| 1 |
1
봇 수집ㆍ분석시스템에 있어서,
웹사이트 접속을 위해 사용자가 요청한 URL을 수집하고, 수신한 스팸메일에 포함된 첨부파일 및 링크된 URL을 수집하며, 상기 사용자의 조작에 따라 입력받은 가상의 악성코드를 수집하는 봇 수집모듈;
가상환경에서 동작하도록 생성한 운영체제 내에서 상기 URL 및 링크된 URL과 대응하는 웹사이트를 방문하여 URL 방문로그를 생성하고, 상기 첨부파일 및 악성코드를 실행시켜 실행로그를 생성하며, 상기 가상환경의 운영체제를 상기 URL 방문로그 및 실행로그 생성 이전의 상태로 복구시키는 봇 분석모듈; 및
상기 URL 방문로그 및 실행로그를 생성함에 따라 상기 운영체제가 기 도출된 봇넷 C0026#C(Command0026#Control)서버와 접속되어 로그를 생성하는 경우, 상기 URL 방문로그 및 실행로그가 봇넷로그인 것으로 도출하고, 상기 도출된 봇넷로그들의 패턴을 분류하여 분류된 봇넷로그들은 각각의 패턴별로 저장ㆍ관리하는 봇 분석ㆍ관리모듈; 을 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 2 |
2
제 1 항에 있어서,
상기 봇 수집모듈은,
기 설정된 초기 시드 URL로부터 상기 사용자가 요청한 URL과 대응하는 HTML을 다운로드 및 파싱하고, 상기 사용자가 요청한 URL을 URL 버퍼에 저장시키는 URL 수집부; 및
가상의 스팸메일 서버가 수신한 상기 스팸메일에 포함된 첨부파일 및 악성코드를 추출하여 악성코드 버퍼에 저장하되, 상기 스팸메일의 본문에 URL 링크가 포함되어 있을 경우, 링크된 URL을 상기 URL 버퍼에 저장시키는 스팸메일 수집부; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 3 |
3
제 1 항에 있어서,
상기 봇 수집모듈은,
상기 사용자의 조작에 따라 기 확인된 악성코드를 입력받아 악성코드 버퍼에 저장시키는 악성코드 등록부; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 4 |
4
제 1 항에 있어서,
상기 봇 분석모듈은,
상기 URL 및 링크된 URL과 대응하는 웹사이트를 방문하여 생성한 URL 방문로그를 로그버퍼에 저장시키는 URL 방문접속부;
상기 첨부파일 및 악성코드를 커널레벨에서 실행시켜 생성한 실행로그를 로그버퍼에 저장시키는 악성코드 실행부; 및
상기 운영체제 내에서, 상기 URL 방문접속부 및 악성코드 실행부가 URL 방문로그 및 실행로그를 생성하도록 제어하며, 상기 URL 방문로그 및 실행로그가 생성됨과 동시에 발생하는 이벤트들을 모니터링하고, 발생된 이벤트들을 모니터링 버퍼에 저장한 후, 상기 URL 방문로그 및 실행로그 생성에 따라 변경된 시스템 내역들을 상기 URL 방문로그 및 실행로그 생성 이전의 상태로 복구시키는 가상환경 제어부; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 5 |
5
제 4 항에 있어서,
상기 가상환경은,
상기 악성코드가 각각의 운영체제에서 어떻게 동작하는지 알아보기 위한 것으로 상기 가상환경 제어부 내에서 각각 복수개로 동작하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 6 |
6
제 4 항에 있어서,
상기 이벤트는,
상기 URL 방문로그 및 실행로그 생성에 따른 파일의 생성과 삭제, 메모리의 생성, 삭제 및 수정, 레지스트리의 생성, 삭제 및 수정, 및 네트워크의 정보흐름인 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 7 |
7
제 1 항에 있어서,
상기 봇 분석ㆍ관리모듈은,
상기 URL 방문로그 및 실행로그를 생성함에 따라 가상환경에서 동작하는 운영체제가 기 도출된 봇넷 C0026#C서버와 접근하여 로그가 생성되는 경우, 상기 URL 방문로그 및 실행로그를 봇넷로그인 것으로 도출하는 봇 판별부; 및
상기 봇넷로그로 도출된 URL 방문로그 및 실행로그에 포함된 URL, 링크된 URL 및 악성코드들을 각각 패턴에 따라 분류하고, 분류된 URL, 링크된 URL 및 악성코드들을 봇넷로그DB에 저장시키는 봇넷정보 추출부; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 8 |
8
제 1 항에 있어서,
상기 봇 분석ㆍ관리모듈은,
상기 URL 방문로그 및 실행로그가 악성코드 제거시스템 또는 바이러스 포탈 시스템에서 기 탐지된 URL 방문로그 및 실행로그와 일치하는 경우, 상기 URL 방문로그 및 실행로그를 봇넷로그인 것으로 도출하는 봇 판별부; 및
상기 봇넷로그로 도출된 URL 방문로그 및 실행로그에 포함된 URL, 링크된 URL 및 악성코드들을 각각 패턴에 따라 분류하고, 분류된 URL, 링크된 URL 및 악성코드들을 봇넷로그DB에 저장시키는 봇넷정보 추출부; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 9 |
9
제 1 항에 있어서,
상기 봇 분석ㆍ관리모듈은,
상기 URL 방문로그 및 실행로그에 포함된 MD5(Message Digest 5) 해쉬(hash)값이 타 안티 바이러스 시스템 또는 바이러스 포탈 시스템에서 기 탐지된 해쉬값과 일치하는 경우, 상기 URL 방문로그 및 실행로그를 봇넷로그인 것으로 도출하는 봇 판별부; 및
상기 봇넷로그로 도출된 URL 방문로그 및 실행로그에 포함된 URL, 링크된 URL 및 악성코드들을 각각 패턴에 따라 분류하고, 분류된 URL, 링크된 URL 및 악성코드들을 봇넷로그DB에 저장시키는 봇넷정보 추출부; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석시스템
|
| 10 |
10
봇 수집ㆍ분석방법에 있어서,
(a) 봇 수집모듈이 사용자가 요청한 URL을 수집하고, 수신한 스팸메일에 포함된 악성코드 및 링크된 URL을 수집하며, 사용자의 조작에 따라 입력받은 가상의 악성코드를 수집하는 단계;
(b) 봇 분석모듈이 상기 가상환경에서 동작하도록 생성한 운영체제 내에서 상기 URL 및 링크된 URL과 대응하는 웹사이트를 방문하여 URL 방문로그를 생성하고, 상기 첨부파일 및 악성코드를 실행시켜 실행로그를 생성하며, 상기 가상환경의 운영체제를 URL 방문로그 및 실행로그 생성 이전의 상태로 복구시키는 단계; 및
(c) 봇 분석ㆍ관리모듈이 상기 URL 방문로그 및 실행로그를 생성함에 따라 상기 가상환경에서 동작하는 운영체제가 기 도출된 봇넷 C0026#C서버와 접근하는 경우에 생성되는 로그들을 봇넷로그인 것으로 판단하고, 생성된 봇넷로그들의 패턴을 추출하여 분류하며, 추출ㆍ분류된 봇넷로그들은 각각의 패턴별로 저장ㆍ관리하는 단계; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
| 11 |
11
제 10 항에 있어서,
상기 (a) 단계는,
(a-1) 상기 봇 수집모듈의 URL 수집부가 웹사이트 접속을 위해 기 설정된 초기 시드 URL로부터 상기 사용자가 요청한 URL과 대응하는 HTML을 다운로드 및 파싱하는 단계;
(a-2) 상기 봇 수집모듈의 URL 수집부가 상기 사용자가 요청한 URL을 URL 버퍼에 저장하는 단계;
(a-3) 상기 봇 수집모듈의 스팸메일 수집부가 가상의 스팸메일 서버가 수신한 스팸메일에 포함된 악성코드를 추출하여 악성코드 버퍼에 저장하는 단계;
(a-4) 상기 봇 수집부의 스팸메일 수집부가 상기 수신한 스팸메일의 본문에 포함된 URL 링크를 URL 버퍼에 저장하는 단계; 및
(a-5) 상기 봇 수집모듈의 악성코드 등록부가 상기 사용자의 조작에 따라 기 확인된 악성코드를 입력받아 상기 악성코드 버퍼에 저장하는 단계; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
| 12 |
12
제 10 항에 있어서,
상기 (b) 단계는,
(b-1) 상기 봇 분석모듈의 가상환경 제어부가 URL 방문접속부 및 악성코드 실행부를 상기 가상환경의 운영체제 내에서 동작하도록 제어하는 단계;
(b-2) 상기 봇 분석모듈의 URL 방문접속부가 상기 가상환경 제어부의 제어에 의해 수집된 상기 URL 및 링크된 URL과 대응하는 웹사이트를 방문하여 URL 방문로그를 생성하는 단계;
(b-3) 상기 봇 분석모듈의 URL 방문접속부가 상기 URL 방문로그를 로그버퍼에 저장하는 단계;
(b-4) 상기 봇 분석모듈의 악성코드 실행부가 상기 가상환경 제어부의 제어에 의해 상기 첨부파일 및 악성코드를 커널레벨에서 실행시켜 실행로그를 생성하는 단계;
(b-5) 상기 봇 분석모듈의 악성코드 실행부가 상기 실행로그를 로그버퍼에 저장하는 단계;
(b-6) 상기 봇 분석모듈의 상기 가상환경 제어부가 상기 가상환경에서 동작하도록 생성한 운영체제 내에서, 상기 URL 방문로그 및 실행로그가 생성됨과 동시에 발생하는 이벤트들을 모니터링하는 단계; 및
(b-7) 상기 봇 분석모듈의 상기 가상환경 제어부가 발생된 이벤트들을 모니터링 버퍼에 저장하는 단계; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
| 13 |
13
제 12 항에 있어서,
상기 (b-7) 단계 이후,
(b-8) 상기 봇 분석모듈의 상기 가상환경 제어부가 상기 URL 방문로그 및 실행로그 생성에 따라 변경된 시스템 내역들을 상기 URL 방문로그 및 실행로그 생성 이전의 상태로 복구시키는 단계; 를 더 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
| 14 |
14
제 10 항에 있어서,
상기 (c) 단계는,
(c-1) 상기 봇 분석ㆍ관리모듈의 봇 판별부가 커널레벨에서 상기 URL 방문로그 및 실행로그를 생성함에 따라 가상환경에서 동작하는 운영체제가 기 도출된 봇넷 C0026#C서버와 접속하여 로그를 생성하는지 여부를 판단하는 단계;
(c-2) 상기 봇 분석ㆍ관리모듈의 봇 판별부가 상기 가상환경에서 동작하는 운영체제가 기 도출된 봇넷 C0026#C서버와 접근하여 로그를 생성하는 경우, 상기 URL 방문로그 및 실행로그를 봇넷로그인 것으로 도출하는 단계;
(c-3) 봇 분석ㆍ관리모듈의 봇넷정보 추출부가 봇넷로그로 도출된 URL 방문로그 및 실행로그에 포함된 URL, 링크된 URL 및 악성코드들을 각각 패턴에 따라 분류하는 단계; 및
(c-4) 봇 분석ㆍ관리모듈의 봇넷로그DB가 패턴에 따라 분류된 상기 URL, 링크된 URL 및 악성코드들을 저장하는 단계; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
| 15 |
15
제 10 항에 있어서,
상기 (c) 단계는,
(c-5) 상기 봇 분석ㆍ관리모듈의 봇 판별부가 상기 URL 방문로그 및 실행로그가 악성코드 제거시스템 또는 바이러스 포탈 시스템에서 기 탐지된 URL 방문로그 및 실행로그와 일치하는지 여부를 판단하는 단계;
(c-6) 상기 봇 분석ㆍ관리모듈의 봇 판별부가 상기 URL 방문로그 및 실행로그가 악성코드 제거시스템 또는 바이러스 포탈 시스템에서 기 탐지된 URL 방문로그 및 실행로그와 일치하는 경우, 상기 URL 방문로그 및 실행로그를 봇넷로그인 것으로 도출하는 단계;
(c-7) 봇 분석ㆍ관리모듈의 봇넷정보 추출부가 봇넷로그로 도출된 URL 방문로그 및 실행로그에 포함된 URL, 링크된 URL 및 악성코드들을 각각 패턴에 따라 분류하는 단계; 및
(c-8) 봇 분석ㆍ관리모듈의 봇넷로그DB가 패턴에 따라 분류된 상기 URL, 링크된 URL 및 악성코드들을 저장하는 단계; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
| 16 |
16
제 10 항에 있어서,
상기 (c) 단계는,
(c-9) 상기 봇 분석ㆍ관리모듈의 봇 판별부가 상기 URL 방문로그 및 실행로그에 포함된 MD5 해쉬값이 타 안티 바이러스 시스템 또는 바이러스 포탈 시스템에서 기 탐지된 해쉬값과 일치하는지 여부를 판단하는 단계;
(c-10) 상기 봇 분석ㆍ관리모듈의 봇 판별부가 상기 URL 방문로그 및 실행로그에 포함된 MD5 해쉬값이 타 안티 바이러스 시스템 또는 바이러스 포탈 시스템에서 기 탐지된 해쉬값과 일치하는 경우, 상기 URL 방문로그 및 실행로그를 봇넷로그인 것으로 도출하는 단계;
(c-11) 봇 분석ㆍ관리모듈의 봇넷정보 추출부가 봇넷로그로 도출된 URL 방문로그 및 실행로그에 포함된 URL, 링크된 URL 및 악성코드들을 각각 패턴에 따라 분류하는 단계; 및
(c-12) 봇 분석ㆍ관리모듈의 봇넷로그DB가 패턴에 따라 분류된 상기 URL, 링크된 URL 및 악성코드들을 저장하는 단계; 를 포함하는 것을 특징으로 하는 봇 수집ㆍ분석방법
|
