• 정보처리학회논문지C
• /
• 제18C권3호
• /
• pp.127-134
• /
• 2011

악성 봇넷은 DDoS(Distributed Denial of Service) 공격이나 각종 스팸 메시지 발송, 개인 정보 탈취, 클릭 사기 등 많은 악성 행위에 이용되고 있다. 이를 방지하기 위해 많은 연구가 선행되었지만 악성 봇넷 또한 진화하여 탐지 시스템을 회피하고 있다. 특히 최근에는 어플리케이션 계층의 취약성을 공략한 HTTP GET 공격이 주로 사용되고 있다. 한국전자통신연구원에서 개발한 ALADDIN 시스템의 ALAB(Application Layer Attack detection Block)는 서비스 거부 공격 HTTP GET, Incomplete GET Request flooding 공격을 탐지하는 알고리즘이 적용된 탐지 시스템이다. 본 논문에서는 ALAB 탐지 알고리즘의 Incomplete GET 탐지 알고리즘을 확장하고 장기간 조사한 정상적인 패킷 및 공격 패킷들의 분석을 통해 최적 threshold를 도출하여 ALAB 알고리즘의 유효성을 검증한다.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.101-115
• /
• 2011

봇넷(Botnet)은 이미 해킹당한 좀비 PC들로 구성된 거대한 네트워크이다. 본 논문에서는 대다수의 스팸이 봇넷에 의해 발송되고 있다는 점에 착안하여 스팸메일을 분석하여 봇넷과 좀비 PC들을 탐지할 수 있는 시스템을 설계하고 이를 검증하였다. 특히, 본 논문에서는 국가차원에서 스팸 수집 분석 증거물 확보를 목적으로 KISA에서 운영하고 있는 이메일 스팸 트랩 시스템에서 수집된 방대한 스팸 메일을 분석에 활용하였다. 본 논문에서는 동일한 URL이나 첨부파일을 가진 스팸을 하나의 그룹으로 분류하고, 각 그룹의 전체 IP들이 어느 정도 봇넷의 특정을 가지고 있는지와 그룹 내의 각각의 IP들이 어느 정도 좀비 PC의 특정을 가지고 있는지를 측정하여 봇넷 그룹과 좀비 PC를 판별할 수 있도록 설계하였다. 제안된 시스템의 시뮬레이션 결과 1시간동안 16,030개의 좀비 의심 PC를 추출할 수 있었으며, 이메일 스팸이 좀비 PC를 추적하는데 상당히 유용한 정보를 제공해 줄 수 있음을 확인할 수 있었다.

• 한국통신학회논문지
• /
• 제37B권11호
• /
• pp.1082-1089
• /
• 2012

최근 사이버 공간에서는 대규모 사이버 공격들을 위해 봇넷(Botnet)을 형성하여 자산 손실과 같은 경제적 위협뿐만 아니라 Stuxnet과 같은 국가적으로 위협이 되고 있다. 진화된 봇넷은 DNS(Domain Name System)를 악용하여 C&C 서버와 좀비간의 통신 수단으로 사용하고 있다. DNS는 인터넷에서의 주요 인프라이고, 무선 인터넷의 대중화로 지속적으로 DNS 트래픽이 증가되고 있다. 반면에, 도메인 주소를 이용한 공격들도 증가되고 있는 현실이다. 본 논문에서는 지도 학습 기반의 데이터 분류 기술을 이용한 DNS 트래픽 기반의 사이버 위협 도메인 탐지 기술에 대해 연구한다. 더불어, 개발된 DNS 트래픽을 이용한 사이버위협 도메인 탐지 시스템은 대용량의 DNS데이터를 수집, 분석, 정상/비정상 도메인 분류 기능을 제공한다.

• 정보보호학회지
• /
• 제24권1호
• /
• pp.39-44
• /
• 2014

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 춘계학술발표대회
• /
• pp.362-365
• /
• 2015

DDoS 공격의 빈도와 규모가 계속 증가하고 있으며 그에 따른 피해와 파급도 커지고 있다. 최근 동향에서 봇넷을 이용한 패킷 플루딩 공격이 여전히 상위 공격순위를 차지하고 있다. 공격유형으로는 TCP SYN, UDP fragment 및 SSDP 플루딩 공격 등이 여전히 강세를 보이고 있다. 이러한 공격들은 source IP가 변조된 악의적인 패킷을 대량으로 발생시켜서 공격대상 네트워크 인프라를 마비시킨다. DDoS 공격 탐지를 위해서는 내부로 유입되는 초당 패킷수와 사용자와 서버간의 연결이 네트워크 플로우수의 변화를 관측하는 것이 필요하며 방어를 위해 트래픽 제어 기술이 필요하다. 이에 본 논문에서는 네트워크 서비스 분석 및 제어 기술인 DPI/QoS 솔루션을 이용한 플로우 기반의 DDoS 탐지 및 방어 시스템을 제안한다. 네트워크 모니터링과 제어를 위하여 사용하던 DPI/QoS 솔루션에 DDoS 탐지 및 방어기능을 추가함으로써 효율성 및 경제성에서 강점을 가질 것으로 기대한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.800-803
• /
• 2013

이메일을 기반으로 좀비PC 및 봇넷그룹을 탐지하는 알고리즘은 기존에 연구가 되었으나, 기존의 검증방식은 가상의 메일계정을 이용해 스팸메일을 수집하는 스팸트랩 시스템에서 추출한 이메일을 대상으로 하였다. 본 논문에서는 상용환경의 이메일을 대상으로 좀비PC를 탐지하고, 좀비PC를 이용한 추가 사이버 공격을 예방하기 위해 기존의 알고리즘을 보완하고, 이에 대한 좀비PC 탐지결과를 분석한다. 이를 통해, 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 대상으로 좀비IP를 탐지하여, 스팸메일을 차단하고 ISP와 연계하여 실제 조치를 유도할 수 있을 것으로 기대한다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2010년도 춘계학술발표논문집 1부
• /
• pp.214-217
• /
• 2010

DDoS(distributed denial of service)공격은 1990년 중반에 처음 나타나기 시작하여 1,2세대 네트워크 자체에 대한 트래픽 폭주형태의 공격에서부터 3세대 봇넷을 이용하여 특정 서버와 특정서비스를 마비시키기 위한 공격을 거쳐 4세대의 분산 형식의 C&C를 이용하는 공격의 유형으로 발전 하고 있다. DDoS공격은 점점 지능화 되고 있으며 기존의 IDS(Intrusion Detection System) 시스템을 이용한 탐지방법으로 공격을 탐지하기에는 어려움이 존재한다. 본 논문은 IDS시스템을 보다 더 지능화시키기 위한 논문으로 IDS는 내부시스템으로부터 쿼리를 넘겨받아 업데이트를 수행하고 업데이트를 수행함과 동시에 라우터에게 C&C서버로부터 나오는 패킷을 차단하도록 알려 준다. 즉, IDS에서 일어나는 False Negative문제를 줄여줌으로써 DDoS 공격에 대하여 Zombie시스템을 생성하지 못하도록 하고자 하는데 그 목적이 있으며 점점 지능화되어 가고 있는 DDoS공격에 대하여 차단을 하고자 하는 방향성을 제시하고 있다.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.807-816
• /
• 2015

최근 10년 전부터 대부분의 조직화된 사이버 공격은 원격의 Botmaster에 의해 통제되는 감염된 컴퓨터들의 거대한 네트워크인 Botnet을 통해 이루어졌다. Botnet 탐지는 상당한 양의 네트워크 트래픽 분석이 필요하기 때문에 탐지 정확도와 시스템 확장성간의 적절한 타협이 요구된다. 본 연구에서는 높은 탐지율을 제공하면서 시스템 확장성이 가능한 하둡 기반의 새로운 P2P Botnet 탐지 기법을 제안한다. 또한, 본 제안 기법은 레이블이 되지 아니한 공격 데이터 뿐만 아니라 암호화된 공격 트래픽에도 적용이 가능한 특징을 가지고 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제1권1호
• /
• pp.55-60
• /
• 2012

최근 봇넷(Botnet)은 탐지 기술을 피하기 위하여 C&C(Command and Control)서버 접속시 DNS(Domain Name System) 서비스를 이용하고 있다. DNS 서비스를 이용한 비정상 행위에 대응하기 위해서 DNS 트래픽 기반의 분석 연구가 필요하다. 본 논문에서는 좀비PC의 C&C서버 도메인주소 질의와 같은 DNS트래픽 기반의 비정상 도메인 분류(Classification)를 위해서 DNS트래픽 수집 및 지도학습(Supervised Learning)에 대해 연구한다. 특히, 본 논문에서는 PCA(Principal Component Analysis) 주성분분석 기술을 통해 DNS 기반의 분류시스템에서의 효과적인 분석 성분들을 구성할 수 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권4호
• /
• pp.135-140
• /
• 2015

WDSS는 네트워크 연동구간을 이용한 DDoS 대피소 시스템에 L7 스위치와 웹캐시서버를 추가 구성하여 웹 응용계층 DDoS 공격에 대한 방어성능을 향상시킨 시스템이다. WDSS는 웹 DDoS 공격 발생 시 백본 네트워크로부터 트래픽을 우회한 뒤 비정상 요청은 DDoS 차단시스템과 L7 스위치에서 차단하고 정상적인 클라이언트의 요청에 대해서만 웹캐시서버가 응답하게 함으로써 소규모 트래픽 기반의 세션 고갈형 DDoS 공격에 대응하고 정상적인 웹서비스를 유지한다. 또한 정상 트래픽을 웹서버로 재전송하기 위한 IP 터널링 설정이 없이도 공격 대응이 가능하다. 본 논문은 WDSS를 국내 ISP 백본 네트워크상에 구축하여 시스템 작동에 대한 유효성과 웹 응용계층 DDoS 공격 방어성능을 검증한 결과를 다룬다. 웹 DDoS 방어성능 평가는 실제 봇넷과 동일한 공격 종류와 패킷수의 공격을 수행할 수 있는 좀비 PC로 구성한 DDoS 모의테스트 시스템을 이용하여 실시하였다. 웹 응용계층 DDoS 공격 종류와 강도를 달리하여 WDSS의 웹 DDoS 방어성능을 분석한 결과 기존의 DDoS 대피소 시스템에서 탐지/방어하지 못한 소규모 트래픽에 기반하며 동일 플로우를 반복적으로 발생하지 않는 웹 DDoS 공격을 탐지/방어할 수 있었다.