• 제목/요약/키워드: botnet

검색결과 70건 처리시간 0.025초

ALADDIN의 어플리케이션 계층 공격 탐지 블록 ALAB 알고리즘의 최적 임계값 도출 및 알고리즘 확장 (Optimal thresholds of algorithm and expansion of Application-layer attack detection block ALAB in ALADDIN)

  • 유승엽;박동규;오진태;전인오
    • 정보처리학회논문지C
    • /
    • 제18C권3호
    • /
    • pp.127-134
    • /
    • 2011
  • 악성 봇넷은 DDoS(Distributed Denial of Service) 공격이나 각종 스팸 메시지 발송, 개인 정보 탈취, 클릭 사기 등 많은 악성 행위에 이용되고 있다. 이를 방지하기 위해 많은 연구가 선행되었지만 악성 봇넷 또한 진화하여 탐지 시스템을 회피하고 있다. 특히 최근에는 어플리케이션 계층의 취약성을 공략한 HTTP GET 공격이 주로 사용되고 있다. 한국전자통신연구원에서 개발한 ALADDIN 시스템의 ALAB(Application Layer Attack detection Block)는 서비스 거부 공격 HTTP GET, Incomplete GET Request flooding 공격을 탐지하는 알고리즘이 적용된 탐지 시스템이다. 본 논문에서는 ALAB 탐지 알고리즘의 Incomplete GET 탐지 알고리즘을 확장하고 장기간 조사한 정상적인 패킷 및 공격 패킷들의 분석을 통해 최적 threshold를 도출하여 ALAB 알고리즘의 유효성을 검증한다.

DGA 봇넷 도메인 감지 및 패밀리 분류 연구 동향 (Survey on DGA Botnet Domain Detection and Family Classification)

  • 이정민;강민재;이연준
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2023년도 추계학술발표대회
    • /
    • pp.543-546
    • /
    • 2023
  • 봇넷은 지속적으로 사이버 범죄에 이용되고 있으며 네트워크 환경에 큰 위협이 되고 있다. 기존에는 봇들이 C&C 서버와 통신하는 것을 방지하기 위해 블랙리스트를 기반으로 DNS 서버에서 봇넷 도메인을 탐지하는 방식을 주로 사용하였다. 그러나 도메인 생성 알고리즘(DGA)을 이용하는 봇넷이 증가하면서 기존에 사용하던 블랙리스트 기반의 도메인 차단 방식으로는 더 이상 봇넷 도메인을 효율적으로 차단하기 어려워졌다. 이에 따라 봇넷 도메인 생성 알고리즘을 통해 생성되는 도메인의 특성을 분석하고 이를 토대로 봇넷 도메인을 식별하고 차단하고자 하는 시도가 계속되고 있다. 특히 연속적인 데이터 처리에 주로 사용되는 딥러닝 알고리즘을 이용하여 봇넷 도메인의 특징을 효과적으로 추출하고 정확도가 높은 탐지 모델을 구축하고자 하는 연구가 주를 이루고 있으며, 탐지뿐만 아니라 봇넷 그룹(Family) 분류까지 연구가 확장되고 있다. 이에 본 논문에서는 봇넷 도메인 생성 알고리즘에 의해 생성되는 봇넷 도메인을 식별 및 분류하기 위해 딥러닝 기술을 적용한 최근 연구 동향을 조사하고 앞으로의 연구 방향성을 논의하고자 한다.

스마트폰에서 효율적인 봇 탐지 기법 (An Efficient Bot Detection Mechanism in Smartphones)

  • 최우진;박지연;정진만;허준영;전광일
    • 한국인터넷방송통신학회논문지
    • /
    • 제15권1호
    • /
    • pp.61-68
    • /
    • 2015
  • 최근 스마트폰의 급속한 확대로 다양한 형태의 보안 위협이 증가하고 있다. 그 중 감염된 스마트폰은 개인정보 유출뿐만 아니라 사이버 테러와 같은 DDOS 공격에도 악용될 수 있어 매우 위험하다. 하지만 기존 기법들은 배터리를 사용하는 스마트폰에서는 적합하지 않거나 별도의 저장소를 필요로 하는 문제점이 있다. 본 논문에서는 스마트폰에서 효율적인 봇 탐지 기법을 제안한다. 제안 기법은 수신 트래픽을 대상으로 탐지하는 기존 기법과 다르게 제안 기법은 송신 트래픽만을 대상으로 탐지하므로 수신 트래픽보다 송신 트래픽이 적은 스마트폰에서 더욱 에너지 효율적이다. 또한 의도하지 않은 트래픽을 유발하는 로그 정보들을 외부 통합 서버에 수집하여 봇뿐만 아니라 봇넷을 탐지할 수 있다. 제안 기법을 안드로이드 스마트폰에서 구현하고 성능 평가를 한 결과 효과적으로 봇을 탐지할 수 있음을 확인하였다.

비 자율적 노드 위치 결정을 통한 DHT 네트워크 ID 매핑 공격 방지 (Preventing ID Mapping Attacks on DHT Networks through Non-Voluntary Node Locating)

  • 이철호;최경희;정기현;김종명;윤영태
    • 정보보호학회논문지
    • /
    • 제23권4호
    • /
    • pp.695-707
    • /
    • 2013
  • Kademlia와 같은 DHT(Distributed Hash Table) 네트워크는 참여노드들이 네트워크 토폴로지 상에서 자신의 위치를 자율적으로 결정하는 구조를 가지고 있으며 이를 악용한 ID 매핑 공격에 매우 취약하다. 그 결과 DHT 네트워크에서는 eclipse, DRDoS, 봇넷 은닉통신 등의 보안 문제가 지속적으로 발생되고 있다. 본 논문에서는 ID 매핑 공격을 방지하기 위한 비 자율적 노드 위치 결정 방법을 제안하고 NAT 호환성, 공격 저항성, 네트워크 다양성의 세 가지 측면의 분석을 통해 타 방어기법들과 비교를 수행하였다. 분석결과, 제안된 방법은 타 방어기법과 동등한 수준의 공격 저항성을 나타냄과 동시에 타 방어기법이 갖는 단점인 NAT 호환성과 네트워크 다양성 문제를 극복할 수 있음을 확인하였다.

사이버공격 탐지를 위한 클라우드 컴퓨팅 활용방안에 관한 연구 (A Study on Cloud Computing for Detecting Cyber Attacks)

  • 이준원;조재익;이석준;원동호
    • 한국항행학회논문지
    • /
    • 제17권6호
    • /
    • pp.816-822
    • /
    • 2013
  • 최근 악성코드의 다양화와 변종 발생 주기가 기존대비 지극히 단시간에 이루어지고 있으며, 네트워크 환경 또한 기존 보다 그 속도와 데이터 전송량이 급격히 증가하고 있다. 따라서 기존 침입 탐지 연구 및 비정상 네트워크 행위 분석 연구와 같이 정상과 비정상 네트워크 환경을 구성하여 데이터를 수집 분석하는 것은 현실적으로 환경 구성에 어려움이 많다. 본 논문에서는 기존 단순 네트워크 환경이 아닌 근래 많이 연구가 진행되고 서비스가 활발히 이루어지고 있는 클라우드 환경에서의 악성코드 분석 데이터 수집을 통하여 보다 효과적으로 데이터를 수집하고 분석하였다. 또한 단순한 악성 코드 행위가 아닌 DNS 스푸핑이 포함된 봇넷 클라이언트와 서버를 적용하여 보다 실제 네트워크와 유사한 환경에서 악성 코드 데이터를 수집하고 분석하였다.

IoT 봇넷 악성코드 기반 침해사고 흔적 수집 방법 (Intrusion Artifact Acquisition Method based on IoT Botnet Malware)

  • 이형우
    • 사물인터넷융복합논문지
    • /
    • 제7권3호
    • /
    • pp.1-8
    • /
    • 2021
  • IoT와 모바일 기기 사용이 급격히 증가하면서 IoT 기기를 대상으로 한 사이버 범죄 역시 늘어나고 있다. IoT 기기 중 Wireless AP(Access Point)를 사용할 경우 자체 보안 취약성으로 인해 패킷이 외부로 노출되거나 Bot과 같은 악성코드에 손쉽게 감염되어 DDoS 공격 트래픽을 유발하는 등의 문제점이 발견되고 있다. 이에 본 연구에서는 최근 급증하는 IoT 기기 대상 사이버 공격에 능동적으로 대응하기 위해 공공분야 시장 점유율이 높은 IoT 기기를 대상으로 침해사고 흔적을 수집하고, 침해사고 분석 데이터의 유효성을 향상시키기 위한 방법을 제시하였다. 구체적으로, 샘플 IoT 악성코드를 대상으로 동작 재현을 통해 취약점 발생 요인을 파악한 후 침해 시스템 내 주요 침해사고 흔적 데이터를 획득하고 분석하는 방법을 제시하였다. 이에 따라 대단위 IoT 기기를 대상으로 한 침해사고 발생시 이에 효율적으로 대응할 수 있는 체계를 구축할 수 있을 것으로 기대된다.

로블록스 메타버스 환경에서의스테가노그래피기반은닉통신기법 (A Steganography-Based Covert Communication Method in Roblox Metaverse Environment)

  • 윤도경;조영호
    • 정보보호학회논문지
    • /
    • 제33권1호
    • /
    • pp.45-50
    • /
    • 2023
  • 세계 1위 메타버스 플랫폼인 로블록스(Roblox)의 경우, 30억개 이상의 가입 계정과 1억 5천만명이상에달하는월간 활성 이용자수(MAU)를 기록하고 있다. 이렇듯 메타버스에 대한 높은 관심에도, 메타버스 환경의사이버공격위험성과 보안에 관한 연구는 매우 부족하다. 따라서, 본 연구에서는 대표적인 메타버스 환경인 로블록스에서의스테가노그래피 기반 은닉통신 기법에 대해 연구하였다. 구체적으로, 로블록스 체험 환경을 통해 은닉 메시지를이미지에삽입하고체험 참가자(user)들의 단말기에 자동으로 해당 이미지가 저장된 후 은닉한 메시지 역시 성공적으로추출됨을실험을통해 확인하고 결과를 제시한다. 이를 통해, 메타버스 환경에서 은밀한 비밀 지령 전파, 스테가노그래피봇넷구축, 악성 Malware 대량 유포 등 다양한 사이버공격과 범죄에 악용될 가능성을 확인하고 알리고자 한다.

명령 제어 프레임워크 (Command and Control Framework) 도구 추적 방안에 대한 연구 (A Study on Tracking Method for Command and Control Framework Tools)

  • 권혁주;곽진
    • 정보보호학회논문지
    • /
    • 제33권5호
    • /
    • pp.721-736
    • /
    • 2023
  • 명령 제어 프레임워크 (Command and Control Framework)는 모의 침투 및 교육용으로 개발되었으나 사이버 범죄 그룹과 같은 위협 행위자들이 악용하고 있다. 잠재적인 위협을 식별하고 선제 대응을 하는 사이버 위협 헌팅 관점에 따라 명령 제어 프레임워크가 작동하고 있는 서버를 식별하고 사전 차단하면 위험 요소 관리에 기여를 할 수 있다. 따라서, 이 논문에서는 명령 제어 프레임워크를 사전 추적할 수 있는 방법론을 제안한다. 방법론은 명령제어 프레임워크 관련 서버 목록 수집, 단계적 전달 모사, 봇넷 설정 추출, 인증서 수집 및 특징 추 출4단계로 구성된다. 또한, 상용 명령 제어 프레임워크인 코발트 스트라이크에 제안한 방법론을 적용하여 실험을 수행한다. 실험에서 수집된 비콘, 인증서에 대한 분석 내용을 공유함으로써 명령 제어 프레임워크로부터 발생할 수 있는 사이버 위협 대응 기반을 마련하고자 한다.

인터넷 와이드 스캔 기술 기반 인터넷 연결 디바이스의 취약점 관리 구조 연구 (A Study on the Vulnerability Management of Internet Connection Devices based on Internet-Wide Scan)

  • 김태은;정용훈;전문석
    • 한국산학기술학회논문지
    • /
    • 제20권9호
    • /
    • pp.504-509
    • /
    • 2019
  • 최근 무선 통신 기술과 소형 디바이스의 성능이 기하급수적으로 발전하였다. 이런 기술과 환경 변화에 따라 다양한 종류의 IoT 디바이스를 활용한 서비스가 증가하고 있다. IoT 서비스의 증가로 오프라인 환경에서 사용되던 소형 센서, CCTV 등의 디바이스가 인터넷에 연결되고 있으나, 많은 수의 IoT 디바이스는 보안 기능이 없고 취약한 오픈소스, SW를 그대로 사용하고 있다. 또한, 전통적으로 사용되던 스위치, Gateway 등의 네트워크 장비도 사용자의 주기적인 업데이트가 이루어지지 않아 수많은 취약점을 내포한 채 운영된다. 최근에는 IoT 디바이스의 간단한 취약점을 대상으로 대량의 봇넷(botnet)을 형성하여 DDoS 공격 등에 악용하는 사례가 늘어나고 있다. 본 논문에서는 Internet-Wide Scan 기술을 활용하여 인터넷에 연결된 대량의 디바이스를 빠르게 식별하고, 내포된 취약점 정보를 분석 및 관리하는 시스템을 제안한다. 또한, 실제 수집한 배너 정보를 통해 제안 기술의 취약점 분석률을 검증하였다. 향후 제안 시스템이 사이버 공격을 예방할 수 있는 기술로 활용 될 수 있게 자동화 및 고도화를 진행 할 계획이다.

WhiteList 기반의 악성코드 행위분석을 통한 악성코드 은닉 웹사이트 탐지 방안 연구 (Research on Malicious code hidden website detection method through WhiteList-based Malicious code Behavior Analysis)

  • 하정우;김휘강;임종인
    • 정보보호학회논문지
    • /
    • 제21권4호
    • /
    • pp.61-75
    • /
    • 2011
  • 최근 DDoS공격용 좀비, 기업정보 및 개인정보 절취 등 각종 사이버 테러 및 금전적 이윤 획득의 목적으로 웹사이트를 해킹, 악성코드를 은닉함으로써 웹사이트 접속PC를 악성코드에 감염시키는 공격이 지속적으로 증가하고 있으며 은닉기술 및 회피기술 또한 지능화 전문화되고 있는 실정이다. 악성코드가 은닉된 웹사이트를 탐지하기 위한 현존기술은 BlackList 기반 패턴매칭 방식으로 공격자가 악성코드의 문자열 변경 또는 악성코드를 변경할 경우 탐지가 불가능하여 많은 접속자가 악성코드 감염에 노출될 수 밖에 없는 한계점이 존재한다. 본 논문에서는 기존 패턴매칭 방식의 한계점을 극복하기 위한 방안으로 WhiteList 기반의 악성코드 프로세스 행위분석 탐지기술을 제시하였다. 제안방식의 실험 결과 현존기술인 악성코드 스트링을 비교하는 패턴매칭의 MC-Finder는 0.8%, 패턴매칭과 행위분석을 동시에 적용하고 있는 구글은 4.9%, McAfee는 1.5%임에 비해 WhiteList 기반의 악성코드 프로세스 행위분석 기술은 10.8%의 탐지율을 보였으며, 이로써 제안방식이 악성코드 설치를 위해 악용되는 웹 사이트 탐지에 더욱 효과적이라는 것을 증명할 수 있었다.