KR101902654B1 - Method for detecting smart worm propagation vulnerability and program therefor - Google Patents
Method for detecting smart worm propagation vulnerability and program therefor Download PDFInfo
- Publication number
- KR101902654B1 KR101902654B1 KR1020160178033A KR20160178033A KR101902654B1 KR 101902654 B1 KR101902654 B1 KR 101902654B1 KR 1020160178033 A KR1020160178033 A KR 1020160178033A KR 20160178033 A KR20160178033 A KR 20160178033A KR 101902654 B1 KR101902654 B1 KR 101902654B1
- Authority
- KR
- South Korea
- Prior art keywords
- worm
- propagation
- vulnerability
- worm propagation
- packet loss
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0829—Packet loss
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 일 예에 따른 웜 전파 취약점 진단 방법은 웜 전파 취약점 진단 시스템이, 패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계; 상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함한다.A method for diagnosing a worm propagation vulnerability according to an exemplary embodiment of the present invention includes the steps of: checking a frequency of occurrence of a packet loss or a worm detection; Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And diagnosing the worm propagation vulnerability according to the detection result of the success or failure of the worm propagation attack.
Description
본 발명은 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램에 관한 것으로, 더 구체적으로는 단순 수리적 모델에만 의존하는 것이 아닌 실제적인 지능형 IoT 웜 전파 취약점을 진단하기 위한 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램에 관한 것이다.The present invention relates to a method of diagnosing an intelligent worm propagation vulnerability and a program implementing the intelligent worm propagation vulnerability. More specifically, the present invention relates to a method of diagnosing an intelligent worm propagation vulnerability to diagnose an actual intelligent IoT worm propagation vulnerability, It is about a program.
웜(worm)은 스스로 전파하는 능력이 있는 악성코드이다. 일단 하나의 기기가 웜에 감염되면, 감염대상이 되는 다른 기기들을 선택해서 웜을 전파시킨다. 웜이 기존의 악성코드와 다른 점은 스스로 전파할 수 있는 능력 때문에 빠르게 전체 네트워크를 공격자의 제어 아래에 만들 수 있다는 점이다. 그러므로 웜 전파 취약점을 이해하고 진단하는 것은 웜 전파를 탐지, 차단하여 전체 네트워크가 정상적으로 동작하게 하는데 필수적이다.A worm is a malicious code capable of spreading itself. Once a device is infected with a worm, it selects other infected devices and propagates the worm. The difference between a worm and an existing malware is that it allows the entire network to be created under the attacker's control quickly because of its ability to propagate itself. Therefore, understanding and diagnosing a worm propagation vulnerability is essential for detecting and blocking worm propagation so that the entire network operates normally.
기존 인터넷과 무선 네트워크에서 악성 웜 관련 연구는 10년 이상 진행되어 웜 전파 취약점 진단에 관해서는 몇가지 방법들이 제안되고 있다.The research on malicious worms in the existing Internet and wireless networks has been conducted for more than 10 years, and several methods have been proposed for the diagnosis of worm propagation vulnerability.
지능형 웜은 네트워크 트래픽이나 탐지 시스템의 동작 여부에 따라 지능적으로 웜 전파속도를 조절하는데, 기존 제안되는 방법들은 이 부분을 다루지 않아 문제점이 있다.Intelligent worms intelligently adjust worm propagation speed according to network traffic or detection system operation. However, existing methods do not address this problem.
관련특허문헌: 한국등록번호 10-1283565 Related patent literature: Korean Registration No. 10-1283565
본 발명의 목적은 사물인터넷 환경에서 실제적인 지능형 웜 전파 취약점 진단을 하는 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램을 제공하려는 것이다.An object of the present invention is to provide a method for diagnosing an intelligent worm propagation vulnerability that diagnoses an actual intelligent worm propagation vulnerability in an object Internet environment and a program implementing the intelligent worm propagation vulnerability diagnosis method.
본 발명의 일 실시예에 따른 웜 전파 취약점 진단 방법은 웜 전파 취약점 진단 시스템이, 패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계; 상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함할 수 있다.The method for diagnosing a worm propagation vulnerability according to an embodiment of the present invention includes the steps of: checking a frequency of occurrence of a packet loss or a worm detection; Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And diagnosing the worm propagation vulnerability according to the detection result of the success or failure of the worm propagation attack.
또한 상기 웜 전파 속도를 제어하는 단계는, 패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮추도록 제어하는 단계에 해당할 수 있다.The step of controlling the propagation speed of the worm may correspond to a step of increasing the propagation speed of the worm when a small amount of packet loss occurs and a control of decreasing the propagation speed of worm when a large amount of packet loss occurs.
또한 상기 웜 전파 속도를 제어하는 단계는, 웜 탐지 실패가 기 설정된 값 이상 발생하거나, 탐지가 이루어지지 않을 경우에는 웜 전파 속도를 높이도록 제어하는 단계에 해당할 수 있다.The step of controlling the propagation speed of the worm may correspond to the step of controlling the worm propagation speed so as to increase the worm propagation speed when the worm detection failure occurs more than a preset value or when the detection is not performed.
또한 상기 웜 전파 취약점을 진단하는 단계는, 웜 전파 속도의 조절, 탐지 기법의 설정 조절, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단하는 단계에 해당할 수 있다.In addition, the step of diagnosing the worm propagation vulnerability includes steps of adjusting the propagation speed of the worm, adjusting the setting of the detection technique, and adjusting the occurrence of packet loss by adjusting the amount of network traffic, .
또한 상기 체크하는 단계 이전에, 웜 전파 방식에 관한 설정을 random 방식, hop-by-hop 방식, target list 방식을 선택하여 세팅하는 단계; 및 세팅된 방식에 따라 웜 전파를 수행하는 단계;를 포함하며, 상기 random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, 상기 hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, 상기 target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식에 해당할 수 있다.Selecting a random method, a hop-by-hop method, and a target list method on the setting of the worm propagation method before the step of checking; And performing a worm propagation according to a set method, wherein the random method is a method of arbitrarily selecting and propagating devices to be worm propagated, and the hop-by-hop method is a method of propagating worm propagation The target list method can correspond to a method in which worm propagation is performed by designating a target device for worm propagation.
본 발명의 일 실시예에 따른 웜 전파 취약점 진단 방법은 웜 전파 취약점 진단 시스템이, 제1항의 웜 전파 취약점 진단 방법을 제1 타입으로 설정하는 단계; 및 아래 수학식에 따라 네트워크 트래픽을 감지하여 감지 결과에 따라 웜 전파 취약점을 진단하는 웜 전파 취약점 진단 방법을 제2 타입으로 설정하는 단계;를 포함할 수 있다.The method of diagnosing a worm propagation vulnerability according to an embodiment of the present invention includes the steps of: setting a worm propagation vulnerability diagnostic method of the first aspect as a first type; And setting a worm propagation vulnerability diagnostic method for diagnosing a worm propagation vulnerability according to the detection result to a second type by detecting network traffic according to the following equation.
<수학식>≪ Equation &
여기서, ψ는 페어와이즈(pairwise) 감염 속도, 는 0번째 타임슬롯에서 s번째 타임슬롯까지 감염되어야할 대상 노드들의 개수, N은 전체 노드 수이다.Here, ψ represents the rate of pairwise infection, Is the number of target nodes to be infected from the 0th time slot to the s < th > time slot, and N is the total number of nodes.
본 발명에 따른 지능형 웜 전파 취약점 진단 방법 및 이를 구현한 프로그램에 의하면, 사물인터넷 환경에서 실제적인 지능형 웜 전파 취약점 진단을 수행할 수 있는 효과를 가진다. According to the intelligent worm propagation vulnerability diagnosis method and the program implementing the intelligent worm propagation vulnerability detection method according to the present invention, it is possible to perform an actual intelligent worm propagation vulnerability diagnosis in the Internet environment of objects.
도 1은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템을 나타내는 블록도이다.
도 2는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템의 처리를 설명하기 위한 도면이다.
도 3 내지 도 5는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법을 나타내는 흐름도이다.
도 6은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법에 따른 진단 기기를 보여주는 도면이다.1 is a block diagram illustrating an intelligent worm propagation vulnerability diagnostic system in accordance with an embodiment of the present invention.
2 is a view for explaining a process of the intelligent worm propagation vulnerability diagnosis system according to an embodiment of the present invention.
3 to 5 are flowcharts illustrating an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention.
6 is a diagram illustrating a diagnostic device according to an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention.
본 명세서 또는 출원에 개시되어 있는 본 발명의 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다.Specific structural and functional descriptions of the embodiments of the present invention disclosed herein are for illustrative purposes only and are not to be construed as limitations of the scope of the present invention. And should not be construed as limited to the embodiments set forth herein or in the application.
본 발명에 따른 실시예는 다양한 변경을 가할 수 있고 여러가지 형태를 가질 수 있으므로 특정실시 예들을 도면에 예시하고 본 명세서 또는 출원에 상세하게 설명하고자 한다. 그러나 이는 본 발명의 개념에 따른 실시 예를 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The embodiments according to the present invention are susceptible to various changes and may take various forms, so that specific embodiments are illustrated in the drawings and described in detail in this specification or application. It should be understood, however, that the embodiments according to the concepts of the present invention are not intended to be limited to any particular mode of disclosure, but rather all variations, equivalents, and alternatives falling within the spirit and scope of the present invention.
제1 및/또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기구성 요소들은 상기용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first and / or second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are intended to distinguish one element from another, for example, without departing from the scope of the invention in accordance with the concepts of the present invention, the first element may be termed the second element, The second component may also be referred to as a first component.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, .
반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Other expressions that describe the relationship between components, such as "between" and "between" or "neighboring to" and "directly adjacent to" should be interpreted as well.
본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise.
본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, the terms "comprises ", or" having ", or the like, specify that there is a stated feature, number, step, operation, , Steps, operations, components, parts, or combinations thereof, as a matter of principle.
다르게 정의되지 않는한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as ideal or overly formal in the sense of the art unless explicitly defined herein Do not.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야한다. 또한, 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference numerals as possible. Further, the detailed description of known functions and configurations that may obscure the gist of the present invention will be omitted.
한편, 본 명세서와 도면에 개시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.It should be noted that the embodiments of the present invention disclosed in the present specification and drawings are only illustrative of the present invention in order to facilitate the understanding of the present invention and are not intended to limit the scope of the present invention. It is to be understood by those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.
도 1은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템을 나타내는 블록도이다. 상기 지능형 웜 전파 취약점 진단 시스템(10)은 지능형 웜 전파 취약점 진단 장치(200)를 포함하며, 지능형 웜 전파 취약점 진단 장치(200)는 네트워크(100)를 통해 전송되는 패킷을 수집하는 것을 통해 웜 전파 취약점 진단을 수행한다.1 is a block diagram illustrating an intelligent worm propagation vulnerability diagnostic system in accordance with an embodiment of the present invention. The intelligent worm propagation
상기 지능형 웜 전파 취약점 진단 장치(200)는 네트워크 인터페이스(210), 웜 전파 패턴 모듈(220), 웜 타입 관리 모듈(230), 웜 생성 모듈(240), 탐지 모듈(250) 및 DB(260)를 포함한다. 여기서 상기 DB(260)는 수집되는 각종 데이터 및 정보 또는 내부에서 처리되어 가공된 각종 데이터를 저장하는 기능을 수행한다.The intelligent worm propagation
상기 네트워크 인터페이스(210)는 본 발명의 지능형 웜 전파 취약점 진단 장치(200)가 네트워크(100)로 부터 패킷을 수집할 수 있도록 하는 인터페이스 수단이다.The
상기 웜 전파 패턴 모듈(220)은 웜 전파의 패턴, 예컨대, random 방식, hop-by-hop 방식, target list 방식과 같은 패턴을 설정하고 해당 패턴에 따른 웜 전파가 이루어지도록 제어하는 기능을 수행한다.The worm
상기 웜 타입 관리 모듈(230)은 basic 타입 intelligent 타입에 따라 웜 전파 취약 진단이 이루어지도록 제어하는 기능을 수행한다.The worm
상기 웜 생성 모듈(240)은 전파가 이루어질 웜을 생성하는 기능을 수행하는데, 예컨대, 웜 전파 패턴 모듈(220)에 따른 웜 전파 패턴과 웜 타입 관리 모듈(230)에 따른 웜 전파 타입을 고려하여 웜을 생성하여 웜 전파가 이루어지도록 한다.The
상기 탐지 모듈(250)은 웜 전파 취약점을 진단하는 기능을 수행하고, 취약 기기를 탐지하는 기능을 수행한다.The
본 발명의 보다 구체적인 내용은 이하를 통해 설명될 것이다.More specific details of the present invention will be described below.
도 2는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 시스템의 처리를 설명하기 위한 도면으로, 사물인터넷에서 지능형 웜 전파 취약점 진단 방법의 기본 구성을 나타낸다.FIG. 2 is a diagram for explaining the processing of the intelligent worm propagation vulnerability diagnosis system according to an exemplary embodiment of the present invention, and shows a basic configuration of an intelligent worm propagation vulnerability diagnostic method on the Internet.
웜 타입의 basic 타입의 경우, Epidemic 모델에 따른 웜 전파 취약점을 진단한다. 구체적으로, Epidemic 모델인 아래 수학식 1에 의거하여 전파되는 웜 트래픽을 감지한다.In case of worm type basic type, it diagnoses worm propagation vulnerability according to Epidemic model. Specifically, the worm traffic is propagated based on the Epidemic model (1) below.
여기서, ψ는 페어와이즈(pairwise) 감염 속도, 는 0번째 타임슬롯에서 s번째 타임슬롯까지 감염되어야할 대상 노드들의 개수, N은 전체 노드 수이다.Here, ψ represents the rate of pairwise infection, Is the number of target nodes to be infected from the 0th time slot to the s < th > time slot, and N is the total number of nodes.
웜 타입의 intelligent 타입의 경우, 패킷 로스(loss) 또는 웜 탐지 발생 빈도(또는 비율), 탐지 기법의 동작여부에 따라 동적으로 조절되는 웜 전파 취약점을 진단한다. 예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮춘다. In case of intelligent type of worm type, worm propagation vulnerability that is controlled dynamically according to the frequency (or ratio) of packet loss or worm detection and the operation of detection technique is diagnosed. For example, the intelligent worm propagation
또한 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 탐지 실패가 많이 발생하거나, 탐지 기법이 없으면 웜 전파 속도를 높인다. 또한, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 이미 감염된 기기의 리스트들의 정보를 수집해 다시 감염시키지 않게 하고, 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단한다. 예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 전파 속도의 조절, 탐지 기법의 설정, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단한다.Also, the intelligent worm propagation
웜 전파 패턴의 경우에는 random 방식, hop-by-hop 방식, target list 방식이 선택될 수 있는데, 여기서 random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식이다.In the case of a worm propagation pattern, a random method, a hop-by-hop method, and a target list method can be selected. Here, the random method is a method of randomly selecting devices to be worm propagated, Method is a method in which devices infected by worm propagation continue to set neighboring devices as infected objects and worm propagation occurs and target list method is a method in which worm propagation is performed by designating devices to be worm propagated.
웜 페이로드는 웜의 내용 타입을 설정되어 타입에 매칭되는 웜을 생성하는 부분에 해당한다. 예컨대, intelligent 타입, hop-by-bop 방식이 결합될 경우, 해당 타입에 따른 웜이 생성되어 웜 전파가 이루어지고 시스템(10)은 그에 따른 취약점 진단을 수행한다.The worm payload corresponds to the part where a content type of the worm is set to generate a worm that matches the type. For example, when the intelligent type and the hop-by-bop method are combined, a worm according to the type is generated and worm propagation is performed, and the
도 3 내지 도 5는 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법을 나타내는 흐름도이다. 상기 지능형 웜 전파 취약점 진단 방법은 도 1에 도시된 지능형 웜 전파 취약점 진단 시스템(10)에 의해 수행된다. 3 to 5 are flowcharts illustrating an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention. The intelligent worm propagation vulnerability diagnostic method is performed by the intelligent worm propagation vulnerability
도 3을 참고하면, 도 3은 Basic 타입의 진단 방법을 설명하기 위한 흐름도로, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 상기 수학식 1에 기초하여 네트워크 트래픽을 감지하고(S10), 이후 감지 결과에 따라 웜 전파 취약점을 진단한다(S20).3, the intelligent worm propagation
도 4를 참고하면, 도 4는 Intelligent 타입의 진단 방법을 설명하기 위한 흐름도로, 패킷 로스(loss) 또는 웜 탐지 발생 빈도(또는 비율)를 체크하고(S100), 패킷 로스(loss) 또는 웜 탐지 발생 빈도(또는 비율)의 체크 결과에 따라 전파 속도를 제어한다(S200). 4 is a flow chart for explaining an intelligent diagnosis method. Referring to FIG. 4, a packet loss or a worm detection occurrence frequency (or ratio) is checked (S100), and a packet loss or a worm detection The propagation speed is controlled according to the check result of the occurrence frequency (or ratio) (S200).
예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮추게 한다. 또한 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 탐지 실패가 많이 발생하거나, 탐지가 이루어지지 않을 경우에는 웜 전파 속도를 높인다. 또한, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 이미 감염된 기기의 리스트들의 정보를 수집해 다시 감염시키지 않게 한다.For example, the intelligent worm propagation
이후 웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단한다(S20). 예컨대, 상기 지능형 웜 전파 취약점 진단 시스템(10)은 웜 전파 속도의 조절, 탐지 기법의 설정, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단한다.Thereafter, the worm propagation vulnerability is diagnosed based on the detection result of the success or failure of the worm propagation attack (S20). For example, the intelligent worm propagation
도 5를 참고하면, 웜을 세팅한다(S1000). 여기서 웜의 세팅은 웜 전파 방식에 관한 설정에 해당할 수 있는데, random 방식, hop-by-hop 방식, target list 방식을 선택하여 세팅할 수 있다. 이때, random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식이다.Referring to FIG. 5, the worm is set (S1000). Here, the setting of the worm may correspond to the setting of the worm propagation method, and it can be set by selecting random method, hop-by-hop method, or target list method. In the hop-by-hop method, devices infected by worm propagation set neighboring devices to be infected and continue to propagate worms. , And the target list method is a method in which worm propagation is performed by designating a target device for worm propagation.
이후 세팅한 웜을 전파하고(S2000), 공격 성공 또는 실패를 파악한다(S3000).Then, the set worm is propagated (S2000), and the attack success or failure is recognized (S3000).
도 6은 본 발명의 일 예에 따른 지능형 웜 전파 취약점 진단 방법에 따른 진단 기기를 보여주는 도면이다. 도 6을 참고하면, 웜 전파 취약점 진단의 진행율 60%을 보여주는 화면으로, 점선 및 실선으로 표시된 기기들 중에서, 실선으로 표시된 IoT 기기들(117.7.0.1, 117.7.0.2)은 상술한 방법에 의한 판단결과 웜 전파 취약점에 노출된 것으로 시각적으로 보여진다.6 is a diagram illustrating a diagnostic device according to an intelligent worm propagation vulnerability diagnostic method according to an exemplary embodiment of the present invention. 6, among the devices indicated by dotted lines and solid lines, the IoT devices 117.7.0.1 and 117.7.0.2 indicated by the solid lines are screened by the above-described method, The result is a visual representation of exposure to a worm propagation vulnerability.
이상에서는 바람직한 실시 예들에 대하여 설명하였으며, 비록 특정 용어들이 사용되었으나 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위해 일반적인 의미에서 사용된 것일 뿐, 본 발명이 전술한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 기술적 사상에 바탕을 둔 다양한 실시 예가 가능함은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. It is not. That is, it is apparent to those skilled in the art that various embodiments based on the technical idea of the present invention are possible.
Claims (6)
패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계;
상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및
웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함하고,
상기 웜 전파 속도를 제어하는 단계는,
웜 탐지 실패가 기 설정된 값 이상 발생하거나, 탐지가 이루어지지 않을 경우에는 웜 전파 속도를 높이도록 제어하는 단계인 웜 전파 취약점 진단 방법.Worm propagation vulnerability diagnostic system,
Checking a frequency of packet loss or worm detection occurrence;
Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And
And diagnosing the worm propagation vulnerability according to the detection result of the worm propagation attack success or failure,
The step of controlling the worm propagation speed includes:
A method for controlling the worm propagation speed so as to increase the worm propagation speed if the worm detection failure occurs at a predetermined value or is not detected.
상기 웜 전파 속도를 제어하는 단계는,
패킷 로스가 적게 발생하는 경우에는 웜 전파 속도를 높이고, 패킷 로스가 많이 발생하는 경우에는 웜 전파 속도를 낮추도록 제어하는 단계인 웜 전파 취약점 진단 방법.The method according to claim 1,
The step of controlling the worm propagation speed includes:
Wherein the worm propagation speed is increased when the packet loss is low and the worm propagation speed is decreased when the packet loss is large.
패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계;
상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및
웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함하고,
상기 웜 전파 취약점을 진단하는 단계는,
웜 전파 속도의 조절, 탐지 기법의 설정 조절, 네트워크 트래픽양 조절을 통한 패킷 손실 발생을 동적으로 조정하면서 웜 전파가 성공하면 취약점이 있는 것으로 판단하는 단계인 웜 전파 취약점 진단 방법.Worm propagation vulnerability diagnostic system,
Checking a frequency of packet loss or worm detection occurrence;
Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And
And diagnosing the worm propagation vulnerability according to the detection result of the worm propagation attack success or failure,
The step of diagnosing the worm propagation vulnerability includes:
Worm Propagation Vulnerability Diagnosis Method, which is a step that judges that a vulnerability exists if the propagation of a worm propagates successfully while dynamically adjusting the propagation speed of the worm, adjustment of the detection method, and control of the amount of network traffic.
패킷 로스 또는 웜 탐지 발생 빈도를 체크하는 단계;
상기 패킷 로스 또는 웜 탐지 발생 빈도의 체크 결과에 따라 웜 전파 속도를 제어하는 단계; 및
웜 전파 공격 성공 여부의 감지 결과에 따라 웜 전파 취약점을 진단하는 단계;를 포함하고,
상기 체크하는 단계 이전에,
웜 전파 방식에 관한 설정을 random 방식, hop-by-hop 방식, target list 방식을 선택하여 세팅하는 단계; 및
세팅된 방식에 따라 웜 전파를 수행하는 단계;를 포함하며,
상기 random 방식은 웜 전파의 대상이 되는 기기들을 임의로 선택하여 전파하는 방식이고, 상기 hop-by-hop 방식은 웜 전파에 의해 감염된 기기들이 이웃하는 기기들을 감염대상으로 설정하여 지속하여 웜 전파가 이루어지는 방식이며, 상기 target list 방식은 웜 전파 대상 기기를 지정하여 웜 전파가 이루어지는 방식에 해당하는 웜 전파 취약점 진단 방법.Worm propagation vulnerability diagnostic system,
Checking a frequency of packet loss or worm detection occurrence;
Controlling the propagation speed of the worm according to a result of checking the occurrence frequency of the packet loss or the worm; And
And diagnosing the worm propagation vulnerability according to the detection result of the worm propagation attack success or failure,
Before the checking step,
Selecting a random mode, a hop-by-hop mode, and a target list mode according to the setting of the worm propagation method; And
And performing worm propagation according to the set method,
In the hop-by-hop method, devices infected by worm propagation set neighboring devices as infection targets and continue to propagate worms. And the target list method corresponds to a method in which a worm propagation is performed by designating a worm propagation target device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160178033A KR101902654B1 (en) | 2016-12-23 | 2016-12-23 | Method for detecting smart worm propagation vulnerability and program therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160178033A KR101902654B1 (en) | 2016-12-23 | 2016-12-23 | Method for detecting smart worm propagation vulnerability and program therefor |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180074192A KR20180074192A (en) | 2018-07-03 |
KR101902654B1 true KR101902654B1 (en) | 2018-09-28 |
Family
ID=62918467
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160178033A KR101902654B1 (en) | 2016-12-23 | 2016-12-23 | Method for detecting smart worm propagation vulnerability and program therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101902654B1 (en) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100862187B1 (en) * | 2006-10-27 | 2008-10-09 | 한국전자통신연구원 | A Method and a Device for Network-Based Internet Worm Detection With The Vulnerability Analysis and Attack Modeling |
-
2016
- 2016-12-23 KR KR1020160178033A patent/KR101902654B1/en active IP Right Grant
Non-Patent Citations (1)
Title |
---|
"정보보호 예보 알고리즘 및 모델 개발", 한국정보보호진흥원, 2009.06.30. |
Also Published As
Publication number | Publication date |
---|---|
KR20180074192A (en) | 2018-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10902117B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
US10581874B1 (en) | Malware detection system with contextual analysis | |
US9973531B1 (en) | Shellcode detection | |
US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
RU2613535C1 (en) | Method for detecting malicious software and elements | |
US10133863B2 (en) | Zero-day discovery system | |
US8032937B2 (en) | Method, apparatus, and computer program product for detecting computer worms in a network | |
Fu et al. | On recognizing virtual honeypots and countermeasures | |
CN109194684B (en) | Method and device for simulating denial of service attack and computing equipment | |
WO2018157626A1 (en) | Threat detection method and apparatus | |
KR20180107789A (en) | Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof | |
TWI553502B (en) | Protection method and computer system thereof for firewall apparatus disposed to application layer | |
KR102559568B1 (en) | Apparatus and method for security control in IoT infrastructure environment | |
TWI544361B (en) | Protection method and computer system thereof for network interface controller | |
KR101902654B1 (en) | Method for detecting smart worm propagation vulnerability and program therefor | |
KR101825911B1 (en) | Worm attack modeling and simulation for data transport network having hierarchical structure | |
KR101587571B1 (en) | protection system and method for distributed Denial of Service using learning technique | |
EP3338405B1 (en) | System and method for detecting attacks on mobile ad hoc networks based on network flux | |
KR100432421B1 (en) | method and recorded media for attack correlation analysis | |
EP3252645A1 (en) | System and method of detecting malicious computer systems | |
Ochieng et al. | A tour of the computer worm detection space | |
DeLaughter et al. | Context Matters: Accurately Measuring the Efficacy of Denial-of-Service Mitigations | |
CN114556338A (en) | Malware identification | |
EP1751651B1 (en) | Method and systems for computer security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |