• 정보보호학회지
• /
• 제22권8호
• /
• pp.7-14
• /
• 2012

이메일 스팸메일의 대부분은 악성코드에 감염된 좀비PC에 의해 발송된다. '11년 시만텍 보고서에 따르면 한국발 좀비PC에 의한 스팸메일 발송이 세계 1위를 차지했으며, '12년에도 상위수준을 유지하고 있다. 본 논문에서는 이메일의 패턴 분석을 통해 좀비PC 및 같은 공격명령을 받은 봇넷그룹을 자동으로 탐지하는 시스템을 개발하고, 이를 통해 산출된 다양한 데이터에 대한 분석결과를 제시한다. 좀비PC 및 봇넷그룹 탐지결과는 스팸메일 차단기술로 활용 가능할 뿐 아니라, 악성코드 유포동향 파악 등 다양한 목적의 분석에 활용 가능하다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.800-803
• /
• 2013

이메일을 기반으로 좀비PC 및 봇넷그룹을 탐지하는 알고리즘은 기존에 연구가 되었으나, 기존의 검증방식은 가상의 메일계정을 이용해 스팸메일을 수집하는 스팸트랩 시스템에서 추출한 이메일을 대상으로 하였다. 본 논문에서는 상용환경의 이메일을 대상으로 좀비PC를 탐지하고, 좀비PC를 이용한 추가 사이버 공격을 예방하기 위해 기존의 알고리즘을 보완하고, 이에 대한 좀비PC 탐지결과를 분석한다. 이를 통해, 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 대상으로 좀비IP를 탐지하여, 스팸메일을 차단하고 ISP와 연계하여 실제 조치를 유도할 수 있을 것으로 기대한다.

• 한국정보통신학회논문지
• /
• 제15권8호
• /
• pp.1720-1726
• /
• 2011

최근 증가하고 있는 DDoS 공격은 공격자가 피해 시스템을 공격하기 전에 미리 좀비PC를 확보해 두어야 한다. 좀비PC는 악성 코드에 감염되어 악성코드 제작자의 의도에 따라 명령을 수행하는 PC로 사용자 자신도 모르게 다양한 불법 행위에 악용된다. 이에 본 논문에서는 보안이 취약한 개인 PC가 좀비PC로 악용되는 경우를 감소시키고 좀비 PC 가능성이 있는 개인 PC의 인터넷 접속을 사전에 차단함으로써 DDoS 공격의 피해를 줄일 수 있는 방안을 제안하고자 한다. 제안 방안은 개별 PC의 평판을 계산하여 계속적으로 인터넷 접속을 허용할지 말지를 판정한다. 또한, 각종 실험을 통하여 좀비PC가 확산되는 양상과 제안 방안을 적용함으로써 DDoS 공격 감소에 어떠한 영향을 끼치는지 분석하였다.

• 융합보안논문지
• /
• 제13권1호
• /
• pp.79-86
• /
• 2013

본 연구는 최근 들어 DDoS 공격이 단순히 서비스를 방해하는 것에서 벗어나, 다양한 공격 기법을 혼합한 멀티벡터(Multi-Vector) 공격으로 발전하고 있다. 이러한 멀티벡터 공격은 DDoS 공격과 더불어 악성코드를 감염시켜, 내부 정보 유출 및 좀비PC를 만들어 DDoS 공격용에 활용될 경우에는 기존의 DDoS 공격 및 악성코드 감염에 대한 방어 전략으로는 한계점이 있다. 따라서 본 논문에서는 다양한 방법을 이용한 멀티벡터 공격을 효과적으로 방어하기 위한 Reverse Proxy Group과 PMS(Patch Management Server)를 제시하고자 한다.

• 한국정보통신학회논문지
• /
• 제19권6호
• /
• pp.1374-1379
• /
• 2015

DDoS와 같은 악성 네트워크 공격은 뚜렷한 대비책이 없으며, 그 피해 또한 막대하다. 특히, 스마트폰이 감염되어 좀비화 될 경우 통신요금 과금 및 개인정보 유출 등 네트워크 장애와 더불어 다양한 사용자 피해가 예상된다. 본 연구에서는 스마트폰이 악성코드에 감염되어 좀비 서비스가 실행되는 동안 나타나는 현상 및 징들을 추출하고 좀비 스마트폰을 예방하는 대응기술을 소개한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2015년도 춘계학술대회
• /
• pp.222-223
• /
• 2015

DDoS와 같은 악성 네트워크 공격은 뚜렷한 대비책이 없으며, 그 피해 또한 막대하다. 특히, 스마트폰이 감염되어 좀비화 될 경우 통신요금 과금 및 개인정보 유출 등 네트워크 장애와 더불어 다양한 사용자 피해가 예상된다. 본 연구에서는 좀비 PC에서 나타나는 특징들을 바탕으로 스마트폰이 악성코드에 감염되어 좀비 서비스가 실행되는 동안 나타나는 현상 및 특징들을 추출한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 춘계학술발표대회
• /
• pp.452-455
• /
• 2015

허니넷이란 공격자에게 인위적으로 침해된 후 공격자의 행동을 관찰할 수 있는 정보보호 체계 중 하나로 사전에 취약한 자원을 준비하여 공격자가 외부에서 접근할 수 있도록 구축하는 것이 일반적이다. 하지만 최근 사이버 공격은 외부에서 발생하기보다는 내부에 좀비PC를 만든 후 내부 경유지로 활용하여 공격하는 것이 추세이다. 따라서 기존 허니넷으로는 내부 경유지를 활용한 공격에 적극적으로 대응할 수 없는 것이 현실이다. '11년 농협 전산망 마비 사태의 경우 유지보수 업체의 PC가 내부 경유지로 활용되어 기업 내부망에 침입한 사례로 공격자는 내부 스캔을 통해 주요 자원을 식별하여 사이버 공격을 수행하였다. 이처럼 내부 경유지를 활용한 공격의 시작점은 내부 스캔단계로 사전에 이를 식별할 수 있다면 많은 피해를 사전에 예방할 수 있을 것이다. 이에 본 논문에서는 내부 스캔공격을 식별할 수 있는 Simple 허니팟을 구현하고 이를 활용한 분산 허니넷을 구축하여 내부공격에 대한 효과적인 대응방안에 대하여 제안하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 추계학술발표대회
• /
• pp.607-608
• /
• 2009

최근 7.7 DDoS 대란과 폭발적인 SPAM 발송과 같은 다양한 봇넷의 악성행위는 정보 시스템에 막대한 악영향을 미친다. 특히, 봇넷의 구조적 특징인 좀비PC의 제어는 네트워크 환경에서는 다양한 악성 행위를 유발한다. 때문에, 봇넷 탐지와 관련한 다양한 연구가 시도되었지만, 탐지의 한계점을 지니고 있다. 즉, 기존의 봇넷 탐지 방법은 임의의 임계값을 설정하고, 그 값을 벗어나는 시점에서 경고를 보내어 탐지하게 된다. 하지만, 전문가에 의한 임계값 설정은 자칫 오탐율과 미탐율을 야기할 수 있다. 따라서, 본 논문에서는 봇넷 탐지를 보다 능동적으로 하기 위하여 특정 타임 윈도우 구간동안의 봇넷이 유발하는 네트워크 트래픽을 분석하고 마르코프 체인을 응용한 학습을 하여 능동적으로 적용 가능한 임계값을 측정 방법론에 대하여 고찰하고자 한다.

• 인터넷정보학회논문지
• /
• 제20권6호
• /
• pp.11-20
• /
• 2019

수많은 기업체, 기관, 개인 사용자가 대규모 DDos(Distributed Denial of Service)공격에 의한 피해에 노출되고 있다. DDoS 공격은 좀비PC라 불리는 수많은 컴퓨터들과 계층적 지령구조를 좀비PC들을 제어하는 네트워크인 봇넷을 통하여 수행된다. 통상의 악성코드 탐지 소프트웨어나 백신은 멀웨어를 탐지하기 위해서 사전에 심층 분석을 통한 멀웨어 시그니처를 밝혀야 하며, 이를 탐지 소프트웨어나 백신에 업데이트하여야 한다. 이 과정은 방대한 시간과 비용이 소모된다. 본고에서는 인공신경망 모델을 이용하여 주기적인 시그니처 사전 업데이트가 필요 없는 봇넷 탐지기법을 제안한다. 제안하는 인공신경망 모델은 Word2Vec과 가속화 계층적 밀집도 기반 클러스터링을 활용한다. 제안기법의 봇넷 탐지성능은 CTU-13 데이터셋을 이용하여 평가하였다. 성능평가 결과, 분류 정확도 99.9%로 기존 방법에 비해 우수한 멀웨어 탐지율을 보인다.

• 정보보호학회논문지
• /
• 제24권3호
• /
• pp.491-498
• /
• 2014

최근, 지능화된 공격기법을 통한 사이버테러가 지속적으로 발생하고 있으며 특히, 알려지지 않은 신종 악성코드를 사용하기에 탐지 및 대응이 매우 어렵다. 본 논문에서는 대용량 데이터 분석을 통해, 악성코드 침투단계 이후에, 좀비PC와 공격자와 통신을 사전탐지, 대응하는 알고리즘 개발 및 상용환경에서 검증하였다. 향후, 알고리즘의 고도화, 대용량 데이터 처리기술 적용을 통해, APT 공격의 탐지성능이 향상될 것으로 예상한다.