• 제목/요약/키워드: botnet

검색결과 70건 처리시간 0.027초

IoT 네트워크에서 악성 트래픽을 탐지하기 위한 머신러닝 알고리즘의 성능 비교연구 (A comparative study of the performance of machine learning algorithms to detect malicious traffic in IoT networks)

  • 현미진
    • 디지털융복합연구
    • /
    • 제19권9호
    • /
    • pp.463-468
    • /
    • 2021
  • IoT는 기술의 발전과 IoT 기기의 보급 및 서비스의 활성화로 폭발적인 증가세를 보이고 있지만, 최근 다양한 봇넷의 활동에 의해 심각한 보안 위험과 재정적 피해가 발생하고 있다. 따라서 이러한 봇넷의 활동을 정확하고 빠르게 탐지하는 것이 중요하다고 할 수 있다. IoT 환경에서의 보안은 최소한의 프로세싱 성능과 메모리로 운영을 해야 하는 특성이 있는 만큼, 본 논문에서는 탐지를 위한 최소한의 특성을 선택하고, KNN(K-Nearest Neighbor), Naïve Bayes, Decision Tree, Random Forest와 같은 머신러닝 알고리즘이 봇넷의 활동을 탐지하는 성능을 비교연구 하였다. Bot-IoT 데이터셋을 사용한 실험 결과는 적용한 머신러닝 알고리즘 중 KNN이 DDoS, DoS, Reconnaissance 공격을 가장 효과적이고 효율적으로 탐지할 수 있음을 보여주었다.

사용자 의도 기반 응용계층 DDoS 공격 탐지 알고리즘 (A Novel Application-Layer DDoS Attack Detection A1gorithm based on Client Intention)

  • 오진태;박동규;장종수;류재철
    • 정보보호학회논문지
    • /
    • 제21권1호
    • /
    • pp.39-52
    • /
    • 2011
  • 서버의 응용계층에 대한 DDoS 공격은 매우 적은 량의 패킷으로 효과적인 공격이 가능하며, 공격 트래픽이 정상 트래픽과 유사하여 탐지가 매우 어렵다. 하지만 HTTP 응용계층 공격 트래픽에는 사용자 의도에 의한 특성이 있음을 찾았다. 정상 사용자와 DDoS 공격자는 동일하게 TCP 계층에서 세션을 맺는다. 이후 최소 한번의 HTTP Get 요구 패킷을 발생한다. 정상적인 HTTP 요구는 서버의 응답을 기다리지만 공격자는 Get 요청 직후 세션을 종료한다. 이러한 행위는 사용자 의도에 의한 차이로 해석할 수 있다. 본 논문에서는 이러한 차이를 기반으로 응용계층 분산서비스 거부 공격 탐지 알고리즘을 제안하였다. 제안된 알고리즘은 정상 네트워크와 봇 기반 분산서비스거부 공격 툴에서 발생한 트래픽으로 실험되었으며, 거의 오탐 없이 HTTP-Get 공격을 탐지함을 보여 주였다.

Evaluation of CAPTCHA Efficiency

  • Youthasoontorn, Passzarkorn;Phaibulpanich, Akarin;Piromsopa, Krerk
    • Journal of Information Technology Applications and Management
    • /
    • 제22권3호
    • /
    • pp.55-64
    • /
    • 2015
  • We propose statistical methods for evaluating the efficiency of CAPTCHA. Most people unfairly assumed that machines are not capable at reading precisely. This fact leads to the invention of CAPTCHA, a distorted word or short phase, which is designed to thwart computers and separate human from machines. However, advances in image recognition technologies mean that machines are constantly getting better at recognizing CAPTCHA. This forces CAPTCHA designers to design even more difficult CAPTCHAs to prevent their systems from being gamed by malicious bots. However, this arm race has an unintended side effect on the common users. Many CAPTCHAs are now so hard that many people are unable to read them. This obviously conflicts with the original purpose that CAPTCHA was invented in the first place. Our analysis shows that some CAPTCHAs are more users friendly. In particular, Yahoo-style CAPTCHA is the most friendliness. This suggests that a good CAPTCHA could be a simple text with some distortion that prevents machines from correctly segmenting characters.

System Hardening and Security Monitoring for IoT Devices to Mitigate IoT Security Vulnerabilities and Threats

  • Choi, Seul-Ki;Yang, Chung-Huang;Kwak, Jin
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제12권2호
    • /
    • pp.906-918
    • /
    • 2018
  • The advent of the Internet of Things (IoT) technology, which brings many benefits to our lives, has resulted in numerous IoT devices in many parts of our living environment. However, to adapt to the rapid changes in the IoT market, numerous IoT devices were widely deployed without implementing security by design at the time of development. As a result, malicious attackers have targeted IoT devices, and IoT devices lacking security features have been compromised by attackers, resulting in many security incidents. In particular, an attacker can take control of an IoT device, such as Mirai Botnet, that has insufficient security features. The IoT device can be used to paralyze numerous websites by performing a DDoS attack against a DNS service provider. Therefore, this study proposes a scheme to minimize security vulnerabilities and threats in IoT devices to improve the security of the IoT service environment.

메모리 감시를 이용한 허니팟 기반의 봇넷 역추적 (Botnet Traceback Based on Honeypot Using Memory Analysis)

  • 박찬호;강권학;권영찬;장희진;김철호
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2007년도 한국컴퓨터종합학술대회논문집 Vol.34 No.1 (D)
    • /
    • pp.25-28
    • /
    • 2007
  • 최근 인터넷에서는 붓넷을 기반으로 한 스팸 발송, 분산 서비스 거부 공격 등이 급증하고 있으며 이는 인터넷 기반 서비스에 큰 위협이 되고 있다. 간접 통신 메커니즘을 사용하는 봇넷 공격에 대한 근본적인 대응을 지원하는 역추적 기술의 개발이 필요하다. 본 논문에서는 메모리 감시 기반의 봇넷 역추적 기술을 제안한다. 이 기술은 메모리 감시 기술을 이용하여 봇 서버의 행위를 감시하며, 네트워크 감시를 통하여 봇 서버로 감염된 허니팟이 오용될 위험성을 낮춘다. 또한 봇 서버 정보에 대한 자동분석기능을 제공하여 공격탐지와 동시에 봇넷의 C&C 서버를 빠르게 추적한다.

  • PDF

가변 길이의 봇넷 트래픽 분류를 위한 마코브 체인 모델 설계 (Design of Markov Chain Model for Variable-Length Botnet Traffic Classification)

  • 이현종;어성율;김정미;김준호;김영호
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2019년도 추계학술발표대회
    • /
    • pp.968-971
    • /
    • 2019
  • 본 논문에서는 정상과 봇넷 트래픽을 분류하기 위해 트래픽 데이터에서 페이로드 패턴을 추한다. 추출된 가변 길이의 패턴으로 마코브 체인 분류 모델을 학습한다. 마코브 체인 모델은 상태 변이 확률을 계산하며, 봇넷 트래픽에서 나타나는 규칙적인 패턴을 학습하기 적합하다. 모델 성능 개선을 위해서 페이로드 패턴의 최소 길이와 마코브 체인 모델의 최적 상태 수 파라미터를 찾는다. 다중 분류 실험 결과로 약 0.95의 정확도와 0.02의 오탐률을 보였다.

웹 소스코드에 은닉된 Javascript URL 점검체계 (Detection System of Hidden Javascript URLs in Web Source Codes)

  • 박휘랑;조상일;박정규;조영호
    • 한국컴퓨터정보학회:학술대회논문집
    • /
    • 한국컴퓨터정보학회 2019년도 제59차 동계학술대회논문집 27권1호
    • /
    • pp.119-122
    • /
    • 2019
  • 최근 웹 변조 공격은 대형 포탈, 은행, 학교 등 접속자가 많은 홈페이지에 악성 URL을 불법 삽입하여 해당 URL을 통해 접속자 PC에 자동으로 악성코드 유포하고 대규모 봇넷(botnet)을 형성한 후 DDoS 공격을 수행하거나 감염 PC들의 정보를 지속적으로 유출하는 형태로 수행된다. 이때, 홈페이지에 삽입되는 악성 URL은 탐지가 어렵도록 Javascript 난독화 기법(obfuscation technique) 등으로 은밀히 삽입된다. 본 논문에서는 웹 소스코드에 은닉된 악성 Javascript URL들에 대한 일괄 점검체계를 제안하며, 구현된 점검체계의 prototype을 활용하여 점검성능에 대한 시험결과를 제시한다.

  • PDF

네트워크 기반의 경량 봇넷 탐지 시스템에 관한 연구 (A Study on Network Based Light-weight Botnet Detection System)

  • 강동완;임채태;정현철
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2010년도 추계학술발표대회
    • /
    • pp.1122-1125
    • /
    • 2010
  • 최근 봇넷은 금전적 이득을 원하는 범죄 집단에 의해 사이버 공격의 수단으로서 크게 확산되고 있다. 봇넷의 탐지는 이전부터 꾸준히 연구되었지만, 구성과 기능이 점차 진화되고 있는 봇넷을 탐지하기에는 큰 어려움이 따르고 있다. 봇넷의 탐지는 호스트 기반의 정적인 악성 코드 분석이나 네트워크 트래픽 분석등 어떠한 특정 시스템에 의존해서는 효율적인 탐지를 기대하기 어렵기 때문에 다양한 정보를 종합하여 탐지하여야 한다. 본 연구에서는 기존에 알려진 봇넷 정보와 악성 봇 바이너리 분석을 통해 알려진 정보와 네트워크 기반의 탐지 정보를 분석하여 전체적인 봇넷의 구성을 탐지할 수 있는 네트워크 기반의 경량 봇넷 탐지 시스템을 제안한다. 제안된 탐지 시스템은 대규모의 네트워크 환경에서도 단편적으로 알려진 봇넷의 부분 정보를 기반으로 전체적인 봇넷의 구성을 탐지할 수 있다.

봇넷의 악성행위 탐지를 위한 임계치 측정 방법론 (Threshold estimation methodology for detection of Botnet malicious activity)

  • 김도훈;인호;정현철
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2009년도 추계학술발표대회
    • /
    • pp.607-608
    • /
    • 2009
  • 최근 7.7 DDoS 대란과 폭발적인 SPAM 발송과 같은 다양한 봇넷의 악성행위는 정보 시스템에 막대한 악영향을 미친다. 특히, 봇넷의 구조적 특징인 좀비PC의 제어는 네트워크 환경에서는 다양한 악성 행위를 유발한다. 때문에, 봇넷 탐지와 관련한 다양한 연구가 시도되었지만, 탐지의 한계점을 지니고 있다. 즉, 기존의 봇넷 탐지 방법은 임의의 임계값을 설정하고, 그 값을 벗어나는 시점에서 경고를 보내어 탐지하게 된다. 하지만, 전문가에 의한 임계값 설정은 자칫 오탐율과 미탐율을 야기할 수 있다. 따라서, 본 논문에서는 봇넷 탐지를 보다 능동적으로 하기 위하여 특정 타임 윈도우 구간동안의 봇넷이 유발하는 네트워크 트래픽을 분석하고 마르코프 체인을 응용한 학습을 하여 능동적으로 적용 가능한 임계값을 측정 방법론에 대하여 고찰하고자 한다.

DHT 프로토콜 트래픽을 활용한 Mozi 봇넷 탐지 모델에 관한 연구 (A Study on the Mozi Botnet Detection Model Using DHT Protocol Traffics)

  • 김대현;이지수;문종인;박정우;유동영
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2023년도 춘계학술발표대회
    • /
    • pp.147-148
    • /
    • 2023
  • 확장하는 디지털 인프라에 발맞추어 IoT 산업또한 점점 시장을 넓히고 있다. IoT 보안위협에 대한 대응준비는 아직 미흡하며 Mozi 봇넷 등 신규 IoT 봇넷의 등장과 증가하는 피해사례는 상황을 더욱 악화시키고 있다. 이에 본 논문에서는 Mozi 봇넷의 동작 원리를 기반으로 한 DHT 프로토콜의 흐름의 특징을 네트워크 로그에서 추출하고 이를 기계학습에 적용하는 탐지모델을 제안한다.