1 |
1
사용자 단말에서 봇(Bot) 실행을 관리하는 프로세스의 탐지 방법에 있어서,(a) 상기 사용자 단말에서의 패킷 발생 여부, API의 호출 여부 및 유저 인터랙션의 발생 여부를 모니터링하는 단계,(b) 상기 모니터링 단계의 수행 중에 발생된 패킷의 속성 정보, 상기 API를 호출한 프로세스에 대한 정보 및 상기 유저 인터랙션을 발생시킨 프로세스에 대한 정보를 각각 패킷 테이블, API 테이블 및 유저 인터랙션 테이블에 저장하는 단계,(c) 상기 사용자 단말에서 패킷이 발생한 경우, 상기 유저 인터랙션과 무관하게 상기 패킷이 발생하였다면, 상기 발생한 패킷을 상기 봇에 의하여 발생한 패킷으로 분류하는 단계 및(d) 상기 봇에 의하여 발생한 것으로 분류된 패킷과 상기 API 테이블에 저장된 프로세스들 간의 상관도가 임계값 이상인 경우, 해당 패킷을 관리하는 프로세스를 봇 프로세스로서 검출하는 단계를 포함하는 봇 실행을 관리하는 프로세스의 탐지 방법
|
2 |
2
제 1 항에 있어서,상기 (b) 단계는,상기 패킷이 발생한 경우 발생된 패킷을 관리하는 프로세스 정보 및 패킷의 발생 시간 정보를 상기 패킷 테이블에 추가적으로 저장하는 것인 봇 실행을 관리하는 프로세스의 탐지 방법
|
3 |
3
제 1 항에 있어서,상기 (b) 단계는,상기 API의 호출이 발생한 경우, 상기 API 호출의 발생 시간 정보를 상기 API 테이블에 추가적으로 저장하는 것인 봇 실행을 관리하는 프로세스의 탐지 방법
|
4 |
4
제 1 항에 있어서,상기 (b) 단계는,상기 유저 인터랙션이 발생한 경우, 상기 유저 인터랙션의 발생과 관련된 프로세스 별로 유저 인터랙션의 발생 시간 정보를 상기 유저 인터랙션 테이블에 추가적으로 저장하는 것인 봇 실행을 관리하는 프로세스의 탐지 방법
|
5 |
5
제 1 항에 있어서,상기 (c) 단계는,상기 패킷의 발생 시간과 가장 최근의 유저 인터랙션 발생 시간과의 차이가 임계값 이하인 경우 상기 패킷을 정상 패킷으로 분류하는 단계 및 상기 패킷의 발생 시간과 상기 가장 최근의 유저 인터랙션 발생 시간과의 차이가 임계값을 초과하는 경우 상기 발생한 패킷을 상기 봇에 의하여 발생한 패킷으로 분류하는 단계를 포함하는 봇 실행을 관리하는 프로세스의 탐지 방법
|
6 |
6
제 1 항에 있어서,상기 패킷이 봇에 의하여 발생한 패킷으로 분류된 경우, 상기 패킷의 속성 정보에 포함된 소스 어드레스 정보가 상기 사용자 단말의 네트워크 어드레스 정보와 상이한 경우, 상기 패킷을 스푸핑(spoofing) 행위와 관련된 패킷으로 분류하는 단계를 더 포함하는 봇 실행을 관리하는 프로세스의 탐지 방법
|
7 |
7
제 1 항에 있어서,상기 패킷이 봇에 의하여 발생한 패킷으로 분류된 경우, 송신 패킷의 양에 대한 수신 패킷의 양의 비율이 임계값 보다 작은 경우 DDoS 트래픽 발생행위와 관련된 패킷으로 분류하는 단계를 더 포함하는 봇 실행을 관리하는 프로세스의 탐지 방법
|
8 |
8
제 1 항에 있어서,상기 패킷이 봇에 의하여 발생한 패킷으로 분류된 경우, 메일 전송 프로토콜을 이용한 단위 시간당 메일 발송 횟수가 임계값을 초과하면 스팸메일 발송행위와 관련된 패킷으로 분류하는 단계를 더 포함하는 봇 실행을 관리하는 프로세스의 탐지 방법
|
9 |
9
삭제
|
10 |
10
제 1 항에 있어서,상기 (d) 단계에서 검출된 봇 프로세스의 실행을 차단하는 단계를 더 포함하는 봇 실행을 관리하는 프로세스의 탐지 방법
|
11 |
11
삭제
|
12 |
12
삭제
|
13 |
13
청구항 1 내지 청구항 8 및 청구항 10 중 어느 한 항의 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
|
14 |
14
사용자 단말에서 봇(Bot) 실행을 관리하는 프로세스의 탐지 장치에 있어서,상기 사용자 단말에서의 패킷 발생 여부를 모니터링하는 네트워크 감시부,상기 사용자 단말에서의 API의 호출 여부를 모니터링하는 API 감시부,상기 사용자 단말에서의 유저 인터랙션 정보의 발생 여부를 모니터링하는 유저 인터랙션 감시부,상기 패킷이 발생한 경우, 발생된 패킷의 속성 정보, 패킷을 관리하는 프로세스 및 패킷의 발생 시간에 대한 정보가 저장되는 패킷 테이블,상기 API의 호출이 발생한 경우, 상기 API 호출을 발생시킨 프로세스 및 API 호출의 발생 시간에 대한 정보가 저장되는 API 테이블,상기 유저 인터랙션이 발생한 경우, 상기 유저 인터랙션의 발생과 관련된 프로세스 별로 유저 인터랙션의 발생 시간 정보가 저장되는 유저 인터랙션 테이블,상기 패킷의 발생시간과 가장 최근의 유저 인터랙션 발생 시간의 차이가 임계값보다 큰 경우 상기 패킷을 상기 봇에 의하여 발생한 패킷으로 분류하는 패킷 분류부 및상기 봇에 의하여 발생한 패킷으로 분류된 패킷과 상기 API 테이블에 저장된 프로세스들 간의 상관도가 임계값 이상인 경우, 해당 패킷을 관리하는 프로세스를 봇 프로세스로서 검출하는 봇 프로세스 검출부를 포함하는 봇 실행을 관리하는 프로세스의 탐지 장치
|
15 |
15
제 14 항에 있어서,상기 봇 프로세스 검출부는 상기 검출된 봇 프로세스의 실행을 차단시키는 봇 실행을 관리하는 프로세스의 탐지 장치
|
16 |
16
제 14 항에 있어서,상기 패킷 분류부는,상기 패킷의 속성 정보에 포함된 소스 어드레스 정보가 상기 사용자 단말의 네트워크 어드레스 정보와 상이한 경우, 상기 패킷을 스푸핑(spoofing) 행위와 관련된 패킷으로 분류하고,송신 패킷의 양에 대한 수신 패킷의 양의 비율이 임계값 보다 작은 경우 DDoS 트래픽 발생행위와 관련된 패킷으로 분류하고,메일 전송 프로토콜(SMTP)을 이용한 단위 시간당 메일 발송 횟수가 임계값을 초과하면 스팸메일 발송행위와 관련된 패킷으로 분류하는 것인 봇 실행을 관리하는 프로세스의 탐지 장치
|