N-gram을 활용한 DGA-DNS 유사도 분석 및 APT 공격 탐지

Vol. 28, No. 5, pp. 1141-1151, 9월. 2018
10.13089/JKIISC.2018.28.5.1141, Full Text:
Keywords: Advanced Persistent Threat, Intrusion Detection, Domain Generation Algorithm, N-GRAM, Data Analysis
Abstract

APT(Advanced Persistent Threat) 공격에서 감염 호스트와 C&C(Command and Control) 서버 간 통신은 공격 대상의 내부로 침입하기 위한 핵심단계이다. 공격자는 C&C 서버를 통해 다수의 감염 호스트를 제어하고, 침입 및 공격 행위를 지시하는데, 이 단계에서 C&C 서버가 노출되면 공격은 실패할 수 있다. 따라서 최근의경우 DGA(Domain Generation Algorithm)를 통해 C&C 서버의 DNS를 짧은 시간 간격으로 교체하여 탐지를 어렵게 하고 있다. 특히 하루에도 500만개 이상 새로 등록되는 DNS 전부를 검증하고 탐지하는 것은 매우 어렵다. 이러한 문제점을 해결하기 위해 본 논문에서는 정상 DNS와 DGA를 통해 생성된 DNS(DGA-DNS)의 형태적유사도(similarity) 분석을 이용한 DGA-DNS 탐지와 이를 통해 APT 공격 징후로 판단하는 모델을 제시하고 유효성을 검증한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김동현 and 김강석, "DGA-DNS Similarity Analysis and APT Attack Detection Using N-gram," Journal of The Korea Institute of Information Security and Cryptology, vol. 28, no. 5, pp. 1141-1151, 2018. DOI: 10.13089/JKIISC.2018.28.5.1141.

[ACM Style]
김동현 and 김강석. 2018. DGA-DNS Similarity Analysis and APT Attack Detection Using N-gram. Journal of The Korea Institute of Information Security and Cryptology, 28, 5, (2018), 1141-1151. DOI: 10.13089/JKIISC.2018.28.5.1141.