인터넷의 확산과 컴퓨터 네트워크의 증대에 따라, 인터넷 사용자들을 위협하는 악성행위 역시 빈번히 발생, 증가하고 있다. 악성코드는 이런 악성행위를 수행하는 주요한 수단으로써 이용되고 있으며, 네트워크 기능을 가지고 탈취한 정보를 외부로 보내거나, 원격지의 컴퓨터를 공격하는 등의 악성행위를 수행하고 있다. 특히 봇넷이라 불리는 원격으로 조종되는 악성코드의 군집체는 분석서비스거부공격(DDoS), 스팸메일발송 등의 주요한 원인으로 지목되고 있다. 봇넷을 포함한 네트워크 악성코드를 탐지하고 그 활동을 제한하는데 효과적인 수단으로 도메인이름시스템(DNS)가 주목 받고 있는데, 이는 정상사용자뿐 아니라 악성코드가 인터넷 상의 원격지에 접근하는데 있어 필수적인 역할을 수행하고 있기 때문이다. 악성코드를 탐지, 제거하고자 하는 연구들이 DNS 트래픽을 감시하는 방법을 제안하고 사용됨에 따라, 악성코드들은 이 탐지를 회피하기 위하여, 악성코드 그룹의 분할운용, 고속도메인변경, 도메인생성알고리즘 등의 더 고도화되고 지능적인 탐지회피기법을 사용하고 있는 추세이다. DNS기반 탐지기법에 대한 대부분의 회피기법은 다수의 도메인을 시간적, 공간적으로 분산사용 함으로써 악성코드가 무리 지어 활동하는 것처럼 보이지 않고자 하는 공통점이 있다. 이 시간적, 공간적으로 무리행위를 분산시키는 회피기법의 등장으로 많은 기존 무리행위 탐지기법들이 회피되고 있다.
본 논문에서는 다수 도메인을 이용하는 회피기법에 대응하는 악성코드 행위 탐지기법을 제안한다. 제안하는 기법은 DNS 질의 순서를 그래프에 표현함으로써, 시간, 공간적으로 분산된 DNS 활동을 그 질의 순서상의 종속성을 기반으로 그룹 짓고, 악성행위에 사용된 도메인들을 탐지한다. 알려진 악성도메인과 질의순서적 종속관계에 있는 도메인들을 추적하고, 악성행위에 가담하거나 이용된 도메인 그룹을 탐지함으로써 봇넷 C&C 뿐 아니라, 불법광고, 스팸메일전송, 공격대상 스캐닝 등의 악성행위 또한 탐지할 수 있다. 기법의 실증적 성능을 검증하기 위하여, 한국과 미국의 인터넷서비스제공자 (ISP)와 .KR 최상위수준도메인의 DNS 서버에서 수집된 DNS 트래픽을 이용하여 기법을 실험하였고, 그 결과 99%의 판별정확성, 90% 이상의 탐지정확성, 0.5%이하의 오탐률을 보였다. 또한 각 트래픽에서 수천 개에 달하는 악성도메인을 사전정보 없이 탐지하는 성능을 보였다
Malicious activities on the Internet that jeopardize information security and economic resources are one of the most dangerous threats to Internet users and organizations. Malicious software controlled remotely is addressed as one of the most critical methods for executing the malicious activities. Since blocking domain names for command and control (C&C) of the malwares by analyzing their domain name system (DNS) activities has yielded the most effective and practical results for reducing malicious activities, attackers attempt to hide the DNS activities of their malwares by adopting several evasion techniques, such as client sub-grouping and domain flux. A common feature of the recently developed evasion techniques is the utilization of multiple domain names for render malware DNS activities temporally and spatially more complex. In contrast to analyzing the DNS activities for a single domain name, detecting the malicious DNS activities for multiple domain names is not a simple task. The DNS activities of malware that uses multiple domain names, termed multi-domain malware, are sparser and less synchronized with respect to space and time.
In this dissertation, we introduce a malware activity detection mechanism, GMAD: Graph-based Malware Activity Detection that utilizes a sequence of DNS queries in order to achieve robustness against evasion techniques. GMAD uses a graph termed Domain Name Travel Graph which expresses DNS query sequences in the form of a travel route among the domain names to detect infected clients and malicious domain names irrespective of the temporal querying pattern and the number of domain names. In addition to detecting malware C&C domain names, GMAD detects malicious DNS activities such as blacklist checking and fake DNS querying. To detect malicious domain names utilized to malware activities, GMAD applies domain name clustering using the graph structure and determines malicious clusters by referring to public blacklists. Through experiments with four sets of DNS traffic captured in two ISP networks in the U.S. and South Korea, we show that GMAD detected thousands of malicious domain names that had neither been blacklisted nor detected through temporally synchronized activity of DNS clients. In a detection accuracy evaluation, GMAD showed an accuracy rate higher than 99% on average, with a higher than 90% precision and lower than 0:5% false positive rate. It is shown that the proposed method is effective for detecting multi-domain malware activities irrespective of evasion techniques.
