봇넷이란 무엇인가요?

봇넷

봇넷

봇넷은 하나 이상의 전파 방법을 사용하여 봇 프로그램(bot 프로그램)으로 다수의 호스트를 감염시키는 것을 말합니다. 감염 컨트롤러와 감염된 호스트 사이에 형성된 일대다 제어 가능한 네트워크입니다.

봇넷 개념에는 여러 가지 키워드가 있습니다. "봇 프로그램"은 로봇의 약어로 악성 제어 기능을 구현하는 프로그램 코드를 의미하고, "좀비 컴퓨터"는 봇이 이식된 컴퓨터를 의미하며, "제어 서버"는 제어 및 통신을 위한 중앙 서버를 의미합니다. IRC(Internet Relay Chat) 프로토콜에 의해 제어되는 봇넷은 IRC 채팅 서비스를 제공하는 서버를 의미합니다.

봇넷

우선, 이 네트워크는 물리적인 의미에서 토폴로지 구조를 가진 네트워크를 의미하지 않습니다. 봇 프로그램이 계속해서 확산되고 좀비 컴퓨터의 새로운 위치가 네트워크에 지속적으로 추가됩니다.

둘째, 이 네트워크는 활성 취약점 공격, 이메일 바이러스 및 기타 바이러스 및 웜 전파 방법과 같은 특정 악성 전파 방법을 사용하여 형성되며, 이는 봇넷을 확산시키는 데 사용될 수 있습니다. 악성 프로그램 봇도 바이러스나 웜입니다.

마지막으로 봇넷의 가장 중요한 특징이기도 한 점은 동일한 악성 행위를 일대다로 수행할 수 있다는 점이다. 예를 들어 분산 서비스 거부(DDoS)가 가능하다. 타겟 웹사이트를 동시에 공격하여 대량의 스팸 등을 전송하는 등의 일대다 제어 관계를 통해 공격자는 많은 수의 리소스를 효율적으로 제어하여 매우 저렴한 비용으로 서비스를 제공할 수 있습니다. 이는 최근 해커들이 Botnet 공격 모델을 선호하는 근본적인 이유이기도 합니다. 악의적인 작업을 수행할 때 Botnet은 공격 플랫폼 역할을 하므로 Botnet은 단순한 바이러스 및 웜과 다르며 일반 트로이 목마와도 다릅니다.

봇넷은 해커가 중앙에서 제어하는 ​​인터넷상의 컴퓨터 그룹으로 해커가 DDoS(분산 서비스 거부) 공격과 같은 대규모 네트워크 공격을 실행하는 데 자주 사용됩니다. 대규모 스팸 등 동시에 해커는 은행 계좌 비밀번호, 주민등록번호 등 이러한 컴퓨터에 저장된 정보를 마음대로 "액세스"할 수도 있습니다. 따라서 네트워크 보안 운영 보호이든 사용자 데이터 보안 보호이든 봇넷은 매우 위협적인 위험입니다. 따라서 봇넷의 위협은 국제적으로 큰 관심사가 되었습니다. 그러나 봇넷을 발견하는 것은 매우 어렵습니다. 해커는 일반적으로 사용자가 알지 못하는 상태에서 네트워크에 분산된 "좀비 호스트"를 원격으로 은밀하게 제어하기 때문입니다. 따라서 봇넷은 현재 인터넷에서 해커가 가장 선호하는 도구입니다.

네티즌 입장에서는 '좀비 바이러스'에 감염되기가 매우 쉽다. 포즈를 취하는 미녀와 인터넷상의 다양한 재미있는 미니 게임은 모두 마우스 클릭만으로 네티즌을 매료시킵니다. 그러나 실제로 클릭한 후에는 아무 일도 일어나지 않습니다. 모든 것은 네티즌이 문제가 있는 소프트웨어를 다운로드하도록 유도하려는 사기일 뿐임이 밝혀졌습니다. 이 독성 소프트웨어가 네티즌의 컴퓨터에 들어가면 원격 호스트가 명령을 내리고 컴퓨터를 제어할 수 있습니다.

전문가들은 인간이 조종할 수 있고 원격 호스트의 명령에 따라 다양한 불법 활동을 수행할 수 있는 좀비 컴퓨터가 매주 평균 수십만 대씩 추가되고 있다고 말합니다. 대부분의 경우, 좀비 컴퓨터는 자신이 선택되었고 다른 사람의 처분을 받고 있다는 사실을 전혀 모릅니다.

봇넷이 등장하는 이유는 집에서 초고속 인터넷 접속이 점점 일반화되고 있기 때문이다. 고속 인터넷 접속은 더 많은 트래픽을 처리(또는 생성)할 수 있지만, 고속 인터넷 접속이 가능한 가족은 오랫동안 컴퓨터를 켜두는 데 익숙합니다. 컴퓨터가 켜져 있을 때만 원격 호스트가 좀비 컴퓨터에 명령을 내릴 수 있습니다. .

네트워크 전문가들은 “중요한 하드웨어 시설은 바이러스 백신, 해커 백신을 중요시하지만 네트워크의 진짜 보안 허점은 자영업자들의 자기 인식이 부족한 데서 나온다”고 말했다. -보호, 네트워크를 지뢰로 가득 채우고 네트워크를 손상시킵니다.”

Botnet의 개발 과정

Botnet은 자동 기술을 적용하여 점차 발전했습니다. 지능형 프로그램. 초기 IRC 채팅 네트워크에서는 채널 남용 방지, 권한 관리, 채널 이벤트 녹화 등 일부 서비스가 반복되었으며 관리자가 작성한 지능형 프로그램으로 완료할 수 있는 일련의 기능이 있었습니다. 그래서 1993년에 Bot 도구인 Eggdrop이 IRC 채팅 네트워크에 등장했습니다. 이는 사용자가 IRC 채팅 네트워크를 편리하게 사용할 수 있도록 도와준 최초의 봇 프로그램이었습니다. 이 봇의 기능은 선량하고 서비스 목적으로 사용됩니다. 그러나 이 설계 아이디어는 해커에 의해 악용되어 다수의 피해자 호스트를 제어하고 악의적인 목표를 달성하기 시작합니다.

1990년대 후반 분산 서비스 거부 공격의 개념이 성숙해지면서 TFN, TFN2K, Trinoo 등 수많은 분산 서비스 거부 공격 도구가 등장했습니다. 분산 서비스 거부 공격을 시작하기 위한 감염된 호스트 수. 어떤 의미에서 이러한 제어된 호스트에는 이미 Botnet의 프로토타입이 있습니다.

1999년 제8회 DEFCON 연례 컨퍼런스에서 발표된 SubSeven 버전 2.1은 IRC 프로토콜을 사용하여 좀비 호스트에 대한 공격자의 제어 채널을 구축하기 시작했으며 최초의 실제 봇 프로그램이 되었습니다. 이후 GTBot, Sdbot 등 IRC 프로토콜 기반의 봇 프로그램이 대거 등장하면서 IRC 프로토콜 기반의 봇넷이 주류를 이루게 되었습니다.

2003년 이후 웜 기술이 계속해서 성숙해지면서 봇의 확산은 웜의 능동 전파 기술을 활용하기 시작했고, 이로 인해 대규모 봇넷의 빠른 구축이 가능해졌습니다. 유명한 것으로는 2004년에 발생한 Agobot/Gaobot과 rBot/Spybot이 있습니다. 같은 해 등장한 Phatbot은 P2P 구조를 독립적으로 사용하여 Agobot 기반 제어 채널을 구축하기 시작했습니다.

양성 봇의 출현부터 악성 봇의 구현까지, 웜 기술을 이용한 수동적 전파부터 능동적 전파까지, 간단한 IRC 프로토콜을 사용하여 제어 채널을 형성하는 것부터 복잡하고 변경 가능한 P2P 구조 제어 모델을 구축하는 것까지, Botnet 점차 규모가 크고 기능이 다양하며 탐지가 어려운 악성 네트워크의 발전은 현재의 네트워크 보안에 무시할 수 없는 위협으로 다가오고 있습니다.

Botnet의 작업 프로세스

Botnet의 작업 프로세스는 전파, 참여 및 제어의 세 단계로 구성됩니다.

봇넷에 가장 먼저 필요한 것은 일정 규모의 통제된 컴퓨터이며, 이 규모는 일부 또는 여러 통신 방식을 사용하는 봇 프로그램의 확산으로 점차 형성된다. 프로세스:

(1) 취약점을 적극적으로 공격합니다. 시스템의 취약점을 공격해 접근권한을 얻은 뒤, 봇 프로그램을 실행해 쉘코드에 코드를 주입하는 방식이다. 그러면 공격받은 시스템을 좀비 호스트에 감염시킨다. 이 범주에 속하는 가장 기본적인 감염 경로는 공격자가 일련의 해킹 도구와 스크립트를 수동으로 사용하여 공격한 후 권한을 얻은 후 봇 프로그램을 다운로드하여 실행하는 것입니다. 공격자는 또한 봇과 웜 기술을 결합하여 봇 프로그램이 자동으로 확산되도록 할 것입니다. 유명한 봇 샘플 AgoBot은 봇 프로그램의 자동 확산을 실현합니다.

(2) 이메일 바이러스. 봇 프로그램은 또한 일반적으로 이메일 첨부 파일에 봇 프로그램을 포함하고 이메일 콘텐츠에 봇 프로그램을 다운로드 및 실행할 수 있는 링크를 포함하고 일련의 사회 공학 기법을 통해 수신자가 바이러스를 실행하도록 유도함으로써 대량의 이메일 바이러스를 전송함으로써 스스로 확산될 수 있습니다. 첨부 파일은 링크를 클릭하거나 이메일 클라이언트의 취약점을 악용하여 자동으로 실행되어 수신자 호스트를 감염시키고 좀비 호스트가 될 수 있습니다.

(3) 인스턴트 메시징 소프트웨어. 인스턴트 메시징 소프트웨어를 이용해 친구 목록에 봇 프로그램 실행 링크를 보내고, 소셜 엔지니어링 기술을 사용해 친구를 속여 클릭하도록 유도해 감염시킨다. 예를 들어, 초기에 발생한 MSN 섹시 치킨(Worm.MSNLoveme). 2005년에는 이 방법을 사용했습니다.

(4) 악성 웹사이트 스크립트. 공격자는 웹 서비스를 제공하는 웹 사이트의 HTML 페이지에 악성 스크립트를 바인딩하며, 방문자가 이러한 웹 사이트를 방문하면 악성 스크립트가 실행되어 봇 프로그램이 호스트에 다운로드되고 자동으로 실행됩니다.

(5) 트로이 목마. 유용한 소프트웨어로 위장하여 웹사이트, FTP 서버, P2P 네트워크에서 제공되어 사용자를 속여 다운로드하고 실행하게 합니다.

위의 전파 방식을 보면 봇넷 형태의 전파 방식은 복잡한 기능을 가진 웜, 바이러스, 스파이웨어와 매우 유사하다는 것을 알 수 있다.

가입 단계에서는 감염된 각 호스트가 자신에게 숨겨진 봇 프로그램을 시작하면서 봇넷에 가입하게 됩니다. 가입 방법은 제어 방법 및 통신 프로토콜에 따라 다릅니다. IRC 프로토콜 기반의 봇넷에서는 봇 프로그램에 감염된 호스트는 지정된 서버와 채널에 로그인한 후 해당 채널에서 컨트롤러의 악의적인 지시를 기다립니다. 그림 2는 새로운 봇이 지속적으로 Botnet에 추가되는 실제 Botnet의 동작을 보여줍니다.

제어 단계에서는 공격자가 미리 정의된 제어 명령을 중앙 서버를 통해 전송하여 감염된 호스트가 DDos 공격 실행, 민감한 호스트 정보 도용, 악성 프로그램 업데이트 및 업그레이드 등의 악성 행위를 수행할 수 있도록 허용합니다. . 그림 3은 제어 단계에서 인트라넷에 악성 프로그램을 확산시키는 관찰된 봇넷 동작을 보여줍니다.

봇넷 분류

봇넷은 다양한 분류 기준에 따라 여러 범주로 분류될 수 있습니다.

봇 프로그램 종류에 따라 분류

(1) Agobot/Phatbot/Forbot/XtremBot. 이것은 아마도 가장 유명한 봇 도구일 것입니다. 바이러스 백신 공급업체 Spphos는 Agobot(Sophos Virus Analysis)의 알려진 다양한 버전을 500개 이상 나열하고 있으며 이 숫자는 꾸준히 증가하고 있습니다. 봇 도구 자체는 크로스 플랫폼 C++로 작성되었습니다.

Agobot의 최신 버전은 명확한 코드와 좋은 추상 디자인을 가지고 있으며, 명령이나 기타 취약점 스캐너 및 공격 기능을 추가하는 것이 매우 간단합니다. 호스트를 타협하세요. 샘플을 얻은 후 리버스 엔지니어링하는 것은 디버거(Softice 및 O11Dbg) 및 가상 머신(VMware 및 Virtual PC)을 모니터링하는 기능을 포함하기 때문에 어렵습니다.

(2)SDBot/RBot/UrBot/SpyBot/. 이 악성코드 계열은 현재 가장 활동적인 봇 프로그램 소프트웨어입니다. SDBot는 C 언어로 작성되었습니다. Agobot과 동일한 기능을 제공하지만 명령 세트가 크지 않고 구현이 복잡하지 않습니다. IRC 프로토콜을 기반으로 한 일종의 봇 프로그램입니다.

(3) GT-봇. GT-Bots는 현재 널리 사용되는 IRC 클라이언트 프로그램인 mIRC를 기반으로 작성되었습니다. GT는 (Global Threat)의 약자입니다. 이 유형의 봇 도구는 스크립트 및 기타 바이너리를 사용하여 mIRC 채팅 클라이언트를 열지만 원래 mIRC 창은 숨깁니다. mIRC 스크립트를 실행하여 지정된 서버 채널에 연결하고 악성 명령을 기다립니다. 이러한 유형의 봇 프로그램은 mIRC 프로그램과 함께 번들로 제공되므로 크기가 상대적으로 커서 1MB보다 큰 경우가 많습니다.

봇넷 제어 방법에 따라 분류

(1) IRC 봇넷. 이러한 유형의 봇넷을 구성하는 주요 봇 프로그램은 현재 대다수의 봇넷이 이 범주에 속합니다.

(2)AOL 봇넷. IRC Bot과 유사하게 AOL은 America Online에 인스턴트 메시징 서비스를 제공합니다. 이 유형의 Botnet은 이 인스턴트 메시징 서비스에 의해 형성된 네트워크를 기반으로 구축됩니다. 감염된 호스트는 제어 명령을 받기 위해 고정된 서버에 로그인합니다. AIM-Canbot과 Fizzer는 AOL Instant Messager를 사용하여 봇을 제어합니다.

(3) P2P 봇넷. 이러한 유형의 봇넷 자체에 사용되는 봇 프로그램에는 Gnutella 기술(오픈 소스 파일 공유 기술)을 사용하여 서버에 연결하고 WASTE 파일 공유 프로토콜을 사용하여 서로 통신할 수 있는 P2P 클라이언트가 포함되어 있습니다. 이 프로토콜은 분산 방식으로 연결되므로 각 좀비 호스트는 다른 좀비 호스트를 쉽게 찾아 통신할 수 있습니다. 일부 봇을 확인하고 종료해도 봇넷의 생존에는 영향을 미치지 않으므로 이 클래스 봇넷은 단일하지 않은 특성을 갖습니다. 실패 지점이 있지만 구현이 상대적으로 복잡합니다. Agobot과 Phatbot은 P2P 접근 방식을 채택합니다.

봇넷의 폐해

봇넷은 다양한 공격을 효과적으로 수행할 수 있는 공격 플랫폼을 구성하며, 이로 인해 기본 정보 네트워크 전체나 중요한 응용 시스템이 마비될 수 있습니다. 또한 대량의 기밀이나 개인정보가 유출될 수 있으며, 온라인 사기 등 기타 불법 및 범죄 행위에 가담하는 데 사용될 수도 있습니다. Botnet을 이용하여 발견된 공격은 다음과 같습니다. 앞으로 다양한 새로운 공격 유형이 등장함에 따라 봇넷을 사용하여 알려지지 않은 새로운 공격을 시작할 수도 있습니다.

(1) 서비스 거부 공격. 봇넷을 사용하여 DDos 공격을 실행하는 것은 현재 가장 중요한 위협 중 하나입니다. 공격자는 자신이 제어하는 ​​모든 봇에 명령을 보내 특정 시간에 특정 네트워크 대상에 지속적으로 액세스하기 시작하여 DDos의 목적을 달성할 수 있습니다. 봇넷은 거대한 규모를 형성할 수 있고 이를 사용하여 DDos 공격을 수행하면 더 나은 동기화를 달성할 수 있기 때문에 제어 명령을 내릴 때 DDos를 더 해롭고 예방하기가 더 어려워질 수 있습니다.

(2) 스팸을 보냅니다. 일부 봇은 sockv4 및 v5 프록시를 설정하여 Botnet을 사용하여 대량의 스팸을 보낼 수 있고 보낸 사람은 자신의 IP 정보를 잘 숨길 수 있습니다.

(3) 비밀을 훔치는 것. 봇넷 컨트롤러는 개인 계정, 기밀 데이터 등과 같은 좀비 호스트로부터 사용자의 다양한 민감한 정보 및 기타 비밀을 훔칠 수 있습니다. 동시에 봇 프로그램은 스니퍼를 사용하여 관심 있는 네트워크 데이터를 관찰하여 네트워크 트래픽의 비밀을 얻을 수 있습니다.

(4) 자원 남용. 공격자는 봇넷을 사용하여 네트워크 리소스를 소비하는 다양한 활동에 참여하여 사용자의 네트워크 성능에 영향을 미치고 심지어 경제적 손실을 초래합니다. 예: 광고 소프트웨어를 설치하고 지정된 웹사이트를 클릭하는 행위, 좀비 호스트의 자원을 이용해 대용량 데이터 및 불법 데이터 등을 저장하는 행위, 불법적인 피싱 활동에 참여하기 위해 좀비 호스트를 이용하는 행위.

봇넷은 전체 네트워크는 물론 사용자 자신에게도 심각한 피해를 입혔다고 볼 수 있습니다. 우리는 봇넷의 피해를 줄이기 위한 효과적인 방법을 취해야 합니다.

봇넷 연구 현황

봇넷에 대한 연구는 최근 몇 년간 점진적으로 시작되었으며, 백신 회사부터 학술 연구 기관까지 모두가 관련 연구 작업을 해왔습니다. 봇넷을 가장 먼저 연구하고 대응하는 곳은 바이러스 백신 공급업체입니다. 봇 프로그램의 악성성에서 시작해 백도어 툴, 웜, 스파이웨어 등의 기술을 결합한 악성코드로 간주해 바이러스 탐지 범위에 포함시킨다. 잘 알려진 모든 주요 안티 바이러스 제조업체는 바이러스 데이터베이스에 몇 가지 중요한 봇 프로그램 서명을 작성했습니다. 2004년부터 시만텍은 반기별 보안 추세 분석 보고서의 별도 장에서 봇넷 활동에 대한 관찰 내용을 제공했습니다. 카스퍼스키는 악성코드 동향 분석 보고서에서도 2004년 바이러스 분야에서 가장 큰 변화는 봇의 확산이라고 지적했다.

봇넷의 발전에 학계가 주목하기 시작한 것은 2003년부터다. 일부 국제 허니넷 프로젝트 팀과 허니넷 연구 연합의 일부 구성원은 허니넷 분석 기술을 사용하여 Azusa Pacific University의 Bill McCarty, 프랑스 허니넷 프로젝트 팀의 Richard Clarke 및 대학과 같은 봇넷 활동에 대한 심층적인 추적 및 분석을 수행합니다. 워싱턴의 Dave Dittrich와 독일 허니넷 프로젝트 팀. 특히, 독일 허니넷 프로젝트 팀은 2004년 11월부터 2005년 1월까지 Win32 허니팟 머신을 배치하여 100여개에 가까운 봇넷을 발견 및 추적하고 봇넷 추적에 대한 기술 보고서를 발표했습니다.

Botnet의 주요 위협 중 하나는 이를 공격 플랫폼으로 활용하여 지정된 대상에 대해 DDos(분산 서비스 거부 공격) 공격을 실행하는 것이므로 DDos 연구자들도 Botnet에 대한 연구를 진행했습니다. 해외 DDosVax가 주관한 "인터넷 릴레이 채팅 시스템에서 봇 탐지" 프로젝트에서는 IRC 프로토콜을 기반으로 봇 프로그램의 행동 특성을 분석하고 네트워크 트래픽에서 해당 관계를 선택하여 봇넷의 존재를 탐지했습니다. 획득한 데이터의 통계적 분석을 통해 Plantlab에 Botnet 실험 환경을 구축하여 기관의 연구 방법을 테스트하였으며, Botnet 특성 트래픽 분석 결과를 효과적으로 검증할 수 있으나, 일정한 오경보율이 존재합니다.

중국은 2005년부터 봇넷에 대한 예비 연구를 시작했습니다. 북경대학 컴퓨터과학기술연구소는 2005년 1월부터 허니넷을 활용한 봇넷 추적 프로젝트를 시작했다. 수집된 악성코드 샘플을 각각 장점이 있는 샌드박스와 허니넷 두 가지 기술을 이용해 분석해 봇넷인지 여부를 확인했다. 최종적으로 60,000개 이상의 봇넷 프로그램 샘플 분석 보고서를 확보하고, 그 중 아직 활동 중인 500개 이상의 봇넷을 추적하고 해당 국가를 집계했습니다. 유통, 규모 분포 및 기타 정보.

국가비상대응센터는 그림 4와 같이 2005년에 863-917 네트워크 보안 모니터링 플랫폼을 사용하여 노드가 1,000개 이상인 봇넷의 규모와 수를 모니터링했습니다.

이러한 데이터와 활동은 모두 우리나라의 국내 온라인 봇넷 위협이 상대적으로 심각하며 네트워크 사용자의 큰 관심이 필요하다는 것을 보여줍니다.

CCERT 악성코드 연구 프로젝트팀은 2005년 7월부터 봇넷 연구를 시작했다. 마스터링된 다수의 봇넷에 대한 실제 추적과 심층 분석을 통해 봇넷의 서버측 특성은 IRC 프로토콜을 분석하여 분류 및 추출을 통해 Botnet 서버에 대한 판단 규칙을 형성함으로써 네트워크 내 IRC 서버의 성격을 식별할 수 있습니다. 중국의 교육 및 과학 연구 컴퓨터 네트워크 환경에 적용되는 Botnet 자동 식별 시스템을 설계하고 초기 구현했습니다.

국내외에서 봇넷에 대한 연구가 2004년부터 네트워크 보안 연구자들의 관심을 점점 더 많이 받게 되면서 연구 업무가 대폭 강화되었음을 알 수 있다. 그러나 이러한 노력만으로는 충분하지 않으며 봇넷을 탐지하고 처리하는 데 아직 해야 할 일이 많이 남아 있습니다.

봇넷 연구 방법

현재 널리 사용되는 IRC 프로토콜 기반 봇넷 연구 방법으로는 허니넷 기술, 네트워크 트래픽 연구 및 IRC 서버 식별 기술이 주로 사용됩니다.

(1) 허니넷 기술을 사용합니다. 허니넷 기술은 봇 프로그램을 기반으로 봇넷의 성격과 특성을 심층적으로 추적하고 분석할 수 있습니다. 주요 연구 과정은 우선 봉인된 캔 등의 수단을 통해 인터넷에 유통되는 봇 프로그램 샘플을 최대한 많이 확보하는 것이며, 봇 프로그램 샘플을 확보한 후 리버스 엔지니어링 및 기타 악성코드 분석 방법을 사용하여 코드에 숨겨진 로그인 코드를 획득하는 것입니다. 봇넷 서버 주소, 서비스 포트, 지정된 악성 채널 이름, 로그인 비밀번호, 로그인에 사용되는 사용자 이름 등 봇넷에 필요한 속성입니다. 이 정보는 봇넷을 효과적으로 추적하고 봇넷 특성을 심층적으로 분석하기 위한 조건을 제공합니다. 미래에. .

이러한 조건을 충족한 후, 위장한 클라이언트를 이용하여 봇넷에 로그인한 후, 봇넷인지 확인한 후 봇넷에 대해 적절한 조치를 취할 수 있습니다.

(2) 네트워크 트래픽 연구. 네트워크 트래픽에 대한 연구 아이디어는 IRC 프로토콜을 기반으로 봇넷 내 좀비 호스트의 행동 특성을 분석하고, 좀비 호스트를 장기 멍한 유형과 빠른 참여 유형의 두 가지 범주로 나누는 것입니다. 구체적으로, 봇넷에는 좀비 호스트의 세 가지 명백한 행동 특성이 있습니다. 하나는 웜에 의해 확산되는 좀비 프로그램이며, 이에 감염된 많은 컴퓨터가 짧은 시간 내에 동일한 IRC 서버에 참여합니다. 첫째, 일반적으로 좀비 컴퓨터입니다. 오랫동안 온라인 상태를 유지합니다. 셋째, IRC 채팅 사용자로서 좀비 컴퓨터는 오랫동안 채팅 채널에서 말하지 않고 유휴 상태를 유지합니다. 행동특성의 첫 번째 유형은 급속참여형으로 분류되고, 두 번째와 세 번째 행동특성은 장기간 멍해짐 유형으로 분류된다.

이 두 가지 유형의 좀비 컴퓨터의 동작에 따른 네트워크 트래픽의 변화를 연구하고 오프라인과 온라인의 두 가지 분석 방법을 사용하여 봇넷을 판별하십시오.

(3) IRC 서버 식별 기술에 대한 연구. IRC 프로토콜을 기반으로 하는 다수의 실제 봇넷의 서버에 로그인을 해보면, 공격자들이 자신을 숨기기 위해 의도적으로 서버 측에서 IRC 서버의 일부 속성을 숨기는 것을 볼 수 있습니다. 동시에 봇 소스 코드 분석을 통해 감염된 호스트가 제어 서버에 합류하면 서버 측에서 많은 일반적인 특성을 나타낼 수 있음을 알 수 있습니다. 이러한 특성을 요약하면 IRC 프로토콜을 기반으로 Botnet의 서버 측을 판단하는 데 사용할 수 있는 규칙이 형성됩니다. 이러한 방식으로 Botnet의 위치, 크기, 분포 및 기타 속성을 직접 결정할 수 있어 강력한 기반을 제공합니다. 다음 단계의 대응을 위한 포지셔닝 지원.

위 세 가지 연구 방법은 모두 IRC 프로토콜 기반의 Botnet을 대상으로 합니다. P2P 구조의 봇넷에 대한 연구는 상대적으로 적고, 네트워크에서 큰 비중을 차지하지 않는 동시에 제어 방식의 분산 특성으로 인해 연구도 어렵습니다. 그러나 Botnet의 발전과 함께 P2P 구조의 Botnet에 대한 연구도 더욱 심화될 것이다.