KR102040371B1 - Apparatus and method for analyzing network attack pattern - Google Patents

Apparatus and method for analyzing network attack pattern Download PDF

Info

Publication number
KR102040371B1
KR102040371B1 KR1020170113757A KR20170113757A KR102040371B1 KR 102040371 B1 KR102040371 B1 KR 102040371B1 KR 1020170113757 A KR1020170113757 A KR 1020170113757A KR 20170113757 A KR20170113757 A KR 20170113757A KR 102040371 B1 KR102040371 B1 KR 102040371B1
Authority
KR
South Korea
Prior art keywords
network
attack
destination
attack pattern
extracted
Prior art date
Application number
KR1020170113757A
Other languages
Korean (ko)
Other versions
KR20190027122A (en
Inventor
신영성
송영호
강문환
백나은
신재환
장진수
신광식
김현태
장재우
Original Assignee
전북대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전북대학교산학협력단 filed Critical 전북대학교산학협력단
Priority to KR1020170113757A priority Critical patent/KR102040371B1/en
Publication of KR20190027122A publication Critical patent/KR20190027122A/en
Application granted granted Critical
Publication of KR102040371B1 publication Critical patent/KR102040371B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 공격 패턴 분석 장치 및 방법이 개시된다. 네트워크 공격 패턴 분석 방법은 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계와, 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계와, 상기 분석 결과를 그래프 형태로 출력하는 단계를 포함할 수 있다.An apparatus and method for analyzing network attack patterns is disclosed. The network attack pattern analysis method includes collecting network logs at predetermined intervals through an intrusion detection system, extracting attack detection elements from the network logs, and analyzing network attack patterns using the attack detection elements; The method may include outputting the analysis result in the form of a graph.

Description

네트워크 공격 패턴 분석 및 방법{APPARATUS AND METHOD FOR ANALYZING NETWORK ATTACK PATTERN}Analysis and method of network attack pattern {APPARATUS AND METHOD FOR ANALYZING NETWORK ATTACK PATTERN}

본 발명의 실시예들은 네트워크 로그를 실시간 모니터링하여, 네트워크 공격을 탐지하고, 네트워크 공격 패턴을 분석한 결과를 그래프 형태로 출력하는 네트워크 공격 패턴 분석 및 방법에 관한 것이다.Embodiments of the present invention relate to a network attack pattern analysis and method for real-time monitoring of a network log, detecting a network attack, and outputting a graph analysis result of the network attack pattern.

네트워크 로그를 수집 및 분석하여, 네트워크 공격을 탐지하고, 네트워크 트래픽 관리를 수행하기 위해 네트워크 침입 탐지 시스템(Network Intrusion Detection System)이 활용되고 있다.A network intrusion detection system is used to collect and analyze network logs, detect network attacks, and perform network traffic management.

그러나, 최근 스마트폰, 사물인터넷 등 IT 기기들의 발달로 네트워크 트래픽 양이 급격히 증가 함에 따라, 네트워크 로그의 양도 급격히 증가하여, 네트워크 침입 탐지 시스템은 방대한 양의 네트워크 로그를 처리하는데 많은 시간을 소요하게 되고, 이로 인해, 네트워크 로그를 실시간으로 처리하는 것이 어렵다.However, as the amount of network traffic rapidly increases due to the recent development of IT devices such as smart phones and the Internet of Things, the amount of network logs increases rapidly, and the network intrusion detection system takes a lot of time to process a large amount of network logs. This makes it difficult to process network logs in real time.

따라서, 네트워크 침입 탐지 시스템은 네트워크 로그로부터 네트워크 공격을 빠르게 탐지하고, 네트워크 공격 패턴을 신속히 분석하는 것이 용이하지 않다.Therefore, the network intrusion detection system is not easy to detect the network attack from the network log and analyze the network attack pattern quickly.

또한, 네트워크 공격이 탐지되더라도, 네트워크 공격 상태를 시각화하여 제공하지 않음에 따라, 사용자가 네트워크 공격 상태를 파악하는 것이 쉽지 않다.In addition, even if a network attack is detected, it is not easy for a user to grasp a network attack state since the network attack state is not visualized and provided.

본 발명은 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 네트워크 로그를 수집하고, 상기 수집된 네트워크 로그로부터 네트워크 공격 패턴을 분석 함으로써, 불필요한 데이터(예컨대, 공격을 받지 않은 네트워크 로그) 처리 과정을 생략하여, 네트워크 공격 패턴 분석을 위한 데이터 처리에 소요되는 시간을 감소시킴에 따라, 네트워크 로그에 대한 실시간 처리를 가능하게 하는 것을 목적으로 한다.The present invention collects network logs in which an attack is detected based on a predetermined rule from an intrusion detection system, and analyzes a network attack pattern from the collected network logs, thereby preventing unnecessary data (eg, a network not attacked). By omitting the process of log), it is possible to reduce the time required for data processing for network attack pattern analysis, thereby enabling real-time processing of network logs.

본 발명은 설정된 주기 마다 네트워크 로그를 수집하고, 상기 네트워크 로그로부터 추출되는 공격 탐지 요소를 통해, 네트워크 공격 패턴을 실시간 분석 함으로써, 네트워크 로그에 대한 네트워크 공격 패턴을 신속하게 판단할 수 있게 하는 것을 목적으로 한다.The present invention collects network logs at set intervals and analyzes network attack patterns in real time through attack detection elements extracted from the network logs, thereby quickly determining network attack patterns for network logs. do.

또한, 본 발명은 네트워크 공격 패턴에 대한 분석 결과를, 그래프 형태로 출력 함으로써, 상기 분석 결과를 쉽게 파악할 수 있게 하는 것을 목적으로 한다.In addition, an object of the present invention is to make it easy to grasp the analysis results by outputting the analysis results for the network attack pattern in the form of a graph.

상기의 목적을 이루기 위한, 네트워크 공격 패턴 분석 장치는 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 인터페이스부와, 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 프로세서와, 상기 분석 결과를 그래프 형태로 출력하는 디스플레이부를 포함할 수 있다.In order to achieve the above object, the network attack pattern analysis apparatus, through an intrusion detection system, an interface unit for collecting a network log every set period, and extracts an attack detection element from the network log, and using the attack detection element, It may include a processor for analyzing a network attack pattern, and a display unit for outputting the analysis result in the form of a graph.

상기의 목적을 이루기 위한, 네트워크 공격 패턴 분석 방법은 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계와, 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계와, 상기 분석 결과를 그래프 형태로 출력하는 단계를 포함할 수 있다.In order to achieve the above object, a network attack pattern analysis method includes collecting network logs at predetermined intervals through an intrusion detection system, extracting an attack detection element from the network log, and using the attack detection element, Analyzing the attack pattern, and outputting the analysis result in the form of a graph.

본 발명의 실시예에 따르면, 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 네트워크 로그를 수집하고, 상기 수집된 네트워크 로그로부터 네트워크 공격 패턴을 분석 함으로써, 불필요한 데이터(예컨대, 공격을 받지 않은 네트워크 로그) 처리 과정을 생략하여, 네트워크 공격 패턴 분석을 위한 데이터 처리에 소요되는 시간을 감소시킴에 따라, 네트워크 로그에 대한 실시간 처리를 가능하게 한다.According to an embodiment of the present invention, by collecting network logs from which an attack is detected based on a predetermined rule from an intrusion detection system, and analyzing network attack patterns from the collected network logs, unnecessary data (eg, By omitting the process of network log not attacked, the time required for data processing for network attack pattern analysis is reduced, thereby enabling real-time processing of network logs.

본 발명의 실시예에 따르면, 설정된 주기 마다 네트워크 로그를 수집하고, 상기 네트워크 로그로부터 추출되는 공격 탐지 요소를 통해, 네트워크 공격 패턴을 실시간 분석 함으로써, 네트워크 로그에 대한 네트워크 공격 패턴을 신속하게 판단할 수 있게 한다.According to an embodiment of the present invention, by collecting network logs at set intervals and analyzing network attack patterns in real time through attack detection elements extracted from the network logs, it is possible to quickly determine network attack patterns for network logs. To be.

또한, 본 발명의 실시예에 따르면, 네트워크 공격 패턴에 대한 분석 결과를, 그래프 형태로 출력 함으로써, 상기 분석 결과를 쉽게 파악할 수 있게 한다.In addition, according to an embodiment of the present invention, by outputting the analysis results for the network attack pattern in the form of a graph, it is possible to easily grasp the analysis results.

도 1은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 일례를 도시하는 도면이다.
도 2는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 다른 일례를 도시하는 도면이다.
도 3은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 네트워크 공격 패턴 탐지 일례를 설명하기 위한 도면이다.
도 4는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 공격 탐지 요소를 추출하는 일례를 설명하기 위한 도면이다.
도 5는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서 수집하는 네트워크 로그의 일례를 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에 네트워크 로그를 제공하는 침입 탐지 시스템에서의 공격 탐지 방법에 대한 일례를 설명하기 위한 도면이다.
도 7 내지 도 9는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서 네트워크 공격 패턴을 분석한 결과로서 제공하는 그래프의 일례들을 도시한 도면이다.
도 10은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 방법을 나타내는 흐름도이다.1 is a view showing an example of the configuration of the network attack pattern analysis apparatus according to an embodiment of the present invention.
2 is a diagram showing another example of the configuration of the network attack pattern analysis apparatus according to an embodiment of the present invention.
3 is a view for explaining an example of network attack pattern detection in the network attack pattern analysis apparatus according to an embodiment of the present invention.
4 is a view for explaining an example of extracting an attack detection element in the network attack pattern analysis apparatus according to an embodiment of the present invention.
5 is a diagram illustrating an example of network logs collected by the network attack pattern analysis apparatus according to an embodiment of the present invention.
6 is a view for explaining an example of an attack detection method in an intrusion detection system for providing a network log to the network attack pattern analysis apparatus according to an embodiment of the present invention.
7 to 9 are diagrams showing examples of a graph provided as a result of analyzing a network attack pattern in the network attack pattern analysis apparatus according to an embodiment of the present invention.
10 is a flowchart illustrating a network attack pattern analysis method according to an embodiment of the present invention.

이하, 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 다양한 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings and the contents described in the accompanying drawings, but the present invention is not limited or limited to the embodiments.

도 1은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 일례를 도시하는 도면이다.1 is a view showing an example of the configuration of the network attack pattern analysis apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치(100)는 인터페이스부(101), 프로세서(103), 데이터베이스(105) 및 디스플레이부(107)를 포함할 수 있다.Referring to FIG. 1, an apparatus 100 for analyzing network attack patterns according to an embodiment of the present invention may include an interface unit 101, a processor 103, a database 105, and a display unit 107.

인터페이스부(101)는 침입 탐지 시스템을 통해, 설정된 주기(예컨대, 1분) 마다 네트워크 로그를 수집할 수 있다. 이때, 인터페이스부(101)는 상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하여, 제1 데이터베이스(105)에 저장할 수 있다. 즉, 인터페이스부(101)는 침입 탐지로 판별되는 비정상의 네트워크 로그만을 수집 함에 따라, 불필요한 네트워크 로그 수집 및 분석을 최소화할 수 있다.The interface unit 101 may collect network logs every set period (eg, 1 minute) through the intrusion detection system. In this case, the interface unit 101 may collect the network log from which the attack is detected based on a predetermined rule from the intrusion detection system, and store the network log in the first database 105. That is, since the interface unit 101 collects only abnormal network logs determined by intrusion detection, unnecessary network log collection and analysis can be minimized.

프로세서(103)는 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석할 수 있다. 이때, 프로세서(103)는 상기 공격 탐지 요소로서, 데스티네이션 포트(Destination Port), 데스티네이션 아이피(Destination IP) 및 소스 아이피(Source IP) 중 적어도 하나의 정보를 추출할 수 있으며, 제2 데이터베이스(105)에 저장할 수 있다.The processor 103 may extract an attack detection element from the network log, and analyze the network attack pattern using the attack detection element. In this case, the processor 103 may extract information of at least one of a destination port, a destination IP, and a source IP as the attack detection element, and may include a second database ( 105).

ⅰ) 데스티네이션 포트를 이용하여, 네트워크 공격 패턴을 분석하는 일례Iii) Example of analyzing network attack pattern by using destination port

프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 포트를 추출하고, 설정된 평균 사용 데스티네이션 포트(

Figure 112017086469139-pat00001
)의 수(또는, 설정된 주기 동안 추출된 데스티네이션 포트의 평균)에 대한 상기 추출된 데스티네이션 포트(
Figure 112017086469139-pat00002
)의 수의 비율이 설정치(
Figure 112017086469139-pat00003
)(예컨대, 1.8)를 초과하는지를 확인할 수 있다. 이때, 프로세서(103)는 상기 확인 결과, [수학식 1]에서와 같이, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격으로 분석할 수 있다.The processor 103 extracts, as an attack detection element, a destination port at any point in time, and sets a set average usage destination port (
Figure 112017086469139-pat00001
The number of extracted destination ports (or the average of the destination ports extracted during a set period)
Figure 112017086469139-pat00002
Ratio of the number of
Figure 112017086469139-pat00003
) (Eg, 1.8). In this case, when the ratio exceeds the set value as shown in Equation 1, the processor 103 converts the network attack pattern to the port scanning attack as the port scanning attack. Can be analyzed.

Figure 112017086469139-pat00004
Figure 112017086469139-pat00004

즉, 프로세서(103)는 포트 스캐닝 공격일 경우, 접근해 온 목적지 상에서 열린 포트에 대해 전역적인 탐색을 시도 함에 따라, 방화벽 로그 상에서 해당 시간 대의 데스티네이션 포트의 수가 평소 때의 데스티네이션 포트의 수 보다 증가하는 것에 기인하여, [수학식 1]을 통해, 포트 스캐닝 공격인지를 분석할 수 있다.That is, in the case of a port scanning attack, the processor 103 attempts a global search for an open port on an approached destination, so that the number of destination ports in the corresponding time zone in the firewall log is greater than the number of destination ports in the normal time. Due to the increase, Equation 1 can be used to analyze whether the port scanning attack.

또한, 프로세서(103)는 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트(

Figure 112017086469139-pat00005
)의 수(예컨대, 100)를 초과하는지를 더 확인할 수 있으며, [수학식 2]에서와 같이, 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석할 수 있다.In addition, the processor 103 may determine that the number of extracted destination ports is set to a destination port (
Figure 112017086469139-pat00005
It is possible to further determine whether the number of (), for example, 100), and, as shown in Equation 2, if the number of extracted destination ports exceeds the set number of destination ports, The network attack pattern may be analyzed by a port scanning attack.

Figure 112017086469139-pat00006
Figure 112017086469139-pat00006

상기 포트 스캐닝 공격에 관련하여, 프로세서(103)는 [수학식 2]를 추가로 더 확인하여, 해당 시간대의 데스티네이션 포트의 수가 해당 네트워크에서 사용하는 포트의 수를 넘지 않을 경우, 포트 스캐닝 공격이 아닌 것으로 판단 함으로써, 해당 네트워크 서비스의 사용자 수가 평소 시간보다 많아져 서비스 하는 포트에 대한 접근 횟수가 많아지는 것만으로, 포트 스캐닝 공격으로 잘못 판단할 가능성을 제거할 수 있다.In relation to the port scanning attack, the processor 103 further checks [Equation 2], and if the number of destination ports in the corresponding time zone does not exceed the number of ports used in the network, the port scanning attack is performed. If it is determined that the number of users of the corresponding network service is larger than the usual time, the number of accesses to the serviced port increases, thereby eliminating the possibility of making a mistake in the port scanning attack.

ⅱ) 데스티네이션 아이피를 이용하여, 네트워크 공격 패턴을 분석하는 일례Ii) Example of analyzing network attack pattern using destination IP

프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피(

Figure 112017086469139-pat00007
)의 수(또는, 설정된 주기 동안 추출된 데스티네이션 아이피의 평균)에 대한 상기 추출된 데스티네이션 아이피(
Figure 112017086469139-pat00008
)의 수의 비율이, 설정치(
Figure 112017086469139-pat00009
)(예컨대, 1.8)를 초과하는지를 확인할 수 있다. 이때, 프로세서(103)는 상기 확인 결과, [수학식 3]에서와 같이, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석할 수 있다.The processor 103 extracts, as an attack detection element, a destination IP at any point in time, and sets a set average use destination IP (
Figure 112017086469139-pat00007
The number of extracted destination IPs (or average of destination IPs extracted during a set period).
Figure 112017086469139-pat00008
Ratio of the number of
Figure 112017086469139-pat00009
) (Eg, 1.8). In this case, as shown in Equation 3, the processor 103 converts the network attack pattern for the arbitrary time point into a host scanning attack when the ratio exceeds the set value. Can be analyzed.

Figure 112017086469139-pat00010
Figure 112017086469139-pat00010

즉, 프로세서(103)는 호스트 스캐닝 공격일 경우, 평상시보다 접근하는 목적지가 다양해짐을 의미 함에 따라, 방화벽 로그 상에서 해당 시간대의 데스티네이션 아이피의 수(Dip)가 평소 때의 데스티네이션 아이피 보다 증가하는 것에 기인하여, [수학식 3]을 통해, 호스트 스캐닝 공격인지를 분석할 수 있다.That is, the processor 103 means that in the case of a host scanning attack, the approaching destination becomes more diverse than usual, so that the number of destination IPs of the corresponding time zone increases in the firewall log than the destination IP of the usual time. Due to this, through Equation 3, it can be analyzed whether the host scanning attack.

또한, 프로세서(103)는 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피(

Figure 112017086469139-pat00011
)의 수(예컨대, 40)를 초과하는지를 더 확인할 수 있으며, [수학식 4]에서와 같이, 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석할 수 있다.In addition, the processor 103 may determine the number of the extracted destination IP, and set the destination IP (
Figure 112017086469139-pat00011
It is possible to further determine whether the number of (), for example, 40), and as shown in Equation 4, if the number of extracted destination IP exceeds the set number of destination IP, The network attack pattern may be analyzed by a host scanning attack.

Figure 112017086469139-pat00012
Figure 112017086469139-pat00012

상기 호스트 스캐닝 공격에 관련하여, 프로세서(103)는 [수학식 4]를 추가로 더 확인하여, 해당 시간대의 데스티네이션 아이피의 수가 해당 네트워크에서 사용하는 아이피의 수를 넘지 않을 경우, 호스트 스캐닝 공격이 아닌 것으로 판단 함으로써, 해당 네트워크 서비스의 사용자 수가 평소 시간보다 많아져 서비스 하는 호스트에 대한 접근 횟수가 많아지는 것만으로, 호스트 스캐닝 공격으로 잘못 판단할 가능성을 제거할 수 있다.In relation to the host scanning attack, the processor 103 further checks [Equation 4], and if the number of destination IPs in the corresponding time zone does not exceed the number of IPs used in the network, the host scanning attack is performed. If it is determined that the number of users of the corresponding network service is larger than usual, the number of accesses to the serviced host is increased, thereby eliminating the possibility of making a mistake in the host scanning attack.

ⅲ) 네트워크 로그, 소스 아이피 및 데스티네이션 아이피를 이용하여, 네트워크 공격 패턴을 분석하는 일례Iii) An example of analyzing network attack patterns using network logs, source IPs, and destination IPs.

프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피(Source IP) 및 데스티네이션 아이피를 추출할 수 있다. 이때, 프로세서(103)는 설정된 평균 네트워크 로그(

Figure 112017086469139-pat00013
)의 양(또는, 설정된 주기 동안 수집된 네트워크 로그의 평균)에 대한 상기 수집된 네트워크 로그(
Figure 112017086469139-pat00014
)의 양의 제1 비율이, 제1 설정치(
Figure 112017086469139-pat00015
)(예컨대, 20)를 초과하고, 상기 추출된 데스티네이션 아이피(
Figure 112017086469139-pat00016
)의 수에 대한 상기 추출된 소스 아이피(
Figure 112017086469139-pat00017
)의 수의 제2 비율이, 제2 설정치(
Figure 112017086469139-pat00018
)(예컨대, 10)를 초과하는지를 확인할 수 있다.The processor 103 may extract a source IP and a destination IP as the attack detection element at any point in time. In this case, the processor 103 sets the average network log (
Figure 112017086469139-pat00013
The collected network log (or the average of the network logs collected during the set period)
Figure 112017086469139-pat00014
The first ratio of the positive amount is the first set value (
Figure 112017086469139-pat00015
(E.g., 20), and the extracted destination IP (
Figure 112017086469139-pat00016
The extracted source IP for the number of
Figure 112017086469139-pat00017
The second ratio of the number of) is the second set value (
Figure 112017086469139-pat00018
) (Eg, 10).

프로세서(103)는 상기 확인 결과, [수학식 5]에서와 같이, 상기 제1 비율이 상기 제1 설정치를 초과하고, [수학식 6]에서와 같이, 상기 제2 비율이 상기 제2 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격으로 분석할 수 있다.The processor 103 determines that the first ratio exceeds the first set value as shown in Equation 5, and the second ratio sets the second set value as shown in Equation 6; If exceeded, the network attack pattern for the arbitrary time point may be analyzed as a distributed denial of service (DDoS) attack.

Figure 112017086469139-pat00019
Figure 112017086469139-pat00019

Figure 112017086469139-pat00020
Figure 112017086469139-pat00020

즉, 프로세서(103)는 디도스 공격일 경우, 해당 시간대에 발생하는 로그의 양이 평소 시간대의 로그의 양 보다 월등히 많아지는 것에 기인하여, [수학식 5]를 통해, 디도스 공격인지를 분석할 수 있다.That is, in the case of a DDoS attack, the processor 103 analyzes whether the DDoS attack is performed through Equation 5, because the amount of logs generated in the corresponding time zone is much larger than the amount of logs in the usual time zone. can do.

또한, 프로세서(103)는 [수학식 6]을 확인 함으로써, 다수의 사용자가 소수의 네트워크 호스트를 공격하여, 데스티네이션 아이피 보다 소스 아이피가 월등히 높을 경우에 한하여, 디도스 공격으로 판단 함으로써, 해당 네트워크 서비스의 사용자가 많아지는 것만으로, 디도스 공격으로 잘못 판단하는 가능성을 제거할 수 있다.In addition, the processor 103 checks Equation 6 so that a large number of users attack a small number of network hosts to determine that the source IP is significantly higher than the destination IP. Just by increasing the number of users of the service, you can eliminate the possibility of misjudging a DDoS attack.

ⅳ) 소스 아이피를 이용하여, 네트워크 공격 패턴을 분석하는 일례Iii) Example of analyzing network attack pattern using source IP

프로세서(103)는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피를 추출하고, 설정된 평균 사용 소스 아이피(

Figure 112017086469139-pat00021
)의 수(또는, 설정된 주기 동안 추출된 소스 아이피의 평균)에 대한 상기 추출된 소스 아이피(
Figure 112017086469139-pat00022
)의 수의 비율이, 설정치(
Figure 112017086469139-pat00023
)(예컨대, 2)를 초과하는지를 확인할 수 있다. 이때, 프로세서(103)는 상기 확인 결과, [수학식 7]에서와 같이, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격으로 분석할 수 있다.The processor 103 extracts, at any point in time, a source IP as the attack detection element, and sets a set average use source IP (
Figure 112017086469139-pat00021
The extracted source IP (or the average of the extracted source IPs for a set period)
Figure 112017086469139-pat00022
Ratio of the number of
Figure 112017086469139-pat00023
) (Eg, 2). At this time, the processor 103, when the ratio exceeds the set value, as shown in the equation (7), the processor (Worm) or virus (Virus) for the network attack pattern for the arbitrary time point ) Can be analyzed as an attack.

Figure 112017086469139-pat00024
Figure 112017086469139-pat00024

즉, 프로세서(103)는 웜 또는 바이러스 공격일 경우, 소스 아이피의 활동량이 증가하는 것에 기인하여, [수학식 7]을 통해, 웜 또는 바이러스 공격인지를 분석할 수 있다.That is, the processor 103 may analyze whether it is a worm or a virus attack through Equation 7 due to an increase in the amount of activity of the source IP in the case of a worm or a virus attack.

또한, 프로세서(103)는 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피(

Figure 112017086469139-pat00025
)의 수(예컨대, 20)를 초과하는지를 더 확인할 수 있으며, [수학식 8]에서와 같이, 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석할 수 있다.In addition, the processor 103 may determine that the number of the extracted source IPs is set as a source IP (
Figure 112017086469139-pat00025
It can be further confirmed that the number of (), such as 20), and, as shown in Equation 8, when the number of the extracted source IP exceeds the number of the set source IP, the Network attack patterns can be analyzed as worm or virus attacks.

Figure 112017086469139-pat00026
Figure 112017086469139-pat00026

웜 또는 바이러스 공격에 관련하여, 프로세서(103)는 [수학식 8]를 추가로 더 확인하여, 해당 시간대의 소스 아이피의 수가 해당 네트워크에서 사용하는 아이피의 수를 넘지 않을 경우, 웜 또는 바이러스 공격이 아닌 것으로 판단 함으로써, 주기적으로 발생할 수 있는 활동량 증가만으로, 웜 또는 바이러스 공격으로 잘못 판단할 가능성을 제거할 수 있다.In relation to a worm or virus attack, the processor 103 further checks [Equation 8], and if the number of source IPs in the corresponding time period does not exceed the number of IPs used in the network, the worm or virus attack is performed. By not determining, only an increase in the amount of activity that can occur periodically can eliminate the possibility of erroneous determination as a worm or virus attack.

ⅴ) 네트워크 로그 변화를 이용하여, 네트워크 공격 패턴을 분석하는 일례Iii) An example of analyzing network attack patterns using network log changes.

프로세서(103)는 임의의 제1 시점에서, 설정된 평균 네트워크 로그(

Figure 112017086469139-pat00027
)의 양에 대한 네트워크 로그(
Figure 112017086469139-pat00028
)(즉, 제1 시점에서 수집된 네트워크 로그)의 양의 제1 비율이, 제1 설정치(
Figure 112017086469139-pat00029
)(예컨대, 1.0)를 초과하는지를 확인하고, 상기 제1 시점에서의 상기 네트워크 로그(
Figure 112017086469139-pat00030
)의 양에 대한 제2 시점에서의 네트워크 로그(
Figure 112017086469139-pat00031
)(즉, 제2 시점에서 수집된 네트워크 로그)의 양의 제2 비율이, 제2 설정치(
Figure 112017086469139-pat00032
)(예컨대, 0.1) 미만인지를 확인할 수 있다. 여기서, 제2 시점(
Figure 112017086469139-pat00033
)(예컨대, 1시 01분)은 제1 시점(
Figure 112017086469139-pat00034
)(예컨대, 1시 00분)에서 설정된 주기(예컨대, 1분 또는 10분)가 경과된 시점에 해당한다.The processor 103 may, at any first point in time, set an average network log (
Figure 112017086469139-pat00027
Network logs for the amount of
Figure 112017086469139-pat00028
) (I.e., network logs collected at the first time point),
Figure 112017086469139-pat00029
) (E.g., 1.0) and the network log at the first time point (
Figure 112017086469139-pat00030
Network log at the second point in time for the amount of
Figure 112017086469139-pat00031
(I.e., network logs collected at a second time point), the second ratio of the amount
Figure 112017086469139-pat00032
(E.g., less than 0.1). Here, the second time point (
Figure 112017086469139-pat00033
) (E.g., 01:01) is the first time point (
Figure 112017086469139-pat00034
(E.g., 1:00), the time period set (e.g., 1 minute or 10 minutes) has elapsed.

프로세서(103)는 상기 확인 결과, [수학식 9]에서와 같이, 상기 제1 비율이 상기 제1 설정치를 초과하고, [수학식 10]에서와 같이, 상기 제2 비율이 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석할 수 있다.The processor 103 determines that the first ratio exceeds the first set value as shown in Equation 9, and the second ratio sets the second set value as shown in Equation 10. If all exceed, the network attack pattern for the second time point may be analyzed as a network failure occurrence.

Figure 112017086469139-pat00035
Figure 112017086469139-pat00035

Figure 112017086469139-pat00036
Figure 112017086469139-pat00036

즉, 프로세서(103)는 상기 네트워크 장애가 발생할 경우, 네트워크 서비스의 사용자가 많아지거나 공격으로 인해, 네트워크 트래픽이 급격히 증가하여 해당 네트워크가 감당할 수 없는 트래픽이 기록되면, 네트워크 장애가 발생하여 다음 시점에서의 네트워크 활동이 중지되는 것에 기인하여, [수학식 3]을 통해, 네트워크 장애 발생인지를 분석할 수 있다. 이때, 프로세서(103)는 해당 시점 전(t-1)에 위협 요소가 아닌 많은 양의 로그가 수집되어 네트워크 장애가 발생할 경우, 해당 시점(t)에서의 로그 발생량이 급격하게 감소하는지를 확인하여, 네트워크 장애 발생인지를 분석할 수 있다.That is, when the network failure occurs, when the network failure occurs, the network traffic increases rapidly due to the increase in the number of users of the network service or the attack, and when the traffic that the network cannot handle is recorded, the network failure occurs and the network at the next time point. Due to the suspension of activity, Equation 3 can be used to analyze whether a network failure has occurred. In this case, when a network failure occurs because a large amount of non-threat logs are collected before the point in time (t-1), the processor 103 checks whether the log generation amount at the corresponding point in time (t) decreases rapidly, Analyze if a failure has occurred.

데이터베이스(105)는 제1 데이터베이스(105) 및 제2 데이터베이스(105)를 포함할 수 있다. 여기서, 제1 데이터베이스(105)는 예컨대, 하둡 분산 파일 시스템 스토리지(HDFS: Hadoop Distributed File System Storage)일 수 있으며, 수집된 네트워크 로그가 저장될 수 있다. 또한, 제2 데이터베이스(105)는 하이브 스토리지(Hive Storage)일 수 있으며, 상기 네트워크 로그로부터 추출된 공격 탐지 요소가 저장될 수 있다.The database 105 can include a first database 105 and a second database 105. Here, the first database 105 may be, for example, Hadoop Distributed File System Storage (HDFS), and collected network logs may be stored. In addition, the second database 105 may be Hive storage, and an attack detection element extracted from the network log may be stored.

디스플레이부(107)는 상기 분석 결과를 그래프 형태(예컨대, 막대그래프, 꺾은선 그래프, 원형 그래프 등)로 출력할 수 있다. 이때, 디스플레이부(107)는 웹 인터페이스 형태로 상기 분석 결과를 제공할 수 있다. 여기서, 디스플레이부(107)는 분석 결과를 사용자에게 제공할 수 있는 결과 출력 창과 함께, 사용자로부터 분석 기간을 입력받을 수 있는 분석조건 설정 창을 포함하는 웹 페이지를 제공할 수 있다. 분석 기간은 디폴트(예컨대, 금일)로 설정될 수 있으며, 분석 기간이 변경되어 입력되는 경우, 디스플레이부(107)는 프로세서(103)로부터, 해당 기간에 수집된 네트워크 로그에서 네트워크 공격 패턴을 재분석한 결과를 수신하여, 출력할 수 있다.The display unit 107 may output the analysis result in a graph form (eg, bar graph, line graph, pie graph, etc.). In this case, the display unit 107 may provide the analysis result in the form of a web interface. Here, the display unit 107 may provide a web page including an analysis condition setting window for receiving an analysis period from the user, together with a result output window for providing the analysis result to the user. The analysis period may be set to a default value (for example, today). When the analysis period is changed and input, the display unit 107 re-analyzes the network attack pattern from the network log collected in the corresponding period from the processor 103. The result can be received and output.

도 2는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치의 구성에 대한 다른 일례를 도시하는 도면이다.2 is a diagram showing another example of the configuration of the network attack pattern analysis apparatus according to an embodiment of the present invention.

도 2를 참조하면, 네트워크 공격 패턴 분석 장치(200)는 로그 수집부(201), HDFS(203), 로그 추출부(205), Hive(207), 로그 분석부(209) 및 디스플레이부(211)를 포함할 수 있다. 여기서, 네트워크 공격 패턴 분석 장치(200)는 대용량의 데이터를 효율적으로 처리가 가능한 맵리듀스(MapReduce) 프레임워크와 데이터 분산 저장 시스템인 하둡 분산 파일 시스템(Hadoop Distributed File System)을 이용하여 네트워크 로그를 분산 저장 및 처리하여 효율적으로 네트워크 공격을 감지할 수 있다.2, the network attack pattern analysis apparatus 200 includes a log collector 201, an HDFS 203, a log extractor 205, a Hive 207, a log analyzer 209, and a display 211. ) May be included. Here, the network attack pattern analysis apparatus 200 distributes network logs using a MapReduce framework capable of efficiently processing a large amount of data and a Hadoop Distributed File System, which is a data distributed storage system. Store and process to efficiently detect network attacks.

로그 수집부(201)는 서버로부터 설정된 주기(예컨대, 1분) 마다 네트워크 로그를 수신하고, 네트워크 로그를 클러스터의 HDFS(203)에 분산 저장하여, 실시간적 네트워크 공격 패턴을 지원할 수 있다. 이때, 서버는 네트워크 침입을 탐지하는 침입 탐지 시스템(IDS: Intrusion Detection System)을 통해, 네트워크 로그를 수집할 수 있다. 여기서, 침입 탐지 시스템은 예컨대, 실시간 트래픽 분석과 아이피(IP)에서의 패킷 로깅을 수행하는 Snort 기반의 침입 탐지 시스템일 수 있다.The log collector 201 may receive a network log every set period (for example, one minute) from the server, and distribute the network log to the HDFS 203 of the cluster to support a real-time network attack pattern. In this case, the server may collect network logs through an intrusion detection system (IDS) for detecting network intrusion. Here, the intrusion detection system may be, for example, a Snort-based intrusion detection system that performs real-time traffic analysis and packet logging in IP.

HDFS(203)는 네트워크 로그를 저장할 수 있다.The HDFS 203 may store a network log.

로그 추출부(205)는 HDFS(203)에 저장된 네트워크 로그에서 네트워크 공격 탐지에 필요한 요소(예컨대, 소스 아이피, 데스티네이션 아이피, 데스티네이션 포트, 시간)를 추출할 수 있다. 이때, 추출된 요소는 맵리듀스 기반 데이터 웨어하우스인 Hive(207)에 저장된다.The log extractor 205 may extract elements (eg, source IP, destination IP, destination port, time) required for network attack detection from the network log stored in the HDFS 203. At this time, the extracted elements are stored in the Hive 207 which is a MapReduce based data warehouse.

Hive(207)는 네트워크 공격 탐지에 필요한 요소를 저장할 수 있다.Hive 207 may store elements necessary for network attack detection.

로그 분석부(209)는 로그 추출부(205)에서 추출된 요소를 이용하여, 예컨대, 4가지 네트워크 공격 패턴(Port Scanning, Host Scanning, DDos, 웜 또는 바이러스 공격)과 네트워크 장애에 대한 분석을 수행할 수 있다.The log analyzer 209 analyzes, for example, four network attack patterns (Port Scanning, Host Scanning, DDos, worm or virus attack) and network failure using the elements extracted by the log extractor 205. can do.

디스플레이부(211)는 통계 기반 프로그래밍 언어로서 예컨대, R을 이용하여, 그래프 형태(예컨대, 막대그래프, 꺾은선 그래프, 원형 그래프 등)로 시각화한 후 웹을 통해 표시하여, 사용자에게 제공할 수 있다. 여기서, R은 오픈소스 프로그램으로 통계/데이터 마이닝 및 그래프를 위한 언어이다. R은 대용량 데이터 분석을 목적으로 사용되며, 다양한 기능을 지원한다. R은 다른 개발 언어와 연계 호환이 가능하고, 웹과 연동하여 실시간 처리가 가능하며, 웹 서비스로 제공하는데 유용하다.The display unit 211 may be a statistical programming language, for example, using R to visualize in a graph form (eg, a bar graph, a line graph, a pie graph, etc.) and then display it on the web to provide the user. . R is an open source program and a language for statistics / data mining and graphing. R is used for large data analysis and supports various functions. R is compatible with other development languages, can be processed in real time by interworking with the web, and is useful for providing as a web service.

도 3은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 네트워크 공격 패턴 탐지 일례를 설명하기 위한 도면이다.3 is a view for explaining an example of network attack pattern detection in the network attack pattern analysis apparatus according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치는 로그 수집부를 통해, 스노트(Snort)에서 발생하는 네트워크 로그를 수집할 수 있다(301). Referring to FIG. 3, the apparatus for analyzing network attack patterns according to an embodiment of the present invention may collect network logs generated from a snort through a log collector 301.

네트워크 공격 패턴 분석 장치는 쉘 스크립트(shell script)를 통해 예컨대, 1분 단위로 HDFS에 네트워크 로그를 저장한다(303). 여기서, 네트워크 로그가 저장되는 시간은 사용자에 의해, 설정될 수 있다.The apparatus for analyzing network attack patterns stores network logs in HDFS, for example, in 1 minute increments through shell scripts (303). Here, the time at which the network log is stored may be set by the user.

네트워크 공격 패턴 분석 장치는 로그 추출부를 통해, Log Storage(HDFS)에 저장된 네트워크 로그로부터, 공격 탐지 분석에 필요한 요소(Source_IP, Destination_IP, Destination_Port, 시간)을 추출할 수 있다(305).The network attack pattern analysis apparatus may extract elements necessary for attack detection analysis (Source_IP, Destination_IP, Destination_Port, time) from the network log stored in Log Storage (HDFS) through the log extraction unit (305).

네트워크 공격 패턴 분석 장치는 추출한 요소를 Sub Storage(HIVE)에 저장할 수 있다(307).The apparatus for analyzing network attack patterns may store the extracted elements in Sub Storage (HIVE) (307).

네트워크 공격 패턴 분석 장치는 로그 분석부를 통해, 상기 추출된 요소를 바탕으로 네트워크 로그를 분석하여, 네트워크 공격 유형(예컨대, 5가지 유형)을 도출할 수 있다(309).The network attack pattern analysis apparatus may derive a network attack type (eg, five types) by analyzing the network log based on the extracted elements through the log analysis unit (309).

네트워크 공격 패턴 분석 장치는 상기 분석한 결과를, 데이터 통계 기반 프로그래밍 언어(예컨대, R)를 이용하여, 웹 인터페이스 형태로 시각화할 수 있다(311).The apparatus for analyzing network attack patterns may visualize the analyzed result in a web interface form using a data statistics based programming language (eg, R) (311).

네트워크 공격 패턴 분석 장치는 새로 탐지된 공격 유형에 대해서는 새로운 룰(Rule)을 만들어 Sub Storage(HIVE)에 저장할 수 있다(313).The network attack pattern analysis apparatus may create a new rule for the newly detected attack type and store it in Sub Storage (HIVE) (313).

도 4는 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서의 공격 탐지 요소를 추출하는 일례를 설명하기 위한 도면이다.4 is a view for explaining an example of extracting an attack detection element in the network attack pattern analysis apparatus according to an embodiment of the present invention.

도 4를 참조하면, 네트워크 공격 패턴 분석 장치는 로그 추출부를 통해, 비정형 형태로 수집된 네트워크 로그를 정형 데이터로 변환하고, 상기 변환된 네트워크 로그에서 네트워크 공격 탐지에 필요한 요소(즉, 공격 탐지 요소)를 추출할 수 있다. Referring to FIG. 4, the network attack pattern analysis apparatus converts the network logs collected in an atypical form into structured data through a log extracting unit, and elements necessary for network attack detection in the converted network logs (ie, attack detection elements). Can be extracted.

상기 요소는 예컨대, 소스 아이피(Source IP), 데스티네이션 아이피(Destination IP), 데스티네이션 포트(Destination Port) 및 시간(time) 중 적어도 하나를 포함할 수 있다. 여기서, 소스 아이피는 공격의 근원지 정보를 포함할 수 있고, 데스티네이션 아이피와 데스티네이션 포트는 공격 대상을 나타내는 정보를 포함할 수 있다.The element may include, for example, at least one of a source IP, a destination IP, a destination port, and a time. Here, the source IP may include source information of the attack, and the destination IP and the destination port may include information indicating an attack target.

한편, 네트워크 공격 패턴 분석 장치는 대용량 데이터를 처리하는 분산 프로그래밍 프레임워크인 맵리듀스(MapReduce)를 사용하여, 대용량의 네트워크 로그 추출과 분석을 수행할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 맵리듀스를 통해, 맵(Map) 단계와 리듀스(Reduce) 단계를 수행할 수 있다.On the other hand, the network attack pattern analysis apparatus may perform a large network log extraction and analysis using MapReduce, a distributed programming framework that processes a large amount of data. At this time, the network attack pattern analysis apparatus may perform a map step and a reduce step through map reduce.

네트워크 공격 패턴 분석 장치는 상기 맵(Map) 단계로서, 네트워크 로그에서 흩어져있는 데이터를 키(Key)와 밸유(Value)를 쌍으로 묶어, 데이터를 분류할 수 있다.The network attack pattern analysis apparatus may classify data by pairing a key and a value with data scattered in a network log.

또한, 네트워크 공격 패턴 분석 장치는 상기 리듀스(Reduce) 단계로서, 필터링(filtering) 및 소팅(Sorting)을 거쳐, 데이터를 추출할 수 있다.In addition, the network attack pattern analysis apparatus may extract data through filtering and sorting as the reduce step.

구체적으로, 상기 네트워크 공격 탐지에 필요한 요소를 추출하기 위해, 네트워크 공격 패턴 분석 장치는 세 가지 단계를 수행할 수 있다.Specifically, in order to extract the elements necessary for the network attack detection, the network attack pattern analysis apparatus may perform three steps.

네트워크 공격 패턴 분석 장치는 첫번째 단계로서, 맵-리듀스(Map-Reduce) 과정을 통해, 예컨대, 도 5에 도시된 바와 같은, 네트워크 로그로부터 요소를 추출할 수 있다(401). 이때, 네트워크 공격 패턴 분석 장치는 네트워크 로그를 한 줄씩 읽어 소스 아이피(Source IP), 데스티네이션 아이피(Destination IP) 및 데스티네이션 포트(Destination Port)의 3가지 요소를 추출한 후, 소스 아이피를 키(key)로 데스티네이션 아이피(Destination IP), 데스티네이션 포트(Destination Port)를 밸유(value)로 하여, HDFS에 저장할 수 있다.As a first step, the network attack pattern analysis apparatus may extract an element from a network log, for example, as illustrated in FIG. 5, through a map-reduce process (401). At this time, the network attack pattern analysis apparatus reads the network log line by line, extracts three elements of source IP, destination IP, and destination port, and then uses the source IP as a key. ), The destination IP and destination port can be stored as values in HDFS.

네트워크 공격 패턴 분석 장치는 두번째 단계로서, 네트워크 로그에서 각 요소의 수(count)를 추출한다(403). 이때, 네트워크 공격 패턴 분석 장치는 각각의 요소를 키(key)로 설정하고, 요소들의 수(count)를 밸유(value)로 하여, HDFS에 저장할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 예컨대, 1분 단위로 주기적으로 수집되는 네트워크 로그에서 요소의 수를 계산하고, 10분 단위(또는, 1분 단위)로 요소의 수에 대한 평균값을 산출하여, HDFS에 저장할 수 있다.The network attack pattern analysis apparatus, as a second step, extracts the count of each element from the network log (403). At this time, the network attack pattern analysis apparatus may set each element as a key, and set the number of elements as a value, and store them in the HDFS. At this time, the network attack pattern analysis apparatus calculates the number of elements from network logs collected periodically, for example, for 1 minute, and calculates an average value for the number of elements in 10 minute units (or 1 minute unit). Can be stored in

네트워크 공격 패턴 분석 장치는 세번째 단계로서, 맵-리듀스 과정을 통해 처리한 값을 예컨대, HQL(Hibernate Query Language)를 이용하여 Hive에 저장할 수 있다(405).As a third step, the apparatus for analyzing network attack patterns may store a value processed through a map-reduce process in Hive using, for example, Hibernate Query Language (HQL) (405).

도 6은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에 네트워크 로그를 제공하는 침입 탐지 시스템에서의 공격 탐지 방법에 대한 일례를 설명하기 위한 도면이다.6 is a view for explaining an example of an attack detection method in an intrusion detection system for providing a network log to the network attack pattern analysis apparatus according to an embodiment of the present invention.

도 6을 참조하면, 침입 탐지 시스템은 Snort 기반의 침입 탐지 시스템일 수 있으며, 룰(Rule)을 사용하여 패킷의 패턴 매칭을 수행하고, 네트워크 공격 및 문제를 감지할 수 있다. 이때, 상기 룰(Rule)은 공격을 탐지하기 위해, 사전에 정의될 수 있으며, 이미 탐지된 공격에 대한 패턴과 해당 패턴의 공격이 감지되었을 때 어떠한 동작을 수행할 것인지를 나타내는 룰 헤더(Rule Header)(601)와 동작을 할 때 추가적으로 수행할 것을 나타내는 룰 옵션(Rule Option)(603)을 포함할 수 있다.Referring to FIG. 6, the intrusion detection system may be a Snort-based intrusion detection system. The rule may perform pattern matching on a packet using a rule and detect network attacks and problems. In this case, the rule may be defined in advance in order to detect an attack, and a rule header indicating a pattern for an already detected attack and what action to perform when an attack of the pattern is detected. 601 may include a rule option 603 indicating additionally to be performed.

침입 탐지 시스템은 수집한 네트워크 로그가 룰과 일치하는지를 확인하여, 네트워크 공격을 탐지할 수 있다. 이때, 침입 탐지 시스템은 기작성된 다양한 종류의 룰을 이용하여, 여러 가지 네트워크 공격을 탐지할 수 있다.The intrusion detection system can detect network attacks by checking whether the collected network logs match the rules. In this case, the intrusion detection system may detect various network attacks by using various kinds of pre-written rules.

침입 탐지 시스템은 네트워크 로그(또는, 패킷)이 수집되면, 룰과 일치하는지 확인한 후, 일치하면 룰에서 지정된 작업을 수행할 수 있다. 이때, 침입 탐지 시스템은 룰에 지정된 작업으로서, 첫째, 노드에 경고를 하거나 둘째, 수집된 네트워크 로그(또는, 패킷)을 기록하거나 셋째, 수집된 네트워크 로그(또는, 패킷)을 삭제할 수 있다.When the network log (or packet) is collected, the intrusion detection system may check whether the rule matches the rule and then perform a task specified in the rule if it matches. At this time, the intrusion detection system may be a task specified in the rule, first, to warn the node, second, to record the collected network log (or packet) or third, to delete the collected network log (or packet).

예컨대, 침입 탐지 시스템은 TCP 프로토콜을 통해 모든 IP와 모든 PORT에서 특정 IP 주소인 123.234.56.78의 53번 포트로 들어오는 패턴일 경우, 경고(alert)를 생성하는 동작을 수행할 수 있다. 이때, 침입 탐지 시스템은 경고에 대한 룰 옵션(Rule Option)에 따라 "DNS(Domain Name Server)에 접근 시도"라는 메시지와 해당 Snort Rule의 ID를 10000010로 설정할 수 있다.For example, the intrusion detection system may perform an operation for generating an alert when a pattern is input to port 53 of 123.234.56.78 which is a specific IP address in all IPs and all PORTs through the TCP protocol. In this case, the intrusion detection system may set the message "Attempt to access a Domain Name Server (DNS)" and an ID of the corresponding Snort Rule to 10000010 according to a rule option for the alert.

도 7은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 장치에서 네트워크 공격 패턴을 분석한 결과로서 제공하는 그래프의 일례를 도시한 도면이다.7 is a diagram illustrating an example of a graph provided as a result of analyzing a network attack pattern in the network attack pattern analysis apparatus according to an embodiment of the present invention.

도 7을 참조하면, 네트워크 공격 패턴 분석 장치는 임의의 시점에서 수집된 네트워크 로그로부터 데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 데스티네이션 아이피의 수의 비율이, 설정치를 초과하는 동시에, 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석할 수 있다.Referring to FIG. 7, the apparatus for analyzing a network attack pattern extracts a destination IP from a network log collected at an arbitrary time point, and the ratio of the number of extracted destination IPs to the set number of average used destination IPs is equal to: When the number of extracted destination IPs exceeds the set value and the number of destination IPs set, the network attack pattern for the arbitrary time point may be analyzed by a host scanning attack.

이때, 네트워크 공격 패턴 분석 장치는 각각의 요소(데스티네이션 포트(Destination Port), 데스티네이션 아이피(Destination IP), 소스 아이피(Source IP))의 발생 횟수와 전체 횟수를 측정하여, 꺾은선 그래프로 작성하여 출력할 수 있다. 여기서, 소스 아이피(Source IP) 수치나 데스티네이션 아이피(Destination IP)에 비해, 데스티네이션 포트(Destination Port) 수치가 증가한 것을 확인할 수 있다.At this time, the network attack pattern analysis apparatus measures the number of occurrences and the total number of each element (Destination Port, Destination IP, Source IP) and prepares them as a line graph. Can be output. Here, it can be seen that the value of the destination port has increased compared to the source IP value or the destination IP.

또한, 네트워크 공격 패턴 분석 장치는 소스 아이피 수치 변화에 기초하여, 네트워크 공격 패턴이, 웜 또는 바이러스 공격으로 분석되는 경우, 도 8에 도시된 바와 같이, 꺾은선 그래프로 작성하여 출력할 수 있다. 이때, 소스 아이피(Source IP) 수치가 증가한 것을 확인할 수 있다.Also, when the network attack pattern is analyzed as a worm or a virus attack, the network attack pattern analysis apparatus may generate and output a line graph as illustrated in FIG. 8 when the network attack pattern is analyzed as a worm or a virus attack. At this time, it can be seen that the source IP value increased.

또한, 네트워크 공격 패턴 분석 장치는 네트워크 로그 변화에 기초하여, 네트워크 공격 패턴이, 네트워크 장애 발생으로 분석되는 경우, 도 9에 도시된 바와 같이, 꺾은선 그래프로 작성하여 출력할 수 있다. 이때, 장애 발생 직전의 로그 양이 평균치보다 높음을 확인할 수 있다.In addition, the network attack pattern analysis apparatus may generate and output a line graph as shown in FIG. 9 when the network attack pattern is analyzed as the occurrence of a network failure based on the change in the network log. At this time, it can be seen that the log amount immediately before the occurrence of the failure is higher than the average value.

도 10은 본 발명의 일실시예에 따른 네트워크 공격 패턴 분석 방법을 나타내는 흐름도이다.10 is a flowchart illustrating a network attack pattern analysis method according to an embodiment of the present invention.

도 10을 참조하면, 단계(1001)에서, 네트워크 공격 패턴 분석 장치는 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집할 수 있다.Referring to FIG. 10, in operation 1001, the apparatus for analyzing network attack patterns may collect network logs at predetermined intervals through an intrusion detection system. At this time, the network attack pattern analysis apparatus may collect the network log, the attack is detected based on a predetermined rule from the intrusion detection system.

단계(1003)에서, 네트워크 공격 패턴 분석 장치는 상기 네트워크 로그로부터 공격 탐지 요소를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 공격 탐지 요소로서, 데스티네이션 포트(Destination Port), 데스티네이션 아이피(Destination IP) 및 소스 아이피(Source IP) 중 적어도 하나의 정보를 추출할 수 있다.In operation 1003, the network attack pattern analysis apparatus may extract an attack detection element from the network log, and analyze the network attack pattern using the attack detection element. In this case, the network attack pattern analysis apparatus may extract at least one information of a destination port, a destination IP, and a source IP as the attack detection element.

먼저, 네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 포트를 추출하고, 설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격ⅰ)으로 분석할 수 있다.First, the network attack pattern analysis apparatus extracts a destination port as the attack detection element at any point in time, and the ratio of the number of extracted destination ports to the set average number of used destination ports exceeds a set value. You can check. In this case, the network attack pattern analysis apparatus may analyze the network attack pattern for the arbitrary time point by a port scanning attack 공격) when the ratio exceeds the set value as a result of the checking.

또한, 네트워크 공격 패턴 분석 장치는 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트의 수를 초과하는지를 더 확인할 수 있으며, 상기 추출된 데스티네이션 포트의 수가, 설정된 데스티네이션 포트의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석할 수 있다.In addition, the network attack pattern analysis apparatus may further check whether the number of the extracted destination ports exceeds the number of the set destination ports, and the number of the extracted destination ports exceeds the number of the set destination ports. The network attack pattern for the arbitrary time point may be analyzed by a port scanning attack.

네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 데스티네이션 아이피의 수의 비율이, 설정치를 초과하는지를 확인할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격ⅱ)으로 분석할 수 있다.At any point in time, the network attack pattern analysis apparatus extracts, as the attack detection element, a destination IP, and determines whether the ratio of the number of the extracted destination IP to the set number of average used destination IPs exceeds a set value. You can check it. In this case, the network attack pattern analysis apparatus may analyze the network attack pattern for the arbitrary time point by a host scanning attack ii) when the ratio exceeds the set value as a result of the checking.

또한, 네트워크 공격 패턴 분석 장치는 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는지를 더 확인할 수 있으며, 상기 추출된 데스티네이션 아이피의 수가, 설정된 데스티네이션 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝 공격으로 분석할 수 있다.In addition, the network attack pattern analysis apparatus may further check whether the number of the extracted destination IP exceeds the set number of destination IP, and the number of the extracted destination IP exceeds the set number of destination IP. The network attack pattern for the arbitrary time point may be analyzed by a host scanning attack.

네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피 및 데스티네이션 아이피를 추출할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 설정된 평균 네트워크 로그의 양에 대한 상기 수집된 네트워크 로그의 양의 제1 비율이, 제1 설정치를 초과하고, 상기 추출된 데스티네이션 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 제2 비율이, 제2 설정치를 초과하는지를 확인할 수 있다.The network attack pattern analysis apparatus may extract a source IP and a destination IP as the attack detection element at any point in time. At this time, the network attack pattern analysis apparatus determines that the first ratio of the amount of the collected network logs to the set amount of the average network log exceeds the first set value, and the extracted source for the number of extracted destination IPs. It can be confirmed whether the second ratio of the number of IPs exceeds the second set value.

네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 제1 비율이 상기 제1 설정치를 초과하고, 상기 제2 비율이 상기 제2 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격ⅲ)으로 분석할 수 있다.The network attack pattern analysis apparatus may determine the network attack pattern for the arbitrary time point when the first ratio exceeds the first set value and the second ratio exceeds the second set value as a result of the checking. DOS: can analyze (DDoS Distribute Denial of Service) attacks ⅲ).

네트워크 공격 패턴 분석 장치는 임의의 시점에서, 상기 공격 탐지 요소로서, 소스 아이피를 추출하고, 설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격ⅳ)으로 분석할 수 있다.The network attack pattern analysis apparatus may extract a source IP as the attack detection element at any point of time, and determine whether a ratio of the number of extracted source IPs to a set average number of used source IPs exceeds a set value. . At this time, the network attack pattern analysis unit can the check result, the ratio analysis, if it exceeds the set value, the network attack pattern for said arbitrary time, the worm (Worm) or virus (Virus) attack ⅳ) have.

또한, 네트워크 공격 패턴 분석 장치는 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피의 수를 초과하는지를 더 확인할 수 있으며, 상기 추출된 소스 아이피의 수가, 설정된 소스 아이피의 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석할 수 있다.In addition, the network attack pattern analysis apparatus may further check whether the number of the extracted source IPs exceeds the set number of source IPs, and when the number of extracted source IPs exceeds the number of set source IPs, the arbitrary The network attack pattern for the time point may be analyzed as a worm or virus attack.

네트워크 공격 패턴 분석 장치는 임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 제1 비율이, 제1 설정치를 초과하는지를 확인하고, 상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 네트워크 로그의 양의 제2 비율이, 제2 설정치 미만인지를 확인할 수 있다. 여기서, 제2 시점은 제1 시점에서 설정된 주기가 경과된 시점에 해당한다.The network attack pattern analysis apparatus determines whether the first ratio of the amount of the network log to the set average network log amount exceeds a first set value at any first time point, and the network log at the first time point. It may be confirmed whether the second ratio of the amount of the network log at the second time point to the amount of is less than the second set value. Here, the second time point corresponds to the time point at which the period set in the first time point has passed.

네트워크 공격 패턴 분석 장치는 상기 확인 결과, 상기 제1 비율이 상기 제1 설정치를 초과하고, 상기 제2 비율이 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생ⅴ)으로 분석할 수 있다.The network attack pattern analysis apparatus determines the network attack pattern for the second time point when the first ratio exceeds the first set value and the second ratio exceeds all of the second set value as a result of the checking. It can analyze the network failure ⅴ).

단계(1005)에서, 네트워크 공격 패턴 분석 장치는 상기 분석 결과를 그래프 형태(예컨대, 막대그래프, 꺾은선 그래프, 원형 그래프 등)로 출력할 수 있다. 이때, 네트워크 공격 패턴 분석 장치는 상기 분석 결과를 사용자에게 제공할 수 있는 결과 출력 창과 함께, 사용자로부터 분석 기간을 입력받을 수 있는 분석조건 설정 창을 포함하는 웹 페이지를 제공할 수 있다.In operation 1005, the apparatus for analyzing network attack patterns may output the analysis result in the form of a graph (eg, a bar graph, a line graph, a pie graph, etc.). In this case, the apparatus for analyzing network attack patterns may provide a web page including an analysis condition setting window for receiving an analysis period from the user as well as a result output window for providing the analysis result to the user.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the devices and components described in the embodiments may be, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors, microcomputers, field programmable arrays (FPAs), It may be implemented using one or more general purpose or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to the execution of the software. For convenience of explanation, one processing device may be described as being used, but one of ordinary skill in the art will appreciate that the processing device includes a plurality of processing elements and / or a plurality of types of processing elements. It can be seen that it may include. For example, the processing device may include a plurality of processors or one processor and one controller. In addition, other processing configurations are possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 저장 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the above, and configure the processing device to operate as desired, or process independently or collectively. You can command the device. Software and / or data may be any type of machine, component, physical device, virtual equipment, computer storage medium or device in order to be interpreted by or to provide instructions or data to the processing device. Or may be permanently or temporarily embodied in a signal wave to be transmitted. The software may be distributed over networked computer systems so that they may be stored or executed in a distributed manner. Software and data may be stored in one or more computer readable storage media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 저장될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 저장되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광저장 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed by various computer means and stored in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions stored in the media may be those specially designed and constructed for the purposes of the embodiments, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer readable storage media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Hardware devices specially configured to store and execute program instructions such as magneto-optical media and ROM, RAM, flash memory and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described by the limited embodiments and the drawings as described above, various modifications and variations are possible to those skilled in the art from the above description. For example, the described techniques may be performed in a different order than the described method, and / or components of the described systems, structures, devices, circuits, etc. may be combined or combined in a different form than the described method, or other components Or even if replaced or substituted by equivalents, an appropriate result can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are within the scope of the claims that follow.

100: 네트워크 공격 패턴 분석 장치
101: 인터페이스부 103: 프로세서
105: 데이터베이스 107: 디스플레이부100: network attack pattern analysis device
101: interface unit 103: processor
105: database 107: display unit

Claims (14)

침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계;
상기 네트워크 로그로부터 공격 탐지 요소로서 1)소스 아이피(Source IP), 2)데스티네이션 아이피(Destination IP), 및 3)데스티네이션 포트(Destination Port)를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계; 및
상기 분석 결과를 그래프 형태로 출력하는 단계
를 포함하고,
상기 네트워크 공격 패턴을 분석하는 단계는,
임의의 시점에서, 상기 공격 탐지 요소로서, 2)데스티네이션 아이피를 추출하는 단계; 및
설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 2)데스티네이션 아이피의 수의 비율이, 설정치를 초과하는 동시에, 상기 추출된 2)데스티네이션 아이피의 수가, 설정된 수를 초과하는 경우,
상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석하는 단계
를 포함하고,
상기 분석 결과를 그래프 형태로 출력하는 단계는,
상기 1)소스 아이피 또는 상기 2)데스티네이션 아이피에 비해, 3)데스티네이션 포트의 발생 횟수와 전체 횟수가 증가하는, 꺾은선 그래프를 출력하는 단계
를 포함하는 네트워크 공격 패턴 분석 방법.Collecting network logs at predetermined intervals through an intrusion detection system;
Extracting 1) Source IP, 2) Destination IP, and 3) Destination Port from the network log as an attack detection element, and using the attack detection element, Analyzing the attack pattern; And
Outputting the analysis result in the form of a graph
Including,
Analyzing the network attack pattern,
At any point in time, as the attack detection element, 2) extracting a destination IP; And
When the ratio of the number of extracted 2) destination IPs to the set number of average used destination IPs exceeds the set value, the number of the extracted 2) destination IPs exceeds the set number,
Analyzing the network attack pattern for the arbitrary time point as a host scanning attack
Including,
Outputting the analysis result in the form of a graph,
Outputting a broken line graph in which the number of occurrences of the destination port and the total number of times increase compared to the 1) source IP or 2) the destination IP;
Network attack pattern analysis method comprising a. 제1항에 있어서,
상기 네트워크 로그를 수집하는 단계는,
상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하는 단계
를 포함하는 네트워크 공격 패턴 분석 방법.The method of claim 1,
Collecting the network log,
Collecting the network log from which the attack is detected based on a predetermined rule from the intrusion detection system.
Network attack pattern analysis method comprising a. 제1항에 있어서,
상기 임의의 시점에서, 상기 공격 탐지 요소로서, 3)데스티네이션 포트가 추출되는 경우,
상기 네트워크 공격 패턴을 분석하는 단계는,
설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 3)데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인하는 단계; 및
상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격으로 분석하는 단계
를 더 포함하는 네트워크 공격 패턴 분석 방법.The method of claim 1,
At this point in time, as the attack detection element, 3) a destination port is extracted,
Analyzing the network attack pattern,
Checking whether the ratio of the extracted number of 3) destination ports to the set number of average used destination ports exceeds a set value; And
Analyzing the network attack pattern for the arbitrary time point as a port scanning attack when the ratio exceeds the set value as a result of the checking;
Network attack pattern analysis method further comprising. 삭제delete 제1항에 있어서,
상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피 및 2)데스티네이션 아이피가 추출되는 경우,
상기 네트워크 공격 패턴을 분석하는 단계는,
설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하는 단계;
상기 추출된 2)데스티네이션 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 제2 설정치를 초과하는지를 확인하는 단계; 및
상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격으로 분석하는 단계
를 더 포함하는 네트워크 공격 패턴 분석 방법.The method of claim 1,
At this point in time, when 1) the source IP and 2) the destination IP are extracted as the attack detection element,
Analyzing the network attack pattern,
Checking whether a ratio of the amount of the network log to the set amount of the average network log exceeds a first set value;
Checking whether the ratio of the number of extracted 1) source IPs to the number of extracted 2) destination IPs exceeds a second set value; And
If the ratio, each of the ratio exceeds both the first set value and the second set value, the step of analyzing the network attack pattern for the random point of time, Distribute Denial of Service (DDoS) attack
Network attack pattern analysis method further comprising. 제1항에 있어서,
상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피가 추출되는 경우,
상기 네트워크 공격 패턴을 분석하는 단계는,
설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인하는 단계; 및
상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격으로 분석하는 단계
를 더 포함하는 네트워크 공격 패턴 분석 방법.The method of claim 1,
At this point in time, as the attack detection element, 1) when the source IP is extracted,
Analyzing the network attack pattern,
Checking whether the ratio of the number of extracted 1) source IPs to the set average number of used source IPs exceeds a set value; And
If the ratio exceeds the set value, analyzing the network attack pattern for the arbitrary time point as a worm or virus attack
Network attack pattern analysis method further comprising. 제1항에 있어서,
상기 네트워크 공격 패턴을 분석하는 단계는,
임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하는 단계;
상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 상기 네트워크 로그의 양의 비율이, 제2 설정치 미만인지를 확인하는 단계 -제2 시점은, 제1 시점에서 설정된 주기가 경과된 시점에 해당함-; 및
상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석하는 단계
를 더 포함하는 네트워크 공격 패턴 분석 방법.The method of claim 1,
Analyzing the network attack pattern,
Checking, at any first point in time, that the ratio of the amount of network log to the set average network log amount exceeds a first set value;
Confirming whether a ratio of the amount of the network log at the second time point to the amount of the network log at the first time point is less than a second set value, wherein the second time point has elapsed a period set at the first time point At the time of completion; And
Analyzing the network attack pattern for the second time point as occurrence of a network failure when each of the ratios exceeds both the first set value and the second set value as a result of the checking;
Network attack pattern analysis method further comprising. 침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 인터페이스부;
상기 네트워크 로그로부터 공격 탐지 요소로서 1)소스 아이피, 2)데스티네이션 아이피, 및 3)데스티네이션 포트를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 프로세서; 및
상기 분석 결과를 그래프 형태로 출력하는 디스플레이부
를 포함하고,
상기 프로세서는,
임의의 시점에서, 상기 공격 탐지 요소로서, 2)데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 2)데스티네이션 아이피의 수의 비율이, 설정치를 초과하는 동시에, 상기 추출된 2)데스티네이션 아이피의 수가, 설정된 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석하며,
상기 디스플레이부는,
상기 1)소스 아이피 또는 상기 2)데스티네이션 아이피에 비해, 3)데스티네이션 포트의 발생 횟수와 전체 횟수가 증가하는, 꺾은선 그래프를 출력하는
네트워크 공격 패턴 분석 장치.An interface unit for collecting network logs at predetermined intervals through an intrusion detection system;
A processor that extracts 1) a source IP, 2) a destination IP, and 3) a destination port from the network log and analyzes a network attack pattern using the attack detection element; And
A display unit for outputting the analysis result in a graph
Including,
The processor,
At any point in time, as the attack detection element, 2) a destination IP is extracted, and the ratio of the number of extracted 2) destination IPs to a set average number of used destination IPs exceeds a set value, When the number of the extracted 2) destination IP exceeds the set number, the network attack pattern for the arbitrary time point is analyzed by a host scanning attack,
The display unit,
Compared to 1) the source IP or 2) the destination IP, 3) outputting a line graph in which the number of occurrences and the total number of the destination ports increase.
Network attack pattern analysis device. 제8항에 있어서,
상기 인터페이스부는,
상기 침입 탐지 시스템으로부터 기설정된 룰에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하는
네트워크 공격 패턴 분석 장치.The method of claim 8,
The interface unit,
Collecting the network log, the attack is detected based on a predetermined rule from the intrusion detection system
Network attack pattern analysis device. 제8항에 있어서,
상기 임의의 시점에서, 상기 공격 탐지 요소로서, 3)데스티네이션 포트가 추출되는 경우,
상기 프로세서는,
설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 3)데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석하는
네트워크 공격 패턴 분석 장치.The method of claim 8,
At this point in time, as the attack detection element, 3) a destination port is extracted,
The processor,
Confirm that the ratio of the extracted number of 3) destination ports to the set number of average used destination ports exceeds a set value; and, when the result of the check indicates that the ratio exceeds the set value, Analyzing the network attack pattern by port scanning attack
Network attack pattern analysis device. 삭제delete 제8항에 있어서,
상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피 및 2)데스티네이션 아이피가 추출되는 경우,
상기 프로세서는,
설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하고, 상기 추출된 2)데스티네이션 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 제2 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스 공격으로 분석하는
네트워크 공격 패턴 분석 장치.The method of claim 8,
At this point in time, when 1) the source IP and 2) the destination IP are extracted as the attack detection element,
The processor,
The ratio of the amount of the network log to the set average network log is greater than a first set value, and the ratio of the number of extracted 1) source IPs to the number of extracted 2) destination IPs is Determine whether the second setting value is exceeded, and when the ratio indicates that each of the ratios exceeds both the first setting value and the second setting value, the network attack pattern for the arbitrary time point is analyzed as a DDoS attack. doing
Network attack pattern analysis device. 제8항에 있어서,
상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피가 추출되는 경우,
상기 프로세서는,
설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석하는
네트워크 공격 패턴 분석 장치.The method of claim 8,
At this point in time, as the attack detection element, 1) when the source IP is extracted,
The processor,
The ratio of the number of extracted 1) source IPs to the set number of average used source IPs is greater than a set value, and when the result of the check is that the ratio exceeds the set values, Analyzing network attack patterns as worm or virus attacks
Network attack pattern analysis device. 제8항에 있어서,
상기 프로세서는,
임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하고,
상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 상기 네트워크 로그의 양의 비율이, 제2 설정치 미만인지를 확인하며, -제2 시점은, 제1 시점에서 설정된 주기가 경과된 시점에 해당함-
상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석하는
네트워크 공격 패턴 분석 장치.The method of claim 8,
The processor,
At any first point in time, determine whether the ratio of the amount of the network log to the set average network log amount exceeds the first set value,
The ratio of the amount of the network log at the second time point to the amount of the network log at the first time point is less than a second set value, and wherein the second time point, the period set at the first time point has elapsed At that time
As a result of the check, when each of the ratios exceeds both the first set value and the second set value, the network attack pattern for the second time point is analyzed as a network failure occurrence.
Network attack pattern analysis device.
KR1020170113757A 2017-09-06 2017-09-06 Apparatus and method for analyzing network attack pattern KR102040371B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170113757A KR102040371B1 (en) 2017-09-06 2017-09-06 Apparatus and method for analyzing network attack pattern

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170113757A KR102040371B1 (en) 2017-09-06 2017-09-06 Apparatus and method for analyzing network attack pattern

Publications (2)

Publication Number Publication Date
KR20190027122A KR20190027122A (en) 2019-03-14
KR102040371B1 true KR102040371B1 (en) 2019-11-05

Family

ID=65759448

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170113757A KR102040371B1 (en) 2017-09-06 2017-09-06 Apparatus and method for analyzing network attack pattern

Country Status (1)

Country Link
KR (1) KR102040371B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351608A (en) * 2019-07-18 2019-10-18 中国传媒大学 A kind of radio and television users viewing behavior data slicer system, framework and method
KR102534204B1 (en) * 2021-05-28 2023-05-18 숭실대학교 산학협력단 System for blocking external intrusion using smart home iot and method thereof
KR102594137B1 (en) * 2021-11-17 2023-10-26 주식회사 윈스 Method and Apparatus for Detecting DDoS Attacks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101236129B1 (en) * 2011-07-19 2013-02-28 주식회사 엔피코어 Apparatus for control abnormal traffic and method for the same

Also Published As

Publication number Publication date
KR20190027122A (en) 2019-03-14

Similar Documents

Publication Publication Date Title
CN109962891B (en) Method, device and equipment for monitoring cloud security and computer storage medium
US10659478B2 (en) Identifying stealth packets in network communications through use of packet headers
EP2961111B1 (en) Network monitoring device, network monitoring method, and network monitoring program
EP3214568B1 (en) Method, apparatus and system for processing cloud application attack behaviours in cloud computing system
US9210181B1 (en) Detection of anomaly in network flow data
JP6001689B2 (en) Log analysis apparatus, information processing method, and program
EP2860937B1 (en) Log analysis device, method, and program
EP3221794B1 (en) Method and system for detecting threats using metadata vectors
EP3619903B1 (en) Non-protocol specific system and method for classifying suspect ip addresses as sources of non-targeted attacks on cloud based machines
CN111274583A (en) Big data computer network safety protection device and control method thereof
CN107547490B (en) Scanner identification method, device and system
US10749895B2 (en) Handling network threats
KR102040371B1 (en) Apparatus and method for analyzing network attack pattern
EP3657371A1 (en) Information processing device, information processing method, and information processing program
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
JP2019536158A (en) Method and system for verifying whether detection result is valid or not
CN117220957A (en) Attack behavior response method and system based on threat information
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
JP2010250607A (en) System, method and program for analysis of unauthorized access
JP2017199250A (en) Computer system, analysis method of data, and computer
JP2017211806A (en) Communication monitoring method, security management system, and program
US20170185772A1 (en) Information processing system, information processing method, and program
KR101695461B1 (en) Apparatus and method for detecting security danger
US20230379361A1 (en) System and method for generating cyber threat intelligence
CN115664726A (en) Malicious beacon communication detection method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant