KR20150026187A - 드로퍼 판별을 위한 시스템 및 방법 - Google Patents
드로퍼 판별을 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR20150026187A KR20150026187A KR20130104664A KR20130104664A KR20150026187A KR 20150026187 A KR20150026187 A KR 20150026187A KR 20130104664 A KR20130104664 A KR 20130104664A KR 20130104664 A KR20130104664 A KR 20130104664A KR 20150026187 A KR20150026187 A KR 20150026187A
- Authority
- KR
- South Korea
- Prior art keywords
- url
- dropper
- domain
- malicious code
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 208000015181 infectious disease Diseases 0.000 claims abstract description 28
- 230000000903 blocking effect Effects 0.000 claims description 31
- 238000007689 inspection Methods 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 드로퍼 판별을 위한 시스템 및 방법에 관한 것으로서, 내부 망으로부터 외부 망으로 향하는 DNS 쿼리 트래픽으로부터 URL을 획득하고, 상기 획득된 URL의 해쉬값을 해쉬 테이블에 저장된 해쉬값들과 비교하여 일치율을 구하며, 상기 구해진 일치율이 기 설정된 기준치 이상인 경우, 상기 URL이 악성코드 배포지라고 판단하고, 도메인 쿼리 정보를 분석 서버로 전송하는 보안 관리 장치, 상기 보안 관리 장치로부터 전송된 도메인 쿼리 정보에 기초하여 상기 URL의 파일을 획득하고, 상기 획득된 파일에 대해 악성 코드 검사를 수행하여 감염 여부 검사 결과를 상기 보안 관리 장치로 전송하는 분석 서버를 포함한다.
Description
본 발명은 드로퍼 판별을 위한 시스템 및 방법에 관한 것으로, 보다 상세하게는 DNS(domain name system) 쿼리 트래픽의 URL 및 파일의 해쉬값을 해쉬 테이블에 저장된 해쉬값들과 비교하여 일치율을 구하고, 구해진 일치율이 기 설정된 기준치 이상인 경우, URL을 드로퍼로 판별하는 드로퍼 판별을 위한 시스템 및 방법에 관한 것이다.
최근 급증하고 있는 인터넷의 사용에 따라 통신망을 통해 악성 소프트웨어나 악성코드의 감염 경로가 다양해지고, 이로 인한 피해가 매년 증가하고 있다. 악성코드, 이른바 봇(bot)이란 로봇(robot)의 줄임말로서, 봇에 감염된 시스템을 조종할 수 있는 악성 프로그램을 의미한다.
이러한 악성코드는 봇넷(botnet)이라는 네트워크를 이루어 공격자, 즉 봇 마스터(bot master)의 명령에 의해 정보 수집, 스팸 메일 발송, 피싱, 악성코드 배포, DDoS (Distributed Denial of Service) 공격을 비롯하여 다양한 형태의 공격을 수행한다. 봇넷은 인터넷 사용자뿐만 아니라, 라우터, DNS(domain name system) 서버 등의 네트워크 인프라에도 악영향을 끼치게 된다.
인터넷 사용자의 단말들이 악성코드에 감염되는 경로를 살펴보면, 먼저 봇 마스터는 많은 사람들이 사용하는 프로그램의 업데이트 서버나 웹사이트를 해킹하여 악성코드를 심어 놓는다. 그 후, 사용자가 상기 웹사이트에 접속하거나 상기 프로그램을 실행하면서 업데이트를 수행하면, 사용자의 시스템에 악성코드가 설치되게 된다. 계속해서, 사용자의 시스템에 설치된 봇 에이전트(bot agent)가 봇 마스터의 명령 및 제어(command-and-control, C&C) 서버에 접속하면, 봇 마스터는 상기 시스템에 대한 제어권을 획득하게 된다. 따라서 봇 마스터는 제어권을 획득한 시스템에 대한 명령 수행을 통해, 취약점 공격 등 각종 악성 행위를 수행할 수 있다.
악성코드 탐지 기술이 발달하고, 탐지된 악성코드에 관한 정보가 배포되고 있으나, 이는 아직 악성코드에 감염되지 않은 시스템은 보호하지만, 악성코드에 이미 감염된 시스템을 봇 마스터의 악의적인 명령으로부터 보호하기는 힘들었다. 이를 위해 종래에는 C&C 서버가 주로 IP 형태로 운영되었다는 점을 이용하여 C&C 서버로의 접속을 차단하는 방식을 이용하였다. 그러나 현재 C&C 서버는 서버 차단을 회피하기 위해 도메인(domain) 형태로 운영되고 있으며, DNS의 TTL (time to live) 값을 짧게 설정하고, 네임서버의 IP를 지속적으로 변경함으로써, 보안장비의 URL 차단 및 IP 차단 기능을 회피하고 있다.
따라서 이러한 악성코드 감염에 의한 피해 확산을 방지하기 위해서는 C&C 서버로의 접속을 차단하여 이후 발생할 수 있는 악의적인 행위를 막기 위한 기술이 요구된다.
본 발명의 목적은 DNS 쿼리 트래픽 중 악성코드 배포지 서버의 도메인이 있을 경우, 쿼리를 차단함으로써, 보안 관리 장치를 우회하는 접속을 차단할 수 있는 보안 서비스를 제공하는 드로퍼 판별을 위한 시스템 및 방법을 제공하는데 있다.
상술한 과제를 해결하기 위한 본 발명의 일 측면에 따르면, 내부 망으로부터 외부 망으로 향하는 DNS 쿼리 트래픽으로부터 URL을 획득하고, 상기 획득된 URL의 해쉬값을 해쉬 테이블에 저장된 해쉬값들과 비교하여 일치율을 구하며, 상기 구해진 일치율이 기 설정된 기준치 이상인 경우, 상기 URL이 악성코드 배포지라고 판단하고, 도메인 쿼리 정보를 분석 서버로 전송하는 보안 관리 장치, 상기 보안 관리 장치로부터 전송된 도메인 쿼리 정보에 기초하여 상기 URL의 파일을 획득하고, 상기 획득된 파일에 대해 악성 코드 검사를 수행하여 감염 여부 검사 결과를 상기 보안 관리 장치로 전송하는 분석 서버를 포함하는 드로퍼 판별을 위한 시스템이 제공된다.
상기 감염 여부 검사 결과는 검사 날짜, 도메인명, 감염 여부, 악성코드 종류 중 적어도 하나를 포함할 수 있다.
본 발명의 다른 측면에 따르면, 악성 코드를 배포하는 사이트들에 대한 URL 및 파일의 해쉬값들이 저장된 해쉬 테이블 저장부, 내부 망으로부터 외부 망으로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출하고, 상기 추출된 DNS 쿼리 트래픽으로부터 URL을 획득하는 URL 추출부, 상기 URL 추출부에서 획득된 URL 및 파일을 해쉬값으로 변환하고, 상기 URL 및 해쉬값을 상기 해쉬 테이블 저장부에 저장된 URL 및 해쉬값들과 비교하며, 그 비교결과를 근거로 드로퍼 여부를 판단하는 드로퍼 판단부, 상기 드로퍼 판단부에서 드로퍼로 판단된 도메인 쿼리 정보를 분석 서버로 전송하고, 상기 분석 서버로부터 도메인 쿼리에 대한 감염 여부 검사 결과를 수신하는 검사 요청 처리부를 포함하는 보안 관리 장치가 제공된다.
상기 드로퍼 판단부는 상기 URL 및 해쉬값들의 비교결과 일치율이 기준치 이상인 경우 상기 URL을 드로퍼라고 판단하고, 기준치 이상이 아닌 경우 정상 URL이라고 판단할 수 있다.
상기 검사 요청 처리부는 드로퍼로 판단된 URL에 대한 상세 정보가 요청된 경우, 상기 분석 서버 또는 내부에 구비된 드로퍼 데이터베이스에 URL을 쿼리하여 상세 정보를 획득할 수 있다.
상기 보안 관리 장치는 상기 검사 요청 처리부가 수신한 감염 여부 검사 결과를 차단 정책에 적용하는 차단 정책부를 더 포함할 수 있다.
본 발명의 또 다른 측면에 따르면, 악성 코드를 배포하는 사이트들에 대한 정보가 저장된 드로퍼 데이터베이스, 보안 관리 장치로부터 도메인 쿼리 정보가 수신된 경우, 상기 도메인 쿼리 정보에 포함된 도메인이 상기 드로퍼 데이터베이스에 차단 대상 도메인으로 등록된 도메인인지의 여부를 이용하여 악성코드 감염 여부를 검사하거나, 상기 도메인 쿼리 정보에 포함된 URL의 파일로부터 악성코드를 검출하여 악성 코드 감염 여부를 검사하는 검사부, 상기 검사부의 검사 결과 드로퍼로 판단된 도메인 또는 URL을 상기 드로퍼 데이터베이스에 등록하고, 드로퍼 데이터베이스에 업데이트된 해쉬값 테이블을 통신망을 통해 연결된 모든 보안 관리 장치로 전송하는 등록부를 포함하는 분석 서버가 제공된다.
상기 감염 여부 검사 결과는 검사 날짜, 도메인명, 감염 여부, 악성코드 종류 중 적어도 하나를 포함할 수 있다.
본 발명의 또 다른 측면에 따르면, 보안 관리 장치가 드로퍼를 판별하기 위한 방법에 있어서, 내부 망으로부터 외부 망으로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출하고, 상기 추출된 DNS 쿼리 트래픽으로부터 URL을 획득하는 단계, 상기 획득된 URL 및 파일을 해쉬값으로 변환하고, 상기 URL 및 해쉬값을 해쉬 테이블 저장부에 저장된 URL 및 해쉬값들과 비교하는 단계, 상기 비교 결과 일치율이 기준치 이상인 경우 상기 URL을 드로퍼라고 판단하고, 기준치 이상이 아닌 경우 정상 URL이라고 판단하는 단계를 포함하는 하는 것을 특징으로 드로퍼 판별을 위한 방법이 제공된다.
상기 드로퍼 판별을 위한 방법은 드로퍼로 판단된 도메인 쿼리 정보를 분석 서버로 전송하고, 상기 분석 서버로부터 도메인 쿼리에 대한 감염 여부 검사 결과를 수신하는 단계, 상기 수신된 감염 여부 검사 결과를 차단 정책에 적용하는 단계를 더 포함할 수 있다.
본 발명에 따르면, DNS 쿼리 트래픽 중 악성코드 배포지 서버의 도메인이 있을 경우, 쿼리를 차단함으로써, 보안 관리 장치를 우회하는 접속을 차단할 수 있는 보안 서비스를 제공할 수 있다.
또한, 시스템 내의 모든 보안 관리 장치가 악성코드 검사 대상을 수집하고, 이로부터 악성코드 및 악성도메인을 탐지 및 배포함으로써 신속하고 일체화된 보안 서비스를 제공할 수 있다.
또한, 악성코드뿐만 아니라 악성도메인을 검출 및 배포함으로써, 보안관리 장치가 악성코드에 의한 악의적인 행위를 원천적으로 차단할 수 있게 한다.
도 1은 본 발명의 실시예에 따른 드로퍼 판별을 위한 시스템을 나타낸 도면.
도 2는 본 발명의 실시예에 따른 보안 관리 장치의 구성을 개략적으로 나타낸 블럭도.
도 3은 본 발명의 실시예에 따른 분석 서버의 구성을 개략적으로 나타낸 블럭도.
도 4는 본 발명의 실시예에 따른 드로퍼 판별을 위한 방법을 나타낸 도면.
도 5는 본 발명의 실시예에 다른 드로퍼 검사 결과 화면을 나타낸 예시도.
도 2는 본 발명의 실시예에 따른 보안 관리 장치의 구성을 개략적으로 나타낸 블럭도.
도 3은 본 발명의 실시예에 따른 분석 서버의 구성을 개략적으로 나타낸 블럭도.
도 4는 본 발명의 실시예에 따른 드로퍼 판별을 위한 방법을 나타낸 도면.
도 5는 본 발명의 실시예에 다른 드로퍼 검사 결과 화면을 나타낸 예시도.
본 발명의 전술한 목적과 기술적 구성 및 그에 따른 작용 효과에 관한 자세한 사항은 본 발명의 명세서에 첨부된 도면에 의거한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.
도 1은 본 발명의 실시예에 따른 드로퍼 판별을 위한 시스템을 나타낸 도면이다.
도 1을 참조하면, 드로퍼(dropper) 판별을 위한 시스템은 내부망(100)에 존재하는 적어도 하나 이상의 사용자 단말(110), 백본 스위치(120), 보안 관리 장치(130), 각 내부망(100)에 각각 존재하는 보안 관리 장치(130)와 통신망을 통해 연결된 분석 서버(200)를 포함한다. 여기에서는 하나의 내부망(100)만을 도시하였으나, 복수 개의 내부망(100)이 통신망을 통해 분석서버(200)와 연결될 수 있다.
사용자 단말(110)은 인터넷을 사용하는 모든 단말을 포함하며, 이중 공격자 단말에 의해 드로퍼(dropper)가 설치된 사용자 단말(110)을 좀비 단말이라고 한다. 여기서, 드로퍼는 단말 사용자가 인지하지 못하는 순간에 바이러스 혹은 악성코드에 감염된 프로그램을 사용자의 컴퓨터에 설치(install)하는 프로그램을 말한다. 드로퍼는 자기 자신을 복제하는 기능은 없지만 컴퓨터 바이러스를 전파시킬 수 있는 위험이 있어 반드시 제거해야 한다. 좀비 단말은 드로퍼를 통해 받은 IP 주소를 이용하여 공격 대상 장치에 이상 트래픽을 보냄으로써 디도스 공격을 하게 된다.
보안 관리 장치(130)는 사용자 단말(110)이 DNS 쿼리시 백본 스위치(120)의 포트를 감시하여 접속하고자 하는 URL을 획득하고, 획득된 URL의 해쉬값을 해쉬 테이블에 저장된 해쉬값들과 비교하여 일치율을 구한다. 그런 후, 보안 관리 장치(130)는 구해진 일치율이 기준치 이상인 경우, 그 URL이 악성코드 배포지(드로퍼)라고 판단하고, 그 URL(도메인)이 악성 코드에 의해 감염된 상태인지를 재확인하기 위해 도메인 쿼리 정보를 분석 서버(200)로 전송한다.
즉, 보안 관리 장치(130)는 내부 망(100)으로부터 외부 망으로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출하고, 추출된 DNS 쿼리 트래픽으로부터 접속하고자하는 URL을 획득한다. 여기서 DNS 쿼리 트래픽은 특정 도메인으로 접속하기 위해 도메인의 IP 주소를 DNS 서버에 질의하기 위한 트래픽으로서, 예를 들어, DNS 쿼리 트래픽은 프로토콜이 UDP이고, 목적지 포트가 53번인 트래픽일 수 있다. 보안 관리 장치(130)는 획득된 URL을 해쉬처리하여 해쉬값으로 변환하고, 그 해쉬값을 해쉬 테이블에 저장된 해쉬값들과 비교하여, 일치율이 기준치 이상인 경우, 악성 코드 배포지라고 판단한다.
보안 관리 장치(130)는 악성 도메인으로의 접속을 차단하기 위해, 악성코드가 포함된 악성 도메인을 검출한다. 즉, 악성코드에 감염된 사용자 단말(110)에 설치된 드로퍼는 다운로드 서버에 접속하기 위해 악성코드 내에 존재하는 다운로드 서버의 도메인 명칭을 DNS 서버로 전송하여 다운로드 서버의 주소를 DNS에게 질의하게 된다. 이에 응답하여 DNS 서버가 다운로드 서버의 IP 주소 등을 전송하면, 드로퍼는 이를 이용하여 다운로드 서버로 접속하게 되고, 드로퍼는 악성코드에 감염된 사용자 단말(110)에 대한 제어권을 획득하게 된다. 이를 이용하여, 보안 관리 장치(130)는 악성코드에 의해 발생되는 DNS 쿼리 트래픽으로부터 접속하고자 하는 URL을 획득하고, 획득된 URL이 악성 도메인에 해당하는지 여부를 판단할 수 있다.
이러한 보안 관리 장치(130)에 대한 상세한 설명은 도 2를 참조하기로 한다.
분석 서버(200)는 보안 관리 장치(130)로부터 전송된 도메인 쿼리 정보를 근거로 해당 파일을 가상머신에서 실행하여 해당 도메인의 감염 여부 검사 결과를 리포팅한다. 이때, 분석 서버(200)는 도메인 쿼리를 가상머신에서 실행함으로써, 도메인 쿼리에 의한 네트워크 행위를 기록할 수 있다. 여기서, 감염 여부 검사 결과는 검사 날짜, 도메인명, 감염 여부, 악성코드 종류 등을 포함할 수 있다.
즉, 분석 서버(200)는 보안 관리 장치(130)로부터 전송된 도메인 쿼리에 관한 정보에 기초하여 파일을 획득하고, 획득된 파일에 대해 악성 코드 검사를 수행하며, 악성 코드 감염 여부에 대한 감염 여부 검사 결과를 보안 관리 장치(130)로 전송하게 된다.
분석 서버(200)는 감염 여부 검사 결과를 악성코드를 차단하기 위해 이용하는 차단 정책에 반영하고, 차단 정책에 적용되는 차단 대상 URL 정보를 보안 관리 장치(130)에 전송한다. 여기서, 차단 정책은 악성코드, 차단 대상 도메인, 차단 대상 URL 등에 관한 정보를 포함할 수 있다.
내부 망(100)으로부터 외부 망으로 향하는 DNS 쿼리 트래픽에 관한 정보를 적어도 하나의 보안 관리 장치(130)를 활용하여 신속하게 수집할 수 있으며, 하나의 분석 서버(200)가 이와 같이 수집된 도메인에 대한 악성코드 검사를 수행한 후, 그 결과를 모든 보안 관리 장치(130)에 전송함으로써, 신속하게 악성코드를 탐지하고, 탐지된 악성코드를 모든 보안 관리 장치(130)에서 차단되게 하는 신속하고 일체화된 보안 서비스를 제공할 수 있다.
이러한 분석 서버(200)에 대한 상세한 설명은 도 3을 참조하기로 한다.
도 2는 본 발명의 실시예에 따른 보안 관리 장치의 구성을 개략적으로 나타낸 블럭도이다.
도 2를 참조하면, 보안 관리 장치(130)는 해쉬 테이블 저장부(132), URL 추출부(134), 드로퍼 판단부(136), 검사 요청 처리부(138), 차단 정책부(140)를 포함한다.
해쉬 테이블 저장부(132)에는 악성 코드를 배포(드로퍼)하는 사이트들에 대한 URL 및 파일의 해쉬값들이 저장되어 있다.
URL 추출부(134)는 내부 망으로부터 외부 망으로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출하고, 추출된 DNS 쿼리 트래픽으로부터 접속하고자하는 URL을 획득한다.
드로퍼 판단부(136)는 URL 추출부(134)에서 획득된 URL 및 파일을 해쉬값으로 변환하고, 그 URL 및 해쉬값을 해쉬 테이블 저장부(132)에 저장된 URL 및 해쉬값들과 비교하며, 그 비교결과를 근거로 드로퍼(악성코드 배포지) 여부를 판단한다. 즉, 드로퍼 판단부(136)는 URL 및 해쉬값들의 비교결과 일치율이 기준치 이상인 경우 드로퍼라고 판단하고, 기준치 이상이 아닌 경우 정상 URL이라고 판단한다. 이처럼 드로퍼 판단부(136)는 URL 추출부(134)에서 추출된 수많은 URL을 실시간으로 검사하기 위하여 차단 정책 데이터베이스(미도시)를 쿼리하지 않고, 해쉬 테이블에 감염 사이트에 대한 URL 정보만을 담아서 검색 속도를 높일 수 있다.
검사 요청 처리부(138)는 드로퍼 판단부(136)에서 드로퍼로 판단된 도메인 쿼리 정보를 분석 서버로 전송한다. 즉, 검사 요청 처리부(138)는 드로퍼로 판단된 도메인이 악성코드에 감염되어 있는지의 여부를 재확인하기 위해 도메인 쿼리 정보를 분석 서버로 전송한다.
검사 요청 처리부(138)는 감염된 사이트에 대한 상세 정보가 요청된 경우, 분석 서버에 저장된 드로퍼 데이터베이스에 url을 쿼리하여 정보를 획득할 수 있다.
여기에서는 드로퍼 데이터베이스가 보안 관리 장치 외부에 구비된 것으로 설명하였으나, 드로퍼 데이터베이스는 보안 관리 장치 내부에 구비할 수도 있다. 이 경우, 검사 요청 처리부(138)는 감염된 사이트에 대한 상세 정보가 요청된 경우, 구비된 드로퍼 데이터베이스에 url을 쿼리하여 상세 정보를 획득할 수 있다.
검사 요청 처리부(138)는 분석 서버로부터 도메인 쿼리에 대한 감염여부 검사 결과를 수신한다.
차단 정책부(140)는 검사 요청 처리부(138)가 수신한 감염 여부 검사 결과를 차단 정책에 적용할 수 있다. 예를 들어, 차단 정책부(140)는 악성코드로 판명된 파일의 URL을 URL 차단 정책에 적용할 수 있고, 악성코드 차단목록에 포함된 파일의 식별값을 파일 차단 정책에 적용할 수 있으며, 악성도메인에 관한 정보를 도메인 차단 정책에 적용하여 악성도메인에 관한 DNS 쿼리를 차단할 수 있다.
도 3은 본 발명의 실시예에 따른 분석 서버의 구성을 개략적으로 나타낸 블럭도이다.
도 3을 참조하면, 분석 서버(200)는 드로퍼 데이터베이스(210), 검사부(220), 등록부(230)를 포함한다.
드로퍼 데이터베이스(210)에는 악성 코드를 배포하는 해킹된 사이트에 대한 정보가 저장되어 있다. 즉, 드로퍼 데이터베이스(210)에는 악성 코드를 배포(드로퍼)하는 사이트들에 대한 URL 및 파일, 그 URL 및 파일의 해쉬값, 도메인명, 악성코드 등에 대한 정보가 저장되어 있다.
드로퍼 데이터베이스(210)에는 해킹된 서버, 다운로드 서버, C&C 서버와 같이 차단 대상 도메인 목록, 차단 대상 IP 주소 목록, 비정상 프로세스 목록 등을 포함하는 차단 정책이 저장되어 있다.
검사부(220)는 보안관리 장치로부터 도메인 쿼리 정보가 수신된 경우, 도메인 쿼리 정보에 포함된 도메인이 악성코드에 감염되어 있는지의 여부를 검사한다. 즉, 검사부(220)는 도메인 쿼리 정보에 포함된 도메인이 드로퍼 데이터베이스(210)에 차단 대상 도메인으로 등록된 도메인인지의 여부를 판단한다. 그 판단결과 차단 대상 도메인인 경우, 검사부(220)는 해당 도메인을 드로퍼라고 판단하고, 검사 결과를 보안 관리 장치 또는 관리자 단말로 전송한다. 여기서 검사 결과는 도메인명, 감염여부, 악성코드 종류, 상태 등을 포함할 수 있다.
또한, 검사부(220)는 도메인 쿼리 정보에 포함된 URL에서 파일을 다운로드하여 악성 코드 검사를 수행하기 위한 파일을 획득하고, 획득된 파일로부터 악성코드를 검출할 수 있다. 이때, 검사부(220)는 파일의 속성 및 행위를 분석하고, 그 분석결과를 악성코드가 갖는 특징과 비교하여 악성 코드를 검출할 수 있다.
검사부(220)는 감염 여부 검사 결과를 통신망을 통해 연결된 모든 보안 관리 장치로 전송한다. 이때, 검사부(220)는 주기적 또는 비주기적으로 감염 여부 검사 결과를 전송할 수 있다.
등록부(230)는 검사부(220)의 검사 결과 드로퍼로 판단된 도메인을 드로퍼 데이터베이스에 등록하고, 드로퍼 데이터베이스(210)에 업데이트된 해쉬값 테이블을 통신망을 통해 연결된 모든 보안 관리 장치로 전송한다. 즉, 악성 코드 검사를 수행한 도메인 정보가 드로퍼 데이터베이스(210)에 존재하지 않은 경우, 이는 악성코드 검사가 수행된 적이 없는 신규 도메인임을 의미하는 것으로, 등록부(230)는 해당 도메인 정보를 드로퍼 데이터베이스(210)에 추가함으로써 드로퍼 데이터베이스(210)를 업데이트할 수 있다.
도 4는 본 발명의 실시예에 따른 드로퍼 판별을 위한 방법을 나타낸 도면, 도 5는 본 발명의 실시예에 다른 드로퍼 검사 결과 화면을 나타낸 예시도이다.
도 4를 참조하면, 보안 관리 장치는 내부 망으로부터 외부 망으로 향하는 DNS 쿼리 트래픽으로부터 접속하고자 하는 URL을 추출한다(S402). 즉, 보안 관리 장치는 사용자 단말이 DNS 쿼리 시, DNS 쿼리 트래픽으로부터 접속하고자하는 URL을 추출한다.
그런 후, 보안 관리 장치는 추출된 URL 및 파일을 해쉬 처리하여 URL 및 파일의 해쉬값을 생성하고(S404), 생성된 URL 및 파일의 해쉬값을 해쉬 테이블에 저장된 URL 및 해쉬값들과 비교하여 일치율을 구한다(S406).
보안 관리 장치는 구해진 일치율이 기 설정된 기준치 이상인지의 여부를 판단한다(S408).
단계 S408의 판단결과 일치율이 기준치 이상이면, 보안 관리 장치는 도메인 쿼리 정보를 분석 서버로 전송한다(S410). 즉, 해쉬값 일치율이 기준치 이상이면, 보안 관리 장치는 해당 URL이 악성코드 배포지(드로퍼)일 가능성이 높다고 판단하여, 드로퍼 여부를 재확인하기 위하여 도메인 쿼리 정보를 분석 서버로 전송한다.
분석 서버는 보안관리 장치로부터 전송된 도메인을 가상머신에서 실행하고(S412), 감염 여부 검사 결과를 리포팅한다(S414). 이때, 분석 서버는 도 5와 같이 검사 결과 화면을 리포팅할 수 있다. 검사 결과 화면에는 날짜, 도메인, 감염여부, 악성코드 종류, 상태 등이 표시될 수 있다.
이러한 드로퍼 판별을 위한 방법은 프로그램으로 작성 가능하며, 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 드로퍼 판별을 위한 방법에 관한 프로그램은 전자장치가 읽을 수 있는 정보저장매체(Readable Media)에 저장되고, 전자장치에 의하여 읽혀지고 실행될 수 있다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
110 : 사용자 단말 120 : 백본 스위치
130 : 보안 관리 장치 132 : 해쉬 테이블 저장부
134 : URL 추출부 136 : 드로퍼 판단부
138 : 검사 요청 처리부 140 : 차단 정책부
200 : 분석 서버 210 : 드로퍼 DB
220 : 검사부 230 : 등록부
130 : 보안 관리 장치 132 : 해쉬 테이블 저장부
134 : URL 추출부 136 : 드로퍼 판단부
138 : 검사 요청 처리부 140 : 차단 정책부
200 : 분석 서버 210 : 드로퍼 DB
220 : 검사부 230 : 등록부
Claims (10)
- 내부 망으로부터 외부 망으로 향하는 DNS(domain name system) 쿼리 트래픽으로부터 URL을 획득하고, 상기 획득된 URL(Uniform Resource Locator) 및 해쉬값을 해쉬 테이블에 저장된 해쉬값들과 비교하여 일치율을 구하며, 상기 구해진 일치율이 기 설정된 기준치 이상인 경우, 상기 URL이 악성코드 배포지라고 판단하고, 도메인 쿼리 정보를 분석 서버로 전송하는 보안 관리 장치; 및
상기 보안 관리 장치로부터 전송된 도메인 쿼리 정보에 기초하여 상기 URL의 파일을 획득하고, 상기 획득된 파일에 대해 악성 코드 검사를 수행하여 감염 여부 검사 결과를 상기 보안 관리 장치로 전송하는 분석 서버;
를 포함하는 드로퍼 판별을 위한 시스템.
- 제1항에 있어서,
상기 감염 여부 검사 결과는 검사 날짜, 도메인명, 감염 여부, 악성코드 종류 중 적어도 하나를 포함하는 것을 특징으로 하는 드로퍼 판별을 위한 시스템.
- 악성 코드를 배포하는 사이트들에 대한 URL 및 파일의 해쉬값들이 저장된 해쉬 테이블 저장부;
내부 망으로부터 외부 망으로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출하고, 상기 추출된 DNS 쿼리 트래픽으로부터 URL을 획득하는 URL 추출부;
상기 URL 추출부에서 획득된 URL 및 파일을 해쉬값으로 변환하고, 상기 URL 및 해쉬값을 상기 해쉬 테이블 저장부에 저장된 URL 및 해쉬값들과 비교하며, 그 비교결과를 근거로 드로퍼 여부를 판단하는 드로퍼 판단부; 및
상기 드로퍼 판단부에서 드로퍼로 판단된 도메인 쿼리 정보를 분석 서버로 전송하고, 상기 분석 서버로부터 도메인 쿼리에 대한 감염 여부 검사 결과를 수신하는 검사 요청 처리부;
를 포함하는 보안 관리 장치.
- 제3항에 있어서,
상기 드로퍼 판단부는 상기 URL 및 해쉬값들의 비교결과 일치율이 기준치 이상인 경우 상기 URL을 드로퍼라고 판단하고, 기준치 이상이 아닌 경우 정상 URL이라고 판단하는 것을 특징으로 하는 보안 관리 장치.
- 제3항에 있어서,
상기 검사 요청 처리부는 드로퍼로 판단된 URL에 대한 상세 정보가 요청된 경우, 상기 분석 서버 또는 내부에 구비된 드로퍼 데이터베이스에 URL을 쿼리하여 상세 정보를 획득하는 것을 특징으로 하는 보안 관리 장치.
- 제3항에 있어서,
상기 검사 요청 처리부가 수신한 감염 여부 검사 결과를 차단 정책에 적용하는 차단 정책부를 더 포함하는 보안 관리 장치.
- 악성 코드를 배포하는 사이트들에 대한 정보가 저장된 드로퍼 데이터베이스;
보안 관리 장치로부터 도메인 쿼리 정보가 수신된 경우, 상기 도메인 쿼리 정보에 포함된 도메인이 상기 드로퍼 데이터베이스에 차단 대상 도메인으로 등록된 도메인인지의 여부를 이용하여 악성코드 감염 여부를 검사하거나, 상기 도메인 쿼리 정보에 포함된 URL의 파일로부터 악성코드를 검출하여 악성 코드 감염 여부를 검사하는 검사부; 및
상기 검사부의 검사 결과 드로퍼로 판단된 도메인 또는 URL을 상기 드로퍼 데이터베이스에 등록하고, 드로퍼 데이터베이스에 업데이트된 해쉬값 테이블을 통신망을 통해 연결된 모든 보안 관리 장치로 전송하는 등록부;
를 포함하는 분석 서버.
- 제7항에 있어서,
상기 감염 여부 검사 결과는 검사 날짜, 도메인명, 감염 여부, 악성코드 종류 중 적어도 하나를 포함하는 것을 특징으로 하는 분석 서버.
- 보안 관리 장치가 드로퍼를 판별하기 위한 방법에 있어서,
내부 망으로부터 외부 망으로 향하는 트래픽 중 DNS 쿼리 트래픽을 추출하고, 상기 추출된 DNS 쿼리 트래픽으로부터 URL을 획득하는 단계;
상기 획득된 URL 및 파일을 해쉬값으로 변환하고, 상기 URL 및 해쉬값을 해쉬 테이블 저장부에 저장된 URL 및 해쉬값들과 비교하는 단계; 및
상기 비교 결과 일치율이 기준치 이상인 경우 상기 URL을 드로퍼라고 판단하고, 기준치 이상이 아닌 경우 정상 URL이라고 판단하는 단계;
를 포함하는 하는 것을 특징으로 드로퍼 판별을 위한 방법.
- 제9항에 있어서,
드로퍼로 판단된 도메인 쿼리 정보를 분석 서버로 전송하고, 상기 분석 서버로부터 도메인 쿼리에 대한 감염 여부 검사 결과를 수신하는 단계;
상기 수신된 감염 여부 검사 결과를 차단 정책에 적용하는 단계;를 더 포함하는 드로퍼 판별을 위한 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130104664A KR20150026187A (ko) | 2013-09-02 | 2013-09-02 | 드로퍼 판별을 위한 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130104664A KR20150026187A (ko) | 2013-09-02 | 2013-09-02 | 드로퍼 판별을 위한 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20150026187A true KR20150026187A (ko) | 2015-03-11 |
Family
ID=53022240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20130104664A Ceased KR20150026187A (ko) | 2013-09-02 | 2013-09-02 | 드로퍼 판별을 위한 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20150026187A (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180060124A (ko) * | 2016-11-28 | 2018-06-07 | (주) 세인트 시큐리티 | 도메인 네임 서버를 이용한 악성 코드 정보 조회 방법 |
| CN114301696A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
| KR20220076926A (ko) * | 2020-12-01 | 2022-06-08 | 주식회사 카카오 | 전자메일의 유해성을 판단하는 방법 및 시스템 |
-
2013
- 2013-09-02 KR KR20130104664A patent/KR20150026187A/ko not_active Ceased
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180060124A (ko) * | 2016-11-28 | 2018-06-07 | (주) 세인트 시큐리티 | 도메인 네임 서버를 이용한 악성 코드 정보 조회 방법 |
| KR20220076926A (ko) * | 2020-12-01 | 2022-06-08 | 주식회사 카카오 | 전자메일의 유해성을 판단하는 방법 및 시스템 |
| CN114301696A (zh) * | 2021-12-30 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
| CN114301696B (zh) * | 2021-12-30 | 2023-12-01 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US8839442B2 (en) | System and method for enabling remote registry service security audits | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US20160366159A1 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| US20200045073A1 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| EP3264720A1 (en) | Using dns communications to filter domain names | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| KR101951730B1 (ko) | 지능형 지속위협 환경에서의 통합 보안 시스템 | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN112422486B (zh) | 一种基于sdk的安全防护方法及设备 | |
| JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
| KR20100074480A (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
| JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
| JP5345500B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
| CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| KR20130105769A (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20130902 |
|
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20140627 Patent event code: PE09021S01D |
|
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20150127 Patent event code: PE09021S01D |
|
| PG1501 | Laying open of application | ||
| E601 | Decision to refuse application | ||
| PE0601 | Decision on rejection of patent |
Patent event date: 20150830 Comment text: Decision to Refuse Application Patent event code: PE06012S01D Patent event date: 20150127 Comment text: Notification of reason for refusal Patent event code: PE06011S01I Patent event date: 20140627 Comment text: Notification of reason for refusal Patent event code: PE06011S01I |