맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

네트워크 기반의 IRC 봇넷 탐지 방법

  • 기술번호 : KST2015131631
  • 담당센터 :
  • 전화번호 :
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은 네트워크 기반의 IRC 봇넷 탐지 방법에 관한 것으로서, Domain 기반 트래픽 및 IP/Port 기반 트래픽을 포함하는 중앙집중형 접속 특성을 갖는 트래픽을 수집하고 수집된 트래픽의 봇넷 여부를 판별하는 트래픽 분류 모듈(TC), 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽의 구성 분석을 수행하는 봇넷 구성 분석 모듈(BOA) 및 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽의 행위 분석을 수행하는 봇넷 행위 분석 모듈(BBA)을 포함하는 봇넷 탐지 시스템에서, 다수의 트래픽 정보 수집 센서에 의해 수집된 상기 중앙집중적 접속 특성을 갖는 트래픽을 수집하는 제 1 단계 및 상기 수집된 트래픽이 IP/Port 기반 트래픽인 경우 기존에 탐지된 봇넷 정보와 비교하여 상기 트래픽을 기존 봇넷 및 신종 봇넷 중 어느 하나로 봇넷 매칭하는 제 2 단계를 포함하는 것을 특징으로 한다. 봇넷; 악성코드; 그룹행위; 트래픽 수집; IRC 봇넷
Int. CL H04L 12/26 (2006.01) H04L 12/22 (2006.01)
CPC H04L 63/1408(2013.01) H04L 63/1408(2013.01)
출원번호/일자 1020080132922 (2008.12.24)
출원인 한국인터넷진흥원, 고려대학교 산학협력단
등록번호/일자 10-1045556-0000 (2011.06.24)
공개번호/일자 10-2010-0074470 (2010.07.02) 문서열기
공고번호/일자 (20110630) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 소멸
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2008.12.24)
심사청구항수 11

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국인터넷진흥원 대한민국 전라남도 나주시
2 고려대학교 산학협력단 대한민국 서울특별시 성북구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 정현철 대한민국 서울특별시 송파구
2 이희조 대한민국 경기도 남양주시
3 임채태 대한민국 서울특별시 송파구
4 지승구 대한민국 경기도 용인시 수지구
5 노상균 대한민국 광주광역시 북구
6 오주형 대한민국 서울특별시 관악구
7 최현상 대한민국 서울특별시 동대문구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 특허법인다울 대한민국 서울 강남구 봉은사로 ***, ***호(역삼동, 혜전빌딩)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 고려대학교 산학협력단 대한민국 서울특별시 성북구
2 한국인터넷진흥원 대한민국 서울특별시 송파구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2008.12.24 수리 (Accepted) 1-1-2008-0886519-09
2 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2009.06.09 수리 (Accepted) 4-1-2009-5111177-32
3 [출원인변경]권리관계변경신고서
[Change of Applicant] Report on Change of Proprietary Status		 2009.11.05 수리 (Accepted) 1-1-2009-0681296-49
4 [대리인사임]대리인(대표자)에 관한 신고서
[Resignation of Agent] Report on Agent (Representative)		 2009.12.02 수리 (Accepted) 1-1-2009-0744427-45
5 선행기술조사의뢰서
Request for Prior Art Search		 2010.04.09 수리 (Accepted) 9-1-9999-9999999-89
6 선행기술조사보고서
Report of Prior Art Search		 2010.05.19 수리 (Accepted) 9-1-2010-0031349-25
7 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2010.08.12 수리 (Accepted) 4-1-2010-5149278-93
8 의견제출통지서
Notification of reason for refusal		 2010.09.30 발송처리완료 (Completion of Transmission) 9-5-2010-0434384-03
9 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2010.11.30 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2010-0789344-66
10 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2010.11.30 수리 (Accepted) 1-1-2010-0789355-68
11 등록결정서
Decision to grant		 2011.06.21 발송처리완료 (Completion of Transmission) 9-5-2011-0339343-14
12 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2012.03.27 수리 (Accepted) 4-1-2012-5064323-14
13 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2013.01.14 수리 (Accepted) 4-1-2013-0000694-44
14 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2014.02.11 수리 (Accepted) 4-1-2014-5018243-16
15 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2014.04.22 수리 (Accepted) 4-1-2014-5049934-62
16 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2017.11.15 수리 (Accepted) 4-1-2017-5183538-19
17 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2019.10.10 수리 (Accepted) 4-1-2019-5210941-09
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
사용자가 Domain을 해석하기 위해 외부와 통신하는 트래픽인 Domain 기반 트래픽 및 통신 주체간의 IP와 Port를 구분하여 통신 세션을 구분할 수 있는 트래픽인 IP/Port 기반 트래픽을 포함하는 트래픽이 하나의 수신지에 집중되는 중앙집중형 접속 특성을 갖는 트래픽을 수집하고 수집된 트래픽의 봇넷 여부를 판별하는 트래픽 분류 모듈(TC), 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽에서 C0026#C 서버와 좀비를 분석하는 트래픽의 구성 분석을 수행하는 봇넷 구성 분석 모듈(BOA) 및 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽에서 봇넷이 감염수를 증가시켜 그 규모를 증가시키는 행위인 봇넷의 확장 행위와 에그 다운로드를 포함하는 봇넷의 행위를 분석하는 트래픽의 행위 분석을 수행하는 봇넷 행위 분석 모듈(BBA)을 포함하는 봇넷 탐지 시스템에서, IRC 봇넷을 탐지하는 방법으로서, 다수의 트래픽 정보 수집 센서에 의해 수집된 상기 중앙집중적 접속 특성을 갖는 트래픽을 수집하는 제 1 단계; 및 상기 수집된 트래픽이 IP/Port 기반 트래픽인 경우 기존에 탐지된 봇넷 정보와 비교하여 상기 트래픽을 C0026#C 서버 정보와 좀비리스트를 포함하는 기존에 탐지된 봇넷 정보에 포함되는 기존 봇넷 및 상기 기존에 탐지된 봇넷 정보에 미포함되는 신종 봇넷 중 어느 하나로 봇넷 매칭하는 제 2 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
2 2
제 1 항에 있어서, 상기 제 2 단계가, 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C서버 정보와 상이하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 상이한 경우 상기 트래픽을 신종 봇넷 메시지 큐에 저장하는 제 2-1 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
3 3
제 2 항에 있어서, 상기 제 2 단계가, 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C 서버 정보와 일치하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 상이한 경우, 상기 트래픽을 봇넷 확장 행위로 구분하여 별도의 플래그를 부여하고 기존 봇넷 메시지 큐에 저장하는 제 2-2 단계; 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C 서버 정보와 일치하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 유사한 경우, 상기 트래픽을 C0026#C서버 재접속 및 에그 다운로드 행위로 구분하여 별도의 플래그를 부여하고 기존 봇넷 메시지 큐에 저장하는 제 2-3 단계; 및 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C 서버 정보와 상이하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 유사한 경우, 상기 트래픽을 C0026#C서버 이주를 포함하는 주요 봇넷 행위로 구분하여 별도의 플래그를 부여하여 기존 봇넷 메시지 큐에 저장하는 제 2-4 단계를 더 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
4 4
제 1 항에 있어서, 상기 트래픽 수집 관리 모듈에 의해 수집된 트래픽 중 Domain 기반 트래픽에 대하여 VDNS(Virtual DNS) 여부를 체크하는 제 3 단계를 더 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
5 5
제 1 항에 있어서, 상기 제 2 단계 이전에, 상기 수집된 트래픽에 대하여, 일정 대기시간동안 동일 C0026#C를 기준으로 유입되는 좀비 IP 리스트들을 추가적으로 열거하는 제 1-1 단계; 설정된 대기시간이 경과한 후 열거된 좀비 IP 리스트의 개수가 임계값을 초과하면 상기 수집된 트래픽을 봇넷의 트래픽으로 판단하는 제 1-2 단계; 및 설정된 대기시간이 경과한 후 좀비 IP 리스트의 개수가 임계값에 미치지 못한 경우, 관제시스템의 공유정보에 의하여 업데이트되는 C0026#C서버 블랙리스트와 매칭하여 봇넷의 트래픽 여부를 판단하는 제 1-3 단계를 더 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
6 6
제 5 항에 있어서, 상기 제 1-3 단계가, "접속 Dst IP/Port”와 “C0026#C서버 IP/Port”를 매칭하는 제 1-4 단계; 및 "요청 도메인에 대한 응답 IP”와 “DNS 싱크홀 IP”를 매칭하는 제 1-5 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
7 7
제 1 항에 있어서, 상기 제 2 단계 이후에, 상기 수집된 트래픽 정보(Domain, Dst_IP/Port)를 수신하여 임시 구성 로그에 임시 저장하는 제 4 단계; 상기 임시 구성 로그로부터 분석에 필요한 트래픽 정보를 주기적으로 읽어 Domain 및 Dst_IP/Port 별 유사도를 분석하고, 봇넷 행위로 탐지된 트래픽을 전송하는 제 5 단계; 제 5 단계에서 탐지된 봇넷 트래픽을 전송받고 C0026#C를 추출 및 저장한 후, 분석을 마친 트래픽을 전송하는 제 6 단계; 제 6 단계에서 전송된 봇넷 트래픽을 전송받아 봇넷으로 탐지된 IRC Channel에 접근하는 좀비리스트를 추출하여 분석결과 로그에 저장하는 제 7 단계; 및 제 6 단계 및 제 7 단계에서 분석된 결과를 종합하여 로그 관리자에게 전송하는 제 8 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
8 8
제 7 항에 있어서, 상기 제 5 단계가, 주기적으로 임시 구성 로그로부터 Domain 정보를 읽어 각 Domain별로 요청한 소스 IP들을 매트릭스에 기록하는 제 5-1 단계; 및 설정된 시간이 경과한 후 상기 매트릭스를 분석하여 Domain 유사도를 측정하고 좀비 IP 리스트를 생성하는 제 5-2 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
9 9
제 7 항에 있어서, 상기 제 5 단계가, 주기적으로 임시 구성 로그로부터 Dst_IP/Port 정보를 읽어 각 IP/Port 조합과 매칭되는 패킷을 전송한 소스 IP들을 매트릭스에 기록하는 제 5-3 단계; 및 설정된 시간이 경과한 후 상기 매트릭스를 분석하여 Dst_IP/Port 유사도를 측정하고 좀비 IP 리스트를 생성하는 제 5-4 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
10 10
제 1 항에 있어서, 상기 제 1 단계에서 수집된 트래픽 정보가 Domain 기반 트래픽인 경우 전송 데이터 포맷이, 헤더에 상기 트래픽의 발생시간인 Time 필드를 포함하고, 봇넷의 C0026#C 서버 필드에, C0026#C 서버의 DNS 쿼리 도메인명인 C0026#C Domain 필드 및 C0026#C 서버의 DNS 쿼리에 대한 응답 IP인 C0026#C IP 필드를 포함하고, 봇넷의 좀비리스트 필드에, 발견된 총 좀비 개체수인 Count 필드, 처음 좀비 발생시점부터 마지막 좀비 발생까지의 시간 구간인 Time Window 필드 및 접속한 총 좀비의 IP 리스트인 좀비 IP 리스트를 포함하고, 상기 C0026#C 서버 필드의 값이 DNS서버와의 통신 트래픽으로부터 수집되고 수집 대상 포트번호가 53번 포트인 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
11 11
제 1 항에 있어서, 상기 제 1 단계에서 수집되는 트래픽이 IP/Port 기반 트래픽인 경우 전송 데이터 포맷이, 헤더에 상기 트래픽의 발생시간인 Time 필드를 포함하고, 봇넷의 C0026#C 서버 필드에, C0026#C 서버의 IP인 C0026#C IP 필드 및 접속 포트번호인 C0026#C Port 필드를 포함하고, 봇넷의 좀비리스트 필드에, 발견된 총 좀비 개체수인 Count 필드, 처음 좀비 발생부터 마지막 좀비 발생까지의 시간 구간인 Time Window 필드 및 접속한 총 좀비의 IP 리스트인 좀비 IP 리스트 필드를 포함하고, 상기 C0026#C 서버 필드의 값이 C0026#C 서버와 중간 전송 객체 없이 바로 통신하는 트래픽인 직접 통신 트래픽으로부터 수집되고, 수집 대상 포트번호가 모든 포트인 것을 특징으로 하는 네트워크 기반의 IRC 봇넷 탐지 방법
지정국 정보가 없습니다
패밀리정보가 없습니다
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 지식경제부 한국정보보호진흥원 IT성장동력기술개발사업 신종 봇넷 능동형 탐지 및 대응 기술 개발