Passive DNS 분석을 이용한 악성 도메인 그룹 탐지 연구

Abstract

도메인 네임 시스템(DNS)은 인터넷을 이용하기 위해 필수적인 도메인과 IP주소를 연결하는 서비스를 제공하고 있는데, 봇넷의 통신채널 유지나 악성코드 유포처럼 이 서비스를 악성적인 목적으로도 이용하는 경우가 상당수 발견되고 있다. 도메인을 악성적으로 사용하지 못하도록 악성 도메인을 블랙리스트에 두고 차단하려는 노력이 많이 이루어져왔고, 그 중 대표적인 방법이 Passive DNS 분석 방법을 이용하여 과거에 도메인이 사용된 흔적을 바탕으로 악성 도메인을 찾는 것이다. 지금까지 제안된 대부분의 Passive DNS 분석 기반 악성 도메인 탐지 시스템은 개별적인 도메인의 악성 행위를 판단하는데 뛰어난 성능을 보였으나, 어떤 악성적인 목적을 위해 도메인이 집합적으로 사용될 경우 이들 도메인 간의 관계성을 파악하지 못하고 있다. 이런 한계점은 악성 도메인을 찾아내더라도 해당 도메인과 관계 있는 도메인이 무엇인지 알지 못함에 따라 잔존하는 악성 도메인을 마저 차단하지 못할 수 있고, 악성 도메인이 기존과 사용되는 방식을 바꿀 경우 이에 대한 분석 및 대응을 어렵게 하는 문제를 야기하고 있다. 본 논문은 도메인들을 질의한 사용자의 유사성에 따라 서로 연관 있는 도메인들을 클러스터로 묶고, 묶은 클러스터들 중 악성 클러스터와 정상 클러스터에 구별되게 나타나는 특징들을 이용하여 악성 클러스터를 분별하는 방법에 대해 제시한다. 아이디어를 검증하기 위해 캠퍼스 DNS 서버에서 약 1개월 간 수집한 데이터를 이용하여 실험한 결과 집합적으로 사용된 악성 도메인들을 캠페인 단위의 클러스터로 묶을 수 있었고, 생성된 클러스터 중 악성 클러스터를 89.78%의 탐지율과 2.04%의 오탐율로 식별할 수 있었다. 실제 배치 상황을 가정한 실험에서는 500개의 악성 클러스터를 탐지하였는데 이들은 702개의 기존 도메인 평가 시스템이 악성여부를 진단하지 못하는, 그러나 악성 도메인들과만 함께 클러스터로 묶였기 때문에 악성일 확률이 높은, 도메인들을 포함하고 있었다. 탐지한 클러스터들은 악성 도메인 사용의 최신 전략을 추리하는 것을 가능케 함으로 제안하는 시스템의 탐지 후 분석 능력을 입증하였다.