| 1 |
1
봇넷 악성행위 실시간 분석 시스템에 있어서,
외부로부터 봇 발생 정보를 수신한 후, 봇 실행 서버(300)를 제어하여 봇넷 실시간 탐지결과를 생성하도록 하며, 상기 봇넷 실시간 탐지결과를 기반으로 봇넷의 악성행위 유형에 관한 정보인 봇넷 행위 정보를 생성한 후 상기 봇넷 행위 정보를 외부에 송신하는 제어 서버(100); 및
상기 제어 서버(100)의 제어에 따라, 외부로부터 수신한 상기 봇 발생 정보에 대응되는 악성 봇을 가상환경 기반의 운영체제에서 실행한 후, 상기 악성 봇이 외부에 별도로 존재하는 원격 명령/제어 서버의 명령에 기반해 악성행위를 수행하는지 여부를 판단한 봇넷 실시간 탐지결과를 상기 제어 서버(100)에 송신하는 봇 실행 서버(300);를 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 2 |
2
제 1 항에 있어서,
상기 제어 서버(100)는,
상기 제어 서버(100) 내 제1 통신 모듈(150)을 통해 외부와의 정보 송수신을 제어하고, 이벤트 관리 모듈(120) 및 가상환경 관리 모듈(140)을 통해 상기 봇 실행 서버(300)를 제어하며, 봇넷 분석 모듈(130)이 봇넷 행위 정보를 생성하도록 제어하는 제어 모듈(110);
상기 제어 모듈(110)의 제어에 따라, 제1 통신 모듈(150)에 저장된 봇 발생 정보를 조회한 후 가상환경 관리 모듈(140)로 명령을 송신하는 이벤트 관리 모듈(120);
상기 제어 모듈(110)의 제어에 따라, 상기 봇 실행 서버(300)로부터 수신한 봇넷 실시간 탐지결과에 기반하여 봇넷 행위 정보를 생성하고, 상기 봇넷 행위 정보를 상기 제1 통신 모듈(150)을 통해 외부로 송신하는 봇넷 분석 모듈(130); 및
상기 이벤트 관리 모듈(120)로부터 수신한 명령에 기반하여, 상기 봇 실행 서버(300)가 악성 봇의 실행에 기반하여 봇넷의 악성행위를 탐지하도록 제어명령을 송신하는 가상환경 관리 모듈(140); 및
상기 제어 모듈(110)의 제어에 따라, 외부로부터 상기 봇 발생 정보를 수신하여 저장하고, 상기 봇넷 행위 정보를 외부로 송신하는 제1 통신 모듈(150); 을 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 3 |
3
제 2 항에 있어서,
상기 제어 서버(100)는,
상기 제어 모듈(110)의 제어에 따라, 상기 봇넷 행위 정보를 저장하는 정보 저장 모듈(160); 을 더 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 4 |
4
제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
상기 봇 실행 서버(300)는,
상기 제어 서버(100)의 제어에 따라, 외부로부터 상기 봇 발생 정보에 대응되는 악성 봇을 수신하여 분석한 결과인 봇 파일 정보를 생성한 후 이에 기반하여 봇 실행 모듈(320)이 상기 악성 봇을 실행하도록 제어하며, 상기 악성 봇의 실행에 의한 악성 행위를 탐지하기 위한 커널 드라이버를 실행하는 봇 관리 모듈(310);
상기 봇 관리 모듈(310)의 제어에 따라, 상기 악성 봇을 가상환경 기반의 운영체제에서 실행하여 프로세스 탐지정보를 생성하고, ASM 모듈(330)이 상기 악성 봇이 호출한 윈도우 API에 ASM 코드를 삽입한 후 상기 악성 봇을 재실행하는 봇 실행 모듈(320);
상기 봇 관리 모듈(310)의 제어에 따라, 상기 봇 파일 정보 및 프로세스 탐지정보에 기반하여 상기 악성 봇이 호출한 윈도우 API로부터 파라미터 정보를 후킹(Hooking)하기 위한 ASM 코드를 삽입하는 ASM 모듈(330);
상기 봇 관리 모듈(310)에 의한 커널 드라이버의 실행결과를 분석하고, 상기 봇 실행 모듈(320)에서 상기 악성 봇을 재실행함에 따라 추출된 파라미터 정보 및 상기 악성 봇이 호출한 윈도우 API의 목록에 기반하여 상기 악성 봇이 원격 명령/제어 서버로부터 받은 명령을 분석한 결과를 행위정보 분석 모듈(350)로 송신하는 모니터링 모듈(340);
상기 모니터링 모듈(340)로부터 수신한 분석결과에 기반하여, 상기 악성 봇이 원격 명령/제어 서버로부터 받은 명령에 의해 악성행위를 수행했는지 여부를 판단하여 봇넷 실시간 탐지결과로 생성한 후 상기 제어 서버(100)로 송신하는 행위정보 분석 모듈(350); 및
상기 봇 관리 모듈(310)의 제어에 따라 외부로부터 악성 봇을 수신하고, 상기 행위정보 분석 모듈(350)의 제어에 따라 상기 제어 서버(100)로 상기 봇넷 실시간 탐지결과를 송신하는 제2 통신 모듈(360); 을 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 5 |
5
제 4 항에 있어서,
상기 모니터링 모듈(340)은,
상기 파라미터 정보 및 상기 악성 봇이 호출한 윈도우 API의 목록에 기반하여 상기 악성 봇이 상기 외부에 별도로 존재하는 원격 명령/제어 서버로부터 받은 명령을 분석함으로써 제1 행위정보를 생성하여 상기 행위정보 분석모듈(350)로 송신하는 제1 모니터링부(341); 및
상기 악성 봇이 윈도우 API의 호출 없이 가상환경 기반의 운영체제 내 커널 레벨(Kernel Level)에서 수행하는 행위를 분석함으로써 제2 행위정보를 생성하여 상기 행위정보 분석모듈(350)로 송신하는 제2 모니터링부(343); 를 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 6 |
6
제 5 항에 있어서,
상기 제2 모니터링부(343)는,
상기 제2 행위정보에 기반하여 프로세스 추가정보를 생성하여 상기 봇 실행 모듈(320)로 송신하는 기능을 더 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 7 |
7
제 6 항에 있어서,
상기 봇 실행 모듈(320)은,
상기 모니터링 모듈(340)로부터 수신한 프로세스 추가정보를 기반으로 상기 프로세스 탐지정보를 갱신하는 기능을 더 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 8 |
8
제 5 항에 있어서,
상기 행위정보 분석 모듈(350)은,
상기 제1 행위정보를 수신하여 데이터베이스로 저장하는 정보저장부(351); 및
상기 정보저장부(351)에 저장된 데이터베이스와 상기 제2 행위정보에 기반하여 상기 악성 봇이 외부에 별도로 존재하는 원격 명령/제어 서버의 명령에 따라 악성행위를 수행하는지 여부 및 기 설정된 악성행위의 유형에 해당되는지 여부를 판단하며, 판단결과 기 설정된 악성행위의 유형에 해당되는 경우 봇넷 실시간 탐지결과를 생성하여 상기 제2 통신 모듈(360)을 통해 상기 제어 서버(100)로 송신하는 분석부(353); 를 포함하는 봇넷 악성행위 실시간 분석 시스템
|
| 9 |
9
제 8 항에 있어서,
상기 기 설정된 악성행위의 유형은, DDOS 공격유형, 스팸메일 발송유형 및 개인정보 탈취유형 중 어느 하나인 것을 특징으로 하는 봇넷 악성행위 실시간 분석 시스템
|
