KR20130105769A - System, method and computer readable recording medium for detecting a malicious domain - Google Patents

System, method and computer readable recording medium for detecting a malicious domain Download PDF

Info

Publication number
KR20130105769A
KR20130105769A KR1020120026387A KR20120026387A KR20130105769A KR 20130105769 A KR20130105769 A KR 20130105769A KR 1020120026387 A KR1020120026387 A KR 1020120026387A KR 20120026387 A KR20120026387 A KR 20120026387A KR 20130105769 A KR20130105769 A KR 20130105769A
Authority
KR
South Korea
Prior art keywords
malicious domain
information
malicious
domain
packet
Prior art date
Application number
KR1020120026387A
Other languages
Korean (ko)
Other versions
KR101398740B1 (en
Inventor
김무성
김현호
김동욱
최원덕
이남일
Original Assignee
주식회사 코닉글로리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코닉글로리 filed Critical 주식회사 코닉글로리
Priority to KR1020120026387A priority Critical patent/KR101398740B1/en
Publication of KR20130105769A publication Critical patent/KR20130105769A/en
Application granted granted Critical
Publication of KR101398740B1 publication Critical patent/KR101398740B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

PURPOSE: Malicious domain detection system, method and recording medium are provided to effectively detect a malicious domain by automatically generating a detection rule for malicious domain request action by collecting and updating the malicious domain information. CONSTITUTION: A malicious domain management server (100) collects information about malicious domains by input of a manger or automatic collection. The malicious domain management server manages, maintains, analyzes or inspects the information about the malicious domains. A threat management system manager (150) provides the information about the malicious domains to the malicious domain management server. The threat management system manager automatically generates a malicious domain detection rule from the information about the malicious domains. A threat management system sensor (140) detects inclusion of malicious domain related link information. [Reference numerals] (100) Malicious domain management server; (110) Internet; (120) Router; (130) Fire wall; (140) MDDS sensor; (150) MDDS manager; (160) Internal network switch; (170) Company intranet; (180) User device

Description

악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체{SYSTEM, METHOD AND COMPUTER READABLE RECORDING MEDIUM FOR DETECTING A MALICIOUS DOMAIN}TECHNICAL FIELD [0001] The present invention relates to a malicious domain detection system, a method, and a computer readable recording medium.

본 발명은 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것으로, 보다 상세하게는 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위를 탐지하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.The present invention relates to a malicious domain detection system, method and computer-readable recording medium, and more particularly, to a malicious domain detection system and method for detecting malicious domain request behavior by collecting and updating malicious domain information, .

일반적으로 인터넷은 전세계 어디서나, 누구나 접속하고자 하는 상대편 컴퓨터에 TCP/IP 라는 공통의 프로토콜을 적용하여 자유롭게 연결하여 사용할 수 있도록 구성된 개방형 네트워크로서, 기본적인 문자정보의 전달은 물론 압축기술의 발전과 더불어 멀티미디어 정보의 전달에 이용되는 등 전자우편, 파일전송, WWW(World Wide Web) 등의 다양한 서비스를 이용할 수 있다.In general, the Internet is an open network configured to freely connect and use a common protocol called TCP / IP to a remote computer to be accessed anywhere in the world and to anyone. It is an open network that not only transmits basic character information but also develops compression technology, And various services such as e-mail, file transfer, and World Wide Web (WWW), which are used for delivering the service, can be used.

이와 같은 인터넷은 국내를 비롯하여 세계적으로 사용이 급격하게 증가되면서 기존 산업의 전 부분에 걸쳐 효율성과 생산성 제고를 위한 전략적인 도구로서 중요성이 급속히 증대되고 있으며, 인터넷을 통한 새로운 비즈니스 기회가 지속적으로 창출됨은 물론, 그 영역도 확장되고 있는 추세로서 인터넷을 이용한 사업자들도 점점 더 증가되고 있다.As the use of the Internet has rapidly increased in Korea and the world, the importance of the Internet has been rapidly increasing as a strategic tool for improving efficiency and productivity throughout the existing industries. As a result, new business opportunities through the Internet have been continuously created , And the number of Internet service providers is also increasing.

한편, 이러한 인터넷을 통한 통신 환경을 저해하는 요소로서 악성 프로그램을 이용하여 인터넷에 연결된 특정 대상 컴퓨터를 공격함으로써 원하는 정보를 탈취하려는 공격들이 이루어지고 있다.On the other hand, as an element that hinders the communication environment through the Internet, an attack is made to attack desired information by using a malicious program to attack a specific target computer connected to the Internet.

악성 프로그램(malicious program)은 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 멀웨어(malware, malicious software), 악성코드(malicious code)라고도 하며, 자기 복제 능력과 감염 대상의 유무에 따라, 바이러스(Virus), 웜바이러스(worm virus), 트로이목마(Trojan horse) 등으로 분류될 수 있다.A malicious program is a malicious code written for malicious purposes. It is also called malware, malicious code. It is also called a malicious code, ), Worm virus (Trojan Horse), and the like.

또한, 악성 프로그램과 유사한 스파이웨어(spyware)는 다른 사람의 컴퓨터에 잠입하여 중요한 개인정보를 추출해가는 소프트웨어로서, 최근에는 사용자 이름은 물론 IP 주소와 즐겨 찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많아 문제가 되고 있다. 이러한 악성 프로그램에 의한 주요 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동 발송, 개인 정보 유출, 원격 제어 등으로 그 피해가 증대되고 있다. 또한, 대부분의 악성 프로그램은 해당 악성 프로그램이 보안 전문가에 의해 분석되더라도 쉽게 해당 악성 프로그램의 의도 및 행위가 알려지지 않도록 하기 위해 다양한 분석 방해 기법이 적용되고 있다.In addition, spyware, similar to malicious programs, is software that infiltrates another person's computer and extracts important personal information. In recent years, it has been developed to find out user names, IP addresses, favorite URLs, personal IDs and passwords. It is becoming a problem because there are many possibilities to be used maliciously. The main symptoms caused by such malicious programs are network traffic, system performance degradation, file deletion, e - mail sending, personal information leakage, remote control, etc. In addition, most malicious programs are applied various analysis disruption techniques so that the intention and behavior of the malicious program can not be easily noticed even if the malicious program is analyzed by security experts.

예컨대, 일반적인 악성 프로그램(즉, 멀웨어) 탐지 절차는 그 일예로서 시그니처(signature) 기반으로 멀웨어를 스캐닝하고, 멀웨어가 탐지되었을 경우 해당 멀웨어 처리 프로세스를 수행한다.For example, a general malicious program (i.e., malware) detection process scans malware based on a signature as an example, and performs a malware processing process when malware is detected.

상기 시그니처 기반의 멀웨어 진단 방법은 바이러스의 샘플을 수집하여 진단하는 방법이다. 즉, 컴퓨터 바이러스가 새로 출현하면, 안티 바이러스 제작사들은 이러한 샘플을 수집하여 진단하고 치료하는 방법을 알아내어 이를 안티 바이러스 데이터베이스에 추가하는 방식을 사용한다. 이러한 방식을 리엑티브(reactive) 방식이라고 하며, 상기 바이러스의 흔적을 '시그니처'라고 한다.The signature-based malware diagnosis method is a method of collecting and diagnosing virus samples. In other words, when new computer viruses come into play, antivirus vendors have to figure out how to collect, diagnose and treat these samples and add them to the antivirus database. This method is referred to as a reactive method, and the sign of the virus is referred to as a 'signature'.

이와 같이 종래의 악성 프로그램 탐지 방법은 기 발견된 악성 프로그램에 대한 전문가의 분석을 통해 시그니처를 생성하고 이를 기반으로 동일한 악성 프로그램이 사용되는 경우 이를 탐지하는 것이 대부분으로서, 기 탐지 가능한 악성 프로그램과 매우 유사한 악성 프로그램이라고 할지라도 시그니처와 정확히 일치하는 특징을 가지지 않는 악성 프로그램은 탐지가 불가능하다는 한계가 있으며 알려지지 않은 악성 프로그램에 대해서는 즉각적인 탐지 및 대처가 불가능하다는 문제점이 있다.As described above, the conventional malicious program detection method generates a signature through expert analysis of previously discovered malicious programs, and when the same malicious program is used based on the generated signature, most of the detected malicious programs are very similar to malignant malicious programs Malicious programs that do not have exactly the same signature as the malicious program have limitations in that they can not be detected, and there is a problem that it is impossible to detect and cope with unknown malicious programs immediately.

한편, 이러한 악성 프로그램 또는 악성 사이트를 검출하기 위한 기술로서 대한민국 특허 등록 공보 제10-1044274호 "악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체(주식회사 안철수연구소)"(문헌 1)에는 특정 사이트에서 다운된 프로그램의 프로세스 실행 시점에 해당 프로세스 내에 인증서가 포함되어 있는지, 스택 구조가 정상적인지 여부를 확인하여 현재 사이트가 위험한 사이트인지 혹은 현재 컴퓨터에서 실행한 프로세스가 비정상적인지를 판단할 수 있는 방법이 개시된다.On the other hand, as a technique for detecting such malicious programs or malicious sites, Korean Patent Registration No. 10-1044274 entitled "A malicious site detection apparatus, a method and a recording medium on which a computer program is recorded (AhnLab, A method of determining whether the current site is a dangerous site or a process that is currently running on the computer is abnormal by checking whether the certificate is included in the process at the time of executing the process of the program that is down at the site and whether the stack structure is normal .

그러나, 악성 프로그램으로 인한 증상이나 유포 방법이 점차 복잡해지고 지능화되고 있어, 이와 같은 기존의 안티바이러스 프로그램만으로는 다양한 악성프로그램을 진단 및 치료할 수 없다는 한계가 있다.However, the symptom and the spreading method due to the malicious program are gradually becoming complicated and intelligent, and there is a limitation in that such conventional antivirus program can not diagnose and treat various malicious programs.

한편, 최근 공격 중 가장 많은 비율을 차지하고 있는 공격은 HTTP(HyperText Transfer Protocol; 하이퍼텍스트 전송 프로토콜)를 이용하여 악성 페이지를 요청하거나 악성 파일을 다운받는 것이다. 즉, 각종 소프트웨어, 프로토콜의 취약점을 이용하여 악성 파일을 다운로드 받아 실행시키는 행위가 공격의 주를 이루고 있다.On the other hand, an attack that accounts for the largest percentage of recent attacks is to request a malicious page or download a malicious file using HTTP (HyperText Transfer Protocol). That is, malicious files are downloaded and executed using various software and protocol vulnerabilities.

따라서, 최근의 사이버 공격 경향에 따라 악성 도메인의 리스트를 등록 유지하는 한편 네트워크상에 흐르는 패킷을 분석하여 사용자에게 경고할 수 있는 기술이 요구되고 있는 실정이다.Therefore, there is a need for a technology for registering and maintaining a list of malicious domains according to recent cyber attack tendencies, and for alerting users to packets flowing on the network.

[문헌 1] 대한민국등록특허공보 10-1044274 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체(주식회사 안철수연구소) 2011.06.20[Patent Document 1] Korean Registered Patent No. 10-1044274 Malicious site detection apparatus, method, and recording medium on which a computer program is recorded (AhnLab, Inc.) 2011.06.20

본 발명의 목적은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성하여 적용하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.An object of the present invention is to provide a malicious domain detection system, method, and computer readable recording medium that collects and updates malicious domain information and automatically generates and applies detection rules for a malicious domain request behavior.

또한, 본 발명의 다른 목적은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성하고 이를 위협 관리 시스템에 적용하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.Another object of the present invention is to provide a malicious domain detection system, method, and computer-readable recording medium that collects and updates malicious domain information to automatically generate detection rules for a malicious domain request action and apply the rules to the threat management system have.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특유의 효과를 달성하기 위한, 본 발명의 특징적인 구성은 하기와 같다.In order to achieve the above-described object of the present invention and to achieve the specific effects of the present invention described below, the characteristic structure of the present invention is as follows.

본 발명의 일 태양에 따르면, 악성 도메인 탐지 시스템은, 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함한다.According to an aspect of the present invention, a malicious domain detection system is a malicious domain detection system that collects malicious domain information by input or automatic collection of an administrator, and manages, maintains, analyzes, or inspects information about the malicious domain server; A threat management system manager for receiving malicious domain information from the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And a threat management system sensor for receiving the generated malicious domain detection rule from the threat management system manager and detecting whether malicious domain related link information is included in a packet transmitted on the network.

바람직하게는, 상기 악성 도메인 탐지룰은 액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현된다.Preferably, the malicious domain detection rule is implemented in the form of 'snort' which includes an action, a protocol, a sender IP, a sender port, a receiver IP, a receiver port, .

바람직하게는, 상기 악성 도메인 관리 서버는, 적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부; 사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부; 상기 악성 도메인 수집부 및 악성 도메인 등록부에 의해 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 악성 도메인 분석부; 상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 도메인 리스트 분류부; 상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부; 및 상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 도메인 국가 판별부를 포함한다.Preferably, the malicious domain management server comprises: a malicious domain collector for collecting a malicious domain list in at least one method and storing the collected malicious domain list in a malicious domain information database; A malicious domain registration unit for receiving a malicious domain input by a user and performing verification and registering the malicious domain in the malicious domain information database; A malicious domain analysis unit for determining whether each domain collected or registered by the malicious domain collecting unit and the malicious domain registering unit is malicious domain; A domain list classifying unit for classifying malicious domains stored in the malicious domain information database into a plurality of types; A domain activation checking unit for checking whether each domain stored in the malicious domain information database is activated; And a domain country discrimination unit for determining in which country each malicious domain stored in the malicious domain information database is located.

바람직하게는, 상기 위협 관리 시스템 매니저는, 상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 분석 정보 수신부; 사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 정보 요청 수신부; 및 상기 정보 요청 수신부에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 UI 정보 생성부를 포함한다.Preferably, the threat management system manager comprises: an analysis information receiver for storing information analyzed by the threat management system sensor in a packet analysis information database; An information request receiving unit for receiving an information request for an analysis result input from a user terminal; And a UI information generator for providing the packet analysis information stored in the packet analysis information database to the user terminal according to the information request received from the information request receiver.

바람직하게는, 상기 위협 관리 시스템 센서는, 네트워크상에서 전송되는 패킷 데이터를 수집하는 패킷 수집 드라이버; 상기 패킷 수집 드라이버에서 수집된 패킷을 파싱하는 패킷 파싱부; 상기 패킷 파싱부에서 파싱된 패킷을 분석하는 패킷 분석부; 상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 링크 정보 요청부; 상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 탐지룰 수신부; 및 상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 악성 도메인 검사부를 포함한다.Preferably, the threat management system sensor includes: a packet collection driver for collecting packet data transmitted over a network; A packet parser for parsing packets collected by the packet collection driver; A packet analyzer for analyzing the packet parsed by the packet parser; A link information request unit for requesting the threat management system manager for domain information corresponding to the extracted link information as a result of the analysis; A detection rule receiving unit for receiving detection rule information automatically generated corresponding to the corresponding domain information from the threat management system manager according to the request; And a malicious domain checking unit for checking the malicious domain by the received detection rule.

바람직하게는, 상기 패킷 분석부는, 상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 URL 추출부; HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 링크 정보 추출부; 단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 응답 링크 추출부; 응답코드의 내용에서 링크를 추출하여 검사하는 내용 추출부; 및 요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 XSS 응답 링크 검사부를 포함한다.Preferably, the packet analyzer includes: a URL extractor for extracting URL information from request information included in the collected packet; A link information extracting unit for extracting all the link information from the data excluding the header of the HTTP packet and checking whether the domain of the link is a malicious domain; A response link extracting unit for extracting and inspecting a link in a redirect response based on a shortened URL request; A content extracting unit for extracting and inspecting a link from the content of the response code; And an XSS response link checking unit for checking whether a link corresponding to the XSS action is requested in response to the request.

본 발명의 다른 태양에 따르면, 악성 도메인 탐지 시스템은, 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 악성 도메인 탐지 시스템 센서; 및 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 악성 도메인 탐지 시스템 매니저를 포함한다.According to another aspect of the present invention, a malicious domain detection system includes malicious domain management for collecting malicious domain information by input or automatic collection of an administrator, managing malicious domain information for managing, maintaining, server; A malicious domain detection rule is provided to the malicious domain management server and malicious domain detection rules are automatically generated from information on the malicious domain, A malicious domain detection system sensor for detecting whether or not link information is included; And a malicious domain detection system manager that receives a result detected by the malicious domain detection system sensor and provides the detected result to the user terminal at the request of the user terminal.

본 발명의 또 다른 태양에 따르면, 악성 도메인 탐지 방법은, 악성 도메인 관리 서버에서 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하는 단계; 위협 관리 시스템 매니저에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 단계; 및 위협 관리 시스템 센서에서 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계를 포함한다.According to still another aspect of the present invention, a malicious domain detection method includes: collecting malicious domain information by input or automatic collection of an administrator from a malicious domain management server; Receiving a malicious domain information from the threat management system manager to the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And receiving the generated malicious domain detection rule from the threat management system manager in the threat management system sensor and detecting whether malicious domain related link information is included in the packet transmitted on the network.

본 발명의 또 다른 태양에 따르면, 악성 도메인 탐지 방법은, 악성 도메인 관리 서버에 의해 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 단계; 악성 도메인 탐지 시스템 센서에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계; 및 악성 도메인 탐지 시스템 매니저에서, 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 단계를 포함한다.According to still another aspect of the present invention, a malicious domain detection method includes: collecting malicious domain information by input or automatic collection of an administrator by a malicious domain management server; and managing, maintaining, Analysis or inspection; The malicious domain detection system sensor receives malicious domain information from the malicious domain management server, automatically generates a malicious domain detection rule from the malicious domain information, and transmits the malicious domain detection rule Detecting whether malicious domain related link information is included in the packet; And providing malicious domain detection system manager with the result detected by the malicious domain detection system sensor and providing the detected result to the user terminal at the request of the user terminal.

한편, 상기 악성 도메인 탐지 방법을 제공받기 위한 정보는 서버 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있다. 이러한 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있도록 프로그램 및 데이터가 저장되는 모든 종류의 기록매체를 포함한다. 그 예로는, 롬(Read Only Memory), 램(Random Access Memory), CD(Compact Disk), DVD(Digital Video Disk)-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 케리어 웨이브(예를 들면, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한, 이러한 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Meanwhile, the information for receiving the malicious domain detection method may be stored in a recording medium readable by a server computer. Such a recording medium includes all kinds of recording media in which programs and data are stored so that they can be read by a computer system. Examples include ROMs (Read Only Memory), Random Access Memory, CD (Compact Disk), DVD (Digital Video Disk) -ROM, magnetic tape, floppy disk, optical data storage device, (For example, transmission over the Internet). Such a recording medium may also be distributed over a networked computer system so that computer readable code in a distributed manner can be stored and executed.

상술한 바와 같이, 본 발명에 따르면, 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성함으로써 MDDS 센서 또는 TMS 센서에서 악성 도메인을 효과적으로 탐지할 수 있는 장점이 있다.As described above, according to the present invention, malicious domains can be effectively detected by the MDDS sensor or the TMS sensor by collecting and updating malicious domain information and automatically generating detection rules for malicious domain requesting actions.

또한, 본 발명에 따르면, 수집된 악성 도메인에 대해 주기적으로 실체 요청을 보내 응답을 확인하여 해당 도메인의 활성화 상태를 검사함으로써 악성 도메인에 대한 정확한 정보를 유지할 수 있는 장점이 있다.In addition, according to the present invention, it is possible to maintain correct information on a malicious domain by periodically checking an activation state of a corresponding malicious domain by periodically requesting an entity to confirm a response.

또한, 본 발명에 따르면, 악성 도메인 관리 서버에서 각 악성 도메인에 대한 탐지룰을 자동 생성하여 MDDS 센서 또는 TMS 센서에 제공함으로써 악성 도메인을 탐지하는 센서에 대한 부하를 줄일 수 있는 장점이 있다.In addition, according to the present invention, malicious domain management servers automatically generate detection rules for malicious domains and provide them to the MDDS sensor or TMS sensor, thereby reducing the load on the sensor for detecting malicious domains.

도 1은 본 발명의 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다.
도 2는 본 발명의 다른 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 악성 도메인 관리 서버의 세부 구성을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 TMS 센서의 세부 구성을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 TMS 매니저의 세부 구성을 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 악성 도메인 탐지 절차를 나타내는 신호 흐름도이다.1 is a block diagram of a malicious domain detection system according to an embodiment of the present invention.
2 is a block diagram of a malicious domain detection system according to another embodiment of the present invention.
3 is a diagram illustrating a detailed configuration of a malicious domain management server according to an embodiment of the present invention.
4 is a view showing a detailed configuration of a TMS sensor according to an embodiment of the present invention.
5 is a diagram illustrating a detailed configuration of a TMS manager according to an embodiment of the present invention.
6 is a signal flow diagram illustrating a malicious domain detection procedure according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는 적절하게 설명된다면 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE INVENTION The following detailed description of the invention refers to the accompanying drawings that show, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. Accordingly, the following detailed description is not to be taken in a limiting sense, and the scope of the present invention is defined only by the appended claims, along with the full range of equivalents to which such claims are entitled. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

본 발명은 HTTP 프로토콜을 포함한 다양한 전송 프로토콜을 이용하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 악성 도메인의 탐지 장치 및 방법을 제안한다. 즉, 본 발명에서는 네트워크상에 전송되는 패킷을 분석하고, 패킷 내에 포함된 링크 정보를 악성 도메인 리스트와 비교하여 사용자에게 경고함으로써 악성 도메인을 탐지한다. 이때, 본 발명의 실시예에 따라 악성 도메인 정보를 수집 및 유지하는 악성 도메인 관리 서버로부터 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 악성 도메인 탐지룰을 자동으로 생성하여 MDDS(Malicious Domain Detection System; 악성 도메인 탐지 시스템) 센서 또는 TMS(Threat Management System; 위협 관리 시스템) 센서로 제공함으로써 효과적인 악성 도메인 탐지가 가능하게 된다.The present invention proposes a malicious domain detection apparatus and method for requesting malicious pages or downloading malicious files using various transmission protocols including HTTP protocol. That is, in the present invention, packets transmitted on the network are analyzed, and malicious domains are detected by comparing the link information included in the packet with the malicious domain list to warn the user. At this time, according to the embodiment of the present invention, malicious domain information is collected from a malicious domain management server collecting and maintaining malicious domain information, and malicious domain detection rules for the malicious domain are automatically generated to detect Malicious Domain Detection (MDDS) System as a malicious domain detection system sensor or a threat management system (TMS) sensor, thereby enabling effective malicious domain detection.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention.

먼저, 도 1 및 도 2를 참조하여 본 발명의 실시예에 따른 시스템을 설명하고, 도 3 내지 도 5를 참조하여 시스템을 구성하는 각 장치의 세부 구성을 설명한다.First, a system according to an embodiment of the present invention will be described with reference to Figs. 1 and 2, and detailed configurations of respective apparatuses constituting the system will be described with reference to Figs. 3 to 5. Fig.

악성 도메인 탐지 시스템은 다음과 같다. The malicious domain detection system is as follows.

도 1은 본 발명의 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다. 도 1을 참조하면, 본 발명에 따른 시스템은 악성 도메인 관리 서버(100), 인터넷(110), 라우터(120), 방화벽(130), MDDS 센서(140), MDDS 매니저(150), 내부망 스위치(160), 회사 인트라넷(intranet)(170) 및 사용자 단말(180)등을 포함하여 구성될 수 있다.1 is a block diagram of a malicious domain detection system according to an embodiment of the present invention. Referring to FIG. 1, a system according to the present invention includes a malicious domain management server 100, an Internet 110, a router 120, a firewall 130, an MDDS sensor 140, an MDDS manager 150, A user terminal 160, a company intranet 170, a user terminal 180, and the like.

먼저, 악성 도메인 관리 서버(100)는 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 역할을 수행한다. 이때, 상기 악성 도메인 관리 서버(100)는 상기 MDDS 센서(140)와 통신하여 악성 도메인에 대한 정보를 분석 및 비교하고 관련 정보를 MDDS 센서(140)로 제공한다. 특히, 본 발명의 실시예에 따라 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 상기 MDDS 센서(140)로 하여금 악성 도메인을 탐지하도록 한다. 상기 악성 도메인 관리 서버(100)의 세부 구성은 도 3의 설명에서 후술하기로 한다First, the malicious domain management server 100 collects malicious domain information by input or automatic collection of an administrator, and manages, maintains, analyzes, or inspects information on the collected malicious domains. At this time, the malicious domain management server 100 communicates with the MDDS sensor 140 to analyze and compare malicious domain information and provide related information to the MDDS sensor 140. In particular, according to an embodiment of the present invention, a detection rule for each malicious domain is automatically generated so that the MDDS sensor 140 detects a malicious domain. The detailed configuration of the malicious domain management server 100 will be described later with reference to FIG. 3

인터넷(110)은 통신 네트워크의 예로서 유선 및 무선 등과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 단거리 통신망(PAN; Personal Area Network), 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 또한, 상기 인터넷(520)은 공지의 월드와이드웹(WWW; World Wide Web)일 수 있으며, 적외선(Infrared Data Association; IrDA) 또는 블루투스(Bluetooth)와 같이 단거리 통신에 이용되는 무선전송기술을 부분적으로 이용할 수도 있다.The Internet 110 may be configured as a communication network, such as a wired network or a wireless network, and may be a personal area network (PAN), a local area network (LAN), a metropolitan area network , A metropolitan area network (WAN), and a wide area network (WAN). In addition, the Internet 520 may be a known World Wide Web (WWW), and may partially transmit radio transmission technology used for short-range communication such as Infrared Data Association (IrDA) or Bluetooth It can also be used.

한편, 특정 서버에서 전송된 사용자 단말(180)을 목적지로 하는 패킷은 인터넷(110)을 통해 라우터(120), 방화벽(130), 내부망 스위치(160), 회사 인트라넷(170)을 거쳐 회사 내의 각 사용자 단말(180)로 전송될 수 있다. 이때, 본 발명의 실시예에 따라 MDDS 센서(140)에서는 상기 전송되는 패킷을 분석하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 코드가 포함되어 있을 경우, 사용자에게 경고를 하게 된다.Meanwhile, a packet destined for the user terminal 180 transmitted from the specific server is transmitted to the inside of the company 120 via the router 120, the firewall 130, the internal network switch 160, the company intranet 170, May be transmitted to each user terminal 180. At this time, according to the embodiment of the present invention, when the MDDS sensor 140 analyzes the transmitted packet to request a malicious page or download a malicious file, the MDDS sensor 140 alerts the user.

즉, MDDS 센서(140)는 네트워크상에서 전송되는 패킷을 검사하여 링크를 추출하고, 이를 악성 도메인 리스트와 비교함으로써 사용자에게 통보하는 역할을 수행하며, 이와 관련된 IP, MAC, 호스트 정보, 패턴 정보 등을 제공한다. 상기 MDDS 센서(140)에 대한 세부적인 내용은 도 4의 설명에서 후술하기로 한다.That is, the MDDS sensor 140 inspects a packet transmitted on the network, extracts a link, compares it with a malicious domain list, notifies the user of the malicious domain list, and stores the IP, MAC, host information, to provide. Details of the MDDS sensor 140 will be described later with reference to FIG.

MDDS 매니저(150)는 MDDS 센서(140)를 통해 분석된 패킷에 대해 악성 도메인 관리 서버(100)와 비교된 정보를 사용자에게 UI(User Interface; 사용자 인턴페이스) 등을 통해서 제공한다. 이때, 제공되는 정보로는 IP, MAC, 사용자 인터넷 사용 기록 등이 포함될 수 있다. 상기 MDDS 매니저(150)의 세부 구성은 도 5의 설명에서 후술하기로 한다.The MDDS manager 150 provides the user with information compared to the malicious domain management server 100 with respect to the packet analyzed through the MDDS sensor 140 through a user interface (UI) or the like. At this time, the provided information may include IP, MAC, user Internet usage record, and the like. The detailed configuration of the MDDS manager 150 will be described later in the description of FIG.

한편, 도 1에 따르면, MDDS 센서(140)에서는 네트워크상에서 전송되는 모든 패킷들을 후술하는 방법에 따라 검사한다. 이때, 상기 MDDS 센서(140)에서는 악성 도메인 관리 서버(100)로 각 악성 도메인에 대한 관련 정보를 요청(①)한다. 이에 따라, 상기 악성 도메인 관리 서버(100)는 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 MDDS 센서(140)로 제공(②)한다. 또한, 다른 방법으로서, 상기 MDDS 센서(140)는 상기 악성 도메인 관리 서버(100)로부터 악성 도메인에 대한 정보를 요청하여 수신하고, 해당 악성 도메인의 탐지룰을 자동으로 생성하여 악성 도메인을 탐지하도록 구현하는 것도 가능하다.1, in the MDDS sensor 140, all packets transmitted on the network are checked according to a method described later. At this time, the MDDS sensor 140 requests the malicious domain management server 100 for related information about each malicious domain (①). Accordingly, the malicious domain management server 100 automatically generates a detection rule for each malicious domain and provides the detection rule to the MDDS sensor 140 (2). Alternatively, the MDDS sensor 140 may request and receive malicious domain information from the malicious domain management server 100, automatically generate a detection rule for the malicious domain, and detect malicious domains It is also possible to do.

예컨대, 상기 악성 도메인 탐지를 위한 MDDS의 자동 룰 생성 방법은 다음과 같이 생성될 수 있다.For example, an automatic rule generation method of the MDDS for detecting the malicious domain may be generated as follows.

만약, 악성 도메인의 URL이 "http://doublediet.com/w.php?f=16&e=2"라고 가정할 경우, 본 발명의 실시예에 따라 자동으로 생성되는 탐지룰은 다음과 같이 생성될 수 있다.Assuming that the URL of the malicious domain is "http://doublediet.com/w.php?f=16&e=2&quot ;, the detection rule that is automatically generated according to the embodiment of the present invention is generated as follows .

alert tcp any any -> any 80 (uricontent:”w.php?f=16&e=2”; nocase; alert tcp any any -> any 80 (uricontent: "w.php? f = 16 & e = 2";

content:”Host|3a20|doublediet.com”; nocase;)content: "Host | 3a20 | doublediet.com"; nocase;

상기 탐지룰은 'snort'의 형태로 구현 가능하며 상기와 같이 액션(action), 프로토콜(protocol), 발신자 IP, 포트(port), 수신자 IP, 포트, 탐지룰 내용 등을 포함하여 구성될 수 있다. 즉, 상기 예를 든 탐지룰은 입력되는 모든 IP의 패킷에 대해 상기 악성 도메인의 URL이 포함되어 있을 경우 알람 신호를 발생시키는 것을 의미한다.The detection rule may be implemented in the form of 'snort' and may include an action, a protocol, a sender IP, a port, a receiver IP, a port, a content of a detection rule, etc. . That is, the detection rule in the above example means that an alarm signal is generated when the URL of the malicious domain is contained in all the IP packets inputted.

이와 같이, MDDS 센서(140)에서 상기 악성 도메인 탐지룰에 의해 악성 도메인이 탐지되면, 상기 탐지 결과를 MDDS 매니저(150)로 전송(③)한다. 상기 MDDS 매니저(150)는 상기 탐지 결과를 참조하여 보안 정책을 적용(④)한다. 예컨대, 내부망 스위치(160)를 제어하여 특정 패킷이 회사 인트라넷(170) 내부로 유입되는 것을 차단할 수가 있다.If the malicious domain is detected by the malicious domain detection rule in the MDDS sensor 140, the detection result is transmitted to the MDDS manager 150 (3). The MDDS manager 150 refers to the detection result and applies the security policy (4). For example, the internal network switch 160 may be controlled to block specific packets from entering the corporate intranet 170.

한편, TMS(Threat Management System)는 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 만든 통합보안관리 시스템 중에 하나로서, 공격 트래픽에 대해서 능동적으로 대응하고 방어할 수 있으며, 이상 트래픽 증가 시에 관리자가 원하는 정보(상위 5개 공격 IP, Port, Protocol별 분석, 최근 5분간 공격유형 등)를 비교적 정교하고 다양하게 제공할 수 있는 장치이다.Meanwhile, the TMS (Threat Management System) is one of the integrated security management systems aimed at early detection of threats and reduction or elimination of threats in order to protect internal information assets from external threats. Which can actively respond to and defend against an attack, and can provide a relatively sophisticated and diverse range of information (information on top 5 attack IPs, ports, protocol analysis, recent 5 minute attacks, etc.) to be.

따라서, 도 2에 도시된 바와 같이 본 발명의 다른 실시예에 따라 상기 MDDS 센서(140) 및 MDDS 매니저(150)에서 수행되는 각 기능들이 기구축된 TMS 센서(210) 및 TMS 매니저(220) 내에 포함되어 수행되도록 구현하는 것도 가능하다.2, each of the functions performed in the MDDS sensor 140 and the MDDS manager 150 is stored in the TMS sensor 210 and the TMS manager 220, which are pre-built according to another embodiment of the present invention. It is also possible to implement it to be included.

도 2는 본 발명의 다른 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다. 도 2를 참조하면, 본 발명에 따른 시스템은 악성 도메인 관리 서버(100), 인터넷(110), 라우터(120), 방화벽(130), TMS 센서(210), TMS 매니저(220), 내부망 스위치(160), 회사 인트라넷(intranet)(170) 및 사용자 단말(180)등을 포함하여 구성될 수 있다.2 is a block diagram of a malicious domain detection system according to another embodiment of the present invention. 2, the system according to the present invention includes a malicious domain management server 100, an Internet 110, a router 120, a firewall 130, a TMS sensor 210, a TMS manager 220, A user terminal 160, a company intranet 170, a user terminal 180, and the like.

먼저, 악성 도메인 관리 서버(100)는 상기 도 1에서 상술한 바와 같이 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 역할을 수행한다. 이때, 상기 악성 도메인 관리 서버(100)는 상기 TMS 매니저(220)와 통신하여 악성 도메인에 대한 정보를 분석 및 비교하고 관련 정보를 TMS 센서(210)로 제공한다. 특히, 본 발명의 실시예에 따라 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 상기 TMS 센서(210)로 하여금 악성 도메인을 탐지하도록 한다. 상기 악성 도메인 관리 서버(100)의 세부 구성은 도 3의 설명에서 후술하기로 한다First, the malicious domain management server 100 collects malicious domain information by input or automatic collection of an administrator as described above with reference to FIG. 1, and manages, maintains, analyzes, or examines information on the collected malicious domains . At this time, the malicious domain management server 100 communicates with the TMS manager 220 to analyze and compare malicious domain information and provide related information to the TMS sensor 210. In particular, a detection rule for each malicious domain is automatically generated according to an embodiment of the present invention, and the TMS sensor 210 detects a malicious domain. The detailed configuration of the malicious domain management server 100 will be described later with reference to FIG. 3

상기 도 1에서도 설명한 바와 같이, 특정 서버에서 전송된 사용자 단말(180)을 목적지로 하는 패킷은 인터넷(110)을 통해 라우터(120), 방화벽(130), 내부망 스위치(160), 회사 인트라넷(170)을 거쳐 회사 내의 각 사용자 단말(180)로 전송될 수 있다. 이때, 본 발명의 실시예에 따라 TMS 센서(210)에서는 상기 전송되는 패킷을 분석하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 코드가 포함되어 있을 경우, 사용자에게 경고를 하게 된다.1, a packet destined for a user terminal 180 transmitted from a specific server is transmitted to the router 120, the firewall 130, the internal network switch 160, the corporate intranet 170 to each user terminal 180 within the company. At this time, according to the embodiment of the present invention, when the TMS sensor 210 analyzes the transmitted packet to request a malicious page or download a malicious file, the TMS sensor 210 alerts the user.

즉, TMS 센서(210)는 네트워크상에서 전송되는 패킷을 검사하여 링크를 추출하고, 이를 악성 도메인 리스트와 비교함으로써 사용자에게 통보하는 역할을 수행하며, 이와 관련된 IP, MAC, 호스트 정보, 패턴 정보 등을 제공한다. 상기 TMS 센서(210)에 대한 세부적인 내용은 도 4의 설명에서 후술하기로 한다.That is, the TMS sensor 210 inspects a packet transmitted on the network, extracts a link, compares the extracted packet with a malicious domain list, notifies the user of the malicious domain list, and stores the IP, MAC, host information, to provide. The details of the TMS sensor 210 will be described later with reference to FIG.

TMS 매니저(220)는 TMS 센서(210)를 통해 분석된 패킷에 대해 악성 도메인 관리 서버(100)와 비교된 정보를 사용자에게 UI(User Interface; 사용자 인턴페이스) 등을 통해서 제공한다. 이때, 제공되는 정보로는 IP, MAC, 사용자 인터넷 사용 기록 등이 포함될 수 있다. 상기 TMS 매니저(220)의 세부 구성은 도 5의 설명에서 후술하기로 한다.The TMS manager 220 provides the user with information compared to the malicious domain management server 100 with respect to the packet analyzed through the TMS sensor 210 through a user interface (UI). At this time, the provided information may include IP, MAC, user Internet usage record, and the like. The detailed configuration of the TMS manager 220 will be described later in the description of FIG.

한편, 도 2에 따르면, TMS 센서(210)에서는 네트워크상에서 전송되는 모든 패킷들을 후술하는 방법에 따라 검사한다. 이때, 상기 TMS 매니저(220)에서는 먼저 악성 도메인 관리 서버(100)로 각 악성 도메인에 대한 관련 정보를 요청(①)한다. 이에 따라, 상기 악성 도메인 관리 서버(100)는 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 TMS 매니저(220)로 제공(②)한다. 또한, 다른 방법으로서, 상기 TMS 매니저(220)는 상기 악성 도메인 관리 서버(100)로부터 악성 도메인에 대한 정보를 요청하여 수신하고, 해당 악성 도메인의 탐지룰을 자동으로 생성(③)하도록 구현하는 것도 가능하다. 이와 같이 자동으로 생성된 악성 도메인에 대한 탐지룰은 TMS 센서(210)로 제공(④)되며, TMS 센서(210)에서는 자동 생성된 탐지룰에 의해 전송되는 패킷에 포함된 악성 도메인 정보를 검출하게 된다.2, the TMS sensor 210 checks all packets transmitted on the network according to a method described later. At this time, the TMS manager 220 first requests the malicious domain management server 100 for information related to each malicious domain (①). Accordingly, the malicious domain management server 100 automatically generates a detection rule for each malicious domain and provides the detection rule to the TMS manager 220 (2). Alternatively, the TMS manager 220 may be configured to request and receive malicious domain information from the malicious domain management server 100 and automatically generate a detection rule for the malicious domain (3) It is possible. The detection rule for the malicious domain thus generated is provided to the TMS sensor 210 (4), and the TMS sensor 210 detects the malicious domain information included in the packet transmitted by the automatically generated detection rule do.

이때, 상기 악성 도메인 탐지를 위한 자동 룰 생성 방법은 상기 도 1의 설명에서 상술한 바와 같다.At this time, the automatic rule generation method for malicious domain detection is as described in the description of FIG.

이와 같이, TMS 센서(210)에서 상기 악성 도메인 탐지룰에 의해 악성 도메인이 탐지되면, 상기 탐지 결과를 TMS 매니저(220)로 전송한다. 상기 TMS 매니저(220)는 상기 탐지 결과를 참조하여 보안 정책을 적용한다. 예컨대, 내부망 스위치(160)를 제어하여 특정 패킷이 회사 인트라넷(170) 내부로 유입되는 것을 차단할 수가 있다.As described above, if the malicious domain is detected by the malicious domain detection rule in the TMS sensor 210, the detection result is transmitted to the TMS manager 220. The TMS manager 220 applies a security policy by referring to the detection result. For example, the internal network switch 160 may be controlled to block specific packets from entering the corporate intranet 170.

이하, 도 3 내지 도 5를 참조하여 도 1 및 도 2를 구성하는 시스템의 각 구성요소들의 세부 구조를 상세히 설명한다. 한편, 후술하는 설명에서는 도 2에 포함된 구성요소들(예컨대, 악성 도메인 관리 서버(100), TMS 센서(210), TMS 매니저(220) 등)에 대해 설명하며, 도 1에 포함된 구성요소들(예컨대, 악성 도메인 관리 서버(100), MDDS 센서(140), MDDS 매니저(150) 등)의 기능들은 상기 도 2의 구성요소들에 부분 또는 전체적으로 포함되어 구성될 수 있다.Hereinafter, the detailed structure of each component of the system constituting Figs. 1 and 2 will be described in detail with reference to Figs. 3 to 5. Fig. In the following description, the components (for example, malicious domain management server 100, TMS sensor 210, TMS manager 220, etc.) included in FIG. 2 are described, The malicious domain management server 100, the MDDS sensor 140, the MDDS manager 150, and the like) may be partially or wholly included in the components of FIG.

악성 도메인 관리 서버는 다음과 같다. The malicious domain management server is as follows.

도 3은 본 발명의 실시예에 따른 악성 도메인 관리 서버의 세부 구성을 나타내는 도면이다. 도 3을 참조하면, 본 발명의 실시예에 따른 악성 도메인 관리 서버(100)는 악성 도메인 수집부(310), 악성 도메인 입력부(320), 악성 도메인 분석부(330), 악성 도메인 정보 데이터베이스(340), 도메인 리스트 분류부(350), 도메인 활성화 검사부(360) 및 도메인 국가 판별부(370) 등을 포함하여 구성될 수 있다.3 is a diagram illustrating a detailed configuration of a malicious domain management server according to an embodiment of the present invention. 3, the malicious domain management server 100 according to the embodiment of the present invention includes a malicious domain collecting unit 310, a malicious domain input unit 320, a malicious domain analysis unit 330, a malicious domain information database 340 A domain list classifying unit 350, a domain activation checking unit 360, and a domain country discriminating unit 370, for example.

악성 도메인 수집부(310)는 악성 도메인의 목록을 다양한 방법에 의해 수집한다. 예컨대, 악성 도메인 공개 사이트를 통해 등록할 수도 있으며, 각종 악성 도메인 수집 업체를 통해 제공받을 수도 있다. 또한, 예컨대, TMS에서 제공하는 블랙리스트 URL을 등록할 수도 있다The malicious domain collection unit 310 collects the list of malicious domains by various methods. For example, the malicious domain may be registered through a public domain or may be provided through various malicious domain collectors. Also, for example, a blacklist URL provided by the TMS may be registered

한편, 악성 도메인 등록부(320)는 사용자에 의해 입력된 악성 도메인을 입력받아 등록하며, 이때 상기 사용자가 등록한 악성 도메인은 시스템 내에서의 검증을 거쳐 등록하게 된다.Meanwhile, the malicious domain registration unit 320 receives and registers the malicious domain inputted by the user. At this time, the malicious domain registered by the user is registered in the system after being verified.

이와 같이, 상기 악성 도메인 수집부(310) 및 악성 도메인 등록부(320)에 의해 수집 또는 등록된 각 도메인은 악성 도메인 분석부(330)에 의해 상기 도메인이 악성 도메인인지를 판별한다. 이때, 상기 도메인의 악성 도메인 여부를 판별하는 방법은 다양하게 구현할 수 있으며, 예컨대, 외부의 자동 분석 서버(380)를 통해 분석할 수 있다. 또한, 다른 방법으로 악성 도메인 관리 서버(100) 내에서 분석되도록 구현하는 것도 가능하다. 이와 같이, 각 도메인에 대한 분석이 완료되면, 분석된 악성 도메인 정보는 악성 도메인 정보 데이터베이스(340)에 저장된다.Each domain collected or registered by the malicious domain collecting unit 310 and the malicious domain registration unit 320 is determined by the malicious domain analysis unit 330 whether the domain is a malicious domain. At this time, a method for determining whether or not the domain is a malicious domain can be variously implemented. For example, it can be analyzed through an external automatic analysis server 380. It is also possible to implement the malicious domain management server 100 as an alternative method. When the analysis for each domain is completed, the analyzed malicious domain information is stored in the malicious domain information database 340.

또한, 상기 저장된 악성 도메인은 도메인 리스트 분류부(350)를 통해 복수의 종류로 분류되어 저장될 수 있다. 예컨대, 악성 도메인의 예로서 봇넷, IRC, zeus, 악성코드 다운, C&C 서버, js 등으로 분류될 수 있다.In addition, the stored malicious domains may be classified into a plurality of types through the domain list classifier 350 and stored. For example, malicious domains can be classified into botnets, IRCs, zeus, malware downloads, C & C servers, and js.

또한, 상기 저장된 악성 도메인은 실제로 동작하고 있는 도메인들인지를 판별할 수 있다. 즉, 도메인 활성화 검사부(360)에서는 각 해당 도메인에 주기적으로 실체 요청을 하고, 응답되는 정보를 확인함으로써 각 도메인의 활성화 상태를 검사하게 된다. 상기 검사에 따라 비활성화된 도메인은 상기 악성 도메인 정보 데이터베이스(340)에서 삭제할 수도 있다.In addition, it is possible to determine whether the stored malicious domain is actually operating domains. That is, the domain activation check unit 360 periodically requests the corresponding domains to check the activation status of each domain by checking the information to be responded. The domain that is inactivated according to the inspection may be deleted from the malicious domain information database 340.

한편, 도메인 국가 판별부(370)에서는 상기 악성 도메인 정보 데이터베이스(340)에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단한다. 이때, 상기 도메인 국가 판별부(370)에서는 'whois', 도메인 조회 사이트 등과 같이 국가 정보가 제공되는 국가 판별 서버(390)를 통해 판별할 수가 있다.Meanwhile, the domain country discrimination unit 370 determines in which country each malicious domain stored in the malicious domain information database 340 is located. At this time, the domain country discrimination unit 370 can discriminate through the country discrimination server 390 provided with country information such as 'whois', domain inquiry site and the like.

TMS 센서는 다음과 같다. The TMS sensor is as follows.

도 4는 본 발명의 실시예에 따른 TMS 센서의 세부 구성을 나타내는 도면이다. 도 4를 참조하면, 본 발명의 실시예에 따른 TMS 센서(210)는 패킷 수집 드라이버(410), 패킷 파싱부(420), 패킷 분석부(430), 링크 정보 요청부(440), 탐지룰 수신부(450), 악성 도메인 검사부(460) 및 결과 처리부(470)를 포함하여 구성될 수 있다.4 is a view showing a detailed configuration of a TMS sensor according to an embodiment of the present invention. 4, a TMS sensor 210 according to an embodiment of the present invention includes a packet collection driver 410, a packet parser 420, a packet analyzer 430, a link information requestor 440, A receiving unit 450, a malicious domain checking unit 460, and a result processing unit 470.

패킷 수집 드라이버(410)는 네트워크상에서 전송되는 패킷 데이터를 수집하는 기능을 수행한다. 패킷 파싱부(420)는 상기 패킷 수집 드라이버(410)에서 수집된 패킷을 파싱하는 기능을 수행한다. 패킷 분석부(430)는 상기 패킷 파싱부(420)에서 파싱된 패킷을 분석하는 기능을 수행한다.The packet collection driver 410 collects packet data transmitted over the network. The packet parsing unit 420 parses the packet collected by the packet collection driver 410. The packet analyzer 430 analyzes the packet parsed by the packet parser 420.

이때, 상기 패킷 분석부(430)는 다양한 분석 방법에 의해 패킷을 분석할 수 있다. 따라서, 상기 패킷 분석부(430)는 URL 추출부(431), 링크 정보 추출부(432), 응답 링크 추출부(433), 코드 내용 링크 추출부(434), XSS 응답 링크 검사부(435) 등을 포함하여 구성될 수 있다.At this time, the packet analyzer 430 can analyze packets by various analysis methods. Accordingly, the packet analyzer 430 includes a URL extractor 431, a link information extractor 432, a response link extractor 433, a code content link extractor 434, an XSS response link checker 435, As shown in FIG.

상기 URL 추출부(431)는 상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 기능을 수행한다. 링크 정보 추출부(432)는 HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사한다.The URL extracting unit 431 extracts URL information from the request information included in the collected packets. The link information extracting unit 432 extracts all the link information from the data excluding the header of the HTTP packet and checks whether the domain of the link is a malicious domain.

또한, 응답 링크 추출부(433)는 단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사한다. 코드 내용 추출부(434)는 응답코드의 내용에서 링크를 추출하여 검사한다. XSS 응답 링크 검사부(435)는 요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사한다.The response link extracting unit 433 extracts and inspects the link in the redirect response based on the shortened URL request. The code content extracting unit 434 extracts a link from the content of the response code and inspects it. The XSS response link checking unit 435 checks whether a response is received in response to the XSS action when there is a request.

이와 같이, 상기 패킷 분석부(430)에 의한 패킷 분석이 완료되면, 상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 악성 도메인 관리 서버(100), 또는 TMS 매니저(220)로 요청한다. 상기 요청에 따라 탐지룰 수신부(450)에서는 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신한다. 그런 다음, 악성 도메인 검사부(460)에서는 상기 수신된 탐지룰에 의해 악성 도메인을 검사하고, 결과 처리부(470)를 통해 검사 결과를 처리한다. 예컨대, 상기 악성 도메인 검사 결과 악성 도메인임을 알람으로써 TMS 매니저(220) 등에 통보할 수 있다.When the packet analysis by the packet analyzer 430 is completed, the malicious domain management server 100 or the TMS manager 220 requests domain information corresponding to the extracted link information. In response to the request, the detection rule receiving unit 450 receives the detection rule information that is automatically generated corresponding to the corresponding domain information. Then, the malicious domain checking unit 460 examines the malicious domain according to the received detection rule, and processes the inspection result through the result processing unit 470. For example, as a result of the malicious domain inspection, the TMS manager 220 can be notified of the malicious domain as an alarm.

TMS 매니저는 다음과 같다. The TMS manager is as follows.

도 5는 본 발명의 실시예에 따른 TMS 매니저의 세부 구성을 나타내는 도면이다. 도 5를 참조하면, 본 발명의 실시예에 따른 TMS 매니저(220)는 분석 정보 수신부(510), 패킷 분석 정보 데이터베이스(520), UI 정보 생성부(530), 정보 요청 수신부(540) 등을 포함하여 구성될 수 있다.5 is a diagram illustrating a detailed configuration of a TMS manager according to an embodiment of the present invention. 5, the TMS manager 220 according to an embodiment of the present invention includes an analysis information receiving unit 510, a packet analysis information database 520, a UI information generating unit 530, an information request receiving unit 540, And the like.

분석 정보 수신부(510)는 상기 TMS 센서(210)에 의해 분석된 정보를 패킷 분석 정보 데이터베이스(520)에 저장된다.The analysis information receiving unit 510 stores the information analyzed by the TMS sensor 210 in the packet analysis information database 520.

이때, 정보 요청 수신부(540)에서는 사용자 단말(180)로부터 입력된 분석 결과에 대한 정보 요청을 수신하고, UI 정보 생성부(530)에서는 상기 정보 요청 수신부(540)에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스(520)에 저장된 패킷 분석 정보를 다양한 형태로 사용자 단말(180)로 제공하게 된다.At this time, the information request receiving unit 540 receives the information request about the analysis result inputted from the user terminal 180, and the UI information generating unit 530 generates the UI information according to the information request received from the information request receiving unit 540 And provides the packet analysis information stored in the packet analysis information database 520 to the user terminal 180 in various forms.

이상으로, 도 3 내지 도 5를 참조하여 본 발명의 실시예에 따른 각 장치의 세부 구조를 설명하였다. 한편, 상기에서는 도 2에 도시된 TMS 센서(210) 및 TMS 매니저(220)의 세부 기능들을 설명하였으나, 본 발명의 다른 실시예에 따라 상기 도 1의 MDDS 센서(140) 및 MDDS 매니저(150)의 기능들을 전체 또는 부분적으로 포함할 수 있다.The detailed structure of each device according to the embodiment of the present invention has been described with reference to FIGS. 3 to 5. FIG. Although the detailed functions of the TMS sensor 210 and the TMS manager 220 shown in FIG. 2 have been described above, according to another embodiment of the present invention, the MDDS sensor 140 and the MDDS manager 150 of FIG. May include, in whole or in part, the functions of < RTI ID = 0.0 >

이하, 도 6을 참조하여, 악성 도메인 탐지 절차를 상세히 설명한다.Hereinafter, the malicious domain detection procedure will be described in detail with reference to FIG.

악성 도메인 탐지 절차는 다음과 같다. The malicious domain detection procedure is as follows.

도 6은 본 발명의 실시예에 따른 악성 도메인 탐지 절차를 나타내는 신호 흐름도이다. 도 6을 참조하면, 먼저 악성 도메인 관리 서버(100)에서는 악성 도메인 정보를 수집하여 데이터베이스에 저장(S601)한다. 이때, 상술한 바와 같이 수집된 악성 도메인에 대한 분류를 더 수행할 수 있으며, 도메인의 활성화 여부를 검사하거나 도메인의 국가를 판별하여 정보를 저장할 수 있다.6 is a signal flow diagram illustrating a malicious domain detection procedure according to an embodiment of the present invention. Referring to FIG. 6, the malicious domain management server 100 first collects malicious domain information and stores it in a database (S601). At this time, it is possible to further classify the collected malicious domain as described above, to check whether the domain is activated or to store the information by determining the country of the domain.

다음으로, TMS 매니저(220)에서 상기 악성 도메인 관리 서버(100)로 악성 도메인 정보를 요청(S602)하면, 상기 악성 도메인 관리 서버(100)에서는 상기 요청에 따라 상기 저장된 악성 도메인 정보를 TMS 매니저(220)로 제공(S603)한다. 이때, 상기 악성 도메인 관련 정보의 제공은 상기와 같이 TMS 매니저(220)의 요청에 따라 제공될 수도 있으며, 설정된 다양한 방식에 따라 주기적 또는 비주기적으로 제공될 수도 있다.Next, when the TMS manager 220 requests malicious domain information from the malicious domain management server 100 (S602), the malicious domain management server 100 transmits the stored malicious domain information to the TMS manager 100 220 (S603). At this time, provision of the malicious domain related information may be provided according to a request of the TMS manager 220 as described above, or may be periodically or non-periodically provided according to various methods set.

한편, TMS 센서(210)에서는 네트워크상에서 전송되는 패킷을 실시간으로 추출하여 분석(S604)을 하게 된다. 이때, 상기 TMS 센서(210)에서는 TMS 매니저(220)로 링크 정보를 요청(S605)하고, 상기 TMS 매니저(220)에서는 상기 요청에 따라 해당 도메인 정보로 탐지룰을 자동으로 생성(S606)한다. 상기 생성된 탐지룰은 TMS 매니저(220)에서 TMS 센서(210)로 전송(S607)되며, 상기 TMS 센서(210)에서는 상기 전송된 탐지룰을 적용하여 악성 도메인을 검사(S608)한다.Meanwhile, in the TMS sensor 210, packets transmitted on the network are extracted in real time and analyzed (S604). At this time, the TMS sensor 210 requests link information to the TMS manager 220 (S605), and the TMS manager 220 automatically generates a detection rule using the corresponding domain information in response to the request (S606). The generated detection rule is transmitted from the TMS manager 220 to the TMS sensor 210 in step S607 and the TMS sensor 210 checks the malicious domain by applying the transmitted detection rule in step S608.

이와 같이, TMS 센서(210)에서 탐지룰에 의해 악성 도메인 검사가 완료되면, 탐지 결과가 TMS 매니저(220)로 전송(S609)된다. TMS 매니저(220)에서는 상기 전송된 탐지 결과를 데이터베이스에 저장(S10)한다.When the malicious domain inspection is completed by the detection rule in the TMS sensor 210, the detection result is transmitted to the TMS manager 220 (S609). The TMS manager 220 stores the transmitted detection result in the database (S10).

이때, 사용자 단말(180)에서는 상기 TMS 매니저(220)로 도메인 정보를 요청(S611)하면, TMS 매니저(220)에서는 해당 요청된 도메인에 대한 정보를 검색(S612)하여 사용자 단말로 전송(S613)한다. 사용자 단말(180)에서는 요청에 따른 결과로 도메인 관련 정보를 디스플레이(S614)한다.At this time, if the user terminal 180 requests domain information from the TMS manager 220 in operation S611, the TMS manager 220 searches for information on the requested domain in operation S612 and transmits the domain information to the user terminal in operation S613. do. The user terminal 180 displays domain related information as a result of the request (S614).

한편, 본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(megneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동되도록 구성될 수 있으며, 그 역도 마찬가지다. Meanwhile, the embodiments according to the present invention may be embodied in the form of program instructions that may be executed by various computer means and may be recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as a hard disk, a floppy disk, and a magnetic tape; optical media such as CD-ROM and DVD; magnetic recording media such as a floppy disk; Includes hardware devices specifically configured to store and perform program instructions such as megneto-optical media and ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described by specific embodiments such as specific components and the like. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

100 : 악성 도메인 관리 서버 110 : 인터넷 네트워크
120 : 라우터 130 : 방화벽
140 : MDDS 센서 150 : MDDS 매니저
160 : 내부망 스위치 170 : 회사 인트라넷
180 : 사용자 단말 210 : TMS 센서
220 : TMS 매니저 310 : 악성 도메인 수집부
320 : 악성 도메인 입력부 330 : 악성 도메인 분석부
340 : 악성 도메인 정보 D/B 350 : 도메인 리스트 분류부
360 : 도메인 활성화 검사부 370 : 도메인 국가 판별부
380 : 자동 분석 서버 390 : 국가 판별 서버
410 : 패킷 수집 드라이버 420 : 패킷 파싱부
430 : 패킷 분석부 431 : URL 추출부
432 : 링크 정보 추출부 433 : 응답 링크 추출부
434 : 코드 내용 링크 추출부 435 : XSS 응답 링크 검사부
440 : 링크 정보 요청부 450 : 탐지룰 수신부
460 : 악성 도메인 검사부 470 : 결과 처리부
510 : 분석 정보 수신부 520 : 패킷 분석 정보 D/B
530 : UI 정보 생성부 540 : 정보 요청 수신부100: malicious domain management server 110: internet network
120: Router 130: Firewall
140: MDDS sensor 150: MDDS manager
160: Internal network switch 170: Company intranet
180: user terminal 210: TMS sensor
220: TMS manager 310: malicious domain collector
320: malicious domain input unit 330: malicious domain analysis unit
340: malicious domain information D / B 350:
360: Domain Activation Inspection Unit 370: Domain Country Identification Unit
380: Automatic analysis server 390: Country identification server
410: Packet collection driver 420: Packet parsing unit
430: packet analyzing unit 431: URL extracting unit
432: Link information extracting unit 433: Response link extracting unit
434: code content link extracting unit 435: XSS response link checking unit
440: Link information requesting unit 450: Detection rule receiving unit
460: malicious domain checking unit 470: result processing unit
510: Analysis information receiving unit 520: Packet analysis information D / B
530: UI information generating unit 540: Information request receiving unit

Claims (15)

관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버;
상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및
상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함하는, 악성 도메인 탐지 시스템.
A malicious domain management server for collecting malicious domain information by input or automatic collection of an administrator and managing, maintaining, analyzing or examining information on the collected malicious domain;
A threat management system manager for receiving malicious domain information from the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And
And a threat management system sensor that receives the generated malicious domain detection rule from the threat management system manager and detects whether the malicious domain related link information is included in a packet transmitted on a network.
청구항 1에 있어서, 상기 악성 도메인 탐지룰은,
액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현되는, 악성 도메인 탐지 시스템.
The malicious domain detection method according to claim 1,
A malicious domain detection system implemented in the form of 'snort' which includes action, protocol, sender IP, sender port, receiver IP, receiver port and content of detection rules.
청구항 1에 있어서, 상기 악성 도메인 관리 서버는,
적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부;
사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부;
상기 악성 도메인 수집부 및 악성 도메인 등록부에 의해 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 악성 도메인 분석부;
상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 도메인 리스트 분류부;
상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부; 및
상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 도메인 국가 판별부를 포함하는, 악성 도메인 탐지 시스템.
The malicious domain management server according to claim 1,
A malicious domain collecting unit collecting a malicious domain list by at least one method and storing the collected malicious domain list in a malicious domain information database;
A malicious domain registration unit for receiving a malicious domain input by a user and performing verification and registering the malicious domain in the malicious domain information database;
A malicious domain analysis unit for determining whether each domain collected or registered by the malicious domain collecting unit and the malicious domain registering unit is malicious domain;
A domain list classifying unit for classifying malicious domains stored in the malicious domain information database into a plurality of types;
A domain activation checker to check whether each domain stored in the malicious domain information database is in an activated state; And
And a domain country determination unit for determining in which country each malicious domain stored in the malicious domain information database is located.
청구항 1에 있어서, 상기 위협 관리 시스템 매니저는,
상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 분석 정보 수신부;
사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 정보 요청 수신부; 및
상기 정보 요청 수신부에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 UI 정보 생성부를 포함하는, 악성 도메인 탐지 시스템.
The threat management system according to claim 1,
An analysis information receiver for storing information analyzed by the threat management system sensor in a packet analysis information database;
An information request receiving unit for receiving an information request for an analysis result input from a user terminal; And
And a UI information generator for providing packet analysis information stored in the packet analysis information database to the user terminal according to an information request received from the information request receiving unit.
청구항 1에 있어서, 상기 위협 관리 시스템 센서는,
네트워크상에서 전송되는 패킷 데이터를 수집하는 패킷 수집 드라이버;
상기 패킷 수집 드라이버에서 수집된 패킷을 파싱하는 패킷 파싱부;
상기 패킷 파싱부에서 파싱된 패킷을 분석하는 패킷 분석부;
상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 링크 정보 요청부;
상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 탐지룰 수신부; 및
상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 악성 도메인 검사부를 포함하는, 악성 도메인 탐지 시스템.
The system of claim 1, wherein the threat management system sensor comprises:
A packet collection driver for collecting packet data transmitted over a network;
A packet parser for parsing packets collected by the packet collection driver;
A packet analyzer for analyzing the packet parsed by the packet parser;
A link information request unit for requesting the threat management system manager for domain information corresponding to the extracted link information as a result of the analysis;
A detection rule receiving unit for receiving detection rule information automatically generated corresponding to the corresponding domain information from the threat management system manager according to the request; And
And a malicious domain checking unit for checking the malicious domain by the received detection rule.
청구항 5에 있어서, 상기 패킷 분석부는,
상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 URL 추출부;
HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 링크 정보 추출부;
단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 응답 링크 추출부;
응답코드의 내용에서 링크를 추출하여 검사하는 내용 추출부; 및
요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 XSS 응답 링크 검사부를 포함하는, 악성 도메인 탐지 시스템.
The packet analyzing apparatus according to claim 5,
A URL extracting unit for extracting URL information from the request information included in the collected packet;
A link information extracting unit for extracting all the link information from the data excluding the header of the HTTP packet and checking whether the domain of the link is a malicious domain;
A response link extracting unit for extracting and inspecting a link in a redirect response based on a shortened URL request;
A content extracting unit for extracting and inspecting a link from the content of the response code; And
And an XSS response link checking unit for checking whether an XSS action is requested in response to the response when there is an XSS action upon request.
관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버;
상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 악성 도메인 탐지 시스템 센서; 및
상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 악성 도메인 탐지 시스템 매니저를 포함하는, 악성 도메인 탐지 시스템.
A malicious domain management server for collecting malicious domain information by input or automatic collection of an administrator and managing, maintaining, analyzing or examining information on the collected malicious domain;
A malicious domain detection rule is provided to the malicious domain management server and malicious domain detection rules are automatically generated from information on the malicious domain, A malicious domain detection system sensor for detecting whether or not link information is included; And
And a malicious domain detection system manager which receives a result detected by the malicious domain detection system sensor and provides the detected result to the user terminal in response to a request of a user terminal.
악성 도메인 관리 서버에서 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하는 단계;
위협 관리 시스템 매니저에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 단계; 및
위협 관리 시스템 센서에서 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계를 포함하는, 악성 도메인 탐지 방법.
Collecting information on a malicious domain by inputting or automatic collection of an administrator from the malicious domain management server;
Receiving a malicious domain information from the threat management system manager to the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And
And receiving, by the threat management system sensor, the generated malicious domain detection rule from the threat management system manager and detecting whether the malicious domain related link information is included in a packet transmitted on a network.
청구항 8에 있어서, 상기 악성 도메인 탐지룰은,
액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현되는, 악성 도메인 탐지 방법.
9. The method of claim 8,
Wherein the malicious domain is implemented in the form of 'snort', including action, protocol, sender IP, sender port, receiver IP, receiver port and content of detection rules.
청구항 8에 있어서, 상기 악성 도메인 관리 서버의 악성 도메인에 대한 정보를 수집하는 단계는,
적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 단계;
사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 단계;
상기 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 단계;
상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 단계;
상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 단계; 및
상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 단계를 포함하는, 악성 도메인 탐지 방법.
The method according to claim 8, wherein the step of collecting information on malicious domains of the malicious domain management server comprises:
Collecting a malicious domain list in at least one method and storing the malicious domain list in a malicious domain information database;
Inputting a malicious domain inputted by a user and performing verification and registering the malicious domain in the malicious domain information database;
Determining whether the collected or registered domains are malicious domains;
Classifying malicious domains stored in the malicious domain information database into a plurality of types;
Checking whether each domain stored in the malicious domain information database is in an active state; And
And determining in which country each malicious domain stored in the malicious domain information database is located.
청구항 8에 있어서, 상기 위협 관리 시스템 매니저의 악성 도메인 탐지룰을 자동으로 생성하는 단계는,
상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 단계;
사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 단계; 및
상기 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 단계를 포함하는, 악성 도메인 탐지 방법.
9. The method of claim 8, wherein automatically generating a malicious domain detection rule of the threat management system manager comprises:
Storing information analyzed by the threat management system sensor in a packet analysis information database;
Receiving an information request for an analysis result input from a user terminal; And
And providing packet analysis information stored in the packet analysis information database to the user terminal in response to the received information request.
청구항 8에 있어서, 상기 위협 관리 시스템 센서의 탐지하는 단계는,
네트워크상에서 전송되는 패킷 데이터를 수집하는 단계;
상기 수집된 패킷을 파싱하는 단계;
상기 파싱된 패킷을 분석하는 단계;
상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 단계;
상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 단계; 및
상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 단계를 포함하는, 악성 도메인 탐지 방법.
9. The method of claim 8, wherein the detecting of the threat management system sensor comprises:
Collecting packet data transmitted over a network;
Parsing the collected packets;
Analyzing the parsed packet;
Requesting the threat management system manager for domain information corresponding to the extracted link information as a result of the analysis;
Receiving detection rule information automatically generated corresponding to the corresponding domain information from the threat management system manager according to the request; And
And checking the malicious domain by the received detection rule.
청구항 12에 있어서, 상기 패킷을 분석하는 단계는,
상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 단계;
HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 단계;
단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 단계;
응답코드의 내용에서 링크를 추출하여 검사하는 단계; 및
요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 단계를 포함하는, 악성 도메인 탐지 방법.
13. The method of claim 12, wherein analyzing the packet comprises:
Extracting URL information from the request information included in the collected packet;
Extracting all the link information from the data excluding the header of the HTTP packet and checking whether the domain of the link is a malicious domain;
Extracting and inspecting a link in a redirect response based on the shortened URL request;
Extracting a link from the contents of the response code and inspecting the link; And
And if so, checking if a response is made in response to an XSS action upon request.
악성 도메인 관리 서버에 의해 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 단계;
악성 도메인 탐지 시스템 센서에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계; 및
악성 도메인 탐지 시스템 매니저에서, 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 단계를 포함하는, 악성 도메인 탐지 방법.
Collecting information on malicious domains by an administrator's input or automatic collection by a malicious domain management server, and managing, maintaining, analyzing, or inspecting the collected malicious domains;
The malicious domain detection system sensor receives malicious domain information from the malicious domain management server, automatically generates a malicious domain detection rule from the malicious domain information, and transmits the malicious domain detection rule Detecting whether malicious domain related link information is included in the packet; And
Receiving a result detected by the malicious domain detection system sensor in the malicious domain detection system manager, and providing the detected result to the user terminal according to a request of the user terminal.
청구항 8 내지 청구항 14 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터 판독 가능한 기록 매체.A computer-readable recording medium in which a program for executing the method of any one of claims 8 to 14 is recorded.
KR1020120026387A 2012-03-15 2012-03-15 System, method and computer readable recording medium for detecting a malicious domain KR101398740B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120026387A KR101398740B1 (en) 2012-03-15 2012-03-15 System, method and computer readable recording medium for detecting a malicious domain

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120026387A KR101398740B1 (en) 2012-03-15 2012-03-15 System, method and computer readable recording medium for detecting a malicious domain

Publications (2)

Publication Number Publication Date
KR20130105769A true KR20130105769A (en) 2013-09-26
KR101398740B1 KR101398740B1 (en) 2014-05-27

Family

ID=49454022

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120026387A KR101398740B1 (en) 2012-03-15 2012-03-15 System, method and computer readable recording medium for detecting a malicious domain

Country Status (1)

Country Link
KR (1) KR101398740B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101443071B1 (en) * 2013-12-10 2014-09-22 주식회사 브이시스템즈 Error Check System of Webpage
CN107786575A (en) * 2017-11-11 2018-03-09 北京信息科技大学 A kind of adaptive malice domain name detection method based on DNS flows
CN112861132A (en) * 2021-02-08 2021-05-28 杭州迪普科技股份有限公司 Cooperative protection method and device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102336384B1 (en) 2020-11-11 2021-12-07 인천대학교 산학협력단 AUTOMATIC DETECTION OF MALICIOUS URL ON THE INTERNET OF THINGS (IoT)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110129020A (en) * 2010-05-25 2011-12-01 (주)위너다임 Malicious code prevention system using code analysis technique and method for operating the system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101443071B1 (en) * 2013-12-10 2014-09-22 주식회사 브이시스템즈 Error Check System of Webpage
CN107786575A (en) * 2017-11-11 2018-03-09 北京信息科技大学 A kind of adaptive malice domain name detection method based on DNS flows
CN107786575B (en) * 2017-11-11 2020-07-10 北京信息科技大学 DNS flow-based self-adaptive malicious domain name detection method
CN112861132A (en) * 2021-02-08 2021-05-28 杭州迪普科技股份有限公司 Cooperative protection method and device

Also Published As

Publication number Publication date
KR101398740B1 (en) 2014-05-27

Similar Documents

Publication Publication Date Title
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US9762543B2 (en) Using DNS communications to filter domain names
US10855700B1 (en) Post-intrusion detection of cyber-attacks during lateral movement within networks
US8375120B2 (en) Domain name system security network
KR101391781B1 (en) Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction
WO2014129587A1 (en) Network monitoring device, network monitoring method, and network monitoring program
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
EP1730917A1 (en) Method and system for network intrusion detection, related network and computer program product
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
JP2017016674A (en) Illegal access detection and processing system, device, method, and computer readable recording medium
KR101398740B1 (en) System, method and computer readable recording medium for detecting a malicious domain
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR101045330B1 (en) Method for detecting http botnet based on network
Xiong et al. User-assisted host-based detection of outbound malware traffic
KR20130116418A (en) Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
WO2015097889A1 (en) Information processing device, information processing method, and program
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
JP6007308B1 (en) Information processing apparatus, information processing method, and program
KR101851680B1 (en) System, apparatus, method and computer readable recording medium for detecting and treating illegal access
US20230362176A1 (en) System and method for locating dga compromised ip addresses
JP6105792B1 (en) Information processing apparatus, information processing method, and program
JP6063593B1 (en) Information processing apparatus, information processing method, and program

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170524

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180515

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190429

Year of fee payment: 6