비정상 트래픽으로 봇넷 검색

전문가 제언

○ 봇넷은 robot+network=botnet의 합성어다. 이름에서 알 수 있듯이 로봇의 줄인 말이다. 본래는 인간이 하는 일을 로봇이 대신하여 인터넷 웹사이트를 방문하고 데이터를 검색하고 찾아주며 저장해주는 소프트웨어 도구이다. 오늘날에는 봇넷이 보안이 취약한 컴퓨터를 스스로 찾아가 보이지 않는 곳에서 은밀하게 작동하면서 사용자도 모르게 시스템에 명령을 내리는 해킹 툴로 이용되고 있다. 이제 봇넷은 일종의 군대처럼 악성 봇(bot)에 감염되어 C&C 서버에 의해 제어당하는 대량의 시스템들로 구성된 네트워크를 말한다.

 

○ 지금은 봇넷이 정보통신 환경에서 심각한 위협이 되고 막대한 구조적 손실을 가져오게 하는데도 이를 검색해내기가 어렵기 때문에 인터넷에서 가장 심각한 위협이 되고 있다. 봇넷의 핵심요소는 그들의 명령과 실행이다. 즉 C&C(command and control) 기능이다. 봇넷은 컴퓨터를 공격하고 감염시키기 위하여 통신채널로 IRC(Internet Relay Chat)를 이용한다.

 

○ 이 논문은 비정상 트래픽 기반 봇넷 검색기법을 제안한다. 봇넷의 유사성 측정과 주기적 특성에 의하여 봇넷의 활동을 확인하는 방법이다. 검색효율을 높이기 위하여 트래픽의 비정상 거동 특성을 갖는 호스트 집합의 유사도를 이용한다. 이 방법을 이용하여 매우 적은 봇을 갖는 네트워크들도 정상적인 IRC 클라이언트로부터 감염된 악성네트워크를 정확도가 93.61% 이상으로 봇넷을 효과적으로 검출할 수 있음을 입증하였다.

 

○ 국내에서도 봇넷 분석과 탐지연구가 활발하게 수행되고 있다. IRC 프로토콜을 이용한 봇넷탐지(건국대, 주문정), 트래픽 특성을 이용한 봇넷탐지(경희대, 조응준), 봇넷 트래픽 특성(순천향대, 김영백) 연구 등이 대학과 기업에서 수행되고 있다. 특히 고려대 이희조 교수 연구팀은 DNS 트래픽의 그룹 행위에 대한 연구결과를 IEEE ICCIT(Choi et al., 2007), IEEE Network(Choi et al., 2009)에 발표하여 이 연구의 기반연구 자료로 활용되었다. 이 같은 봇넷 탐색 연구가 정보화 역기능을 차단하고 건전한 사이버 환경을 구축하는 디딤돌이 되기를 기대하며 고대한다.

 

저자

Chia-Mei Chen, Hsiao-Chung Lin

자료유형

니즈학술정보

원문언어

영어

기업산업분류

정보통신

연도

2015

권(호)

21()

잡지명

Journal of Information Security and Applications

과학기술
표준분류

정보통신

페이지

42~51

분석자

윤*중

분석물

• 비정상 트래픽으로 봇넷 검색.pdf [489,539 byte]

이미지변환중입니다.