Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
(19) 민 특허청(KR)
(12) 등 특허공보(B1)
(45) 공고 2011 06월30
(11) 등 10-1045556(24) 등 2011 06월24
(51) Int. Cl.
H04L 12/26 (2006.01) H04L 12/22 (2006.01)(21) 원 10-2008-0132922
(22) 원 2008 12월24
심사청 2008 12월24
(65) 공개 10-2010-0074470
(43) 공개 2010 07월02
(56) 술 사 헌
KR100615080 B1
US20080307526 A1
(73) 특허
고 산 단
진 원
(72)
철
(뒷 에 계 )
(74) 리
특허 다울
체 청 수 : 11 심사 : 천
(54) 트워 IRC 탐지
(57) 약
본 트워 IRC 탐지 에 것 , Domain 트래 IP/Port 트래
포 는 앙집 특 갖는 트래 수집 고 수집 트래 여 별 는 트래
듈(TC), 상 트래 듈(TC)에 수집 어 트래 수 는
듈(BOA) 상 트래 듈(TC)에 수집 어 트래 수
는 듈(BBA) 포 는 탐지 시스 에 , 다수 트래 보 수집 에 수집
상 앙집 특 갖는 트래 수집 는 1 단계 상 수집 트래 IP/Port 트래
경우 에 탐지 보 비 여 상 트래 신 어느 나 매
는 2 단계 포 는 것 특징 다.
도 - 도1
등록특허 10-1045556
- 1 -
(72)
채태
지승
상균
주
상
지원 가연 개 사업
과 고 2008-S-026-01
처 지식경
연 리
연 사업 IT 동 술개 사업
연 과 신 능동 탐지 술 개
여
주 보보 진 원
연 간 2008.03.01~2009.02.28
등록특허 10-1045556
- 2 -
특허청
청 1
사 가 Domain 통신 는 트래 Domain 트래 통신 주체간 IP Port
여 통신 수 는 트래 IP/Port 트래 포 는 트래 나 수신지에 집
는 앙집 특 갖는 트래 수집 고 수집 트래 여 별 는 트래
듈(TC), 상 트래 듈(TC)에 수집 어 트래 에 C&C 비 는
트래 수 는 듈(BOA) 상 트래 듈(TC)에 수집 어
트래 에 감염수 가시 그 규 가시 는 에그 다운
드 포 는 는 트래 수 는 듈(BBA) 포 는
탐지 시스 에 , IRC 탐지 는 ,
다수 트래 보 수집 에 수집 상 앙집 특 갖는 트래 수집 는 1 단계;
상 수집 트래 IP/Port 트래 경우 에 탐지 보 비 여 상 트래 C&C
보 비리스트 포 는 에 탐지 보에 포 는 상 에 탐지
보에 미포 는 신 어느 나 매 는 2 단계 포 는 것 특징 는 트워
IRC 탐지 .
청 2
1 에 어 ,
상 2 단계가,
상 트래 앙집 가 상 보 C&C 보 상 고 상 트래 라 언트 IP
리스트가 상 보 비리스트 상 경우 상 트래 신 시지 에 는 2-1
단계 포 는 것 특징 는 트워 IRC 탐지 .
청 3
2 에 어 ,
상 2 단계가,
상 트래 앙집 가 상 보 C&C 보 고 상 트래 라 언트 IP
리스트가 상 보 비리스트 상 경우, 상 트래 여 별도 래
그 여 고 시지 에 는 2-2 단계;
상 트래 앙집 가 상 보 C&C 보 고 상 트래 라 언트 IP
리스트가 상 보 비리스트 사 경우, 상 트래 C&C 재 에그 다운 드
여 별도 래그 여 고 시지 에 는 2-3 단계;
상 트래 앙집 가 상 보 C&C 보 상 고 상 트래 라 언트 IP
리스트가 상 보 비리스트 사 경우, 상 트래 C&C 주 포 는 주
여 별도 래그 여 여 시지 에 는 2-4 단계 포 는 것 특징
는 트워 IRC 탐지 .
청 4
1 에 어 ,
상 트래 수집 리 듈에 수집 트래 Domain 트래 에 여 VDNS(Virtual DNS) 여
체 는 3 단계 포 는 것 특징 는 트워 IRC 탐지 .
등록특허 10-1045556
- 3 -
청 5
1 에 어 ,
상 2 단계 에,
상 수집 트래 에 여, 시간동안 동 C&C 는 비 IP 리스트들 가
열거 는 1-1 단계;
시간 경과 후 열거 비 IP 리스트 개수가 계값 과 상 수집 트래
트래 단 는 1-2 단계;
시간 경과 후 비 IP 리스트 개수가 계값에 미 지 못 경우, 시스 공 보에
여 업 트 는 C&C 블랙리스트 매 여 트래 여 단 는 1-3 단계 포
는 것 특징 는 트워 IRC 탐지 .
청 6
5 에 어 ,
상 1-3 단계가,
" Dst IP/Port” “C&C IP/Port” 매 는 1-4 단계;
" 청 도 에 답 IP” “DNS 싱 IP” 매 는 1-5 단계 포 는 것 특징 는
트워 IRC 탐지 .
청 7
1 에 어 ,
상 2 단계 후에,
상 수집 트래 보(Domain, Dst_IP/Port) 수신 여 시 그에 시 는 4 단계;
상 시 그 에 트래 보 주 어 Domain Dst_IP/Port 별 사도
고, 탐지 트래 는 5 단계;
5 단계에 탐지 트래 고 C&C 후, 마 트래 는 6
단계;
6 단계에 트래 아 탐지 IRC Channel에 근 는 비리스트 여
결과 그에 는 7 단계;
6 단계 7 단계에 결과 여 그 리 에게 는 8 단계 포 는 것 특
징 는 트워 IRC 탐지 .
청 8
7 에 어 ,
상 5 단계가,
주 시 그 Domain 보 어 각 Domain별 청 스 IP들 매트릭스에 는
5-1 단계;
시간 경과 후 상 매트릭스 여 Domain 사도 고 비 IP 리스트 생 는
5-2 단계 포 는 것 특징 는 트워 IRC 탐지 .
등록특허 10-1045556
- 4 -
청 9
7 에 어 ,
상 5 단계가,
주 시 그 Dst_IP/Port 보 어 각 IP/Port 과 매 는 킷 스 IP
들 매트릭스에 는 5-3 단계;
시간 경과 후 상 매트릭스 여 Dst_IP/Port 사도 고 비 IP 리스트 생 는
5-4 단계 포 는 것 특징 는 트워 IRC 탐지 .
청 10
1 에 어 ,
상 1 단계에 수집 트래 보가 Domain 트래 경우 포맷 ,
헤 에 상 트래 생시간 Time 드 포 고,
C&C 드에, C&C DNS 쿼리 도 C&C Domain 드 C&C DNS 쿼리에
답 IP C&C IP 드 포 고,
비리스트 드에, 견 비 개체수 Count 드, 처 비 생시 마지막 비 생
지 시간 간 Time Window 드 비 IP 리스트 비 IP 리스트 포 고,
상 C&C 드 값 DNS 통신 트래 수집 고 수집 상 포트 가 53 포트 것
특징 는 트워 IRC 탐지 .
청 11
1 에 어 ,
상 1 단계에 수집 는 트래 IP/Port 트래 경우 포맷 ,
헤 에 상 트래 생시간 Time 드 포 고,
C&C 드에, C&C IP C&C IP 드 포트 C&C Port 드 포 고,
비리스트 드에, 견 비 개체수 Count 드, 처 비 생 마지막 비 생 지
시간 간 Time Window 드 비 IP 리스트 비 IP 리스트 드 포 고,
상 C&C 드 값 C&C 간 객체 없 통신 는 트래 직 통신 트래
수집 고, 수집 상 포트 가 든 포트 것 특징 는 트워 IRC 탐지 .
상
술 야
본 탐지 에 것 , 체 트워 IRC 탐지 에 [0001]
것 다.
경 술
재 사 공간에 는 수많 들 고 다. 3 개 보 갈취 또는 수집 여 악 고, [0002]
특 다수 란, 고 포 고 보거나, 경쟁사 보 비스 못 게
는 등 상 들 산재 다. 러 사 가 드러지는 가운 새 운 가
등록특허 10-1045556
- 5 -
악 나가고 는 그것 다. 근 Arbor Networks에 는 가 심각 트워
과 산 비스 거 공격(DDoS) 도 다.
(BotNet) 란 악 트웨어 에 감염 다수 컴퓨 들 트워 연결 어 는 태 말 다.[0003]
, 들 재 통 는 가진 마스 에 원격 각 악 수 수 는
수천에 수십만 악 그램 (Bot)에 감염 컴퓨 들 트워 연결 어 는 태 라
다.
1993 에 EggDrop 처 나 후 근 10 간 Forbot, PBot, Toxbot, Machbot,PHP Bot, Storm[0004]
Bot 등 진 , 근에는 많 변 매우 어 게 고
다(매 5,000개 신규 악 드 , TechNewsWorld, 2007). 특 , 계 C&C (Command &
Control, 비들에게 내리고 어 ) 악 게 포 고 고 특 지역
에 집 는 양상 보 고 다. 는 고 갖 어진 경에 는 에 비 1/10 PC들만
도 욱 강 DDoS 같 공격 가능 , 특 고 라가 갖 어 는
내 지역 감염지 고 다. 또 , 계 에 감염 어 비 PC 뀌는 PC 수가 지
가 고 규 또 커지고 다. TCP/IP 공동 창시 Vint Cerf는 계
컴퓨 약 11% 도 1억~1억 5천 컴퓨 가 악 드에 감염 어 공격 수 에 사 것 상
, 재 지 알 진 가 Storm 230,000개 비들 연결 어 는 것 알 다.
공격 욱 심각 지는 는 죄 양상 띠고 다. 2007 생 아 거래[0005]
업체 비스 애 사고에 같 비스 애 빌미 비스 업체에 여
갈취 거나, 개 / 보 수집 스 등 통 여 가 는 사고가 빈 게 생 고 다.
웜/ 러스, 도어, 스 웨어, 루트킷 등 다양 악 드들 특 복 지니 , 통[0006]
DDoS, Ad-ware, Spyware, 스 , 보 수집 등 사 공격 가능 다.
가 연 고 리 사 는 IRC 특 IRC 주 루었었다. 지만, 탐지[0007]
보다 어 게 웹 HTTP 거나, C&C라는 앙집 / 어 식
(IRC, HTTP )에 탈 여, 든 비들 C&C가 수 는 산 / 어 식(P2P )
진 고 다.
나아가, / 어 2가지 상 사 는 브리드 태 진 고 다. 근 등[0008]
MayDay 웜 경우, 스트 랜스 (hypertext transfer protocol, HTTP) 어
시지 (Internet Control Message Protocol, ICMP)과 같 가지 사 거나, 다수
앙 집 포 트(C&C )가 재 고 앙 집 포 트는 P2P 식 연결 는 브리드 태 진 고
다.
/ 어 식 진 께, 악 드도 빠 도 진 여 탐지/ 매우 어 게 고 다.[0009]
Packing/압 /암 술, VM(Virtual Machine)/ 거/샌드 스 탐지 우 술, 악 드 숨
RootKit 술 등 어 에 탐지 매우 어 게 고 , 감염경 또 시스
취약 악 식에 , 웹, , 신 등 다양 수단 다양 지고 다.
러 술 상에 라, PC상에 악 그램 동 탐지/[0010]
는 스트 과 비 C&C 트워 트래 탐지/ 는 트워
, 술 특 에 라 시그니처 과 수 다.
근 들어, 심각 각 연 가 고 나 진 고 는 에 [0011]
아직도 미 수 다.
내
결 고 는 과
본 상 같 결 여 시 것 , 본 트워 IRC [0012]
과 탐지 수 는 트워 IRC 탐지 공 는 것 다.
과 결수단
등록특허 10-1045556
- 6 -
상 달 여, 본 에 트워 IRC 탐지 , 사 가 Domain [0013]
통신 는 트래 Domain 트래 통신 주체간 IP Port 여 통신
수 는 트래 IP/Port 트래 포 는 트래 나 수신지에 집 는 앙집
특 갖는 트래 수집 고 수집 트래 여 별 는 트래 듈(TC), 상 트래
듈(TC)에 수집 어 트래 에 C&C 비 는 트래
수 는 듈(BOA) 상 트래 듈(TC)에 수집 어 트래
에 감염수 가시 그 규 가시 는 에그 다운 드 포 는
는 트래 수 는 듈(BBA) 포 는 탐지 시스
에 , IRC 탐지 는 , 다수 트래 보 수집 에 수집 상 앙집
특 갖는 트래 수집 는 1 단계 상 수집 트래 IP/Port 트래 경우 에 탐지
보 비 여 상 트래 C&C 보 비리스트 포 는 에 탐지 보에 포
는 상 에 탐지 보에 미포 는 신 어느 나 매 는 2
단계 포 는 것 특징 다.
람직 게는, 2 단계가, 상 트래 앙집 가 상 보 C&C 보 상 고 상[0014]
트래 라 언트 IP 리스트가 상 보 비리스트 상 경우 상 트래 신
시지 에 는 2-1 단계, 상 트래 앙집 가 상 보 C&C 보
고 상 트래 라 언트 IP 리스트가 상 보 비리스트 상 경우, 상 트래
여 별도 래그 여 고 시지 에 는 2-2 단계, 상 트래
앙집 가 상 보 C&C 보 고 상 트래 라 언트 IP 리스트가
상 보 비리스트 사 경우, 상 트래 C&C 재 에그 다운 드 여
별도 래그 여 고 시지 에 는 2-3 단계, 그리고 상 트래 앙집
가 상 보 C&C 보 상 고 상 트래 라 언트 IP 리스트가 상 보
비리스트 사 경우, 상 트래 C&C 주 포 는 주 여 별도 래그
여 여 시지 에 는 2-4 단계 포 도 다.
욱 람직 게는, 상 트래 수집 리 듈에 수집 트래 Domain 트래 에 여[0015]
VDNS(Virtual DNS) 여 체 는 3 단계 포 도 다. 또 , 2 단계 에, 상 수집 트
래 에 여, 시간동안 동 C&C 는 비 IP 리스트들 가 열거 는
1-1 단계, 시간 경과 후 열거 비 IP 리스트 개수가 계값 과 상 수집 트래
트래 단 는 1-2 단계 시간 경과 후 비 IP 리스트 개수가 계
값에 미 지 못 경우, 시스 공 보에 여 업 트 는 C&C 블랙리스트 매 여
트래 여 단 는 1-3 단계 포 는 것 특징 , 1-3 단계가, " Dst IP/Port”
“C&C IP/Port” 매 는 1-4 단계 " 청 도 에 답 IP” “DNS 싱 IP” 매
는 1-5 단계 포 도 다.
욱 람직 게는, 2 단계 후에, 상 수집 트래 보(Domain, Dst_IP/Port) 수신 여 시 [0016]
그에 시 는 4 단계, 상 시 그 에 트래 보 주 어
Domain Dst_IP/Port 별 사도 고, 탐지 트래 는 5 단계, 5 단계에
탐지 트래 고 C&C 후, 마 트래 는 6 단계, 6
단계에 트래 아 탐지 IRC Channel에 근 는 비리스트 여
결과 그에 는 7 단계 6 단계 7 단계에 결과 여 그 리 에게
는 8 단계 포 도 다.
, 5 단계는, 주 시 그 Domain 보 어 각 Domain별 청 스 IP들[0017]
매트릭스에 는 5-1 단계 시간 경과 후 상 매트릭스 여 Domain 사도
고 비 IP 리스트 생 는 5-2 단계 포 고, 주 시 그 Dst_IP/Port 보
어 각 IP/Port 과 매 는 킷 스 IP들 매트릭스에 는 5-3 단계
시간 경과 후 상 매트릭스 여 Dst_IP/Port 사도 고 비 IP 리스트 생 는 5-4
단계 포 도 다.
편, 1 단계에 수집 트래 보가 Domain 트래 경우 포맷 , 헤 에 상 트래[0018]
생시간 Time 드 포 고, C&C 드에, C&C DNS 쿼리 도 C&C Domain
드 C&C DNS 쿼리에 답 IP C&C IP 드 포 고, 비리스트 드에, 견
등록특허 10-1045556
- 7 -
비 개체수 Count 드, 처 비 생시 마지막 비 생 지 시간 간 Time Window 드
비 IP 리스트 비 IP 리스트 포 고, 상 C&C 드 값 DNS 통신 트래
수집 고 수집 상 포트 가 53 포트가 도 다.
또 , 1 단계에 수집 는 트래 IP/Port 트래 경우 포맷 , 헤 에 상 트래[0019]
생시간 Time 드 포 고, C&C 드에, C&C IP C&C IP 드 포트
C&C Port 드 포 고, 비리스트 드에, 견 비 개체수 Count 드, 처 비
생 마지막 비 생 지 시간 간 Time Window 드 비 IP 리스트 비 IP 리스
트 드 포 고, 상 C&C 드 값 C&C 간 객체 없 통신 는 트래 직
통신 트래 수집 고, 수집 상 포트 가 든 포트가 도 다.
과
상 , 본 에 트워 IRC 탐지 IP/Port 트래 에 여 [0020]
매 듈에 신규 고, 에 여 그 에 라 여 시
지 에 과 탐지 고 듈 빠 게 식 수
도 다.
실시 체 내
에 는, 첨 도 참 여 본 , 특징 람직 실시 에 여 상 도 [0021]
다.
도 1 본 에 탐지 시스 도 다. 트래 보 수집 IRC 탐지 여[0022]
앙집 특 가지는 트래 포맷 달 고, 과 통 스타 폴 지 는
앙집 트워 견 , 매 듈에 여 별 후 각 재 다.
매 듈 견 앙집 트래 는 트워 가 미 탐지 과 매 는지 여
체 다. 매 듈에 신규 별 경우 듈(BOA) 견 비들
가 트래 트래 보 수집 청 다.
체 , 매 듈 앙집 라 언트 IP 리스트 사 식별 견 [0023]
앙집 트래 매 수 다.
, 매 듈 탐지 보들과 매 여 앙집 가 C&C 보 같지 않고[0024]
라 언트 IP 리스트 또 비리스트 사 지 않 신규 규 여 여 탐
지 다. 듈(BOA) 탐지 신규 비들 생시 는 가 트래 수집
수 도 트래 보 수집 에게 청 여 후 니 링 고 다.
편, 앙집 가 C&C 보 같거나 라 언트 IP 리스트가 비리스트 사[0025]
경우 매 듈 규 는 , 매 결과 후 듈(BBA)
빠 게 식 수 도 여 매 듈 가지 (A, B, C)에 여 고 래그
여 도 다. 각 에 래그는 같다.
- A 래그( ): 앙집 가 C&C 보 지만 라 언트 IP 리스트가 [0026]
비리스트 차 보 는 경우
- B 래그(C&C 재 에그 다운 드 ): 앙집 가 C&C 보 고 라 언[0027]
트 IP 리스트도 비리스트 사 경우
- C 래그(C&C 주 타 주 ): 앙집 가 C&C 보 다 지만 라 언[0028]
트 IP 리스트가 비리스트 사 경우
상 같 , 앙집 트래 (DNS 청 Domain, 앙집 IP/Port 보) 니 링 여 탐지[0029]
에 여 듈(BOA) 트래 보 수집 에게 가 트래 청 고,
달 트래 듈(BBA) 다양 들 재 다. IRC Channel
듈(BOA) 다시 달 어 단 도 다. 앙집
트래 A/B/C 가지 그룹 들 트래 다시 각 체 들
등록특허 10-1045556
- 8 -
다.
도 2는 본 에 트래 듈(TC) 블럭 도 다. 도 1에 도시 같 , 본 에 트[0030]
래 듈(TC) , , 수집/ 리 책 듈, 트래 수집 리 듈, 매 듈 VDNS 체
듈 포 다.
는 다 트래 보 수집 달 는 트래 만 수신 , 신 담당 는 들 IP[0031]
에 트 리스트 벽 능 공 다.
수집/ 리 책 듈 리 시스 달 는 책 여 상태값 고, /보[0032]
안 리 시스 실시간 보안 트 참고 여 탐지 시스 신 수 도 리 책에
다. 라 , 알 지지 않 신 에 빠 게 여 시스 들 공 보 비
리스트 포량과 계없 C&C 블랙리스트 매 가능 도 수 다.
트래 수집 리 듈 앙집 특 가지는 트래 , 공동 단 에 연결 어 스타 [0033]
폴 지 는 본 트래 수집 니 링 다. 는 IRC 탐지 본 수집트래
매 듈에 여 별 게 다. 또 , 트래 수집 리 듈 가
청 트래 ( 듈 트래 청에 트래 ) 수집 , 듈
신 IRC (Channel 보 등) 수 도 다. 경우 가 청 트래
미 탐지 들 가운 다시 샘 링 , 듈 트래 청 에
여만 수집 도 다. 또 , 트래 수집 리 듈 시스 보안 리 책 공 보 리 책에
여 견 새 운 사 에 비 여 청 특 트래 달 수도
다.
매 듈 트래 수집 리 듈에 수집 트래 IP/Port 트래 경우 과 비[0034]
여 또는 신 다. , 매 듈 트래 수집 리 듈에 수집
트래 에 여 신 사 트래 탐지 다. 체 , 탐지 보들과 매 여
앙집 가 C&C 보 다 IP리스트가 비리스트 다 경우 탐지 여
신 시지 에 다. 지만, 상 트래 또 재 수 없 므 후
(BOA) 듈에 재 가 루어 야 신 단계에 생 트래 지 진
단 도 다. 다 , 매 듈 탐지 업 수 다. 체 탐지
보들과 매 여, 앙집 가 C&C 보 같거나 IP 리스트가 비
리스트 사 경우 탐지 여 시지 에 다. 매 듈 시지 시
가지(A/B/C) 결과 래그 비트 시 여 후 (BBA) 듈 빠 게 식 도
다. 가지 결과 래그 상 같다.
VDNS 체 듈 트래 수집 리 듈에 수집 트래 Domain 트래 경우 VDNS(Virtual[0035]
DNS) 여 체 다. VDNS는 공격 가 운 는 DNS Dynamic DNS 지 않고
도 C&C 도 IP 쉽게 변경 수 다. 청 는 도 상 DNS 쿼리시에는 리
지 않는 경우가 많 므 , VDNS 체 듈 상 DNS 블과 매 여 VDNS 여 체 고 새 탐지
VDNS 쿼리 보 시지 에 여 듈 듈 참고 수 도
다.
도 3 트래 듈 트래 과 도시 도 다. 도 2에 도시 같 , 트래 듈[0036]
트래 과 수집 리 시 , 매 시 , VDNS 체 시 루어진다.
1. 수집 리 시[0037]
트래 보 수집 수집 트래 트래 수집/ 리 책에 라 가 링[0038]
후, 트래 수집 리 듈 상 수집/ 리 책에 라 앙 집 특 가지는 트래 수
집 다(ST100 내지 ST120).
후 트래 수집 리 듈 C&C 비리스트 탐지시스 청 트래 다. C&C 비리스트[0039]
는 동 C&C 연결 청 비들 IP 나타내고, 탐지시스 청 트래
듈에 청 신규 에 트래 C&C 통신 컨 보 나타낸다.
C&C 비리스트는 매 여 시간동안 동 C&C 는 비 IP 리스트들[0040]
등록특허 10-1045556
- 9 -
가 열거 다(ST130). 시간 후 열거 IP 리스트 개수가 계값 과 매
수 다(ST140). 편, IP 리스트 개수가 계값에 미 지 못 경우에도, 시스 공 보에 여
업 트 는 C&C 블랙리스트 매 여 트래 라 단 에도 다 단계 매 수
다(ST150). , “ Dst IP/Port” “C&C IP/Port” 매 는 , C&C IP/Port 블랙리스
트는 시스 공 보에 여 업 트 , C&C 도 블랙리스트 업 트는 지 않다.
또 , “ 청 도 에 답 IP” “DNS 싱 IP” 매 는 , DNS 싱 IP 리스트는 시스[0041]
공 보가 아니고 탐지 시스 사 에 보 고 어야 는 고 리스트 다. 체 , 1)
시스 에 단 C&C 도 여, 2) 타 ISP들과 보 공 고, 3) 든 ISP가
당 도 에 DNS 싱 후, 4) 당 도 청 는 트래 수집( ) , 5) 당
청 도 답 IP가 싱 IP 비 단 다. ST130 내지 ST150 든 경우에 어 결
트래 여 별 수 없다 당 트래 처리 다. 상 같 트래 보 수집 에
수집 는 여러 트래 들 규 포맷 태 지 동 C&C 비 IP 리스트
업 트 다.
2. 매 시[0042]
상 같 , 매 듈 IP/Port 트래 에 여 앙집 보 C&C 보[0043]
비 고, 라 언트 IP 리스트 비리스트 비 여, 수집 트래 에 여 신 ,
(A 래그), C&C 재 에그 다운 드(B 래그), C&C 주 타 주
(C 래그)들 여 각 시지 에 다(ST160 내지 ST180).
3. VDNS 체 시[0044]
VDNS 체 듈 Domain 트래 에 여 수집/ 리 책에 여 VDNS 여 체 여 새 운 도[0045]
쿼리 보 시지 에 다(ST190).
도 4는 본 에 트래 듈 각 듈과 듈 듈 간[0046]
동 시 스 나타낸 도 다.
트래 보 수집 트래 수집 리 듈에 수집 트래 매 듈에 신규 /[0047]
어 시지 에 듈에 달 다. 편, 수집 트래 도
청 경우 VDNS 체 듈에 VDNS 체 수 고, 신규 VDNS 청 도 경우 역시 시지 에
듈에 달 다. 듈 신규 트래 (신규 ) 신규 VDNS 청 도
에 여 보 청 여 샘 링 신규 비 IP 리스트 다.
트래 보 수집 트래 수집 리 듈 계 트래 수집 , 에 당 는[0048]
트래 매 듈에 어 시지 에 고 듈 듈
에 달 다. 또 , 수집 트래 도 청 고 VDNS 체 듈에 신규 VDNS 청 도 단
경우 시지 에 듈 듈에 달 다. 편, 트래 보 수
집 트래 수집 리 듈에 수집 트래 듈에 청 트래 ,
보 경우 매 듈 VDNS 체 듈 스 여 시지 에 고 IRC Channel 보가
듈 달 다.
도 5는 본 에 듈 도 다. 또 , 도 6 본 에 듈[0049]
각 듈 동 시 스 나타낸 도 다. 도 5 도 6 참 여 본 에 듈
각 듈 동 에 여 같다.
시 그는 트래 수집 리 듈 트래 보(Domain, Dst_IP/Port) 수신 여[0050]
다. 편, 미 IP 리스트 그는 C&C 탐지 듈에 상 트래
Domain IP/Port 등 고 그 결과 결과 그에 다.
C&C 탐지 듈 시 그 에 트래 보 주 어 Domain [0051]
Dst_IP/Port 별 사도 다. , Domain 사도 , 주 시 그 Domain
보 어 각 Domain 별 청 스 IP들 매트릭스에 후 특 시간 지난 후 매트릭스 여
사도 여 비 IP 리스트 생 다. 다 , Dst_IP/Port 사도 , 주 시
그 Dst_IP/Port 보 어 각 IP/Port 과 매 는 킷 스 IP들 매트릭스에
등록특허 10-1045556
- 10 -
후 특 시간 지난 후 매트릭스 여 사도 여 비 IP 리스트 생 다. 편,
(커맨드) 트래 보 수집 샘 링 트래 보 아 각 들
(커맨드) , 과 에 탐지 트래 C&C 듈 다.
C&C 듈 C&C 탐지 듈에 탐지 트래 아 C&C 고, 마[0052]
트래 다시 비리스트 듈 다.
비리스트 듈 C&C 듈에 트래 아 탐지 IRC Channel에 근 는[0053]
비리스트 여 결과 그에 다.
트 트리거는 각 듈에 결과 여 그 리 에게 고, 결과에 후 [0054]
책에 사 트리거 시지 생 여 트 트리거에 다.
도 7 트래 보 수집 탐지 시스 시스 간 수신 도 다.[0055]
도 7에 도시 같 , 트래 보 수집 달 는 수집 트래 는 앙집 트래 [0056]
Class O-1(Domain 트래 )과 Class 0-2(IP/Port 트래 ) 포 고, 트래
Class B-1 내지 6 포 다. 또 , 탐지 시스 , 체 듈 달 는
트래 수집 청 는 수집 상 비리스트 달 는 Class R 다. 또 , 탐지 시스
시스 달 는 탐지 결과 는, 단계 탐지 결과 Class O-1,
단계 심 만 비 상 트래 탐지 결과 Class O-2, 그리고 결과 Class B-1
내지 8 포 다.
도 8 트래 수집 리 듈에 수집 트래 보 포맷 나타낸 도 다. 트래 수집[0057]
리 듈에 여 감지 앙집 트래 본 가공 포맷 나 C&C 보
에 는 비들 IP 열거 는 식 생 다.
, Domain 트래 경우, 헤 에는 Time(트래 생시간) 고, 앙집 ( C&C [0058]
) 드에는 C&C Domain(C&C DNS 쿼리 도 )과 C&C IP( 답 IP)가 ,
스트( 비리스트) 드에는 Count( 견 Src 개체수), Time Window(처 비 생 마지막 비
생 지 시간 간) 비 IP 리스트( 비들 IP 리스트)가 다. , 앙집
드 값 C&C 직 통신 트래 아닌 DNS 통신 트래 수집 , 수집 상 포트
는 53 포트 다.
다 , IP/Port 트래 경우, 헤 에는 역시 Time(트래 생시간) 고, 앙집 ([0059]
C&C ) 드에는 C&C IP(C&C IP) C&C Port( 포트 )가 , 스트(
비리스트) 드에는 Count( 견 Src 개체수), Time Window(처 비 생 마지막 비 생 지
시간 간) 비 IP 리스트( 비들 IP 리스트)가 다. , 앙집 드 값
C&C 직 통신 트래 수집 , 수집 상 포트 는 든 포트가 다.
라 , 트래 수집 리 듈 본 수집 상 트래 포맷 , 청 Domain 리스트[0060]
(DNS 트래 는 보) 는 DNS 청 도 (C&C Domain), DNS 답 IP 주 (C&C IP),
열거 비수(Count), 처 비 생 마지막 비 생 지 시간 간(Time Window) DNS 에
동 도 청 비들 IP 리스트( 비 IP 리스트) 수집 고, Dst IP/Port 리스트(
트래 는 보) 는 앙집 트래 C&C IP 주 (C&C IP), 앙집 트래
C&C Port (C&C Port), 열거 비수(Count), 처 비 생 마지막 비
생 지 시간 간(Time Window) 동 IP 주 Port 비 IP 리스트( 비 IP 리스트)
수집 게 다.
도 9는 탐지 시스 에 탐지 보 포맷 나타낸 도 다. 본 에 [0061]
탐지 시스 새 탐지 에 여 도 9 같 포맷 가공 여 또는 시스 에 달
다. 도 9에 탐지는 수 상 비들에 여 견 트래 나타내고, 비 상 수
라 언트들에 여 견 앙집 트래 나타낸다.
, 탐지 보(Class O-1)는 헤 에 local ID(탐지시스 식 지역 ID )[0062]
Time( 트래 생 시간) 포 고, C&C 드에 Type( (IRC)), Domain(DNS
쿼리 생시 C&C 도 ), IP(C&C IP), Port(C&C 포트 ) Locator(C&C 내
등록특허 10-1045556
- 11 -
시 (Channel )) 포 고, 비리스트 드에 Count( 비 개체수) Zombie IP List(
든 비들 IP 리스트) 포 고, 결과 드에 Similarity( 탐지 척도
는 사도 값) 포 다.
또 , 비 상 보(Class O-2)는 본 Class O-1 포맷과 동 , 다만 ID [0063]
는 므 local ID 드가 다. 는 비 상 보 경우 트래 보 동
가 없 다.
본 람직 실시 가 특 어들 사 여 술 어 지만, 그러 술 지 [0064]
것 , 다 청 술 사상 탈 지 않고 여러가지 변경 변 가 가 질 수
는 것 어 야 다.
도 간단
도 1 본 에 탐지 시스 도 다.[0065]
도 2는 본 에 트래 듈 도 다.[0066]
도 3 본 에 트래 듈 트래 과 도시 도 다.[0067]
도 4는 본 에 트래 듈 각 듈과 듈 듈 간[0068]
동 시 스 나타낸 도 다.
도 5는 본 에 듈 도 다.[0069]
도 6 본 에 듈 각 듈 동 시 스 나타낸 도 다.[0070]
도 7 트래 보 수집 탐지 시스 시스 간 수신 도 다.[0071]
도 8 트래 수집 리 듈에 수집 트래 보 포맷 나타낸 도 다.[0072]
도 9는 탐지 시스 에 탐지 보 포맷 나타낸 도 다.[0073]
도
도 1
등록특허 10-1045556
- 12 -
도 2
도 3
등록특허 10-1045556
- 13 -
도 4
도 5
등록특허 10-1045556
- 14 -
도 6
도 7
도 8
도 9
등록특허 10-1045556
- 15 -