한국정보처리학회:학술대회논문집 (Proceedings of the Korea Information Processing Society Conference)

한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

봇넷의 악성행위 탐지를 위한 임계치 측정 방법론

Threshold estimation methodology for detection of Botnet malicious activity

  • 김도훈 (고려대학교 컴퓨터.전파통신 공학과) ;
  • 인호 (고려대학교 컴퓨터.전파통신 공학과) ;
  • 정현철 (한국인터넷진흥원)
  • Kim, Do-Hoon (Dept of Computer and Radio Communications Engineering, Korea University) ;
  • In, Hoh Peter (Dept of Computer and Radio Communications Engineering, Korea University) ;
  • Jeong, Hyun-Cheol (Korea Internet & Security Agency)
  • 발행 : 2009.11.13
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 7.7 DDoS 대란과 폭발적인 SPAM 발송과 같은 다양한 봇넷의 악성행위는 정보 시스템에 막대한 악영향을 미친다. 특히, 봇넷의 구조적 특징인 좀비PC의 제어는 네트워크 환경에서는 다양한 악성 행위를 유발한다. 때문에, 봇넷 탐지와 관련한 다양한 연구가 시도되었지만, 탐지의 한계점을 지니고 있다. 즉, 기존의 봇넷 탐지 방법은 임의의 임계값을 설정하고, 그 값을 벗어나는 시점에서 경고를 보내어 탐지하게 된다. 하지만, 전문가에 의한 임계값 설정은 자칫 오탐율과 미탐율을 야기할 수 있다. 따라서, 본 논문에서는 봇넷 탐지를 보다 능동적으로 하기 위하여 특정 타임 윈도우 구간동안의 봇넷이 유발하는 네트워크 트래픽을 분석하고 마르코프 체인을 응용한 학습을 하여 능동적으로 적용 가능한 임계값을 측정 방법론에 대하여 고찰하고자 한다.

키워드