An empirical study of malicious domain name system queries in the enterprise network

Abstract

현대사회에서 인터넷은 빼놓을 수 없는 요소이다. 이러한 인터넷을 좀더 편리하게 사용하기 위 해서 사용되는 도메인 네임 시스템(Domain Name System, DNS)이란 사람이 기억하기 쉽게 문자로 만들어진 도메인을 컴퓨터가 처리 가능한 숫자로 바꾸는 시스템이다. 이러한 DNS는 긍정적인 기 능에 상반되게 악의적인 목적으로도 많이 사용되고 있다. 예를 들면, 공격자들은 피싱(phishing) 사 이트나 파밍 공격(pharming attack), 봇넷 조종(botnet control), 그리고 악성코드 전파 등의 목적으로 악성 도메인을 만들어 사용한다. 따라서, 이러한 공격을 사전에 탐지하기 위해서는, 악성 도메인 의 특성을 고찰하는 것이 매우 중요하다. 그러나 대부분의 이전 분석들은 일반적으로 완전한 한 엔터프라이즈 네트워크의 DNS 쿼리가 아닌, 샘플 데이터를 사용하기 때문에 특정 사용자 집단의 행동패턴을 제대로 표현하기가 어려웠다. 즉, 다양한 사용자 DNS 쿼리를 분석한 것은 맞지만, 불 특정 다수이기 때문에 같은 관심사를 가진 사용자에 대한 분석이 아니라는 제한점을 가지고 있었 다. 따라서, 공통의 관심사를 가지고 있는 사람들로 구성된 네트워크 내에서 어떻게 악성 도메인 에 접근하는지를 이해하는 것이 필요한 것이다. 본 연구에서는, 실제 엔터프라이즈 네트워크 내에 서 평균 140억개의 DNS 데이터를 수집하여, 해당 쿼리를 다각적으로 분석하였다. 우리의 분석방법은 크게 두 가지로 구분할 수 있다. 첫째, 우리는 수집한 데이터를 사용하여, 악성도메인의 특성에 대해 분석한 이전 연구들에서 제시한 악성 도메인의 특성을 재 검증 하였다. 그 결과, 악성 도메인 특성의 유사성 또는 차이점을 발견할 수 있었다. 둘째, 우리는 악성 도메인 에 접속하는 사용자의 접속 패턴 분석을 통해서, 1초 이내에 다양한 도메인에 반복적으로 접속하 는 패턴 및 사용자의 접속 패턴에 주기성이 있다는 사실을 발견할 수 있었다. 이와 같이, 사용자 의 악성 도메인 접속 패턴과 악성 도메인의 특성에 대한 이해를 통해서, 우리는 악성 도메인을 탐지하는데 도움이 될 수 있는 몇 가지 현상을 발견할 수 있었으며, 이러한 현상에 대한 깊은 이 해는 향후 악성 행위 탐지를 위해 매우 유용할 것이라 판단하였다.