봇넷 연구 방법

네트워크 트래픽에 대한 연구 아이디어는 IRC 프로토콜을 기반으로 Botnet에서 좀비 호스트의 행동 특성을 분석하고 좀비 호스트를 장기 멍청 유형과 빠른 참여 유형의 두 가지 범주로 나누는 것입니다. . 구체적으로, 봇넷에는 좀비 호스트의 세 가지 명백한 행동 특성이 있습니다. 하나는 웜에 의해 확산되는 좀비 프로그램이며, 이에 감염된 많은 컴퓨터가 짧은 시간 내에 동일한 IRC 서버에 참여합니다. 첫째, 일반적으로 좀비 컴퓨터입니다. 오랫동안 온라인 상태를 유지합니다. 셋째, IRC 채팅 사용자로서 좀비 컴퓨터는 오랫동안 채팅 채널에서 말하지 않고 유휴 상태를 유지합니다. 행동특성의 첫 번째 유형은 급속참여형으로 분류되고, 두 번째와 세 번째 행동특성은 장기간 멍해짐 유형으로 분류된다.

이 두 가지 유형의 좀비 컴퓨터의 동작에 따른 네트워크 트래픽의 변화를 연구하고 오프라인과 온라인의 두 가지 분석 방법을 사용하여 봇넷을 판별하십시오. IRC 프로토콜을 기반으로 하는 다수의 실제 봇넷의 서버에 로그인을 해보면, 공격자들이 자신을 숨기기 위해 의도적으로 서버 측에서 IRC 서버의 일부 속성을 숨기는 것을 볼 수 있습니다. 동시에 봇 소스 코드 분석을 통해 감염된 호스트가 제어 서버에 합류하면 서버 측에서 많은 일반적인 특성을 나타낼 수 있음을 알 수 있습니다. 이러한 특성을 요약하면 IRC 프로토콜을 기반으로 Botnet의 서버 측을 판단하는 데 사용할 수 있는 규칙이 형성됩니다. 이러한 방식으로 Botnet의 위치, 크기, 분포 및 기타 속성을 직접 결정할 수 있어 강력한 기반을 제공합니다. 다음 단계의 대응을 위한 포지셔닝 지원.

위 세 가지 연구 방법은 모두 IRC 프로토콜 기반의 Botnet을 대상으로 합니다. P2P 구조의 봇넷에 대한 연구는 상대적으로 적고, 네트워크에서 큰 비중을 차지하지 않는 동시에 제어 방식의 분산 특성으로 인해 연구도 어렵습니다. 그러나 Botnet의 발전과 함께 P2P 구조의 Botnet에 대한 연구도 더욱 심화될 것이다.