KR102239759B1 - Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks - Google Patents
Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks Download PDFInfo
- Publication number
- KR102239759B1 KR102239759B1 KR1020190150245A KR20190150245A KR102239759B1 KR 102239759 B1 KR102239759 B1 KR 102239759B1 KR 1020190150245 A KR1020190150245 A KR 1020190150245A KR 20190150245 A KR20190150245 A KR 20190150245A KR 102239759 B1 KR102239759 B1 KR 102239759B1
- Authority
- KR
- South Korea
- Prior art keywords
- yara
- idps
- threat
- ioc
- data
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 컴퓨터 네트워크의 보안에 관한 것으로서, 특히 알려지지 않은 네트워크에 대한 위협을 탐지할 수 있는 방법에 관한 것이다. The present invention relates to the security of computer networks, and in particular to a method for detecting threats to unknown networks.
4차 산업혁명을 맞이하여 컴퓨터 네트워크의 중요성은 더욱 더 높아지고 있다. 사람들은 손쉽게 데스크톱, 노트북, 테블릿, 또는 스마트폰을 이용하여 인터넷이나 인트라넷 등의 네트워크에 접속하여 정보를 얻거나 제공한다. In the face of the 4th industrial revolution, the importance of computer networks is increasing more and more. People easily use desktops, laptops, tablets, or smartphones to access networks such as the Internet or intranet to obtain or provide information.
인터넷이나 인트라넷 같은 네트워크는 사회 문화 경제 등 다양한 분야에서 인프라로 폭 넓게 이용되고 있으나, 반대로 인터넷의 보안 취약점으로 인해 사이버 문화의 마비와 온라인 신뢰 기반의 저하 등 새로운 사회 혼란 요인을 야기시키고 있다 Networks such as the Internet and Intranet are widely used as infrastructure in various fields such as socio-cultural economy, but on the contrary, the security vulnerability of the Internet causes new social confusion factors such as paralysis of cyber culture and deterioration of the online trust base
악의적인 사용자에 의한 위협을 방지하기 위하여 여러가지 기술들이 개발되고 있다. 그 중 하나는 내부 보안 솔루션인 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)이다. 내부 침입탐지/방지시스템은 이미 정해져있는 규칙(Rule)을 기반으로 위협을 탐지 및 차단한다. 다른 하나는 외부 위협 인텔리전스(external Threat intelligence)이다. 외부 위협 인텔리전스란 다양한 출처로부터의 위협 정보를 취합하여 공유 및 제공하는 서비스를 의미한다. 즉, 조직 내부의 인력 또는 시스템에서 발생한 것이 아닌 외부에서 발생하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)를 제공받아 그 위협에 대응하는 것을 말한다. Various technologies are being developed to prevent threats by malicious users. One of them is the Intrusion Detection/Prevention System (IDPS), an internal security solution. The internal intrusion detection/prevention system detects and blocks threats based on already established rules. The other is external threat intelligence. External threat intelligence refers to a service that collects, shares, and provides threat information from various sources. In other words, it means responding to the threat by receiving information (IP, URL, Domain, Hash, YARA) about cyber threats that occur outside the organization, not from personnel or systems inside the organization.
내부 침입탐지/방지시스템과 외부 위협 인텔리전스를 함께 이용하는 것은 일견 매우 합리적이고 높은 보안성을 제공할 것처럼 보인다. 하지만 실제로는 외부 위협 인텔리전스에서 제공하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)와 내부 침입탐지/방지시스템의 이벤트를 단순히 매칭하는 것은 양자가 정확하게 일치하지 않는 경우가 많이 실질적으로 보안성 향상에 기여하는바가 없다. Using an internal intrusion detection/prevention system and external threat intelligence together seems to provide very reasonable and high security at a glance. However, in reality, simply matching the cyber threat information (IP, URL, Domain, Hash, YARA) provided by the external threat intelligence with the events of the internal intrusion detection/prevention system is often not exactly the same. There is no contribution to security improvement.
본 발명의 발명자들은 이러한 문제점에 대해 깊이 고민한 끝에 내부 침입탐지/방지시스템 및 외부 위협 인텔리전스를 함께 이용함으로써 보안성이 향상된 알려지지 않는 위협의 탐지 장치 및 방법에 관한 본 발명을 완성하기에 이르렀다. The inventors of the present invention came to complete the present invention regarding an apparatus and method for detecting an unknown threat with improved security by using both an internal intrusion detection/prevention system and an external threat intelligence after deep consideration of this problem.
침입탐지/방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 단순히 매칭하는 것은 양자가 정확하게 일치하지 않는 경우가 많아 실질적으로 보안성 향상에 기여하는 바가 없다. 따라서 본 발명의 목적은 내부 침입탐지/방지시스템의 이벤트의 패킷정보를 YARA 기반의 외부 위협 인텔리전스의 정보에 포함된 야라 시그니처를 이용하여 YARA 탐지엔진으로 분석함으로써 실질적으로 보안성을 향상시킬 수 있는 방법을 제공하는 것에 있다. The simple matching of the event of the intrusion detection/prevention system and the information of the external threat intelligence does not actually contribute to the improvement of security because the two do not match accurately. Accordingly, an object of the present invention is a method that can substantially improve security by analyzing packet information of an event of an internal intrusion detection/prevention system with a YARA detection engine using YARA signature included in information of external threat intelligence based on YARA. To provide.
한편, 본 발명의 명시되지 않은 또 다른 목적들은 하기의 상세한 설명 및 그 효과로부터 용이하게 추론할 수 있는 범위 내에서 추가적으로 고려될 것이다.Meanwhile, other objects that are not specified of the present invention will be additionally considered within a range that can be easily deduced from the detailed description and effects thereof below.
위와 같은 과제를 달성하기 위해 본 발명의 내부에 알려지지 않은 위협의 탐지방법은 내부 위협탐지 및 방지시스템(IDPS)과 외부 위협 인텔리전스를 이용하며, 구체적으로는 내부 위협탐지 및 방지시스템의 이벤트를 파싱하되, 탐지룰 ID를 생성하여 탐지를 ID를 포함하는 IDPS 이벤트데이터와 탐지룰 ID에 의해 식별되는 IDPS 패킷데이터를 생성하는 단계; 외부 위협 인텔리전스로부터 전송받은 외부 위협 인텔리전스를 파싱하여 YARA 시그니처를 구비하는 YARA IoC(Indicator of Compromise)를 포함하는 외부 위협 인텔리전스 IoC를 생성하는 단계; 및 위험성을 평가하는 단계;를 포함하고, 상기 위험성을 평가하는 단계는 YARA 탐지 엔진을 이용하여 IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계를 포함하여 수행되고, IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정하며 ,매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성한다.In order to achieve the above task, the detection method of an unknown threat inside the present invention uses an internal threat detection and prevention system (IDPS) and external threat intelligence, and specifically parses the events of the internal threat detection and prevention system. And generating a detection rule ID to generate IDPS event data including a detection ID and IDPS packet data identified by the detection rule ID; Parsing the external threat intelligence transmitted from the external threat intelligence and generating an external threat intelligence IoC including a YARA Indicator of Compromise (IoC) having a YARA signature; And evaluating the risk, wherein the step of evaluating the risk is performed including matching the IDPS packet data and the YARA signature using a YARA detection engine, and the matching result of the IDPS packet data and the YARA signature is In the case of positive, it is determined that there is a risk, and threat data is generated by using the YARA IoC of the YARA signature matched with the IDPS event data corresponding to the detection rule ID of the matched IDPS packet data.
일 실시예에 있어서, IDPS 이벤트데이터는 Remote IP 및 취약점표준코드(CVE) 심각성를 구비하여 생성되며, 외부 위협 인텔리전스 IoC는 IP IoC를 구비하여 생성되며, YARA IoC는 YARA 심각도를 더 구비하여 생성되고, 상기 위협 데이터에는 IDPS 이벤트데이터의 Remote IP 및 CVE 심각성에 관한 정보와 YARA IoC의 YARA 심각도에 관한 정보를 포함하고 있으며, 상기 위험성을 평가하는 단계는, (a) IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계; (b) 위협 데이터의 Remote IP와 IP IoC를 매칭하는 단계; (c) 위협 데이터의 YARA 심각도가 높음인지 확인하는 단계; 및 (d) 위협 데이터의 CVE 심각도가 높은인지 확인하는 단계;를 수행하고, 상기 (a) ~ (d) 단계에 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정한다. In one embodiment, IDPS event data is generated with Remote IP and Vulnerability Standard Code (CVE) severity, external threat intelligence IoC is generated with IP IoC, and YARA IoC is generated with YARA severity further, The threat data includes information on remote IP and CVE severity of IDPS event data and information on YARA severity of YARA IoC, and the step of evaluating the risk includes: (a) matching IDPS packet data and YARA signature. step; (b) matching the remote IP and IP IoC of the threat data; (c) checking whether the YARA severity of the threat data is high; And (d) determining whether the threat data has a high CVE severity; and it is determined that the risk is higher as the number of positive steps in steps (a) to (d) increases.
일 실시예에 있어서, 상기 위험성을 평가하는 단계를 수행한 후 위험 데이터와 화이트리스트를 매칭하여, 상기 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외한다. In an embodiment, after performing the step of evaluating the risk, the risk data and the white list are matched, and the risk data corresponding to the white list is excluded from those having a risk.
위와 같은 본 발명의 과제해결수단에 의해서 본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터베이스를 생성함으로써 내부 침입탐지/방지시스템이 내부에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상된다.By using the problem solving means of the present invention as described above, the present invention creates a threat database by using the events of the internal intrusion detection and prevention system and information of external threat intelligence together, so that the internal intrusion detection/prevention system detects unknown threats inside It can, and accordingly, the security of the network is substantially improved.
또한, 생성된 위협 데이터베이스에서 화이트리스트와 관련된 위협데이터는 제거함으로써 보다 신뢰성 있게 네트워크의 보안성을 향상시킬 수 있다. In addition, by removing the threat data related to the white list from the created threat database, the security of the network can be improved more reliably.
한편, 여기에서 명시적으로 언급되지 않은 효과라 하더라도, 본 발명의 기술적 특징에 의해 기대되는 이하의 명세서에서 기재된 효과 및 그 잠정적인 효과는 본 발명의 명세서에 기재된 것과 같이 취급됨을 첨언한다.On the other hand, even if it is an effect not explicitly mentioned herein, it is added that the effect described in the following specification and its provisional effect expected by the technical features of the present invention are treated as described in the specification of the present invention.
도 1은 본 발명의 일 실시예에 따른 알려지 않은 위협의 탐지장치의 개략적인 구조도이다.
도 2는 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법의 개략적 흐름도이다.
첨부된 도면은 본 발명의 기술사상에 대한 이해를 위하여 참조로서 예시된 것임을 밝히며, 그것에 의해 본 발명의 권리범위가 제한되지는 아니한다.1 is a schematic structural diagram of an unknown threat detection apparatus according to an embodiment of the present invention.
FIG. 2 is a schematic flowchart of a method for detecting an unknown threat within according to another embodiment of the present invention.
The accompanying drawings are exemplified by reference for an understanding of the technical idea of the present invention, and the scope of the present invention is not limited thereto.
본 발명을 설명함에 있어서 관련된 공지기능에 대하여 이 분야의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. In describing the present invention, when it is determined that the subject matter of the present invention may be unnecessarily obscured as matters that are apparent to those skilled in the art for related known functions, detailed descriptions will be omitted.
도 1은 본 발명의 일 실시예에 따른 알려지 않은 위협의 탐지장치(100)의 개략적인 구조도이다. 본 문서에서 내부에 알려지지 않은 위협이라 함은 네트워크의 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)에 알려지지 않은 위협으로서, 내부 침입탐지/방지시스템만으로는 탐지 및 방지할 수 없는 위협을 의미한다. 1 is a schematic structural diagram of an unknown
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 다양한 형태로 구현될 수 있다.The
컴퓨터 기반의 장치를 이용하여 소프트웨어적으로 구현할 수도 있고, 전용의 하드웨어를 구성하여 구현할 수 잇다. 본 발명의 위협탐지장치(100)는 FPGA(Field Programmable Gate Array)를 이용하여 구현할 수 있다. FPGA는 프로그램가능한 반도체로 한번 제작하면 수정이 불가능한 주문형 반도체(Application Specific Integrated Circuit, ASIC)와 달린 사용자가 필요에 따라 설계한 하드웨어를 구현할 수 있는 특징이 있다. 논리소자에 의해 하드웨어 반도체로 구현하기 때문에 소프트웨어적인 구현보다 훨씬 속도가 빠른 장점이 있다. 한편, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 빅데이터 엔진을 기초로 제작될 수 있다. It can be implemented in software using a computer-based device, or it can be implemented by configuring dedicated hardware. The
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 IDPS 파서(10), 외부 위협 인텔리전스 파서(20), 파일 위협 분석기(30)로 구성된다. 또한, IoC(Indicator of Compromise) 위협 분석기(40)와 위험도 평가기(50)를 더 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)의 동작 과정과 결과를 디스플레이 장치 등의 유저 인터페이스(60)를 통해 제공할 수 있다. The
IDPS 파서(10)는 내부 위협탐지 및 방지시스템(1)을 소스로 하여 전송받은 내부 위협탐지 및 방지시스템의 이벤트(또는 로그)를 파싱(parsing)하여 IDPS 데이터(11)를 생성한다. IDPS 데이터(11)는 IDPS 이벤트데이터(12)와 IDPS 패킷데이터(13)으로 구성된다. IDPS 파서(10)가 IDPS 이벤트데이터(12)를 생성할 때 IDPS 이벤트데이터(12)들을 식별할 수 있도록 탐지룰 ID를 생성하고, IDPS 이벤트데이터(12)를 탐지룰 ID와 해당 이벤트에 관한 정보를 IDPS 이벤트데이터(12)로 생성한다. 해당 이벤트에 관한 정보란 Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule 심각도(RS), number of count(#C), protocol 및 Common Vulnerability Exposure(CVE)에서 선택되는 적어도 어느 하나를 의미한다. 한편, 생성된 탐지룰 ID를 기준으로 하는 IDPS 패킷데이터(13)를 생성한다. 즉, IDPS 패킷데이터(13)에서는 특정 이벤트에 대한 탐지룰 ID와 그 특정 이벤트의 패킷데이터(detected packet)를 포함한다. The
내부 칩입탐지 및 방지시스템(10)은 기저장되어 있던 위협에 관한 규칙(Rule)을 기반으로 위협을 탐지하거나 차단하는 기능을 가지는 것이므로 내부 침입탐지 및 방지시스템(10)에 알려지지 않은 위협은 탐지하거나 차단할 수 없다. 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 외부 위협 인텔리전스 소스(2)를 이용하여 이 문제를 해결하였다. 외부 위협 인텔리전스 소스(2)란 외부 위협 인텔리전스 공유 체계를 의미하며, 예를 들어 STIX, CybOX, MEAC, YARA, OpenIoC 등이 있다. Since the internal intrusion detection and
외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 전송받은 외부 위협 인텔리전스를 파싱하여 외부 위협 인텔리전스 IoC(21)를 생성한다. 특히, 본 발명의 내부에 알려지지 않은 위협의 탐지장치(100)는 외부 위협 인텔리전스 중에서 YARA 기반의 외부 위협 인텔리전스를 이용할 수 있는데, 이 경우 외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 전송받은 외부 위협 인텔리전스를 파싱하여 생성되는 외부 위협 인텔리전스 IoC(21)가 YARA 시그니처 및 YARA 심각도를 포함하는 YARA IoC(22)를 구비하도록 할 수 있다. 한편, YARA IoC(22)를 생성할 때 생성되는 YARA IoC(22)는 룰 정규화를 통하여 1개의 YARA 룰을 8 byte 이내로 구성하되, YARA 룰이 8 byte 이상인 경우에는 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성할 수 있다. 이는 IDPS 패킷데이터(13)가 8 byte를 기준으로 생성되는 것을 고려한 것이다. 즉, 생성되는 YARA 룰의 byte가 IDPS 패킷데이터의 byte보다 작은 것이 바람직하다. YARA IoC(22)는 YARA 시그니쳐[byte string](SIG) 및 YARA 심각도(YS)를 포함하고, 나아가 YARA Identifier(YID), Child YARA Identifier(CYID), YARA category[type](YT) 중 적어도 하나 이상을 더 포함할 수 있다. 또한, 외부 위협 인텔리전스 파서(20)는 외부 위협 인텔리전스 소스(2)로부터 YARA IoC(22) 외에도 IP IoC(23) 및 파일 IoC(24)을 생성한다. IP IoC(23)는 Remote IP(RIP) 및 Protocol을 포함하고, 파일 IoC(24)는 Hash(MD5)를 포함한다. The external
파일 위협 분석기(30)는 IDPS 패킷데이터(13)와 YARA IoC(22)를 이용하여 위협 데이터(31)를 생성한다. 파일 위협 분석기(30)는 YARA 탐지 엔진을 구비하고 있다. YARA 탐지 엔진을 이용하여 IDPS 패킷데이터(13)와 YARA IoC(22)의 YARA 시그니처를 매칭한다. 매칭한 결과가 파지티브(Positve)일 경우 매칭된 IDPS 패킷데이터(13)의 탐지룰 ID에 해당하는 IDPS 이벤트데이터(12)와 매칭된 YARA 시그니처의 YARA IoC(22)를 이용하여 위협 데이터(31)를 생성한다. 이와 같이 IDPS 이벤트데이터(12)와 YARA IoC(22)를 이용함으로써 위협 데이터(31)는 Host IP[Internal](HIP), Remote IP(RIP), YARA category[Type](YT), IDPS Rule category[Type](RT), YARA severity(YS), IDPS Rule severity(RS), Final Severity(FS) 및 Common Vulnerability Exposure(CVE)를 포함할 수 있다. 이로써 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 내부 위협탐지 및 방지시스템(IDPS)에 규칙으로 저장되어 있지 않은 위협의 경우에도 외부 위협 인텔리전스 소스(2)로부터 제공받은 YARA IoC(22)를 이용하여 침입탐지 및 방지가 가능하다.The
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 IoC 위협 분석기(40)를 이용하여 위협에 대한 보안성을 더욱 향상시킬 수 있다. 이를 위해 IoC 위협 분석기(40)는 위협 데이터(31)와 외부 위협 인텔리전스 IoC(21)의 IP IoC(23)와 파일 IoC(24)를 매칭한다. IoC 위협 분석기(40)는 위협 데이터(31)와 외부 위협 인텔리전스 IoC(21)의 IP IoC(23)와 파일 IoC(24)를 매칭한 결과가 파지티브(Positive)일 경우 위험성 평가기(50)로 그 정보를 전송한다. The
한편, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 화이트리스트(41)를 이용하여 위협이 없는 것으로 미리 판단된 트래픽은 위협 데이터(31)에서 제거한다. 화이트리스트란 안전한 IoC 리스트를 의미한다. 화이트리스트(41)는 IP 화이티리스트(42)와 파일 화이트리스트(43)로 구성되어 있으며, 화이트리스트(41)와 위협 데이터(31)를 매칭하여, 매칭한 결과가 파지티브(Positive)일 경우 매칭된 IP 또는 파일에 대응하는 데이터를 위협 데이터(31)에서 제거한다. Meanwhile, the
위험도 평가기(50)에서는 최종적으로 평가된 트래픽의 위험도를 여러단계의 등급으로 나누어 유저인터페이스(60)를 통해 사용자에게 제공한다. 이때 여러단계?? 등급에 대해서는 후술하는 본 발명의 내부에 알려지지 않은 위협의 탐지방법에서 구체적으로 살펴본다.The
본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치(100)는 YARA 기반의 외부 위협 인텔리전스과 내부 위협탐지 및 방지시스템을 함께 이용하여 내부에 알려지지 않은 위협에 대한 실질적인 보안성 향상에 기여할 수 있다. The
도 2는 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법의 개략적 흐름도이다. 본 발명의 다른 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법은 상술한 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지장치에 의해 구동될 수 있다.FIG. 2 is a schematic flowchart of a method for detecting an unknown threat inside according to another embodiment of the present invention. A method for detecting an unknown threat inside according to another embodiment of the present invention may be driven by the detection device for an unknown threat inside according to the embodiment of the present invention.
우선 내부 위협탐지 및 방지시스템의 이벤트를 파싱하는 단계(S10)가 수행된다. 이 단계에서는 내부 위협탐지 및 방지시스템의 이벤트를 파싱하여 IDPS 이벤트데이터 및 IDPS 패킷데이터를 생성한다. IDPS 이벤트데이터를 생성할 때에는 해당 이벤트에 대한 탐지룰 ID를 생성하고, 그 외 해당 이벤트에 관한 정보를 함께 저장한다. IDPS 패킷데이터는 생성된 탐지룰 ID에 의해 식별가능하도록 해당 이벤트의 패킷데이터와 생성된 탐지룰 ID가 함께 저장한다. IDPS 이벤트 데이터에는 탐지룰 ID와 Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule 심각도(RS), number of count(#C), protocol 및 Common Vulnerability Exposure(CVE)에서 선택되는 적어도 어느 하나를 구비한다.First, a step (S10) of parsing an event of an internal threat detection and prevention system is performed. In this step, IDPS event data and IDPS packet data are generated by parsing the events of the internal threat detection and prevention system. When generating IDPS event data, a detection rule ID for the event is generated, and other information about the event is stored together. The IDPS packet data is stored together with the packet data of the event and the generated detection rule ID so as to be identifiable by the generated detection rule ID. IDPS event data includes detection rule ID, Host IP(HIP), Remote IP(RIS), Ruld Identifier(RID), IDPS Rule category[Type](RT), IDPS rule severity(RS), number of count(#C) , protocol and at least one selected from Common Vulnerability Exposure (CVE).
다음으로, 혹은 S10 단계와 함께 외부 위협 인텔리전스를 파싱하는 단계(S20)가 수행된다. 이 단계에서는 외부 위협 인텔리전스를 파싱하여 YARA IoC와, IP IoC, 파일 IoC를 포함하는 외부 위협 인텔리전스 IoC를 생성한다. 이때 YARA IoC는 룰 정규화를 통하여 1개의 YARA 룰을 8 byte 이내로 구성하되, YARA 룰이 8 byte 초과할 경우에는 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성할 수 있다. YARA IoC는 YARA 시그니쳐[byte string](SIG) 및 YARA 심각도(YS)를 포함하고, 나아가 YARA Identifier(YID), Child YARA Identifier(CYID), YARA category[type](YT) 중 적어도 하나 이상을 더 포함할 수 있다. 한편, IP IoC는 Remote IP(RIP) 및 Protocol을 포함하고, 파일 IoC는 Hash(MD5)를 포함한다. Next, a step (S20) of parsing the external threat intelligence is performed together with step S10. In this step, external threat intelligence is parsed to generate external threat intelligence IoC including YARA IoC, IP IoC, and file IoC. At this time, YARA IoC consists of one YARA rule within 8 bytes through rule normalization, but if the YARA rule exceeds 8 bytes, it can additionally create a YARA rule and configure the CYID (Child YARA Identifier) field value. YARA IoC includes YARA signature [byte string] (SIG) and YARA severity (YS), and further includes at least one of YARA Identifier (YID), Child YARA Identifier (CYID), and YARA category[type] (YT). Can include. Meanwhile, IP IoC includes Remote IP (RIP) and Protocol, and file IoC includes Hash (MD5).
다음으로, 위험성을 평가하는 단계(S30)를 수행한다. 위험성을 평가하는 단계(S30)는 적어도 하나 이상의 하위 단계로 구성될 수 있으며, 복수의 단계로 구성함으로써 위험도를 정량적으로 평가할 수 있다. Next, a step (S30) of evaluating the risk is performed. The step of evaluating the risk (S30) may be composed of at least one sub-step, and the risk may be quantitatively evaluated by having a plurality of steps.
먼저, IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계(S31)가 수행될 수 있다. IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계는 YARA 탐지 엔진을 이용할 수 있다. IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정된다. 한편, 매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성한다. 만약 매칭되지 않는다면 위험도가 없기 때문에 다른 위협을 탐지한다. First, the step (S31) of matching the IDPS packet data and the YARA signature may be performed. The YARA detection engine may be used to match the IDPS packet data and the YARA signature. If the result of matching IDPS packet data and YARA signature is positive, it is determined that there is a risk. Meanwhile, the threat data is generated by using the IDPS event data corresponding to the detection rule ID of the matched IDPS packet data and the YARA IoC of the matched YARA signature. If it doesn't match, it detects other threats because there is no risk.
만약 YARA IoC의 YARA 룰이 8 byte를 초과할 경우 CYID를 필드값으로 구성되는데, 그 경우 IDPS 패킷데이터와 YARA 시그니처(CYID)를 매칭하는 단계(S32)가 수행된다. If the YARA rule of the YARA IoC exceeds 8 bytes, the CYID is configured as a field value. In that case, a step (S32) of matching the IDPS packet data and the YARA signature (CYID) is performed.
탐지룰 ID와 해당 이벤트에 관한 정보를 포함하는 IDPS 이벤트데이터 및 상기 탐지룰 ID를 기준으로 하는 IDPS 패킷데이터를 IDPS 패킷데이터와 YARA 시그니처(CYID)의 매칭 결과가 파지티브(Positive)인 경우 위험도가 증가하며, 네거티브(negative)인 경우 위험성을 평가하는 단계(S30)를 종료한다. If the result of matching IDPS packet data and YARA signature (CYID) with IDPS event data including detection rule ID and information on the event and IDPS packet data based on the detection rule ID is positive, the risk is It increases, and if it is negative, the step of evaluating the risk (S30) is terminated.
다음으로 IP IoC와 위협대이터의 Remote IP를 매칭하는 단계(S33), 위협데이터의 YARA 심각도가 높음(High)인지 확인하는 단계(S34), 위험데이터의 CVE 심각도가 높음(High)인지 확인하는 단계(S35)가 수행된다. 각 단계가 파지티브(Positive)인 경우 위험도가 증가하며, 네거티브(negative)인 경우 위험성을 평가하는 단계(S30)를 종료한다. 상술한 단계 S31 ~ S35에서 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정된다. Next, the step of matching the IP IoC and the remote IP of the threat agent (S33), confirming whether the YARA severity of the threat data is high (S34), and confirming whether the CVE severity of the risk data is high (High). Step S35 is performed. If each step is positive, the risk increases, and if the step is negative, the step S30 of evaluating the risk is terminated. In the above-described steps S31 to S35, the greater the number of positive steps, the higher the risk is determined.
위험성을 평가하는 단계(S30)를 수행한 후 위험 데이터와 화이트리스트를 매칭하는 단계(S40)를 수행한다. 이 단계에서 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외한다. After performing the step S30 of evaluating the risk, the step S40 of matching the risk data and the white list is performed. At this stage, the whitelisted risk data is excluded from those with risk.
화이트리스트에서 제외되지 아니한 위협데이터에 대해서는 위험성을 산출한다(S50). 이때, 위험성을 평가하는 단계(S30)를 구성하는 각 하위 단계에 파지티브(positve)인 단계가 많을수록 높은 위험성의 점수를 부여한다. For threat data not excluded from the white list, the risk is calculated (S50). At this time, a higher risk score is given as there are more positive steps in each sub-step constituting the risk evaluation step S30.
이상과 같이 본 발명은 내부 침입탐지 및 방지시스템의 이벤트와 외부 위협 인텔리전스의 정보를 함께 이용하여 위협 데이터를 생성함으로써 내부 침입탐지 및 방지시스템에 알려지지 않은 위협을 탐지할 수 있으며, 이에 따라 네트워크의 보안성이 실질적으로 향상된다.As described above, the present invention can detect unknown threats in the internal intrusion detection and prevention system by generating threat data by using the event of the internal intrusion detection and prevention system together with information of the external threat intelligence, and thus the security of the network. The performance is substantially improved.
참고로, 본 발명의 일 실시예에 따른 내부에 알려지지 않은 위협의 탐지방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독가능매체에 기록될 수 있다. 상기 컴퓨터 판독가능매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. For reference, the method for detecting an unknown threat inside according to an embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in computer software.
컴퓨터 판독가능매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체, 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급언어코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floptical disks, and ROM, RAM, A hardware device specially configured to store and execute program instructions such as flash memory or the like may be included. Examples of program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The above-described hardware device may be configured to operate as one or more software modules to perform the operation of the present invention, and vice versa.
발명의 보호범위가 이상에서 명시적으로 설명한 실시예의 기재와 표현에 제한되는 것은 아니다. 또한, 본 발명이 속하는 기술분야에서 자명한 변경이나 치환으로 말미암아 본 발명이 보호범위가 제한될 수도 없음을 다시 한 번 첨언한다.The scope of protection of the invention is not limited to the description and expression of the embodiments explicitly described above. In addition, it is added once again that the scope of protection of the present invention may not be limited due to obvious changes or substitutions in the technical field to which the present invention pertains.
Claims (4)
내부 위협탐지 및 방지시스템의 이벤트를 파싱하되, 탐지룰 ID를 생성하여 탐지룰 ID를 포함하는 IDPS 이벤트데이터와 탐지룰 ID에 의해 식별되는 IDPS 패킷데이터를 생성하는 단계;
외부 위협 인텔리전스로부터 전송받은 외부 위협 인텔리전스를 파싱하여 YARA 시그니처를 구비하는 YARA IoC(Indicator of Compromise)를 포함하는 외부 위협 인텔리전스 IoC를 생성하는 단계; 및
위험성을 평가하는 단계;를 포함하고,
상기 위험성을 평가하는 단계는 YARA 탐지 엔진을 이용하여 IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계를 포함하여 수행되고, IDPS 패킷데이터와 YARA 시그니처의 매칭 결과가 파지티브(Positive)인 경우 위험도가 있는 것으로 결정하며,
매칭된 IDPS 패킷데이터의 탐지룰 ID에 해당하는 IDPS 이벤트데이터와 매칭된 YARA 시그니처의 YARA IoC를 이용하여 위협 데이터를 생성하고,
상기 외부 위협 인텔리전스 IoC를 생성하는 단계에 있어서, 상기 YARA IoC는 룰 정규화를 통하여 YARA 룰을 생성하되, 생성되는 YARA 룰의 byte가 상기 IDPS 패킷 데이터의 byte보다 같거나 작은 것을 특징으로 하는 내부에 알려지지 않은 위협의 탐지방법.
As a detection method of unknown threats in the internal threat detection and prevention system using the internal threat detection and prevention system (IDPS) and external threat intelligence:
Parsing an event of an internal threat detection and prevention system, generating a detection rule ID to generate IDPS event data including a detection rule ID and IDPS packet data identified by the detection rule ID;
Generating an external threat intelligence IoC including a YARA indicator of compromise (YARA IoC) having a YARA signature by parsing the external threat intelligence transmitted from the external threat intelligence; And
Including; evaluating the risk,
The step of evaluating the risk is performed including the step of matching the IDPS packet data and the YARA signature using a YARA detection engine, and if the matching result of the IDPS packet data and the YARA signature is positive, there is a risk. Decide,
Threat data is generated by using the IDPS event data corresponding to the detection rule ID of the matched IDPS packet data and the YARA IoC of the matched YARA signature,
In the step of generating the external threat intelligence IoC, the YARA IoC generates a YARA rule through rule normalization, but the byte of the generated YARA rule is equal to or smaller than the byte of the IDPS packet data. How to detect unknown threats.
IDPS 이벤트데이터는 Remote IP 및 취약점표준코드(CVE) 심각성를 구비하여 생성되며, 외부 위협 인텔리전스 IoC는 IP IoC를 구비하여 생성되며, YARA IoC는 YARA 심각도를 더 구비하여 생성되고,
상기 위협 데이터에는 IDPS 이벤트데이터의 Remote IP 및 CVE 심각성에 관한 정보와 YARA IoC의 YARA 심각도에 관한 정보를 포함하고 있으며,
상기 위험성을 평가하는 단계는,
(a) IDPS 패킷데이터와 YARA 시그니처를 매칭하는 단계;
(b) 위협 데이터의 Remote IP와 IP IoC를 매칭하는 단계;
(c) 위협 데이터의 YARA 심각도가 높음인지 확인하는 단계; 및
(d) 위협 데이터의 CVE 심각도가 높은인지 확인하는 단계;를 수행하고,
상기 (a) ~ (d) 단계에 파지티브(positive)인 단계가 많을수록 위험도가 높은 것으로 결정하는 내부에 알려지지 않은 위협의 탐지방법.
The method of claim 1,
IDPS event data is generated with Remote IP and Vulnerability Standard Code (CVE) severity, and external threat intelligence IoC is created with IP IoC, and YARA IoC is created with YARA severity.
The threat data includes information on remote IP and CVE severity of IDPS event data and information on YARA severity of YARA IoC,
The step of evaluating the risk,
(a) matching IDPS packet data and YARA signature;
(b) matching the remote IP and IP IoC of the threat data;
(c) determining whether the YARA severity of the threat data is high; And
(d) confirming whether the threat data has a high CVE severity; and
A method for detecting an unknown internal threat in which it is determined that the greater the number of positive steps in the steps (a) to (d), the higher the risk.
상기 위험성을 평가하는 단계를 수행한 후 위험 데이터와 화이트리스트를 매칭하여, 상기 화이트리스트에 해당하는 위험 데이터는 위험도가 있는 것에서 제외하는 내부에 알려지지 않은 위협의 탐지방법.The method of claim 1,
After performing the step of evaluating the risk, the risk data and the white list are matched, and the risk data corresponding to the white list is excluded from the risk level.
생성되는 YARA 룰의 byte가 상기 IDPS 패킷 데이터의 byte를 초과할 경우 YARA 룰을 추가로 생성하고 CYID(Child YARA Identifier) 필드값을 구성하고,
상기 위험성을 평가하는 단계에서, IDPS 패킷데이터와 YARA 시그니처(CYID)를 매칭하는 것을 특징으로 하는 내부에 알려지지 않은 위협의 탐지방법.
The method of claim 1,
If the byte of the generated YARA rule exceeds the byte of the IDPS packet data, additionally create a YARA rule and configure the CYID (Child YARA Identifier) field value,
In the step of evaluating the risk, IDPS packet data and YARA signature (CYID) are matched.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190150245A KR102239759B1 (en) | 2019-11-21 | 2019-11-21 | Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190150245A KR102239759B1 (en) | 2019-11-21 | 2019-11-21 | Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102239759B1 true KR102239759B1 (en) | 2021-04-13 |
Family
ID=75482606
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190150245A KR102239759B1 (en) | 2019-11-21 | 2019-11-21 | Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102239759B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180191747A1 (en) * | 2016-12-29 | 2018-07-05 | X Development Llc | Gathering indicators of compromise for security threat detection |
KR101931525B1 (en) * | 2018-05-02 | 2018-12-21 | 박정권 | Management operation system for information security |
KR101964592B1 (en) * | 2018-04-25 | 2019-04-02 | 한국전자통신연구원 | Apparatus and method for sharing security threats information |
-
2019
- 2019-11-21 KR KR1020190150245A patent/KR102239759B1/en active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180191747A1 (en) * | 2016-12-29 | 2018-07-05 | X Development Llc | Gathering indicators of compromise for security threat detection |
KR101964592B1 (en) * | 2018-04-25 | 2019-04-02 | 한국전자통신연구원 | Apparatus and method for sharing security threats information |
KR101931525B1 (en) * | 2018-05-02 | 2018-12-21 | 박정권 | Management operation system for information security |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102223B2 (en) | Multi-host threat tracking | |
JP6334069B2 (en) | System and method for accuracy assurance of detection of malicious code | |
US11122061B2 (en) | Method and server for determining malicious files in network traffic | |
US11675904B1 (en) | Systems and methods for protecting against malware attacks using signature-less endpoint protection | |
US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
WO2017152742A1 (en) | Risk assessment method and apparatus for network security device | |
CN108369541B (en) | System and method for threat risk scoring of security threats | |
CA2996966A1 (en) | Process launch, monitoring and execution control | |
AlYousef et al. | Dynamically detecting security threats and updating a signature-based intrusion detection system’s database | |
WO2016121348A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
US20170155683A1 (en) | Remedial action for release of threat data | |
KR101768079B1 (en) | System and method for improvement invasion detection | |
Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
Deng et al. | Lexical analysis for the webshell attacks | |
KR20170091989A (en) | System and method for managing and evaluating security in industry control network | |
KR101767591B1 (en) | System and method for improvement invasion detection | |
KR102239759B1 (en) | Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks | |
Sundareswaran et al. | XSS-Dec: A hybrid solution to mitigate cross-site scripting attacks | |
KR102152317B1 (en) | Method of deriving TTPS from IoC related with malware | |
KR102446642B1 (en) | Device of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks | |
KR102446645B1 (en) | Device of deriving TTPS of suspicious malware from IoC related with malware | |
CN113328976B (en) | Security threat event identification method, device and equipment | |
Mathews et al. | Detecting botnets using a collaborative situational-aware idps | |
KR20210141198A (en) | Network security system that provides security optimization function of internal network |