Nothing Special   »   [go: up one dir, main page]

KR20120000942A - Bot-infected host detection apparatus and method based on blacklist access statistics - Google Patents

Bot-infected host detection apparatus and method based on blacklist access statistics Download PDF

Info

Publication number
KR20120000942A
KR20120000942A KR1020100061482A KR20100061482A KR20120000942A KR 20120000942 A KR20120000942 A KR 20120000942A KR 1020100061482 A KR1020100061482 A KR 1020100061482A KR 20100061482 A KR20100061482 A KR 20100061482A KR 20120000942 A KR20120000942 A KR 20120000942A
Authority
KR
South Korea
Prior art keywords
internal
blacklist
access
host
address
Prior art date
Application number
KR1020100061482A
Other languages
Korean (ko)
Inventor
최석우
김경수
김봉기
손춘호
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020100061482A priority Critical patent/KR20120000942A/en
Publication of KR20120000942A publication Critical patent/KR20120000942A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A bot-infected host detection device and method based on blacklist access statistics is provided to conveniently detect host which are infected to the bot from an inner network by using a new method without being changed by communication encoding and communication pattern reading. CONSTITUTION: A blacklist access statistic unit(223) calculates an access statistic about a blacklist per an inner IP address by using the access information and predetermine backlist information. A host state monitoring unit(225) monitors the state of the internal hosts which are connected to inside network by using access statistics. The host state monitoring unit detects an infected host. A database stores the access information, the blacklist information, and the status information for internal hosts and access statistics.

Description

블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법{Bot-infected host detection apparatus and method based on blacklist access statistics}Bot-infected host detection apparatus and method based on blacklist access statistics}

본 발명은 네트워크 보안 시스템에 관한 것으로서, 보다 상세하게는 내부 네트워크에 포함된 각 내부 호스트별로 블랙리스트에 대한 접근 통계치를 산출하여 봇에 감염된 호스트들을 탐지하는 탐지 장치 및 그 탐지 방법에 관한 것이다.The present invention relates to a network security system, and more particularly, to a detection apparatus for detecting hosts infected by a bot by calculating access statistics on a blacklist for each internal host included in an internal network, and a detection method thereof.

인터넷 기술의 발달과 이용인구의 증가로 인터넷을 구성하는 많은 기반시설들이 급격히 설치되면서 보안적 요소를 치밀하게 준비하지 못한 관계로 인터넷의 많은 취약점들이 노출되고 있으며, 이런 취약점들을 악용하려는 세력들이 불특정 다수를 공격하는 사이버 테러가 빈번히 발생하고 있다. 이러한 사이버 공격은 갈수록 지능화 조직화되고 있으며 경제적 이득을 취득하기 위해 전문적이고 조직적인 네트워크를 형성해 나가고 있다. 이처럼 근래 사이버 공격자들은 불법행위를 대행하여 금전적 이득을 취득하기 위해 자신들의 존재와 위치 추적이 쉽지 않도록 하고, 자신들의 통제 하에 수많은 컴퓨터를 제어하는 기술을 고안하게 되었으며 이러한 목적으로 등장하게 된 것이 봇넷이다.Due to the rapid development of many infrastructures that make up the Internet due to the development of Internet technology and the increase in the number of users, many vulnerabilities of the Internet are exposed due to the incomplete preparation of security factors. Cyber terrorism that attacks people is frequently occurring. These cyber attacks are increasingly intelligent and organized, and are forming professional and organized networks to gain economic benefits. As such, cyber attackers have come up with technology to control their existence and location, to control numerous computers under their control in order to obtain financial gains for illegal activities, and botnets have emerged for this purpose. .

봇(bot)은 일종의 악성 코드로 원격지에서 명령을 내려 봇에 감염된 호스트를 통제하기 위한 것이며, 봇넷(botnet)은 봇에 감염된 호스트들이 구성하고 있는 네트워크이다. 봇에 감염된 호스트는 C&C (Command & Control - 명령 제어) 서버에 의해 조종 및 통제된다. 최근 들어 봇넷은 범죄자들에 의해 악용되어 DDoS(Distributed Denial of Service) 공격, 스팸 메일 발송, 개인 정보 유출, 온라인 금융 사기 등 네트워크를 이용하는 범죄의 주원인이 되고 있다.A bot is a kind of malicious code that commands commands from a remote location to control a bot-infected host. A botnet is a network of bot-infected hosts. Hosts infected by bots are controlled and controlled by C & C (Command & Control) servers. Recently, botnets have been exploited by criminals to become the main cause of crimes using the network, including distributed denial of service (DDoS) attacks, spamming, personal information leakage, and online financial fraud.

이러한 봇넷에 의한 악성 행위를 차단하기 위해 봇 감염 호스트를 탐지하는 방법이 필요하게 되었다.In order to prevent malicious behavior caused by botnets, a method of detecting a bot infected host is needed.

종래에 봇 감염 호스트를 탐지하기 위한 방법으로는 호스트에서 직접 악성 코드 탐지 프로그램을 실행하는 호스트 기반 탐지 방법과 네트워크 트래픽을 수집/분석하여 봇 감염 호스트를 탐지하는 네트워크 기반 탐지 방법이 있다. 그러나, 호스트에서 직접 악성 코드 탐지 프로그램을 실행하는 방법은 각 호스트에서 사용자들이 직접 악성 코드 탐지 프로그램을 실행하도록 강제하기 어렵기 때문에 네트워크 기반 탐지 방법이 필요하다.Conventionally, a method for detecting a bot infected host includes a host based detection method for executing a malware detection program directly on the host and a network based detection method for detecting a bot infected host by collecting / analyzing network traffic. However, a method of executing a malware detection program directly on a host requires a network-based detection method because it is difficult to force users to execute a malware detection program directly on each host.

네트워크 기반 탐지 방법에는 시그너처 기반 탐지와 네트워크 행위 기반 탐지가 있다. 시그너처 기반 탐지는 악성 패킷의 패턴을 문자열 비교 방법을 통해 탐지하는 방법이다. 네트워크 행위 기반 탐지는 봇이 발생시키는 패킷 양, 시간대별 분포, 그룹 행위와 같은 통신 패턴을 통계적으로 분석하여 봇을 탐지하는 방법이다.Network-based detection methods include signature-based detection and network behavior-based detection. Signature-based detection is a method of detecting malicious packet patterns through a string comparison method. Network behavior-based detection is a method of detecting bots by statistically analyzing communication patterns such as packet volume, time zone distribution, and group behavior.

그러나, 최근 봇들은 네트워크 기반 탐지를 회피하기 위하여 통신 암호화(encryption), 통신 패턴 난독화(obfuscation)를 적용하고 있다. 봇 통신 암호화는 페이로드를 암호화함으로써 시그너처 기반 탐지를 회피하고 있다. 봇 통신 패턴 난독화는 통신 양, 통신 주기, 패킷 사이의 시간 간격 등을 임의로 조정하여 네트워크 행위 기반 탐지를 회피하고 있다. 따라서, 이런 봇 감염 호스트를 탐지하기 위해서는 암호화 및 난독화에 의해 변경되지 않는 특징을 이용하는 새로운 봇 호스트 탐지 방법이 필요한 실정이다.Recently, however, bots have applied communication encryption and communication pattern obfuscation to avoid network-based detection. Bot communication encryption avoids signature-based detection by encrypting the payload. The bot communication pattern obfuscation avoids network behavior based detection by arbitrarily adjusting the communication amount, communication period, and time interval between packets. Therefore, in order to detect such a bot infected host, a new bot host detection method using a feature that is not changed by encryption and obfuscation is required.

본 발명은 통신 암호화 및 통신 패턴 난독화에 의해 변경되지 않는 새로운 방법을 이용하여 내부 네트워크에서 봇에 감염된 호스트들을 보다 용이하게 탐지할 수 있는 방법을 제공하고자 한다.The present invention is to provide a method that can more easily detect the host infected by the bot in the internal network using a new method that is not changed by communication encryption and communication pattern obfuscation.

본 발명의 일 실시 예에 따른 봇 감염 호스트 탐지 장치는 내부 네트워크와 외부 네트워크 사이에 전달되는 패킷들을 수집하는 패킷 수집부, 상기 패킷 수집부에서 수집된 패킷들을 해석하여 내부 IP 주소별로 상기 외부 네트워크에 대한 접근 정보를 추출하는 패킷 디코드부, 상기 접근 정보 및 기 등록된 블랙리스트 정보를 이용하여 내부 IP 주소별 블랙리스트에 대한 접근 통계를 산출하는 블랙리스트 접근 통계부, 상기 접근 통계를 이용하여 상기 내부 네트워크에 연결된 내부 호스트들의 상태를 모니터링하고, 감염된 호스트를 탐지하는 호스트 상태 모니터링부 및 상기 접근 정보, 상기 블랙리스트 정보, 상기 접근 통계 및 상기 내부 호스트들에 대한 상태 정보를 저장하는 데이터베이스를 포함한다.An apparatus for detecting a bot infected host according to an embodiment of the present invention may include a packet collecting unit configured to collect packets transferred between an internal network and an external network, and interpret the packets collected by the packet collecting unit to the external network for each internal IP address. A packet decode unit for extracting access information for the server, a blacklist access statistics unit for calculating access statistics for the blacklist for each IP address by using the access information and pre-registered blacklist information, and the internal using the access statistics And a host status monitoring unit for monitoring the status of internal hosts connected to the network and detecting an infected host, and a database storing the access information, the blacklist information, the access statistics, and status information about the internal hosts.

이러한 본 발명의 봇 감염 호스트 탐지 장치는 외부 시스템으로부터 봇넷의 C&C(Command & Control) 서버 또는 악성 코드를 다운로드 받을 수 있는 웹 사이트에 대한 정보를 제공받아 상기 블랙리스트 정보를 업데이트하는 블랙리스트 관리부를 더 포함할 수 있다.The bot infection host detection device of the present invention is further provided with a blacklist management unit that receives information on a web site from which an botnet's C & C (Command & Control) server or malicious code can be downloaded from an external system and updates the blacklist information. It may include.

본 발명의 봇 감염 호스트 탐지 장치에서 상기 패킷 수집부는 상기 내부 네트워크와 상기 외부 네트워크 사이에 설치된 네트워크 탭을 통해 실시간으로 패킷들을 전달받아 수집할 수 있다.In the bot infected host detection apparatus of the present invention, the packet collector may receive and collect packets in real time through a network tap installed between the internal network and the external network.

본 발명의 봇 감염 호스트 탐지 장치에서 상기 패킷 디코드부는 각 내부 IP 주소가 접근한 상기 외부 네트워크의 외부 IP 주소와 외부 URL 및 그 접근 시간을 추출하며, 이를 위해 L3 계층의 IP 패킷에서는 출발지 IP 주소, 목적지 IP 주소 및 접근 시간을 추출하고, L7 계층의 HTTP 패킷에서는 HTTP 요청 내용에서 URL 부분을 해석하여 목적지 URL을 추출한다.In the bot infected host detection apparatus of the present invention, the packet decode unit extracts an external IP address, an external URL, and an access time of the external network accessed by each internal IP address, and for this purpose, the source IP address, The destination IP address and access time are extracted, and in the L7 layer HTTP packet, the destination URL is extracted by parsing the URL part of the HTTP request.

본 발명의 봇 감염 호스트 탐지 장치에서 상기 블랙리스트 접근 통계부는 상기 접근 통계로서, 일정 기간 단위로 상기 내부 호스트의 동작 여부 및 상기 내부 IP 주소가 기 등록된 블랙리스트에 접근한 회수, 접근한 일수 및 접근 빈도를 산출한다. 예컨대, 상기 내부 호스트의 일별 동작 여부, 상기 내부 IP 주소가 상기 블랙리스트에 접근한 일별 접근 회수, 주별 접근 일수, 비접근 기간 및 주별 접근 빈도를 산출한다. 이때, 주별 접근 일수는 일주일 동안에 각 내부 IP 주소가 1회 이상 상기 블랙리스트에 접근한 일수를 나타내며, 주별 접근 빈도는 주별 접근 일수를 해당 일주일 동안의 동작 일수로 나눈 값이다. 그리고, 비접근 기간은 기 저장된 일별 접근 회수를 이용하여 각 내부 IP 주소가 가장 최근에 상기 블랙리스트에 접근한 날짜를 구한 후 그 날짜와 현재 날짜와의 차이를 나타낸다.In the bot infected host detection device of the present invention, the blacklist access statistics unit is the access statistics, and whether the internal host is operated and the number of times that the internal IP address accesses the pre-registered blacklist for a predetermined period, Calculate the frequency of access. For example, the daily operation of the internal host, the number of daily accesses to the blacklist by the internal IP address, the number of weekly access days, the inaccess period, and the frequency of weekly accesses are calculated. In this case, the number of weekly access days indicates the number of days each internal IP address accesses the blacklist one or more times during the week, and the weekly access frequency is a value obtained by dividing the number of weekly access days by the number of operating days during the week. In addition, the non-access period represents the difference between the date and the current date after each internal IP address obtains the date when the internal IP address is most recently accessed using the stored number of daily accesses.

본 발명의 봇 감염 호스트 탐지 장치에서 상기 호스트 상태 모니터링부는 상기 블랙리스트에 적어도 한번 접근한 내부 IP 주소에 대응되는 내부 호스트를 '감염 의심' 상태로 변환하고, '감염 의심' 상태인 내부 호스트들 중 상기 주별 접근 빈도가 기 설정된 제 1 기준치를 초과하는 내부 호스트를 '감염' 상태로 변환시킨다. 그리고, 호스트 상태 모니터링부는 '감염' 상태에서 치료된 내부 호스트를 '감염 의심' 상태로 변환하고, '감염 의심' 상태인 내부 호스트들 중 상기 블랙리스트에 대한 비접근 기간이 기 설정된 제 2 기준치를 초과하는 내부 호스트를 '정상' 상태로 변환시킨다.In the bot infected host detection device of the present invention, the host status monitoring unit converts an internal host corresponding to the internal IP address that has accessed the blacklist at least once into a 'suspected infection' state, and among the internal hosts that are in 'suspected infection' state. The internal host whose weekly access frequency exceeds the first predetermined threshold value is converted into an 'infection' state. The host state monitoring unit converts the internal host treated in the 'infected' state into the 'suspected infection' state, and sets a second reference value for which the inaccessibility period for the blacklist among the internal hosts in the 'suspected infection' state is set. Transition excess internal hosts into a 'normal' state.

본 발명의 일 실시 예에 따른 봇 감염 호스트 탐지 방법은 외부 네트워크와 내부 네트워크 사이에 전달되는 패킷을 수집하는 제 1 단계, 상기 수집된 패킷들을 해석하여 내부 IP 주소별 상기 외부 네트워크에 대한 접근 정보를 추출하는 제 2 단계, 상기 접근 정보 및 기 등록된 블랙리스트 정보를 이용하여 내부 IP 주소별 블랙리스트에 대한 접근 통계를 산출하는 제 3 단계 및 상기 접근 통계를 이용하여 상기 내부 네트워크에 연결된 내부 호스트들의 상태를 모니터링하고, 감염된 호스트를 탐지하는 제 4 단계를 포함한다.In one embodiment, a method for detecting a bot infected host according to an embodiment of the present invention collects packets transmitted between an external network and an internal network, and analyzes the collected packets to obtain access information for the external network for each internal IP address. A second step of extracting, a third step of calculating access statistics for the blacklist for each internal IP address using the access information and the pre-registered blacklist information, and an internal host connected to the internal network using the access statistics. Monitoring the status and detecting an infected host.

본 발명은 통신 암호화 및 통신 패턴 난독화가 적용된 봇에 의해 감염된 호스트들도 보다 효과적으로 용이하게 탐지할 수 있도록 해준다.The present invention makes it easier and more efficient to detect infected hosts by bots that have communication encryption and communication pattern obfuscation applied.

도 1은 본 발명의 일 실시 예에 따른 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치가 적용된 네트워크의 전체 구성을 보여주는 도면.
도 2는 도 1에서 봇 감염 호스트 탐지 장치의 구조를 보다 상세하게 나타낸 시스템 구성도.
도 3은 상술한 구성을 갖는 봇 감염 호스트 탐지 장치의 동작을 통한 봇 감염 호스트 탐지 방법을 설명하기 위한 순서도.
도 4는 내부 호스트들의 감염 상태 변화를 나타내는 상태 흐름도.1 is a view showing the overall configuration of a network to which the bot infection host detection device based on the blacklist access statistics according to an embodiment of the present invention.
Figure 2 is a system configuration diagram showing in more detail the structure of the bot infected host detection device in FIG.
Figure 3 is a flow chart for explaining a bot infection host detection method through the operation of the bot infection host detection device having the above configuration.
4 is a state flow diagram illustrating a change in infection state of internal hosts.

이하, 첨부된 도면들을 참조하여 본 발명의 실시 예를 보다 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention in more detail.

도 1은 본 발명의 일 실시 예에 따른 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치가 적용된 네트워크의 전체 구성을 보여주는 도면이다.1 is a diagram illustrating the overall configuration of a network to which a bot infection host detection apparatus based on blacklist access statistics according to an embodiment of the present invention is applied.

도 1의 네트워크는 외부 네트워크(110), 내부 네트워크(120), 내부 네트워크에 연결된 내부 호스트들(130), 네트워크 탭(210) 및 봇 감염 호스트 탐지 장치(220)를 포함한다.The network of FIG. 1 includes an external network 110, an internal network 120, internal hosts 130 connected to an internal network, a network tap 210, and a bot infected host detection device 220.

외부 네트워크(110)는 인터넷 망으로서, 봇과 같은 악성 코드를 퍼뜨리는 서버들이 연결되어 있으며, 내부 네트워크(120)는 특정 서비스를 제공하는 프로그램이 적재된 내부 호스트들(130)이 연결된 네트워크이다. 이때, 감시 대상이 되는 내부 호스트(130)들은 각각 IP 주소를 갖는 단말로 가정하며, 이러한 내부 호스트들(130) 중에는 일반적인 컴퓨터, 프린터나 스캐너와 같은 네트워크 장치, IP 공유기 등이 포함될 수 있다.The external network 110 is an Internet network, and servers that distribute malicious codes such as bots are connected, and the internal network 120 is a network to which internal hosts 130 loaded with a program providing a specific service are connected. In this case, it is assumed that the internal hosts 130 to be monitored are terminals having IP addresses, and the internal hosts 130 may include a general computer, a network device such as a printer or a scanner, an IP router, and the like.

네트워크 탭(210)은 외부 네트워크(110)와 내부 네트워크(120) 사이의 네트워크 트래픽을 미러링하여 봇 감염 호스트 탐지 장치(220)로 전달해 준다. 이러한 네트워크 탭(210)은 상/하향 트래픽을 합쳐서 봇 감염 호스트 탐지 장치(220)로 전달하거나, 상/하향 트래픽을 분리한 상태로 봇 감염 호스트 탐지 장치(220)로 전달할 수 있다.The network tap 210 mirrors and transmits network traffic between the external network 110 and the internal network 120 to the bot infection host detection device 220. The network tap 210 may transfer the up / down traffic to the bot infection host detection device 220 or transmit the up / down traffic to the bot infection host detection device 220 in a state where the up / down traffic is separated.

봇 감염 호스트 탐지 장치(220)는 네트워크 탭(210)을 통해 전달된 외부 네트워크(110)와 내부 네트워크(120) 사이의 트래픽을 감시하여 내부 네트워크(120)에 연결되어 있는 내부 호스트들(130)이 봇에 감염된 내부 호스트를 탐지한다. 이를 위해, 봇 감염 호스트 탐지 장치(220)는 내부 호스트들(130)이 외부 네트워크(110)와 주고받는 네트워크 패킷들을 수집한 후 내부 네트워크(120)에 속한 각 IP 주소(이하, '내부 IP 주소'라 함)별로 기 등록된 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 접근 통계치를 산출하여 내부 호스트들(130)의 감염 여부를 모니터링하고, 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 접근 빈도가 미리 정해진 기준치를 넘어서는 내부 호스트(130)를 탐지하여 네트워크 보안 관리자에게 통보한다. 이때, 블랙리스트(black-list)들에 대한 정보(IP 주소, URL)는 최근 보안 업체들과 ISP(Internet Service Provider)에서 봇과 같은 악성 코드를 퍼뜨리는 숙주 서버들에 대한 IP 주소와 클릭 유도에 의해 악성 코드를 감염시키는 URL에 대한 정보를 관리하고 있어 그 정보를 이용할 수 있다.The bot infection host detection device 220 monitors the traffic between the external network 110 and the internal network 120 transmitted through the network tap 210, and internal hosts 130 connected to the internal network 120. Detect internal hosts infected by this bot. To this end, the bot infection host detection device 220 collects network packets transmitted and received by the internal hosts 130 to and from the external network 110, and then each IP address belonging to the internal network 120 (hereinafter, referred to as an 'internal IP address'). Access statistics on the pre-registered blacklist IP address or blacklist URL are monitored to monitor the infection of internal hosts 130, and the frequency of access to the blacklist IP address or blacklist URL is determined in advance. The internal host 130 that exceeds the predetermined threshold is detected and notified to the network security manager. At this time, information about blacklists (IP address, URL) is used to induce IP addresses and clicks on host servers that recently spread malicious code such as bots from security companies and ISPs (Internet Service Providers). By managing information on URLs that infect malicious code, the information can be used.

도 2는 도 1에서 봇 감염 호스트 탐지 장치(220)의 구조를 보다 상세하게 나타낸 시스템 구성도이다.2 is a system configuration diagram illustrating the structure of the bot infection host detection device 220 in FIG. 1 in more detail.

봇 감염 호스트 탐지 장치(220)는 패킷 수집부(221), 패킷 디코드부(222), 블랙리스트 접근 통계부(223), 블랙리스트 관리부(224), 호스트 상태 모니터링부(225), 블랙리스트 IP 주소 DB(226), 블랙리스트 URL DB(227), 트래픽 DB(228) 및 호스트 상태 DB(229)를 포함한다.The bot infection host detection device 220 includes a packet collecting unit 221, a packet decoding unit 222, a blacklist access statistics unit 223, a blacklist managing unit 224, a host status monitoring unit 225, and a blacklist IP. Address DB 226, blacklist URL DB 227, traffic DB 228, and host state DB 229.

패킷 수집부(221)는 네트워크 탭(210)을 통해 내부 네트워크(120)에 연결된 내부 호스트들(130)과 외부 네트워크(110) 사이에 전달되는 네트워크 패킷들을 실시간으로 수집하여 패킷 디코드부(222)에 전달한다.The packet collector 221 collects network packets transmitted between the internal hosts 130 connected to the internal network 120 and the external network 110 in real time through the network tap 210, and decodes the packet decoder 222. To pass on.

패킷 디코드부(222)는 패킷 수집부(221)로부터 전달받은 패킷들을 실시간으로 해석하여 각 내부 IP 주소별로 해당 내부 IP 주소가 접근한 외부 네트워크의 IP 주소(이하, '외부 IP 주소'라 함), URL(이하, '외부 URL'이라 함) 및 그 접근 시간을 추출하고 이를 트래픽 DB(228)에 저장한다. 즉, 패킷 디코드부(222)는 네트워크 패킷을 해석하여 L3 (LAYER 3) 계층의 IP 패킷에서는 출발지 IP 주소, 목적지 IP 주소 및 접근 시간을 추출하고, L7 (LAYER 7) 계층의 HTTP 패킷에서는 HTTP 요청 내용에서 URL 부분을 해석하여 목적지 URL을 추출한 후 이를 내부 IP 주소별로 분류하여 각 내부 IP별로 해당 내부 IP 주소가 접근한 외부 IP 주소와 외부 URL 및 그 접근 시간을 트래픽 DB(228)에 저장한다.The packet decode unit 222 interprets the packets received from the packet collector 221 in real time, and for each internal IP address, an IP address of an external network accessed by the corresponding internal IP address (hereinafter, referred to as an “external IP address”). , URL (hereinafter referred to as 'external URL') and its access time are extracted and stored in the traffic DB 228. That is, the packet decode unit 222 analyzes the network packet, extracts the source IP address, the destination IP address and the access time from the IP packet of the L3 (LAYER 3) layer, and the HTTP request from the HTTP packet of the L7 (LAYER 7) layer. After analyzing the URL part from the contents, extract the destination URL and classify it by the internal IP address, and store the external IP address, the external URL, and the access time of the corresponding internal IP address in the traffic DB 228 for each internal IP.

블랙리스트 접근 통계부(223)는 일정 기간 단위(예컨대, 일단위, 주단위)로 트래픽 DB(228)에 저장된 트래픽 정보(내부 IP 주소별 접근 정보) 및 블랙리스트 IP 주소 DB(226)와 블랙리스트 URL DB(227)에 저장된 블랙리스트 정보를 이용하여 내부 IP 주소별 블랙리스트에 대한 접근 통계를 산출한다. 즉, 블랙리스트 접근 통계부(223)는 트래픽 DB(228)에 저장된 트래픽 정보와 블랙리스트 IP 주소 DB(226)와 블랙리스트 URL DB(227)에 저장된 블랙리스트 정보를 이용하여 내부 호스트(130)의 동작 여부 및 각 내부 IP 주소가 블랙리스트로 등록된 IP 주소(이하, '블랙리스트 IP 주소'라 함)와 URL(이하, '블랙리스트 URL'이라 함)에 접근한 회수, 일수 및 빈도를 산출하여 호스트 상태 DB(229)에 저장하고 해당 정보를 호스트 상태 모니터링부(225)에 전달한다. 예컨대, 블랙리스트 접근 통계부(223)는 각 내부 IP 주소별로 일별 동작 여부, 일별 접근 회수, 주별 접근 일수, 비접근 일수 및 주별 접근 빈도를 산출하여 호스트 상태 DB(229)에 저장한다.The blacklist access statistics unit 223 blacks the traffic information (access information for each internal IP address) stored in the traffic DB 228 and the blacklist IP address DB 226 and the black data for a predetermined period of time (for example, daily, weekly). Using the blacklist information stored in the list URL DB 227, access statistics for the blacklist for each internal IP address are calculated. That is, the blacklist access statistics unit 223 uses the traffic information stored in the traffic DB 228 and the blacklist information stored in the blacklist IP address DB 226 and the blacklist URL DB 227 to internal host 130. , The number, days, and frequency of each internal IP address's access to a blacklisted IP address (hereinafter referred to as "blacklist IP address") and URL (hereinafter referred to as "blacklist URL"). The calculated state is stored in the host state DB 229 and the information is transmitted to the host state monitoring unit 225. For example, the blacklist access statistics unit 223 calculates the daily operation status, the daily access count, the weekly access days, the inaccessible days, and the weekly access frequency for each internal IP address, and stores them in the host state DB 229.

블랙리스트 관리부(224)는 블랙리스트에 대한 정보를 가지고 있는 보안 업체 또는 ISP와 같은 외부 시스템으로부터 봇넷의 C&C 서버 또는 악성 코드를 다운로드 받을 수 있는 웹 사이트에 대한 정보를 제공받아 블랙리스트 IP 주소 DB(226) 또는 블랙리스트 URL DB(227)에 저장(업데이트)한다. 이러한 블랙리스트 관리부(224)의 기능은 온라인 상에서 자동으로 이루어질 수도 있지만 경우에 따라서는 보안 시스템 관리자에 의해 오프라인 상에서 수동으로 진행될 수도 있다.The blacklist management unit 224 is provided with information on a web site from which a botnet's C & C server or malicious code can be downloaded from an external system such as a security company or an ISP that has blacklist information. 226 or in the blacklist URL DB 227 (update). The function of the blacklist management unit 224 may be automatically performed online, but in some cases, it may be manually performed offline by the security system administrator.

호스트 상태 모니터링부(225)는 호스트 상태 DB(229)에 저장된 정보를 이용하여 각 내부 호스트들(130)의 상태(정상 / 감염 의심 / 감염)를 실시간으로 모니터링하고, 봇 감염 호스트를 탐지하여 보안 관리자에게 통보한다.The host status monitoring unit 225 monitors the status (normal / suspicious / infection) of each of the internal hosts 130 in real time by using the information stored in the host status DB 229, and detects the bot infected host for security. Notify the administrator.

블랙리스트 IP 주소 DB(226) 및 블랙리스트 URL DB(227)는 봇넷의 C&C 서버 IP 주소 및 악성 코드를 다운로드 받을 수 있는 웹 사이트 URL을 각각 저장한다.The blacklist IP address DB 226 and the blacklist URL DB 227 respectively store the botnet's C & C server IP address and a website URL from which malicious code can be downloaded.

트래픽 DB(228)는 내부 IP 주소별로 해당 내부 IP 주소가 접근한 외부 IP, 외부 URL 및 접근 시간에 대한 정보를 저장한다.The traffic DB 228 stores information about an external IP, an external URL, and an access time accessed by the corresponding internal IP address for each internal IP address.

호스트 상태 DB(229)는 일정 기간 동안에 각 내부 호스트(130)가 동작했는지 여부에 대한 정보, 각 내부 IP 주소별 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 접근 회수, 접근 일수, 접근 빈도, 비접근 일수 및 내부 호스트들(130)에 대한 상태 정보를 저장한다.The host status DB 229 provides information on whether each internal host 130 has been operated for a period of time, the number of accesses to the blacklist IP address or blacklist URL for each internal IP address, the number of days of access, the frequency of access, and the inaccessibility. It stores the number of days and status information for the internal hosts (130).

도 3은 상술한 구성을 갖는 봇 감염 호스트 탐지 장치의 동작을 통한 봇 감염 호스트 탐지 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a bot infected host detection method through the operation of the bot infected host detection device having the above-described configuration.

네트워크 탭(210)은 외부 네트워크(110)와 내부 네트워크(120) 사이에 설치되어 내부 네트워크(120)에 연결된 내부 호스트들(130)과 외부 네트워크(110) 사이에서 전달되는 네트워크 트래픽을 미러링하여 봇 감염 호스트 탐지 장치(220)의 패킷 수집부(221)로 전달해 준다.The network tap 210 is installed between the external network 110 and the internal network 120 to mirror the bot by mirroring network traffic transmitted between the external hosts 110 and the internal hosts 130 connected to the internal network 120. It delivers to the packet collection unit 221 of the infection host detection device 220.

패킷 수집부(221)는 네트워크 탭(210)으로 부터 전달받은 네트워크 패킷들을 실시간으로 수집하여 패킷 디코드부(222)에 전달한다(단계 310).The packet collector 221 collects the network packets received from the network tap 210 in real time and delivers them to the packet decode unit 222 (step 310).

패킷 디코드부(222)는 전달받은 패킷들을 실시간으로 해석하여 각 내부 IP 주소별로 해당 내부 IP 주소가 접근한 외부 IP 주소, 외부 URL 및 접근 시간에 대한 정보를 추출하고 추출된 정보를 트래픽 DB(228)에 저장한다(단계 320).The packet decode unit 222 analyzes the received packets in real time, extracts information on an external IP address, an external URL, and an access time accessed by the corresponding internal IP address for each internal IP address, and extracts the extracted information from the traffic DB 228. (Step 320).

즉, 패킷 디코드부(22)는 먼저 수신된 패킷이 IP 패킷인지를 확인하여 IP 패킷인 경우에는 출발지 IP 주소, 목적지 IP 주소 및 접근 시간을 추출한 후 각 내부 IP 별로 대응되는 외부 IP와 접근 시간을 트래픽 DB(228)에 저장한다. 그리고, 패킷 디코드부(22)는 해당 패킷이 HTTP 패킷인지 여부를 추가적으로 확인하여 HTTP 패킷인 경우에는 HTTP 요청 내용에서 URL 부분을 해석하여 목적지 URL을 추출하고 이를 해당 내부 IP 주소에 대한 외부 URL로 대응시켜 트래픽 DB(228)에 저장한다.That is, the packet decode unit 22 first checks whether the received packet is an IP packet, and if the packet is an IP packet, extracts a source IP address, a destination IP address, and an access time, and then extracts an external IP and an access time corresponding to each internal IP. Store in the traffic DB (228). Further, the packet decode unit 22 additionally checks whether the corresponding packet is an HTTP packet, and in the case of the HTTP packet, extracts a destination URL by interpreting the URL part from the contents of the HTTP request and responds it to an external URL for the corresponding internal IP address. Store it in the traffic DB 228.

즉, 트래픽 DB(228)에는 각 내부 IP 주소별로 외부 IP 주소, 외부 URL, 접근 시간이 매칭되어 실시간으로 저장된다.That is, in the traffic DB 228, an external IP address, an external URL, and an access time are matched with each internal IP address and stored in real time.

그러면, 블랙리스트 접근 통계부(223)는 트래픽 DB(228)에 저장된 트래픽 정보(내부 IP별 접근 정보)와 블랙리스트 DB(226, 227)에 저장된 블랙리스트 정보를 이용하여 내부 IP 주소별 블랙리스트에 대한 접근 통계를 산출한다(단계 330). Then, the blacklist access statistics unit 223 uses the traffic information (access information for each internal IP) stored in the traffic DB 228 and the blacklist for each internal IP address using the blacklist information stored in the blacklist DBs 226 and 227. Compute access statistics for (step 330).

즉, 블랙리스트 접근 통계부(223)는 주기적으로 트래픽 DB(228)에 저장된 트래픽 정보를 이용하여 각 내부 호스트들의 동작 여부를 판단하고, 트래픽 정보를 블랙리스트 IP 주소 DB(226) 및 블랙리스트 URL DB(227)에 저장된 블랙리스트에 대한 정보(IP 주소, URL)와 비교하여 각 내부 IP 주소별로 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 접근 통계를 산출한다. 이러한 접근 통계로는 일별 접근 회수, 주별 접근 일수, 비접근 기간, 접근 빈도를 산출한다.That is, the blacklist access statistics unit 223 periodically determines the operation of each internal host by using the traffic information stored in the traffic DB 228, and uses the blacklist IP address DB 226 and the blacklist URL to determine the traffic information. The access statistics for the blacklist IP address or the blacklist URL are calculated for each internal IP address by comparing with the blacklist information (IP address and URL) stored in the DB 227. These access statistics calculate daily access counts, weekly access days, inaccessibility periods, and access frequency.

이를 위해, 먼저 블랙리스트 접근 통계부(223)는 예컨대 하루 단위로 트래픽 DB(228)에 저장된 트래픽 정보에서 각 내부 IP 주소가 발생하였는지 여부를 확인하여, 내부 IP 주소에 대응되는 내부 호스트들이 해당 일에 동작하였는지 여부를 판단한다. 이처럼 내부 호스트의 동작 여부를 판단하는 이유는 기업 네트워크에 속한 호스트들은 개인용 컴퓨터와 달리 근무일에는 동작하고 휴일에는 동작하지 않기 때문에 근무일에는 악성 코드의 활동이 나타나고 휴일에는 악성 코드의 활동이 나타나지 않는 경향이 있다. 따라서, 내부 호스트가 동작하지 않아 악성 코드가 활동을 하지 않은 것인지 아니면 내부 호스트가 동작했으나 악성 코드가 활동하지 않은 것인지를 구분하여 반영함으로써 접근 통계의 신뢰성을 높일 수 있다. 이러한 동작 여부 판단 정보는 호스트 상태 DB(229)에 저장된 후 주별 접근 빈도를 계산하는데 사용된다.To this end, the blacklist access statistics unit 223 first checks whether or not each internal IP address is generated from the traffic information stored in the traffic DB 228 on a daily basis, so that internal hosts corresponding to the internal IP address are assigned to the corresponding day. It is determined whether the operation has been performed. The reason for judging whether the internal host is operating is because the hosts in the corporate network, unlike personal computers, operate on working days and do not work on holidays, so malicious activity appears on working days and malicious activity does not appear on holidays. have. Therefore, it is possible to increase the reliability of access statistics by distinguishing whether the malicious code is inactive because the internal host is not running or whether the malicious code is inactive although the internal host is running. The operation determination information is stored in the host state DB 229 and used to calculate the weekly access frequency.

그리고 블랙리스트 접근 통계부(223)는 예컨대 하루 단위로 트래픽 DB(228)에 저장된 트래픽 정보를 블랙리스트 IP 주소 DB(226) 및 블랙리스트 URL DB(227)에 각각 저장된 블랙리스트 IP 주소 및 블랙리스트 URL와 비교하여 하루 동안 각 내부 IP 주소가 블랙리스트 IP 주소 또는 블랙리스트 URL에 접근한 회수(일별 접근 회수)를 산출하여 호스트 상태 DB(229)에 저장한다. 블랙리스트 IP 주소와 블랙리스트 URL에 대한 정보는 블랙리스트 관리부(224)에 의해 수시로 또는 정기적으로 업데이트된다.In addition, the blacklist access statistics unit 223 stores the traffic information stored in the traffic DB 228 in the blacklist IP address DB 226 and the blacklist URL DB 227 on a daily basis, for example. In comparison with the URL, each internal IP address calculates the number of times of accessing the blacklisted IP address or the blacklisted URL (the number of daily accesses) and stores the number in the host state DB 229. The information on the blacklist IP address and blacklist URL is updated by the blacklist manager 224 from time to time or regularly.

다음에, 블랙리스트 접근 통계부(223)는 호스트 상태 DB(229)에 저장된 일별 접근 회수를 이용하여 예컨대 일주일 동안에 각 내부 IP 주소가 1회 이상 블랙리스트 IP 주소 또는 블랙리스트 URL에 접근한 일수(주별 접근 일수)를 산출하여 호스트 상태 DB(229)에 저장한다. 또한, 블랙리스트 접근 통계부(223)는 호스트 상태 DB(229)에 저장된 일별 접근 회수를 이용하여 각 내부 IP 주소가 가장 최근에 블랙리스트 IP 주소 또는 블랙리스트 URL에 접근한 날짜를 구한 후 그 날짜와 현재 날짜와의 차이로 계산하여 비접근 기간을 산출하여 호스트 상태 DB(229)에 저장한다.Next, the blacklist access statistics unit 223 uses the number of daily accesses stored in the host state DB 229, for example, the number of days each internal IP address accesses the blacklist IP address or the blacklist URL at least once in a week ( Weekly access days) are calculated and stored in the host state DB 229. In addition, the blacklist access statistics unit 223 calculates the date when each internal IP address most recently accessed the blacklist IP address or the blacklist URL using the daily access count stored in the host state DB 229. The non-access period is calculated by calculating the difference with the current date and stored in the host state DB 229.

다음에, 블랙리스트 접근 통계부(223)는 내부 IP 주소별 주별 접근 일수를 해당 일주일 동안의 해당 내부 호스트의 동작 일수로 나눔으로써 내부 IP 주소별 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 주별 접근 빈도를 산출하여 한다. 이때, 해당 일주일 동안에 동작 일수가 0 인 경우에는 빈도 계산에서 제외시킨다.Next, the blacklist access statistics unit 223 divides the number of weekly access days for each internal IP address by the number of days of operation of the corresponding internal host for the week, and thus the frequency of weekly access to the blacklist IP address or blacklist URL for each internal IP address. Calculate In this case, if the number of operating days during the week is 0, it is excluded from the frequency calculation.

이렇게 내부 IP 주소별 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 접근 통계가 산출되면, 이를 근거로 호스트 상태 모니터링부(225)는 각 내부 IP 주소 즉 각 내부 호스트의 상태를 판단하여 감염 호스트를 탐지한다(단계 340).When the access statistics for the blacklist IP address or the blacklist URL for each internal IP address are calculated, the host status monitoring unit 225 detects the infected host by determining the state of each internal IP address, that is, the internal host. (Step 340).

도 4는 내부 호스트들의 감염 상태 변화를 나타내는 상태 흐름도로, 도 4를 이용하여 호스트 상태 모니터링부(225)의 동작을 설명하면 다음과 같다.FIG. 4 is a flowchart illustrating a change in the infection status of internal hosts. Referring to FIG. 4, the operation of the host status monitoring unit 225 will be described below.

본 발명의 봇 감염 호스트 탐지 장치가 처음 적용될 때 내부 호스트들(130)은 '정상' 상태로 간주된다.When the bot infected host detection device of the present invention is first applied, the internal hosts 130 are considered to be 'normal'.

호스트 상태 모니터링부(225)는 호스트 상태 DB(229)에 저장된 정보를 이용하여 블랙리스트 IP 주소 또는 블랙리스트 URL에 한번 이상 접근한 내부 IP 주소가 있으면 해당 내부 IP 주소에 대응되는 내부 호스트를 '감염 의심' 상태로 변환시킨다. 그런데 접근 회수가 늘어 해당 내부 IP 주소의 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 접근 빈도가 기 설정된 제 1 기준치를 넘어서게 되면, 호스트 상태 모니터링부(225)는 해당 내부 호스트를 '감염' 상태로 변환한 후 해당 사실을 네트워크 보안 관리자에게 통보한다.The host status monitoring unit 225 “infects the internal host corresponding to the internal IP address if there is an internal IP address that accesses the blacklist IP address or the blacklist URL more than once using the information stored in the host status DB 229. 'Suspect' state. However, when the number of access increases and the access frequency of the blacklist IP address or the blacklist URL of the corresponding internal IP address exceeds the preset first threshold value, the host status monitoring unit 225 converts the internal host into an 'infected' state. Then inform the network security administrator.

'감염' 상태로 통보된 내부 호스트는 네트워크 보안 관리자에 의해 IP 차단 또는 감염 치료와 같은 조치를 받게 된다. 내부 호스트의 IP가 차단되면, 해당 내부 호스트는 내부 네트워크(120)에 연결된 관리 대상 호스트(130)에서 빠지게 된다. 감염 치료 조치를 받게 되면, 호스트 상태 모니터링부(225)는 해당 내부 호스트를 '감염' 상태에서 '감염 의심' 상태로 변환시킨다. 이때, 바로 '정상' 상태로 변환시키지 않는 이유는 일반적으로 악성 코드 치료 프로그램이 악성 코드를 완전하게 치료할 가능성이 크지 않기 때문에 추가적인 확인 작업을 거치기 위함이다. 즉, 호스트 상태 모니터링부(225)는 '감염 의심' 상태로 변환된 내부 호스트들 중 블랙리스트 IP 주소 또는 블랙리스트 URL에 대한 비접근 기간이 제 2 기준치를 넘어서는 내부 호스트들을 '정상' 상태로 변환시킨다.Internal hosts notified of an 'infection' status are subject to actions such as IP blocking or infection treatment by the network security administrator. When the IP of the internal host is blocked, the internal host is removed from the managed host 130 connected to the internal network 120. When the infection treatment is received, the host status monitoring unit 225 converts the corresponding internal host from the 'infection' state to the 'suspect infection' state. In this case, the reason for not immediately converting to a 'normal' state is that the malware repair program generally does not have a high possibility of completely treating the malicious code, so that additional verification is required. That is, the host status monitoring unit 225 converts internal hosts whose inaccessibility period for the blacklisted IP address or the blacklist URL among the internal hosts converted to the 'suspect susceptibility' state to the 'normal' state. Let's do it.

상술한 단계 310 내지 단계 340의 동작들은 봇 감염 호스트 탐지 장치에 이상이 발생하거나 보안 관리자에 의한 별도의 지시가 있을 때까지 반복 진행된다.The operations of steps 310 to 340 described above are repeated until an abnormality occurs in the bot infected host detection device or a separate instruction from the security manager is given.

상술한 실시 예는 본 발명의 예시를 목적으로 한 것으로서, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.The above-described embodiment is for the purpose of illustrating the invention, and those skilled in the art will be able to make various modifications, changes, substitutions and additions through the spirit and scope of the appended claims, and such modifications may be made by the following claims. It should be seen as belonging to a range.

110 : 외부 네트워크 120 : 내부 네트워크
130 : 내부 호스트 210 : 네트워크 탭
220 : 봇 감염 호스트 탐지 장치 221 : 패킷 수집부
222 : 패킷 드코드부 223 : 블랙리스트 접근 통계부
224 : 블랙리스트 관리부 225 : 호스트 상태 모니터링부
226 : 블랙리스트 IP 주소 DB 227 : 블랙리스트 URL DB
228 : 트래픽 DB 229 : 호스트 상태 DB110: external network 120: internal network
130: internal host 210: network tab
220: bot infection host detection device 221: packet collection unit
222: packet decode unit 223: blacklist access statistics unit
224: black list management unit 225: host status monitoring unit
226: blacklist IP address DB 227: blacklist URL DB
228: traffic DB 229: host status DB

Claims (19)

내부 네트워크와 외부 네트워크 사이에 전달되는 패킷들을 수집하는 패킷 수집부;
상기 패킷 수집부에서 수집된 패킷들을 해석하여 내부 IP 주소별로 상기 외부 네트워크에 대한 접근 정보를 추출하는 패킷 디코드부;
상기 접근 정보 및 기 등록된 블랙리스트 정보를 이용하여 내부 IP 주소별 블랙리스트에 대한 접근 통계를 산출하는 블랙리스트 접근 통계부;
상기 접근 통계를 이용하여 상기 내부 네트워크에 연결된 내부 호스트들의 상태를 모니터링하고, 감염된 호스트를 탐지하는 호스트 상태 모니터링부; 및
상기 접근 정보, 상기 블랙리스트 정보, 상기 접근 통계 및 상기 내부 호스트들에 대한 상태 정보를 저장하는 데이터베이스를 포함하는 봇 감염 호스트 탐지 장치.A packet collecting unit collecting packets transmitted between the internal network and the external network;
A packet decoder configured to interpret packets collected by the packet collector and extract access information of the external network for each internal IP address;
A blacklist access statistics unit configured to calculate access statistics for the blacklist for each internal IP address using the access information and the registered blacklist information;
A host status monitoring unit for monitoring a status of internal hosts connected to the internal network using the access statistics and detecting an infected host; And
And a database for storing the access information, the blacklist information, the access statistics, and state information about the internal hosts. 제 1항에 있어서,
외부 시스템으로부터 봇넷의 C&C(Command & Control) 서버 또는 악성 코드를 다운로드 받을 수 있는 웹 사이트에 대한 정보를 제공받아 상기 블랙리스트 정보를 업데이트하는 블랙리스트 관리부를 더 포함하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 1,
Bot infected host detection, characterized in that it further comprises a blacklist management unit for receiving information about the botnet's C & C (Command & Control) server or a website that can download malicious code to update the blacklist information Device. 제 1항에 있어서, 상기 패킷 수집부는
상기 내부 네트워크와 상기 외부 네트워크 사이에 설치된 네트워크 탭을 통해 실시간으로 패킷들을 전달받아 수집하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 1, wherein the packet collecting unit
Bot infection host detection device, characterized in that the packets received and collected in real time through a network tap installed between the internal network and the external network. 제 1항에 있어서, 상기 패킷 디코드부는
각 내부 IP 주소가 접근한 상기 외부 네트워크의 외부 IP 주소와 외부 URL 및 그 접근 시간을 추출하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 1, wherein the packet decode unit
And extracting the external IP address, external URL, and access time of the external network accessed by each internal IP address. 제 4항에 있어서, 상기 패킷 디코드부는
L3 (LAYER 3) 계층의 IP 패킷에서는 출발지 IP 주소, 목적지 IP 주소 및 접근 시간을 추출하고, L7 (LAYER 7) 계층의 HTTP 패킷에서는 HTTP 요청 내용에서 URL 부분을 해석하여 목적지 URL을 추출하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 4, wherein the packet decode unit
Source IP address, destination IP address, and access time are extracted from L3 (LAYER 3) layer IP packet, and destination URL is extracted from the HTTP request contents in L7 (LAYER 7) layer HTTP packet. Bot infection host detection device. 제 1항에 있어서, 상기 블랙리스트 접근 통계부는
상기 접근 통계로서, 일정 기간 단위로 상기 내부 호스트의 동작 여부 및 상기 내부 IP 주소가 기 등록된 블랙리스트에 접근한 회수, 접근한 일수 및 접근 빈도를 산출하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 1, wherein the blacklist access statistics unit
The access statistics, the bot infected host detection device, characterized in that it calculates the operation of the internal host and the number of times, the number of days and the frequency of access to the blacklist registered by the internal IP address in a predetermined period unit. 제 6항에 있어서, 상기 블랙리스트 접근 통계부는
상기 내부 호스트의 일별 동작 여부, 상기 내부 IP 주소가 상기 블랙리스트에 접근한 일별 접근 회수, 주별 접근 일수, 비접근 기간 및 주별 접근 빈도를 산출하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 6, wherein the blacklist access statistics unit
The apparatus for detecting a bot infected host, characterized in that the daily operation of the internal host, the number of daily accesses to the blacklist by the internal IP address, the number of weekly access days, the inaccessible period and the frequency of weekly accesses are calculated. 제 7항에 있어서, 상기 블랙리스트 접근 통계부는
주별 접근 일수를 해당 일주일 동안의 동작 일수로 나누어 상기 주별 접근 빈도를 산출하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치. The method of claim 7, wherein the blacklist access statistics unit
Bot infection host detection device, characterized in that for calculating the weekly access frequency by dividing the weekly access days by the number of operating days for the week. 제 8항에 있어서, 상기 호스트 상태 모니터링부는
상기 블랙리스트에 적어도 한번 접근한 내부 IP 주소에 대응되는 내부 호스트를 '감염 의심' 상태로 변환하고, '감염 의심' 상태인 내부 호스트들 중 상기 주별 접근 빈도가 기 설정된 제 1 기준치를 초과하는 내부 호스트를 '감염' 상태로 변환시키는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 8, wherein the host status monitoring unit
The internal host corresponding to the internal IP address that has accessed the blacklist at least once is converted into a 'suspected infection' state, and among the internal hosts that are in 'suspected infection' state, the weekly access frequency exceeds a preset first threshold. A bot infected host detection device, which translates the host into an 'infected' state. 제 7항에 있어서, 상기 블랙리스트 접근 통계부는
기 저장된 일별 접근 회수를 이용하여 각 내부 IP 주소가 가장 최근에 상기 블랙리스트에 접근한 날짜를 구한 후 그 날짜와 현재 날짜와의 차이로 계산하여 상기 비접근 기간을 산출하는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 7, wherein the blacklist access statistics unit
Bot infection characterized by calculating the date of each internal IP address most recently accessed the blacklist using the stored daily access number and calculating the inaccessibility period by calculating the difference between the date and the current date. Host Beacon. 제 10항에 있어서, 상기 호스트 상태 모니터링부는
'감염' 상태에서 치료된 내부 호스트를 '감염 의심' 상태로 변환하고, '감염 의심' 상태인 내부 호스트들 중 상기 블랙리스트에 대한 비접근 기간이 기 설정된 제 2 기준치를 초과하는 내부 호스트를 '정상' 상태로 변환시키는 것을 특징으로 하는 봇 감염 호스트 탐지 장치.The method of claim 10, wherein the host status monitoring unit
Converts an internal host treated in the 'infected' state into a 'suspected infection' state, and among the internal hosts in the 'suspected infection' state, an internal host whose inaccessibility period for the blacklist exceeds the second predetermined threshold, Bot infected host detection device, characterized in that the conversion to the normal state. 외부 네트워크와 내부 네트워크 사이에 전달되는 패킷을 수집하는 제 1 단계;
상기 수집된 패킷들을 해석하여 내부 IP 주소별 상기 외부 네트워크에 대한 접근 정보를 추출하는 제 2 단계;
상기 접근 정보 및 기 등록된 블랙리스트 정보를 이용하여 내부 IP 주소별 블랙리스트에 대한 접근 통계를 산출하는 제 3 단계; 및
상기 접근 통계를 이용하여 상기 내부 네트워크에 연결된 내부 호스트들의 상태를 모니터링하고, 감염된 호스트를 탐지하는 제 4 단계를 포함하는 봇 감염 호스트 탐지 방법.A first step of collecting packets transmitted between the external network and the internal network;
A second step of extracting access information about the external network for each internal IP address by analyzing the collected packets;
A third step of calculating access statistics for the blacklist for each internal IP address by using the access information and the registered blacklist information; And
And monitoring the status of internal hosts connected to the internal network using the access statistics, and detecting an infected host. 제 12항에 있어서, 상기 제 2 단계는
각 내부 IP 주소가 접근한 상기 외부 네트워크의 외부 IP 주소와 외부 URL 및 그 접근 시간을 추출하는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.13. The method of claim 12, wherein the second step is
A method for detecting a bot infected host, comprising extracting an external IP address, an external URL, and an access time of the external network accessed by each internal IP address. 제 13항에 있어서, 상기 제 2 단계는
L3 계층의 IP 패킷에서는 출발지 IP 주소, 목적지 IP 주소 및 접근 시간을 추출하고, L7 계층의 HTTP 패킷에서는 HTTP 요청 내용에서 URL 부분을 해석하여 목적지 URL을 추출하는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.The method of claim 13, wherein the second step
The source IP address, the destination IP address, and the access time are extracted from the IP packet of the L3 layer, and the destination URL is extracted from the HTTP packet of the L7 layer by extracting the destination URL. 제 12항에 있어서, 상기 제 3 단계는
상기 접근 통계로서, 일정 기간 단위로 상기 내부 호스트의 동작 여부 및 상기 내부 IP 주소가 기 등록된 블랙리스트에 접근한 회수, 접근한 일수, 비접근 기간 및 접근 빈도를 산출하는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.The method of claim 12, wherein the third step
As the access statistics, the bot infection, which calculates whether the internal host is operated and the number of times the internal IP address accesses a pre-registered blacklist, the number of days accessed, the inaccess period, and the frequency of access, as the access statistics. Host detection method. 제 15항에 있어서, 상기 접근 빈도는
상기 주별 접근 일수를 해당 일주일 동안의 동작 일수로 나눈 값을 나타내는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.The method of claim 15, wherein the access frequency is
The bot infection host detection method, characterized in that the week access days divided by the number of days of operation for the week. 제 16항에 있어서, 상기 제 4 단계는
상기 블랙리스트에 적어도 한번 접근한 내부 IP 주소에 대응되는 내부 호스트를 '감염 의심' 상태로 변환하고, '감염 의심' 상태인 내부 호스트들 중 상기 접근 빈도가 기 설정된 제 1 기준치를 초과하는 내부 호스트를 '감염' 상태로 변환시키는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.The method of claim 16, wherein the fourth step
The internal host corresponding to the internal IP address that has accessed the blacklist at least once is converted into a 'suspected infection' state, and among the internal hosts that are 'suspected infection' state, the access frequency exceeds a preset first threshold value. Bot infected host detection method, characterized in that the conversion to the 'infected' state. 제 15항에 있어서, 상기 비접근 기간은
각 내부 IP 주소가 가장 최근에 상기 블랙리스트에 접근한 날짜를 구한 후 그 날짜와 현재 날짜와의 차이를 나타내는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.16. The method of claim 15, wherein the inaccessibility period is
A method for detecting a bot infected host, wherein each internal IP address obtains a date when the blacklist is most recently accessed, and indicates a difference between the date and the current date. 제 18항에 있어서, 상기 제 4 단계는
'감염' 상태에서 치료된 내부 호스트를 '감염 의심' 상태로 변환하고, '감염 의심' 상태인 내부 호스트들 중 상기 블랙리스트에 대한 상기 비접근 기간이 기 설정된 제 2 기준치를 초과하는 내부 호스트를 '정상' 상태로 변환시키는 것을 특징으로 하는 봇 감염 호스트 탐지 방법.19. The method of claim 18, wherein the fourth step is
Converts an internal host treated in the 'infected' state into a 'suspected infection' state, and among the internal hosts in the 'suspected infection' state, the inaccessible period for the blacklist exceeds the preset second threshold; Bot infected host detection method, characterized in that the transition to the 'normal' state.
KR1020100061482A 2010-06-28 2010-06-28 Bot-infected host detection apparatus and method based on blacklist access statistics KR20120000942A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100061482A KR20120000942A (en) 2010-06-28 2010-06-28 Bot-infected host detection apparatus and method based on blacklist access statistics

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100061482A KR20120000942A (en) 2010-06-28 2010-06-28 Bot-infected host detection apparatus and method based on blacklist access statistics

Publications (1)

Publication Number Publication Date
KR20120000942A true KR20120000942A (en) 2012-01-04

Family

ID=45608689

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100061482A KR20120000942A (en) 2010-06-28 2010-06-28 Bot-infected host detection apparatus and method based on blacklist access statistics

Country Status (1)

Country Link
KR (1) KR20120000942A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018632A (en) 2016-01-29 2016-02-17 주식회사 서진파워테크 Tool for Removing Burr of Rubber and Method for Removing Burr of Rubber
CN105992055A (en) * 2015-01-29 2016-10-05 腾讯科技(深圳)有限公司 Video decoding method and device
KR101689296B1 (en) * 2015-10-19 2016-12-23 한국과학기술정보연구원 Automated verification method of security event and automated verification apparatus of security event
WO2020060231A1 (en) * 2018-09-19 2020-03-26 주식회사 맥데이타 Network security monitoring method, network security monitoring device, and system
US12074888B2 (en) 2018-09-19 2024-08-27 Magdata Inc. Network security monitoring method, network security monitoring device, and system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105992055A (en) * 2015-01-29 2016-10-05 腾讯科技(深圳)有限公司 Video decoding method and device
KR101689296B1 (en) * 2015-10-19 2016-12-23 한국과학기술정보연구원 Automated verification method of security event and automated verification apparatus of security event
US10721245B2 (en) 2015-10-19 2020-07-21 Korea Institute Of Science And Technology Information Method and device for automatically verifying security event
KR20160018632A (en) 2016-01-29 2016-02-17 주식회사 서진파워테크 Tool for Removing Burr of Rubber and Method for Removing Burr of Rubber
WO2020060231A1 (en) * 2018-09-19 2020-03-26 주식회사 맥데이타 Network security monitoring method, network security monitoring device, and system
US12074888B2 (en) 2018-09-19 2024-08-27 Magdata Inc. Network security monitoring method, network security monitoring device, and system

Similar Documents

Publication Publication Date Title
JP5844938B2 (en) Network monitoring device, network monitoring method, and network monitoring program
KR101689299B1 (en) Automated verification method of security event and automated verification apparatus of security event
US8079080B2 (en) Method, system and computer program product for detecting security threats in a computer network
US20160232349A1 (en) Mobile malware detection and user notification
Steadman et al. Dnsxd: Detecting data exfiltration over dns
KR101538374B1 (en) Cyber threat prior prediction apparatus and method
KR100973076B1 (en) System for depending against distributed denial of service attack and method therefor
KR102501372B1 (en) AI-based mysterious symptom intrusion detection and system
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR20120000942A (en) Bot-infected host detection apparatus and method based on blacklist access statistics
KR102444922B1 (en) Apparatus of controlling intelligent access for security situation recognition in smart grid
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
CN116781380A (en) Campus network security risk terminal interception traceability system
Behal et al. Signature-based botnet detection and prevention
KR20130033161A (en) Intrusion detection system for cloud computing service
Maulana et al. Analysis of the Demilitarized Zone Implementation in Java Madura Bali Electrical Systems to Increase the Level of IT/OT Cyber Security With the Dual DMZ Firewall Architecture Method
Shyla et al. The Geo-Spatial Distribution of Targeted Attacks sources using Honeypot Networks
KR101043003B1 (en) Zombie PC IP extraction method using a pattern for contents interception
KR101025502B1 (en) Network based detection and response system and method of irc and http botnet
Rizvi et al. A review on intrusion detection system
KR101686472B1 (en) Network security apparatus and method of defending an malicious behavior
CN118473829B (en) IPv6 network safety protection system
Bhumika et al. Use of honeypots to increase awareness regarding network security
EP3989519B1 (en) Method for tracing malicious endpoints in direct communication with an application back end using tls fingerprinting technique

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal