서지주요정보
트래픽 분석을 이용한 HTTP 기반 봇 탐지 = HTTP-based bot detection based on traffic analysis
서명 / 저자 트래픽 분석을 이용한 HTTP 기반 봇 탐지 = HTTP-based bot detection based on traffic analysis / 허선동.
저자명 허선동 ; Heo, Seon-Dong
발행사항 [대전 : 한국과학기술원, 2011].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8022848

소장위치/청구기호

학술문화관(문화관) 보존서고

MCS 11049

SMS전송

도서상태

이용가능

대출가능

반납예정일

초록정보

In today, there are many kinds of malicious software which threaten security. Especially, bot is the one of the most serious security threats. Botnet, a network made up of bots, can be used in various ways, e.g., DDoS attack, spam, and steal personal information. Botnet must create and maintain a command and control (C&C) channel to do above activities. Botnets use existing common protocols, e.g. IRC, HTTP for C&C channel. Detection of botnet becomes a challenging problem, because recent bots don’t use specific port or protocol. In this paper, we propose a detection scheme that uses traffic analysis to identify HTTP-based bot in an end host without any prior knowledge about bot. Our detection scheme based on the observation that, because of the pre-programmed activities related to C&C, bot’s traffic pattern will be different from normal user. For example, normal user does not query same web page every 5 minutes, but bot will do. We evaluated my scheme using real-world network traffics captured on end host. The result shows that our scheme can detect HTTP-based bot.

현대에는 다양한 종류의 악성 소프트웨어가 보안을 위협하고 있다. 특히 봇은 가장 심각한 피해를 입히고 있다. 봇넷은 봇으로 구성된 네트워크로써, DDoS 공격이나 스팸 메일 발송, 개인 정보 유출 등 다양한 공격에 이용되고 있다. 봇넷이 위와 같은 행동을 하려면 반드시 command and control(C&C) 채널을 구축하고 유지해야 한다. 이러한 C&C 채널에는 IRC, HTTP 프로토콜 등이 사용되고 있다. 최근의 봇들이 특정 포트나 프로토콜을 사용하지 않고 이러한 일반적인 프로토콜을 사용하기 때문에 봇넷을 탐지하는 것은 어려운 문제가 되었다. 본 연구에서는 트래픽 분석을 통한 end-host에서의 HTTP 기반 봇 탐지 방법을 제안하고자 한다. 본 연구에서 제안한 탐지 방법은 봇의 트래픽 패턴이 일반적인 유저와 다르다는 점에 기반을 두고 있다. 가령 일반적인 유저는 5분마다 같은 웹 페이지를 서버에 요청하지 않을 것이다. 반면 봇의 경우는 정해진 방식대로 움직이기 때문에 5분마다 같은 웹 페이지를 요구하는 등 일반적인 유저와 다른 트래픽 패턴을 보인다. 성능 평가는 실제 네트워크 상의 트래픽을 수집하여 사용하였으며, 실험 결과 본 연구에서 제안한 탐지 방법으로 HTTP 기반 봇을 효과적으로 탐지해낼 수 있었다.

서지기타정보

서지기타정보
청구기호 {MCS 11049
형태사항 iv, 22 p. : 삽도 ; 26 cm
언어 한국어
일반주기 저자명의 영문표기 : Seon-Dong Heo
지도교수의 한글표기 : 윤현수
지도교수의 영문표기 : Hyun-Soo Yoon
학위논문 학위논문(석사) - 한국과학기술원 : 전산학과,
서지주기 참고문헌 수록
주제
봇넷
C&C 채널
트래픽 분석
bot
botnet
C&C channel
traffic analysis
QR CODE qr code