Detecting Members of P2P Botnets Using Probabilistic Dye-Pumping Algorithm

Probabilistic Dye-Pumping 알고리즘을 이용한 P2P 봇넷 멤버 탐지

Botnet is a network that consists of bot hosts infected by malware. The C&C server of centralized botnet, which is being used widely, is relatively easy to detect, while detecting P2P botnet is not a trivial problem because of the existence of many avoiding techniques. In this paper, we separate the network into inner and outer sub-network at the location of the router, and analyze the method of detecting botnet using path of packet and infection probability. We have extended Dye-Pumping algorithm in order to detect P2P botnet members more accurately, and we expect that the analysis of the results can be used as a basis of techniques that detect and block P2P botnet in the networks.

봇넷은 악성 코드에 의해 감염된 봇 호스트들로 이루어진 네트워크를 의미한다. 보편적으로 쓰이고 있는 Centralized 봇넷의 경우 상대적으로 C&C 서버의 위치 탐지가 용이한 반면, P2P 봇넷은 여러가지 회피 기술로 인해 봇넷의 구조를 파악하기 어렵다. 본 논문에서는 라우터를 기준으로 내부, 외부 네트워크를 구분하고 내부와 외부 네트워크의 송수신 패킷의 경로, 감염 확률을 통해 봇넷을 탐지하는 방법에 대해 연구하였다. 본 연구에서는 기존의 P2P 봇넷 탐지 방법인 Dye-Pumping의 한계를 개선하였으며, 이는 단위 네트워크 내의 P2P 봇 호스트들을 탐지하고 이들의 활동을 사전에 방지하여 P2P 봇넷이 외부로 확산되는 것을 막을 수 있는 기술 마련의 기초로써 사용될 수 있을 것으로 기대된다.