최근 들어 Botnet은 DDoS (Distributed Denial of Service), 스팸 메일, 키 로깅 등 다양한 공격에 사용되고 있다. Botnet은 다수의 Bot과 그것을 관리하는 C&C (Command and Control) 서버로 구성된 네트워크로 공격자의 명령을 C&C 서버를 통해 Bot에게 전달하여 공격을 실행하는 구조이다. 따라서 공격자의 위치가 직접적으로 노출되지 않고 무엇보다 다수의 Bot을 이용하여 공격을 실행하기 때문에 공격이 탐지되어도 대처하기가 까다로웠다. 그러나 그동안 IP 네트워크와는 별개로 개발이 진행되어오던 무선 센서 네트워크가 최근 IP를 기반으로 하는 IP-USN으로 개발되고 있으며, 그 방안으로 저전력 장치에 IPv6를 탑재할 수 있는 6LoWPAN (IPv6 over Low power WPAN)이 주목받고 있다. 이런 IP 기반의 센서 네트워크에서는 기존 우선 센서 네트워크에서는 불가능하던 IP 기반의 공격 기법들이 가능해진다. 앞서 소개한 Botnet이 그 중 하나로 무선 센서 네트워크 외부에 위치한 공격자가 센서 노드로 직접 접근이 가능하기 때문이다. 본 논문에서는 6LoWPAN 기반의 Botnet이 실행 가능한 공격 유형을 분석해보고 이를 바탕으로 하여 6LoWPAN 기반의 Botnet 트래픽 특성을 분석하여 Botnet을 탐지하는 메커니즘을 제안하고자 한다.
Recently, Botnets are used as malicious tools for sending spam-mail, logging keys and launching DDoS attacks, A Botnet is a network of Bots which are controlled by an attacker, and it is composed of several Bots and C&C (Command and Control) servers. The attacker sends commands to the C&C server in order to spread commands among the Bots. In this way, it is hard to find the attacker because there is no direct connection between the Bots and the attacker. A lot of mechanisms have been proposed to detect the Botnet on wired networks, and there are a number of commercial products to detect the Botnet. However, in a IP-based sensor network environment, especially in a 6LoWPAN (IPv6 over Low power WPAN), there is no detection mechanism for the Botnet attacks. In this paper, we analyze the threat of Botnet in a 6LoWPAN, and propose a mechanism to detect Botnet in a 6LoWPAN using characteristics of Botnet traffic. We also present the implementation of our mechanism in a 6LoWPAN environment.
