• The KIPS Transactions:PartC
• /
• v.18C no.3
• /
• pp.127-134
• /
• 2011

Malicious botnet has been used for more malicious activities, such as DDoS attacks, sending spam messages, steal personal information, etc. To prevent this, many studies have been preceded. But malicious botnets have evolved and evaded detection systems. In particular, HTTP GET Request attack that exploits the vulnerability of the application layer is used. ALAB of ALADDIN proposed by ETRI is DDoS attack detection system that HTTP GET, Incomplete GET request flooding attack detection algorithm is applied. In this paper, we extend Incomplete GET detection algorithm of ALAB and derive the optimal configuration parameters to verify the validity of the algorithm ALAB by the study of the normal and attack packets.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.21 no.3
• /
• pp.101-115
• /
• 2011

A botnet is a huge network of hacked zombie PCs. Recognizing the fact that the majority of email spam is sent out by botnets, a system that is capable of detecting botnets and zombie PCS will be designed in this study by analyzing email spam. In this study, spam data collected in "an email spam trail system", Korea's national spam collection system, were used for analysis. In this study, we classified the spam groups by the URLs or attached files, and we measured how much the group has the characteristics of botnet and how much the IPs have the characteristics of zombie PC. Through the simulation result in this study, we could extract 16,030 zombie suspected PCs for one hours and it was verified that email spam can provide considerably useful information in tracing zombie PCs.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.37B no.11
• /
• pp.1082-1089
• /
• 2012

Recent malicious attempts in Cyber space are intended to emerge national threats such as Suxnet as well as to get financial benefits through a large pool of comprised botnets. The evolved botnets use the Domain Name System(DNS) to communicate with the C&C server and zombies. DNS is one of the core and most important components of the Internet and DNS traffic are continually increased by the popular wireless Internet service. On the other hand, domain names are popular for malicious use. This paper studies on DNS-based cyber threats domain detection by data classification based on supervised learning. Furthermore, the developed cyber threats domain detection system using DNS traffic analysis provides collection, analysis, and normal/abnormal domain classification of huge amounts of DNS data.

• Review of KIISC
• /
• v.24 no.1
• /
• pp.39-44
• /
• 2014

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.362-365
• /
• 2015

DDoS 공격의 빈도와 규모가 계속 증가하고 있으며 그에 따른 피해와 파급도 커지고 있다. 최근 동향에서 봇넷을 이용한 패킷 플루딩 공격이 여전히 상위 공격순위를 차지하고 있다. 공격유형으로는 TCP SYN, UDP fragment 및 SSDP 플루딩 공격 등이 여전히 강세를 보이고 있다. 이러한 공격들은 source IP가 변조된 악의적인 패킷을 대량으로 발생시켜서 공격대상 네트워크 인프라를 마비시킨다. DDoS 공격 탐지를 위해서는 내부로 유입되는 초당 패킷수와 사용자와 서버간의 연결이 네트워크 플로우수의 변화를 관측하는 것이 필요하며 방어를 위해 트래픽 제어 기술이 필요하다. 이에 본 논문에서는 네트워크 서비스 분석 및 제어 기술인 DPI/QoS 솔루션을 이용한 플로우 기반의 DDoS 탐지 및 방어 시스템을 제안한다. 네트워크 모니터링과 제어를 위하여 사용하던 DPI/QoS 솔루션에 DDoS 탐지 및 방어기능을 추가함으로써 효율성 및 경제성에서 강점을 가질 것으로 기대한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.800-803
• /
• 2013

이메일을 기반으로 좀비PC 및 봇넷그룹을 탐지하는 알고리즘은 기존에 연구가 되었으나, 기존의 검증방식은 가상의 메일계정을 이용해 스팸메일을 수집하는 스팸트랩 시스템에서 추출한 이메일을 대상으로 하였다. 본 논문에서는 상용환경의 이메일을 대상으로 좀비PC를 탐지하고, 좀비PC를 이용한 추가 사이버 공격을 예방하기 위해 기존의 알고리즘을 보완하고, 이에 대한 좀비PC 탐지결과를 분석한다. 이를 통해, 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 대상으로 좀비IP를 탐지하여, 스팸메일을 차단하고 ISP와 연계하여 실제 조치를 유도할 수 있을 것으로 기대한다.

• Proceedings of the KAIS Fall Conference
• /
• 2010.05a
• /
• pp.214-217
• /
• 2010

DDoS(distributed denial of service)공격은 1990년 중반에 처음 나타나기 시작하여 1,2세대 네트워크 자체에 대한 트래픽 폭주형태의 공격에서부터 3세대 봇넷을 이용하여 특정 서버와 특정서비스를 마비시키기 위한 공격을 거쳐 4세대의 분산 형식의 C&C를 이용하는 공격의 유형으로 발전 하고 있다. DDoS공격은 점점 지능화 되고 있으며 기존의 IDS(Intrusion Detection System) 시스템을 이용한 탐지방법으로 공격을 탐지하기에는 어려움이 존재한다. 본 논문은 IDS시스템을 보다 더 지능화시키기 위한 논문으로 IDS는 내부시스템으로부터 쿼리를 넘겨받아 업데이트를 수행하고 업데이트를 수행함과 동시에 라우터에게 C&C서버로부터 나오는 패킷을 차단하도록 알려 준다. 즉, IDS에서 일어나는 False Negative문제를 줄여줌으로써 DDoS 공격에 대하여 Zombie시스템을 생성하지 못하도록 하고자 하는데 그 목적이 있으며 점점 지능화되어 가고 있는 DDoS공격에 대하여 차단을 하고자 하는 방향성을 제시하고 있다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.4
• /
• pp.807-816
• /
• 2015

During the last decade most of coordinated security breaches are performed by the means of botnets, which is a large overlay network of compromised computers being controlled by remote botmaster. Due to high volumes of traffic to be analyzed, the challenge is posed by managing tradeoff between system scalability and accuracy. We propose a novel Hadoop-based P2P botnet detection method solving the problem of scalability and having high accuracy. Moreover, our approach is characterized not to require labeled data and applicable to encrypted traffic as well.

• KIPS Transactions on Computer and Communication Systems
• /
• v.1 no.1
• /
• pp.55-60
• /
• 2012

Recent botnets are widely using the DNS services at the connection of C&C server in order to evade botnet's detection. It is necessary to study on DNS analysis in order to counteract anomaly-based technique using the DNS. This paper studies collection of DNS traffic for experimental data and supervised learning for DNS traffic-based malicious domain classification such as query of domain name corresponding to C&C server from zombies. Especially, this paper would aim to determine significant features of DNS-based classification system for malicious domain extraction by the Principal Component Analysis(PCA).

• KIPS Transactions on Computer and Communication Systems
• /
• v.4 no.4
• /
• pp.135-140
• /
• 2015

The WDSS improves defensive capacity against web application layer DDoS attack by using web cache server and L7 switch which are added on the DDoS shelter system. When web DDoS attack occurs, security agents divert traffic from backbone network to sub-network of the WDSS and then DDoS protection device and L7 switch block abnormal packets. In the meantime, web cache server responds only to requests of normal clients and maintains stable web service. In this way, the WDSS can counteract the web DDoS attack which generates small traffic and depletes server-client session resource. Furthermore, the WDSS does not require IP tunneling because it is not necessary to retransfer the normal requests to original web server. In this paper, we validate operation of the WDSS and verify defensive capability against web application layer DDoS attacks. In order to do this, we built the WDSS on backbone network of an ISP. And we performed web DDoS tests by using a testing system that consists of zombie PCs. The tests were performed by three types and various amounts of web DDoS attacks. Test results suggest that the WDSS can detect small traffic of the web DDoS attacks which do not have repeat flow whereas the formal DDoS shelter system cannot.