(19) 민 특허청(KR)

(12) 등 특허공보(B1)

(45) 공고 2011 06월30

(11) 등 10-1045556(24) 등 2011 06월24

(51) Int. Cl.

H04L 12/26 (2006.01) H04L 12/22 (2006.01)(21) 원 10-2008-0132922

(22) 원 2008 12월24

심사청 2008 12월24

(65) 공개 10-2010-0074470

(43) 공개 2010 07월02

(56) 술 사 헌

KR100615080 B1

US20080307526 A1

(73) 특허

고 산 단

진 원

(72)

철

(뒷 에 계 )

(74) 리

특허 다울

체 청 수 : 11 심사 : 천

(54) 트워 ＩＲＣ 탐지

(57) 약

본 트워 IRC 탐지 에 것 , Domain 트래 IP/Port 트래

포 는 앙집 특 갖는 트래 수집 고 수집 트래 여 별 는 트래

듈(TC), 상 트래 듈(TC)에 수집 어 트래 수 는

듈(BOA) 상 트래 듈(TC)에 수집 어 트래 수

는 듈(BBA) 포 는 탐지 시스 에 , 다수 트래 보 수집 에 수집

상 앙집 특 갖는 트래 수집 는 1 단계 상 수집 트래 IP/Port 트래

경우 에 탐지 보 비 여 상 트래 신 어느 나 매

는 2 단계 포 는 것 특징 다.

도 - 도1

등록특허 10-1045556

- 1 -

(72)

채태

지승

상균

주

상

지원 가연 개 사업

과 고 2008-S-026-01

처 지식경

연 리

연 사업 IT 동 술개 사업

연 과 신 능동 탐지 술 개

여

주 보보 진 원

연 간 2008.03.01~2009.02.28

등록특허 10-1045556

- 2 -

특허청

청 1

사 가 Domain 통신 는 트래 Domain 트래 통신 주체간 IP Port

여 통신 수 는 트래 IP/Port 트래 포 는 트래 나 수신지에 집

는 앙집 특 갖는 트래 수집 고 수집 트래 여 별 는 트래

듈(TC), 상 트래 듈(TC)에 수집 어 트래 에 C&C 비 는

트래 수 는 듈(BOA) 상 트래 듈(TC)에 수집 어

트래 에 감염수 가시 그 규 가시 는 에그 다운

드 포 는 는 트래 수 는 듈(BBA) 포 는

탐지 시스 에 , IRC 탐지 는 ,

다수 트래 보 수집 에 수집 상 앙집 특 갖는 트래 수집 는 1 단계;

상 수집 트래 IP/Port 트래 경우 에 탐지 보 비 여 상 트래 C&C

보 비리스트 포 는 에 탐지 보에 포 는 상 에 탐지

보에 미포 는 신 어느 나 매 는 2 단계 포 는 것 특징 는 트워

IRC 탐지 .

청 2

1 에 어 ,

상 2 단계가,

상 트래 앙집 가 상 보 C&C 보 상 고 상 트래 라 언트 IP

리스트가 상 보 비리스트 상 경우 상 트래 신 시지 에 는 2-1

단계 포 는 것 특징 는 트워 IRC 탐지 .

청 3

2 에 어 ,

상 2 단계가,

상 트래 앙집 가 상 보 C&C 보 고 상 트래 라 언트 IP

리스트가 상 보 비리스트 상 경우, 상 트래 여 별도 래

그 여 고 시지 에 는 2-2 단계;

상 트래 앙집 가 상 보 C&C 보 고 상 트래 라 언트 IP

리스트가 상 보 비리스트 사 경우, 상 트래 C&C 재 에그 다운 드

여 별도 래그 여 고 시지 에 는 2-3 단계;

상 트래 앙집 가 상 보 C&C 보 상 고 상 트래 라 언트 IP

리스트가 상 보 비리스트 사 경우, 상 트래 C&C 주 포 는 주

여 별도 래그 여 여 시지 에 는 2-4 단계 포 는 것 특징

는 트워 IRC 탐지 .

청 4

1 에 어 ,

상 트래 수집 리 듈에 수집 트래 Domain 트래 에 여 VDNS(Virtual DNS) 여

체 는 3 단계 포 는 것 특징 는 트워 IRC 탐지 .

등록특허 10-1045556

- 3 -

청 5

1 에 어 ,

상 2 단계 에,

상 수집 트래 에 여, 시간동안 동 C&C 는 비 IP 리스트들 가

열거 는 1-1 단계;

시간 경과 후 열거 비 IP 리스트 개수가 계값 과 상 수집 트래

트래 단 는 1-2 단계;

시간 경과 후 비 IP 리스트 개수가 계값에 미 지 못 경우, 시스 공 보에

여 업 트 는 C&C 블랙리스트 매 여 트래 여 단 는 1-3 단계 포

는 것 특징 는 트워 IRC 탐지 .

청 6

5 에 어 ,

상 1-3 단계가,

" Dst IP/Port” “C&C IP/Port” 매 는 1-4 단계;

" 청 도 에 답 IP” “DNS 싱 IP” 매 는 1-5 단계 포 는 것 특징 는

트워 IRC 탐지 .

청 7

1 에 어 ,

상 2 단계 후에,

상 수집 트래 보(Domain, Dst_IP/Port) 수신 여 시 그에 시 는 4 단계;

상 시 그 에 트래 보 주 어 Domain Dst_IP/Port 별 사도

고, 탐지 트래 는 5 단계;

5 단계에 탐지 트래 고 C&C 후, 마 트래 는 6

단계;

6 단계에 트래 아 탐지 IRC Channel에 근 는 비리스트 여

결과 그에 는 7 단계;

6 단계 7 단계에 결과 여 그 리 에게 는 8 단계 포 는 것 특

징 는 트워 IRC 탐지 .

청 8

7 에 어 ,

상 5 단계가,

주 시 그 Domain 보 어 각 Domain별 청 스 IP들 매트릭스에 는

5-1 단계;

시간 경과 후 상 매트릭스 여 Domain 사도 고 비 IP 리스트 생 는

5-2 단계 포 는 것 특징 는 트워 IRC 탐지 .

등록특허 10-1045556

- 4 -

청 9

7 에 어 ,

상 5 단계가,

주 시 그 Dst_IP/Port 보 어 각 IP/Port 과 매 는 킷 스 IP

들 매트릭스에 는 5-3 단계;

시간 경과 후 상 매트릭스 여 Dst_IP/Port 사도 고 비 IP 리스트 생 는

5-4 단계 포 는 것 특징 는 트워 IRC 탐지 .

청 10

1 에 어 ,

상 1 단계에 수집 트래 보가 Domain 트래 경우 포맷 ,

헤 에 상 트래 생시간 Time 드 포 고,

C&C 드에, C&C DNS 쿼리 도 C&C Domain 드 C&C DNS 쿼리에

답 IP C&C IP 드 포 고,

비리스트 드에, 견 비 개체수 Count 드, 처 비 생시 마지막 비 생

지 시간 간 Time Window 드 비 IP 리스트 비 IP 리스트 포 고,

상 C&C 드 값 DNS 통신 트래 수집 고 수집 상 포트 가 53 포트 것

특징 는 트워 IRC 탐지 .

청 11

1 에 어 ,

상 1 단계에 수집 는 트래 IP/Port 트래 경우 포맷 ,

헤 에 상 트래 생시간 Time 드 포 고,

C&C 드에, C&C IP C&C IP 드 포트 C&C Port 드 포 고,

비리스트 드에, 견 비 개체수 Count 드, 처 비 생 마지막 비 생 지

시간 간 Time Window 드 비 IP 리스트 비 IP 리스트 드 포 고,

상 C&C 드 값 C&C 간 객체 없 통신 는 트래 직 통신 트래

수집 고, 수집 상 포트 가 든 포트 것 특징 는 트워 IRC 탐지 .

상

술 야

본 탐지 에 것 , 체 트워 IRC 탐지 에 [0001]

것 다.

경 술

재 사 공간에 는 수많 들 고 다. 3 개 보 갈취 또는 수집 여 악 고, [0002]

특 다수 란, 고 포 고 보거나, 경쟁사 보 비스 못 게

는 등 상 들 산재 다. 러 사 가 드러지는 가운 새 운 가

등록특허 10-1045556

- 5 -

악 나가고 는 그것 다. 근 Arbor Networks에 는 가 심각 트워

과 산 비스 거 공격(DDoS) 도 다.

(BotNet) 란 악 트웨어 에 감염 다수 컴퓨 들 트워 연결 어 는 태 말 다.[0003]

, 들 재 통 는 가진 마스 에 원격 각 악 수 수 는

수천에 수십만 악 그램 (Bot)에 감염 컴퓨 들 트워 연결 어 는 태 라

다.

1993 에 EggDrop 처 나 후 근 10 간 Forbot, PBot, Toxbot, Machbot,PHP Bot, Storm[0004]

Bot 등 진 , 근에는 많 변 매우 어 게 고

다(매 5,000개 신규 악 드 , TechNewsWorld, 2007). 특 , 계 C&C (Command &

Control, 비들에게 내리고 어 ) 악 게 포 고 고 특 지역

에 집 는 양상 보 고 다. 는 고 갖 어진 경에 는 에 비 1/10 PC들만

도 욱 강 DDoS 같 공격 가능 , 특 고 라가 갖 어 는

내 지역 감염지 고 다. 또 , 계 에 감염 어 비 PC 뀌는 PC 수가 지

가 고 규 또 커지고 다. TCP/IP 공동 창시 Vint Cerf는 계

컴퓨 약 11% 도 1억~1억 5천 컴퓨 가 악 드에 감염 어 공격 수 에 사 것 상

, 재 지 알 진 가 Storm 230,000개 비들 연결 어 는 것 알 다.

공격 욱 심각 지는 는 죄 양상 띠고 다. 2007 생 아 거래[0005]

업체 비스 애 사고에 같 비스 애 빌미 비스 업체에 여

갈취 거나, 개 / 보 수집 스 등 통 여 가 는 사고가 빈 게 생 고 다.

웜/ 러스, 도어, 스 웨어, 루트킷 등 다양 악 드들 특 복 지니 , 통[0006]

DDoS, Ad-ware, Spyware, 스 , 보 수집 등 사 공격 가능 다.

가 연 고 리 사 는 IRC 특 IRC 주 루었었다. 지만, 탐지[0007]

보다 어 게 웹 HTTP 거나, C&C라는 앙집 / 어 식

(IRC, HTTP )에 탈 여, 든 비들 C&C가 수 는 산 / 어 식(P2P )

진 고 다.

나아가, / 어 2가지 상 사 는 브리드 태 진 고 다. 근 등[0008]

MayDay 웜 경우, 스트 랜스 (hypertext transfer protocol, HTTP) 어

시지 (Internet Control Message Protocol, ICMP)과 같 가지 사 거나, 다수

앙 집 포 트(C&C )가 재 고 앙 집 포 트는 P2P 식 연결 는 브리드 태 진 고

다.

/ 어 식 진 께, 악 드도 빠 도 진 여 탐지/ 매우 어 게 고 다.[0009]

Packing/압 /암 술, VM(Virtual Machine)/ 거/샌드 스 탐지 우 술, 악 드 숨

RootKit 술 등 어 에 탐지 매우 어 게 고 , 감염경 또 시스

취약 악 식에 , 웹, , 신 등 다양 수단 다양 지고 다.

러 술 상에 라, PC상에 악 그램 동 탐지/[0010]

는 스트 과 비 C&C 트워 트래 탐지/ 는 트워

, 술 특 에 라 시그니처 과 수 다.

근 들어, 심각 각 연 가 고 나 진 고 는 에 [0011]

아직도 미 수 다.

내

결 고 는 과

본 상 같 결 여 시 것 , 본 트워 IRC [0012]

과 탐지 수 는 트워 IRC 탐지 공 는 것 다.

과 결수단

등록특허 10-1045556

- 6 -

상 달 여, 본 에 트워 IRC 탐지 , 사 가 Domain [0013]

통신 는 트래 Domain 트래 통신 주체간 IP Port 여 통신

수 는 트래 IP/Port 트래 포 는 트래 나 수신지에 집 는 앙집

특 갖는 트래 수집 고 수집 트래 여 별 는 트래 듈(TC), 상 트래

듈(TC)에 수집 어 트래 에 C&C 비 는 트래

수 는 듈(BOA) 상 트래 듈(TC)에 수집 어 트래

에 감염수 가시 그 규 가시 는 에그 다운 드 포 는

는 트래 수 는 듈(BBA) 포 는 탐지 시스

에 , IRC 탐지 는 , 다수 트래 보 수집 에 수집 상 앙집

특 갖는 트래 수집 는 1 단계 상 수집 트래 IP/Port 트래 경우 에 탐지

보 비 여 상 트래 C&C 보 비리스트 포 는 에 탐지 보에 포

는 상 에 탐지 보에 미포 는 신 어느 나 매 는 2

단계 포 는 것 특징 다.

람직 게는, 2 단계가, 상 트래 앙집 가 상 보 C&C 보 상 고 상[0014]

트래 라 언트 IP 리스트가 상 보 비리스트 상 경우 상 트래 신

시지 에 는 2-1 단계, 상 트래 앙집 가 상 보 C&C 보

고 상 트래 라 언트 IP 리스트가 상 보 비리스트 상 경우, 상 트래

여 별도 래그 여 고 시지 에 는 2-2 단계, 상 트래

앙집 가 상 보 C&C 보 고 상 트래 라 언트 IP 리스트가

상 보 비리스트 사 경우, 상 트래 C&C 재 에그 다운 드 여

별도 래그 여 고 시지 에 는 2-3 단계, 그리고 상 트래 앙집

가 상 보 C&C 보 상 고 상 트래 라 언트 IP 리스트가 상 보

비리스트 사 경우, 상 트래 C&C 주 포 는 주 여 별도 래그

여 여 시지 에 는 2-4 단계 포 도 다.

욱 람직 게는, 상 트래 수집 리 듈에 수집 트래 Domain 트래 에 여[0015]

VDNS(Virtual DNS) 여 체 는 3 단계 포 도 다. 또 , 2 단계 에, 상 수집 트

래 에 여, 시간동안 동 C&C 는 비 IP 리스트들 가 열거 는

1-1 단계, 시간 경과 후 열거 비 IP 리스트 개수가 계값 과 상 수집 트래

트래 단 는 1-2 단계 시간 경과 후 비 IP 리스트 개수가 계

값에 미 지 못 경우, 시스 공 보에 여 업 트 는 C&C 블랙리스트 매 여

트래 여 단 는 1-3 단계 포 는 것 특징 , 1-3 단계가, " Dst IP/Port”

“C&C IP/Port” 매 는 1-4 단계 " 청 도 에 답 IP” “DNS 싱 IP” 매

는 1-5 단계 포 도 다.

욱 람직 게는, 2 단계 후에, 상 수집 트래 보(Domain, Dst_IP/Port) 수신 여 시 [0016]

그에 시 는 4 단계, 상 시 그 에 트래 보 주 어

Domain Dst_IP/Port 별 사도 고, 탐지 트래 는 5 단계, 5 단계에

탐지 트래 고 C&C 후, 마 트래 는 6 단계, 6

단계에 트래 아 탐지 IRC Channel에 근 는 비리스트 여

결과 그에 는 7 단계 6 단계 7 단계에 결과 여 그 리 에게

는 8 단계 포 도 다.

, 5 단계는, 주 시 그 Domain 보 어 각 Domain별 청 스 IP들[0017]

매트릭스에 는 5-1 단계 시간 경과 후 상 매트릭스 여 Domain 사도

고 비 IP 리스트 생 는 5-2 단계 포 고, 주 시 그 Dst_IP/Port 보

어 각 IP/Port 과 매 는 킷 스 IP들 매트릭스에 는 5-3 단계

시간 경과 후 상 매트릭스 여 Dst_IP/Port 사도 고 비 IP 리스트 생 는 5-4

단계 포 도 다.

편, 1 단계에 수집 트래 보가 Domain 트래 경우 포맷 , 헤 에 상 트래[0018]

생시간 Time 드 포 고, C&C 드에, C&C DNS 쿼리 도 C&C Domain

드 C&C DNS 쿼리에 답 IP C&C IP 드 포 고, 비리스트 드에, 견

등록특허 10-1045556

- 7 -

비 개체수 Count 드, 처 비 생시 마지막 비 생 지 시간 간 Time Window 드

비 IP 리스트 비 IP 리스트 포 고, 상 C&C 드 값 DNS 통신 트래

수집 고 수집 상 포트 가 53 포트가 도 다.

또 , 1 단계에 수집 는 트래 IP/Port 트래 경우 포맷 , 헤 에 상 트래[0019]

생시간 Time 드 포 고, C&C 드에, C&C IP C&C IP 드 포트

C&C Port 드 포 고, 비리스트 드에, 견 비 개체수 Count 드, 처 비

생 마지막 비 생 지 시간 간 Time Window 드 비 IP 리스트 비 IP 리스

트 드 포 고, 상 C&C 드 값 C&C 간 객체 없 통신 는 트래 직

통신 트래 수집 고, 수집 상 포트 가 든 포트가 도 다.

과

상 , 본 에 트워 IRC 탐지 IP/Port 트래 에 여 [0020]

매 듈에 신규 고, 에 여 그 에 라 여 시

지 에 과 탐지 고 듈 빠 게 식 수

도 다.

실시 체 내

에 는, 첨 도 참 여 본 , 특징 람직 실시 에 여 상 도 [0021]

다.

도 1 본 에 탐지 시스 도 다. 트래 보 수집 IRC 탐지 여[0022]

앙집 특 가지는 트래 포맷 달 고, 과 통 스타 폴 지 는

앙집 트워 견 , 매 듈에 여 별 후 각 재 다.

매 듈 견 앙집 트래 는 트워 가 미 탐지 과 매 는지 여

체 다. 매 듈에 신규 별 경우 듈(BOA) 견 비들

가 트래 트래 보 수집 청 다.

체 , 매 듈 앙집 라 언트 IP 리스트 사 식별 견 [0023]

앙집 트래 매 수 다.

, 매 듈 탐지 보들과 매 여 앙집 가 C&C 보 같지 않고[0024]

라 언트 IP 리스트 또 비리스트 사 지 않 신규 규 여 여 탐

지 다. 듈(BOA) 탐지 신규 비들 생시 는 가 트래 수집

수 도 트래 보 수집 에게 청 여 후 니 링 고 다.

편, 앙집 가 C&C 보 같거나 라 언트 IP 리스트가 비리스트 사[0025]

경우 매 듈 규 는 , 매 결과 후 듈(BBA)

빠 게 식 수 도 여 매 듈 가지 (A, B, C)에 여 고 래그

여 도 다. 각 에 래그는 같다.

- A 래그( ): 앙집 가 C&C 보 지만 라 언트 IP 리스트가 [0026]

비리스트 차 보 는 경우

- B 래그(C&C 재 에그 다운 드 ): 앙집 가 C&C 보 고 라 언[0027]

트 IP 리스트도 비리스트 사 경우

- C 래그(C&C 주 타 주 ): 앙집 가 C&C 보 다 지만 라 언[0028]

트 IP 리스트가 비리스트 사 경우

상 같 , 앙집 트래 (DNS 청 Domain, 앙집 IP/Port 보) 니 링 여 탐지[0029]

에 여 듈(BOA) 트래 보 수집 에게 가 트래 청 고,

달 트래 듈(BBA) 다양 들 재 다. IRC Channel

듈(BOA) 다시 달 어 단 도 다. 앙집

트래 A/B/C 가지 그룹 들 트래 다시 각 체 들

등록특허 10-1045556

- 8 -

다.

도 2는 본 에 트래 듈(TC) 블럭 도 다. 도 1에 도시 같 , 본 에 트[0030]

래 듈(TC) , , 수집/ 리 책 듈, 트래 수집 리 듈, 매 듈 VDNS 체

듈 포 다.

는 다 트래 보 수집 달 는 트래 만 수신 , 신 담당 는 들 IP[0031]

에 트 리스트 벽 능 공 다.

수집/ 리 책 듈 리 시스 달 는 책 여 상태값 고, /보[0032]

안 리 시스 실시간 보안 트 참고 여 탐지 시스 신 수 도 리 책에

다. 라 , 알 지지 않 신 에 빠 게 여 시스 들 공 보 비

리스트 포량과 계없 C&C 블랙리스트 매 가능 도 수 다.

트래 수집 리 듈 앙집 특 가지는 트래 , 공동 단 에 연결 어 스타 [0033]

폴 지 는 본 트래 수집 니 링 다. 는 IRC 탐지 본 수집트래

매 듈에 여 별 게 다. 또 , 트래 수집 리 듈 가

청 트래 ( 듈 트래 청에 트래 ) 수집 , 듈

신 IRC (Channel 보 등) 수 도 다. 경우 가 청 트래

미 탐지 들 가운 다시 샘 링 , 듈 트래 청 에

여만 수집 도 다. 또 , 트래 수집 리 듈 시스 보안 리 책 공 보 리 책에

여 견 새 운 사 에 비 여 청 특 트래 달 수도

다.

매 듈 트래 수집 리 듈에 수집 트래 IP/Port 트래 경우 과 비[0034]

여 또는 신 다. , 매 듈 트래 수집 리 듈에 수집

트래 에 여 신 사 트래 탐지 다. 체 , 탐지 보들과 매 여

앙집 가 C&C 보 다 IP리스트가 비리스트 다 경우 탐지 여

신 시지 에 다. 지만, 상 트래 또 재 수 없 므 후

(BOA) 듈에 재 가 루어 야 신 단계에 생 트래 지 진

단 도 다. 다 , 매 듈 탐지 업 수 다. 체 탐지

보들과 매 여, 앙집 가 C&C 보 같거나 IP 리스트가 비

리스트 사 경우 탐지 여 시지 에 다. 매 듈 시지 시

가지(A/B/C) 결과 래그 비트 시 여 후 (BBA) 듈 빠 게 식 도

다. 가지 결과 래그 상 같다.

VDNS 체 듈 트래 수집 리 듈에 수집 트래 Domain 트래 경우 VDNS(Virtual[0035]

DNS) 여 체 다. VDNS는 공격 가 운 는 DNS Dynamic DNS 지 않고

도 C&C 도 IP 쉽게 변경 수 다. 청 는 도 상 DNS 쿼리시에는 리

지 않는 경우가 많 므 , VDNS 체 듈 상 DNS 블과 매 여 VDNS 여 체 고 새 탐지

VDNS 쿼리 보 시지 에 여 듈 듈 참고 수 도

다.

도 3 트래 듈 트래 과 도시 도 다. 도 2에 도시 같 , 트래 듈[0036]

트래 과 수집 리 시 , 매 시 , VDNS 체 시 루어진다.

1. 수집 리 시[0037]

트래 보 수집 수집 트래 트래 수집/ 리 책에 라 가 링[0038]

후, 트래 수집 리 듈 상 수집/ 리 책에 라 앙 집 특 가지는 트래 수

집 다(ST100 내지 ST120).

후 트래 수집 리 듈 C&C 비리스트 탐지시스 청 트래 다. C&C 비리스트[0039]

는 동 C&C 연결 청 비들 IP 나타내고, 탐지시스 청 트래

듈에 청 신규 에 트래 C&C 통신 컨 보 나타낸다.

C&C 비리스트는 매 여 시간동안 동 C&C 는 비 IP 리스트들[0040]

등록특허 10-1045556

- 9 -

가 열거 다(ST130). 시간 후 열거 IP 리스트 개수가 계값 과 매

수 다(ST140). 편, IP 리스트 개수가 계값에 미 지 못 경우에도, 시스 공 보에 여

업 트 는 C&C 블랙리스트 매 여 트래 라 단 에도 다 단계 매 수

다(ST150). , “ Dst IP/Port” “C&C IP/Port” 매 는 , C&C IP/Port 블랙리스

트는 시스 공 보에 여 업 트 , C&C 도 블랙리스트 업 트는 지 않다.

또 , “ 청 도 에 답 IP” “DNS 싱 IP” 매 는 , DNS 싱 IP 리스트는 시스[0041]

공 보가 아니고 탐지 시스 사 에 보 고 어야 는 고 리스트 다. 체 , 1)

시스 에 단 C&C 도 여, 2) 타 ISP들과 보 공 고, 3) 든 ISP가

당 도 에 DNS 싱 후, 4) 당 도 청 는 트래 수집( ) , 5) 당

청 도 답 IP가 싱 IP 비 단 다. ST130 내지 ST150 든 경우에 어 결

트래 여 별 수 없다 당 트래 처리 다. 상 같 트래 보 수집 에

수집 는 여러 트래 들 규 포맷 태 지 동 C&C 비 IP 리스트

업 트 다.

2. 매 시[0042]

상 같 , 매 듈 IP/Port 트래 에 여 앙집 보 C&C 보[0043]

비 고, 라 언트 IP 리스트 비리스트 비 여, 수집 트래 에 여 신 ,

(A 래그), C&C 재 에그 다운 드(B 래그), C&C 주 타 주

(C 래그)들 여 각 시지 에 다(ST160 내지 ST180).

3. VDNS 체 시[0044]

VDNS 체 듈 Domain 트래 에 여 수집/ 리 책에 여 VDNS 여 체 여 새 운 도[0045]

쿼리 보 시지 에 다(ST190).

도 4는 본 에 트래 듈 각 듈과 듈 듈 간[0046]

동 시 스 나타낸 도 다.

트래 보 수집 트래 수집 리 듈에 수집 트래 매 듈에 신규 /[0047]

어 시지 에 듈에 달 다. 편, 수집 트래 도

청 경우 VDNS 체 듈에 VDNS 체 수 고, 신규 VDNS 청 도 경우 역시 시지 에

듈에 달 다. 듈 신규 트래 (신규 ) 신규 VDNS 청 도

에 여 보 청 여 샘 링 신규 비 IP 리스트 다.

트래 보 수집 트래 수집 리 듈 계 트래 수집 , 에 당 는[0048]

트래 매 듈에 어 시지 에 고 듈 듈

에 달 다. 또 , 수집 트래 도 청 고 VDNS 체 듈에 신규 VDNS 청 도 단

경우 시지 에 듈 듈에 달 다. 편, 트래 보 수

집 트래 수집 리 듈에 수집 트래 듈에 청 트래 ,

보 경우 매 듈 VDNS 체 듈 스 여 시지 에 고 IRC Channel 보가

듈 달 다.

도 5는 본 에 듈 도 다. 또 , 도 6 본 에 듈[0049]

각 듈 동 시 스 나타낸 도 다. 도 5 도 6 참 여 본 에 듈

각 듈 동 에 여 같다.

시 그는 트래 수집 리 듈 트래 보(Domain, Dst_IP/Port) 수신 여[0050]

다. 편, 미 IP 리스트 그는 C&C 탐지 듈에 상 트래

Domain IP/Port 등 고 그 결과 결과 그에 다.

C&C 탐지 듈 시 그 에 트래 보 주 어 Domain [0051]

Dst_IP/Port 별 사도 다. , Domain 사도 , 주 시 그 Domain

보 어 각 Domain 별 청 스 IP들 매트릭스에 후 특 시간 지난 후 매트릭스 여

사도 여 비 IP 리스트 생 다. 다 , Dst_IP/Port 사도 , 주 시

그 Dst_IP/Port 보 어 각 IP/Port 과 매 는 킷 스 IP들 매트릭스에

등록특허 10-1045556

- 10 -

후 특 시간 지난 후 매트릭스 여 사도 여 비 IP 리스트 생 다. 편,

(커맨드) 트래 보 수집 샘 링 트래 보 아 각 들

(커맨드) , 과 에 탐지 트래 C&C 듈 다.

C&C 듈 C&C 탐지 듈에 탐지 트래 아 C&C 고, 마[0052]

트래 다시 비리스트 듈 다.

비리스트 듈 C&C 듈에 트래 아 탐지 IRC Channel에 근 는[0053]

비리스트 여 결과 그에 다.

트 트리거는 각 듈에 결과 여 그 리 에게 고, 결과에 후 [0054]

책에 사 트리거 시지 생 여 트 트리거에 다.

도 7 트래 보 수집 탐지 시스 시스 간 수신 도 다.[0055]

도 7에 도시 같 , 트래 보 수집 달 는 수집 트래 는 앙집 트래 [0056]

Class O-1(Domain 트래 )과 Class 0-2(IP/Port 트래 ) 포 고, 트래

Class B-1 내지 6 포 다. 또 , 탐지 시스 , 체 듈 달 는

트래 수집 청 는 수집 상 비리스트 달 는 Class R 다. 또 , 탐지 시스

시스 달 는 탐지 결과 는, 단계 탐지 결과 Class O-1,

단계 심 만 비 상 트래 탐지 결과 Class O-2, 그리고 결과 Class B-1

내지 8 포 다.

도 8 트래 수집 리 듈에 수집 트래 보 포맷 나타낸 도 다. 트래 수집[0057]

리 듈에 여 감지 앙집 트래 본 가공 포맷 나 C&C 보

에 는 비들 IP 열거 는 식 생 다.

, Domain 트래 경우, 헤 에는 Time(트래 생시간) 고, 앙집 ( C&C [0058]

) 드에는 C&C Domain(C&C DNS 쿼리 도 )과 C&C IP( 답 IP)가 ,

스트( 비리스트) 드에는 Count( 견 Src 개체수), Time Window(처 비 생 마지막 비

생 지 시간 간) 비 IP 리스트( 비들 IP 리스트)가 다. , 앙집

드 값 C&C 직 통신 트래 아닌 DNS 통신 트래 수집 , 수집 상 포트

는 53 포트 다.

다 , IP/Port 트래 경우, 헤 에는 역시 Time(트래 생시간) 고, 앙집 ([0059]

C&C ) 드에는 C&C IP(C&C IP) C&C Port( 포트 )가 , 스트(

비리스트) 드에는 Count( 견 Src 개체수), Time Window(처 비 생 마지막 비 생 지

시간 간) 비 IP 리스트( 비들 IP 리스트)가 다. , 앙집 드 값

C&C 직 통신 트래 수집 , 수집 상 포트 는 든 포트가 다.

라 , 트래 수집 리 듈 본 수집 상 트래 포맷 , 청 Domain 리스트[0060]

(DNS 트래 는 보) 는 DNS 청 도 (C&C Domain), DNS 답 IP 주 (C&C IP),

열거 비수(Count), 처 비 생 마지막 비 생 지 시간 간(Time Window) DNS 에

동 도 청 비들 IP 리스트( 비 IP 리스트) 수집 고, Dst IP/Port 리스트(

트래 는 보) 는 앙집 트래 C&C IP 주 (C&C IP), 앙집 트래

C&C Port (C&C Port), 열거 비수(Count), 처 비 생 마지막 비

생 지 시간 간(Time Window) 동 IP 주 Port 비 IP 리스트( 비 IP 리스트)

수집 게 다.

도 9는 탐지 시스 에 탐지 보 포맷 나타낸 도 다. 본 에 [0061]

탐지 시스 새 탐지 에 여 도 9 같 포맷 가공 여 또는 시스 에 달

다. 도 9에 탐지는 수 상 비들에 여 견 트래 나타내고, 비 상 수

라 언트들에 여 견 앙집 트래 나타낸다.

, 탐지 보(Class O-1)는 헤 에 local ID(탐지시스 식 지역 ID )[0062]

Time( 트래 생 시간) 포 고, C&C 드에 Type( (IRC)), Domain(DNS

쿼리 생시 C&C 도 ), IP(C&C IP), Port(C&C 포트 ) Locator(C&C 내

등록특허 10-1045556

- 11 -

시 (Channel )) 포 고, 비리스트 드에 Count( 비 개체수) Zombie IP List(

든 비들 IP 리스트) 포 고, 결과 드에 Similarity( 탐지 척도

는 사도 값) 포 다.

또 , 비 상 보(Class O-2)는 본 Class O-1 포맷과 동 , 다만 ID [0063]

는 므 local ID 드가 다. 는 비 상 보 경우 트래 보 동

가 없 다.

본 람직 실시 가 특 어들 사 여 술 어 지만, 그러 술 지 [0064]

것 , 다 청 술 사상 탈 지 않고 여러가지 변경 변 가 가 질 수

는 것 어 야 다.

도 간단

도 1 본 에 탐지 시스 도 다.[0065]

도 2는 본 에 트래 듈 도 다.[0066]

도 3 본 에 트래 듈 트래 과 도시 도 다.[0067]

도 4는 본 에 트래 듈 각 듈과 듈 듈 간[0068]

동 시 스 나타낸 도 다.

도 5는 본 에 듈 도 다.[0069]

도 6 본 에 듈 각 듈 동 시 스 나타낸 도 다.[0070]

도 7 트래 보 수집 탐지 시스 시스 간 수신 도 다.[0071]

도 8 트래 수집 리 듈에 수집 트래 보 포맷 나타낸 도 다.[0072]

도 9는 탐지 시스 에 탐지 보 포맷 나타낸 도 다.[0073]

도

도 1

등록특허 10-1045556

- 12 -

도 2

도 3

등록특허 10-1045556

- 13 -

도 4

도 5

등록특허 10-1045556

- 14 -

도 6

도 7

도 8

도 9

등록특허 10-1045556

- 15 -