표제지
목차
약어표 11
논문요약 12
제1장 서론 14
제2장 관련 연구 17
제1절 DDoS 공격의 정의 17
1. DoS 공격 17
2. DDoS 공격 21
3. DRDoS 공격 22
제2절 좀비 PC의 정의 23
제3절 기존 보안관제시스템의 한계점 24
1. 기존 보안관제시스템의 정의 24
2. 침입탐지시스템의 분류 25
3. 기존 보안관제시스템의 한계점 26
제4절 좀비 PC 탐지시스템의 필요성 27
제3장 주요 DDoS 공격 분석 28
제1절 2009년 7.7 DDoS 공격 분석 28
1. 개요 28
2. 공격 흐름도 및 주요 파일들의 역할 28
제2절 2011년 3.4 DDoS 공격 분석 30
1. 개요 30
2. 공격 흐름도 및 주요 파일들의 역할 30
제3절 2009년 7.7 DDoS 공격과 2011년 3.4 DDoS 공격의 차이점 32
제4절 2009년 7.7 DDoS 공격과 2011년 3.4 DDoS 공격의 유사점 33
제4장 좀비 PC 탐지시스템의 관제 요소 선정 34
제1절 Hosts 파일 34
1. Hosts 파일 34
2. Hosts 파일의 수집 목적 36
제2절 ARP 캐시 테이블 38
1. ARP의 정의 38
2. ARP 캐시의 수집 목적 40
제3절 HTTP Header 내 User-agent 값 42
1. HTTP의 정의 42
2. HTTP Header의 내용 42
3. User-agent 정의 45
4. User-agent 수집 목적 46
제4절 네트워크 연결정보 48
1. Netstat 48
2. Netstat 정보 수집 목적 50
제5절 레지스트리 정보 51
1. 레지스트리 51
2. 레지스트리 정보 수집 목적 53
제5장 좀비 PC 탐지시스템의 구축 방안 55
제1절 좀비 PC 탐지시스템의 구성도 55
제2절 증거 수집 모듈 구현 58
1. Hosts 파일 58
2. ARP 캐시 테이블 59
3. HTTP-Header 내 User-agent의 값 59
4. 네트워크 연결정보 61
5. 레지스트리 정보 62
제3절 좀비 PC 탐지 운영 방안 63
1. Hosts 파일 63
2. ARP 캐시 테이블 64
3. HTTP-Header 내 User-agent의 값 65
4. 네트워크 연결정보 66
5. 레지스트리 67
제4절 좀비 PC 대응 운영 방안 68
제5절 좀비 PC 대응 운영 방안 실험 및 평가 결과 69
1. 정보유출 악성코드 분석 69
2. 제안하는 보안관제시스템 도구 평가 74
제6장 결론 78
참고문헌 81
ABSTRACT 83
〈표 2-1〉 TearDrop 공격 시 패킷의 시퀀스 넘버 19
〈표 2-2〉 두 모델의 장단점 비교 25
〈표 3-1〉 7.7 DDoS 공격에 사용된 악성코드의 주요 역할 29
〈표 3-2〉 DDoS 공격에 사용된 악성코드의 주요 역할 31
〈표 3-3〉 7.7 DDoS 공격과 3.4 DDoS 공격의 차이점 32
〈표 3-4〉 7.7 DDoS 공격과 3.4 DDoS 공격의 유사점 33
〈표 4-1〉 ARP 패킷 구조 39
〈표 4-2〉 요청 Method 43
〈표 4-3〉 HTTP 헤더안의 User-agent 정보 46
〈표 4-4〉 User-agent 변조 패킷 47
〈표 4-5〉 netstat 명령어의 옵션 48
〈표 4-6〉 netstat의 상태별 세부 내용 49
〈표 4-7〉 루트키의 종류 51
〈표 5-1〉 좀비 PC 탐지시스템의 프로세스 56
〈표 5-2〉 Hosts파일 수집 모듈 58
〈표 5-3〉 ARP캐시 테이블 수집 모듈 59
〈표 5-4〉 HTTP-Header 내 User-agent의 값 수집 모듈 60
〈표 5-5〉 네트워크 연결정보(netstat) 수집 모듈 61
〈표 5-6〉 레지스트리 정보 수집 모듈 62
〈표 5-7〉 정보유출형 악성코드 샘플 10종 분석 결과 74
〈표 5-8〉 3가지 보안관제시스템 성능 실험 평가 75
〈표 5-9〉 각 보안관제시스템 비교 분석 결과 76
[그림 1-1] DDoS 공격 최근 동향 15
[그림 2-1] SYN Flooding Attack 3-Way Handshaking 18
[그림 2-2] agent에 의한 Smurf Attack 20
[그림 2-3] DDoS 공격 구조 21
[그림 2-4] DRDoS 공격 구조 22
[그림 2-5] 보안관제시스템 구성도 24
[그림 3-1] 7.7 DDoS 공격 흐름도 29
[그림 3-2] DDoS 공격 흐름도 30
[그림 4-1] 정상 상태의 hosts 파일 35
[그림 4-2] 백신 다운로드를 막기 위해 변조된 hosts 파일 36
[그림 4-3] 인터넷 뱅킹 피싱을 위해 변조된 hosts 파일 37
[그림 4-4] ARP Spoofing을 당한 단말의 ARP 캐시 정보 40
[그림 4-5] ARP Spoofing 과정 41
[그림 4-6] HTTP 요청 헤더 42
[그림 4-7] HTTP 응답 헤더 44
[그림 4-8] ieHTTPHeaders도구로 확인한 HTTP 헤더 45
[그림 4-9] netstat-ano 48
[그림 4-10] 레지스트리 변조의 예 54
[그림 4-11] 그림판 실행 시 결과 54
[그림 5-1] 좀비 PC 탐지시스템의 구성도 55
[그림 5-2] 서버사이드의 시스템 구성 57
[그림 5-3] 클라이언트사이드 시스템 구성 57
[그림 5-4] hosts파일 탐지 순서도 63
[그림 5-5] ARP 캐시 테이블 탐지 순서도 64
[그림 5-6] User-agent 값 탐지 순서도 65
[그림 5-7] netstat 탐지 순서도 66
[그림 5-8] 레지스트리 탐지 순서도 67
[그림 5-9] 대응 운영 프로세스 68
[그림 5-10] 악성코드 원본 파일 삭제 69
[그림 5-11] gomp1ayer.exe 파일 생성 70
[그림 5-12] gomp1ayer.exe 서비스 등록 70
[그림 5-13] svchost.exe(PID : 1004) 프로세스 생성 71
[그림 5-14] 3697 Port로 접근 시도 72
[그림 5-15] 악성코드유포지로 접근 시도 72
[그림 5-16] naver.vipuu.net 으로 접속 시도 73
[그림 5-17] 안티바이러스 백신 프로그램의 진단 결과 73