단일 공격과 달리 DDoS 공격들은 네트워크에 분산된 봇넷이 동시에 타겟 서버에 공격을 개시한다. 이 경우 타겟 서버에서는 정상적인 사용자의 편의를 고려해야 하기 때문에 DDoS로 간주되는 패킷에 대하여 접속거부 조치를 취하기 어려운 점이 있다. 이를 고려하여 본 논문에서는 사용자 네트워크단위로 DDoS 공격을 탐지하고 네트워크 관리자가 조치를 취할 수 있도록 하여 전체적으로 봇넷의 규모를 줄여서 타겟 서버의 부담을 줄일 수 있는 DDoS 봇넷 탐지 시스템을 구현 하였다. 본 논문에서 제안한 DDoS 봇넷 탐지 시스템은 공격 트래픽의 시간 단위 흐름을 분석하고 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지 하도록 프로그램을 구현하였다. 그리고 패킷들의 평균개수와 표준편차를 이용하여 현재 트래픽의 임계치(Threshold)를 계산하고 이 임계치를 이용하여 DDoS 공격 여부를 판단하였다. 공격의 대상이 되는 서버를 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS 봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있었다. 따라서 DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다. 또한, 라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 얻을 수 있을 것으로 기대한다.
단일 공격과 달리 DDoS 공격들은 네트워크에 분산된 봇넷이 동시에 타겟 서버에 공격을 개시한다. 이 경우 타겟 서버에서는 정상적인 사용자의 편의를 고려해야 하기 때문에 DDoS로 간주되는 패킷에 대하여 접속거부 조치를 취하기 어려운 점이 있다. 이를 고려하여 본 논문에서는 사용자 네트워크단위로 DDoS 공격을 탐지하고 네트워크 관리자가 조치를 취할 수 있도록 하여 전체적으로 봇넷의 규모를 줄여서 타겟 서버의 부담을 줄일 수 있는 DDoS 봇넷 탐지 시스템을 구현 하였다. 본 논문에서 제안한 DDoS 봇넷 탐지 시스템은 공격 트래픽의 시간 단위 흐름을 분석하고 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지 하도록 프로그램을 구현하였다. 그리고 패킷들의 평균개수와 표준편차를 이용하여 현재 트래픽의 임계치(Threshold)를 계산하고 이 임계치를 이용하여 DDoS 공격 여부를 판단하였다. 공격의 대상이 되는 서버를 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS 봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있었다. 따라서 DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다. 또한, 라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 얻을 수 있을 것으로 기대한다.
Different Different from a single attack, in DDoS Attacks, the botnets that are distributed on network initiate attacks against the target server simultaneously. In such cases, it is difficult to take an action while denying the access of packets that are regarded as DDoS since normal user's conveni...
Different Different from a single attack, in DDoS Attacks, the botnets that are distributed on network initiate attacks against the target server simultaneously. In such cases, it is difficult to take an action while denying the access of packets that are regarded as DDoS since normal user's convenience should also be considered at the target server. Taking these considerations into account, the DDoS botnet detection system that can reduce the strain on the target server by detecting DDoS attacks on each user network basis, and then lets the network administrator to take actions that reduce overall scale of botnets, has been implemented in this study. The DDoS botnet detection system proposed by this study implemented the program which detects attacks based on the database composed of faults and abnormalities collected through analyzation of hourly attack traffics. The presence of attack was then determined using the threshold of current traffic calculated with the standard deviation and the mean number of packets. By converting botnet-based detection method centering around the servers that become the targets of attacks to the network based detection, it was possible to contemplate aggressive defense concept against DDoS attacks. With such measure, the network administrator can cut large scale traffics of which could be referred as the differences between DDoS and DoS attacks, in advance mitigating the scale of botnets. Furthermore, we expect to have an effect that can considerably reduce the strain imposed on the target servers and the network loads of routers in WAN communications if the traffic attacks can be blocked beforehand in the network communications under the router equipment level.
Different Different from a single attack, in DDoS Attacks, the botnets that are distributed on network initiate attacks against the target server simultaneously. In such cases, it is difficult to take an action while denying the access of packets that are regarded as DDoS since normal user's convenience should also be considered at the target server. Taking these considerations into account, the DDoS botnet detection system that can reduce the strain on the target server by detecting DDoS attacks on each user network basis, and then lets the network administrator to take actions that reduce overall scale of botnets, has been implemented in this study. The DDoS botnet detection system proposed by this study implemented the program which detects attacks based on the database composed of faults and abnormalities collected through analyzation of hourly attack traffics. The presence of attack was then determined using the threshold of current traffic calculated with the standard deviation and the mean number of packets. By converting botnet-based detection method centering around the servers that become the targets of attacks to the network based detection, it was possible to contemplate aggressive defense concept against DDoS attacks. With such measure, the network administrator can cut large scale traffics of which could be referred as the differences between DDoS and DoS attacks, in advance mitigating the scale of botnets. Furthermore, we expect to have an effect that can considerably reduce the strain imposed on the target servers and the network loads of routers in WAN communications if the traffic attacks can be blocked beforehand in the network communications under the router equipment level.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서 제안한 시스템은 공격의 대상이 되는 서버 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있도록 하였다. DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다는 점이 본 연구의 가장 중요한 목적이라 할 수 있다. 라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면, 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 기대해볼 수 있다.
본 논문에서는 공격 트래픽의 시간 단위 흐름을 분석 하였고, 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지하고, 이를 사용자에게 알려주는 프로그램을 구현하였다. DDoS 봇넷 탐지 시스템은 실시간으로 출입하는 패킷을 분석하고, 임계치를 계산하는 방식을 이용하였다.
한편, 그림 3은 네트워크 모델로 내부 모듈에서는 자체적으로 탐지 규칙을 변경하는 권한은 주어지지 않는다. 이는 악성코드가 탐지 규칙을 임의로 변경하는 것을 막기 위한 것이며, 라우터 내 컴퓨터의 부하를 최소화시키기 위한 목적도 가지고 있다. 그러므로 외부 모듈에서 자신의 소켓에 접속한 클라이언트의 탐지규칙 파일의 해시 값을 비교하고, 만약 다르다면 내부 모듈로 전송을 해서 업데이트가 이루어지는 형태이다.
이 경우 타겟 서버에서는 정상적인 사용자의 편의를 고려해야 하기 때문에 DDoS로 간주되는 패킷에 대하여 접속거부 조치를 취하기 어려운 점이 있다. 이를 고려하여 본 논문에서는 사용자 네트워크 단위로 봇넷을 탐지하고 전체적으로 봇넷의 규모를 줄여서 타겟 서버의 부담을 줄이고 네트워크 관리자가 조치를 취할 수 있도록 DDoS 봇넷 탐지 시스템을 구현하였다.
제안 방법
본 논문에서는 공격 트래픽의 시간 단위 흐름을 분석 하였고, 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지하고, 이를 사용자에게 알려주는 프로그램을 구현하였다. DDoS 봇넷 탐지 시스템은 실시간으로 출입하는 패킷을 분석하고, 임계치를 계산하는 방식을 이용하였다. 따라서 소규모 네트워크 내의 컴퓨터가 각각 동작한다면 시스템의 부하가 증가한다는 단점을 가진다.
이상 징후의 트래픽 분석을 하기 위해서 일반적인 PC의 인터넷 트래픽을 분석할 필요가 있었다. 따라서 50회에 걸쳐 5초씩 TCP 패킷의 각 옵션의 개수를 분석하였으며, 분석한 결과는 다음과 같다. 그림 14는 SYN 트래픽 분석으로, TCP 연결의 시작을 알리는 SYN 옵션의 경우 인터넷을 사용하지 않는 대기상태에서는 발생 빈도가 현저하게 낮은 것을 알 수 있었다.
TCP 통신은 네트워크의 트래픽과 시간대에 따라 변하기 때문에 단순 계산으로 도출된 임계치로는 DDoS 공격을 검출하기 어렵다. 따라서 계산된 임계치에 정상 상태의 트래픽과 DDoS 공격 때의 SYN 패킷 평균의 중간 값을 더해 최종 임계치를 도출하였고, 이를 DDoS를 판단하는 기준으로 선정하였다.
기존의 상용화 제품들은 분산된 컴퓨터 시스템들이 감염되거나 침해를 당하지 않도록 시그니처를 적용시키는 방법을 채택하고 있다. 따라서 새로운 봇넷의 출연은 기존의 안티바이러스 소프트웨어로 탐지할 수 없도록 하여 실험의 타당성을 가지도록 하였고[17], 제품 A는 이스트소프트웨어사의 알약[12], 제품 B는 시만텍사의 노턴 안티바이러스[13], 제품 C는 안랩사의 Smart Defense[14], 제품 D는 디지털온넷사 AD-SPIDER 다잡아[15], 제품 E는 엔프로텍트사 온라인백신 V6[16]을 이용하여 비교 분석하였다.
ISP 사업자들은 대단위의 Overlay 봇넷을 구축하는 해커를 단독으로 찾기 어렵다. 따라서 외부로 부터의 DDoS 공격의 유입을 신속히 탐지하여 관련 공격 정보를 유관기관에 신속하게 통보하여 ISP 내부 네트워크에 존재하는 좀비화된 봇들을 찾아내도록 사용자에게 경고음으로 알려주는 기능도 추가 하였다.
그리고 클라이언트로 부터 도착하는 패킷을 실시간으로 문자열로 비교하여 SQL, HTTP Injection 공격과 서버 내부에 침투할 수 있는 실행 가능한 파일인 웹쉘(Webshell)을 업로드 하는 공격도 검출 대상으로 하였다. 또한, Host측의 로그를 분석하여 패킷 패턴을 결정하고 탐지하는 방법을 수립하는 기능도 첨가하였다. 한편, Ethernet, IPv4, IPv6, ARP/RARP, TCP, UDP, ICMPv4 패킷을 캡쳐 전송하는 JPcap 라이브러리를 사용하였다.
또한, 공격이 탐지되거나 의심되는 패킷의 데이터 베이스를 봇넷 탐지 모듈 간에 교환함으로써 폭넓은 방어가 이루어질 수 있도록 하였다. 트래픽 공격은 IP 또는 패킷의 형태라는 유사성이 존재하기 때문에 봇넷망에서 탐지된 공격 규칙들을 또 다른 봇넷망으로 전송하여 일일이 패킷을 모두 검사하지 않더라도 공격 여부를 판단할 수 있어 같은 방식의 공격에 대한 탐지 모듈의 부하를 상당부분 감소시킬 수 있고, 네트워크 관리자가 신속한 조치를 취할 수 있게 되어 유용하게 사용될 수 있을 것으로 기대한다.
관리자의 입장에서 네트워크의 전반적인 상태를 파악해야 할 필요성이 존재하기 때문에 각 네트워크의 시스템 운 영체제와 MAC 주소와 같은 기본적인 내용을 포함한 시스템 전반의 상태가 표시된다. 또한, 네트워크 전체 흐름과 필터링을 통한 특정 노드의 트래픽 상태를 볼 수 있도록 사용자 인터페이스가 설계되었다. 영역 ①는 세 가지의 상태가 존재한다.
본 논문에서 제안한 DDoS 봇넷 탐지 시스템은 마이크로소프트사 윈도우7 상에서 기반 프레임워크로 뛰어난 객체지향 언어인 자바(Java)로 구현 하였으며, 알려지지 않은 봇넷에 대한 유출탐지 기능에 대한 성능 비교실험을 위하여 봇넷의 유형별 동작특성을 감안하여 대표적인 봇넷을 분류하고 봇넷 탐지 및 제거 솔루션으로 기존 백신보다 빠른 자동 수집 및 분석 체계를 가지고 있는 프로그램들을 선전하여 비교 하였고, 선행연구[17,18]에서의 실험환경과 성능평가 등을 비교 분석 하였다.
본 논문에서 제안한 시스템에서는 특정한 컴퓨터에서 DDoS 봇넷 공격을 탐지할 수 있는 기능을 포함하고 있다. 세부적으로 URL을 서버로 계속 요청하는 HTTP flooding, IP 변조 후 SYN 패킷을 대량 전송하는 SYN flooding, 큰 패킷을 대상 호스트로 전송하는 ICMP, UDP flooding을 검출해보고 공격하는 탐지 시나리오를 수립 하였다.
본 논문에서 제안한 시스템은 공격의 대상이 되는 서버 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있도록 하였다. DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다는 점이 본 연구의 가장 중요한 목적이라 할 수 있다.
실험 결과와 같이 기존의 제품군들은 알려진 봇넷에 대하여 탐지 후 사용자의 확인 과정 후 삭제를 실행 하였으며, 알려지지 않은 봇넷에 대해서는 프로세스 실행 상태로 탐지를 지속 하였다. 본 논문에서 제안한 시스템은 설계 목표와 같이 임계값을 벗어나는 트래픽을 분석하여 사용자 비의도 접속 탐지를 수행하였다.
적응단계에서는 먼저 설치된 네트워크 시스템에 대한 분석이 필요하다. 분석은 간단한 통계학으로 접근할 수 있는데, 가령 네트워크 시스템에 출입하는 A, B, C 종류의 패킷을 시간 s초 동안, n 번의 회수만큼 수집한다고 하자. 여기서 시간 s초 동안 수집되는 A 패킷의 개수를 Cs 라고 하면 출입되는 모든 A 패킷의 개수는 #가 된다.
본 논문에서 제안한 시스템에서는 특정한 컴퓨터에서 DDoS 봇넷 공격을 탐지할 수 있는 기능을 포함하고 있다. 세부적으로 URL을 서버로 계속 요청하는 HTTP flooding, IP 변조 후 SYN 패킷을 대량 전송하는 SYN flooding, 큰 패킷을 대상 호스트로 전송하는 ICMP, UDP flooding을 검출해보고 공격하는 탐지 시나리오를 수립 하였다. 그리고 클라이언트로 부터 도착하는 패킷을 실시간으로 문자열로 비교하여 SQL, HTTP Injection 공격과 서버 내부에 침투할 수 있는 실행 가능한 파일인 웹쉘(Webshell)을 업로드 하는 공격도 검출 대상으로 하였다.
스캐닝 된 패킷들 개별 단위로 탐지하는 것이 아니라 시간 단위로 패킷들을 한꺼번에 탐지하기 때문에 시간 관련 라이브러리를 이용하였다. 일정한 시간동안 패킷들을 메모리에 저장하여 지정된 임계값과 비교하여 침입 탐지 유무를 탐지하게 된다.
실험 결과와 같이 기존의 제품군들은 알려진 봇넷에 대하여 탐지 후 사용자의 확인 과정 후 삭제를 실행 하였으며, 알려지지 않은 봇넷에 대해서는 프로세스 실행 상태로 탐지를 지속 하였다. 본 논문에서 제안한 시스템은 설계 목표와 같이 임계값을 벗어나는 트래픽을 분석하여 사용자 비의도 접속 탐지를 수행하였다.
실험결과는 표 1과 같이 기존의 안티 바이러스 제품군들은 알려진 봇넷에 대하여 탐지 후 사용자의 확인과정 후 삭제를 실행하였으며, 알려지지 않은 봇넷에 대해서는 프로세스 실행 상태로 탐지를 지속하였다. 한편, 제품 E의 경우 알려지지 않은 악성 코드의 일부에 탐지 후 삭제를 실행 하였는데 이는 악성코드의 유형이 같은 그룹에 제한적으로 적용된 결과를 보여 주었다.
트래픽 분석은 가상 서버를 이용하여 일반적인 네트워크 시스템을 구성 하고, SYN 패킷의 흐름을 트래픽 분석하였다. 이상 징후의 트래픽 분석을 하기 위해서 일반적인 PC의 인터넷 트래픽을 분석할 필요가 있었다.
또한, Host측의 로그를 분석하여 패킷 패턴을 결정하고 탐지하는 방법을 수립하는 기능도 첨가하였다. 한편, Ethernet, IPv4, IPv6, ARP/RARP, TCP, UDP, ICMPv4 패킷을 캡쳐 전송하는 JPcap 라이브러리를 사용하였다.
대상 데이터
세부적으로 URL을 서버로 계속 요청하는 HTTP flooding, IP 변조 후 SYN 패킷을 대량 전송하는 SYN flooding, 큰 패킷을 대상 호스트로 전송하는 ICMP, UDP flooding을 검출해보고 공격하는 탐지 시나리오를 수립 하였다. 그리고 클라이언트로 부터 도착하는 패킷을 실시간으로 문자열로 비교하여 SQL, HTTP Injection 공격과 서버 내부에 침투할 수 있는 실행 가능한 파일인 웹쉘(Webshell)을 업로드 하는 공격도 검출 대상으로 하였다. 또한, Host측의 로그를 분석하여 패킷 패턴을 결정하고 탐지하는 방법을 수립하는 기능도 첨가하였다.
선행연구[17]에서와 같이 여러 상용화 제품들은 분산된 컴퓨터 시스템들이 감염되거나 침해를 당하지 않도록 시그니처를 적용시키는 방법을 채택하고 있기 때문에, 새로운 알려지지 않은 봇넷은 실험의 타당성을 위하여 기존의 소프트웨어[12-16]들로 탐지할 수 없는 실험 환경을 구성 하였다.
그리고 두 번째로 봇의 공격대상이 되는 목적지 IP항목이 존재하고, 다음으로 DDoS 봇넷 공격방법과 공격이 이루어지는 시각 항목이 위치한다. 시각은 1970년 1월 1일부터의 누적시를 Milli Second로 나타내는 TIME STAMP로 채택하였다.
성능/효과
5개의 브라우저를 실행한 후 인터넷을 사용한 환경에서는 1개의 브라우저를 사용하는 경우보다 패킷의 개수가 빈발한 것을 관찰할 수 있었다. 여기서 표준편차의 표준단위 공식은 z=(x-평균)/표준편차이다.
그리고 두 번째로 봇의 공격대상이 되는 목적지 IP항목이 존재하고, 다음으로 DDoS 봇넷 공격방법과 공격이 이루어지는 시각 항목이 위치한다. 시각은 1970년 1월 1일부터의 누적시를 Milli Second로 나타내는 TIME STAMP로 채택하였다.
계산된 임계치를 바탕으로 트래픽 분석이 지속적으로 이루어지면 DDoS와 같은 공격을 탐지할 수 있을 것이다. 분석 결과에서 해당 모듈이 악성코드에 감염되어 특정 타겟으로 SYN 트래픽 공격을 시도할 때는 5초 동안 최대 2500개의 SYN 옵션을 가진 패킷이 송신되는 것을 관찰할 수 있었다.
제안한 DDoS 봇넷 탐지 시스템은 일반적으로 트래픽 공격은 단시간이 아닌, 지속적으로 이루어지는 공격이기 때문에 임계치보다 낮은 개수의 패킷이 도달하더라도 한 차례 이상의 이상상태가 존재하게 되면 탐지될 수 있는 강점을 가지고 있다. 실험에서 세 개의 클라이언트가 존재하는 가상의 네트워크 환경을 구성한 후, DDoS 공격을 시도했을 때 시도한 공격이 모두 탐지되는 것을 관찰할 수 있었다.
제안한 DDoS 봇넷 탐지 시스템은 일반적으로 트래픽 공격은 단시간이 아닌, 지속적으로 이루어지는 공격이기 때문에 임계치보다 낮은 개수의 패킷이 도달하더라도 한 차례 이상의 이상상태가 존재하게 되면 탐지될 수 있는 강점을 가지고 있다. 실험에서 세 개의 클라이언트가 존재하는 가상의 네트워크 환경을 구성한 후, DDoS 공격을 시도했을 때 시도한 공격이 모두 탐지되는 것을 관찰할 수 있었다.
따라서 계산된 임계치에 정상 상태의 트래픽과 DDoS 공격 때의 SYN 패킷 평균의 중간 값을 더해 최종 임계치를 도출하였고, 이를 DDoS를 판단하는 기준으로 선정하였다. 테스트 환경에서 정상상태의 SYN 개수의 평균인 13.92와 DDoS 공격의 SYN 패킷의 평균인 1275.62의 중간 값인 644.77과 계산된 임계치 21.92를 더하여 667이 DDoS를 판단하는 기준이 된다.
그리고 일반적으로 트래픽 공격은 단시간이 아닌, 지속적으로 이루어지는 공격이기 때문에 임계치보다 낮은 개수의 패킷이 도달하더라도 한 차례 이상의 이상상태가 존재하게 되면 탐지될 수 있는 강점을 가지고 있다. 테스트에서 세 개의 클라이언트가 존재하는 가상의 네트워크 환경을 구성한 후, DDoS 공격을 시도했을 때 시도한 공격이 모두 탐지 되었다.
후속연구
그림 15는 DDoS 공격 시의 트래픽 분석을 보여주며, 실선은 계산된 임계치를 나타낸다. 계산된 임계치를 바탕으로 트래픽 분석이 지속적으로 이루어지면 DDoS와 같은 공격을 탐지할 수 있을 것이다. 분석 결과에서 해당 모듈이 악성코드에 감염되어 특정 타겟으로 SYN 트래픽 공격을 시도할 때는 5초 동안 최대 2500개의 SYN 옵션을 가진 패킷이 송신되는 것을 관찰할 수 있었다.
라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면, 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 기대해볼 수 있다. 따라서 대 규모 봇넷 탐지 장비 구축과 네트워크 봇넷 탐지 모듈 상용화를 병행한다면 트래픽 공격의 방어에 큰 시너지 효과를 얻을 것으로 기대한다.
또한, 공격이 탐지되거나 의심되는 패킷의 데이터 베이스를 봇넷 탐지 모듈 간에 교환함으로써 폭넓은 방어가 이루어질 수 있도록 하였다. 트래픽 공격은 IP 또는 패킷의 형태라는 유사성이 존재하기 때문에 봇넷망에서 탐지된 공격 규칙들을 또 다른 봇넷망으로 전송하여 일일이 패킷을 모두 검사하지 않더라도 공격 여부를 판단할 수 있어 같은 방식의 공격에 대한 탐지 모듈의 부하를 상당부분 감소시킬 수 있고, 네트워크 관리자가 신속한 조치를 취할 수 있게 되어 유용하게 사용될 수 있을 것으로 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
DDoS 공격이란 무엇인가?
또한, 봇넷은 DDoS 공격, 개인정보 유출, 악성코드 전파, 대규모 스팸메일 발송등 다양한 악의적인 행동을 한다[3-6]. 그중 DDoS 공격은 분산된 여러 대의 봇넷를 이용하여 공격 하고자 하는 대상 서버에 막대한 트래픽을 전송하는 공격이다. 공격 받은 서버는 시스템 과부하로 인하여 정상적인 서비스를 하지 못하거나 다운되는 것이 특징이다.
대표적인 봇넷 탐지 기법으로는 어떠한 것이 있는가?
봇넷은 단순히 시스템에 문제를 일으키는 악성코드, 바이러스 등과는 다르게 경제적인 실익을 얻기 위하여 조직적으로 악성 행위를 수행한다. 대표적인 봇넷 탐지 기법으로는 호스트기반 탐지기법으로 가상환경에서 봇 프로그램을 실행하여 트래픽을 분석하는 기법과 네트워크 트래픽 분석을 통한 봇넷 탐지 기법이 있다.
봇넷 탐지 시스템의 구축 방법에는 어떠한 것이 있는가?
그림 1은 단일 장비나 소프트웨어에 탐지를 의존하던 기존의 네트워크 시스템구조로, 봇넷 탐지 시스템은 일반적으로 통신의 가장 바깥쪽에 위치하여 나가고 들어오는 패킷을 탐지하게 된다. 한편, 방화벽 바깥쪽, 안쪽, DMZ 영역 등의 여러 가지 구축 방법이 존재한다. 그림 1과 같은 탐지 구조는 가장 널리 쓰이지만, 일반적으로 탐지 장비의 구입에 소요되는 비용 문제와 단일 장비 또는 모듈에 의해 탐지와 조치가 이루어지기 때문에 부하 문제 또한 고려해 볼 수 있다.
참고문헌 (19)
MIT Lincoln Lab, 1999 DARPA Intrusion Detection Scenario Specific Datasets, LINCOLN LABORATORY, 1999.
MIT Lincoln Lab, 2000 DARPA Intrusion Detection Scenario Specific Datasets, LINCOLN LABORATORY, 2000.
H. Debar, M Dacier, and A Wespi, "A Revised Taxonomy for Intrusion-Detection Systems," Annals of Telecommunications, 55(7-8), pp. 361-378, 2000.
Haiqin Liu, Yan Sun, and Min Sik Kim, "Fine-Grained DDoS Detection Scheme Based on Bidirectional Count Sketch," IEEE Computer Communications and Networks (ICCCN) , pp. 1-6, 2011.
J. Frank, "Artificial Intelligence and Intrusion Detection: Current and Future Directions," Proc. the 17th National Computer Security Conference, pp. 1-11, 1994.
HS. Javitz and A. Valdes, "The Sriides Statistical Anomaly Detector," Research in Security and Privacy, 1991. Proceedings., 1991 IEEE Computer Society Symposium on, pp. 316-326, 1991.
PA. Porras and PG. Neumann, "Emerald: Event Monitoring Enabling Responses to Anomalous Live Disturbances," Proc. the National Information Systems Security Conference, pp. 1-13, 1997.
V. Paxson, "Bro: A System for Detecting Network Intruders in Real-Time," 7th Annual USENIX Security Symposium, pp. 2435-2463, 1998.
H.R. Zeidanloo and A.A. Manaf, "Botnet Detection by Monitoring Similar Communication Patterns," International Journal of Computer Science and Information Security, Vol. 7, No. 3, pp. 36-45, 2010.
J. Markoff, Russian gang hijacking PCs in vast scheme, http://www.nytimes.com/2008/08/06/ technology/06hack.html, The New York Times, 2008.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.