• Journal of Digital Convergence
• /
• v.19 no.9
• /
• pp.463-468
• /
• 2021

Although the IoT is showing explosive growth due to the development of technology and the spread of IoT devices and activation of services, serious security risks and financial damage are occurring due to the activities of various botnets. Therefore, it is important to accurately and quickly detect the activities of these botnets. As security in the IoT environment has characteristics that require operation with minimum processing performance and memory, in this paper, the minimum characteristics for detection are selected, and KNN (K-Nearest Neighbor), Naïve Bayes, Decision Tree, Random A comparative study was conducted on the performance of machine learning algorithms such as Forest to detect botnet activity. Experimental results using the Bot-IoT dataset showed that KNN can detect DDoS, DoS, and Reconnaissance attacks most effectively and efficiently among the applied machine learning algorithms.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.11a
• /
• pp.1122-1125
• /
• 2010

최근 봇넷은 금전적 이득을 원하는 범죄 집단에 의해 사이버 공격의 수단으로서 크게 확산되고 있다. 봇넷의 탐지는 이전부터 꾸준히 연구되었지만, 구성과 기능이 점차 진화되고 있는 봇넷을 탐지하기에는 큰 어려움이 따르고 있다. 봇넷의 탐지는 호스트 기반의 정적인 악성 코드 분석이나 네트워크 트래픽 분석등 어떠한 특정 시스템에 의존해서는 효율적인 탐지를 기대하기 어렵기 때문에 다양한 정보를 종합하여 탐지하여야 한다. 본 연구에서는 기존에 알려진 봇넷 정보와 악성 봇 바이너리 분석을 통해 알려진 정보와 네트워크 기반의 탐지 정보를 분석하여 전체적인 봇넷의 구성을 탐지할 수 있는 네트워크 기반의 경량 봇넷 탐지 시스템을 제안한다. 제안된 탐지 시스템은 대규모의 네트워크 환경에서도 단편적으로 알려진 봇넷의 부분 정보를 기반으로 전체적인 봇넷의 구성을 탐지할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.11a
• /
• pp.607-608
• /
• 2009

최근 7.7 DDoS 대란과 폭발적인 SPAM 발송과 같은 다양한 봇넷의 악성행위는 정보 시스템에 막대한 악영향을 미친다. 특히, 봇넷의 구조적 특징인 좀비PC의 제어는 네트워크 환경에서는 다양한 악성 행위를 유발한다. 때문에, 봇넷 탐지와 관련한 다양한 연구가 시도되었지만, 탐지의 한계점을 지니고 있다. 즉, 기존의 봇넷 탐지 방법은 임의의 임계값을 설정하고, 그 값을 벗어나는 시점에서 경고를 보내어 탐지하게 된다. 하지만, 전문가에 의한 임계값 설정은 자칫 오탐율과 미탐율을 야기할 수 있다. 따라서, 본 논문에서는 봇넷 탐지를 보다 능동적으로 하기 위하여 특정 타임 윈도우 구간동안의 봇넷이 유발하는 네트워크 트래픽을 분석하고 마르코프 체인을 응용한 학습을 하여 능동적으로 적용 가능한 임계값을 측정 방법론에 대하여 고찰하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.147-148
• /
• 2023

확장하는 디지털 인프라에 발맞추어 IoT 산업또한 점점 시장을 넓히고 있다. IoT 보안위협에 대한 대응준비는 아직 미흡하며 Mozi 봇넷 등 신규 IoT 봇넷의 등장과 증가하는 피해사례는 상황을 더욱 악화시키고 있다. 이에 본 논문에서는 Mozi 봇넷의 동작 원리를 기반으로 한 DHT 프로토콜의 흐름의 특징을 네트워크 로그에서 추출하고 이를 기계학습에 적용하는 탐지모델을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.11a
• /
• pp.1510-1512
• /
• 2008

사이버 공간에서 미래 최대 위협 중 하나로 인식되고 있는 봇넷의 공격이 점차 증가함에 따라, 봇넷 공격에 기반한 피해가 증가하고 있으며, 금전적인 피해 유발로 그 심각성이 점차 증대되고 있는 실정이다. 특히, 봇넷은 좀비 PC를 활용하는 측면에서 제 2차, 3차 피해가 우려되고 있다. 따라서 봇넷의 탐지를 1차적으로 끝나는 것이 아니라 지속적인 관찰과 관리를 통해 변종 봇넷을 탐지 하고 이에 기반한 악성행위를 탐지하는 것이 무엇보다도 중요하다. 따라서 본 논문에서는 이러한 봇넷을 능동적으로 탐지하기 위한 능동형 봇넷 탐지 및 관리를 위한 단계적 마이닝 프로세스를 제안하고 기존 탐지 알고리즘과의 비교 평가를 하여 향후 적용을 위한 고려사항들을 논의 하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.11a
• /
• pp.1517-1520
• /
• 2008

최근의 사이버 공격은 경쟁사에 대한 DDoS 공격과 기밀정보 유출, 일반 사용자들의 금융정보 유출, 광고성 스팸메일의 대량 발송 등 불법 행위를 대행해주고 경제적 이득을 취하려는 의도로 바뀌어 가고 있다. 그 중심에 있는 봇넷은 봇이라 불리는 감염된 호스트들의 네트워크 집단으로서 일련의 거의 모든 사이버 공격에 이용되고 있다. 이러한 봇넷은 수 많은 변종과 다양한 탐지 회피 기술로 그 세력을 확장해가고 있지만 마땅한 총괄적 대책은 미흡한 것이 현실이다. 이 논문에서는 날이 갈수록 위협을 더해가는 봇넷을 빠르게 탐지하고 대응하기 위해 ISP 사업자들 간, 혹은 국가 간에 걸친 사회 전반적인 협력을 통한 봇넷 탐지 및 관리 시스템 구조를 제안한다.

• Journal of Digital Convergence
• /
• v.12 no.1
• /
• pp.423-429
• /
• 2014

DDoS attacks is upgrade of DoS attacks. Botnet is being used by DDoS attack, so it is able to attack a millions of PCs at one time. DDoS attacks find the root the cause of the attack because it is hard to find sources for it, even after the treatment wavelength serious social problem in this study, the analysis and countermeasures for DDoS attack is presented.

• The Journal of the Institute of Internet, Broadcasting and Communication
• /
• v.15 no.1
• /
• pp.61-68
• /
• 2015

Recently, with increasing use of smartphones, the security threats also have increased rapidly. Especially, the compromised smartphone is very dangerous because it could be exploited in a DDOS attacks such as cyberterrorism as well as in the leakage of personal information. However, most bot detection mechanisms are still unsuitable for smartphone with its lower computing capability and limited battery capacity because they incur additional computational overheads or require pre-defined signatures. In this paper, we present an efficient bot detection mechanism in smartphones. Our mechanism detects effectively bots in outgoing traffic by using a correlation between user events and network traffic. We have implemented its prototype in Android smartphone and measured its performance. The evaluation results show that our mechanism provides low overhead to detect bots in smartphones.

• The Journal of the Korea institute of electronic communication sciences
• /
• v.8 no.12
• /
• pp.1849-1856
• /
• 2013

DOS attack, the short of Denial of Service attack is an internet intrusion technique which harasses service availability of legitimate users. To respond the DDoS attack, a lot of methods focusing attack source, target and intermediate network, have been proposed, but there have not been a clear solution. In this paper, we purpose the prevention of malicious activity and early detection of DDoS attack by detecting and removing the activity of botnets, or other malicious codes. For the purpose, the proposed method monitors the network traffic, especially DSN traffic, which is originated from botnets or malicious codes.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• v.8 no.5
• /
• pp.1801-1816
• /
• 2014

Because HTTP-related ports are allowed through firewalls, they are an obvious point for launching cyber attacks. In particular, malware uses HTTP protocols to communicate with their master servers. We call this an HTTP-based command and control (C&C) server. Most previous studies concentrated on the behavioral pattern of C&Cs. However, these approaches need a well-defined white list to reduce the false positive rate because there are many benign applications, such as automatic update checks and web refreshes, that have a periodic access pattern. In this paper, we focus on finding new discriminative features of HTTP-based C&Cs by analyzing HTTP activity sets. First, a C&C shows a few connections at a time (low density). Second, the content of a request or a response is changed frequently among consecutive C&Cs (high content variability). Based on these two features, we propose a novel C&C analysis mechanism that detects the HTTP-based C&C. The HAS-Analyzer can classify the HTTP-based C&C with an accuracy of more than 96% and a false positive rate of 1.3% without using any white list.