earticle

영어

SDN (Software Defined Networks) is a network structure that enables centralized management and control using software applications to overcome the problems of closure and complexity of existing network technologies. By pro viding programming-based network services, it may be possible to effectively respond to cyber threats such as malicious bots and APT at the network level. In this paper, we propose a method to neutralize the cyber attack stage by blocking the 'command and control (C&C)' connection even if it is infected b y malicious bots and APT based on the SDN structure. The proposed technique uses DNS sinkholes to identify/block the IPs of hosts infected with malicious bots and APT that attempt to connect to the C& C server, and blocks the connection with the C&C server by returning the result of retransmitting the t raffic from the internal host that queries the external DNS to bypass DNS sinkhole. In addition, it is po ssible to block direct access by IP method rather than a domain name, and to identify and block access to unidentified new C&C server domains. The performance of the proposed technique was verified throu gh experiments, and it was confirmed that it is possible to effectively respond to malicious bots and AP T threats.

한국어

SDN(Software Defined Networks)은 기존 네트워크 기술의 폐쇄성과 복잡성의 문제를 극복하기 위하여 소프트웨어 애플리케이션을 사용한 중앙집중적 관리와 제어를 할 수 있는 네트워크 구조이다. 프로그래밍 기반의 네트워크 서비스 를 제공함으로써 악성봇 및 APT와 같은 사이버위협에 대해 네트워크 수준에서의 효과적인 대응을 할 수 있다. 본 논 문에서는 SDN 구조기반에서 악성봇 및 APT의 감염이 되더라도 '명령 및 제어(C&C)' 연결을 차단함으로써 사이버 공 격단계를 더 이상 진행되지 못하도록 대응하여 무력화시키는 방식을 제안하고자 한다. 제안하는 기법은 DNS 싱크홀을 활용하여 C&C서버로의 연결을 시도하는 악성봇 및 APT에 감염된 호스트의 IP를 식별/차단하고, DNS 싱크홀을 우회 하여 외부 DNS로 질의하는 내부 호스트의 트래픽을 DNS 싱크홀 재전송하여 그 결과값으로 C&C서버와의 연결을 차 단한다. 또한, 도메인이 아닌 IP 방식의 직접 접속을 차단하고, 식별되지 않은 신규 C&C서버 도메인으로의 접근을 식 별하고 차단할 수 있다. 제안한 기법의 성능은 실험을 통하여 검증하였으며, 악성봇 및 APT 위협에 효과적인 대응이 가능한 것으로 확인되었다.