• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06d
• /
• pp.72-76
• /
• 2010

네트워크가 발전함에 따라 다양한 종류의 악성 소프트웨어들이 현대의 보안을 위협하고 있다. 최근 이러한 악성 소프트웨어 중 하나인 봇의 경우 스스로 네트워크를 구축하고, 이를 이용한 다양한 형태의 공격들에 활용되고 있다. 본 논문에서는 최근 위협이 되고 있는 봇넷 탐지의 연구 방향성을 제안한다. 이를 위해 봇넷의 특성을 분석하고, 기존의 탐지 방식들에 대해서 기술한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.25-28
• /
• 2007

최근 인터넷에서는 붓넷을 기반으로 한 스팸 발송, 분산 서비스 거부 공격 등이 급증하고 있으며 이는 인터넷 기반 서비스에 큰 위협이 되고 있다. 간접 통신 메커니즘을 사용하는 봇넷 공격에 대한 근본적인 대응을 지원하는 역추적 기술의 개발이 필요하다. 본 논문에서는 메모리 감시 기반의 봇넷 역추적 기술을 제안한다. 이 기술은 메모리 감시 기술을 이용하여 봇 서버의 행위를 감시하며, 네트워크 감시를 통하여 봇 서버로 감염된 허니팟이 오용될 위험성을 낮춘다. 또한 봇 서버 정보에 대한 자동분석기능을 제공하여 공격탐지와 동시에 봇넷의 C&C 서버를 빠르게 추적한다.

• Review of KIISC
• /
• v.18 no.3
• /
• pp.101-108
• /
• 2008

어떤 조직이나 개인을 상대로 한 인터넷 자원에 대한 분산 서비스 거부 공격이 통상적인 위험이 되고 있다. 이런 공격은 봇넷이라는 수많은 감염되거나 침해된 좀비 머신을 통하여 이루어지고 있다. 우리나라에서는 홈네트워크의 구축으로 광대역 액세스를 가진 개인사용자의 호스트 컴퓨터가 주 공격대상이 될 수 있다. 특히 개인 사용자들은 인터넷 보안에 대한 낮은 인식과 제한된 방어 자원으로 인하여 공격자의 대표적인 타깃이 되고 있다. IRC(Internet Relay Chat) 네트워크를 이용하여 감염된 인터넷 호스트를 제어하고 관리하는 공격들이 증가하고 있어, 이에 대한 대책이 절실히 요구되고 있는 실정이다. 따라서 본 논문에서는 인터넷 호스트들을 감염시키고 원격에서 제어하는 악성 봇/봇넷의 기술 개요에 대하여 기술하고 분석하고자 한다. 또한 최근 증가하고 있는 P2P 봇넷에 대하여도 알아보고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.147-148
• /
• 2023

확장하는 디지털 인프라에 발맞추어 IoT 산업또한 점점 시장을 넓히고 있다. IoT 보안위협에 대한 대응준비는 아직 미흡하며 Mozi 봇넷 등 신규 IoT 봇넷의 등장과 증가하는 피해사례는 상황을 더욱 악화시키고 있다. 이에 본 논문에서는 Mozi 봇넷의 동작 원리를 기반으로 한 DHT 프로토콜의 흐름의 특징을 네트워크 로그에서 추출하고 이를 기계학습에 적용하는 탐지모델을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.11a
• /
• pp.1429-1432
• /
• 2008

최근 DDoS 공격의 의도와 공격형태가 날로 다양해지고 그 피해규모가 심각해짐에 따라 DDoS를 탐지하고 이를 방어하기 위한 연구들이 활발하게 진행되고 있다. 한편, 봇넷은 이러한 DDoS 공격을 수행하는 도구로서 여러 연구기관들에 의해 새로운 위협적인 요소로 보고되고 있다. 본 연구에서는 보안상 상대적으로 취약하다고 알려져 있는 교내망에서 실제 봇넷 트래픽을 찾아내고 분석하였다. 이를 통해 봇넷의 특성을 밝혀내고 이와 관련된 연구의 기초자료로 사용될 수 있을 것이다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.21 no.3
• /
• pp.101-115
• /
• 2011

A botnet is a huge network of hacked zombie PCs. Recognizing the fact that the majority of email spam is sent out by botnets, a system that is capable of detecting botnets and zombie PCS will be designed in this study by analyzing email spam. In this study, spam data collected in "an email spam trail system", Korea's national spam collection system, were used for analysis. In this study, we classified the spam groups by the URLs or attached files, and we measured how much the group has the characteristics of botnet and how much the IPs have the characteristics of zombie PC. Through the simulation result in this study, we could extract 16,030 zombie suspected PCs for one hours and it was verified that email spam can provide considerably useful information in tracing zombie PCs.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2019.10a
• /
• pp.968-971
• /
• 2019

본 논문에서는 정상과 봇넷 트래픽을 분류하기 위해 트래픽 데이터에서 페이로드 패턴을 추한다. 추출된 가변 길이의 패턴으로 마코브 체인 분류 모델을 학습한다. 마코브 체인 모델은 상태 변이 확률을 계산하며, 봇넷 트래픽에서 나타나는 규칙적인 패턴을 학습하기 적합하다. 모델 성능 개선을 위해서 페이로드 패턴의 최소 길이와 마코브 체인 모델의 최적 상태 수 파라미터를 찾는다. 다중 분류 실험 결과로 약 0.95의 정확도와 0.02의 오탐률을 보였다.

• Review of KIISC
• /
• v.31 no.6
• /
• pp.41-46
• /
• 2021

홈, 산업 환경, 운송 네트워크 및 기타 장소의 사물 인터넷 장치가 계속 확산됨에 따라 악의적인 IoT 네트워크 공격자의 공격 표면도 증가하고 있다. 2021년 4월 IBM에 따르면 네트워크 공격 지표 중 전체 IoT 공격이 매년 500% 증가하고 있다. X-Force 연구에 따르면 이 급증은 주로 미라이 봇넷과 코드를 공유하는 비교적 새로운 봇넷인 Mozi 봇넷 활동에 의해 발생한다. 2020년에 이 악성코드는 한 해 동안 탐지된 총 IoT 공격의 89%를 차지했다. 2020년 3월 팔로알토 네트웍스의 Unit 42 IoT Threat Report에 따르면 IoT 임베디드 기기 대상 위협은 익스플로잇 감염, 멀웨어, 사용자 정보 탈취로 나뉜다. 그 중 IoT 임베디드 기기의 주요 익스플로잇은 네트워크 스캔, RCE, Command injection, Buffer Overflow 등으로 관찰된다. 본 논문에서는 이러한 IoT 환경에서의 취약점 악용 공격 대응 및 탐지 정책 생성을 위해 IoT 취약점을 악용한 익스플로잇을 분석 연구하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.33 no.2
• /
• pp.267-280
• /
• 2023

With development of computing and communications technologies, IoT environments based on high-speed networks have been extending rapidly. Especially, from home to an office or a factory, applications of IoT devices with sensing environment and performing computations are increasing. Unfortunately, IoT devices which have limited hardware resources can be vulnerable to cyber attacks. Hence, there is a concern that an IoT botnet can give rise to information leakage as a national cyber security crisis arising from abuse as a malicious waypoint or propagation through connected networks. In order to response in advance from unknown cyber threats in IoT networks, in this paper, We firstly define four types of We firstly define four types of characteristics by analyzing darknet traffic accessed from an IoT botnet. Using the characteristic, a suspicious IP address is filtered quickly. Secondly, the filtered address is identified by Cyber Threat Intelligence (CTI) or Open Source INTelligence (OSINT) in terms of an unknown suspicious host. The identified IP address is finally fingerprinted to determine whether the IP is a malicious host or not. To verify a validation of the proposed method, we apply to a Darknet on real-world SOC. As a result, about 1,000 hosts who are detected and blocked preemptively by the proposed method are confirmed as real IoT botnets.

• Journal of Digital Convergence
• /
• v.19 no.9
• /
• pp.463-468
• /
• 2021

Although the IoT is showing explosive growth due to the development of technology and the spread of IoT devices and activation of services, serious security risks and financial damage are occurring due to the activities of various botnets. Therefore, it is important to accurately and quickly detect the activities of these botnets. As security in the IoT environment has characteristics that require operation with minimum processing performance and memory, in this paper, the minimum characteristics for detection are selected, and KNN (K-Nearest Neighbor), Naïve Bayes, Decision Tree, Random A comparative study was conducted on the performance of machine learning algorithms such as Forest to detect botnet activity. Experimental results using the Bot-IoT dataset showed that KNN can detect DDoS, DoS, and Reconnaissance attacks most effectively and efficiently among the applied machine learning algorithms.