1. 개요

본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기
위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비
의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.



2. 배경 기술

최근에 인터넷서비스가 다양화됨에 따라 인터넷 사용률이 증가하고 있으며, 이에 따라 컴퓨터 바이러스
나 인터넷 웜과 등과 같은 악성코드들이 인터넷을 통해 널리 확산되어 사용자들에 많은 피해를 야기시키고
있다. 특히, 악성코드인 봇(bot)에 감염된 다수의 컴퓨터들이(이를 “봇넷”이라 함) 특정 웹서버로의 트래픽
을 폭증시켜 웹서버가 정상 기능을 수행하지 못하도록 방해하는 DDoS(Distributed Denial of Service:분산서비
스거부) 공격은 심각한 문제로 대두되고 있다.

봇에 감염된 컴퓨터는 컴퓨터 사용자의 의지에 상관없이 해커에 의해 조종당하여 악성행위를 수행하기
때문에 좀비 호스트라 불리운다. 이러한 봇의 감염을 막고 악성행위를 차단하기 위하여, 싱크홀 서버를 통하여
봇에 의한 악성행위를 차단하는 방법이 활용되고 있다.

기존의 싱크홀 서버를 이용한 악성행위 차단 방식은 좀비 호스트가 봇넷 제어 서버의 도메인에 대한 IP
를 얻기 위하여 DNS(Domain Name Service)서버에 질의할 때 싱크홀 서버의 IP를 응답해주도록 하여 향후 좀비
호스트의 트래픽이 싱크홀 서버로 향하도록 함으로써 악성 해위를 차단하는 방식이다. 그러나, 이와 같은 방식
은 알려진 봇넷 제어 서버의 도메인을 질의하는 좀비 호스트에만 국한되어 대응할 수 있다는 문제점이 있다.


3. 발명의 설명

특허명:좀비PC식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버및 방법
특허번호:10-1109669-0000

본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기
위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비
의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.

본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동
접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리
모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출
하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상
기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호
스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모
듈을 포함한다.





4. 응용 및 효과

본 발명에 따른 가상서버를 활용하여 웹 서버에 비정상으로 접속하는 좀비 호스트들을 식별하여 DDoS 공격을 유
발하는 봇넷의 규모를 실시간으로 분석할 수 있다. 각 가상서버에서 좀비로 식별된 트래픽은 DDoS 싱크홀 서버
로 유입되어 종합적인 관리가 가능하다. 또한, DDoS 좀비로 식별된 호스트 IP들은 다시 웹 서버의 방화벽 설정
으로 등록되어 공격을 신속하게 차단할 수 있다. 결과적으로, 통합적인 좀비 규모 산정과 분포 파악을 통하여
봇넷의 규모와 분포에 대한 정보를 습득할 수 있어 향후 해당 봇넷의 트래픽 흐름을 모니터링할 수 있는 관제기
술 측면에서의 네트워크 정보를 제공한다.


해당특허보기(클릭)

발명자: 노상균, 윤영태
대리인: 신영무