본문바로가기

자료 카테고리

검색결과

검색결과 (전체 1건)

검색결과제한

열기
논문명/저자명
호스트基盤 實時間 對應 技術을 利用한 좀비 PC 探知시스템 모델에 관한 硏究 / 홍준석
발행사항
서울 : 성균관대학교 정보통신대학원, 2012.8
청구기호
TM 005.8 -12-145
형태사항
x, 72 p. ; 30 cm
자료실
[본관] 서고(열람신청 후 1층 논문실)
제어번호
KDMT1201267755
주기사항
학위논문(석사) -- 성균관대학교 정보통신대학원, 정보보호학과 정보보호전공, 2012.8. 지도교수: 원동호
외부기관 원문

목차보기더보기

표제지

목차

약어표 11

논문요약 12

제1장 서론 14

제2장 관련 연구 17

제1절 DDoS 공격의 정의 17

1. DoS 공격 17

2. DDoS 공격 21

3. DRDoS 공격 22

제2절 좀비 PC의 정의 23

제3절 기존 보안관제시스템의 한계점 24

1. 기존 보안관제시스템의 정의 24

2. 침입탐지시스템의 분류 25

3. 기존 보안관제시스템의 한계점 26

제4절 좀비 PC 탐지시스템의 필요성 27

제3장 주요 DDoS 공격 분석 28

제1절 2009년 7.7 DDoS 공격 분석 28

1. 개요 28

2. 공격 흐름도 및 주요 파일들의 역할 28

제2절 2011년 3.4 DDoS 공격 분석 30

1. 개요 30

2. 공격 흐름도 및 주요 파일들의 역할 30

제3절 2009년 7.7 DDoS 공격과 2011년 3.4 DDoS 공격의 차이점 32

제4절 2009년 7.7 DDoS 공격과 2011년 3.4 DDoS 공격의 유사점 33

제4장 좀비 PC 탐지시스템의 관제 요소 선정 34

제1절 Hosts 파일 34

1. Hosts 파일 34

2. Hosts 파일의 수집 목적 36

제2절 ARP 캐시 테이블 38

1. ARP의 정의 38

2. ARP 캐시의 수집 목적 40

제3절 HTTP Header 내 User-agent 값 42

1. HTTP의 정의 42

2. HTTP Header의 내용 42

3. User-agent 정의 45

4. User-agent 수집 목적 46

제4절 네트워크 연결정보 48

1. Netstat 48

2. Netstat 정보 수집 목적 50

제5절 레지스트리 정보 51

1. 레지스트리 51

2. 레지스트리 정보 수집 목적 53

제5장 좀비 PC 탐지시스템의 구축 방안 55

제1절 좀비 PC 탐지시스템의 구성도 55

제2절 증거 수집 모듈 구현 58

1. Hosts 파일 58

2. ARP 캐시 테이블 59

3. HTTP-Header 내 User-agent의 값 59

4. 네트워크 연결정보 61

5. 레지스트리 정보 62

제3절 좀비 PC 탐지 운영 방안 63

1. Hosts 파일 63

2. ARP 캐시 테이블 64

3. HTTP-Header 내 User-agent의 값 65

4. 네트워크 연결정보 66

5. 레지스트리 67

제4절 좀비 PC 대응 운영 방안 68

제5절 좀비 PC 대응 운영 방안 실험 및 평가 결과 69

1. 정보유출 악성코드 분석 69

2. 제안하는 보안관제시스템 도구 평가 74

제6장 결론 78

참고문헌 81

ABSTRACT 83

〈표 2-1〉 TearDrop 공격 시 패킷의 시퀀스 넘버 19

〈표 2-2〉 두 모델의 장단점 비교 25

〈표 3-1〉 7.7 DDoS 공격에 사용된 악성코드의 주요 역할 29

〈표 3-2〉 DDoS 공격에 사용된 악성코드의 주요 역할 31

〈표 3-3〉 7.7 DDoS 공격과 3.4 DDoS 공격의 차이점 32

〈표 3-4〉 7.7 DDoS 공격과 3.4 DDoS 공격의 유사점 33

〈표 4-1〉 ARP 패킷 구조 39

〈표 4-2〉 요청 Method 43

〈표 4-3〉 HTTP 헤더안의 User-agent 정보 46

〈표 4-4〉 User-agent 변조 패킷 47

〈표 4-5〉 netstat 명령어의 옵션 48

〈표 4-6〉 netstat의 상태별 세부 내용 49

〈표 4-7〉 루트키의 종류 51

〈표 5-1〉 좀비 PC 탐지시스템의 프로세스 56

〈표 5-2〉 Hosts파일 수집 모듈 58

〈표 5-3〉 ARP캐시 테이블 수집 모듈 59

〈표 5-4〉 HTTP-Header 내 User-agent의 값 수집 모듈 60

〈표 5-5〉 네트워크 연결정보(netstat) 수집 모듈 61

〈표 5-6〉 레지스트리 정보 수집 모듈 62

〈표 5-7〉 정보유출형 악성코드 샘플 10종 분석 결과 74

〈표 5-8〉 3가지 보안관제시스템 성능 실험 평가 75

〈표 5-9〉 각 보안관제시스템 비교 분석 결과 76

[그림 1-1] DDoS 공격 최근 동향 15

[그림 2-1] SYN Flooding Attack 3-Way Handshaking 18

[그림 2-2] agent에 의한 Smurf Attack 20

[그림 2-3] DDoS 공격 구조 21

[그림 2-4] DRDoS 공격 구조 22

[그림 2-5] 보안관제시스템 구성도 24

[그림 3-1] 7.7 DDoS 공격 흐름도 29

[그림 3-2] DDoS 공격 흐름도 30

[그림 4-1] 정상 상태의 hosts 파일 35

[그림 4-2] 백신 다운로드를 막기 위해 변조된 hosts 파일 36

[그림 4-3] 인터넷 뱅킹 피싱을 위해 변조된 hosts 파일 37

[그림 4-4] ARP Spoofing을 당한 단말의 ARP 캐시 정보 40

[그림 4-5] ARP Spoofing 과정 41

[그림 4-6] HTTP 요청 헤더 42

[그림 4-7] HTTP 응답 헤더 44

[그림 4-8] ieHTTPHeaders도구로 확인한 HTTP 헤더 45

[그림 4-9] netstat-ano 48

[그림 4-10] 레지스트리 변조의 예 54

[그림 4-11] 그림판 실행 시 결과 54

[그림 5-1] 좀비 PC 탐지시스템의 구성도 55

[그림 5-2] 서버사이드의 시스템 구성 57

[그림 5-3] 클라이언트사이드 시스템 구성 57

[그림 5-4] hosts파일 탐지 순서도 63

[그림 5-5] ARP 캐시 테이블 탐지 순서도 64

[그림 5-6] User-agent 값 탐지 순서도 65

[그림 5-7] netstat 탐지 순서도 66

[그림 5-8] 레지스트리 탐지 순서도 67

[그림 5-9] 대응 운영 프로세스 68

[그림 5-10] 악성코드 원본 파일 삭제 69

[그림 5-11] gomp1ayer.exe 파일 생성 70

[그림 5-12] gomp1ayer.exe 서비스 등록 70

[그림 5-13] svchost.exe(PID : 1004) 프로세스 생성 71

[그림 5-14] 3697 Port로 접근 시도 72

[그림 5-15] 악성코드유포지로 접근 시도 72

[그림 5-16] naver.vipuu.net 으로 접속 시도 73

[그림 5-17] 안티바이러스 백신 프로그램의 진단 결과 73

초록보기더보기

2009년에 발생한 7.7 DDoS 공격에 이어 2011년 3월 4일에도 주요 기관 사이트를 대상으로 대규모의 DDoS 공격이 발생하였다. 그리고 그 외에도 3.4 DDoS 공격과 같이 규모는 크지 않지만 크고 작은 DDoS 공격이 발생하였다. 중국발 6.9 성전, 폭로전문 웹사이트 위키리크스 공격, 경쟁 온라인게임 사이트 공격 등이 대표적인 사례이다. 이들 공격의 특징은 단순히 공격자 자신의 이득을 위해서 공격을 수행한 것이 아니고 사업화를 통한 돈을 버는 수단 또는 정치/문화적 이유, 개인적 이유, 핵티비즘 등 다양한 이유를 바탕으로 공격을 수행하였다는 점이다. 즉 DDoS 공격이 대중화 시대로 접어들었음을 의미한다. Netbot attacker, zeus와 같은 악성코드 제작 툴킷의 배포는 이러한 흐름을 더욱 앞당기고 있다.

악성코드 제작 툴킷의 배포로 누구나 쉽게 좀비 PC를 양산할 수 있게 되고 DDoS 공격기법이 지능화·고도화 되어 감에 따라서 DDoS 공격을 대응하는 보안담당자의 어려움은 점점 커져가고 있다. 단지 DDoS 공격 트래픽에 대한 방어에만 초점을 맞추고 있는 현 보안관제시스템만으로는 앞으로 발생할 DDoS 공격에 효과적으로 대응하기 어렵다. DDoS 공격을 수행하는 좀비 PC를 원천적으로 탐지하는 것이 필요하다. 즉 정상적인 pc가 악성코드에 감염되어 좀비 PC가 되는 것을 막기 위해서 pc를 대상으로 하는 보다 지능화되고 경량화 된 새로운 개념의 관제시스템의 도입 역시 절실히 필요하다.

본 논문은 좀비 PC 탐지시스템에서 필요한 좀비 PC 악성코드 수집요소에 대해 연구한다. 그리고 이를 반영한 실제 보안관제시스템의 구축과 운영 방안을 제시한다. 이를 통하여 국내 DDoS 공격 대응체계를 수동적에서 능동적인 대응체계로 전환한다.

최근 발생한 3.4 DDoS 공격은 2009년에 발생한 7.7 DDoS 공격보다 위력적이지 못한 것처럼 보일 수 있으나 공격위력은 7.7 DDoS 공격 때 보다 위력적이었다. 다만 3.4 DDoS 공격은 7.7 DDoS 공격과 비교했을 때 보다 효과적으로 대응하였을 뿐이다. 7.7 DDoS 공격과 비교했을 때 공격방식과 악성코드 제작기법은 전보다 훨씬 지능화·고도화되었다.

계속 진화하는 DDoS 공격에 효과적으로 대응하기 위해서는 지금처럼 단순히 DDoS 공격 트래픽에 대한 연구보다는 근원적인 문제인 좀비 PC를 사전 탐지, 차단하는 것이 중요하다. 이에 본 논문에서는 DDoS 공격을 수행하는 좀비 PC를 원천적으로 탐지할 수 있는 요소를 연구하고 능동적인 대응방안을 위한 보안관제시스템의 구축과 운영방안에 대해 연구한다.

권호기사보기

권호기사 목록 테이블로 기사명, 저자명, 페이지, 원문, 기사목차 순으로 되어있습니다.
기사명 저자명 페이지 원문 기사목차
연속간행물 팝업 열기 연속간행물 팝업 열기