인네임(domain name)을 기억하고, 도메인네임에 대응하는 IP 주소 정보를 제공하는 DNS 서버(300)에 IP 주소를 질의하여 명령 및 제어 서버(200)의 IP 주소 정보를 획득한다.
명령 및 제어 서버(200)는 공격에 이용되면 그 위치가 노출되기 쉽다. 따라서 명령 및 제어 서버(200)는 동적 DNS(dynamic DNS, DDNS) 서비스를 이용하여 IP 주소를 수시로 바꿀 수 있다. 동적 DNS 서비스란 IP 주소가 자주 바뀌는 경우에도 고정된 도메인네임을 가질 수 있도록 하는 서비스로서, 도메인네임에 대하여 IP 주소의 지속시간(Time To Live, TTL)을 짧게, 예를 들면 60초 이하로 유지하여 IP 주소를 가변한다. 따라서 명령 및 제어 서버(200)는 IP가 자주 변하는 도메인, 즉 가변 도메인(dynamic domain)을 이용하여 자신의 도메인에 대한 IP 주소를 무의미한 IP 주소로 자주 바꾸면서 숨어 있다가 공격 개시 시점에 명령 및 제어 서버(200)의 IP 주소로 바꿔서 공격 명령을 내린다.
봇넷의 동작을 살펴보면, 먼저 봇이 설치된 감염 단말(10, 20, 30)은 DNS 서버(300)로 명령 및 제어 서버(200)의 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 전송한다(S110). 이때 DNS 서버란 도메인에 대응하는 IP 주소 정보를 제공하는 서버로서, 특히 DNS 서버(300)는 개방된 DNS(open DNS) 서버일 수 있다. 개방된 DNS 서버란, 특정 도메인을 차단하지 않고 질의에 응답하는 개방된 서버로서, 예를 들어 봇넷에 관계된 도메인으로 알려진 도메인을 차단하지 않거나 블랙리스트 도메인을 관리하지 않는 DNS 서버이다. 또한 개방된 DNS 서버는 DNS 질의를 하는 사용자 IP 주소를 제한하지 않고 질의 내용에 대한 차단 기능을 수행하지 않는데, 포털 사이트, 예를 들면 구글(Google)에서 서비스하고 있다. 따라서 봇넷은 명령 및 제어 서버(200)로의 연결이 차단되지 않도록 도메인을 임의로 차단하지 않으면서 질의에 대해 IP 주소를 제공하는 개방된 DNS 서버를 이용할 수 있다.
DNS 서버(300)는 개방된 DNS 서버일 수 있다. DNS 서버(300)는 캐쉬(cache) DNS 서버로 구현되어 동적 DNS(dynamic DNS, DDNS) 서버(400)에서 제공하는 가변 도메인에 대한 응답을 가지고 있지 않다. 따라서, DNS 서버(300)는 가변 도메인에 대한 질의인 경우, 동적 DNS 서버(400)로 다시 질의 패킷을 보낸다(S120).
동적 DNS 서버(400)는 질의 패킷을 수신하여 IP 주소 또는 IP 주소를 얻을 수 있는 정보를 포함하는 응답 패킷을 DNS 서버(300)로 전송하면(S130). DNS 서버(300)는 응답 패킷을 감염 단말(10, 20, 30)로 전달한다(S140).
감염 단말(10, 20, 30)은 이렇게 획득한 IP 주소를 기초로 명령 및 제어 서버(200)에 접속한다(S150). 감염 단말(10, 20, 30)은 명령 및 제어 서버(200)로부터 공격에 관계된 정보를 획득하여 공격을 시작한다(S160).
다음에서, 이러한 개방된 DNS 서버와 동적 DNS 서버를 이용하는 봇넷을 탐지하는 봇넷 탐지 방법 및 장치에 대해 살펴본다.
도 2는 본 발명의 한 실시예에 따른 봇넷 탐지 방법의 개념도이다.
도 2를 참고하면, 봇넷 탐지 장치(100)는 DNS 서버(300), 특히 개방된 DNS 서버로 입력되거나 출력되는 질의 패킷과 응답 패킷을 모니터링하여 봇넷을 탐지한다. 이때 봇넷 탐지 장치(100)는 이미 알려진 봇넷의 공격 명령 및 제어 서버의 도메인 목록인 차단대상도메인 목록을 관리하고, 또한 IP 주소가 변하는 모습을 기초로 가변 가능성 도메인인지 판단하고, 해당 도메인의 위험 정보를 지속적으로 모니터링하여 봇넷을 탐지한다.
먼저 봇넷 탐지 장치(100)는 개방된 DNS 서버(300)로 특정 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집한다(S210). 봇넷 탐지 장치(100)는 태핑(tapping) 장치를 이용하여 오고 가는 트래픽을 미러링하여 원하는 패킷을 수집할 수 있다.
봇넷 탐지 장치(100)는 질의 패킷에 포함된 도메인이 봇넷의 공격 명령 및 제어에 관계된 차단대상도메인이면 봇넷 차단용 IP 주소를 포함한 봇넷 차단용 패킷을 만들어 감염 단말(10, 20, 30)로 전송한다(S220). 봇넷 탐지 장치(100)는 개방된 DNS 서버(300)가 보내는 응답 패킷보다 빨리 감염 단말(10, 20, 30)에 봇넷 차단용 패킷을 보냄으로써, 뒤늦게 도달하는 개방된 DNS 서버(300)가 보내는 응답값을 무의미하게 만든다.
또한 봇넷 탐지 장치(100)는 개방된 DNS 서버(300)로부터 나오는 패킷 중에서, 질의된 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집한다(S230). 봇넷 탐지 장치(100)는 질의된 도메인의 IP 주소 변화를 기초로 질의된 도메인이 IP 주소를 자주 바꾸는 가변 도메인인지 또는 지속적으로 모니터링이 필요한 가변 가능성 도메인인지 판단한다. 이후 봇넷 탐지 장치(100)는 모니터링 결과를 기초로 질의된 도메인이 봇넷의 공격명령 및 제어에 관계된 서버 도메인인지 판단한다.
도 3은 본 발명의 한 실시예에 따른 봇넷 탐지 시스템을 나타내는 도면이다.
도 3을 참고하면, 봇넷 탐지 시스템은 봇넷 탐지 장치(100), 복수의 라우터(500, 510, 600, 610) 그리고 태핑집선 장치(700)를 포함한다.
라우터(500, 510)는 네트워크(1)에 연결되고, 라우터(600, 610)는 다른 네트워크(2)에 연결되며, 라우터(500, 510)와 라우터(600, 610)는 링크되어 네트워크(1, 2) 사이의 트래픽을 전달한다. 여기에서 네트워크(1, 2)는 인터넷 서비스 사업자 등과 같은 일정 주체가 관리하는 네트워크로 구분한다. 예를 들면, 각 네트워크(1, 2)는 서로 다른 인터넷 서비스 제공자(Internet Service Provider, ISP)가 관리하는 네트워크이거나, 네트워크(1)은 국내 통신 네트워크이고 네트워크(2)는 국외 통신 네트워크일 수 있다.
태핑집선 장치(700)는 집선 장치로서 트래픽을 미러링(mirroring)할 수 있고, 라우터(500, 510)와 라우터(600, 610) 사이의 여러 회선을 태핑하고 집선하여 봇넷 탐지 장치(100)로 전달한다. 이때 태핑집선 장치(700)는 국제 인터넷 관문 등의 해외 링크 연결 지점에서 DNS 질의 및 응답 패킷을 수집할 수 있다. 그리고 태핑집선 장치(700)는 네트워크(2)의 특정 DNS 서버, 예를 들면 개방된 DNS 서버와 관계되는 패킷만을 수집할 수 있다.
봇넷 탐지 장치(100)는 개방된 DNS 서버와 관계되는 질의 패킷과 응답 패킷을 기초로 네트워크(2)의 개방된 DNS 서버 등을 이용하는 봇넷을 탐지한다. 인터넷 서비스 제공자는 자신이 관리하는 네트워크(1), 즉 내부 네트워크(1)의 DNS 서버를 관리할 수 있다. 따라서 인터넷 서비스 제공자는 알려진 공격명령 및 제어에 관계된 서버 도메인을 블랙리스트로 분류하고 명령 및 제어 서버(200)로 접속하는 것을 차단하여, 봇넷 공격으로부터 내부 네트워크를 보호한다. 그러나 봇넷이 인터넷 서비스 제공자가 관리할 수 없는 DNS 서버를 이용하여 DNS 질의를 한다면, 인터넷 서비스 제공자는 악성도메인에 관련된 제어를 할 수 없다. 특히 인터넷 서비스 제공자는 개방된 DNS 서버나 개별적으로 운용되는 DNS 서버를 직접 관리할 수 없기 때문에 이들 DNS 서버를 이용하는 봇넷을 차단하기 어렵다. 따라서 인터넷 서비스 제공자는 봇넷 탐지 장치(100)를 자신이 관리하는 네트워크인 내부 네트워크(1)와 자신이 관리하지 않는 네트워크인 외부 네트워크(2)의 사이에 설치하여, 내부 네트워크(1)에 위치하면서도 외부 네트워크(2)의 개방된 DNS 서버(300) 등을 이용하는 봇넷을 탐지한다.
이와 같이 봇넷 탐지 장치(100)는 개방된 DNS 서버로 오고 가는 질의 패킷과 응답 패킷만을 수집하고 분석하여 봇넷을 탐지하므로, 저렴한 비용으로 악성코드의 활성화를 제어하고 신규 악성코드를 탐지할 수 있다. 특히 봇넷 탐지 장치(100)가 해외 인터넷과 연결되는 국제 인터넷 관문에서 개방된 DNS 서버로 오고 가는 패킷을 모니터링하는 경우, 국제 인터넷 관문을 지나는 적은 양의 패킷만을 모니터링하면 되므로 효율적으로 봇넷을 탐지할 수 있다.
도 4는 본 발명의 한 실시예에 따른 봇넷 탐지 방법을 나타내는 흐름도이고, 도 5는 본 발명의 한 실시예에 따른 봇넷 차단 패킷 구조의 예시이다.
먼저 도 4를 참고하면, 봇넷 탐지 장치(100)는 내부 네트워크(1)에서 외부 네트워크(2)로 전달되는 패킷 중에서, 외부 네트워크(2)의 특정 DNS 서버에 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집한다(S410). 봇넷 탐지 장치(100)는 내부 네트워크(1)와 외부 네트워크(2)의 사이에 위치하고, 내부 네트워크(1)와 외부 네트워크(2)의 사이를 오고 가는 트래픽을 미러링하여 질의 패킷을 수집한다. 이때 특정 DNS 서버는 임의 도메인을 차단하지 않고 도메인네임 문의에 응답하는 개방된 DNS 서버일 수 있다. 봇넷 탐지 장치(100)는 모니터링 대상인 개방된 DNS 서버 목록을 관리하여 해당 DNS 서버로 오고 가는 패킷을 수집한다.
봇넷 탐지 장치(100)는 질의 패킷에 포함된 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단한다(S420). 봇넷 탐지 장치(100)는 봇넷의 공격명령 및 제어에 관계된 도메인을 수집하여 차단대상도메인 목록에 저장하고, 차단대상도메인 목록에 질의 패킷에 포함된 도메인이 포함되어 있는지 판단한다.
봇넷 탐지 장치(100)는 질의 패킷에 포함된 도메인이 차단대상인 경우, 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 질의 패킷에 대응하는 응답 패킷, 즉 봇넷 차단 패킷을 생성한다(S430). 도 5를 참고하면, 봇넷 탐지 장치(100)는 질의 패킷(60)의 출발지 주소와 목적지 주소를 바꾸고, ID 값은 동일하게 넣어서 봇넷 차단 패킷(70)을 생성하여 응답이 유효하게 처리되도록 한다. 이때 봇넷 차단 패킷(70)은 질의한 도메인에 대응하는 IP 주소로 127.0.0.1 또는 차단 목적에 맞는 IP를 입력하여 봇이 공격을 개시하지 않도록 한다. 이때 봇넷 차단 패킷(70)은 DNS 서버(300)에서 전송된 응답 패킷보다 빨리 도착하므로 뒤늦게 도착한 응답 패킷으로 공격이 개시되지 않는다.
봇넷 탐지 장치(100)는 응답 패킷을 내부 네트워크(1)로 전송한다(S440). 이를 통해 봇넷 탐지 장치(100)는 내부 네트워크의 봇넷 공격을 막는다.
도 6은 본 발명의 다른 실시예에 따른 봇넷 탐지 방법을 나타내는 흐름도이다.
도 6을 참고하면, 봇넷 탐지 장치(100)는 특정 DNS 서버로부터 전송되는 패킷 중에서, 질의된 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집한다(S610).
봇넷 탐지 장치(100)는 질의된 도메인이 가변 가능성 도메인 데이터베이스에 있는지 검사한다(S620). 동적 DNS 서비스를 이용하여 IP 주소를 자주 바꾸는 도메인은 봇넷의 공격명령 및 제어에 관계된 서버 도메인일 가능성이 있다. 따라서, 봇넷 탐지 장치(100)는 가변 가능성 도메인 데이터베이스에 IP 주소가 변하는 가변 가능성 도메인을 저장하고 지속적으로 위험 정보를 관리한다. 이때 가변 가능성 도메인 데이터베이스란 IP 주소가 변한 도메인 정보가 저장된 데이터베이스로서, IP 주소가 자주 바뀌는 가변 도메인일 수 있는 도메인을 관리한다. 가변 가능성 도메인 데이터베이스는 가변 가능성 도메인네임과 해당 도메인의 응답 IP 주소, 그리고 해당 도메인의 위험 정보를 포함한다. 이때 위험 정보는 해당 도메인을 포함하는 응답 패킷을 수집한 수집 개수와 해당 도메인의 위험 강도 지수를 포함한다. 위험 정보는 패킷의 양이나 해당 도메인에 주의가 요구되는 정도 등을 고려하여 유연하게 바꿀 수 있다. 가변 가능성 도메인 데이터베이스는 예를 들면 표 1과 같은 정보를 포함할 수 있다.
가변가능성 도메인 네임 응답 IP 주소 수집 개수 위험 강도 지수
Test.Selfip.net 192.168.0.1 100 0
Test.Webkebi.com 192.168.0.1 150 1
봇넷 탐지 장치(100)는 질의된 도메인이 가변 가능성 도메인 데이터베이스에 있으면, 가변 가능성 도메인 데이터베이스에 기록된 질의된 도메인의 과거 IP 주소와 현재 응답 패킷의 IP 주소를 비교하여 질의된 도메인의 위험 정보를 갱신한다(S630).
봇넷 탐지 장치(100)는 질의된 도메인이 가변 가능성 도메인 데이터베이스에 포함되어 있지 않으면, 가변 가능성 도메인인지 판단하여 가변 가능성 도메인 데이터베이스에 저장한다(S640). 봇넷 탐지 장치(100)는 봇넷이 이용하는 DNS의 특징을 기초로 판단 방법을 결정할 수 있다. 예를 들어, 봇넷 탐지 장치(100)는 응답 패킷의 존속 시간(TTL)이 기준 시간 이하인지 판단하여 기준 시간 이하인 질의된 도메인과 IP 주소 정보를 가변 가능성 도메인 데이터베이스에 저장할 수 있다. 예를 들면 기준 시간은 60초 일 수 있다. 또한 봇넷 탐지 장치(100)는 동적 DNS 서버에 의해 서비스되는 상위 도메인 목록을 관리하고, 질의된 도메인이 상위 도메인 목록에 포함된 도메인의 하위 도메인이면 가변 가능성 도메인 데이터베이스에 질의된 도메인과 질의된 도메인의 IP 주소 정보를 저장할 수 있다.
봇넷 탐지 장치(100)는 질의된 도메인의 위험 정보가 기준값을 넘으면 질의된 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단한다(S650). 봇넷 탐지 장치(100)는 수집 개수의 기준 개수와 위험 강도 지수의 기준 강도를 기초로 질의된 도메인이 봇넷의 공격명령 및 제어에 관계된 서버 도메인인지 판단한다.
도 7은 본 발명의 한 실시예에 따른 가변 가능성 도메인 데이터베이스를 관리하는 방법을 나타내는 흐름도이다.
도 7을 참고하면, 봇넷 탐지 장치(100)는 DNS 서버(300)로부터 전송된 응답 패킷을 모니터링한다. 그리고 봇넷 탐지 장치(100)는 응답 패킷에 포함된 질의된 도메인이 가변 가능성 도메인 데이터베이스에 있는지 검사한 후에, 가변 가능성 도메인이면, 가변 가능성 도메인 데이터베이스의 위험 정보를 갱신한다.
가변 가능성 도메인 데이터베이스의 위험 정보를 갱신하는 방법을 자세히 살펴보면, 봇넷 탐지 장치(100)는 질의된 도메인이 가변 가능성 도메인 데이터베이스에 있으면, 가변 가능성 도메인 데이터베이스에 기록된 IP 주소, 즉 과거 IP 주소와 응답 패킷의 IP 주소, 즉 현재 IP 주소가 동일한지 비교한다(S710).
과거 IP 주소와 현재 IP 주소가 동일하면, 봇넷 탐지 장치(100)는 질의된 도메인에 대응하는 수집 개수를 높인다(S720).
과거 IP 주소와 현재 IP 주소가 동일하지 않으면, 봇넷 탐지 장치(100)는 질의된 도메인에 대응하는 수집 개수와 위험 강도 지수를 높인다(S730). 이때 IP 주소의 변화 모습에 따라 수집 개수와 위험 강도 지수의 올림값을 다르게 설정할 수 있다. 예를 들면, 봇넷 탐지 장치(100) 현재 IP 주소가 사설 IP 주소인 경우, 공인 IP 주소에서 사설 IP 주소로 바뀐 경우 또는 공인 IP 에서 다른 공인 IP로 바뀐 경우 등으로 구분하고, 봇넷의 명령 및 제어 서버에 관계된 도메인의 IP 변화 특성을 고려하여 위험 정보를 갱신할 수 있다.
도 8은 본 발명의 한 실시예에 따른 봇넷 탐지 장치의 블록도이다.
도 8을 참고하면, 봇넷 탐지 장치(100)는 패킷 수집부(110), 봇넷 차단용 패킷을 생성하는 봇넷 차단부(130), 가변 가능성 도메인 데이터베이스(150) 그리고 봇넷 판단부(170)를 포함한다.
패킷 수집부(110)는 적어도 하나의 DNS 서버로 임의 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집하고, 적어도 하나의 DNS 서버로부터 임의 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집한다. 이때 적어도 하나의 DNS 서버는 임의 도메인 네임을 차단하지 않고 도메인 네임 문의에 응답하는 개방된 DNS 서버일 수 있다. 이때 패킷 수집부(110)는 개방된 DNS 서버 목록을 관리할 수 있다.
봇넷 차단부(130) 질의 패킷을 기초로 질의 패킷에 포함된 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단한 후, 질의 패킷에 포함된 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 봇넷 차단용 패킷을 생성한다. 봇넷 차단부(130)는 봇넷의 공격명령 및 제어에 관계된 도메인 목록인 차단대상도메인 목록을 관리하며, 차단대상도메인 목록을 기초로 질의 패킷에 포함된 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단한다.
가변 가능성 도메인 데이터베이스(150)는 IP 주소가 변하는 복수의 가변 가능성 도메인을 저장하며, 각 가변 가능성 도메인의 위험 정보를 포함한다. 가변 가능성 도메인 데이터베이스(150)는 복수의 가변 가능성 도메인 목록, 각 가변 가능성 도메인을 포함하는 응답 패킷을 수집한 수집 개수 그리고 각 가변 가능성 도메인의 위험 강도 지수를 관리한다.
봇넷 판단부(170)는 응답 패킷을 기초로 응답 패킷에 포함된 도메인의 IP 주소의 변화를 비교한다. 봇넷 판단부(170)는 IP 주소의 변화를 기초로 가변 가능성 도메인 데이터베이스(150)를 갱신하고, 특정 도메인에 대응하는 위험 정보가 기준값을 넘으면 해당 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단한다. 봇넷 판단부(170)는 가변 가능성 도메인 데이터베이스(150)를 기초로 과거 IP 주소와 현재 IP 주소를 비교하여, 과거 IP 주소와 현재 IP 주소가 동일하면 해당 도메인의 수집 개수를 높이고, 과거 IP 주소와 현재 IP 주소가 다르면 해당 도메인에 대응하는 수집 개수와 위험 강도 지수를 높인다. 또한 봇넷 판단부(170)는 응답 패킷을 기초로 새로운 도메인을 가변 가능성 도메인 데이터베이스에 추가한다. 예를 들어 봇넷 판단부(170)는 응답 패킷의 존속 시간(TTL)을 기초로 응답 패킷에 포함된 도메인이 가변 가능성 도메인인지 판단할 수 있다. 또는 봇넷 판단부(170)는 동적 DNS 서버 목록을 이용하여 응답 패킷에 포함된 도메인을 가변 가능성 도메인 데이터베이스에 추가할 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (16)

  1. 봇넷 탐지 장치가 악성 코드를 포함하여 공격 명령에 따라 네트워크를 공격하는 제1 네트워크의 봇넷을 탐지하는 방법으로서,
    상기 제1 네트워크에서 상기 제1 네트워크와 다른 제2 네트워크로 전달되는 패킷 중에서, 상기 제2 네트워크의 특정 도메인 네임 시스템 서버에 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집하는 단계,
    상기 질의 패킷에 포함된 상기 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단하는 단계,
    상기 도메인이 차단대상인 경우, 상기 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 상기 질의 패킷에 대응하는 응답 패킷을 생성하는 단계, 그리고
    상기 응답 패킷을 상기 제1 네트워크로 전송하는 단계
    를 포함하는 봇넷 탐지 방법.
  2. 제1항에서,
    상기 봇넷 탐지 장치는 상기 제1 네트워크와 상기 제2 네트워크 사이에 위치하는 봇넷 탐지 방법.
  3. 제2항에서,
    상기 질의 패킷을 수집하는 단계는
    상기 제1 네트워크와 상기 제2 네트워크 사이를 오고 가는 트래픽을 미러링하여 상기 질의 패킷을 수집하는 봇넷 탐지 방법.
  4. 제1항에서,
    상기 특정 도메인 네임 시스템 서버는 임의 도메인을 차단하지 않고 도메인 네임 문의에 응답하는 개방된 서버이며,
    상기 봇넷 탐지 장치는 상기 특정 도메인 네임 시스템 서버 목록을 관리하는 봇넷 탐지 방법.
  5. 제1항에서,
    상기 차단대상인지 판단하는 단계는
    알려진 봇넷의 공격명령 및 제어에 관계된 도메인을 수집하여 차단대상도메인 목록에 저장하는 단계, 그리고
    상기 차단대상도메인 목록에 상기 도메인이 포함되어 있는지 판단하는 단계
    를 포함하는 봇넷 탐지 방법.
  6. 봇넷 탐지 장치가 IP 주소가 변하는 도메인 정보가 저장된 가변 가능성 도메인 데이터베이스를 기초로 패킷을 모니터링하여 봇넷을 탐지하는 방법으로서,
    특정 도메인 네임 시스템 서버로부터 전송되는 패킷 중에서, 질의된 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집하는 단계,
    상기 질의된 도메인이 상기 가변 가능성 도메인 데이터베이스에 있는지 검사하여 상기 질의된 도메인이 가변 가능성 도메인인지 판단하는 단계,
    상기 질의된 도메인이 가변 가능성 도메인이면, 상기 가변 가능성 도메인 데이터베이스를 기초로 상기 질의된 도메인의 과거 IP 주소와 상기 응답 패킷의 IP 주소를 비교하여 상기 질의된 도메인의 위험 정보를 갱신하는 단계, 그리고
    상기 질의된 도메인의 위험 정보가 기준값을 넘으면 상기 질의된 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 단계
    를 포함하는 봇넷 탐지 방법.
  7. 제6항에서,
    상기 질의된 도메인이 상기 가변 가능성 도메인 데이터베이스에 포함되어 있지 않으면, 상기 응답 패킷의 존속 시간이 기준 시간 이하인지 판단하는 단계, 그리고
    기준 시간 이하이면 상기 가변 가능성 도메인 데이터베이스에 상기 질의된 도메인과 상기 질의된 도메인의 IP 주소 정보를 저장하는 단계
    를 더 포함하는 봇넷 탐지 방법.
  8. 제6항에서,
    상기 질의된 도메인이 상기 가변 가능성 도메인 데이터베이스에 포함되어 있지 않으면, 상기 질의된 도메인이 동적 도메인 네임 시스템 서버에 의해 서비스되는 도메인인지 판단하는 단계, 그리고
    상기 질의된 도메인이 상기 동적 도메인 네임 시스템 서버에 의해 서비스되는 도메인인 경우, 상기 가변 가능성 도메인 데이터베이스에 상기 질의된 도메인과 상기 질의된 도메인의 IP 주소 정보를 저장하는 단계
    를 더 포함하는 봇넷 탐지 방법.
  9. 제6항에서,
    상기 질의된 도메인의 위험 정보는 상기 질의된 도메인을 포함하는 응답 패킷을 수집한 수집 개수와 상기 질의된 도메인의 위험 강도 지수를 포함하는 봇넷 탐지 방법.
  10. 제9항에서,
    상기 질의된 도메인의 위험 정보를 갱신하는 단계는
    상기 질의된 도메인의 과거 IP 주소와 상기 응답 패킷의 IP 주소가 동일하면, 상기 질의된 도메인에 대응하는 상기 수집 개수를 높이는 단계, 그리고
    상기 질의된 도메인의 과거 IP 주소와 상기 응답 패킷의 IP 주소가 다르면, 상기 질의된 도메인에 대응하는 상기 수집 개수 및 상기 위험 강도 지수를 높이는 단계
    를 포함하는 봇넷 탐지 방법.
  11. 제9항에서,
    상기 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 단계는
    상기 수집 개수의 기준 개수와 상기 위험 강도 지수의 기준 강도를 기초로 상기 질의된 도메인이 상기 봇넷의 공격명령 및 제어에 관계된 서버 도메인인지 판단하는 봇넷 탐지 방법.
  12. 봇넷을 탐지하여 차단하는 봇넷 탐지 장치로서,
    적어도 하나의 도메인 네임 시스템 서버로 제1 도메인에 대응하는 IP 주소를 질의하는 질의 패킷을 수집하고, 상기 적어도 하나의 도메인 네임 시스템 서버로부터 제2 도메인의 IP 주소 정보를 포함하는 응답 패킷을 수집하는 패킷 수집부,
    상기 질의 패킷을 기초로 상기 질의 패킷에 포함된 상기 제1 도메인이 봇넷의 공격 명령 및 제어에 관계된 차단대상인지 판단한 후, 상기 제1 도메인에 대응하는 IP 주소를 봇넷 차단용 IP 주소로 대체하여 봇넷 차단용 패킷을 생성하는 봇넷 차단부,
    IP 주소가 변하는 도메인 목록과 해당 도메인의 IP 주소를 저장하며, 저장된 도메인의 위험 정보를 관리하는 가변 가능성 도메인 데이터베이스,
    상기 응답 패킷을 기초로 상기 제2 도메인의 IP 주소의 변화를 비교하여 상기 가변 가능성 도메인 데이터베이스를 갱신하고, 상기 제2 도메인의 위험 정보가 기준값을 넘으면 상기 제2 도메인을 봇넷의 공격명령 및 제어에 관계된 서버 도메인으로 판단하는 봇넷 판단부
    를 포함하는 봇넷 탐지 장치.
  13. 제12항에서,
    상기 적어도 하나의 도메인 네임 시스템 서버는 임의 도메인 네임을 차단하지 않고 도메인 네임 문의에 응답하는 개방된 서버이며,
    상기 패킷 수집부는 상기 개방된 서버 목록을 관리하는 봇넷 탐지 장치.
  14. 제12항에서,
    상기 봇넷 차단부는
    상기 봇넷의 공격명령 및 제어에 관계된 도메인 목록인 차단대상도메인 목록을 관리하며, 상기 차단대상도메인 목록을 기초로 상기 제1 도메인이 봇넷의 공격명령 및 제어에 관계된 차단대상인지 판단하는 봇넷 탐지 장치.
  15. 제12항에서,
    상기 가변 가능성 도메인 데이터베이스는
    상기 도메인 목록에 대응하는 도메인별로 각 도메인이 포함된 응답 패킷을 수집한 수집 개수와 상기 각 도메인의 위험 강도 지수를 포함하는 상기 위험 정보를 관리하는 봇넷 탐지 장치.
  16. 제15항에서,
    상기 봇넷 판단부는
    상기 가변 가능성 도메인 데이터베이스를 기초로 상기 제2 도메인의 과거 IP 주소와 상기 응답 패킷에 포함된 IP 주소를 비교하여, 상기 과거 IP 주소와 상기 응답 패킷에 포함된 IP 주소가 동일하면 상기 제2 도메인에 대응하는 상기 수집 개수를 높이고, 상기 과거 IP 주소와 상기 응답 패킷에 포함된 IP 주소가 다르면 상기 제2 도메인에 대응하는 상기 수집 개수 및 상기 위험 강도 지수를 높이는 봇넷 탐지 장치.
KR1020110029006A 2011-03-30 2011-03-30 봇넷 탐지 방법 및 장치 KR101351998B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110029006A KR101351998B1 (ko) 2011-03-30 2011-03-30 봇넷 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110029006A KR101351998B1 (ko) 2011-03-30 2011-03-30 봇넷 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20120110852A true KR20120110852A (ko) 2012-10-10
KR101351998B1 KR101351998B1 (ko) 2014-01-15

Family

ID=47281626

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110029006A KR101351998B1 (ko) 2011-03-30 2011-03-30 봇넷 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101351998B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
KR101702102B1 (ko) * 2015-08-13 2017-02-13 주식회사 케이티 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
GB2545480A (en) * 2015-12-18 2017-06-21 F Secure Corp Detection of coordinated cyber-attacks
KR20180030593A (ko) * 2015-08-13 2018-03-23 알리바바 그룹 홀딩 리미티드 네트워크 공격 방지 방법, 장치 및 시스템

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
KR20100070623A (ko) * 2008-12-18 2010-06-28 한국인터넷진흥원 봇 수집ㆍ분석시스템 및 그 방법
KR101045331B1 (ko) * 2008-12-24 2011-06-30 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
KR101702102B1 (ko) * 2015-08-13 2017-02-13 주식회사 케이티 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
WO2017026840A1 (ko) * 2015-08-13 2017-02-16 주식회사 케이티 인터넷 연결 장치, 중앙 관리 서버 및 인터넷 연결 방법
KR20180030593A (ko) * 2015-08-13 2018-03-23 알리바바 그룹 홀딩 리미티드 네트워크 공격 방지 방법, 장치 및 시스템
GB2545480A (en) * 2015-12-18 2017-06-21 F Secure Corp Detection of coordinated cyber-attacks
GB2545480B (en) * 2015-12-18 2017-12-13 F Secure Corp Detection of coordinated cyber-attacks
US10642906B2 (en) 2015-12-18 2020-05-05 F-Secure Corporation Detection of coordinated cyber-attacks

Also Published As

Publication number Publication date
KR101351998B1 (ko) 2014-01-15

Similar Documents

Publication Publication Date Title
US11038902B2 (en) Systems and methods for providing shifting network security via multi-access edge computing
US10812441B2 (en) System and method for suppressing DNS requests
US8281397B2 (en) Method and apparatus for detecting spoofed network traffic
US8661544B2 (en) Detecting botnets
US10594805B2 (en) Processing service requests for digital content
CN114422250A (zh) 用于阻止、检测和/或防止恶意流量的方法和设备
US7823202B1 (en) Method for detecting internet border gateway protocol prefix hijacking attacks
US20150350229A1 (en) Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
GB2532475A (en) Integrity check of DNS server setting
US20180205573A1 (en) Network packet redirection device and method thereof
JP2014519751A (ja) ドメイン名をフィルタリングするためのdns通信の使用
US20200112544A1 (en) Systems and methods for blocking spoofed traffic
KR101351998B1 (ko) 봇넷 탐지 방법 및 장치
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
Rohatgi et al. A detailed survey for detection and mitigation techniques against ARP spoofing
Herzberg et al. Antidotes for DNS poisoning by off-path adversaries
US9961163B2 (en) Method and system for notifying subscriber devices in ISP networks
US10432646B2 (en) Protection against malicious attacks
CN106603501A (zh) 一种域名劫持的防护方法、系统及防火墙设备
US10547638B1 (en) Detecting name resolution spoofing
US8239930B2 (en) Method for controlling access to a network in a communication system
WO2009082306A1 (en) Detection of malicious software in communication system
CN110768983B (zh) 一种报文处理方法和装置
CN112583692B (zh) 流量清洗的方法、装置、设备及计算机存储介质
US9723499B2 (en) Optimizer selection in wireless networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 7