KR20130105769A - System, method and computer readable recording medium for detecting a malicious domain - Google Patents
System, method and computer readable recording medium for detecting a malicious domain Download PDFInfo
- Publication number
- KR20130105769A KR20130105769A KR1020120026387A KR20120026387A KR20130105769A KR 20130105769 A KR20130105769 A KR 20130105769A KR 1020120026387 A KR1020120026387 A KR 1020120026387A KR 20120026387 A KR20120026387 A KR 20120026387A KR 20130105769 A KR20130105769 A KR 20130105769A
- Authority
- KR
- South Korea
- Prior art keywords
- malicious domain
- information
- malicious
- domain
- packet
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
Description
본 발명은 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것으로, 보다 상세하게는 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위를 탐지하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체에 관한 것이다.The present invention relates to a malicious domain detection system, method and computer-readable recording medium, and more particularly, to a malicious domain detection system and method for detecting malicious domain request behavior by collecting and updating malicious domain information, .
일반적으로 인터넷은 전세계 어디서나, 누구나 접속하고자 하는 상대편 컴퓨터에 TCP/IP 라는 공통의 프로토콜을 적용하여 자유롭게 연결하여 사용할 수 있도록 구성된 개방형 네트워크로서, 기본적인 문자정보의 전달은 물론 압축기술의 발전과 더불어 멀티미디어 정보의 전달에 이용되는 등 전자우편, 파일전송, WWW(World Wide Web) 등의 다양한 서비스를 이용할 수 있다.In general, the Internet is an open network configured to freely connect and use a common protocol called TCP / IP to a remote computer to be accessed anywhere in the world and to anyone. It is an open network that not only transmits basic character information but also develops compression technology, And various services such as e-mail, file transfer, and World Wide Web (WWW), which are used for delivering the service, can be used.
이와 같은 인터넷은 국내를 비롯하여 세계적으로 사용이 급격하게 증가되면서 기존 산업의 전 부분에 걸쳐 효율성과 생산성 제고를 위한 전략적인 도구로서 중요성이 급속히 증대되고 있으며, 인터넷을 통한 새로운 비즈니스 기회가 지속적으로 창출됨은 물론, 그 영역도 확장되고 있는 추세로서 인터넷을 이용한 사업자들도 점점 더 증가되고 있다.As the use of the Internet has rapidly increased in Korea and the world, the importance of the Internet has been rapidly increasing as a strategic tool for improving efficiency and productivity throughout the existing industries. As a result, new business opportunities through the Internet have been continuously created , And the number of Internet service providers is also increasing.
한편, 이러한 인터넷을 통한 통신 환경을 저해하는 요소로서 악성 프로그램을 이용하여 인터넷에 연결된 특정 대상 컴퓨터를 공격함으로써 원하는 정보를 탈취하려는 공격들이 이루어지고 있다.On the other hand, as an element that hinders the communication environment through the Internet, an attack is made to attack desired information by using a malicious program to attack a specific target computer connected to the Internet.
악성 프로그램(malicious program)은 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 멀웨어(malware, malicious software), 악성코드(malicious code)라고도 하며, 자기 복제 능력과 감염 대상의 유무에 따라, 바이러스(Virus), 웜바이러스(worm virus), 트로이목마(Trojan horse) 등으로 분류될 수 있다.A malicious program is a malicious code written for malicious purposes. It is also called malware, malicious code. It is also called a malicious code, ), Worm virus (Trojan Horse), and the like.
또한, 악성 프로그램과 유사한 스파이웨어(spyware)는 다른 사람의 컴퓨터에 잠입하여 중요한 개인정보를 추출해가는 소프트웨어로서, 최근에는 사용자 이름은 물론 IP 주소와 즐겨 찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많아 문제가 되고 있다. 이러한 악성 프로그램에 의한 주요 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동 발송, 개인 정보 유출, 원격 제어 등으로 그 피해가 증대되고 있다. 또한, 대부분의 악성 프로그램은 해당 악성 프로그램이 보안 전문가에 의해 분석되더라도 쉽게 해당 악성 프로그램의 의도 및 행위가 알려지지 않도록 하기 위해 다양한 분석 방해 기법이 적용되고 있다.In addition, spyware, similar to malicious programs, is software that infiltrates another person's computer and extracts important personal information. In recent years, it has been developed to find out user names, IP addresses, favorite URLs, personal IDs and passwords. It is becoming a problem because there are many possibilities to be used maliciously. The main symptoms caused by such malicious programs are network traffic, system performance degradation, file deletion, e - mail sending, personal information leakage, remote control, etc. In addition, most malicious programs are applied various analysis disruption techniques so that the intention and behavior of the malicious program can not be easily noticed even if the malicious program is analyzed by security experts.
예컨대, 일반적인 악성 프로그램(즉, 멀웨어) 탐지 절차는 그 일예로서 시그니처(signature) 기반으로 멀웨어를 스캐닝하고, 멀웨어가 탐지되었을 경우 해당 멀웨어 처리 프로세스를 수행한다.For example, a general malicious program (i.e., malware) detection process scans malware based on a signature as an example, and performs a malware processing process when malware is detected.
상기 시그니처 기반의 멀웨어 진단 방법은 바이러스의 샘플을 수집하여 진단하는 방법이다. 즉, 컴퓨터 바이러스가 새로 출현하면, 안티 바이러스 제작사들은 이러한 샘플을 수집하여 진단하고 치료하는 방법을 알아내어 이를 안티 바이러스 데이터베이스에 추가하는 방식을 사용한다. 이러한 방식을 리엑티브(reactive) 방식이라고 하며, 상기 바이러스의 흔적을 '시그니처'라고 한다.The signature-based malware diagnosis method is a method of collecting and diagnosing virus samples. In other words, when new computer viruses come into play, antivirus vendors have to figure out how to collect, diagnose and treat these samples and add them to the antivirus database. This method is referred to as a reactive method, and the sign of the virus is referred to as a 'signature'.
이와 같이 종래의 악성 프로그램 탐지 방법은 기 발견된 악성 프로그램에 대한 전문가의 분석을 통해 시그니처를 생성하고 이를 기반으로 동일한 악성 프로그램이 사용되는 경우 이를 탐지하는 것이 대부분으로서, 기 탐지 가능한 악성 프로그램과 매우 유사한 악성 프로그램이라고 할지라도 시그니처와 정확히 일치하는 특징을 가지지 않는 악성 프로그램은 탐지가 불가능하다는 한계가 있으며 알려지지 않은 악성 프로그램에 대해서는 즉각적인 탐지 및 대처가 불가능하다는 문제점이 있다.As described above, the conventional malicious program detection method generates a signature through expert analysis of previously discovered malicious programs, and when the same malicious program is used based on the generated signature, most of the detected malicious programs are very similar to malignant malicious programs Malicious programs that do not have exactly the same signature as the malicious program have limitations in that they can not be detected, and there is a problem that it is impossible to detect and cope with unknown malicious programs immediately.
한편, 이러한 악성 프로그램 또는 악성 사이트를 검출하기 위한 기술로서 대한민국 특허 등록 공보 제10-1044274호 "악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체(주식회사 안철수연구소)"(문헌 1)에는 특정 사이트에서 다운된 프로그램의 프로세스 실행 시점에 해당 프로세스 내에 인증서가 포함되어 있는지, 스택 구조가 정상적인지 여부를 확인하여 현재 사이트가 위험한 사이트인지 혹은 현재 컴퓨터에서 실행한 프로세스가 비정상적인지를 판단할 수 있는 방법이 개시된다.On the other hand, as a technique for detecting such malicious programs or malicious sites, Korean Patent Registration No. 10-1044274 entitled "A malicious site detection apparatus, a method and a recording medium on which a computer program is recorded (AhnLab, A method of determining whether the current site is a dangerous site or a process that is currently running on the computer is abnormal by checking whether the certificate is included in the process at the time of executing the process of the program that is down at the site and whether the stack structure is normal .
그러나, 악성 프로그램으로 인한 증상이나 유포 방법이 점차 복잡해지고 지능화되고 있어, 이와 같은 기존의 안티바이러스 프로그램만으로는 다양한 악성프로그램을 진단 및 치료할 수 없다는 한계가 있다.However, the symptom and the spreading method due to the malicious program are gradually becoming complicated and intelligent, and there is a limitation in that such conventional antivirus program can not diagnose and treat various malicious programs.
한편, 최근 공격 중 가장 많은 비율을 차지하고 있는 공격은 HTTP(HyperText Transfer Protocol; 하이퍼텍스트 전송 프로토콜)를 이용하여 악성 페이지를 요청하거나 악성 파일을 다운받는 것이다. 즉, 각종 소프트웨어, 프로토콜의 취약점을 이용하여 악성 파일을 다운로드 받아 실행시키는 행위가 공격의 주를 이루고 있다.On the other hand, an attack that accounts for the largest percentage of recent attacks is to request a malicious page or download a malicious file using HTTP (HyperText Transfer Protocol). That is, malicious files are downloaded and executed using various software and protocol vulnerabilities.
따라서, 최근의 사이버 공격 경향에 따라 악성 도메인의 리스트를 등록 유지하는 한편 네트워크상에 흐르는 패킷을 분석하여 사용자에게 경고할 수 있는 기술이 요구되고 있는 실정이다.Therefore, there is a need for a technology for registering and maintaining a list of malicious domains according to recent cyber attack tendencies, and for alerting users to packets flowing on the network.
본 발명의 목적은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성하여 적용하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.An object of the present invention is to provide a malicious domain detection system, method, and computer readable recording medium that collects and updates malicious domain information and automatically generates and applies detection rules for a malicious domain request behavior.
또한, 본 발명의 다른 목적은 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성하고 이를 위협 관리 시스템에 적용하는 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체를 제공함에 있다.Another object of the present invention is to provide a malicious domain detection system, method, and computer-readable recording medium that collects and updates malicious domain information to automatically generate detection rules for a malicious domain request action and apply the rules to the threat management system have.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특유의 효과를 달성하기 위한, 본 발명의 특징적인 구성은 하기와 같다.In order to achieve the above-described object of the present invention and to achieve the specific effects of the present invention described below, the characteristic structure of the present invention is as follows.
본 발명의 일 태양에 따르면, 악성 도메인 탐지 시스템은, 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함한다.According to an aspect of the present invention, a malicious domain detection system is a malicious domain detection system that collects malicious domain information by input or automatic collection of an administrator, and manages, maintains, analyzes, or inspects information about the malicious domain server; A threat management system manager for receiving malicious domain information from the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And a threat management system sensor for receiving the generated malicious domain detection rule from the threat management system manager and detecting whether malicious domain related link information is included in a packet transmitted on the network.
바람직하게는, 상기 악성 도메인 탐지룰은 액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현된다.Preferably, the malicious domain detection rule is implemented in the form of 'snort' which includes an action, a protocol, a sender IP, a sender port, a receiver IP, a receiver port, .
바람직하게는, 상기 악성 도메인 관리 서버는, 적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부; 사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부; 상기 악성 도메인 수집부 및 악성 도메인 등록부에 의해 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 악성 도메인 분석부; 상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 도메인 리스트 분류부; 상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부; 및 상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 도메인 국가 판별부를 포함한다.Preferably, the malicious domain management server comprises: a malicious domain collector for collecting a malicious domain list in at least one method and storing the collected malicious domain list in a malicious domain information database; A malicious domain registration unit for receiving a malicious domain input by a user and performing verification and registering the malicious domain in the malicious domain information database; A malicious domain analysis unit for determining whether each domain collected or registered by the malicious domain collecting unit and the malicious domain registering unit is malicious domain; A domain list classifying unit for classifying malicious domains stored in the malicious domain information database into a plurality of types; A domain activation checking unit for checking whether each domain stored in the malicious domain information database is activated; And a domain country discrimination unit for determining in which country each malicious domain stored in the malicious domain information database is located.
바람직하게는, 상기 위협 관리 시스템 매니저는, 상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 분석 정보 수신부; 사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 정보 요청 수신부; 및 상기 정보 요청 수신부에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 UI 정보 생성부를 포함한다.Preferably, the threat management system manager comprises: an analysis information receiver for storing information analyzed by the threat management system sensor in a packet analysis information database; An information request receiving unit for receiving an information request for an analysis result input from a user terminal; And a UI information generator for providing the packet analysis information stored in the packet analysis information database to the user terminal according to the information request received from the information request receiver.
바람직하게는, 상기 위협 관리 시스템 센서는, 네트워크상에서 전송되는 패킷 데이터를 수집하는 패킷 수집 드라이버; 상기 패킷 수집 드라이버에서 수집된 패킷을 파싱하는 패킷 파싱부; 상기 패킷 파싱부에서 파싱된 패킷을 분석하는 패킷 분석부; 상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 링크 정보 요청부; 상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 탐지룰 수신부; 및 상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 악성 도메인 검사부를 포함한다.Preferably, the threat management system sensor includes: a packet collection driver for collecting packet data transmitted over a network; A packet parser for parsing packets collected by the packet collection driver; A packet analyzer for analyzing the packet parsed by the packet parser; A link information request unit for requesting the threat management system manager for domain information corresponding to the extracted link information as a result of the analysis; A detection rule receiving unit for receiving detection rule information automatically generated corresponding to the corresponding domain information from the threat management system manager according to the request; And a malicious domain checking unit for checking the malicious domain by the received detection rule.
바람직하게는, 상기 패킷 분석부는, 상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 URL 추출부; HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 링크 정보 추출부; 단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 응답 링크 추출부; 응답코드의 내용에서 링크를 추출하여 검사하는 내용 추출부; 및 요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 XSS 응답 링크 검사부를 포함한다.Preferably, the packet analyzer includes: a URL extractor for extracting URL information from request information included in the collected packet; A link information extracting unit for extracting all the link information from the data excluding the header of the HTTP packet and checking whether the domain of the link is a malicious domain; A response link extracting unit for extracting and inspecting a link in a redirect response based on a shortened URL request; A content extracting unit for extracting and inspecting a link from the content of the response code; And an XSS response link checking unit for checking whether a link corresponding to the XSS action is requested in response to the request.
본 발명의 다른 태양에 따르면, 악성 도메인 탐지 시스템은, 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 악성 도메인 관리 서버; 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 악성 도메인 탐지 시스템 센서; 및 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 악성 도메인 탐지 시스템 매니저를 포함한다.According to another aspect of the present invention, a malicious domain detection system includes malicious domain management for collecting malicious domain information by input or automatic collection of an administrator, managing malicious domain information for managing, maintaining, server; A malicious domain detection rule is provided to the malicious domain management server and malicious domain detection rules are automatically generated from information on the malicious domain, A malicious domain detection system sensor for detecting whether or not link information is included; And a malicious domain detection system manager that receives a result detected by the malicious domain detection system sensor and provides the detected result to the user terminal at the request of the user terminal.
본 발명의 또 다른 태양에 따르면, 악성 도메인 탐지 방법은, 악성 도메인 관리 서버에서 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하는 단계; 위협 관리 시스템 매니저에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 단계; 및 위협 관리 시스템 센서에서 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계를 포함한다.According to still another aspect of the present invention, a malicious domain detection method includes: collecting malicious domain information by input or automatic collection of an administrator from a malicious domain management server; Receiving a malicious domain information from the threat management system manager to the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And receiving the generated malicious domain detection rule from the threat management system manager in the threat management system sensor and detecting whether malicious domain related link information is included in the packet transmitted on the network.
본 발명의 또 다른 태양에 따르면, 악성 도메인 탐지 방법은, 악성 도메인 관리 서버에 의해 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 단계; 악성 도메인 탐지 시스템 센서에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계; 및 악성 도메인 탐지 시스템 매니저에서, 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 단계를 포함한다.According to still another aspect of the present invention, a malicious domain detection method includes: collecting malicious domain information by input or automatic collection of an administrator by a malicious domain management server; and managing, maintaining, Analysis or inspection; The malicious domain detection system sensor receives malicious domain information from the malicious domain management server, automatically generates a malicious domain detection rule from the malicious domain information, and transmits the malicious domain detection rule Detecting whether malicious domain related link information is included in the packet; And providing malicious domain detection system manager with the result detected by the malicious domain detection system sensor and providing the detected result to the user terminal at the request of the user terminal.
한편, 상기 악성 도메인 탐지 방법을 제공받기 위한 정보는 서버 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있다. 이러한 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있도록 프로그램 및 데이터가 저장되는 모든 종류의 기록매체를 포함한다. 그 예로는, 롬(Read Only Memory), 램(Random Access Memory), CD(Compact Disk), DVD(Digital Video Disk)-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 케리어 웨이브(예를 들면, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한, 이러한 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Meanwhile, the information for receiving the malicious domain detection method may be stored in a recording medium readable by a server computer. Such a recording medium includes all kinds of recording media in which programs and data are stored so that they can be read by a computer system. Examples include ROMs (Read Only Memory), Random Access Memory, CD (Compact Disk), DVD (Digital Video Disk) -ROM, magnetic tape, floppy disk, optical data storage device, (For example, transmission over the Internet). Such a recording medium may also be distributed over a networked computer system so that computer readable code in a distributed manner can be stored and executed.
상술한 바와 같이, 본 발명에 따르면, 악성 도메인 정보를 수집 및 갱신하여 악성 도메인 요청행위에 대한 탐지룰을 자동 생성함으로써 MDDS 센서 또는 TMS 센서에서 악성 도메인을 효과적으로 탐지할 수 있는 장점이 있다.As described above, according to the present invention, malicious domains can be effectively detected by the MDDS sensor or the TMS sensor by collecting and updating malicious domain information and automatically generating detection rules for malicious domain requesting actions.
또한, 본 발명에 따르면, 수집된 악성 도메인에 대해 주기적으로 실체 요청을 보내 응답을 확인하여 해당 도메인의 활성화 상태를 검사함으로써 악성 도메인에 대한 정확한 정보를 유지할 수 있는 장점이 있다.In addition, according to the present invention, it is possible to maintain correct information on a malicious domain by periodically checking an activation state of a corresponding malicious domain by periodically requesting an entity to confirm a response.
또한, 본 발명에 따르면, 악성 도메인 관리 서버에서 각 악성 도메인에 대한 탐지룰을 자동 생성하여 MDDS 센서 또는 TMS 센서에 제공함으로써 악성 도메인을 탐지하는 센서에 대한 부하를 줄일 수 있는 장점이 있다.In addition, according to the present invention, malicious domain management servers automatically generate detection rules for malicious domains and provide them to the MDDS sensor or TMS sensor, thereby reducing the load on the sensor for detecting malicious domains.
도 1은 본 발명의 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다.
도 2는 본 발명의 다른 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 악성 도메인 관리 서버의 세부 구성을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 TMS 센서의 세부 구성을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 TMS 매니저의 세부 구성을 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 악성 도메인 탐지 절차를 나타내는 신호 흐름도이다.1 is a block diagram of a malicious domain detection system according to an embodiment of the present invention.
2 is a block diagram of a malicious domain detection system according to another embodiment of the present invention.
3 is a diagram illustrating a detailed configuration of a malicious domain management server according to an embodiment of the present invention.
4 is a view showing a detailed configuration of a TMS sensor according to an embodiment of the present invention.
5 is a diagram illustrating a detailed configuration of a TMS manager according to an embodiment of the present invention.
6 is a signal flow diagram illustrating a malicious domain detection procedure according to an embodiment of the present invention.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는 적절하게 설명된다면 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE INVENTION The following detailed description of the invention refers to the accompanying drawings that show, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. Accordingly, the following detailed description is not to be taken in a limiting sense, and the scope of the present invention is defined only by the appended claims, along with the full range of equivalents to which such claims are entitled. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.
본 발명은 HTTP 프로토콜을 포함한 다양한 전송 프로토콜을 이용하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 악성 도메인의 탐지 장치 및 방법을 제안한다. 즉, 본 발명에서는 네트워크상에 전송되는 패킷을 분석하고, 패킷 내에 포함된 링크 정보를 악성 도메인 리스트와 비교하여 사용자에게 경고함으로써 악성 도메인을 탐지한다. 이때, 본 발명의 실시예에 따라 악성 도메인 정보를 수집 및 유지하는 악성 도메인 관리 서버로부터 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 악성 도메인 탐지룰을 자동으로 생성하여 MDDS(Malicious Domain Detection System; 악성 도메인 탐지 시스템) 센서 또는 TMS(Threat Management System; 위협 관리 시스템) 센서로 제공함으로써 효과적인 악성 도메인 탐지가 가능하게 된다.The present invention proposes a malicious domain detection apparatus and method for requesting malicious pages or downloading malicious files using various transmission protocols including HTTP protocol. That is, in the present invention, packets transmitted on the network are analyzed, and malicious domains are detected by comparing the link information included in the packet with the malicious domain list to warn the user. At this time, according to the embodiment of the present invention, malicious domain information is collected from a malicious domain management server collecting and maintaining malicious domain information, and malicious domain detection rules for the malicious domain are automatically generated to detect Malicious Domain Detection (MDDS) System as a malicious domain detection system sensor or a threat management system (TMS) sensor, thereby enabling effective malicious domain detection.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention.
먼저, 도 1 및 도 2를 참조하여 본 발명의 실시예에 따른 시스템을 설명하고, 도 3 내지 도 5를 참조하여 시스템을 구성하는 각 장치의 세부 구성을 설명한다.First, a system according to an embodiment of the present invention will be described with reference to Figs. 1 and 2, and detailed configurations of respective apparatuses constituting the system will be described with reference to Figs. 3 to 5. Fig.
악성 도메인 탐지 시스템은 다음과 같다. The malicious domain detection system is as follows.
도 1은 본 발명의 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다. 도 1을 참조하면, 본 발명에 따른 시스템은 악성 도메인 관리 서버(100), 인터넷(110), 라우터(120), 방화벽(130), MDDS 센서(140), MDDS 매니저(150), 내부망 스위치(160), 회사 인트라넷(intranet)(170) 및 사용자 단말(180)등을 포함하여 구성될 수 있다.1 is a block diagram of a malicious domain detection system according to an embodiment of the present invention. Referring to FIG. 1, a system according to the present invention includes a malicious
먼저, 악성 도메인 관리 서버(100)는 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 역할을 수행한다. 이때, 상기 악성 도메인 관리 서버(100)는 상기 MDDS 센서(140)와 통신하여 악성 도메인에 대한 정보를 분석 및 비교하고 관련 정보를 MDDS 센서(140)로 제공한다. 특히, 본 발명의 실시예에 따라 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 상기 MDDS 센서(140)로 하여금 악성 도메인을 탐지하도록 한다. 상기 악성 도메인 관리 서버(100)의 세부 구성은 도 3의 설명에서 후술하기로 한다First, the malicious
인터넷(110)은 통신 네트워크의 예로서 유선 및 무선 등과 같은 그 통신 양태를 가리지 않고 구성될 수 있으며, 단거리 통신망(PAN; Personal Area Network), 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 또한, 상기 인터넷(520)은 공지의 월드와이드웹(WWW; World Wide Web)일 수 있으며, 적외선(Infrared Data Association; IrDA) 또는 블루투스(Bluetooth)와 같이 단거리 통신에 이용되는 무선전송기술을 부분적으로 이용할 수도 있다.The
한편, 특정 서버에서 전송된 사용자 단말(180)을 목적지로 하는 패킷은 인터넷(110)을 통해 라우터(120), 방화벽(130), 내부망 스위치(160), 회사 인트라넷(170)을 거쳐 회사 내의 각 사용자 단말(180)로 전송될 수 있다. 이때, 본 발명의 실시예에 따라 MDDS 센서(140)에서는 상기 전송되는 패킷을 분석하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 코드가 포함되어 있을 경우, 사용자에게 경고를 하게 된다.Meanwhile, a packet destined for the
즉, MDDS 센서(140)는 네트워크상에서 전송되는 패킷을 검사하여 링크를 추출하고, 이를 악성 도메인 리스트와 비교함으로써 사용자에게 통보하는 역할을 수행하며, 이와 관련된 IP, MAC, 호스트 정보, 패턴 정보 등을 제공한다. 상기 MDDS 센서(140)에 대한 세부적인 내용은 도 4의 설명에서 후술하기로 한다.That is, the
MDDS 매니저(150)는 MDDS 센서(140)를 통해 분석된 패킷에 대해 악성 도메인 관리 서버(100)와 비교된 정보를 사용자에게 UI(User Interface; 사용자 인턴페이스) 등을 통해서 제공한다. 이때, 제공되는 정보로는 IP, MAC, 사용자 인터넷 사용 기록 등이 포함될 수 있다. 상기 MDDS 매니저(150)의 세부 구성은 도 5의 설명에서 후술하기로 한다.The
한편, 도 1에 따르면, MDDS 센서(140)에서는 네트워크상에서 전송되는 모든 패킷들을 후술하는 방법에 따라 검사한다. 이때, 상기 MDDS 센서(140)에서는 악성 도메인 관리 서버(100)로 각 악성 도메인에 대한 관련 정보를 요청(①)한다. 이에 따라, 상기 악성 도메인 관리 서버(100)는 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 MDDS 센서(140)로 제공(②)한다. 또한, 다른 방법으로서, 상기 MDDS 센서(140)는 상기 악성 도메인 관리 서버(100)로부터 악성 도메인에 대한 정보를 요청하여 수신하고, 해당 악성 도메인의 탐지룰을 자동으로 생성하여 악성 도메인을 탐지하도록 구현하는 것도 가능하다.1, in the
예컨대, 상기 악성 도메인 탐지를 위한 MDDS의 자동 룰 생성 방법은 다음과 같이 생성될 수 있다.For example, an automatic rule generation method of the MDDS for detecting the malicious domain may be generated as follows.
만약, 악성 도메인의 URL이 "http://doublediet.com/w.php?f=16&e=2"라고 가정할 경우, 본 발명의 실시예에 따라 자동으로 생성되는 탐지룰은 다음과 같이 생성될 수 있다.Assuming that the URL of the malicious domain is "http://doublediet.com/w.php?f=16&e=2" ;, the detection rule that is automatically generated according to the embodiment of the present invention is generated as follows .
alert tcp any any -> any 80 (uricontent:”w.php?f=16&e=2”; nocase; alert tcp any any -> any 80 (uricontent: "w.php? f = 16 & e = 2";
content:”Host|3a20|doublediet.com”; nocase;)content: "Host | 3a20 | doublediet.com"; nocase;
상기 탐지룰은 'snort'의 형태로 구현 가능하며 상기와 같이 액션(action), 프로토콜(protocol), 발신자 IP, 포트(port), 수신자 IP, 포트, 탐지룰 내용 등을 포함하여 구성될 수 있다. 즉, 상기 예를 든 탐지룰은 입력되는 모든 IP의 패킷에 대해 상기 악성 도메인의 URL이 포함되어 있을 경우 알람 신호를 발생시키는 것을 의미한다.The detection rule may be implemented in the form of 'snort' and may include an action, a protocol, a sender IP, a port, a receiver IP, a port, a content of a detection rule, etc. . That is, the detection rule in the above example means that an alarm signal is generated when the URL of the malicious domain is contained in all the IP packets inputted.
이와 같이, MDDS 센서(140)에서 상기 악성 도메인 탐지룰에 의해 악성 도메인이 탐지되면, 상기 탐지 결과를 MDDS 매니저(150)로 전송(③)한다. 상기 MDDS 매니저(150)는 상기 탐지 결과를 참조하여 보안 정책을 적용(④)한다. 예컨대, 내부망 스위치(160)를 제어하여 특정 패킷이 회사 인트라넷(170) 내부로 유입되는 것을 차단할 수가 있다.If the malicious domain is detected by the malicious domain detection rule in the
한편, TMS(Threat Management System)는 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 만든 통합보안관리 시스템 중에 하나로서, 공격 트래픽에 대해서 능동적으로 대응하고 방어할 수 있으며, 이상 트래픽 증가 시에 관리자가 원하는 정보(상위 5개 공격 IP, Port, Protocol별 분석, 최근 5분간 공격유형 등)를 비교적 정교하고 다양하게 제공할 수 있는 장치이다.Meanwhile, the TMS (Threat Management System) is one of the integrated security management systems aimed at early detection of threats and reduction or elimination of threats in order to protect internal information assets from external threats. Which can actively respond to and defend against an attack, and can provide a relatively sophisticated and diverse range of information (information on top 5 attack IPs, ports, protocol analysis, recent 5 minute attacks, etc.) to be.
따라서, 도 2에 도시된 바와 같이 본 발명의 다른 실시예에 따라 상기 MDDS 센서(140) 및 MDDS 매니저(150)에서 수행되는 각 기능들이 기구축된 TMS 센서(210) 및 TMS 매니저(220) 내에 포함되어 수행되도록 구현하는 것도 가능하다.2, each of the functions performed in the
도 2는 본 발명의 다른 실시예에 따른 악성 도메인 탐지 시스템의 구성을 나타내는 도면이다. 도 2를 참조하면, 본 발명에 따른 시스템은 악성 도메인 관리 서버(100), 인터넷(110), 라우터(120), 방화벽(130), TMS 센서(210), TMS 매니저(220), 내부망 스위치(160), 회사 인트라넷(intranet)(170) 및 사용자 단말(180)등을 포함하여 구성될 수 있다.2 is a block diagram of a malicious domain detection system according to another embodiment of the present invention. 2, the system according to the present invention includes a malicious
먼저, 악성 도메인 관리 서버(100)는 상기 도 1에서 상술한 바와 같이 관리자의 입력 또는 자동 수집에 의해 악성 도메인에 대한 정보를 수집하고, 수집된 악성 도메인에 대한 정보를 관리, 유지, 분석 또는 검사하는 역할을 수행한다. 이때, 상기 악성 도메인 관리 서버(100)는 상기 TMS 매니저(220)와 통신하여 악성 도메인에 대한 정보를 분석 및 비교하고 관련 정보를 TMS 센서(210)로 제공한다. 특히, 본 발명의 실시예에 따라 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 상기 TMS 센서(210)로 하여금 악성 도메인을 탐지하도록 한다. 상기 악성 도메인 관리 서버(100)의 세부 구성은 도 3의 설명에서 후술하기로 한다First, the malicious
상기 도 1에서도 설명한 바와 같이, 특정 서버에서 전송된 사용자 단말(180)을 목적지로 하는 패킷은 인터넷(110)을 통해 라우터(120), 방화벽(130), 내부망 스위치(160), 회사 인트라넷(170)을 거쳐 회사 내의 각 사용자 단말(180)로 전송될 수 있다. 이때, 본 발명의 실시예에 따라 TMS 센서(210)에서는 상기 전송되는 패킷을 분석하여 악성 페이지를 요청하거나 악성 파일을 다운받도록 하는 코드가 포함되어 있을 경우, 사용자에게 경고를 하게 된다.1, a packet destined for a
즉, TMS 센서(210)는 네트워크상에서 전송되는 패킷을 검사하여 링크를 추출하고, 이를 악성 도메인 리스트와 비교함으로써 사용자에게 통보하는 역할을 수행하며, 이와 관련된 IP, MAC, 호스트 정보, 패턴 정보 등을 제공한다. 상기 TMS 센서(210)에 대한 세부적인 내용은 도 4의 설명에서 후술하기로 한다.That is, the
TMS 매니저(220)는 TMS 센서(210)를 통해 분석된 패킷에 대해 악성 도메인 관리 서버(100)와 비교된 정보를 사용자에게 UI(User Interface; 사용자 인턴페이스) 등을 통해서 제공한다. 이때, 제공되는 정보로는 IP, MAC, 사용자 인터넷 사용 기록 등이 포함될 수 있다. 상기 TMS 매니저(220)의 세부 구성은 도 5의 설명에서 후술하기로 한다.The
한편, 도 2에 따르면, TMS 센서(210)에서는 네트워크상에서 전송되는 모든 패킷들을 후술하는 방법에 따라 검사한다. 이때, 상기 TMS 매니저(220)에서는 먼저 악성 도메인 관리 서버(100)로 각 악성 도메인에 대한 관련 정보를 요청(①)한다. 이에 따라, 상기 악성 도메인 관리 서버(100)는 각 악성 도메인에 대한 탐지룰을 자동으로 생성하여 TMS 매니저(220)로 제공(②)한다. 또한, 다른 방법으로서, 상기 TMS 매니저(220)는 상기 악성 도메인 관리 서버(100)로부터 악성 도메인에 대한 정보를 요청하여 수신하고, 해당 악성 도메인의 탐지룰을 자동으로 생성(③)하도록 구현하는 것도 가능하다. 이와 같이 자동으로 생성된 악성 도메인에 대한 탐지룰은 TMS 센서(210)로 제공(④)되며, TMS 센서(210)에서는 자동 생성된 탐지룰에 의해 전송되는 패킷에 포함된 악성 도메인 정보를 검출하게 된다.2, the
이때, 상기 악성 도메인 탐지를 위한 자동 룰 생성 방법은 상기 도 1의 설명에서 상술한 바와 같다.At this time, the automatic rule generation method for malicious domain detection is as described in the description of FIG.
이와 같이, TMS 센서(210)에서 상기 악성 도메인 탐지룰에 의해 악성 도메인이 탐지되면, 상기 탐지 결과를 TMS 매니저(220)로 전송한다. 상기 TMS 매니저(220)는 상기 탐지 결과를 참조하여 보안 정책을 적용한다. 예컨대, 내부망 스위치(160)를 제어하여 특정 패킷이 회사 인트라넷(170) 내부로 유입되는 것을 차단할 수가 있다.As described above, if the malicious domain is detected by the malicious domain detection rule in the
이하, 도 3 내지 도 5를 참조하여 도 1 및 도 2를 구성하는 시스템의 각 구성요소들의 세부 구조를 상세히 설명한다. 한편, 후술하는 설명에서는 도 2에 포함된 구성요소들(예컨대, 악성 도메인 관리 서버(100), TMS 센서(210), TMS 매니저(220) 등)에 대해 설명하며, 도 1에 포함된 구성요소들(예컨대, 악성 도메인 관리 서버(100), MDDS 센서(140), MDDS 매니저(150) 등)의 기능들은 상기 도 2의 구성요소들에 부분 또는 전체적으로 포함되어 구성될 수 있다.Hereinafter, the detailed structure of each component of the system constituting Figs. 1 and 2 will be described in detail with reference to Figs. 3 to 5. Fig. In the following description, the components (for example, malicious
악성 도메인 관리 서버는 다음과 같다. The malicious domain management server is as follows.
도 3은 본 발명의 실시예에 따른 악성 도메인 관리 서버의 세부 구성을 나타내는 도면이다. 도 3을 참조하면, 본 발명의 실시예에 따른 악성 도메인 관리 서버(100)는 악성 도메인 수집부(310), 악성 도메인 입력부(320), 악성 도메인 분석부(330), 악성 도메인 정보 데이터베이스(340), 도메인 리스트 분류부(350), 도메인 활성화 검사부(360) 및 도메인 국가 판별부(370) 등을 포함하여 구성될 수 있다.3 is a diagram illustrating a detailed configuration of a malicious domain management server according to an embodiment of the present invention. 3, the malicious
악성 도메인 수집부(310)는 악성 도메인의 목록을 다양한 방법에 의해 수집한다. 예컨대, 악성 도메인 공개 사이트를 통해 등록할 수도 있으며, 각종 악성 도메인 수집 업체를 통해 제공받을 수도 있다. 또한, 예컨대, TMS에서 제공하는 블랙리스트 URL을 등록할 수도 있다The malicious
한편, 악성 도메인 등록부(320)는 사용자에 의해 입력된 악성 도메인을 입력받아 등록하며, 이때 상기 사용자가 등록한 악성 도메인은 시스템 내에서의 검증을 거쳐 등록하게 된다.Meanwhile, the malicious
이와 같이, 상기 악성 도메인 수집부(310) 및 악성 도메인 등록부(320)에 의해 수집 또는 등록된 각 도메인은 악성 도메인 분석부(330)에 의해 상기 도메인이 악성 도메인인지를 판별한다. 이때, 상기 도메인의 악성 도메인 여부를 판별하는 방법은 다양하게 구현할 수 있으며, 예컨대, 외부의 자동 분석 서버(380)를 통해 분석할 수 있다. 또한, 다른 방법으로 악성 도메인 관리 서버(100) 내에서 분석되도록 구현하는 것도 가능하다. 이와 같이, 각 도메인에 대한 분석이 완료되면, 분석된 악성 도메인 정보는 악성 도메인 정보 데이터베이스(340)에 저장된다.Each domain collected or registered by the malicious
또한, 상기 저장된 악성 도메인은 도메인 리스트 분류부(350)를 통해 복수의 종류로 분류되어 저장될 수 있다. 예컨대, 악성 도메인의 예로서 봇넷, IRC, zeus, 악성코드 다운, C&C 서버, js 등으로 분류될 수 있다.In addition, the stored malicious domains may be classified into a plurality of types through the
또한, 상기 저장된 악성 도메인은 실제로 동작하고 있는 도메인들인지를 판별할 수 있다. 즉, 도메인 활성화 검사부(360)에서는 각 해당 도메인에 주기적으로 실체 요청을 하고, 응답되는 정보를 확인함으로써 각 도메인의 활성화 상태를 검사하게 된다. 상기 검사에 따라 비활성화된 도메인은 상기 악성 도메인 정보 데이터베이스(340)에서 삭제할 수도 있다.In addition, it is possible to determine whether the stored malicious domain is actually operating domains. That is, the domain
한편, 도메인 국가 판별부(370)에서는 상기 악성 도메인 정보 데이터베이스(340)에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단한다. 이때, 상기 도메인 국가 판별부(370)에서는 'whois', 도메인 조회 사이트 등과 같이 국가 정보가 제공되는 국가 판별 서버(390)를 통해 판별할 수가 있다.Meanwhile, the domain
TMS 센서는 다음과 같다. The TMS sensor is as follows.
도 4는 본 발명의 실시예에 따른 TMS 센서의 세부 구성을 나타내는 도면이다. 도 4를 참조하면, 본 발명의 실시예에 따른 TMS 센서(210)는 패킷 수집 드라이버(410), 패킷 파싱부(420), 패킷 분석부(430), 링크 정보 요청부(440), 탐지룰 수신부(450), 악성 도메인 검사부(460) 및 결과 처리부(470)를 포함하여 구성될 수 있다.4 is a view showing a detailed configuration of a TMS sensor according to an embodiment of the present invention. 4, a
패킷 수집 드라이버(410)는 네트워크상에서 전송되는 패킷 데이터를 수집하는 기능을 수행한다. 패킷 파싱부(420)는 상기 패킷 수집 드라이버(410)에서 수집된 패킷을 파싱하는 기능을 수행한다. 패킷 분석부(430)는 상기 패킷 파싱부(420)에서 파싱된 패킷을 분석하는 기능을 수행한다.The
이때, 상기 패킷 분석부(430)는 다양한 분석 방법에 의해 패킷을 분석할 수 있다. 따라서, 상기 패킷 분석부(430)는 URL 추출부(431), 링크 정보 추출부(432), 응답 링크 추출부(433), 코드 내용 링크 추출부(434), XSS 응답 링크 검사부(435) 등을 포함하여 구성될 수 있다.At this time, the
상기 URL 추출부(431)는 상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 기능을 수행한다. 링크 정보 추출부(432)는 HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사한다.The
또한, 응답 링크 추출부(433)는 단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사한다. 코드 내용 추출부(434)는 응답코드의 내용에서 링크를 추출하여 검사한다. XSS 응답 링크 검사부(435)는 요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사한다.The response
이와 같이, 상기 패킷 분석부(430)에 의한 패킷 분석이 완료되면, 상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 악성 도메인 관리 서버(100), 또는 TMS 매니저(220)로 요청한다. 상기 요청에 따라 탐지룰 수신부(450)에서는 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신한다. 그런 다음, 악성 도메인 검사부(460)에서는 상기 수신된 탐지룰에 의해 악성 도메인을 검사하고, 결과 처리부(470)를 통해 검사 결과를 처리한다. 예컨대, 상기 악성 도메인 검사 결과 악성 도메인임을 알람으로써 TMS 매니저(220) 등에 통보할 수 있다.When the packet analysis by the
TMS 매니저는 다음과 같다. The TMS manager is as follows.
도 5는 본 발명의 실시예에 따른 TMS 매니저의 세부 구성을 나타내는 도면이다. 도 5를 참조하면, 본 발명의 실시예에 따른 TMS 매니저(220)는 분석 정보 수신부(510), 패킷 분석 정보 데이터베이스(520), UI 정보 생성부(530), 정보 요청 수신부(540) 등을 포함하여 구성될 수 있다.5 is a diagram illustrating a detailed configuration of a TMS manager according to an embodiment of the present invention. 5, the
분석 정보 수신부(510)는 상기 TMS 센서(210)에 의해 분석된 정보를 패킷 분석 정보 데이터베이스(520)에 저장된다.The analysis
이때, 정보 요청 수신부(540)에서는 사용자 단말(180)로부터 입력된 분석 결과에 대한 정보 요청을 수신하고, UI 정보 생성부(530)에서는 상기 정보 요청 수신부(540)에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스(520)에 저장된 패킷 분석 정보를 다양한 형태로 사용자 단말(180)로 제공하게 된다.At this time, the information
이상으로, 도 3 내지 도 5를 참조하여 본 발명의 실시예에 따른 각 장치의 세부 구조를 설명하였다. 한편, 상기에서는 도 2에 도시된 TMS 센서(210) 및 TMS 매니저(220)의 세부 기능들을 설명하였으나, 본 발명의 다른 실시예에 따라 상기 도 1의 MDDS 센서(140) 및 MDDS 매니저(150)의 기능들을 전체 또는 부분적으로 포함할 수 있다.The detailed structure of each device according to the embodiment of the present invention has been described with reference to FIGS. 3 to 5. FIG. Although the detailed functions of the
이하, 도 6을 참조하여, 악성 도메인 탐지 절차를 상세히 설명한다.Hereinafter, the malicious domain detection procedure will be described in detail with reference to FIG.
악성 도메인 탐지 절차는 다음과 같다. The malicious domain detection procedure is as follows.
도 6은 본 발명의 실시예에 따른 악성 도메인 탐지 절차를 나타내는 신호 흐름도이다. 도 6을 참조하면, 먼저 악성 도메인 관리 서버(100)에서는 악성 도메인 정보를 수집하여 데이터베이스에 저장(S601)한다. 이때, 상술한 바와 같이 수집된 악성 도메인에 대한 분류를 더 수행할 수 있으며, 도메인의 활성화 여부를 검사하거나 도메인의 국가를 판별하여 정보를 저장할 수 있다.6 is a signal flow diagram illustrating a malicious domain detection procedure according to an embodiment of the present invention. Referring to FIG. 6, the malicious
다음으로, TMS 매니저(220)에서 상기 악성 도메인 관리 서버(100)로 악성 도메인 정보를 요청(S602)하면, 상기 악성 도메인 관리 서버(100)에서는 상기 요청에 따라 상기 저장된 악성 도메인 정보를 TMS 매니저(220)로 제공(S603)한다. 이때, 상기 악성 도메인 관련 정보의 제공은 상기와 같이 TMS 매니저(220)의 요청에 따라 제공될 수도 있으며, 설정된 다양한 방식에 따라 주기적 또는 비주기적으로 제공될 수도 있다.Next, when the
한편, TMS 센서(210)에서는 네트워크상에서 전송되는 패킷을 실시간으로 추출하여 분석(S604)을 하게 된다. 이때, 상기 TMS 센서(210)에서는 TMS 매니저(220)로 링크 정보를 요청(S605)하고, 상기 TMS 매니저(220)에서는 상기 요청에 따라 해당 도메인 정보로 탐지룰을 자동으로 생성(S606)한다. 상기 생성된 탐지룰은 TMS 매니저(220)에서 TMS 센서(210)로 전송(S607)되며, 상기 TMS 센서(210)에서는 상기 전송된 탐지룰을 적용하여 악성 도메인을 검사(S608)한다.Meanwhile, in the
이와 같이, TMS 센서(210)에서 탐지룰에 의해 악성 도메인 검사가 완료되면, 탐지 결과가 TMS 매니저(220)로 전송(S609)된다. TMS 매니저(220)에서는 상기 전송된 탐지 결과를 데이터베이스에 저장(S10)한다.When the malicious domain inspection is completed by the detection rule in the
이때, 사용자 단말(180)에서는 상기 TMS 매니저(220)로 도메인 정보를 요청(S611)하면, TMS 매니저(220)에서는 해당 요청된 도메인에 대한 정보를 검색(S612)하여 사용자 단말로 전송(S613)한다. 사용자 단말(180)에서는 요청에 따른 결과로 도메인 관련 정보를 디스플레이(S614)한다.At this time, if the
한편, 본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(megneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동되도록 구성될 수 있으며, 그 역도 마찬가지다. Meanwhile, the embodiments according to the present invention may be embodied in the form of program instructions that may be executed by various computer means and may be recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as a hard disk, a floppy disk, and a magnetic tape; optical media such as CD-ROM and DVD; magnetic recording media such as a floppy disk; Includes hardware devices specifically configured to store and perform program instructions such as megneto-optical media and ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described by specific embodiments such as specific components and the like. For those skilled in the art, various modifications and variations are possible from these descriptions.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
100 : 악성 도메인 관리 서버 110 : 인터넷 네트워크
120 : 라우터 130 : 방화벽
140 : MDDS 센서 150 : MDDS 매니저
160 : 내부망 스위치 170 : 회사 인트라넷
180 : 사용자 단말 210 : TMS 센서
220 : TMS 매니저 310 : 악성 도메인 수집부
320 : 악성 도메인 입력부 330 : 악성 도메인 분석부
340 : 악성 도메인 정보 D/B 350 : 도메인 리스트 분류부
360 : 도메인 활성화 검사부 370 : 도메인 국가 판별부
380 : 자동 분석 서버 390 : 국가 판별 서버
410 : 패킷 수집 드라이버 420 : 패킷 파싱부
430 : 패킷 분석부 431 : URL 추출부
432 : 링크 정보 추출부 433 : 응답 링크 추출부
434 : 코드 내용 링크 추출부 435 : XSS 응답 링크 검사부
440 : 링크 정보 요청부 450 : 탐지룰 수신부
460 : 악성 도메인 검사부 470 : 결과 처리부
510 : 분석 정보 수신부 520 : 패킷 분석 정보 D/B
530 : UI 정보 생성부 540 : 정보 요청 수신부100: malicious domain management server 110: internet network
120: Router 130: Firewall
140: MDDS sensor 150: MDDS manager
160: Internal network switch 170: Company intranet
180: user terminal 210: TMS sensor
220: TMS manager 310: malicious domain collector
320: malicious domain input unit 330: malicious domain analysis unit
340: malicious domain information D / B 350:
360: Domain Activation Inspection Unit 370: Domain Country Identification Unit
380: Automatic analysis server 390: Country identification server
410: Packet collection driver 420: Packet parsing unit
430: packet analyzing unit 431: URL extracting unit
432: Link information extracting unit 433: Response link extracting unit
434: code content link extracting unit 435: XSS response link checking unit
440: Link information requesting unit 450: Detection rule receiving unit
460: malicious domain checking unit 470: result processing unit
510: Analysis information receiving unit 520: Packet analysis information D / B
530: UI information generating unit 540: Information request receiving unit
Claims (15)
상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 위협 관리 시스템 매니저; 및
상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 위협 관리 시스템 센서를 포함하는, 악성 도메인 탐지 시스템.
A malicious domain management server for collecting malicious domain information by input or automatic collection of an administrator and managing, maintaining, analyzing or examining information on the collected malicious domain;
A threat management system manager for receiving malicious domain information from the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And
And a threat management system sensor that receives the generated malicious domain detection rule from the threat management system manager and detects whether the malicious domain related link information is included in a packet transmitted on a network.
액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현되는, 악성 도메인 탐지 시스템.
The malicious domain detection method according to claim 1,
A malicious domain detection system implemented in the form of 'snort' which includes action, protocol, sender IP, sender port, receiver IP, receiver port and content of detection rules.
적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 악성 도메인 수집부;
사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 악성 도메인 등록부;
상기 악성 도메인 수집부 및 악성 도메인 등록부에 의해 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 악성 도메인 분석부;
상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 도메인 리스트 분류부;
상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 도메인 활성화 검사부; 및
상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 도메인 국가 판별부를 포함하는, 악성 도메인 탐지 시스템.
The malicious domain management server according to claim 1,
A malicious domain collecting unit collecting a malicious domain list by at least one method and storing the collected malicious domain list in a malicious domain information database;
A malicious domain registration unit for receiving a malicious domain input by a user and performing verification and registering the malicious domain in the malicious domain information database;
A malicious domain analysis unit for determining whether each domain collected or registered by the malicious domain collecting unit and the malicious domain registering unit is malicious domain;
A domain list classifying unit for classifying malicious domains stored in the malicious domain information database into a plurality of types;
A domain activation checker to check whether each domain stored in the malicious domain information database is in an activated state; And
And a domain country determination unit for determining in which country each malicious domain stored in the malicious domain information database is located.
상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 분석 정보 수신부;
사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 정보 요청 수신부; 및
상기 정보 요청 수신부에서 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 UI 정보 생성부를 포함하는, 악성 도메인 탐지 시스템.
The threat management system according to claim 1,
An analysis information receiver for storing information analyzed by the threat management system sensor in a packet analysis information database;
An information request receiving unit for receiving an information request for an analysis result input from a user terminal; And
And a UI information generator for providing packet analysis information stored in the packet analysis information database to the user terminal according to an information request received from the information request receiving unit.
네트워크상에서 전송되는 패킷 데이터를 수집하는 패킷 수집 드라이버;
상기 패킷 수집 드라이버에서 수집된 패킷을 파싱하는 패킷 파싱부;
상기 패킷 파싱부에서 파싱된 패킷을 분석하는 패킷 분석부;
상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 링크 정보 요청부;
상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 탐지룰 수신부; 및
상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 악성 도메인 검사부를 포함하는, 악성 도메인 탐지 시스템.
The system of claim 1, wherein the threat management system sensor comprises:
A packet collection driver for collecting packet data transmitted over a network;
A packet parser for parsing packets collected by the packet collection driver;
A packet analyzer for analyzing the packet parsed by the packet parser;
A link information request unit for requesting the threat management system manager for domain information corresponding to the extracted link information as a result of the analysis;
A detection rule receiving unit for receiving detection rule information automatically generated corresponding to the corresponding domain information from the threat management system manager according to the request; And
And a malicious domain checking unit for checking the malicious domain by the received detection rule.
상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 URL 추출부;
HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 링크 정보 추출부;
단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 응답 링크 추출부;
응답코드의 내용에서 링크를 추출하여 검사하는 내용 추출부; 및
요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 XSS 응답 링크 검사부를 포함하는, 악성 도메인 탐지 시스템.
The packet analyzing apparatus according to claim 5,
A URL extracting unit for extracting URL information from the request information included in the collected packet;
A link information extracting unit for extracting all the link information from the data excluding the header of the HTTP packet and checking whether the domain of the link is a malicious domain;
A response link extracting unit for extracting and inspecting a link in a redirect response based on a shortened URL request;
A content extracting unit for extracting and inspecting a link from the content of the response code; And
And an XSS response link checking unit for checking whether an XSS action is requested in response to the response when there is an XSS action upon request.
상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 악성 도메인 탐지 시스템 센서; 및
상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 악성 도메인 탐지 시스템 매니저를 포함하는, 악성 도메인 탐지 시스템.
A malicious domain management server for collecting malicious domain information by input or automatic collection of an administrator and managing, maintaining, analyzing or examining information on the collected malicious domain;
A malicious domain detection rule is provided to the malicious domain management server and malicious domain detection rules are automatically generated from information on the malicious domain, A malicious domain detection system sensor for detecting whether or not link information is included; And
And a malicious domain detection system manager which receives a result detected by the malicious domain detection system sensor and provides the detected result to the user terminal in response to a request of a user terminal.
위협 관리 시스템 매니저에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하는 단계; 및
위협 관리 시스템 센서에서 상기 위협 관리 시스템 매니저로부터 상기 생성된 악성 도메인 탐지룰을 제공받아 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계를 포함하는, 악성 도메인 탐지 방법.
Collecting information on a malicious domain by inputting or automatic collection of an administrator from the malicious domain management server;
Receiving a malicious domain information from the threat management system manager to the malicious domain management server and automatically generating a malicious domain detection rule from information on the malicious domain; And
And receiving, by the threat management system sensor, the generated malicious domain detection rule from the threat management system manager and detecting whether the malicious domain related link information is included in a packet transmitted on a network.
액션(action), 프로토콜(protocol), 발신자 IP, 발신자 포트(port), 수신자 IP, 수신자 포트 및 탐지룰 내용 등을 포함하는 'snort'의 형태로 구현되는, 악성 도메인 탐지 방법.
9. The method of claim 8,
Wherein the malicious domain is implemented in the form of 'snort', including action, protocol, sender IP, sender port, receiver IP, receiver port and content of detection rules.
적어도 하나의 방법으로 악성 도메인 리스트를 수집하여 악성 도메인 정보 데이터베이스에 저장하는 단계;
사용자에 의해 입력된 악성 도메인을 입력받아 검증을 거쳐 상기 악성 도메인 정보 데이터베이스에 등록하는 단계;
상기 수집 또는 등록된 각 도메인의 악성 도메인 여부를 판별하는 단계;
상기 악성 도메인 정보 데이터베이스에 저장된 악성 도메인을 복수의 종류로 분류하는 단계;
상기 악성 도메인 정보 데이터베이스에 저장된 각 도메인이 활성화 상태인지를 검사하는 단계; 및
상기 악성 도메인 정보 데이터베이스에 저장된 각 악성 도메인이 어느 나라에 위치하는 지를 판단하는 단계를 포함하는, 악성 도메인 탐지 방법.
The method according to claim 8, wherein the step of collecting information on malicious domains of the malicious domain management server comprises:
Collecting a malicious domain list in at least one method and storing the malicious domain list in a malicious domain information database;
Inputting a malicious domain inputted by a user and performing verification and registering the malicious domain in the malicious domain information database;
Determining whether the collected or registered domains are malicious domains;
Classifying malicious domains stored in the malicious domain information database into a plurality of types;
Checking whether each domain stored in the malicious domain information database is in an active state; And
And determining in which country each malicious domain stored in the malicious domain information database is located.
상기 위협 관리 시스템 센서에 의해 분석된 정보를 패킷 분석 정보 데이터베이스에 저장하는 단계;
사용자 단말로부터 입력된 분석 결과에 대한 정보 요청을 수신하는 단계; 및
상기 수신된 정보 요청에 따라 상기 패킷 분석 정보 데이터베이스에 저장된 패킷 분석 정보를 상기 사용자 단말로 제공하는 단계를 포함하는, 악성 도메인 탐지 방법.
9. The method of claim 8, wherein automatically generating a malicious domain detection rule of the threat management system manager comprises:
Storing information analyzed by the threat management system sensor in a packet analysis information database;
Receiving an information request for an analysis result input from a user terminal; And
And providing packet analysis information stored in the packet analysis information database to the user terminal in response to the received information request.
네트워크상에서 전송되는 패킷 데이터를 수집하는 단계;
상기 수집된 패킷을 파싱하는 단계;
상기 파싱된 패킷을 분석하는 단계;
상기 분석 결과로 추출된 링크 정보에 해당하는 도메인 정보를 상기 위협 관리 시스템 매니저로 요청하는 단계;
상기 요청에 따라 상기 위협 관리 시스템 매니저로부터 상기 해당 도메인 정보에 해당하여 자동 생성되는 탐지룰 정보를 수신하는 단계; 및
상기 수신된 탐지룰에 의해 악성 도메인을 검사하는 단계를 포함하는, 악성 도메인 탐지 방법.
9. The method of claim 8, wherein the detecting of the threat management system sensor comprises:
Collecting packet data transmitted over a network;
Parsing the collected packets;
Analyzing the parsed packet;
Requesting the threat management system manager for domain information corresponding to the extracted link information as a result of the analysis;
Receiving detection rule information automatically generated corresponding to the corresponding domain information from the threat management system manager according to the request; And
And checking the malicious domain by the received detection rule.
상기 수집된 패킷에 포함된 요청 정보에서 URL 정보를 추출하는 단계;
HTTP 패킷의 헤더를 제외한 데이터에서 링크 정보를 전부 추출하여 해당 링크의 도메인이 악성 도메인인지를 검사하는 단계;
단축 URL 요청에 의한 리다이렉트 응답에서의 링크를 추출하여 검사하는 단계;
응답코드의 내용에서 링크를 추출하여 검사하는 단계; 및
요청시 XSS 행위가 있을 경우 그에 해당하는 응답으로 링크가 걸리는지를 검사하는 단계를 포함하는, 악성 도메인 탐지 방법.
13. The method of claim 12, wherein analyzing the packet comprises:
Extracting URL information from the request information included in the collected packet;
Extracting all the link information from the data excluding the header of the HTTP packet and checking whether the domain of the link is a malicious domain;
Extracting and inspecting a link in a redirect response based on the shortened URL request;
Extracting a link from the contents of the response code and inspecting the link; And
And if so, checking if a response is made in response to an XSS action upon request.
악성 도메인 탐지 시스템 센서에서 상기 악성 도메인 관리 서버로 악성 도메인에 대한 정보를 제공받고, 상기 악성 도메인에 대한 정보로부터 악성 도메인 탐지룰을 자동으로 생성하고, 상기 생성된 악성 도메인 탐지룰에 의해 네트워크상에서 전송되는 패킷에 악성 도메인 관련 링크 정보의 포함 여부를 탐지하는 단계; 및
악성 도메인 탐지 시스템 매니저에서, 상기 악성 도메인 탐지 시스템 센서에 의해 탐지된 결과를 제공받고, 사용자 단말의 요청에 따라 상기 탐지된 결과를 상기 사용자 단말에 제공하는 단계를 포함하는, 악성 도메인 탐지 방법.
Collecting information on malicious domains by an administrator's input or automatic collection by a malicious domain management server, and managing, maintaining, analyzing, or inspecting the collected malicious domains;
The malicious domain detection system sensor receives malicious domain information from the malicious domain management server, automatically generates a malicious domain detection rule from the malicious domain information, and transmits the malicious domain detection rule Detecting whether malicious domain related link information is included in the packet; And
Receiving a result detected by the malicious domain detection system sensor in the malicious domain detection system manager, and providing the detected result to the user terminal according to a request of the user terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120026387A KR101398740B1 (en) | 2012-03-15 | 2012-03-15 | System, method and computer readable recording medium for detecting a malicious domain |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120026387A KR101398740B1 (en) | 2012-03-15 | 2012-03-15 | System, method and computer readable recording medium for detecting a malicious domain |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130105769A true KR20130105769A (en) | 2013-09-26 |
KR101398740B1 KR101398740B1 (en) | 2014-05-27 |
Family
ID=49454022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120026387A KR101398740B1 (en) | 2012-03-15 | 2012-03-15 | System, method and computer readable recording medium for detecting a malicious domain |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101398740B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101443071B1 (en) * | 2013-12-10 | 2014-09-22 | 주식회사 브이시스템즈 | Error Check System of Webpage |
CN107786575A (en) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | A kind of adaptive malice domain name detection method based on DNS flows |
CN112861132A (en) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | Cooperative protection method and device |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102336384B1 (en) | 2020-11-11 | 2021-12-07 | 인천대학교 산학협력단 | AUTOMATIC DETECTION OF MALICIOUS URL ON THE INTERNET OF THINGS (IoT) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110129020A (en) * | 2010-05-25 | 2011-12-01 | (주)위너다임 | Malicious code prevention system using code analysis technique and method for operating the system |
-
2012
- 2012-03-15 KR KR1020120026387A patent/KR101398740B1/en active IP Right Grant
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101443071B1 (en) * | 2013-12-10 | 2014-09-22 | 주식회사 브이시스템즈 | Error Check System of Webpage |
CN107786575A (en) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | A kind of adaptive malice domain name detection method based on DNS flows |
CN107786575B (en) * | 2017-11-11 | 2020-07-10 | 北京信息科技大学 | DNS flow-based self-adaptive malicious domain name detection method |
CN112861132A (en) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | Cooperative protection method and device |
Also Published As
Publication number | Publication date |
---|---|
KR101398740B1 (en) | 2014-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
US9762543B2 (en) | Using DNS communications to filter domain names | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US8375120B2 (en) | Domain name system security network | |
KR101391781B1 (en) | Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction | |
WO2014129587A1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
EP1730917A1 (en) | Method and system for network intrusion detection, related network and computer program product | |
US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
JP2017016674A (en) | Illegal access detection and processing system, device, method, and computer readable recording medium | |
KR101398740B1 (en) | System, method and computer readable recording medium for detecting a malicious domain | |
Seo et al. | A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems | |
KR101045330B1 (en) | Method for detecting http botnet based on network | |
Xiong et al. | User-assisted host-based detection of outbound malware traffic | |
KR20130116418A (en) | Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
WO2015097889A1 (en) | Information processing device, information processing method, and program | |
KR100977827B1 (en) | Apparatus and method detecting connection mailcious web server system | |
JP6007308B1 (en) | Information processing apparatus, information processing method, and program | |
KR101851680B1 (en) | System, apparatus, method and computer readable recording medium for detecting and treating illegal access | |
US20230362176A1 (en) | System and method for locating dga compromised ip addresses | |
JP6105792B1 (en) | Information processing apparatus, information processing method, and program | |
JP6063593B1 (en) | Information processing apparatus, information processing method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170524 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180515 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190429 Year of fee payment: 6 |