1 |
1
다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC 및 HTTP 봇넷의 탐지와 대응을 위한 시스템에 있어서,
상기 다수의 인터넷 서비스 제공자 망에 마련된 봇넷 탐지 시스템과,
상기 봇넷 탐지 시스템을 관제 및 관리하며 상기 다수의 인터넷 서비스 제공자 망에 적어도 하나 이상이 구비되어 상기 다수의 인터넷 서비스 제공자 망간의 봇넷 정보를 공유하는 봇넷 관제 및 보안관리 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 시스템
|
2 |
2
제 1 항에 있어서,
상기 다수의 인터넷 서비스 제공자 망에 분포되어 트래픽 정보를 상기 봇넷 탐지 시스템에 전달하는 트래픽 정보 수집 센서와,
상기 트래픽 정보 수집 센서와 봇넷 탐지 시스템의 설정 및 상태 정보를 관리하는 관리 시스템을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 시스템
|
3 |
3
삭제
|
4 |
4
제 1 항에 있어서,
상기 봇넷 관제 및 보안 관리 시스템은,
상기 봇넷 탐지 시스템으로부터 보안 이벤트를 수신하여 처리하는 보안 이벤트 관리 모듈과,
상기 보안 이벤트에 대한 봇넷과의 유사도를 분석하는 예외 구성 로그 분석 모듈과,
상기 보안 이벤트 중 미분류 행위 로그를 전달받아 분류하는 미분류된 행동 로그 분석 모듈과,
상기 탐지된 봇넷에 대한 대응 정책을 수립하는 봇넷 대응 기술 모듈과,
상기 탐지된 봇넷 정보와 봇넷 악성행위 정보와 시스템 정보와 정책 정보 및 봇넷 대응 정책 정보를 관리하는 탐지 로그 감독 모듈과,
상기 봇넷 관제 및 보안 관리 시스템의 정책을 설정하는 정책 감독 모듈과,
상기 봇넷 관제 및 보안 관리 시스템에 봇넷 탐지 시스템과 트래픽 수집센서와 도메인 네임 시스템 싱크홀 서버와 BGP 라우터와 도메인 네임 시스템 서버 및 웹방화벽을 등록하는 시스템 감독 모듈과,
상기 인터넷 서비스 제공자 망 내에서 탐지된 봇넷 정보를 타 인터넷 서비스 제공자 망에 공유하는 봇넷 정보 공유 모듈과,
상기 탐지된 봇넷 정보 및 악성행위 정보를 기초로 통계 데이터를 생성하는 정적인 리포팅 관리 모듈과,
상기 탐지된 봇넷 구조 및 악성행위를 모니터링하는 봇넷 모니터링 모듈을 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 시스템
|
5 |
5
다수의 인터넷 서비스 제공자 망의 봇넷 정보를 탐지하여 서로 공유하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 방법으로서,
상기 봇넷을 탐지하는 단계와,
상기 탐지된 봇넷의 정보를 상기 다수의 인터넷 서비스 제공자 망간에 공유하는 단계와,
상기 탐지된 봇넷에 대한 대응 정책을 수립하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 방법
|
6 |
6
제 5 항에 있어서,
상기 탐지된 봇넷의 정보를 공유하는 단계는,
상기 인터넷 서비스 제공자 망의 트래픽을 수집하는 단계와,
상기 수집된 트래픽의 로그를 분류하는 단계와,
상기 로그를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 방법
|
7 |
7
제 6 항에 있어서,
상기 로그를 분석하는 단계는,
상기 수집된 트래픽 중 비정상적으로 구성된 로그를 분석하는 단계와,
상기 수집된 트래픽 중 미분류된 행위 로그를 분석하는 단계를 포함하는 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 방법
|
8 |
8
제 7 항에 있어서,
상기 비정상적으로 구성된 로그는 봇넷과의 유사도 값이 최소 임계값 이상이며 신뢰 임계값 이하인 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 방법
|
9 |
9
제 5 항에 있어서,
통계 데이터를 작성하는 단계를 더 포함하고,
상기 통계 데이터는 봇넷 정보 및 악성행위 정보를 그래프와 테이블로 표현한 것을 특징으로 하는 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 방법
|