P2P 봇 특징 및 탐지 방법에 관한 연구

Abstract

최근 발생하는 DDoS 공격이나 스팸발송과 같은 악성 행위는 실제 공격 목표에 치명적인 영향을 미치지는 않지만 가용성을 저해하여 QoS를 낮춘다. 그 결과 서비스를 제공하는 업체에서는 서비스 불가로 인해 경제 적인 피해를 입고 있으며, 계속되는 악성행위를 완화하기 위해 방화벽, IDS, IPS나 스팸 분류 기술 또한 많이 연구되어 왔지만, 완화기술이 발전함과 동시에 악성행위 역시 이를 우회하는 방향으로 발전하고 있다. 결국, 봇넷이란 형태의 새로운 악성 네트워크가 생겨났으며, 이러한 봇넷은 정상적인 다수의 사용자 호스트를 이용하기 때문에 그 탐지가 매우 어렵 다.

초기의 중앙 집중형 방식의 IRC, HTTP 봇넷의 경우 C&C 트래픽의 패턴이 가진 특징으로 일반 트래픽으로부터 봇넷의 트래픽을 구분하는 것이 가능하였다. 하지만, 봇넷은 이러한 탐지를 우회하기 위한 P2P와 같은 분산형 방식의 봇넷으로 진화하였다. 이러한 구조적 차이점으로 인해 중앙 집중형 방식 봇넷 탐지 방법으로는 분산형 방식의 봇넷의 탐지가 어려워 졌다.

본 연구에서는 P2P 봇넷의 대표적인 스톰웜 트래픽의 특징을 분석하여, P2P 봇 탐지 방법을 연구·실험 하였다. 이 방법은 스톰웜의 트래픽이 주기적으로 바이너리에 미리 입력된 IP 주소로 계속적인 패킷을 발생하는 특징을 이용하였으며, 이를 탐지하기 위하여 악성행위 탐지에 많이 사용되는 Entropy를 이용하였고, Entropy의 단점을 보완하기 위하여 패킷의 반복성을 탐지하기 위해 Duplication Ratio를 이용하였다. 이 두 단계 탐지 방법을 통하여 Entropy에서 발생하는 False Positive를 감소시켜 효율적인 P2P 봇 탐지 방법을 제안하였다.