확률적 염료-펌핑 알고리즘을 이용한 P2P 봇넷 멤버 탐지

봇넷은 악성 코드에 의해 감염된 봇 호스트들로 이루어진 네트워크를 의미한다. 보편적으로 쓰이고 있는 중앙집중형(Centralized) 봇넷의 경우 C&C(Command and Control) 서버의 위치 탐지에 의해 봇넷 전체의 구조파악이 용이한 반면, P2P(peer-to-peer) 봇넷은 중앙 서버가 없고 여러 가지 회피 기술로 인해 봇넷의 구조를 파악하기 어렵다. 본 논문에서는 라우터를 기준으로 내부와 외부 네트워크를 구분하고, 내부와 외부 네트워크의 송수신 패킷의 경로와 감염 확률을 통해 P2P 봇넷을 탐지하는 방법에 대해 연구하였다. 본 연구에서는 기존의 P2P 봇넷 탐지 방법인 염료-펌핑(Dye-Pumping) 알고리즘의 한계를 개선하였으며, 이는 단위 네트워크내의 P2P 봇 호스트들을 탐지하고 이들의 활동을 사전에 방지하여 P2P 봇넷이 외부로 확산되는 것을 막을 수 있는 기술로써 사용될 수 있다.