04( ) IN10-11.hwp

Similar documents
DBPIA-NURIMEDIA

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

UDP Flooding Attack 공격과 방어

°í¼®ÁÖ Ãâ·Â

제20회_해킹방지워크샵_(이재석)

TGDPX white paper

DBPIA-NURIMEDIA

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

지능정보연구제 16 권제 1 호 2010 년 3 월 (pp.71~92),.,.,., Support Vector Machines,,., KOSPI200.,. * 지능정보연구제 16 권제 1 호 2010 년 3 월

Microsoft PowerPoint - thesis_rone.ppt

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

DBPIA-NURIMEDIA

05( ) CPLV12-04.hwp

03-ÀÌÁ¦Çö

bn2019_2

Windows 8에서 BioStar 1 설치하기

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

3 : BLE CoAP 6LoWPAN (Cheol-Min Kim et al.: Implementation of CoAP/6LoWPAN over BLE Networks for IoT Services).,, [1]. [2], (Wireless Sensor Network,

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft Word - NAT_1_.doc

09권오설_ok.hwp

1?4?옥?-32

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

08SW

인문사회과학기술융합학회

RVC Robot Vaccum Cleaner

일반적인 네트워크의 구성은 다음과 같다


À±½Â¿í Ãâ·Â

Microsoft PowerPoint - G3-2-박재우.pptx

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 28(3),

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

06_ÀÌÀçÈÆ¿Ü0926

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

#Ȳ¿ë¼®

The Third NTCIR Workshop, Sep

박선영무선충전-내지

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

보안공학연구회

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo

The Pocket Guide to TCP/IP Sockets: C Version

OUR INSIGHT. YOUR FUTURE. Disclaimer Presentation ( ),. Presentation,..,,,,, (E).,,., Presentation,., Representative.( ). ( ).

슬라이드 제목 없음

untitled

09김정식.PDF

DBPIA-NURIMEDIA

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

DBPIA-NURIMEDIA

¼º¿øÁø Ãâ·Â-1

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

게시판 스팸 실시간 차단 시스템

À¯Çõ Ãâ·Â

ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9

untitled

Journal of Educational Innovation Research 2019, Vol. 29, No. 1, pp DOI: (LiD) - - * Way to

DBPIA-NURIMEDIA

철도원 7,8 월

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

슬라이드 1

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

09È«¼®¿µ 5~152s

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

½Éº´È¿ Ãâ·Â

Ver. DS-2012.T3.DWS.STR-1.0 System Test Report for Digital Watch System Test Cases Specification Test Summary Report Project Team 이동아 Latest update on

(

歯I-3_무선통신기반차세대망-조동호.PDF

Microsoft Word - 1-차우창.doc

정보기술응용학회 발표

6.24-9년 6월

ÀÌÀç¿ë Ãâ·Â

04-다시_고속철도61~80p

Microsoft Word - release note-VRRP_Korean.doc

감각형 증강현실을 이용한

<31325FB1E8B0E6BCBA2E687770>

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

슬라이드 1

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: * A S

±è¼ºÃ¶ Ãâ·Â-1

04 최진규.hwp

1217 WebTrafMon II

Windows Server 2012

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2


< C6AFC1FD28C3E0B1B8292E687770>

Microsoft PowerPoint - 06-IPAddress [호환 모드]

歯홍원기.PDF

04서종철fig.6(121~131)ok

BY-FDP-4-70.hwp

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

슬라이드 1

, N-. N- DLNA(Digital Living Network Alliance).,. DLNA DLNA. DLNA,, UPnP, IPv4, HTTP DLNA. DLNA, DLNA [1]. DLNA DLNA DLNA., [2]. DLNA UPnP. DLNA DLNA.

DBPIA-NURIMEDIA

Microsoft PowerPoint 자동설치시스템검증-V05-Baul.pptx

Transcription:

봇넷트래픽특성을이용한 6LoWPAN 기반봇넷탐지법 33 봇넷트래픽특성을이용한 6LoWPAN 기반봇넷탐지법 (A 6LoWPAN based Botnet Detection Mechanism Using Botnet Traffic Characteristics) 조응준 김진호 홍충선 (Eung Jun Cho) (Jin Ho Kim) (Choong Seon Hong) 요약최근들어 Botnet 은 DDoS (Distributed Denial of Service), 스팸메일, 키로깅등다양한공격에사용되고있다. Botnet 은다수의 Bot 과그것을관리하는 C&C (Command and Control) 서버로구성된네트워크로공격자의명령을 C&C 서버를통해 Bot 에게전달하여공격을실행하는구조이다. 따라서공격자의위치가직접적으로노출되지않고무엇보다다수의 Bot 을이용하여공격을실행하기때문에공격이탐지되어도대처하기가까다로웠다. 그러나그동안 IP 네트워크와는별개로개발이진행되어오던무선센서네트워크가최근 IP 를기반으로하는 IP-USN 으로개발되고있으며. 그방안으로저전력장치에 IPv6 를탑재할수있는 6LoWPAN (IPv6 over Low power WPAN) 이주목받고있다. 이런 IP 기반의센서네트워크에서는기존무선센서네트워크에서는불가능하던 IP 기반의공격기법들이가능해진다. 앞서소개한 Botnet 이그중하나로무선센서네트워크외부에위치한공격자가센서노드로직접접근이가능하기때문이다. 본논문에서는 6LoWPAN 기반의 Botnet 이실행가능한공격유형을분석해보고이를바탕으로하여 6LoWPAN 기반의 Botnet 트래픽특성을분석하여 Botnet 을탐지하는메커니즘을제안하고자한다. 키워드 :6LoWPAN, 봇넷, 탐지기법 Abstract Recently, Botnets are used as malicious tools for sending spam-mail, logging keys and launching DDoS attacks. A Botnet is a network of Bots which are controlled by an attacker, and it is composed of several Bots and C&C (Command and Control) servers. The attacker sends commands to the C&C server in order to spread commands among the Bots. In this way, it is hard to find the attacker because there is no direct connection between the Bots and the attacker. A lot of mechanisms have been proposed to detect the Botnet on wired networks, and there are a number of commercial products to detect the Botnet. However, in a IP-based sensor network environment, especially in a 6LoWPAN (IPv6 over Low power WPAN), there is no detection mechanism for the Botnet attacks. In this paper, we analyze the threat of Botnet in a 6LoWPAN, and propose a mechanism to detect Botnet in a 6LoWPAN using characteristics of Botnet traffic. We also present the implementation of our mechanism in a 6LoWPAN environment. Key words :6LoWPAN, Botnet, Detection mechanism 본연구는지식경제부및정보통신산업진흥원의대학 IT연구센터지원사업의연구결과로수행되었음 (NIPA-2010-(C1090-1031-0005)) 정회원 : 경희대학교컴퓨터공학과 ejcho@networking.khu.ac.kr 학생회원 : NTT DOCOMO. jinho.kim.bv@nttdocomo.com 종신회원 : 경희대학교컴퓨터공학과교수 cshong@khu.ac.kr (Corresponding author 임 ) 논문접수 : 2010년 3월 30일심사완료 : 2010년 11월 1일 CopyrightC2011 한국정보과학회ː개인목적이나교육목적인경우, 이저작물의전체또는일부에대한복사본혹은디지털사본의제작을허가합니다. 이때, 사본은상업적수단으로사용할수없으며첫페이지에본문구와출처를반드시명시해야합니다. 이외의목적으로복제, 배포, 출판, 전송등모든유형의사용행위를하는경우에대하여는사전에허가를얻고비용을지불해야합니다. 정보과학회논문지 : 정보통신제38권제1호 (2011.2)

34 정보과학회논문지 : 정보통신제 38 권제 1 호 (2011.2) 1. 서론컴퓨터기술의발전과함께컴퓨터를이용한크래커의공격유형도다양해지고있다. 과거에는사용자나관리자에게해를끼치지않는범위의해킹이이루어졌다. 그리고사용자의시스템에피해를끼치는바이러스가나타났고, 그후공격의형태는더욱진화하여네트워크자체를공격하는웜이등장하였다. 2003년 1월 25일, 국내에서발생했던슬래머웜에의한공격이그예로, MS-SQL의취약점을공격, 당월 26일오전까지우리나라의네트워크가마비되는사태가일어났었다. 그리고최근에는 Botnet[1] 을이용하여인터넷쇼핑몰이나기타상업사이트를공격하여해당사이트를마비시킨뒤공격을중단하는대가로돈을요구하는범죄도발생하고있으며, 2008년 7월에발생한 7.7 대란도 Botnet을이용한 DDoS 공격이었다. 앞의공격패러다임의변화를살펴볼때새로운기술의등장에따라그에상응하는새로운유형의공격들이등장할것이다. 6LoWPAN (IPv6 over Low power WPAN)[2] 은 TCP/IP 프로토콜스택이포함된 6LoWPAN 센서노드에글로벌 IPv6 주소를할당하여 IP 네트워크의호스트와 end-to-end 통신이가능한기술로서사물통신망구축에있어반드시필요한기술로주목받고있다. 그러나무선센서네트워크와 IP 망이융합되면서생기는이점을이용하는활용분야에대한연구는활발히진행중이나새롭게발생할수있는문제점을분석하고대처하는연구는미비한상황이다. 무엇보다기존 IP 네트워크의호스트와는다르게센서네트워크는활용분야가무궁무진하여피해가발생할경우그규모나정도가지금보다훨씬심각할것으로예상된다. 본논문에서는현재활발히연구되고개발중인 6LoWPAN 상에보안분야에서큰이슈가되고있는 Botnet이어떻게사용될수있는지분석하고그것을탐지하기위한메커니즘을제안한다. 본논문의구성은다음과같다. 2장에서는배경지식과관련연구를소개하고 3장에서는 6LoWPAN 상에서가능한 Botnet의공격형태소개와탐지기법을제안한다. 4장에서는시뮬레이션을통해제안된기법의성능을평가하고, 5장에서본논문에서개발한 6LoWPAN 기반 Botnet 탐지기법시스템에대해소개한다. 마지막 6장에서결론을맺고향후계획에대해기술한다. 2.1 Botnet Botnet은공격자가자신의명령을수행할다수의 Bot과그것을관리하기위한 C&C(Command and Control) 서버로구성된네트워크로 DDoS (Distributed Denial of Service), 스팸메일발송, 키로깅등다양한공격에사용된다. 초창기등장했던 Botnet은 IRC(Internet Relay Chat) 서버를 C&C 서버로이용하여다수의 Bot 을관리하는구조였다. 그러나 IRC 서버포트를막아둔곳에서는호스트가 Bot에감염되어도 C&C 서버로접속할수없게되자웹서버를해킹하여운영중인웹서버에 C&C 서버를설치, 운영하는형태로발전되었다. 그러나이러한구조는 C&C 서버로많은트래픽이집중되고많은 Bot에서 DNS로동일한쿼리를보내기때문에 DNS의트래픽을분석하여 C&C 서버의위치가쉽게파악되었다. 이런특징을이용하여 DNS sinkhole 기법을통해 Botnet을와해시키는메커니즘 [3] 도제안되었다. 그림 1은계층적인 C&C 서버유형의 Botnet 구조로초창기 IRC 서버나 HTTP 서버를사용하는 Botnet이이에해당된다. 그림 1을보면우선공격자는 C&C 서버로자신의공격명령을전달하고 C&C 서버는그공격메시지를자신이관리하고있는 Bot으로전달한다. 이때 Bot이 C&C 서버로부터명령을받거나가져오기위해서 Bot이실행되는순간 C&C 서버로접속을하여 Bot의주소를등록시키고 Bot의상태를주기적으로알릴필요가있는데, 이를위해공격자는 Bot 내부에도메인이름형식으로 C&C 서버의주소를저장해둔다. 따라서 Bot이 C&C 서버에접속을하기위해 DNS 쿼리를통해실제 C&C 서버의주소를확인해야만하는것이다. 이런구조의특징으로 C&C 서버가제거될경우공격자가 Bot에게명령을전달할수없게되어 Botent 이제기능을하지못하게된다. C&C 서버유형 Botnet 구조의단점을보완하기위해그림 2의 P2P 구조 Botnet이제안되었다 P2P 구조 Botnet[4-6] 의가장큰특징은 C&C 서버가존재하지 2. 관련연구 본장에서는 Botnet과 6LoWPAN를간략히설명하고 IP 네트워크상에서 Botnet을탐지하기위한메커니즘과관련연구내용을소개한다. 그림 1 C&C 서버유형 Botnet 의 DDoS 공격

봇넷트래픽특성을이용한 6LoWPAN 기반봇넷탐지법 35 센서노드로통신을하기위해서는반드시 6LoWPAN 게이트웨이를거쳐통신이이루어져야한다. 3. 제안사항 그림 2 P2P 유형 Botnet의 DDoS 공격않고모든 Bot이 C&C 서버와 Bot의역할을동시에수행한다는것이다. 따라서하나의 Bot 위치가파악되고제거되더라도전체 Botnet을와해시킬수없게된다. 그러나이런구조적인강점이있는반면 P2P 구조의 Botnet은개발이어려운단점이있다. 최근이런구조를사용한 Botnet으로전세계에걸쳐가장많은 Bot 클라이언트를유지하고있는것으로알려진 Storm[7,8] 이있다. Storm은 emule이나 edonkey에사용되는 DHT(Direct Hash Table) 을이용한 Kademlia 프로토콜 [9] 을사용하여 Botnet을유지하고있다. 실제 Storm 을분석한연구를보면트래픽의유형이 emule이나 edonkey의 Kademlia 모드와매우유사한것을알수있다. 2.2 6LoWPAN 6LoWPAN은 IEEE 802.15.4[10] 기반의 IPv6를지원하기위한프로토콜로낮은연산능력과저전력으로작동하는장치에최적화되어있다. 이런특징은특히센서네트워크에적합한구조로센서노드가 IP 주소를할당받아사용할수있는기술로무선네트워크표준프로토콜로개발되고있다. 그림 3은 6LoWPAN의구조를나타낸그림으로 6LoWPAN은내부센서노드와 6LoWPAN과 IP 네트워크를연결하기위한 6LoWPAN 게이트웨이로이루어져있다. 6LoWPAN 게이트웨이는 IP 네트워크프로토콜과 6LoWPAN 프로토콜모두를가진듀얼스택구조로이루어져있으며 6LoWPAN 내부의그림 3 6LoWPAN 네트워크스택구조 본장에서는 6LoWPAN 환경에서 Botnet의위험성을분석하고탐지법을제안한다. 앞서소개된 IP 네트워크상의 Botnet 공격유형과다른점, 그리고기존제안으로탐지할수없는이유를설명한다. 3.1 6LoWPAN 환경의 Botnet 공격유형분석 6LoWPAN 상에서가능한 Botnet의공격유형을살펴보기위해 6LoWPAN의특징을이해해야한다. 무엇보다 IP 네트워크와어떤점에서다르고이런특징을이용하여가능한공격유형을분석하여야한다. 우선 6LoWPAN은 IP 네트워크와크게네가지차이점이있다. 첫째, 대역폭의차이이다. IP 네트워크가 10Mbps~ 1Gbps의대역폭을제공하는것에비해 6LoWPAN은단지 250Kbps의대역폭만을제공한다. 대역폭의제한으로 6LoWPAN 기반 Botnet은 DDoS와같은다량의패킷을발생시키는공격에는적합하지않다. 둘째, 6LoWPAN의가장큰특징중하나는 6LoWPAN 센서노드자체가패킷을전달하는전달자노드역할을하는것이다. 그림 4에서볼수있듯이 6LoWPAN은많은수의 6LoWPAN 센서노드들로구성되어있어모든 6LoWPAN 센서노드들을 IP 네트워크의무선망처럼 AP 만으로연결하는것에는한계가있다. 그래서통신가능지역을늘리고 AP같은시설투자비용을줄이기위해각각의센서노드는 end-point 역할뿐만아니라다른센서노드의패킷을목적지로전달해주는역할도한다. 즉하나의센서노드가센싱한데이터를목적지로전달할때다른여러노드를거쳐전달되는것이다. 셋째, 센서노드가사용되는장소의차이이다. 기존컴퓨터와는다르게센서노드는핵누출탐지, 기상정보관측, 사용자위치추적, 실시간건강관리등활용분야가무한하다고할수있다. 진정한유비쿼터스환경구축에가장적합한기술로인정받고있는것도이러한이유에서다. 따라서이런센서네트워크가공격을받아공격자의명령으로작동하게될경우그피해규모는매우커질수있다. 마지막으로센서노드는배터리로동작을하기때문에제한된에너지를가지고있다. 따라서 DDoS처럼지속적으로다량의패킷을유발할시단시간에배터리를소모하여작동이멈추게되므로 DDoS 공격은적합하지않다. 즉, 센서노드의낮은연산능력과전송률로인하여 DDoS 공격을수행하기위해서는 IP 네트워크상의클라이언트보다훨씬더많은수의센서노드가필요하다. 그러나많은수의센서노드를확보하더라도제한된

36 정보과학회논문지 : 정보통신제 38 권제 1 호 (2011.2) 그림 4 6LoWPAN 환경에서의 Botnet 공격유형 배터리로공격을지속적으로수행할수없다. 특히, 위의특징중두번째특징을살펴보면 IP 네트워크에서불가능한공격을할수있다. 다른센서노드의패킷정보를조작하는것이다. 그림 4는이러한시나리오의예를보여주고있다. 먼저공격자가 6LoWPAN 상에이미설치된 Bot으로공격명령을전송한다 (1). 그뒤정상노드가자신이센싱한데이터정보를사용자에게전송을한다 (2). 센싱데이터가 Bot이설치된노드를지나는순간공격자의명령대로데이터정보를조작한다 (3). 사용자는조작된데이터정보를받게된다 (4). IP 네트워크상에서패킷의경로를설정하고전달하는역할은라우터가담당하고일반사용자의호스트는단말로서의역할만을하게된다. 그러나앞서살펴본것처럼센서네트워크에서는일반센서노드들이다른센서노드의데이터패킷을목적지까지전달하는역할을수행하기때문에데이터를조작하는공격이가능하다. 무엇보다무선센서네트워크는앞서언급된것처럼방사능탐지시스템, 헬스케어시스템, 파고측정시스템등일반호스트와는사용되는곳이다르고다루는데이터의중요성이훨씬높기때문에공격자가의도적으로데이터를조작하여큰손해를입힐수가있다. 그림 5는헬스케어시스템에침투한 Botnet 의데이터조작의예를나타낸다. 환자의맥박정보를주기적으로간호사에게보고하는 6LoWPAN 상에하나의 Bot이설치되어있다. 해당 Bot은 IP 네트워크상의공격자로부터직간접적으로명령을전달받아특정환자의맥박정보를항상동일하게유지시킨다. 환자에게이상이발생하여도이상정보를간호사는확인할수없게되고, 6LoWPAN을이용하여구축한건강관리시스템은제기능을할수없는상태에빠지게된다. 현재까지제안된 Botnet 탐지기법들이대규모의그룹행위를기반으로탐지하거나알려진시그내쳐 (Signature) 를기반으로작동하는데본논문에서설명할공격은단하나의센서노드만감염시켜도공격이가능하며소규모의특정센서네트워크시스템을대상으로공격하기때문에시그내쳐기반의탐지법을사용하는 그림 5 환자의심장박동정보를조작하는 6LoWPAN 기반 Botnet의예 것에는한계가있다. 무엇보다공격자가 Bot에감염된센서노드에게명령을내려특정공격을수행하는형태로데이터조작외에도기존센서네트워크상에존재하던다양한공격이진화된형태로가능해진다. 즉, Sinkhole attack[11], Sybil attack[12] 등의다양한공격기법들이공격자의명령으로세밀하게조작이되어실행가능하게된다. 6LoWPAN에서 IP를사용할수있게되면서공격방식에서도변화가생긴것이다. 이렇게 WSN(Wireless Sensor Network) 과 6LoWPAN 상에서가능한공격유형들의특징을비교해보면표 1과같이정리할수있다. 표 1에설명된것처럼 6LoWPAN에서 Botnet의공격은다양하게나타날수있기때문에공격의징후를탐지하기위해서는수많은종류의공격유형을분석하고그것을탐지하기위한메커니즘이필요하다. 그러나 6LoWPAN의특성상 6LoWPAN 내부의 Bot과외부의공격자혹은 C&C 서버가통신을하기위해서는반드시 6LoWPAN 게이트웨이를통해패킷을주고받아야하기때문에 6LoWPAN 게이트웨이상에서공격전에공격자혹은 C&C 서버가 Bot과주고받는제어트래픽을분석하여대처할수있다. 표 1 WSN 과 6LoWPAN 에서의공격기법차이 공격시점 WSN 공격프로세스가실행되어특정조건이충족되면실행 6LoWPAN 공격자가명령을전송한뒤조건을만족할시실행 모니터링 불가 가능 유지 / 보수 불가 가능 특징 미리정의된형태의공격만가능 공격자가공격의유형, 시점을업데이트가능

봇넷트래픽특성을이용한 6LoWPAN 기반봇넷탐지법 37 3.2 6LoWPAN 기반의 Botnet 탐지기법제안사항을설명하기에앞서본논문에서는다음과같은사항을가정한다. 6LoWPAN 상에는하나의 Bot만이설치되어있다. 하나의 Bot만으로도공격자는자신의목적을이루기위한공격수행이가능하다. 6LoWPAN 상에서사용될수있는인증메커니즘이나암호화기법은고려하지않는다. 즉, 실제인증메커니즘이나암호화기법이사용되더라도공격자는해당기법을이미알고있으며 Bot이데이터조작하는것에지장이없는것으로가정한다. 학습단계에서는 6LoWPAN 상에 Bot이없는것으로가정한다. 6LoWPAN 게이트웨이를통과하는모든패킷은목적지필드나출발지필드값으로센서노드의주소를가지게된다. 이를이용하여게이트웨이를지나는모든패킷을개개의노드별로분석하는것이가능하다. 분석을위한모듈은그림 6과같다. 우선정보분석을위해게이트웨이를지나는패킷으로부터표 2의정보를별도로저장한다. ASCII check 모듈은페이로드의아스키코드값의합을계산한다. 정상적인노드와사용자간주고받는명령어와데이터의유형이다르기때문에아스키코드값을 구해노드별로비교를하게되면 Bot에감염된노드와그렇지않은노드간에차이가나타나게된다. Packet Length check 모듈은한번의연결에서각패킷의데이터영역길이평균을측정한다. 정상적인센서노드가수신하는쿼리문의길이와 Bot이수신하는쿼리문의길이는다를수밖에없으며특히 Bot의경우주기적인업데이트나 key유지를위해외부에서일반적인명령뿐만이아니라프로그램파일등을수신하기때문에주고받는패킷의길이의평균값이차이가난다. Activity check 모듈은단위시간당센서노드가외부로통신을시도하는횟수를측정한다. Bot의경우일반적인센서노드와는달리공격자나외부 Bot과의연결을유지하기위해주기적으로외부와통신을하게되는데이를측정하기위한모듈이다. Bot Analysis 모듈은다른세모듈로부터받은데이터를이용하여 Bot의유무를판단한다. 판단을하는동작과정은다음코드와같다. 그림 6 Bot 탐지를위한 6LoWPAN 게이트웨이모듈 표 2 트래픽분석에사용될정보 Name Description Source Address 패킷의출발지주소 Destination Address 패킷의목적지주소 Sum of ASCII 페이로드의아스키코드값의합 Packet Length 패킷길이 3.2.1 학습단계학습단계에서는트래픽비교분석시사용할트래픽특성편차의최대값을찾는다. Bot이없는상태에서세가지모듈 (ASCII check, Packet Length check, Activity check) 특성값의편차를측정하여최대편차의크기를구하는것이본단계의목적이다. 최대편차를구하기위한식은 (1), (2) 와같다. 최대 t 값을구할때표본의수, 즉위의식에서 s의값을크게할수록최대값을구할확률은높아진다. 제안된세개의모듈에서나온값에대해위의연산을수행할경우본단계에서 t 1, t 2, t 3 의값을구할수있다. 이

38 정보과학회논문지 : 정보통신제 38 권제 1 호 (2011.2) 때최대편차값을구하기위해 6LoWPAN 내부의전체노드의편차값을구하는것이아니라 10개의임의의노드를선택하여값을여러번측정한뒤그최대값을찾는다. 3.2.2 탐지단계본단계에서는학습단계에서구한최대편차값 t 1, t 2, t 3 을이용하여 Bot의유무를탐지한다. 위의식 (1) 을이용하여실시간으로현재트래픽의특성을분석하는데이과정은앞서설명된 Bot Analysis 모듈의동작과정과같다. 여기서분석시하나의검색대상노드와편차를구하기위한다른임의의노드를선택하여연산을하게되는데이때선택되는임의노드수는편차의값에영향을주게된다. 이영향을주게되는편차의값은다음절에서실험을통해설명하도록하겠다. 탐지단계에서계산된 t 1', t 2', t 3' 을학습단계에서계산한최대편차값 t 1, t 2, t 3 와비교하여세값이모두최대편차값을벗어나는경우 Bot이발생한것으로간주하여경고를발생한다. 4. 성능평가 앞서서술한바와같이기존 IP 네트워크환경에서 Botnet을탐지하기위한메커니즘과연구, 시제품은많지만 6LoWPAN과같이 IP가지원되는무선센서네트워크상에서의 Botnet 탐지에대한연구는전무하다고할수있다. 이는기존 Botnet이리소스 ( 네트워크대역폭, 호스트의연산능력등 ) 를선점하여다른프로세스나클라이언트가서비스를받지못하게하는공격을주로사용하는특징을보였는데이러한점이자원이제한된센서네트워크에서는부적합하기때문이다. 그러나본논문에서는 Botnet이라는공격형네트워크를통하여리소스를소비하는공격이아닌공격자의의도대로데이터를조작하는공격이가능하다는것을제안하였고이를탐지하기위해 Botnet의특성을분석하여 Bot과공격자가주고받는제어트래픽의특성을분석하여 Botnet을탐지하는기법을제안하였다. 제안된메커니즘은 Bot의행위를분석하여유무를판단하는기법으로다음과같은장점이있다. 첫째, 행위 표 3 시뮬레이션에사용된파라미터 Parameter Value Packet length (byte) 10-13 Number of nodes 100 Packet Generation Rate 0.5 packet per every 1 ms Sum of ASCII 30-40 Test Time 40,000 ms The number of Simulation 100 기반탐지메커니즘으로어떠한유형의 Bot에도대응이가능하다. 둘째, Bot과정상노드의상대적인차이를판별하여탐지하기때문에다른기능을가진여러 6LoWPAN 환경에도같은메커니즘을수정하지않고사용할수있다. 셋째, 미탐및오탐의경우반복적인실험을통해최대편차값과 Bot analysis 모듈에서최소한의평균치를구하는시간을조절하여줄일수있다. 넷째, 정상적인트래픽과그렇지않은트래픽을비교하는기법으로시그내쳐가필요하지않고새로운유형의 Botnet이나타나도대처가가능하다. 이런방식은게이트웨이상에서단순한규칙에의존하여필터링역할만하는방화벽과는기능이나작동메커니즘이다른것을알수있다. 제안된메커니즘을평가하기위해시뮬레이션을수행하였으며표 3은시뮬레이션의파라미터값들이다. 시뮬레이션은 C++ 로작성한코드로수행되었으며패킷의길이와데이터를다양하게하기위해서길이는 10 에서 13byte, 그리고아스키코드의총합은 30에서 40 사이의값을가지는패킷을랜덤하게생성하도록하였다. 그리고 bot 노드의경우아래의특성에서벗어나는패킷을 40초의시간중임의의시간에발생시키도록그리고게이트웨이의탐지모듈에서탐지하는과정을 100 번반복하였다. 그림 7은학습단계에서각각모듈의최대편차값을그림 7 학습단계에서후보군수에따른임계치변화

봇넷트래픽특성을이용한 6LoWPAN 기반봇넷탐지법 39 탐률과미탐률을줄일수있다. 그림 9는 t1 (sum of ASCII의임계값 ) 값의변화에따른오탐률과탐지율을보여준다. 앞서그림 7과그림 8에서나타난것처럼 t1 의값이 2.3에서 2.4일때높은탐지율과낮은오탐률을보여주는것을확인할수있다. t1 의값이낮을경우오탐률이높게나타나고반대로 t1 의값이높을경우탐지율이떨어지기때문에학습단계에서적절한 t1 의값을찾는것이중요하다고할수있다. 5. 6LoWPAN 기반 Botnet 탐지시스템구현 그림 8 탐지단계에서동시연산노드수에따른측정값변화그림 9 t 1 값에따른탐지율과오탐율의변화구하는것으로최대편차값계산시 100개의노드중에서 10개의노드를임의로선택하여최대편차값을계산한것을보여준다. t1 은 sum of ASCII check 모듈에서측정되는임계치이고 t2 는 packet length check 모듈에서측정되는임계치이다. 이때 10개의임의노드를선택하는횟수를한번에서여섯번까지변화를주며총 100번의실험을한뒤평균값을기술하였다. 그래프에서알수있듯이, 최대편차값을구할때후보군의수를늘릴수록더높은최대값을찾는것을볼수있다. 그림 8은탐지단계에서노드별로트래픽의특성을분석시임계값과비교를위한표준편차를구할때같이연산한임의의다른노드숫자이다. 그래프에서알수있듯이동시에연산하는노드의숫자를증가시킬경우표준편차가작아지는것을확인할수있는데, 이는 Bot이발생시킨트래픽이표준편차에미치는영향력이작아지기때문이다. 따라서탐지단계에서동시에연산하는노드의수는전체노드의 10% 를넘지않아야오 본장에서는 Hmote2430[13] 을사용하여구축한 6LoWPAN 네트워크테스트베드환경및본논문에서제안한 Botnet 탐지모듈을이용하여개발한 Bot 탐지시스템에대해설명한다. Hmote2430은 TICC2430 무선칩과 8051 코어로구성되어있다. 제안된모듈은 6LoWPAN 내의센서노드와통신을하는 6LoWPAN 게이트웨이상에설치되었다. 그림 10은 Bot 탐지시스템을보여준다. 테스트베드상에제안한시스템을설치하기위하여 FreeRTOS[14] 기반의 Nano stack[15] 을사용하였다. 그림 11은테스트베드의구성요소별모듈구조를보여준다. 테스트베드에서는 6LoWAPN 게이트웨이와연결된 6LoWPAN 센서노드에데이터를조작할 Bot을미리설치하였다. 그리고시연을위해공격자인터페이스를개발하였다. 각각의센서노드에는앞서설명한 FreeRTOS의 Nano stack이설치되었다. 그림 12는 6LoWPAN gateway와모니터링시스템, 그리고가상공격자의사용자인터페이스를보여준다. 좌측상단의상자속의인터페이스는가상공격자인터페이스로상단의라디오버튼을통해데이터를위조할노드의번호를선택하여명령전송 (1) 을누르면 Bot 으로데이터위조명령을보내게된다. 좌측하단의상그림 10 6LoWPAN 기반 Botnet 탐지시스템테스트베드

40 정보과학회논문지 : 정보통신제 38 권제 1 호 (2011.2) 그림 11 테스트베드의구성요소별모듈구조 시뮬레이션과테스트베드구현을통해그것을증명하였다. 본논문에서제안한 Botnet 탐지법은 Bot에감염된노드가발생시키는트래픽이정상적인트래픽과다른특징을가진점을이용하여 Botnet을탐지한다. 그러나단일 6LoWPAN 상에 Bot의숫자가많아지거나하나의 6LoWPAN이많은종류의서비스를제공하게될경우탐지율이낮아지는문제점이있다. 그리고무엇보다 6LoWPAN 내부의 6LoWPAN 센서노드숫자가많아지면게이트웨이에서패킷을일일이분석하기위한오버헤드가커져성능저하가발생한다. 따라서 6LoWPAN 의규모가커지고동시에많은종류의서비스를지원하며네트워크내에다수의 Bot이존재할경우, 이를게이트웨이에서어떻게효율적으로분석하고탐지할지에대한연구가추가적으로필요하다. 그리고학습단계와탐지단계에서전체센서노드의수에서몇개의샘플링센서노드를선택하여연산하는것이오탐율과미탐율을낮출수있는지에대한수학적인증명도필요하다. 참고문헌 그림 12 6LoWPAN 게이트웨이, 모니터링시스템, 공격자의사용자인터페이스자는환자모니터링인터페이스로 6LoWPAN 센서노드에서보내온온도데이터를그래프로표시해준다. (2) 번은환자를선택하기위한버튼이고 (3) 번의영역에해당환자의간단한정보가나타난다. 그리고 (4) 그래프영역에환자의체온정보가실시간으로표시된다. 우측상자의인터페이스는 6LoWPAN Gateway 상에설치된 Botnet 탐지시스템인터페이스로 6LoWPAN 센서노드별로분석된트래픽정보 (Red - ASCII, Blue - Packet Length, Green - Activity) 를실시간으로표시하고 (5) 이상발생시알람메시지 (6) 를발생시킨다. 6. 결론및향후계획본논문에서는 6LoWPAN에서발생가능한 Botnet의공격유형과그탐지법을설명하고제안하였다. 그리고 [ 1 ] Ramneek Puri, "Bots & Botnet: An Overview," SANS Institute, Aug. 2003. [2] N. Kushalnagar, G. Montenegro, and C. Schumacher, IPv6 over Low-Power Wireless Personal Area Networks (6LoWPANs): Overview, Assumptions, Problem Statement, and Goals, IETF RFC 4919, Aug. 2007. [3] Hyunsang Choi, Hanwoo Lee, Heejo Lee, Hyogon Kim, "Botnet Detection by Monitoring Group Activities in DNS Traffic," Computer and Information Technology, 2007. 7th IEEE International Conference on, pp.715-720, Oct. 2007. [4] Elizabeth Van Ruitenbeek and William H. Sanders, "Modeling Peer-to-Peer Botnets," Quantitative Evaluation of Systems, 2008. QEST '08. Fifth International Conference on, pp.307-316, Sep. 2008. [5] Ping Wang, Sherri Sparks, Cliff C. Zou, "An Advanced Hybrid Peer-to-Peer Botnet," Dependable and Secure Computing, IEEE Transactions on, 2007. [6] Su Chang, Linfeng Zhang, Yong Guan, Thomas E. Daniels, "A Framework for P2P Botnets," 2009 International Conference on Communications and Mobile Computing, pp.594-599, 2009. [7] Thorsten Holz, Moritz Steiner, Frederic Dahl, Ernst Biersack, Felix Freiling, "Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm," Proceedings of the 1st Usenix Workshop on Large-Scale Exploits and Emergent Threats, Apr. 2008. [8] S.-K. Noh, J.-H. Oh, J.-S. Lee, B.-N. Noh, and H.-C. Jeong, "Detecting P2P botnets using a multi-

봇넷트래픽특성을이용한 6LoWPAN 기반봇넷탐지법 41 phased flow model," Digital Society, 2009. ICDS '09. Third International Conference on, pp.247-253, Feb. 2009. [9] Petar Maymounkov, David Mazières, "Kademlia: A Peer-to-Peer Information System Based on the XOR Metric," LNCS 2429, pp.53-65, 2002. [10] IEEE Std. 802.15.4-2003, Oct. 2003. [11] Edith C. H. Ngai, Jiangchuan Liu, Michael R. Lyu, "On the Intruder Detection for Sinkhole Attack in Wireless Sensor Networks," ICC 2006, Proceedings of the IEEE International Conference on Communications, pp.3383-3389, 2006. [12] Carlton R. Davis, Jose M. Fernandez, Stephen Neville, John McHugh, "Sybil attacks as a mitigation strategy against the Storm botnet," Malicious and Unwanted Software, MALWARE 2008. 3rd. [13] Hmote2430, homepage : http://hybus.co.kr/sub02/ product.htm?c_parent=235 조응준 2008년 2월경희대학교컴퓨터공학과 ( 공학사 ). 2010년 2월경희대학교컴퓨터공학과 ( 공학석사 ). 2010년 3월~현재경희대학교컴퓨터공학과박사과정. 관심분야는 Security for Wireless Sensor Network, Botnet Detection, Cross-Layer 기법을이용한보안성향상 김진호 2005년 2월경희대학교컴퓨터공학과 ( 공학사 ). 2007년 2월경희대학교컴퓨터공학과 ( 공학석사 ). 2010년 8월경희대학교컴퓨터공학과 ( 공학박사 ). 2010년 11월~ 현재 NTT DOCOMO, Research Laboratories, Senior Research Engineer. 관심분야는 Future Internet, Mobility Management 홍충선 1983년경희대학교전자공학과 ( 공학사 ) 1985년경희대학교전자공학과 ( 공학석사 ) 1997년 Keio University, Department of Information and Computer Science ( 공학박사 ). 1988년~1999년한국통신통신망연구소수석연구원 / 네트워킹연구실장. 1999년~현재경희대학교컴퓨터공학과교수. 관심분야는인터넷서비스및망관리구조, 미래인터넷, IP mobility, Sensor Networks, Network Security