[논문]DNS 트래픽 기반의 사이버 위협 도메인 탐지

임선희; 김종현; 이병길

doi:10.7840/kics.2012.37b.11.1082

[국내논문] DNS 트래픽 기반의 사이버 위협 도메인 탐지
Detecting Cyber Threats Domains Based on DNS Traffic 원문보기

한국통신학회논문지. The Journal of Korea Information and Communications Society. 네트워크 및 서비스, v.37B no.11, 2012년, pp.1082 - 1089

임선희 (한국전자통신연구원 사이버융합보안연구단) , 김종현 (한국전자통신연구원 사이버융합보안연구단) , 이병길 (한국전자통신연구원 사이버융합보안연구단)

초록
AI-Helper

최근 사이버 공간에서는 대규모 사이버 공격들을 위해 봇넷(Botnet)을 형성하여 자산 손실과 같은 경제적 위협뿐만 아니라 Stuxnet과 같은 국가적으로 위협이 되고 있다. 진화된 봇넷은 DNS(Domain Name System)를 악용하여 C&C 서버와 좀비간의 통신 수단으로 사용하고 있다. DNS는 인터넷에서의 주요 인프라이고, 무선 인터넷의 대중화로 지속적으로 DNS 트래픽이 증가되고 있다. 반면에, 도메인 주소를 이용한 공격들도 증가되고 있는 현실이다. 본 논문에서는 지도 학습 기반의 데이터 분류 기술을 이용한 DNS 트래픽 기반의 사이버 위협 도메인 탐지 기술에 대해 연구한다. 더불어, 개발된 DNS 트래픽을 이용한 사이버위협 도메인 탐지 시스템은 대용량의 DNS데이터를 수집, 분석, 정상/비정상 도메인 분류 기능을 제공한다.

Abstract ▼ AI-Helper

Recent malicious attempts in Cyber space are intended to emerge national threats such as Suxnet as well as to get financial benefits through a large pool of comprised botnets. The evolved botnets use the Domain Name System(DNS) to communicate with the C&C server and zombies. DNS is one of the core and most important components of the Internet and DNS traffic are continually increased by the popular wireless Internet service. On the other hand, domain names are popular for malicious use. This paper studies on DNS-based cyber threats domain detection by data classification based on supervised learning. Furthermore, the developed cyber threats domain detection system using DNS traffic analysis provides collection, analysis, and normal/abnormal domain classification of huge amounts of DNS data.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문은 실제 발생된 DNS 위협 사례와 DNS 기반의 봇넷 기술에 대해 Ⅱ장에서 기술하고, Ⅲ장에서는 본 논문에서는 제안하는 사이버 위협 도메인 분류 기술에 대해 설명한다. 또한, Ⅳ장에서 개발된 사이버 위협 탐지 시스템의 기능, 구현 및 실험 결과에 대해 기술한다.
본 논문에서는 DNS 트래픽을 수집 및 모니터링하여 지도학습(supervised learning)기반의 데이터 분류(classification) 기술을 통해 사이버 위협 도메인을 분류하고자 한다. 본 논문에서의 사이버 위협 도메인은 좀비PC들이 C&C서버와 명령 및 제어 메시지를 송수신하기 위해 접속하는 C&C서버의 도메인 주소이다.

가설 설정

. 이때, 단순 베이지안 분류기는 주어진 클래스의 한 속성 값이 다른 속성의 값과 상호독립임을 가정한다.

제안 방법

본 논문에서는 DNS트래픽을 수집 및 분석하여 지도학습(supervised learning) 기반의 데이터 분류(classification) 방법을 이용하여 봇넷에서의 C&C서버와 좀비PC간의 DNS 서비스를 이용한 비정상 네트워크 행위를 탐지하고, 사이버 위협 도메인 즉 C&C 서버를 추출한다.
본 논문에서는 그림 2와 같이 DNS 트래픽 기반의 정상/비정상 트래픽을 수집 및 데이터 셋(dataset)화하고, 지도학습(supervised learning)방법으로 수집된 데이터로 학습하여 분석 성분들을 추출 및 분류 알고리즘을 통해 분류한다. 더불어, 네트워크 행위에 대한 비정상도를 도출한다.
본 논문에서는 초당 5만쿼리 이상의 실시간 DNS 트래픽 수집을 고려하여 대규모 데이터베이스에 적용되어도 높은 정확성과 속도가 가능한 베이지안 분류기를 적용하였다.
본 논문에서는 확률값 i,j을 이용하여 좀비 노드를 분류하고, 좀비 노드에서 질의되는 도메인 정보를 도출하여, 도메인( #, j: 좀비 노드, n: 도메인 식별자)의 발생 횟수를 카운팅(Count( #) )한다.
본 논문의 DNS 트래픽 기반의 비정상 도메인 탐지 시스템은 데이터 수집 및 모니터링 기능, 화이트/블랙 리스트 처리 기능, 비정상 도메인 탐지 기능으로 그림 4와 같이 시스템이 구성된다.
그림 1은 DNS 트래픽을 패시브 모니터링(passive monitoring)하여 사이버 위협 도메인을 탐지하기 위한 네트워크 구조도로 DNS 서버로 입출력되는 트래픽을 미러링하여 DNS 트래픽을 모니터링한다. 본 논문의 DNS 트래픽 분석 시스템은 DNS 서버의 인/아웃 트래픽을 수집, 분석하고, 비정상 행위 트래픽을 분류함으로써 사이버 위협 도메인을 탐지한다. 즉, 사이버 위협 도메인 탐지 시스템은 도메인 네임에 대한 질의를 하는 쿼리(query) 메시지와 쿼리 메시지에 대응하는 쿼리 응답 메시지에 해당하는 RR(resource record) 메시지를 통해 DNS 트래픽을 분석한다.
본 시스템은 DNS 서버의 질의(query), 응답(resource record) 트래픽을 수집 및 모니터링하여 통계 데이터를 도출하는 기능이다. DNS 트래픽은 초당 5만쿼리 이상이 DNS 서버에게 질의하면 그에 대한 응답처리를 해야 한다.
학습단계에서는 훈련용 데이터를 분석한다. 사전에 학습된 데이터를 통해 분석성분들을 추출하여 수집된 DNS 트래픽을 분류 알고리즘(classification algorithm)을 통한 분류규칙 (classification rule) 즉 분류기를 모델링하여, 의심 도메인을 질의하는 쿼리를 분류한다. 이때, 각 분류기는 최대우도(maximum likelyhood) 개념을 기반으로 분포를 추론하며, 각 특성의 상관 관계 및 추론 분포를 기반으로 파라미터 추출이 된다.
이 실험에서는 좀비 PC가 외부의 통제되지 않은 C&C서버에게 감염되었음을 알리는 패킷을 송신하고, 이 패킷을 수신받은 C&C서버가 좀비PC들을 자신들의 봇넷에 포함시킬 것을 고려하여 실험하였다.
이러한, 봇 프로그램으로 감염된 좀비PC들의 행위들은 일반 사용자의 도메인 질의 패턴과 다르게 봇 프로그램이라는 특성상 특정 패턴을 가지게 될 것이다. 이러한 점을 가정하여, 본 논문에서는 봇에 감염된 좀비PC에서 질의되는 비정상 DNS 트래픽과 일반 사용자에서 질의되는 정상 DNS 트래픽을 수집 및 지도학습 과정을 통해 정상/비정상 도메인 질의 패턴을 분석하여 사이버 위협 도메인을 분류하고 사이버 위협 도메인의 비정상도(abnormality)를 도출한다. 본 논문은 실제 발생된 DNS 위협 사례와 DNS 기반의 봇넷 기술에 대해 Ⅱ장에서 기술하고, Ⅲ장에서는 본 논문에서는 제안하는 사이버 위협 도메인 분류 기술에 대해 설명한다.
본 논문의 DNS 트래픽 분석 시스템은 DNS 서버의 인/아웃 트래픽을 수집, 분석하고, 비정상 행위 트래픽을 분류함으로써 사이버 위협 도메인을 탐지한다. 즉, 사이버 위협 도메인 탐지 시스템은 도메인 네임에 대한 질의를 하는 쿼리(query) 메시지와 쿼리 메시지에 대응하는 쿼리 응답 메시지에 해당하는 RR(resource record) 메시지를 통해 DNS 트래픽을 분석한다.
반면에, DNS 서비스는 인터넷 서비스를 위한 편리하면서도 중요한 네트워크 인프라 서비스로써, DNS 서비스에 보안 측면을 위한 DNS 트래픽 차단과 같은 대응 방법은 네트워크 서비스의 QoS를 감소시키는 것임으로 적용이 어려운 현실이다. 하지만, 최신 봇넷과 같은 DNS서비스를 이용한 네트워크에서의 비정상 행위들이 빈번하게 발생함에 따라, 본 논문에서는 DNS 트래픽 기반의 비정상 행위에 대한 분류 시스템을 개발 및 실험하였다, 특히, 본 논문의 분류 시스템에서는 기존의 알려진 악성 좀비의 행위부터 알려지지 않은 악성 좀비의 행위까지 DNS 쿼리를 질의하는 좀비의 행위를 확인하여 비정상치를 확인한다. 대부분의 봇넷 형식의 악성코드 및 악성 행위가 짧은 시간적 주기로 변경되기 때문에 기존의 악성 행위의 탐지 기반 또는 대부분의 네트워크에서 사용 중인 시그너쳐 기반의 탐지 기술이 한계를 가지게 된다.
학습과 실험 두 단계의 데이터는 공격과 정상 비율을 데이터 분류에서 주로 사용하는 비율인 7:3 비율로 구성하였다. 그림 3은 분류 시스템을 위한 실험 데이터 수집 및 실험 데이터 구성을 위한 모델링 단계이다.

대상 데이터

본 개발 시스템의 실험을 위해 첫 번째로는 실험 단계의 데이터는 공격과 정상 비율을 데이터 분류에서 주로 사용하는 비율인 7:3 비율로 구성한 데이터로 실험한 결과 우리가 예측가능한 사이버 위협 도메인 탐지를 99%이상의 결과가 도출되었다. 두 번째 실험으로는 ISP망에서의 발생되는 DNS 트래픽으로 실험한 결과 수집 데이터 1,501,824개의 도메인에서 79,214(18.9%)의 사이버 위협 도메인을 탐지하였다.
본 논문에서는 3가지 실험을 통해 비정상 행위를 하는 DNS 데이터를 수집하였다.
본 논문에서는 파라미터 구성을 위하여 수집된 폐쇄망 데이터와 정상 DNS 쿼리 패킷 데이터를 혼용하였다. 수집된 폐쇄망 실험 데이터에서는 악성데이터 중 DNS 패킷 데이터가 아닌 라우팅 관련 패킷, 이더넷 장치의 브로드캐스팅 메시지를 제외한 데이터에서 DNS 서버로 유입되는 데이터를 선별하였다.
본 논문에서의 사이버 위협 도메인은 좀비PC들이 C&C서버와 명령 및 제어 메시지를 송수신하기 위해 접속하는 C&C서버의 도메인 주소이다.
본 논문에서는 파라미터 구성을 위하여 수집된 폐쇄망 데이터와 정상 DNS 쿼리 패킷 데이터를 혼용하였다. 수집된 폐쇄망 실험 데이터에서는 악성데이터 중 DNS 패킷 데이터가 아닌 라우팅 관련 패킷, 이더넷 장치의 브로드캐스팅 메시지를 제외한 데이터에서 DNS 서버로 유입되는 데이터를 선별하였다. 선별된 데이터 중 커널, 혹은 전송에서 발생한 프라그먼트 패킷은 소거하였으며, 학습 단계의 공격 데이터로 사전 분류하였다.
정상 데이터는 일반적인 SSL 암호화 통신 및 허가된 클라이언트의 요청에만 응답하는 통신 구조인 Skype사의 DNS 데이터를 이용하였다.

데이터처리

비정상 도메인을 분류하기 위해 구성된 학습 및 실험 데이터로부터 주요 분석 성분(feature)을 추출하기 위해 통계 기법인 주성분분석(PCA, principal components analysis)을 실험하였다. 주성분분석은 대응되는 성분을 이용하여 데이터의 주성분 및 성분의 성향을 분석할 수 있는 방법이다.

성능/효과

본 개발 시스템의 실험을 위해 첫 번째로는 실험 단계의 데이터는 공격과 정상 비율을 데이터 분류에서 주로 사용하는 비율인 7:3 비율로 구성한 데이터로 실험한 결과 우리가 예측가능한 사이버 위협 도메인 탐지를 99%이상의 결과가 도출되었다. 두 번째 실험으로는 ISP망에서의 발생되는 DNS 트래픽으로 실험한 결과 수집 데이터 1,501,824개의 도메인에서 79,214(18.
대부분의 봇넷 형식의 악성코드 및 악성 행위가 짧은 시간적 주기로 변경되기 때문에 기존의 악성 행위의 탐지 기반 또는 대부분의 네트워크에서 사용 중인 시그너쳐 기반의 탐지 기술이 한계를 가지게 된다. 본 논문에서 제안된 사이버 위협 도메인 탐지 시스템은 지도 학습 기반의 DNS 트래픽 분석을 통한 사이버 위협 도메인을 탐지함으로써 지속적인 정상 및 비정상에 대한 학습 기반으로 변화되는 봇넷의 행위 변화와 관계없이 지속적인 관제 및 탐지가 가능하다.
본 논문에서는 DNS 트래픽 기반의 정상 쿼리와 비정상 쿼리의 성향을 분석하기 위해 DNS 트래픽에서 획득할 수 있는 최대 정보들인 DNS 트래픽 헤더 데이터 및 DNS 트래픽의 IP 패킷 속성에 해당되는 모든 성분들을 주성분분석(PCA) 한 결과 UDP 패킷에서의 소스포트, CRC 값, 패킷 길이, IP 패킷의 플래그값, 식별자, CRC 값, 패킷길이, TTL값이 도출되었다. DNS헤더에서는 식별자 속성이 비정상 도메인을 분류하기 위한 효과적인 파라미터 구성으로 참조된다^[11].
1차 실험에서는 외부네트워크와의 연결이 단절되어 DNS 서버의 질의가 실험망 이상의 상의 DNS 서버로 질의되지 못하는 문제점을 가지게 되었고, 2차 실험에서 외부의 통제되지 않은 C&C서버의 접근이 거의 미비하였다. 본 실험 결과의 수집 데이터 양은 1차 실험 패킷 수(633,170), 2차 실험 패킷 수(839,718), 3차 실험 패킷 수(2,421,275)로 3차 실험만이 DNS 트래픽 분석을 위해 효과적으로 이용 가능하였다.
전체 공격 및 정상 데이터에서 분석의 정확도를 기대하기 위하여 10회 라운딩 학습을 시도 하고, 10회 실험을 반복하였으며, 도출된 결과 오차범위 3% 이내 검증으로 정확도를 확인하였다.

질의응답

핵심어	질문	논문에서 추출한 답변
	봇넷은 무엇들로 연결되어 있는가?	봇넷은 자유자재의 권한을 가진 봇마스터(botmaster), 악성코드 즉 봇 프로그램에 감염된 좀비(zombie), 명령/제어를 내리는 C&C(command and control) 서버가 네트워크로 연결되어 있다. 좀비들은 봇마스터에 의해 원격 조종되며 각종 악성 행위를 수행할 수 있는 수천에서 수십만대의 봇에 감염되어 C&C 서버와 지속적으로 명령 및 제어 메시지를 통해 통신한다.
	DNS 데이터 모니터링을 위해 어떤 통계 데이터들을 도출하는가?	• 단위시간당 전체 트래픽 통계 • 단위시간당 DNS 질의 통계 • 단위시간당 DNS 응답 통계 • DNS 질의 시간 차 통계 • 평균 TTL 값 통계 • 질의 도메인 TOP N • 응답 오류 값(RCODE) 통계
	주성분분석이란 무엇인가?	비정상 도메인을 분류하기 위해 구성된 학습 및 실험 데이터로부터 주요 분석 성분(feature)을 추출하기 위해 통계 기법인 주성분분석(PCA, principal components analysis)을 실험하였다. 주성분분석은 대응되는 성분을 이용하여 데이터의 주성분 및 성분의 성향을 분석할 수 있는 방법이다. 주성분분석(PCA)는 입력데이터의 상관 행렬(correlation matrix)의 고유값(eigen value), 고유벡터(eigen vector)값을 계산하여 고유값이 높은 차순의 성분들이 비정상 도메인의 성향을 나타내는 주성분으로 유의성이 보장된다[10].

참고문헌 (11)

S. Lim, J. Kim, B. Lee, "A Study on the Prediction and Analysis of Cyber Threats", in Proc. KICS, vol. 48, pp. 125-126, 2012.
L. Bilge, E. Kirda, C. Kruegel,M. Balduzzi, "EXPOSURE: Finding malicious domains using passive dns analysis", in Proc. of the Annual Network and Distributed System Security (NDSS 2011), Feb. 2011.
H. Choi, H. Lee, H. Lee, H. Kim, "Botnet detection by monitoring group activities in DNS traffic", in 7th IEEE Int. Con. Computer and Information Technology 2007. (CIT 2007), pp. 715-720, Oct. 2007.
J. Dietrich, C. Rossow, F. Freiling, On Botnets that use DNS for Command and Control, Retrieved Jun., 01, 2012, from http://www.syssec-project.eu/media/page-media/3/dietrich-ec2nd11.pdf.
G. Gu, J. Zhang, W. Lee, "BotSniffer: Detecting botnet command and control channels in network traffic", in Proc. of the 15th Annual Network and Distributed System Security Symposium (NDSS 2008), Feb. 2008.
G. Gu, R. Perdisci, J. Zhang, W. Lee, "BotMiner: clustering analysis of network traffic for protocol-and structure-independent botnet detection", in Proc. of the 17th conference on Security symposium, 2008, pp. 139-154, Aug. 2008.
R. Villamarin-Salomon, J. C. Brustoloni, "Bayesian bot detection based on DNS traffic similarity", in Proc. of the 2009 ACM symposium on Applied Computing, pp. 2035-2041, Mar. 2009.
R. Villamarin-Salomon, J. C. Brustoloni, "Identifying botnets using anomaly detection techniques applied to DNS traffic", in Consumer Communications and Networking Conference 2008 (CCNC 2008), pp. 476-481, Jan. 2008.
H. Tu, Z. Li,B. Liu, "Detecting botnets by analyzing DNS traffic", Intelligence and Security Informatics, pp. 323-324, Apr. 2007.
J. Han and M. Kamber, Data Mining: Concepts & Techniques, 2nd Ed., Elseviser Inc., 2007.
S.H Lim, J. Cho, J.H. Kim, B.G. Lee, "Feature Selection with PCA based on DNS Query for Malicious Domain Classification", Computer and Communication Systems, vol.1, no.1, pp. 55-60, Oct. 2012.

원문보기 상세보기

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증