Earticle

현재 위치 Home

SDN 구조기반 악성봇 및 APT 대응 알고리즘 연구
Research on SDN-based Malicious Bot & APT Response System

첫 페이지 보기
  • 발행기관
    한국융합보안학회 바로가기
  • 간행물
    융합보안논문지 KCI 등재 바로가기
  • 통권
    제21권 제5호 (2021.12)바로가기
  • 페이지
    pp.87-95
  • 저자
    신교석, 강정호, 조재규, 류연승
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A406733

※ 기관로그인 시 무료 이용이 가능합니다.

4,000원

원문정보

초록

영어
SDN (Software Defined Networks) is a network structure that enables centralized management and control using software applications to overcome the problems of closure and complexity of existing network technologies. By pro viding programming-based network services, it may be possible to effectively respond to cyber threats such as malicious bots and APT at the network level. In this paper, we propose a method to neutralize the cyber attack stage by blocking the 'command and control (C&C)' connection even if it is infected b y malicious bots and APT based on the SDN structure. The proposed technique uses DNS sinkholes to identify/block the IPs of hosts infected with malicious bots and APT that attempt to connect to the C& C server, and blocks the connection with the C&C server by returning the result of retransmitting the t raffic from the internal host that queries the external DNS to bypass DNS sinkhole. In addition, it is po ssible to block direct access by IP method rather than a domain name, and to identify and block access to unidentified new C&C server domains. The performance of the proposed technique was verified throu gh experiments, and it was confirmed that it is possible to effectively respond to malicious bots and AP T threats.
한국어
SDN(Software Defined Networks)은 기존 네트워크 기술의 폐쇄성과 복잡성의 문제를 극복하기 위하여 소프트웨어 애플리케이션을 사용한 중앙집중적 관리와 제어를 할 수 있는 네트워크 구조이다. 프로그래밍 기반의 네트워크 서비스 를 제공함으로써 악성봇 및 APT와 같은 사이버위협에 대해 네트워크 수준에서의 효과적인 대응을 할 수 있다. 본 논 문에서는 SDN 구조기반에서 악성봇 및 APT의 감염이 되더라도 '명령 및 제어(C&C)' 연결을 차단함으로써 사이버 공 격단계를 더 이상 진행되지 못하도록 대응하여 무력화시키는 방식을 제안하고자 한다. 제안하는 기법은 DNS 싱크홀을 활용하여 C&C서버로의 연결을 시도하는 악성봇 및 APT에 감염된 호스트의 IP를 식별/차단하고, DNS 싱크홀을 우회 하여 외부 DNS로 질의하는 내부 호스트의 트래픽을 DNS 싱크홀 재전송하여 그 결과값으로 C&C서버와의 연결을 차 단한다. 또한, 도메인이 아닌 IP 방식의 직접 접속을 차단하고, 식별되지 않은 신규 C&C서버 도메인으로의 접근을 식 별하고 차단할 수 있다. 제안한 기법의 성능은 실험을 통하여 검증하였으며, 악성봇 및 APT 위협에 효과적인 대응이 가능한 것으로 확인되었다.

목차

요약
ABSTRACT
1. 서론
2. 관련 연구
2.1 봇넷 C&C 구조 및 통신 특성
2.2 APT 공격 분석
2.3 DSN 싱크홀
2.4 SDN
3. 시스템 구조 및 알고리즘
3.1 악성봇/APT 대응 개선 필요성
3.2 시스템 구성
4. 실험 및 성능 검증
4.1 실험환경
4.2 성능 검증
4.3 선행연구와 비교
참고문헌

키워드

SDN Malicious Bot APT DNS sinkhole C&C Server Security

저자

  • 신교석 [ Kyo Seok Shin | 명지대학교 보안경영공학학과 박사과정 ] 주저자
  • 강정호 [ Jung Ho Kang | 아주대학교 공학박사 ] 공동저자
  • 조재규 [ Jae Kyu Cho | 서울대학교 컴퓨터공학과 박사 ] 공동저자
  • 류연승 [ Yeon Seung Ryu | 명지대학교 보안경영공학과 교수 ] 교신저자

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국융합보안학회 [Korea Information Assurance Society]
  • 설립연도
    2001
  • 분야
    공학>전자/정보통신공학
  • 소개
    본 학회는 사이버테러 및 정보전에 관한 학문연구ㆍ기술 개발ㆍ기반 구축을 도모하고 국내ㆍ외 관계기관과 학술교류와 정보교환을 통하여 회원 상호간의 전문지식을 배양하고, 궁극적으로는 국가 중요 정보기반구조를 보호함을 그 목적으로 한다.

간행물

  • 간행물명
    융합보안논문지 [Jouranl of Information and Security]
  • 간기
    연5회
  • pISSN
    1598-7329
  • 수록기간
    2001~2026
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 005 DDC 005

이 권호 내 다른 논문 / 융합보안논문지 제21권 제5호

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      출처 : 네이버학술정보

        0개의 논문이 장바구니에 담겼습니다.

        페이지 저장
        소속기관 조회
        이용자님의 소속기관(단체)이 서비스에 가입되어 있는지 확인해 보십시오.
        기관회원에 소속되어 있는 이용자는 원문을 무료로 이용할 수 있습니다.