트래픽 분석을 이용한 HTTP 기반 봇 탐지

Abstract

현대에는 다양한 종류의 악성 소프트웨어가 보안을 위협하고 있다. 특히 봇은 가장 심각한 피해를 입히고 있다. 봇넷은 봇으로 구성된 네트워크로써, DDoS 공격이나 스팸 메일 발송, 개인 정보 유출 등 다양한 공격에 이용되고 있다. 봇넷이 위와 같은 행동을 하려면 반드시 command and control(C&C) 채널을 구축하고 유지해야 한다. 이러한 C&C 채널에는 IRC, HTTP 프로토콜 등이 사용되고 있다. 최근의 봇들이 특정 포트나 프로토콜을 사용하지 않고 이러한 일반적인 프로토콜을 사용하기 때문에 봇넷을 탐지하는 것은 어려운 문제가 되었다. 본 연구에서는 트래픽 분석을 통한 end-host에서의 HTTP 기반 봇 탐지 방법을 제안하고자 한다. 본 연구에서 제안한 탐지 방법은 봇의 트래픽 패턴이 일반적인 유저와 다르다는 점에 기반을 두고 있다. 가령 일반적인 유저는 5분마다 같은 웹 페이지를 서버에 요청하지 않을 것이다. 반면 봇의 경우는 정해진 방식대로 움직이기 때문에 5분마다 같은 웹 페이지를 요구하는 등 일반적인 유저와 다른 트래픽 패턴을 보인다. 성능 평가는 실제 네트워크 상의 트래픽을 수집하여 사용하였으며, 실험 결과 본 연구에서 제안한 탐지 방법으로 HTTP 기반 봇을 효과적으로 탐지해낼 수 있었다.