맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법

  • 기술번호 : KST2015215317
  • 담당센터 :
  • 전화번호 :
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은, Domain 기반 트래픽, IP/Port 기반 트래픽 및 URL hash 기반 트래픽을 포함하는 중앙집중형 접속 특성을 갖는 트래픽을 수집하고 수집된 트래픽의 봇넷 여부를 판별하는 트래픽 분류 모듈(TC), 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽의 구성 분석을 수행하는 봇넷 구성 분석 모듈(BOA) 및 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽의 행위 분석을 수행하는 봇넷 행위 분석 모듈(BBA)을 포함하는 봇넷 탐지 시스템에서, IRC 봇넷 및 HTTP 봇넷의 행위 유형을 분석 및 분류하는 방법에 관한 것으로서, 다수의 트래픽 정보 수집 센서에 의해 수집된 상기 중앙집중적 접속 특성을 갖는 트래픽을 수집하는 제 1 단계, 상기 수집된 트래픽이 IP/Port 기반 트래픽 및 URL hash 기반 트래픽 중 어느 하나인 경우 기존에 탐지된 봇넷 정보와 비교하여 상기 트래픽을 기존 봇넷 및 신종 봇넷 중 어느 하나로 봇넷 매칭하는 제 2 단계, 상기 트래픽 수집 관리 모듈에 의해 수집된 트래픽 중 Domain 기반 트래픽에 대하여 VDNS(Virtual DNS) 여부를 체크하는 제 3 단계, 그리고 탐지된 봇넷의 행위 트래픽을 기반으로 하여 봇넷의 행위 유형별로 분류하는 제 4 단계를 포함하는 것을 특징으로 한다. 봇넷; 악성코드; 그룹행위; 트래픽 수집; HTTP 봇넷; IRC 봇넷; 봇넷 행위 분석
Int. CL H04L 12/24 (2006.01) H04L 12/26 (2006.01) H04L 12/22 (2006.01)
CPC H04L 63/1408(2013.01) H04L 63/1408(2013.01) H04L 63/1408(2013.01)
출원번호/일자 1020080132962 (2008.12.24)
출원인 한국인터넷진흥원
등록번호/일자 10-1045331-0000 (2011.06.23)
공개번호/일자 10-2010-0074504 (2010.07.02) 문서열기
공고번호/일자 (20110630) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 소멸
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2008.12.24)
심사청구항수 12

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국인터넷진흥원 대한민국 전라남도 나주시

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 정현철 대한민국 서울특별시 송파구
2 임채태 대한민국 서울특별시 송파구
3 지승구 대한민국 경기도 용인시 수지구
4 노상균 대한민국 광주광역시 북구
5 오주형 대한민국 서울특별시 관악구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 특허법인다울 대한민국 서울 강남구 봉은사로 ***, ***호(역삼동, 혜전빌딩)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 한국인터넷진흥원 대한민국 서울특별시 송파구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2008.12.24 수리 (Accepted) 1-1-2008-0886612-47
2 [출원인변경]권리관계변경신고서
[Change of Applicant] Report on Change of Proprietary Status		 2009.11.05 수리 (Accepted) 1-1-2009-0681296-49
3 [대리인사임]대리인(대표자)에 관한 신고서
[Resignation of Agent] Report on Agent (Representative)		 2009.12.02 수리 (Accepted) 1-1-2009-0744427-45
4 [대리인선임]대리인(대표자)에 관한 신고서
[Appointment of Agent] Report on Agent (Representative)		 2010.01.06 수리 (Accepted) 1-1-2010-0006894-57
5 선행기술조사의뢰서
Request for Prior Art Search		 2010.04.09 수리 (Accepted) 9-1-9999-9999999-89
6 선행기술조사보고서
Report of Prior Art Search		 2010.05.19 수리 (Accepted) 9-1-2010-0031351-17
7 의견제출통지서
Notification of reason for refusal		 2010.09.30 발송처리완료 (Completion of Transmission) 9-5-2010-0434386-94
8 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2010.11.30 수리 (Accepted) 1-1-2010-0789321-16
9 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2010.11.30 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2010-0789334-10
10 등록결정서
Decision to grant		 2011.06.21 발송처리완료 (Completion of Transmission) 9-5-2011-0339342-79
11 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2012.03.27 수리 (Accepted) 4-1-2012-5064323-14
12 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2013.01.14 수리 (Accepted) 4-1-2013-0000694-44
13 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2017.11.15 수리 (Accepted) 4-1-2017-5183538-19
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
사용자가 Domain을 해석하기 위해 외부와 통신하는 트래픽인 Domain 기반 트래픽, 통신 주체간의 IP와 Port를 구분하여 통신 세션을 구분할 수 있는 트래픽인 IP/Port 기반 트래픽 및 사용자 트래픽에 포함된 HTTP 요청에 대해서 요청 URL을 hash한 값으로 변경한 가공된 트래픽인 URL hash 기반 트래픽을 포함하는 트래픽이 하나의 수신지에 집중되는 중앙집중형 접속 특성을 갖는 트래픽을 수집하고 수집된 트래픽의 봇넷 여부를 판별하는 트래픽 분류 모듈(TC), 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽에서 C0026#C 서버와 좀비를 분석하는 트래픽의 구성 분석을 수행하는 봇넷 구성 분석 모듈(BOA) 및 상기 트래픽 분류 모듈(TC)에 의해 수집되어 봇넷으로 분류된 트래픽에서 봇넷이 감염수를 증가시켜 그 규모를 증가시키는 행위인 봇넷 확장 행위와 에그 다운로드를 포함하는 봇넷의 행위를 분석하는 트래픽의 행위 분석을 수행하는 봇넷 행위 분석 모듈(BBA)을 포함하는 봇넷 탐지 시스템에서, IRC 봇넷 및 HTTP 봇넷의 행위 유형을 분석 및 분류하는 방법으로서, 다수의 트래픽 정보 수집 센서에 의해 수집된 상기 중앙집중적 접속 특성을 갖는 트래픽을 수집하는 제 1 단계; 상기 수집된 트래픽이 IP/Port 기반 트래픽 및 URL hash 기반 트래픽 중 어느 하나인 경우 기존에 탐지된, C0026#C 서버 정보와 좀비리스트를 포함하는 봇넷 정보와 비교하여 상기 트래픽을 상기 봇넷 정보에 포함되는 기존 봇넷 및 상기 봇넷 정보에 미포함되는 신종 봇넷 중 어느 하나로 봇넷 매칭하는 제 2 단계; 상기 트래픽 수집 관리 모듈에 의해 수집된 트래픽 중 Domain 기반 트래픽에 대하여 VDNS(Virtual DNS) 여부를 체크하는 제 3 단계; 및 탐지된 봇넷의 공격 행위와 확산/이주 행위를 포함하는 행위 트래픽을 기반으로 하여 봇넷의 공격 행위와 확산/이주 행위를 포함하는 행위 유형별로 분류하는 제 4 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
2 2
제 1 항에 있어서, 상기 제 2 단계가, 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C서버 정보와 상이하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 상이한 경우 상기 트래픽을 신종 봇넷 메시지 큐에 저장하는 제 2-1 단계; 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C 서버 정보와 일치하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 상이한 경우, 상기 트래픽을 봇넷 확장 행위로 구분하여 별도의 플래그를 부여하고 기존 봇넷 메시지 큐에 저장하는 제 2-2 단계; 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C 서버 정보와 일치하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 유사한 경우, 상기 트래픽을 C0026#C서버 재접속 및 에그 다운로드 행위로 구분하여 별도의 플래그를 부여하고 기존 봇넷 메시지 큐에 저장하는 제 2-3 단계; 및 상기 트래픽의 중앙집중 서버가 상기 봇넷 정보의 C0026#C 서버 정보와 상이하고 상기 트래픽의 접속 클라이언트 IP 리스트가 상기 봇넷 정보의 좀비리스트와 유사한 경우, 상기 트래픽을 C0026#C서버 이주를 포함하는 주요 봇넷 행위로 구분하여 별도의 플래그를 부여하여 기존 봇넷 메시지 큐에 저장하는 제 2-4 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
3 3
제 1 항에 있어서, 상기 제 4 단계가, 탐지된 봇넷에 대하여 상기 트래픽 정보 수집 센서에게 봇넷의 공격 행위와 확산/이주 행위를 포함하는 추가적인 행위 트래픽을 요청하는 제 4-1 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
4 4
제 1 항에 있어서, 상기 제 4 단계가, 좀비가 추가 공격모듈을 다운로드하는 행위 유형인 에그 다운로드(Egg downoad) 행위, 좀비의 분산 서비스 거부 공격 행위 유형인 DDoS 공격 행위, 좀비가 스팸메일을 발송하는 행위 유형인 스패밍(Spamming) 공격 행위 및 좀비들이 개인정보를 탈취하는 행위 유형인 스파잉(Spying) 공격 행위를 포함하는 공격 행위를 분석 및 분류하는 제 4-2 단계; 봇넷 확장 행위인 그로스(Growth) 행위, C0026#C 서버 재접속 및 접속유지 행위인 랠리(Rally) 행위, C0026#C 서버를 이주하는 행위인 마이그레이션(Migration) 행위 및 봇 악성코드를 전파하는 행위인 프로파게이션(Propagation) 행위를 포함하는 확산/이주 행위를 분석 및 분류하는 제 4-3 단계; 및 상기 제 4-2 단계 및 상기 제 4-3 단계의 분석된 결과를 종합하여 로그 관리자에게 전송하는 제 4-4 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
5 5
제 4 항에 있어서, 상기 제 4-2 단계가, 일정 시간 동안 발생하는 패킷당 평균 수신 트래픽량을 비교 검사하여 에그 다운로드 행위를 분석 및 분류하는 제 4-5 단계; 동일 전송트래픽의 주기적인 발생 여부를 검사하여 DDoS 공격 행위를 분석 및 분류하는 제 4-6 단계; SMTP(25번 포트) 서버로 발송되는 메일 전송 트래픽의 발생 여부를 검사하여 스패밍 공격 행위를 분석 및 분류하는 제 4-7 단계; 및 일정 시간 동안 발생하는 패킷당 평균 송신 트래픽량을 비교 검사하여 스파잉 공격 행위를 분석 및 분류하는 제 4-8 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
6 6
제 5 항에 있어서, 상기 제 4-5 단계에서, 좀비가 C0026#C 서버로부터 직접 다운로드하는 행위 및 타 다운로드 전용 서버로부터 우회적으로 다운로드하는 행위를 모두 분석하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
7 7
제 4 항에 있어서, 상기 제 4-3 단계가, 기존 C0026#C 서버로 접속하는 신규 좀비 IP를 모니터링하여 그로스 행위로 분류하는 제 4-9 단계; C0026#C 서버에 재접속하거나 기존 접속을 유지하려는 트래픽을 모니터링하여 랠리 행위로 분류하는 제 4-10 단계; 기존 좀비가 새로운 IP를 가지는 C0026#C로 접속하는 행위를 모니터링하여 마이그레이션 행위로 분류하는 제 4-11 단계; 및 단일 소스(Src) IP에서 다중 데스티네이션(Dst) IP들로 전송되는 트래픽을 모니터링하여 프로파게이션 행위로 분류하는 제 4-12 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
8 8
제 7 항에 있어서, 상기 제 4-9 단계 내지 상기 제 4-11 단계가, Channel 및 URL 정보를 수집하여 봇넷 구성 분석 모듈에 전송하는 제 4-13 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
9 9
제 1 항에 있어서, 상기 봇넷의 행위 트래픽의 데이터 포맷이, 탐지시스템에서 관리하는 지역적인 봇넷 ID 및 트래픽 발생 시간을 포함하는 헤더와, 각 행위 분석 및 정의를 위한 요청 트래픽 정보를 포함하는 행위 트래픽 정보 필드를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
10 10
제 9 항에 있어서, 상기 행위 트래픽 정보 필드가, Channel/URL string 전달 포맷의 경우, IRC 및 HTTP 봇넷 프로토콜을 구분하는 봇넷 타입, 그리고 IRC 봇넷의 Channel String 및 HTTP 봇넷의 URL string 중 어느 하나를 포함하는 String을 포함하고, Sending/Receiving Traffic 전달 포맷의 경우, 송신 트래픽의 패킷 당 평균 데이터 볼륨 크기 및 수신 트래픽의 패킷 당 평균 데이터 볼륨 크기를 포함하고, MX Query list 전달 포맷의 경우, 샘플링된 전체 탐지대상 좀비 중 MX 쿼리를 발생시킨 좀비 개체수의 비율을 포함하고, Dst Port 25 list 전달 포맷의 경우, 샘플링된 전체 탐지 대상 좀비 중 SMTP(25번 포트) 서버로의 전송 트래픽을 발생시킨 좀비 개체수의 비율을 포함하고, Sending Frequency 전달 포맷의 경우, 각 좀비의 동일 시간대에 걸친 동일 패킷 발송 빈도량을 포함하고, Multi-connection list 전달 포맷의 경우, 샘플링된 전체 탐지 대상 좀비 중 다중의 IP로 접속 요청 트래픽을 발생한 좀비 개체수의 비율을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
11 11
제 3 항에 있어서, 상기 행위 트래픽을 요청하는 행위 트래픽 요청 데이터의 포맷이, 행위 트래픽 수집을 요청할 좀비가 속한 봇넷 ID를 포함하는 헤더, 샘플링된 좀비 개체 수 및 샘플링된 좀비 IP 리스트를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
12 12
제 4 항에 있어서, 상기 제 4-4 단계에서 분석된 봇넷의 행위 정보를 전송하고, 상기 봇넷의 행위 정보의 데이터 포맷이, 봇넷 에그 다운로드 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, DNS 쿼리 도메인명, DNS 쿼리에 대한 응답 IP, 접속 서버의 포트번호, 접속 서버의 URL, 접속 프로토콜, 좀비가 다운로드한 파일 이름 및 좀비가 다운로드한 파일 크기를 포함하고, 봇넷 DDoS 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, 피해시스템의 도메인명, IP(피해시스템의 IP, 피해시스템의 포트번호 및 공격 프로토콜을 포함하고, 봇넷 스패밍 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, 메일 릴레이 서버의 도메인명 및 메일 릴레이 서버의 IP를 포함하고, 봇넷 스파잉 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, DNS 쿼리 도메인명, DNS 쿼리의 응답 IP, 접속 서버의 포트번호, 접속 서버의 URL 및 접속 프로토콜을 포함하고, 봇넷 그로스 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, 신규 좀비의 개체 수 및 신규 좀비의 IP 리스트를 포함하고, 봇넷 랠리 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, 활성 좀비의 개체 수 및 활성 좀비의 IP 리스트를 포함하고, 봇넷 마이그레이션 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더, 신규 C0026#C 서버의 IP 및 신규 C0026#C 서버의 URL을 포함하고, 봇넷 프로파게이션 행위 정보의 경우, 탐지시스템 인식을 위한 지역적 봇넷 ID 번호 및 봇넷 행위 발생 시간을 포함하는 헤더 및 취약 공격대상 포트인 상위 접속 포트의 리스트를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법
지정국 정보가 없습니다
패밀리정보가 없습니다
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 지식경제부 한국정보보호진흥원 IT성장동력기술개발사업 신종 봇넷 능동형 탐지 및 대응 기술 개발