KR20130014300A - Cyber threat prior prediction apparatus and method - Google Patents

Cyber threat prior prediction apparatus and method Download PDF

Info

Publication number
KR20130014300A
KR20130014300A KR1020110103255A KR20110103255A KR20130014300A KR 20130014300 A KR20130014300 A KR 20130014300A KR 1020110103255 A KR1020110103255 A KR 1020110103255A KR 20110103255 A KR20110103255 A KR 20110103255A KR 20130014300 A KR20130014300 A KR 20130014300A
Authority
KR
South Korea
Prior art keywords
threat
information
server
network
dns
Prior art date
Application number
KR1020110103255A
Other languages
Korean (ko)
Other versions
KR101538374B1 (en
Inventor
임선희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US13/451,375 priority Critical patent/US20130031625A1/en
Publication of KR20130014300A publication Critical patent/KR20130014300A/en
Application granted granted Critical
Publication of KR101538374B1 publication Critical patent/KR101538374B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A cyber threat prediction device and a method thereof are provided to predict extensive attacks for a global network by determining a botnet as a sign for cyber threats. CONSTITUTION: A DNS(Domain Name System) based C&C(Computer and Communications) server detecting unit(210) extracts a domain address which is doubted as a C&C server by analyzing DNS traffic. A network based abnormal detecting unit(220) detects information of zombie PC(Personal Computer) and detects an IP address of the zombie PC by analyzing network traffic. A cyber threat prediction unit(230) predicts cyber threat situations based on the information of the zombie PC. The network based abnormal detecting unit is installed in an international gate network. The DNS based C&C server detecting unit analyzes the DNS traffic based on an N-tier server, traffic characteristics, and a domain address. [Reference numerals] (210) DNS based C&C server detecting unit; (220) Network based abnormal detecting unit; (230) Cyber threat prediction unit; (AA) DNS server farm; (BB) International gate network

Description

사이버 위협 사전 예측 장치 및 방법{Cyber threat prior prediction apparatus and method} [0001] The present invention relates to a cyber threat prediction apparatus and method,

본 발명은 봇넷을 기반으로 하는 사이버 위협을 사전에 예측하기 위한 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for predicting cyber threats based on botnets.

현재 사이버 공간에서는 수많은 위협들이 대두되고 있다. 제3자의 개인정보를 갈취 또는 수집하여 악용하거나, 불특정 다수를 향해 음란, 광고 메일을 유포하여 금전적 이익을 보거나, 또는 경쟁사의 정보화 기기의 서비스를 못하게 하는 등 인터넷 상의 위협 요인들이 산재해 있다. In cyber space, a lot of threats are emerging. Threat factors on the internet are scattered, such as abusing or collecting personal information of a third party, exploiting forgiveness toward an unspecified majority, distributing advertising mails to gain financial advantage, or preventing competitors' services of information devices.

최근 취약성 정보와 국내외 네트워크 트래픽 분석을 통해 인터넷 상의 위협을 사전에 감지하고, 조기 예/경보를 통해 보안정책 설정 기준과 대처방안을 제공하기 위한 TMS(Threat Management System)와 RMS(Risk Management System) 기술이 연구되고 있다. TMS/RMS 기술은 기존 보안 솔루션의 단점을 극복하고 효율적인 대안으로 부상하고 있다. 그러나 이미 발생한 공격 상황에 대한 정보를 기반으로 인터넷 상의 위협을 예/경보하는데 중점을 두고 있어 기존 보안 솔루션과 크게 차별화하기 어렵고, 로컬 차원의 보안 솔루션이라는 한계가 있으며, 전역 차원의 실제 공격이 발생하기 전에 위협 상황을 사전 인지하기 위한 솔루션으로 활용하기는 어렵다.Threat Management System (RMS) and Risk Management System (RMS) technology to detect threats on the Internet in advance and to provide security policy setting criteria and countermeasures through early warning / alarm through analysis of vulnerability information and domestic and overseas network traffic Has been studied. TMS / RMS technology overcomes the shortcomings of existing security solutions and is emerging as an effective alternative. However, it is difficult to differentiate from existing security solutions because it focuses on warning / alarming the Internet based on the information about the already existing attack situation, there is a limit to local security solution, It is difficult to use it as a solution to detect the threat situation beforehand.

최근 사이버 상에서 빈번하게 발생하고 있는 공격들인 분산 서비스 거부(DDoS) 공격, 스팸 전송, 개인정보 유출 등과 같은 사이버 위협들은 60% 이상이 봇넷을 통하여 이루어지고 있다.More than 60% of cyber threats such as distributed denial of service (DDoS) attack, spam transmission, personal information leakage,

봇넷(Botnet)이란 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다. 즉, 봇들을 자유자재로 통제하는 권한을 가진 봇마스터에 의해 원격 조종되며 각종 악성 행위를 수행할 수 있는 수천에서 수십만 대의 봇에 감염된 컴퓨터(좀비라고도 불림)들과 명령/제어를 내리는 C&C(Command and Control) 서버가 네트워크로 연결되어 있는 형태를 봇넷이라 한다.A botnet is a network of computers infected with bot malicious software. In other words, it can be remotely controlled by bot masters who have the authority to control bots freely and can be infected with thousands of thousands of bots (also called zombies) and commands and controls (C & C and Control) A form of network connection of a server is called a botnet.

초기의 봇넷은 구조가 유연하고 널리 사용되는 IRC(Internet Relay Chat)를 이용한 중앙집중형 구조의 봇넷이 주를 이루었다. 이러한 중앙집중형 구조의 봇넷에서는 하나의 C&C 서버가 다수의 봇들을 명령/제어하기 때문에 C&C 서버의 탐지가 용이하고, C&C 서버의 탐지 및 차단으로 다수개 봇들이 유실됨으로써 공격자 입장에서는 커다란 손실을 가져오게 된다. 따라서 C&C 서버의 탐지 및 대응을 보다 어렵게 하기 위해 웹 프로토콜인 HTTP를 기반으로 하거나, 중앙집중형 명령/제어 구조(IRC, HTTP 봇넷)를 탈피하여 모든 좀비들이 C&C가 될 수 있는 분산형 명령/제어 방식, 즉 P2P 봇넷으로 진화하고 있다.Early botnets were mainly focused on centralized botnets using IRC (Internet Relay Chat), which is flexible and widely used. In such a centralized botnet, a single C & C server commands / controls multiple bots, which makes it easy to detect C & C servers, and many bots are lost due to the detection and blocking of C & C servers, It comes. Therefore, in order to make the detection and response of C & C server more difficult, it is necessary to divide the HTTP protocol based on the web protocol or the centralized command / control structure (IRC, HTTP botnet) Method, that is, P2P botnet.

이러한 진화된 봇넷들은 분산 서비스 거부 공격, 스팸 전송, 개인정보 유출 등과 같은 심각한 공격과 더불어 자산에 대한 심각한 위협을 초래하고 있다. These evolving botnets are a serious threat to assets, along with serious attacks such as distributed denial-of-service attacks, spam transmission, and personal information disclosure.

본 발명이 이루고자 하는 기술적 과제는, 사이버 위협을 위한 대량의 공격 수단인 봇넷을 사이버 위협의 전조 증상으로 판단하고 전역 네트워크를 대상으로 하는 대규모의 공격이 실제로 발생하기 전에 위협을 예측할 수 있는 사이버 위협 사전 예측 장치 및 방법을 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems and provides a cyber threat dictionary Prediction apparatus and method.

상기 기술적 과제를 해결하기 위하여 본 발명에 따른 사이버 위협 사전 예측 장치는, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 DNS 기반 C&C 서버 탐지부; 네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 네트워크 기반 비정상 탐지부; 및 상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 사이버 위협 예측부를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a cyber threat prediction apparatus comprising: a DNS-based C & C server detection unit for analyzing DNS traffic to extract a suspected domain address as a C & C server; A network-based abnormal detection unit for detecting IP addresses of zombie PCs connected to the C & C server by analyzing network traffic and detecting information of zombie PCs; And a cyber threat prediction unit for predicting the cyber threat situation based on the information of the zombie PCs.

상기 네트워크 기반 비정상 탐지부는 국제 관문망에 설치될 수 있다.The network-based abnormal detection unit may be installed in the international gateway network.

상기 DNS 기반 C&C 서버 탐지부는 도메인 주소 기반, 트래픽 특징 기반, 또는 N-tier 기반으로 DNS 트래픽을 분석할 수 있다.The DNS-based C & C server detectors can analyze DNS traffic based on domain addresses, traffic characteristics, or N-tiers.

상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 탐지할 수 있다.The network-based abnormal detection unit may detect the connection information of the zombie PCs to the C & C server.

상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 기반으로 상기 C&C 서버를 검증할 수 있다.The network-based abnormal detection unit can verify the C & C server based on the access information of the zombie PCs to the C & C server.

상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지할 수 있다.The network-based abnormal detection unit may detect the network structure-based threat information and the behavior-based threat information of the zombie PCs.

상기 네트워크 구조 기반 위협 정보는, 봇 규모, 봇들의 접속 횟수, 또는 ISP 도메인에 전파된 봇 수를 포함할 수 있다.The network structure-based threat information may include a bot size, a number of accesses of the bots, or a number of bots propagated to the ISP domain.

상기 행위 기반 위협 정보는, 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, 또는 exploit 실행 행위를 포함할 수 있다.The behavior-based threat information may include a spam attack, a scan attack action, a binary download action, or an exploit execution action.

상기 사이버 위협 예측부는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 사이버 위협 상황을 예측할 수 있다.The cyber threat prediction unit may predict a cyber threat situation based on the network structure-based threat information and the behavior-based threat information.

상기 사이버 위협 예측부는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측할 수 있다.The cyber threat prediction unit may calculate a threat index quantified based on the network structure-based threat information and the behavior-based threat information, and may predict a cyber threat situation using the quantified threat index.

상기 기술적 과제를 해결하기 위하여 본 발명에 따른 사이버 위협 사전 예측 방법은, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 단계; 네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 단계; 및 상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 단계를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a cyber threat prediction method comprising: analyzing DNS traffic to extract a suspected domain address from a C & C server; Analyzing network traffic to detect IP addresses of zombie PCs accessing the C & C server and detecting information of zombie PCs; And predicting a cyber threat situation based on the information of the zombie PCs.

상기 좀비 PC들의 정보를 탐지하는 단계는 국제 관문망의 네트워크 트래픽을 분석할 수 있다.The step of detecting the information of the zombie PCs may analyze the network traffic of the international gateway network.

상기 좀비 PC들의 정보를 탐지하는 단계는, 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 탐지하는 단계를 포함할 수 있다.The step of detecting information of the zombie PCs may include detecting the connection information of the zombie PCs to the C & C server.

상기 좀비 PC들의 정보를 탐지하는 단계는, 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 기반으로 상기 C&C 서버를 검증하는 단계를 포함할 수 있다.The step of detecting the information of the zombie PCs may include the step of verifying the C & C server based on the connection information of the zombie PCs to the C & C server.

상기 좀비 PC들의 정보를 탐지하는 단계는, 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는 단계를 포함할 수 있다.The step of detecting information of the zombie PCs may include detecting the network structure-based threat information and the action-based threat information of the zombie PCs.

상기 사이버 위협 상황을 예측하는 단계는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 사이버 위협 상황을 예측할 수 있다.The step of predicting the cyber threat situation may predict a cyber threat situation based on the network structure-based threat information and the behavior-based threat information.

상기 사이버 위협 상황을 예측하는 단계는, 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하는 단계; 및 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는 단계를 포함할 수 있다.The step of predicting the cyber threat situation may include the steps of: calculating a threat index quantified based on the network structure-based threat information and the behavior-based threat information; And estimating the cyber threat situation using the quantified threat index.

상기된 본 발명에 의하면, 사이버 위협을 위한 대량의 공격 수단인 봇넷을 사이버 위협의 전조 증상으로 판단하고 전역 네트워크를 대상으로 하는 대규모의 공격이 실제로 발생하기 전에 위협을 예측할 수 있다.According to the present invention, a botnet, which is a large-scale attack means for a cyber threat, is determined as a symptom of a cyber threat, and a threat can be predicted before a large-scale attack targeting the global network actually occurs.

도 1은 본 발명이 적용되는 봇넷 구조의 일 예를 나타낸다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 구성을 나타낸다.
도 3은 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 보다 구체적인 구성을 나타낸다.
도 4는 본 발명의 일 실시예에 따른 사이버 위협 예측 방법의 흐름도를 나타낸다. 1 shows an example of a botnet structure to which the present invention is applied.
FIG. 2 shows a configuration of a cyber threat prediction apparatus according to an embodiment of the present invention.
FIG. 3 shows a more specific configuration of the cyber threat prediction apparatus according to an embodiment of the present invention.
4 is a flowchart of a cyber threat prediction method according to an embodiment of the present invention.

이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings. In the following description and the accompanying drawings, substantially the same components are denoted by the same reference numerals, and redundant description will be omitted. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명이 적용되는 봇넷 구조의 일 예를 나타낸다. 봇넷은 도시된 바와 같이, 네트워크로 연결된 다수의 봇에 감염된 컴퓨터들(좀비)(120, 130)과, 이들에게 명령/제어를 내리기 위한 C&C 서버(110)로 구성된다. 도시된 바와 같이 봇넷은 중앙집중형 구조(140)이거나 분산형 구조(150)일 수 있고, 중앙집중형 구조와 분산형 구조가 결합된 하이브리드 구조일 수도 있다. 1 shows an example of a botnet structure to which the present invention is applied. As shown in the figure, a botnet includes computers (zombies) 120 and 130 infected by a plurality of bots connected to the network, and a C & C server 110 for commanding / controlling them. As shown, the botnet may be a centralized structure 140 or a distributed structure 150, or a hybrid structure combining a centralized structure and a distributed structure.

이러한 봇넷 구조에서 감염된 봇들은 C&C 서버와의 통신을 위하여 DNS 서비스를 이용한다. 여기서 DNS 서비스를 이용하는 이유는, 고정적인 C&C의 IP 주소가 할당된다면 IP 추적이 용이하여 해당 IP 주소를 강제로 차단하는 등의 대응 방법으로 C&C 서버가 쉽게 차단될 수 있기 때문이다. 공격자들인 이러한 대응 방법을 회피하기 위해 다수의 봇들이 도메인 주소를 통하여 C&C 서버에 접속하도록 DNS 서비스를 이용한다. 이와 더불어 더욱 진화된 방법으로 도메인 네임에 대응하는 IP 주소가 계속 변경되는 DDNS(Dynamic DNS) 서비스 Fast-Flux 기법이 적용된다면 C&C 서버의 탐지가 더욱 어려워진다. In this botnet configuration, infected bots use DNS service to communicate with C & C server. The reason for using the DNS service here is that if a fixed C & C IP address is assigned, the C & C server can be easily blocked by a countermeasure such as forcibly blocking the corresponding IP address because IP tracking is easy. In order to avoid this countermeasure of attackers, many bots use the DNS service to access the C & C server through a domain address. In addition, DDNS (Dynamic DNS) Fast-Flux, where the IP address corresponding to the domain name is continuously changed in a more advanced manner, makes detection of the C & C server more difficult.

도 2는 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 구성을 나타낸다. 본 실시예에 따른 사이버 위협 사전 예측 장치는 DNS 기반 C&C 서버 탐지부(210), 네트워크 기반 비정상 탐지부(220), 사이버 위협 예측부(230)를 포함한다.FIG. 2 shows a configuration of a cyber threat prediction apparatus according to an embodiment of the present invention. The cyber threat pre-prediction apparatus according to the present embodiment includes a DNS-based C & C server detection unit 210, a network-based abnormal detection unit 220, and a cyber threat prediction unit 230.

DNS 기반 C&C 서버 탐지부(210)는 DNS 서버 또는 DNS 서버 팜(farm) 측에 설치되고, DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출한다. DNS 기반 C&C 서버 탐지부(210)는 ISP(Internet Service Provider) 망과 로컬 망의 DNS 서버 군 영역에 적용될 수 있다. 그리고 DNS 기반 C&C 서버 탐지부(210)는 DNS 서버에 DNS 쿼리를 전송하여, 추출된 의심되는 도메인 주소의 IP 주소를 획득한다. The DNS-based C & C server detection unit 210 is installed on the side of a DNS server or a DNS server farm and analyzes the DNS traffic to extract a suspected domain address as a C & C server. The DNS-based C & C server detecting unit 210 may be applied to an ISP (Internet Service Provider) network and a DNS server group region of a local network. The DNS-based C & C server detecting unit 210 transmits a DNS query to the DNS server to obtain the IP address of the extracted suspected domain address.

네트워크 기반 비정상 탐지부(220)는 네트워크 기반으로, 네트워크 트래픽을 분석하여 DNS 기반 C&C 서버 탐지부(210)에서 추출된 의심되는 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 좀비 PC들의 접속 정보를 기반으로 C&C 서버를 검증하고, C&C 서버와 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지한다. 네트워크 기반 비정상 탐지부(220)는 도시된 바와 같이 국제 관문망(Internation Gateway Network)에 설치되어, 국제 관문망을 통과하는 네트워크 트래픽을 분석하는 것이 바람직하다. C&C 서버는 주로 해외에 거주하고 국내에 있는 봇들을 명령/제어하기 때문에, 네트워크 기반 비정상 탐지부(220)를 국제 관문망에 설치함으로써 C&C 서버와 통신하는 봇들을 효과적으로 탐지할 수 있다. The network-based abnormal detection unit 220 analyzes the network traffic based on the network, detects the IP addresses of the zombie PCs connected to the suspect C & C server extracted by the DNS-based C & C server detection unit 210, It verifies the C & C server based on information, and detects threat information and behavior based threat information based on network structure of C & C servers and zombie PCs. It is preferable that the network-based abnormal detection unit 220 is installed in an international gateway network and analyzes network traffic passing through the international gateway network as shown in the figure. Since the C & C server mainly commands and controls the bots residing in the foreign countries and domestically, it can effectively detect the bots communicating with the C & C server by installing the network-based abnormal detection unit 220 in the international gateway network.

사이버 위협 예측부(230)는 네트워크 기반 비정상 탐지부(220)에서 탐지된 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 기반으로, 사이버 위협 가능성을 정량화하여 정량화된 위협 지수를 산출하고, 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측한다. 그리고 사이버 위협 예측부(230)는 사이버 위협 상황에 관한 정보를 관리자에게 제공하고, 위협 상황을 예/경보한다. 사이버 위협 예측부(230)를 통하여, 전역 네트워크 차원의 사이버 위협이 공격 이전에 인지되어 사이버 위협의 예/경보가 가능해진다.The cyber threat prediction unit 230 quantifies the cyber threat possibility based on the network structure-based threat information and the behavior-based threat information detected by the network-based abnormal detection unit 220 to calculate a quantified threat index, Use the index to predict the cyber threat situation. Then, the cyber threat prediction unit 230 provides information on the cyber threat situation to the administrator, and alerts / alarms the threat situation. Through the cyber threat prediction unit 230, the cyber threat at the global network level is recognized before the attack, so that a cyber threat example / alert becomes possible.

도 3은 본 발명의 일 실시예에 따른 사이버 위협 사전 예측 장치의 보다 구체적인 구성을 나타낸다. DNS 기반 C&C 서버 탐지부(210)는 DNS 트래픽 수집부(211), DNS 트래픽 분석부(212), 의심 도메인/IP 데이터베이스(213)로 이루어진다. 네트워크 기반 비정상 탐지부(220)는 네트워크 트래픽 수집부(221), 좀비 IP 검출부(222), 네트워크 분석부(223), C&C 서버 검증부(224), 연관성 분석부(225)로 이루어진다. 사이버 위협 예측부(230)는 위협 지수 산출부(231), 위협 상황 예측부(232), 사용자 인터페이스(233), 블랙리스트/화이트리스트 데이터베이스(234)로 이루어진다.FIG. 3 shows a more specific configuration of the cyber threat prediction apparatus according to an embodiment of the present invention. The DNS-based C & C server detecting unit 210 includes a DNS traffic collecting unit 211, a DNS traffic analyzing unit 212, and a suspicious domain / IP database 213. The network-based abnormal detection unit 220 includes a network traffic collecting unit 221, a zombie IP detecting unit 222, a network analyzing unit 223, a C & C server verifying unit 224, and a relevance analyzing unit 225. The cyber threat prediction unit 230 includes a threat index calculating unit 231, a threat situation predicting unit 232, a user interface 233, and a black list / white list database 234.

DNS 기반 C&C 서버 탐지부(210)에서, DNS 트래픽 수집부(211)는 DNS 트래픽을 수집하고 DNS 트래픽 데이터셋을 생성한다. 블랙리스트/화이트리스트 데이터베이스(234)는 이미 알려진 블랙리스트 도메인과 화이트리스트 도메인 정보를 가지는데, DNS 트래픽 수집부(211)는 대용량의 DNS 쿼리를 수집하고 데이터셋을 생성하기 위해, 블랙리스트 도메인 정보와 화이트도메인 정보를 이용하여, 수집된 DNS 트래픽을 필터링할 수 있다. In the DNS-based C & C server detecting unit 210, the DNS traffic collecting unit 211 collects DNS traffic and generates a DNS traffic dataset. The blacklist / whitelist database 234 has already known blacklist domains and whitelist domain information. The DNS traffic collection unit 211 collects blacklist domain information And white domain information to filter the collected DNS traffic.

DNS 트래픽 분석부(212)는 수집된 DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출한다. DNS 트래픽 분석부(212)은 DNS 트래픽을 분석할 때, 도메인 기반으로 분석하거나, 트래픽 특징 기반으로 분석하거나, N-tier 기반으로 분석할 수 있다. 또한 DNS 트래픽 분석부(212)는 둘 이상의 분석 기법을 조합하여 분석할 수도 있다.The DNS traffic analyzer 212 analyzes the collected DNS traffic and extracts a suspected domain address from the C & C server. When DNS traffic is analyzed, the DNS traffic analyzing unit 212 can analyze the traffic based on the domain, the traffic characteristic, or the N-tier. In addition, the DNS traffic analyzing unit 212 may analyze two or more analysis techniques in combination.

도메인 기반으로 분석하는 경우, N-gram 알고리즘이나 ZipFian 알고리즘이 이용될 수 있다. 이들 알고리즘은 정상적인 도메인 주소로 잘 사용하는 않는 문자(character)들로 조합된 도메인 주소를 추출하는 기법이다. 트래픽 특징 기반으로 분석하는 경우, DDNS 또는 Fast-Flux를 사용하는 봇넷들은 TTL(time to live)이 매우 짧고, 유사한 패턴의 접속이나 순간적인 대용량의 접속을 발생시키는 바, 이러한 특징을 분석한다. 봇넷들의 구조가 다양하기 때문에 하나의 분석 기법을 사용하는 것보다는 여러 가지 분석 기법을 조합하는 것이 효과적이다. 진화된 C&C 서버와 봇들은 접속 패턴이 랜덤한 것처럼 보이고자 하지만 일반 정상적인 사용자와는 달리 감염된 봇으로 명령/제어를 받기 때문에 특정 패턴을 가지게 마련이다. 그리고 DNS 트래픽 분석부(212)는 DNS 서버에 송수신되는 DNS 쿼리를 분석하여, 특정 패턴으로 질의를 하는 DNS 트래픽으로부터 의심 C&C 서버의 도메인 주소의 IP 주소를 획득한다. 의심 DNS 서버의 도메인 주소와 IP 주소는 의심 도메인/IP 데이터베이스(213)에 저장된다. For domain-based analysis, an N-gram algorithm or a ZipFian algorithm can be used. These algorithms are a technique for extracting domain addresses combined with characters that are not used well with normal domain addresses. When analyzing on the basis of traffic characteristics, botnets using DDNS or Fast-Flux analyze these characteristics as they have a very short time to live (TTL) and generate similar patterns of connections or instantaneous high-volume connections. Since the structure of botnets is diverse, it is effective to combine various analysis techniques rather than using one analysis method. Evolved C & C servers and bots tend to look random in their connection patterns, but unlike normal users, they have a certain pattern because they are commanded and controlled by infected bots. The DNS traffic analyzer 212 analyzes the DNS query sent to and received from the DNS server, and obtains the IP address of the domain address of the suspect C & C server from the DNS traffic that queries in a specific pattern. The domain address and the IP address of the suspicious DNS server are stored in the suspicious domain / IP database 213.

네트워크 기반 비정상 탐지부(220)에서, 네트워크 트래픽 수집부(221)는 네트워크 트래픽을 수집한다. In the network-based abnormal detection unit 220, the network traffic collection unit 221 collects network traffic.

좀비 IP 검출부(222)는 수집된 네트워크 트래픽으로부터, 의심 C&C 서버의 도메인 주소와 IP 주소를 이용하여, 의심 C&C 서버에 접속하는 좀비 PC들의 IP 주소(이하, 좀비 IP)를 검출한다. The zombie IP detecting unit 222 detects an IP address (hereinafter referred to as zombie IP) of the zombie PCs connected to the suspect C & C server using the domain address and the IP address of the suspect C & C server from the collected network traffic.

네트워크 분석부(223)는 검출된 좀비 PC의 접속 유형, 접속 상태, 접속 횟수, 접속 패턴 등의 접속 정보를 탐지하고, 의심 C&C 서버의 도메인 주소에 접속하는 좀비 PC의 통신 유형을 네트워크 기반으로 탐지한다. 또한 네트워크 분석부(223)는 의심 C&C 서버의 도메인 주소에 접속하는 좀비 PC들 간의 네트워크 행위의 유사성(similarity)을 분석한다. The network analyzer 223 detects connection information such as connection type, connection status, connection count, connection pattern, and the like of the detected zombie PC, detects the communication type of the zombie PC connecting to the domain address of the suspicious C & C server, do. Also, the network analyzer 223 analyzes the similarity of the network behavior between the zombie PCs accessing the domain address of the suspicious C & C server.

C&C 서버 검증부(224)는 네트워크 분석부(223)에서 분석된 결과, 즉 좀비 PC의 접속 정보와 통신 유형, 그리고 좀비 PC들 간의 네트워크 행위의 유사성 등을 기반으로 DNS 기반 C&C 서버 탐지부(210)에서 탐지된 의심 C&C 서버들을 검증한다. 구체적으로, C&C 서버 검증부(224)는 네트워크 분석부(223)에서 분석된 결과를 기반으로 의심 C&C 서버와 좀비 PC들 간의 네트워크 행위의 비정상 여부를 판별하고, 비정상으로 판별된 C&C 서버와 좀비 PC는 액티브 상태로, 정상으로 판별된 C&C 서버와 좀비 PC는 디액티브 상태로 구별한다. The C & C server verifying unit 224 analyzes the result of the analysis by the network analyzing unit 223, that is, the DNS-based C & C server detecting unit 210 based on the connection information and the communication type of the zombie PC, ) To detect suspicious C & C servers. Specifically, the C & C server verifier 224 determines whether there is an abnormality in network activity between the suspicious C & C server and the zombie PCs based on the analysis result of the network analyzer 223, C & C servers and zombie PCs are identified as active.

연관성 분석부(225)는 액티브 상태로 구별된 C&C 서버와 좀비 PC 간의 연관성을 분석한다. 네트워크 기반 비정상 탐지부(220)가 국제 관문망에 적용되는 경우 국외에 있는 C&C 서버와 국내에 있는 봇들 간의 연관성을 분석할 수 있다.The association analyzer 225 analyzes the association between the active < RTI ID = 0.0 > state < / RTI > C & C server and the zombie PC. When the network-based anomaly detection unit 220 is applied to the international gateway network, the association between the C & C server and the domestic bots can be analyzed.

연관성 분석부(225)는 C&C 서버와 좀비 PC 간의 연관성으로서 해당 C&C의 봇 규모, C&C 서버에의 봇들의 접속 횟수, 각 ISP 도메인에서의 봇들의 전파 정도를 산출한다. 이들 정보는 구체적으로 다음과 같이 나타낼 수 있으며, C&C 서버와 봇들의 네트워크 구조 기반 위협을 나타내는 정보에 해당한다. The association analyzer 225 calculates the size of the corresponding C & C bots, the number of accesses of the bots to the C & C server, and the degree of propagation of the bots in each ISP domain as an association between the C & C server and the zombie PC. These information can be represented as follows, which is information indicating the threats based on the network structure of the C & C servers and bots.

1. 봇 규모(Bot Size) Bsize : 해당 C&C 서버에 접속하는 모든 ISP 도메인의 봇의 수1. Bot Size B size : Number of bots of all ISP domains connecting to the corresponding C & C server

2. 접속 횟수(Frequency between C&C and Bots) Bfrequency : 해당 C&C 서버에의 봇들의 접속 횟수2. Frequency between C & C and Bots B frequency : Number of bots connected to the corresponding C & C server

3. ISP 도메인에 전파된 봇 수 Bp : 각 ISP 도메인 당 전파된 봇 수(Bp≤Bsize)3. Number of bots propagated to the ISP domain B p : Number of bots propagated per each ISP domain (B p ≤ B size )

또한, 연관성 분석부(225)는 액티브 상태의 봇들의 행위를 분석한다. 연관성 분석부(225)는 C&C 서버가 좀비 PC에게 전송하는 명령 및 제어(Command and Control) 메시지 패킷의 컨텐츠를 분석하여 봇들의 악성 행위를 탐지할 수 있다. 봇의 행위는 예컨대 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, exploit 실행 행위의 4가지로 분류될 수 있다. 따라서 봇의 행위는 다음과 같이 나타낼 수 있고, C&C 서버와 봇들의 행위 기반 위협을 나타내는 정보에 해당한다. In addition, the association analyzer 225 analyzes the behavior of active bots. The association analyzer 225 can detect the malicious behavior of the bots by analyzing the contents of the command and control message packet transmitted from the C & C server to the zombie PC. The behavior of a bot can be classified into four types, for example, a spam attack, a scan attack, a binary download, and an exploit execution. Thus, the behavior of a bot can be represented as follows, which is information representing the behavior-based threat of the C & C server and bots.

1. none(Wn) : 어떤 행위도 하지 않을 경우1. none (W n ): If you do not do anything

2. 스팸 (Wspam)2. Spam (W spam )

3. 스캔 (Wscan)3. Scan (W scan )

4. 바이너리 코드 다운로딩 (WBinary)4. Binary code download (W Binary )

5. 취약점 공격(WE)5. Vulnerability attack (W E )

각 행위마다 위험 정도에 따른 가중치가 부여될 수 있는데, 일반적으로 스팸 공격보다는 취약점 공격이 더욱 위험하다. 따라서 가중치는 예컨대 Wn=1, Wspam=2, Wscan=3, WBinary=4, WE=5로 부여될 수 있다. Each action can be weighted according to the degree of risk. In general, vulnerability attacks are more dangerous than spam attacks. Therefore, the weight can be given by, for example, W n = 1, W spam = 2, W scan = 3, W Binary = 4, and W E =

연관성 분석부(225)는 위와 같이 구해진 봇 규모, 접속 횟수, 각 ISP 도메인에 전파된 봇 수에 관한 정보와, 봇들의 행위 정보를 사이버 위협 예측부(230)로 전송한다. The association analyzing unit 225 transmits information on the number of bots, the number of connections, the number of bots propagated to each ISP domain, and the behavior information of the bots to the cyber threat prediction unit 230 as described above.

DNS 트래픽 분석부(212)와 네트워크 기반 비정상 탐지부(220)는 여러 DNS 서버 팜(farm)과 여러 국제 관문망마다 설치될 수 있으며, 사이버 위협 예측부(230)는 여러 DNS 트래픽 분석부(212)와 네트워크 여러 기반 비정상 탐지부(220)로부터 정보를 수신하고 통합하여 전역적 네트워크의 위협 상황을 예측할 수 있다. The DNS traffic analysis unit 212 and the network-based abnormal detection unit 220 may be installed in various DNS server farms and a plurality of international gateway networks. The cyber threat prediction unit 230 includes a plurality of DNS traffic analysis units 212 ) And the network-based abnormal detection unit 220 and can predict the threat situation of the global network.

사이버 위협 예측부(230)에서, 위협 지수 산출부(231)는 네트워크 기반 비정상 탐지부(220)로부터 수신되는 정보를 기반으로 사이버 위협 가능성을 정량화하여 정량화된 위협 지수를 산출한다. 위협 지수 산출부(231)는 다음과 같은 위협 지수를 산출할 수 있다.In the cyber threat estimating unit 230, the threat index calculating unit 231 quantifies the cyber threat possibility based on the information received from the network-based abnormal detecting unit 220 to calculate a quantified threat index. The threat index calculating unit 231 can calculate the following threat index.

1. 위협 정도(DT)1. Threat level (D T )

Figure pat00001
Figure pat00001

2. ISP 도메인의 취약점 정도(VISP)2. Degree of vulnerability of ISP domain (V ISP )

Figure pat00002
< 1 (1에 근사할수록 해당 ISP 도메인은 취약함)
Figure pat00002
<1 (the closer to 1 the weaker the ISP domain is)

여기서, 위협 정도(DT)는 전역적 네트워크의 위협 정도를 나타내며, 만일 특정 ISP 도메인에 대하여 계산할 경우 해당 ISP 도메인의 위협 정도를 나타낸다. Here, the degree of threat (D T ) indicates the degree of threat of the global network, and if calculated for a specific ISP domain, indicates the threat level of the corresponding ISP domain.

위협 상황 예측부(232)는 위협 지수 산출부(231)에서 산출된 위협 지수를 이용하여 위협 상황을 예측한다. 예컨대, 위협 정도(DT) 또는 ISP 도메인의 취약점 정도(VISP)를 임계값과 비교하여, 임계값을 초과하는 경우 위협 가능성이 있는 것으로 판단한다. 다른 예로, 위협 정도(DT) 또는 ISP 도메인의 취약점 정도(VISP)의 범위에 따라서 위협 가능성의 레벨을 정의할 수도 있다. 위협 가능성은 전역적 네트워크를 대상으로 판단할 수도 있고, 특정 ISP 도메인을 대상으로 판단할 수도 있다. The threat situation prediction unit 232 predicts the threat situation using the threat index calculated by the threat index calculating unit 231. [ For example, the degree of threat (D T ) or the degree of vulnerability of the ISP domain (V ISP ) is compared with a threshold value, and if the threshold value is exceeded, it is determined that there is a threat. As another example, the level of threat potential may be defined according to the degree of threat (D T ) or the degree of vulnerability of the ISP domain (V ISP ). Potential threats can be judged on a global network or on a specific ISP domain.

사용자 인터페이스(233)는 위협 상황 예측부(232)에서 예측된 위협 상황을 사용자 또는 관리자가 인지할 수 있도록 시각화하여 표시한다. 실시예에 따라 사용자 인터페이스(233)는 시각화 표시와 더불어 음향을 통하여 예/경보를 발령할 수도 있다. The user interface 233 visualizes and displays the threat situation predicted by the threat situation prediction unit 232 so that the user or the administrator can recognize the threat situation. In accordance with an embodiment, the user interface 233 may issue a yes / alarm through the sound in addition to the visualization display.

전술한 바와 같이, 블랙리스트/화이트리스트 데이터베이스(234)는 이미 알려진 블랙리스트 도메인과 화이트리스트 도메인 주소를 저장한다. 네트워크 기반 비정상 탐지부(220)에서 탐지된 액티브 상태의 C&C 서버의 도메인 주소는 블랙리스트/화이트리스트 데이터베이스(234)의 블랙리스트 도메인으로 업데이트된다. 또한, 이러한 블랙리스트 도메인과 화이트리스트 도메인은 사용자 인터페이스(233)를 통하여 사용자 또는 관리자에게 제공될 수 있다.As described above, the blacklist / whitelist database 234 stores known blacklist domains and whitelist domain addresses. The domain address of the active C & C server detected by the network-based abnormal detection unit 220 is updated to the black list domain of the black list / white list database 234. In addition, the blacklist domain and the whitelist domain may be provided to the user or the administrator via the user interface 233. [

도 4는 본 발명의 일 실시예에 따른 사이버 위협 예측 방법의 흐름도이다. 본 실시예에 따른 사이버 위협 예측 방법은 전술한 사이버 위협 예측 장치에서 처리되는 단계들로 구성된다. 따라서 이하 생략된 내용이라 하더라도 사이버 위협 예측 장치에 관하여 이상에서 기술된 내용은 본 실시예에 따른 사이버 위협 예측 방법에도 적용된다. 4 is a flowchart of a cyber threat prediction method according to an embodiment of the present invention. The cyber threat prediction method according to the present embodiment is composed of the steps processed in the above-described cyber threat prediction apparatus. Therefore, even if omitted in the following description, the above description of the cyber threat prediction apparatus is also applied to the cyber threat prediction method according to the present embodiment.

410단계에서, DNS 기반 C&C 서버 탐지부(210)는 DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출한다. In operation 410, the DNS-based C & C server detection unit 210 analyzes the DNS traffic and extracts a suspected domain address from the C & C server.

420단계에서, 네트워크 기반 비정상 탐지부(220)는 410단계에서 검출된 의심 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고, 좀비 PC들의 접속 정보를 기반으로 C&C 서버를 검증하고, C&C 서버와 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지한다. In step 420, the network-based abnormal detection unit 220 detects the IP addresses of the zombie PCs connected to the suspicious C & C server detected in step 410, verifies the C & C server based on the access information of the zombie PCs, It detects threat information and behavior based threat information based on network structure of zombie PCs.

430단계에서, 사이버 위협 예측부(230)는 420단계에서 탐지된 네트워크 기반 위협 정보와 행위 기반 위협 정보를 기반으로, 사이버 위협 가능성을 정량화하여 정량화된 위협 지수를 산출하고, 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측한다. In operation 430, the cyber threat prediction unit 230 quantifies the cyber threat possibility based on the network-based threat information and the action-based threat information detected in operation 420, calculates a quantified threat index, and uses a quantified threat index To predict the cyber threat situation.

상술한 본 발명에서는 1차적으로 DNS 분석을 통하여 의심 C&C 서버를 탐지하고, 2차적으로 네트워크 기반으로 네트워크 트래픽의 비정상을 탐지하여 의심 C&C를 검증한다. 네트워크 기반의 비정상 탐지는 C&C 서버가 주로 해외에 거주하고 국내에 있는 봇들을 명령/제어하는 점을 고려하여 국제 관문망이나 국제 연동망에 적용되는 것이 효과적이고, 네트워크 기반의 비정상 탐지를 통하여 실시간으로 C&C 서버를 검증하고 C&C 서버와 통신하는 봇들을 탐지할 수 있다. In the present invention, the suspicious C & C server is firstly detected through the DNS analysis, and the suspicious C & C is verified by detecting abnormality of the network traffic based on the network. Network-based anomaly detection is effective to apply to international gateway network or international interworking network considering that C & C server mainly commands and controls bots residing abroad and domestic, You can verify the server and detect bots communicating with the C & C server.

상술한 본 발명은 봇넷 구조에 관계 없이 적용 가능하며, C&C 서버가 해외에 거주하는 경우에 효과적으로 운용할 수 있고, DNS 트래픽을 기반으로 악성 도메인을 추출하기 때문에 의심 대상이 감소하며, 봇넷 탐지를 기반으로 사이버 위협 상황을 사전에 인지할 수 있는 장점이 있다. The present invention can be applied regardless of the botnet structure, and can be effectively used when the C & C server resides abroad. Since the malicious domain is extracted based on DNS traffic, suspect objects are reduced, and botnet detection This is an advantage that the cyber threat situation can be recognized in advance.

한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같은 저장매체를 포함한다. The above-described embodiments of the present invention can be embodied in a general-purpose digital computer that can be embodied as a program that can be executed by a computer and operates the program using a computer-readable recording medium. The computer-readable recording medium includes a storage medium such as a magnetic storage medium (e.g., ROM, floppy disk, hard disk, etc.), optical reading medium (e.g., CD ROM,

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.The present invention has been described with reference to the preferred embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

Claims (17)

DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 DNS 기반 C&C 서버 탐지부;
네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 네트워크 기반 비정상 탐지부; 및
상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 사이버 위협 예측부를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.A DNS-based C & C server detection unit for analyzing DNS traffic to extract suspect domain addresses to the C & C server;
A network-based abnormal detection unit for detecting IP addresses of zombie PCs connected to the C & C server by analyzing network traffic and detecting information of zombie PCs; And
And a cyber threat prediction unit for predicting a cyber threat situation based on the information of the zombie PCs. 제1항에 있어서,
상기 네트워크 기반 비정상 탐지부는 국제 관문망에 설치되는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 1,
Wherein the network-based abnormal detection unit is installed in an international gateway network. 제1항에 있어서,
상기 DNS 기반 C&C 서버 탐지부는 도메인 주소 기반, 트래픽 특징 기반, 또는 N-tier 기반으로 DNS 트래픽을 분석하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 1,
Wherein the DNS-based C & C server detection unit analyzes DNS traffic based on a domain address, a traffic feature, or an N-tier. 제1항에 있어서,
상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 탐지하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 1,
Wherein the network-based abnormal detection unit detects connection information of the zombie PCs to the C & C server. 제1항에 있어서,
상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 기반으로 상기 C&C 서버를 검증하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 1,
Wherein the network-based abnormal detection unit verifies the C & C server based on access information of the zombie PCs to the C & C server. 제1항에 있어서,
상기 네트워크 기반 비정상 탐지부는 상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 1,
Wherein the network-based abnormal detection unit detects network structure-based threat information and behavior-based threat information of the zombie PCs. 제6항에 있어서,
상기 네트워크 구조 기반 위협 정보는, 봇 규모, 봇들의 접속 횟수, 또는 ISP 도메인에 전파된 봇 수를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 6,
Wherein the network structure-based threat information includes a bot scale, a number of accesses of bots, or a number of bots propagated to an ISP domain. 제6항에 있어서,
상기 행위 기반 위협 정보는, 스팸(spam) 공격 행위, 스캔(scan) 공격 행위, 바이너리 다운로드 행위, 또는 exploit 실행 행위를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 6,
Wherein the behavior-based threat information includes a spam attack, a scan attack, a binary download, or an exploit execution. 제6항에 있어서,
상기 사이버 위협 예측부는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 사이버 위협 상황을 예측하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 6,
Wherein the cyber threat prediction unit predicts a cyber threat situation based on the network structure-based threat information and the behavior-based threat information. 제6항에 있어서,
상기 사이버 위협 예측부는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하고, 상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는 것을 특징으로 하는 사이버 위협 사전 예측 장치.The method according to claim 6,
Wherein the cyber threat prediction unit calculates a threat index quantified based on the network structure based threat information and the behavior based threat information and predicts a cyber threat situation using the quantified threat index, Device. DNS 트래픽을 분석하여 C&C 서버로 의심되는 도메인 주소를 추출하는 단계;
네트워크 트래픽을 분석하여 상기 C&C 서버에 접속하는 좀비 PC들의 IP 주소를 검출하고 좀비 PC들의 정보를 탐지하는 단계; 및
상기 좀비 PC들의 정보를 기반으로 사이버 위협 상황을 예측하는 단계를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.Analyzing the DNS traffic to extract a suspected domain address from the C & C server;
Analyzing network traffic to detect IP addresses of zombie PCs accessing the C & C server and detecting information of zombie PCs; And
And predicting a cyber threat situation based on the information of the zombie PCs. 제11항에 있어서,
상기 좀비 PC들의 정보를 탐지하는 단계는 국제 관문망의 네트워크 트래픽을 분석하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.12. The method of claim 11,
Wherein the step of detecting the information of the zombie PCs analyzes the network traffic of the international gateway network. 제11항에 있어서,
상기 좀비 PC들의 정보를 탐지하는 단계는,
상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 탐지하는 단계를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.12. The method of claim 11,
The step of detecting information of the zombie PCs comprises:
And detecting connection information of the zombie PCs to the C & C server. 제11항에 있어서,
상기 좀비 PC들의 정보를 탐지하는 단계는,
상기 좀비 PC들의 상기 C&C 서버에의 접속 정보를 기반으로 상기 C&C 서버를 검증하는 단계를 포함하는 특징으로 하는 사이버 위협 사전 예측 방법.12. The method of claim 11,
The step of detecting information of the zombie PCs comprises:
And verifying the C & C server based on access information of the zombie PCs to the C & C server. 제11항에 있어서,
상기 좀비 PC들의 정보를 탐지하는 단계는,
상기 좀비 PC들의 네트워크 구조 기반 위협 정보와 행위 기반 위협 정보를 탐지하는 단계를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.12. The method of claim 11,
The step of detecting information of the zombie PCs comprises:
Detecting threats based on the network structure of the zombie PCs and behavior-based threat information. 제15항에 있어서,
상기 사이버 위협 상황을 예측하는 단계는 상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 사이버 위협 상황을 예측하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.16. The method of claim 15,
Wherein the step of predicting the cyber threat situation predicts a cyber threat situation based on the network structure based threat information and the behavior based threat information. 제15항에 있어서,
상기 사이버 위협 상황을 예측하는 단계는,
상기 네트워크 구조 기반 위협 정보와 상기 행위 기반 위협 정보를 기반으로 정량화된 위협 지수를 산출하는 단계; 및
상기 정량화된 위협 지수를 이용하여 사이버 위협 상황을 예측하는 단계를 포함하는 것을 특징으로 하는 사이버 위협 사전 예측 방법.16. The method of claim 15,
The step of predicting the cyber threat situation comprises:
Calculating a threat index quantified based on the network-structure-based threat information and the behavior-based threat information; And
And estimating a cyber threat situation using the quantified threat index.
KR1020110103255A 2011-07-29 2011-10-10 Cyber threat prior prediction apparatus and method KR101538374B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US13/451,375 US20130031625A1 (en) 2011-07-29 2012-04-19 Cyber threat prior prediction apparatus and method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20110076092 2011-07-29
KR1020110076092 2011-07-29

Publications (2)

Publication Number Publication Date
KR20130014300A true KR20130014300A (en) 2013-02-07
KR101538374B1 KR101538374B1 (en) 2015-07-22

Family

ID=47894578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110103255A KR101538374B1 (en) 2011-07-29 2011-10-10 Cyber threat prior prediction apparatus and method

Country Status (1)

Country Link
KR (1) KR101538374B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016028067A3 (en) * 2014-08-18 2016-04-07 주식회사 시큐그래프 System and method for detecting malicious code using visualization
KR101662530B1 (en) * 2015-05-28 2016-10-05 한국전자통신연구원 System for detecting and blocking host access to the malicious domain, and method thereof
CN109474572A (en) * 2017-12-29 2019-03-15 北京安天网络安全技术有限公司 The method and system of horse website are put based on the monitoring capture of cluster Botnet
WO2023158071A1 (en) * 2022-02-21 2023-08-24 주식회사 리니어리티 Malicious code infection detecting system and method through network communication log analysis

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102045468B1 (en) * 2015-07-27 2019-11-15 한국전자통신연구원 Apparatus for detection of anomalous connection behavior based on network data analytics and method using the same
CN107534646A (en) * 2015-08-28 2018-01-02 慧与发展有限责任合伙企业 For determine DNS packet whether be malice extraction data classification
US10805318B2 (en) 2015-08-28 2020-10-13 Hewlett Packard Enterprise Development Lp Identification of a DNS packet as malicious based on a value

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101045331B1 (en) * 2008-12-24 2011-06-30 한국인터넷진흥원 Method for analyzing behavior of irc and http botnet based on network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016028067A3 (en) * 2014-08-18 2016-04-07 주식회사 시큐그래프 System and method for detecting malicious code using visualization
KR101662530B1 (en) * 2015-05-28 2016-10-05 한국전자통신연구원 System for detecting and blocking host access to the malicious domain, and method thereof
CN109474572A (en) * 2017-12-29 2019-03-15 北京安天网络安全技术有限公司 The method and system of horse website are put based on the monitoring capture of cluster Botnet
WO2023158071A1 (en) * 2022-02-21 2023-08-24 주식회사 리니어리티 Malicious code infection detecting system and method through network communication log analysis

Also Published As

Publication number Publication date
KR101538374B1 (en) 2015-07-22

Similar Documents

Publication Publication Date Title
US20130031625A1 (en) Cyber threat prior prediction apparatus and method
Zeidanloo et al. A taxonomy of botnet detection techniques
Almutairi et al. Hybrid botnet detection based on host and network analysis
KR101538374B1 (en) Cyber threat prior prediction apparatus and method
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
EP3171567B1 (en) Advanced persistent threat detection
Amini et al. A survey on Botnet: Classification, detection and defense
US20120167161A1 (en) Apparatus and method for controlling security condition of global network
EP2672676B1 (en) Methods and systems for statistical aberrant behavior detection of time-series data
Fung et al. Intrusion detection networks: a key to collaborative security
KR102444922B1 (en) Apparatus of controlling intelligent access for security situation recognition in smart grid
Bijalwan et al. Botnet Forensic: Issues, Challenges and Good Practices.
KR20120000942A (en) Bot-infected host detection apparatus and method based on blacklist access statistics
Shafee Botnets and their detection techniques
Prasad et al. Flooding attacks to internet threat monitors (ITM): modeling and counter measures using botnet and honeypots
Abaid et al. Early detection of in-the-wild botnet attacks by exploiting network communication uniformity: An empirical study
CN116938574A (en) Knowledge-graph-based network attack threat analysis method and system
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
Li et al. Identifying passive message fingerprint attacks via honey challenge in collaborative intrusion detection networks
Behal et al. Signature-based botnet detection and prevention
KR20130033161A (en) Intrusion detection system for cloud computing service
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
Anbar et al. Investigating study on network scanning techniques
Stetsenko et al. Signature-based intrusion detection hardware-software complex
Ji et al. Botnet detection and response architecture for offering secure internet services

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
LAPS Lapse due to unpaid annual fee