하드코딩된 IP를 사용하는 악성 봇넷의 검출 척도

최근 악성 봇넷은 봇넷 탐지 시스템을 회피하기 위해서 여러 가지 기술을 적용하면서 진화하고 있다. 특히 DNS 질의를 이용한 탐지기술을 사용하여 C&C나 좀비를 찾아내는 기법이 알려짐에 따라, DNS 질의를 최소화하고 하드코딩된 IP 주소를 사용하는 경향이 많아지고 있다. 본 논문에서는 최근 악성 봇넷 5종을 분석하여 하드코딩된 IP 주소의 사용 내역을 추출한다. 그리고 이러한 특징을 기반으로 하는 탐지척도를 제안한다. 그 결과로 하드코딩된 IP 주소 정보가 봇넷 탐지에 중요한 역할을 할 수 있음을 보여준다.