이메일 스팸트랩을 이용한 좀비 PC 및 봇넷 추적 방안연구

Vol. 21, No. 3, pp. 101-116, 6월. 2011
10.13089/JKIISC.2011.21.3.101, Full Text:
Keywords: Botnet, Zombie PC, Spam botnet
Abstract

봇넷(Botnet)은 이미 해킹당한 좀비 PC들로 구성된 거대한 네트워크이다. 본 논문에서는 대다수의 스팸이 봇넷에 의해 발송되고 있다는 점에 착안하여 스팸메일을 분석하여 봇넷과 좀비 PC들을 탐지할 수 있는 시스템을 설계하고 이를 검증하였다. 특히, 본 논문에서는 국가차원에서 스팸 수집 분석 증거물 확보를 목적으로 KISA에서 운영하고 있는 이메일 스팸 트랩 시스템에서 수집된 방대한 스팸 메일을 분석에 활용하였다. 본 논문에서는 동일한 URL이나 첨부파일을 가진 스팸을 하나의 그룹으로 분류하고, 각 그룹의 전체 IP들이 어느 정도 봇넷의 특정을 가지고 있는지와 그룹 내의 각각의 IP들이 어느 정도 좀비 PC의 특정을 가지고 있는지를 측정하여 봇넷 그룹과 좀비 PC를 판별할 수 있도록 설계하였다. 제안된 시스템의 시뮬레이션 결과 1시간동안 16,030개의 좀비 의심 PC를 추출할 수 있었으며, 이메일 스팸이 좀비 PC를 추적하는데 상당히 유용한 정보를 제공해 줄 수 있음을 확인할 수 있었다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
H. Jeong, H. Kim, S. Lee, J. Oh, "Study for Tracing Zombie PCS and Botnet Using an Email Spam Trap," Journal of The Korea Institute of Information Security and Cryptology, vol. 21, no. 3, pp. 101-116, 2011. DOI: 10.13089/JKIISC.2011.21.3.101.

[ACM Style]
Hyun-Cheol Jeong, Huy-Kang Kim, Sang-Jin Lee, and Joo-Hyung Oh. 2011. Study for Tracing Zombie PCS and Botnet Using an Email Spam Trap. Journal of The Korea Institute of Information Security and Cryptology, 21, 3, (2011), 101-116. DOI: 10.13089/JKIISC.2011.21.3.101.