Domain Name Service provides the essential Internet service of mapping domain names and IP ad-dresses. This service is also notorious for its malicious uses such as maintaining Botnet’s communication channel or distributing malwares. To cope with these misuses, there have been considerable efforts put to reg-ister malicious domains in blacklist and block their activities. One of representative countermeasures is to detect malicious domain usages using passive DNS analysis. Most of passive DNS analysis approaches are powerful in determining the malicious use of an individual domain, yet lacking in finding the relation of do-mains when they are used for the same malicious purpose. This limitation makes them not only fail to root out attacks by missing one of related malicious domains, but also have a difficulty in analyzing the detected mali-cious domains. This thesis presents how to group related domains as clusters in passive DNS analysis, and classify malicious clusters and benign clusters using their distinguishing features. In the experiment with 1 month’s DNS traffic collected in a campus local DNS server, the presented system could group multiple do-mains involved in the same campaign, and detect malicious clusters with 89.78% of detection rate and 2.04% of false positive rate. In the deployment test, 500 malicious clusters were detected for 7 days which contain 702 domains that an existing domain rating service could not determine their maliciousness, even though they were grouped only with other malicious domains. Detected malicious clusters also helped to infer the up-to-date tactic of using malicious domains, proving its capability of post-detection analysis.

도메인 네임 시스템(DNS)은 인터넷을 이용하기 위해 필수적인 도메인과 IP주소를 연결하는 서비스를 제공하고 있는데, 봇넷의 통신채널 유지나 악성코드 유포처럼 이 서비스를 악성적인 목적으로도 이용하는 경우가 상당수 발견되고 있다. 도메인을 악성적으로 사용하지 못하도록 악성 도메인을 블랙리스트에 두고 차단하려는 노력이 많이 이루어져왔고, 그 중 대표적인 방법이 Passive DNS 분석 방법을 이용하여 과거에 도메인이 사용된 흔적을 바탕으로 악성 도메인을 찾는 것이다. 지금까지 제안된 대부분의 Passive DNS 분석 기반 악성 도메인 탐지 시스템은 개별적인 도메인의 악성 행위를 판단하는데 뛰어난 성능을 보였으나, 어떤 악성적인 목적을 위해 도메인이 집합적으로 사용될 경우 이들 도메인 간의 관계성을 파악하지 못하고 있다. 이런 한계점은 악성 도메인을 찾아내더라도 해당 도메인과 관계 있는 도메인이 무엇인지 알지 못함에 따라 잔존하는 악성 도메인을 마저 차단하지 못할 수 있고, 악성 도메인이 기존과 사용되는 방식을 바꿀 경우 이에 대한 분석 및 대응을 어렵게 하는 문제를 야기하고 있다. 본 논문은 도메인들을 질의한 사용자의 유사성에 따라 서로 연관 있는 도메인들을 클러스터로 묶고, 묶은 클러스터들 중 악성 클러스터와 정상 클러스터에 구별되게 나타나는 특징들을 이용하여 악성 클러스터를 분별하는 방법에 대해 제시한다. 아이디어를 검증하기 위해 캠퍼스 DNS 서버에서 약 1개월 간 수집한 데이터를 이용하여 실험한 결과 집합적으로 사용된 악성 도메인들을 캠페인 단위의 클러스터로 묶을 수 있었고, 생성된 클러스터 중 악성 클러스터를 89.78%의 탐지율과 2.04%의 오탐율로 식별할 수 있었다. 실제 배치 상황을 가정한 실험에서는 500개의 악성 클러스터를 탐지하였는데 이들은 702개의 기존 도메인 평가 시스템이 악성여부를 진단하지 못하는, 그러나 악성 도메인들과만 함께 클러스터로 묶였기 때문에 악성일 확률이 높은, 도메인들을 포함하고 있었다. 탐지한 클러스터들은 악성 도메인 사용의 최신 전략을 추리하는 것을 가능케 함으로 제안하는 시스템의 탐지 후 분석 능력을 입증하였다.