Since the Domain Name System (DNS) is a widely used in the Internet, attackers often attempt to leverage domain names to launch a variety of cyber-attacks, including phishing, pharming, hosting C&C, and malware distribution. In order to detect such malicious domains, it is important to investigate the characteristics of them. However, most previous studies have focused on analyzing high-level behaviors of DNS traffic and dataset from specific wide areas. Such method makes it difficult to express the behavioral pattern of the clients with common interests, because only sampled data (e.g. .com server data) is used rather than DNS queries captured with in an enterprise network. Therefore, it is crucial to understand how a community of interest accesses malicious domains. In this study, we perform a multifaceted analysis of DNS queries in a real enterprise network, where we have collected DNS data. Our approach has two main parts. First, we show if the features of malicious domains revealed from the previous studies are still valid. Second, we analyze malicious domain access patterns based on our data. Through revealing interesting phenomena and trends of malicious domain behavior, we can provide some helpful clues in detecting malicious domains.

현대사회에서 인터넷은 빼놓을 수 없는 요소이다. 이러한 인터넷을 좀더 편리하게 사용하기 위 해서 사용되는 도메인 네임 시스템(Domain Name System, DNS)이란 사람이 기억하기 쉽게 문자로 만들어진 도메인을 컴퓨터가 처리 가능한 숫자로 바꾸는 시스템이다. 이러한 DNS는 긍정적인 기 능에 상반되게 악의적인 목적으로도 많이 사용되고 있다. 예를 들면, 공격자들은 피싱(phishing) 사 이트나 파밍 공격(pharming attack), 봇넷 조종(botnet control), 그리고 악성코드 전파 등의 목적으로 악성 도메인을 만들어 사용한다. 따라서, 이러한 공격을 사전에 탐지하기 위해서는, 악성 도메인 의 특성을 고찰하는 것이 매우 중요하다. 그러나 대부분의 이전 분석들은 일반적으로 완전한 한 엔터프라이즈 네트워크의 DNS 쿼리가 아닌, 샘플 데이터를 사용하기 때문에 특정 사용자 집단의 행동패턴을 제대로 표현하기가 어려웠다. 즉, 다양한 사용자 DNS 쿼리를 분석한 것은 맞지만, 불 특정 다수이기 때문에 같은 관심사를 가진 사용자에 대한 분석이 아니라는 제한점을 가지고 있었 다. 따라서, 공통의 관심사를 가지고 있는 사람들로 구성된 네트워크 내에서 어떻게 악성 도메인 에 접근하는지를 이해하는 것이 필요한 것이다. 본 연구에서는, 실제 엔터프라이즈 네트워크 내에 서 평균 140억개의 DNS 데이터를 수집하여, 해당 쿼리를 다각적으로 분석하였다. 우리의 분석방법은 크게 두 가지로 구분할 수 있다. 첫째, 우리는 수집한 데이터를 사용하여, 악성도메인의 특성에 대해 분석한 이전 연구들에서 제시한 악성 도메인의 특성을 재 검증 하였다. 그 결과, 악성 도메인 특성의 유사성 또는 차이점을 발견할 수 있었다. 둘째, 우리는 악성 도메인 에 접속하는 사용자의 접속 패턴 분석을 통해서, 1초 이내에 다양한 도메인에 반복적으로 접속하 는 패턴 및 사용자의 접속 패턴에 주기성이 있다는 사실을 발견할 수 있었다. 이와 같이, 사용자 의 악성 도메인 접속 패턴과 악성 도메인의 특성에 대한 이해를 통해서, 우리는 악성 도메인을 탐지하는데 도움이 될 수 있는 몇 가지 현상을 발견할 수 있었으며, 이러한 현상에 대한 깊은 이 해는 향후 악성 행위 탐지를 위해 매우 유용할 것이라 판단하였다.