KR100432421B1 - method and recorded media for attack correlation analysis - Google Patents

method and recorded media for attack correlation analysis Download PDF

Info

Publication number
KR100432421B1
KR100432421B1 KR10-2001-0082498A KR20010082498A KR100432421B1 KR 100432421 B1 KR100432421 B1 KR 100432421B1 KR 20010082498 A KR20010082498 A KR 20010082498A KR 100432421 B1 KR100432421 B1 KR 100432421B1
Authority
KR
South Korea
Prior art keywords
attack
analysis
target
subject
frequency
Prior art date
Application number
KR10-2001-0082498A
Other languages
Korean (ko)
Other versions
KR20030052512A (en
Inventor
김진오
김익균
김병구
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0082498A priority Critical patent/KR100432421B1/en
Publication of KR20030052512A publication Critical patent/KR20030052512A/en
Application granted granted Critical
Publication of KR100432421B1 publication Critical patent/KR100432421B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 전체 네트워크를 대상으로 침입탐지 데이터를 지식베이스로 구축하여 보다 효과적인 대응을 지원하기 위해 침입탐지 데이터의 특성 및 상호 연관성을 분석하여 공격간의 연관성 데이터를 생성하는 공격에 대한 연관성 분석방법에 관한 것이다.The present invention relates to a method for analyzing an association for an attack that generates an association data between attacks by analyzing the characteristics and correlations of the intrusion detection data in order to support an effective response by constructing intrusion detection data as a knowledge base for the entire network. will be.

본 발명에 따른 공격에 대한 연관성 분석방법은 공격에 대한 반복성 분석, 공격의 유사성 분석, 공격 주체 및 공격 대상의 행위에 대한 잠재성 분석 및 통계적 행위 분석 등의 연관성 분석을 수행하여, 발생한 공격에 대한 다양한 연관성 분석 데이터를 산출하며, 또한 이를 위한 침입탐지 데이터의 지식 베이스 구축 기능을 수행함으로써, 기 구축된 지식베이스를 토대로 현재 발생한 공격에 대한 다양한 분석 자료를 제공함으로서 보다 효과적인 대응 전략의 수립을 가능하게 한다.An association analysis method for an attack according to the present invention performs an association analysis such as repeatability analysis of an attack, similarity analysis of an attack, potential analysis and statistical behavior analysis of an attack subject and an attack target, By generating various correlation analysis data and performing knowledge base construction function of intrusion detection data, it is possible to establish more effective response strategy by providing various analysis data on current attack based on the established knowledge base. do.

Description

공격에 대한 연관성 분석방법 및 이를 위한 기록매체{method and recorded media for attack correlation analysis}Method for analyzing correlation and recording media for attack {method and recorded media for attack correlation analysis}

본 발명은 공격에 대한 연관성 분석 방법 및 이를 위한 기록매체에 관한 것으로, 상세하게는 전체 네트워크를 대상으로 침입탐지 데이터를 지식베이스로 구축하여 보다 효과적인 대응을 지원하기 위해 침입탐지 데이터의 특성 및 상호 연관성을 분석하여 공격간의 연관성 데이터를 생성하는 공격에 대한 연관성 분석 방법 및 이를 위한 기록매체에 관한 것이다.The present invention relates to a method for analyzing an association for an attack and a recording medium therefor. Specifically, in order to support an effective response by constructing an intrusion detection data as a knowledge base for an entire network, characteristics and correlations of the intrusion detection data are supported. The present invention relates to an association analysis method for an attack that generates correlation data between attacks and a recording medium therefor.

현재와 같이 누구에게나 네트워크의 사용이 자유로운 상황에서 자신의 지식과 서비스를 보호하는 것은 너무도 당연하며, 필연적인 과제이다. 그러나, 네트워크 방어에 있어서 제약만이 해결책이 되는 것은 아니다.Protecting your knowledge and services in a situation where everyone is free to use the network today is a natural and necessary task. However, constraints are not the only solution in network defense.

네트워크 방어의 주된 과제는 특정 침입이나 공격에 대해서만 제약을 가함으로써 선량한 사용자에게는 자유로운 네트워크의 이용의 길이 열려 있어야 한다.The main challenge of network defense is to open the way for free users to good users by restricting only certain intrusions or attacks.

그러나, 현재까지 네트워크 보안을 위한 침입 탐지 및 대응은 특정 공격에 대해 미리 정의된 대응 방식을 취하는데 그치고 있다. 이는 이미 알려진 공격 패턴에 대해 이미 대응 방식이 준비되어 있음을 의미하며, 이러한 것은 다양한 사용자가 공동으로 이용하는 네트워크의 유동성을 전혀 고려하지 못하는, 즉 융통성 없는 대응만이 가능함을 의미한다. 단적으로 공격 주체의 위험도, 대상 자원의 중요도, 통계적/확률적 가능성 등은 고려하지 않은 채 수행하는 획일적인 대응은 네트워크의 사용에 대한 통제의 의미만이 부각될 뿐이며, 좀 더 유연한 네트워크 상황에 대한 대처에는 결여된 문제점이 있다.However, to date, intrusion detection and response for network security has only taken a predefined response to specific attacks. This means that countermeasures are already prepared for known attack patterns, which means that only inflexible countermeasures can be made without considering the fluidity of the networks used by various users. However, the uniform response that does not take into account the risk of the attacker, the importance of the target resource, and the statistical / probabilistic possibility only emphasizes the control over the use of the network, and responds to a more flexible network situation. There is a problem that is lacking.

본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 다양한 사용자에의한 네트워크 상황의 유동성을 고려하지 않는 획일적 대응을 벗어나, 좀 더 유연한 네트워크 이용을 위해 침입탐지 데이터의 지식베이스로의 구축과 이를 이용해 공격 연관성 분석을 수행함으로서 현재 수행된 공격에 대한 다양한 분석과 통계적/확률적 분석 자료를 제공할 수 있는 공격에 대한 연관성 분석 방법 및 이를 위한 기록매체를 제공하는데 그 목적이 있다.The present invention has been made to solve the above-described problems, and beyond the uniform response that does not consider the fluidity of the network situation by various users, the construction of intrusion detection data into a knowledge base for a more flexible network use and The purpose of this study is to provide a method for analyzing the relationship of the attack and a recording medium for it, which can provide various analysis and statistical / probabilistic analysis data on the current attack.

이러한 목적을 달성하기 위한 본 발명에 따른 공격에 대한 연관성 분석방법에 의하면, 네트워크를 통한 공격에 대한 연관성 분석 방법에 있어서, 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격에 대한 반복성, 공격의 유사성, 공격 주체 및 공격 대상의 행위에 대한 잠재성, 통계적 행위에 대한 연관성을 분석하는 단계; 그 분석결과에 의거하여 상기 발생한 공격에 대한 연관성 분석 데이터를 산출하는 단계; 및 그 산출된 연관성 분석 데이터에 의거하여 침입 탐지 데이터의 지식 베이스를 구축하는 단계;를 수행한다.According to the association analysis method for an attack according to the present invention for achieving the above object, in the association analysis method for an attack through a network, if intrusion or attack detection data is received through the network, repeatability for intrusion or attack Analyzing the similarity of the attack, the potential for the attack subject and the target of the attack, and the relation for the statistical behavior; Calculating correlation analysis data for the generated attack based on the analysis result; And building a knowledge base of the intrusion detection data based on the calculated correlation analysis data.

또한, 본 발명에 따른 공격에 대한 연관성 분석 방법을 수행하기 위한 기록매체에 의하면, 공격에 대한 연관성 분석 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서, 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격에 대한 반복성, 공격의 유사성, 공격 주체 및 공격 대상의 행위에 대한 잠재성, 통계적 행위에 대한 연관성을 분석하는 단계; 그 분석결과에 의거하여 상기 발생한 공격에 대한 연관성 분석 데이터를 산출하는 단계; 및 그 산출된 연관성 분석 데이터에 의거하여 침입 탐지 데이터의 지식 베이스를 구축하는 단계;를 수행하는 것에 의해 상기 공격에 대한 연관성을 분석할 수 있는 프로그램을 저장하고 있다.In addition, according to the recording medium for performing the association analysis method for an attack according to the present invention, in order to perform the association analysis method for an attack, a program of instructions that can be executed by the digital processing device is implemented tangibly, In a recording medium that can be read by a digital processing apparatus, when intrusion or attack detection data is received through a network, the repeatability of the intrusion or attack, the similarity of the attack, the potential for the attack subject and the target of the attack target, Analyzing the association for statistical behavior; Calculating correlation analysis data for the generated attack based on the analysis result; And building a knowledge base of the intrusion detection data based on the calculated correlation analysis data.

또한, 본 발명에서 공격 연관성 분석기는 기존과 같이 탐지된 침입 데이터 자체에 의한 정적인 대응을 회피하기 위해 네트워크 상에서 검출되는 모든 침입 데이터를 대상으로 지식베이스를 구축하고, 침입탐지 데이터의 발생에 대해 구축된 지식베이스를 이용한 다양한 분석 결과를 통해 보다 적절한 대응의 수립이 가능하기 위한 분석 데이터를 제공한다.In addition, in the present invention, the attack correlation analyzer builds a knowledge base for all intrusion data detected on the network and avoids generation of intrusion detection data in order to circumvent the static response by the intrusion data itself detected as before. It provides analysis data to establish more appropriate responses through various analysis results using the knowledge base.

네트워크 침입탐지는 네트워크 상의 패킷을 모니터링하고, 해당 패킷이 적법한지 그렇지 않은지를 판단하여 적법하지 않은 경우 이를 침입 또는 공격이라고 판단한다.Network intrusion detection monitors the packets on the network and determines whether the packets are legitimate or not, and determines that the packets are not intrusion or attack.

도 1은 본 발명에 따른 공격 연관성 분석기와 침입탐지 센서로 이루어지는 네트워크 보안 시스템의 개략적인 구성 블록도,1 is a schematic block diagram of a network security system consisting of an attack correlation analyzer and an intrusion detection sensor according to the present invention;

도 2는 도 1의 공격 연관성 분석기에 대한 입출력 데이터를 설명하기 위한 개념도,2 is a conceptual diagram illustrating input and output data for an attack correlation analyzer of FIG. 1;

도 3은 본 발명에 따른 공격 연관성 분석기에서 침입탐지 데이터 발생시에 수행하는 동작 흐름도.3 is a flowchart illustrating operations performed when intrusion detection data is generated in an attack correlation analyzer according to the present invention.

*도면의 주요부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

1;침입탐지 센서 2;공격 연관성 분석기1; Intrusion Detection Sensor 2; Attack Correlation Analyzer

3;지식 베이스3; knowledge base

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 통해 설명한다. 도 1은 본 발명에 따른 공격 연관성 분석기와 침입탐지 센서로 이루어지는 네트워크 보안 시스템의 개략적인 구성 블록도이다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. 1 is a schematic block diagram of a network security system including an attack correlation analyzer and an intrusion detection sensor according to the present invention.

도면을 참조하면, 본 발명의 침입탐지 센서(1)는 자신과 연결된 네트워크 상의 패킷에 대해 공격 패턴과 비교하여 침입 여부를 판단하는 기능을 수행하며, 침입이라고 판단하는 경우 침입탐지 데이터를 공격 연관성 분석기(2)에게 전달한다.Referring to the drawings, the intrusion detection sensor 1 of the present invention performs a function of determining whether an intrusion is compared to an attack pattern on a packet on a network connected to the self, and in case of determining that the intrusion is an intrusion detection data, an attack correlation analyzer To (2).

기본적으로 공격 연관성 분석기(2)는 하나 또는 그 이상의 침입탐지센서(1)로부터 침입탐지 데이터를 전달받으며, 공격 연관성 분석기(2)와 침입탐지 센서(1)는 단일 시스템에 탑재될 수도 있고, 별도의 시스템에 존재할 수 도 있다. 이러한 경우 상호 간의 연결 방식에 대해서는 본 발명에서 그 설명을 생략하기로 한다.Basically, the attack correlation analyzer 2 receives intrusion detection data from one or more intrusion detection sensors 1, and the attack correlation analyzer 2 and the intrusion detection sensor 1 may be mounted in a single system or may be separately installed. It can also be present in the system. In this case, a description thereof will be omitted in the present invention with respect to the mutual connection method.

도 2는 도 1의 공격 연관성 분석기(1)에 대한 입출력 데이터를 설명하기 위한 개념도이다. 도 2를 참조하면, 공격 연관성 분석기(2)는 앞서 언급한 바와 같이 침입탐지 센서들(1)로부터 침입탐지 데이터를 전달받으며, 공격 연관성 분석기(2)는 이를 토대로 지식베이스(3)를 구축하고, 또한 구축된 지식베이스(3)를 이용해 연관성 분석을 시도하며, 그 결과로 연관성 분석 데이터가 산출된다.FIG. 2 is a conceptual diagram for describing input / output data of the attack correlation analyzer 1 of FIG. 1. Referring to FIG. 2, the attack correlation analyzer 2 receives the intrusion detection data from the intrusion detection sensors 1 as mentioned above, and the attack correlation analyzer 2 builds the knowledge base 3 based on this. In addition, the association analysis is attempted using the established knowledge base 3, and as a result, the association analysis data is calculated.

도 3은 본 발명에 따른 공격 연관성 분석기에서 침입탐지 데이터 발생시에 수행하는 동작 흐름도이다.3 is a flowchart illustrating an operation performed when intrusion detection data is generated by an attack correlation analyzer according to the present invention.

도시된 바와 같이 침입탐지 데이터로부터 반복성 분석, 유사성 분석, 잠재성 분석, 통계적 행위 분석 등을 수행한다. 이상의 분석의 결과로 연관성 분석 데이터가 산출됨과 함께 수신한 침입탐지 데이터는 다시 지식베이스에 적용된다.As shown in the figure, repeatability analysis, similarity analysis, potential analysis, statistical behavior analysis, etc. are performed from intrusion detection data. As a result of the above analysis, the correlation analysis data is calculated, and the received intrusion detection data is applied to the knowledge base again.

반복성 분석 단계(S1)에서는 동일한 공격이 빈번하게 그리고 지속적으로 발생하고 있는지를 평가하기 위하여 수행한다. 반복성 분석은 침입탐지 데이터의 공격 주체와 대상이 같은 침입 데이터에 대해 동일 공격과 동일 서비스 공격의 발생 빈도 측정을 수행한다.Repeatability analysis step (S1) is performed to evaluate whether the same attack occurs frequently and continuously. Repeatability analysis measures the frequency of occurrence of the same attack and the same service attack against the same intrusion data.

여기에서 동일 공격이란 동일한 공격을 감행한 것을 의미하며, 동일 서비스 공격이란 동일한 공격의 감행뿐만이 아니라 대상 서비스도 같은 경우를 의미한다.Here, the same attack means that the same attack is performed, and the same service attack means not only the same attack but also the target service.

예를 들어 TCP SYN Flooding 공격이 발생한 경우, 반복성 분석 단계에서는 동일 공격자로부터 동일 대상으로 발생한 침입 데이터 중에서 TCP SYN Flooding의 빈도를 분석하여 이를 동일 공격 빈도라 하며, 또한 현재 발생한 공격의 대상 서비스가 FTP라면 동일 공격들 중에서 공격 대상 서비스가 FTP인 침입들의 빈도가 동일 서비스 공격의 빈도가 된다.For example, if a TCP SYN Flooding attack occurs, the repeatability analysis step analyzes the frequency of TCP SYN Flooding among intrusion data from the same attacker and calls it the same attack frequency, and if the target service of the current attack is FTP Among the same attacks, the frequency of intrusions where the target service is FTP becomes the frequency of the same service attack.

유사성 분석단계(S2)에서는 동일하지는 않으나 유사한 공격 행위에 대한 분석을 시도한다. 이는 반복성 분석과 같이 공격 주체와 대상이 같은 경우 이외의 유사 빈도에 대해서 측정한다.In the similarity analysis step (S2), an attempt is made to analyze similar but not similar attack behaviors. This is measured for similar frequencies except when the attacking subject and the target are the same as in the repeatability analysis.

즉 공격 주체와 대상의 구분 없이 동일 공격의 발생 빈도, 동일 공격 주체로부터의 공격 발생 빈도, 동일 대상으로의 공격 발생 빈도, 동일 서비스에 대한 공격 발생 빈도 및 동일 공격이면서 동일 서비스를 공격한 발생 빈도 등을 분석한다.That is, the frequency of the same attack, the frequency of the attack from the same subject, the frequency of the attack against the same target, the frequency of the attack against the same service, and the frequency of the attack against the same service without the distinction between the subject and the target. Analyze

잠재성 분석단계(S3)에서는 공격의 잠재성을 분석하며, 이는 크게 주체잠재성 분석, 대상 잠재성 분석 및 주체/대상 잠재성 분석 등으로 구분된다.In the potential analysis step (S3), the potential of the attack is analyzed, which is classified into a subject potential analysis, a target potential analysis, and a subject / target potential analysis.

이러한 잠재성 분석은 해당 공격 주체의 잠재적 위험도와 공격 대상의 잠재적 취약도 및 해당 공격 주체가 해당 공격 대상으로 공격을 감행할 잠재성에 대한 평가를 위해 수행한다. 주체 잠재성 분석은 공격 주체의 총 공격 빈도, 동일 공격 빈도, 해당 주체가 가장 빈번하게 시도했던 공격 유형과 빈도 및 대상 서비스 등을 분석한다.This potential analysis is performed to evaluate the potential risk of the attack subject, the potential vulnerability of the attack target, and the potential for the attack subject to attack against the attack target. The subject potential analysis analyzes the total attack frequency, the same attack frequency, the type and frequency of the attack attempted by the subject most frequently, and the target service.

대상 잠재성 분석은 공격 대상이 받았던 총 공격 빈도, 동일 공격 빈도, 가장 빈번하게 받았던 공격과 빈도 및 대상 서비스를 분석한다. 주체/대상 잠재성 분석은 해당 주체와 대상 간의 총 공격 빈도, 동일 공격 빈도 와 가장 빈번하게 발생했던 공격과 그 빈도 및 대상 서비스에 대한 분석을 수행한다.Target potential analysis analyzes the total attack frequency received by the target, the same attack frequency, the most frequently received attack and the frequency, and the target service. The subject / target potential analysis analyzes the total attack frequency between the subject and target, the same attack frequency and the most frequent attacks, their frequency, and the target service.

통계적 행위 분석단계(S4)에서는 통계적으로 다음 공격에 대한 가능성과 공격 수법을 예측하는 기능을 수행한다. 이는 다시 차후 공격 가능성 분석, 순차적 공격 확률 분석, 순차적 주체 공격 확률 분석 및 순차적 주체/대상 공격 확률 분석 등으로 구성된다.In the statistical behavior analysis step (S4) statistically predicts the possibility of the next attack and the attack method. It is composed of subsequent attack possibility analysis, sequential attack probability analysis, sequential subject attack probability analysis, and sequential subject / target attack probability analysis.

차후 공격 가능성 분석은 지식베이스에 특정 공격 이후에 발생할 다음 공격의 확률을 순차성 없이 누적한 결과를 분석한다. 차후 공격 가능성 분석을 위해 임의의 공격이 발생하는 경우 그 공격에 앞선 이전 공격이 존재하는지의 여부를 조사하고, 이전 공격이 존재하는 경우 이전 공격의 차후 공격 가능성으로 현재 발생한 공격 정보가 지식베이스에 축적된다.The attack possibility analysis analyzes the result of accumulating the probability of the next attack occurring after a specific attack in the knowledge base without sequentiality. For the purpose of future attack analysis, if any attack occurs, investigate whether there is a previous attack prior to the attack, and if there is a previous attack, the current attack information accumulates in the knowledge base as the possibility of future attack of the previous attack. do.

이렇게 축적된 지식베이스를 토대로 현재 발생한 침입탐지 데이터에 대해 차후 발생 가능한 공격들에 대해 그 가능성을 백분율에 의거해 분석하는 것이다.Based on this accumulated knowledge base, the possibility of future attacks on the current intrusion detection data is analyzed based on the percentage.

예를 들어, A 공격 이후의 다음 공격 가능성에 있어 B 공격은 60%, C 공격은 20%, D 공격은 15% 등의 통계적 가능성을 분석하는 것이다.For example, we analyze the statistical possibilities for the next attack after A, 60% for B, 20% for C, and 15% for D.

이에 비해 순차적 공격 확률 분석은 공격의 순차성을 고려한 것으로, 앞의 예에서 A 공격 이후의 확률적 분석을 위해 A 공격 이전의 공격을 고려하게 된다. 이는 차후 공격 가능성 분석이 공격의 순차성을 고려하지 않고, 단지 다음에 나올 공격의 확률적 분석을 중시한 것임에 비해, 순차성은 공격의 연속성을 중시한 것이다.In contrast, the sequential attack probability analysis considers the sequentiality of the attack. In the previous example, the attack before the A attack is considered for the probabilistic analysis after the A attack. This is because sequentiality emphasizes continuity of attacks, whereas future attack possibility analysis does not consider the sequentiality of attacks, but focuses only on probabilistic analysis of the next attack.

앞의 예에서 차후 공격 가능성 분석의 결과 A 공격 이후의 다음 공격 가능성에 있어 B 공격은 60%, C 공격은 20%, D 공격은 15% 등이라고 분석한 반면, 순차적 공격 확률 분석의 경우 A 공격까지 발생했던 순차성 이후에 예측되는 차후 공격의 가능성을 분석한다. 즉 A 공격 이전에 X -> Y -> Z 의 공격이 시도되었다면, 순차적 공격 확률 분석에서는 X -> Y -> Z -> A 공격 이후의 다음 공격에 대한 확률을 분석한다.In the previous example, as a result of the subsequent attack possibility analysis, in the next attack possibility after the attack A, the attack of B is 60%, the attack of C is 20%, and the attack of D is 15%, etc. Analyze the likelihood of future attacks predicted after sequentiality that occurred. That is, if an attack of X-> Y-> Z is attempted before A attack, sequential attack probability analysis analyzes the probability of the next attack after X-> Y-> Z-> A attack.

순차적 주체 공격 확률 분석은 순차적 공격 확률의 지식베이스 데이터를 공격 주체 만으로 한정한 결과이며, 순차적 주체/대상 공격 확률 분석은 마찬가지로 지식베이스 데이터를 공격 주체와 대상으로만 한정한 결과이다.Sequential subject attack probability analysis is the result of limiting the knowledge base data of sequential attack probability only to the attack subject, and sequential subject / target attack probability analysis is similarly the result of limiting the knowledge base data to the attack subject and target only.

즉 순차적 주체 공격 확률 분석은 공격 주체의 행위 패턴을 가늠하기 위해 수행하며, 순차적 주체/대상 공격 확률 분석은 공격 주체로부터 대상 자원으로의 공격 행위 패턴을 분석하기 위해 수행한다.That is, sequential subject attack probability analysis is performed to measure the behavior pattern of the attack subject, and sequential subject / target attack probability analysis is performed to analyze the attack behavior pattern from the attack subject to the target resource.

이후 침입탐지 데이터는 지식베이스 구축 단계(S5)에서 지식베이스의 새로운 자료로 구축이 된다. 즉 침입탐지 데이터는 반복성 분석, 유사성 분석, 잠재성 분석과 함께 다양한 통계적 행위 분석을 위한 자료로 구축된다. 이는 공격 연관성 분석기는 지식베이스를 이용하여 공격의 연관성 분석을 수행하며, 또한 지식베이스를 구축하는 작업을 수행함을 의미한다.Afterwards, the intrusion detection data is constructed as a new material of the knowledge base in the knowledge base construction step (S5). In other words, intrusion detection data is constructed as data for analyzing various statistical behaviors along with repeatability analysis, similarity analysis, and potential analysis. This means that the attack correlation analyzer analyzes the attack using the knowledge base and also builds the knowledge base.

이러한 수행 프로세스의 결과로 공격 연관성 분석기는 현재 발생한 공격에 대해 반복성 분석 데이터, 유사성 분석 데이터, 잠재성 분석 데이터 및 통계적 행위 분석 데이터를 산출하게 된다. 이러한 데이터는 결국 네트워크 침입에 대한 대응 전략의 수립에 이용되어 보다 효과적인 대응을 가능하게 한다.As a result of this execution process, the attack correlation analyzer calculates repeatability analysis data, similarity analysis data, potential analysis data, and statistical behavior analysis data for the current attack. This data is eventually used to formulate a response strategy for network intrusion, enabling a more effective response.

이상에서 설명한 바와 같이, 네트워크 보안은 상당히 유동적인 네트워크 상황을 고려하여야 한다. 즉 특정 공격에 대해 미리 정의된 대응만을 가지고는 유동적이고, 유기적으로 활동하는 네트워크 상황을 적절히 반영하여 최선의 대응을 수행하는 것이 사실상 어렵다.As described above, network security must consider a fairly flexible network situation. In other words, with a predefined response to a specific attack, it is virtually difficult to perform the best response by properly reflecting a fluid, organically active network situation.

본 발명에 의하면, 지식베이스는 유동적인 네트워크 상황에 대해 시간이 누적될수록 보다 다양하고 심도있는 정보를 구축하게 되며, 공격 연관성 분석기는 이렇게 구축된 지식베이스를 이용하여 공격에 대한 다양한 분석 데이터를 제시한다.According to the present invention, the knowledge base builds more diverse and in-depth information as the time accumulates for the fluid network situation, and the attack correlation analyzer presents various analysis data on the attack using the knowledge base thus constructed. .

반복성 분석이나 유사성 분석은 대응 수준에서 침입 데이터 발생을 제한하거나 또는 축약이나 그룹핑을 위해 이용할 수 있으며, 잠재성 분석을 통해 공격 주체의 의지와 위험도를 분석하고, 공격 대상의 취약성 등을 분석할 수 있다. 또한 통계적 행위 분석을 통해 이후 수반될 공격을 미리 예측하여 적절한 대응 전략을 미리 준비할 수도 있다.Repeatability analysis or similarity analysis can be used to limit intrusion data generation or to reduce or group intrusion at the response level, and the potential analysis can analyze the intention and risk of the attacker, and analyze the vulnerability of the target. . In addition, statistical behavior analysis can be used to anticipate future attacks and prepare appropriate response strategies.

즉, 공격 연관성 분석기는 침입탐지 센서로부터 수집되는 침입탐지 데이터에 대해 기 구축된 지식베이스를 토대로 현재 발생한 공격에 대한 다양한 분석 자료를 제공함으로서 보다 효과적인 대응 전략의 수립을 가능하게 한다.In other words, the attack correlation analyzer provides a variety of analysis data on current attacks based on a pre-established knowledge base on intrusion detection data collected from intrusion detection sensors, enabling the establishment of a more effective response strategy.

Claims (6)

네트워크를 통한 공격에 대한 연관성 분석 방법에 있어서,In the association analysis method for attacks through a network, 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격에 대한 반복성, 공격의 유사성, 공격 주체 및 공격 대상의 행위에 대한 잠재성, 통계적 행위에 대한 연관성을 분석하는 단계;When intrusion or attack detection data is received through the network, analyzing the repetition of the intrusion or attack, the similarity of the attack, the potential of the attack subject and the target of the attack, and the association of the statistical behavior; 상기 분석결과에 의거하여 상기 발생한 공격에 대한 연관성 분석 데이터를 산출하는 단계; 및Calculating correlation analysis data for the generated attack based on the analysis result; And 상기 산출된 연관성 분석 데이터에 의거하여 침입 탐지 데이터의 지식 베이스를 구축하는 단계;를 포함한 공격에 대한 연관성 분석방법.And establishing a knowledge base of intrusion detection data based on the calculated correlation analysis data. 제 1항에 있어서, 상기 연관성을 분석하는 단계에서,The method of claim 1, wherein in the analyzing the association, 상기 침입 또는 공격에 대한 반복성에 대해, 상기 침입탐지 데이터의 공격 주체와 대상이 같은 침입 데이터에 대해 동일 공격 또는 동일 서비스 공격의 발생 빈도 측정을 수행하여 공격의 반복적 발생 여부를 분석하는 공격에 대한 연관성 분석방법.The relevance to the attack for analyzing the recurrence of the attack by measuring the frequency of occurrence of the same attack or the same service attack on the same intrusion data with respect to the repeatability of the intrusion or attack, the subject and the target of the intrusion detection data Analytical Method. 제 1항에 있어서, 상기 연관성을 분석하는 단계에서,The method of claim 1, wherein in the analyzing the association, 상기 공격의 유사성에 대해, 공격 주체와 대상의 구분 없이 동일 공격의 발생 빈도, 동일 공격 주체로부터의 공격 발생 빈도, 동일 대상으로의 공격 발생 빈도, 동일 서비스에 대한 공격 발생 빈도, 동일 공격이면서 동일 서비스를 공격한 발생 빈도 중의 적어도 하나 이상을 측정하여 유사 공격의 발생 여부를 분석하는 공격에 대한 연관성 분석방법.For the similarity of the attack, the frequency of occurrence of the same attack, the frequency of the attack from the same attack subject, the frequency of the attack to the same target, the frequency of the attack on the same service, the same attack and the same service, without distinguishing between the attack subject and the target. Correlation analysis method for an attack that analyzes the occurrence of a similar attack by measuring at least one or more of the frequency of attack. 제 1항에 있어서, 상기 연관성을 분석하는 단계에서,The method of claim 1, wherein in the analyzing the association, 상기 공격 주체 및 공격 대상의 행위에 대한 잠재성에 대해, 공격 주체의 총 공격 빈도, 동일 공격 빈도, 해당 주체가 가장 빈번하게 시도했던 공격 유형과 빈도 및 대상 서비스를 분석하는 주체 잠재성 분석;Subject potential analysis that analyzes the total attack frequency of the attack subject, the same attack frequency, the attack type and frequency that the subject attempted most frequently, and the target service with respect to the potential of the attack subject and the target of the attack target; 공격 대상이 받았던 총 공격 빈도, 동일 공격 빈도, 가장 빈번하게 받았던 공격과 빈도 및 대상 서비스를 분석하는 대상 잠재성 분석; 및Target potential analysis, which analyzes the total frequency of attacks received by the victim, the same frequency of attack, the frequency and frequency of the attacks most frequently received, and the target service; And 해당 주체와 대상 간의 총 공격 빈도, 동일 공격 빈도와 가장 빈번하게 발생했던 공격과 그 빈도 및 대상 서비스에 대한 분석을 수행하는 주체/대상 잠재성 분석중 적어도 하나 이상의 분석을 통해 공격의 잠재적 위험도를 측정하는 공격에 대한 연관성 분석방법.Measure the potential risk of an attack with at least one of the total frequency of attack between the subject and target, the same attack frequency, and the subject / target potential analysis that analyzes the most frequent attacks, their frequency, and the target service. Association analysis method for attack. 제 1항에 있어서, 상기 연관성을 분석하는 단계에서,The method of claim 1, wherein in the analyzing the association, 상기 통계적 행위에 대하여, 상기 지식베이스에 특정 공격 이후에 발생할 다음 공격의 확률을 순차성 없이 누적한 결과를 분석하는 차후 공격 가능성 분석;remind A subsequent attack possibility analysis for analyzing the statistical behavior of a result of accumulating the probability of the next attack to occur after a specific attack in the knowledge base without sequentiality; 공격의 순차성을 고려하여 예측되는 차후 공격의 가능성을 분석하는 순차적 공격 확률 분석;Sequential attack probability analysis, which analyzes the possibility of future attacks predicted in consideration of the sequentiality of the attacks; 순차적 공격 확률의 지식베이스 데이터를 공격 주체 만으로 한정하여 공격 주체의 행위 패턴을 가늠하는 순차적 주체 공격 확률 분석; 및Sequential subject attack probability analysis to estimate the behavioral pattern of attack subjects by limiting knowledge base data of sequential attack probability to attack subjects only; And 상기 지식베이스 데이터를 공격 주체와 대상으로만 한정하여 공격 주체로부터 대상 자원으로의 공격 행위 패턴을 분석하는 순차적 주체/대상 공격 확률 분석중 적어도 하나 이상의 분석을 통해 공격의 통계적/확률적 예측 데이터를 산출하는 공격에 대한 연관성 분석방법.Calculate statistical / probabilistic prediction data of an attack by analyzing at least one of the sequential subject / target attack probability analysis that analyzes the attack behavior pattern from the subject to the target resource by limiting the knowledge base data only to the subject and target. Association analysis method for attack. 공격에 대한 연관성 분석방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서,In order to perform an association analysis method for an attack, a program of instructions that can be executed by a digital processing apparatus is tangibly implemented, and in a recording medium that can be read by a digital processing apparatus, 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격에 대한 반복성, 공격의 유사성, 공격 주체 및 공격 대상의 행위에 대한 잠재성, 통계적 행위에 대한 연관성을 분석하는 단계;When intrusion or attack detection data is received through the network, analyzing the repetition of the intrusion or attack, the similarity of the attack, the potential of the attack subject and the target of the attack, and the association of statistical behavior; 상기 분석결과에 의거하여 상기 발생한 공격에 대한 연관성 분석 데이터를 산출하는 단계; 및Calculating correlation analysis data for the generated attack based on the analysis result; And 상기 산출된 연관성 분석 데이터에 의거하여 침입 탐지 데이터의 지식 베이스를 구축하는 단계;를 수행하는 프로그램에 의해 상기 공격에 대한 연관성을 분석하는 것을 특징으로 하는 기록매체.And establishing a knowledge base of the intrusion detection data based on the calculated correlation analysis data.
KR10-2001-0082498A 2001-12-21 2001-12-21 method and recorded media for attack correlation analysis KR100432421B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0082498A KR100432421B1 (en) 2001-12-21 2001-12-21 method and recorded media for attack correlation analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0082498A KR100432421B1 (en) 2001-12-21 2001-12-21 method and recorded media for attack correlation analysis

Publications (2)

Publication Number Publication Date
KR20030052512A KR20030052512A (en) 2003-06-27
KR100432421B1 true KR100432421B1 (en) 2004-05-22

Family

ID=29577272

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0082498A KR100432421B1 (en) 2001-12-21 2001-12-21 method and recorded media for attack correlation analysis

Country Status (1)

Country Link
KR (1) KR100432421B1 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (en) 2003-07-25 2005-02-17 Fuji Xerox Co Ltd Unauthorized communication detection device
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
KR100628317B1 (en) 2004-12-03 2006-09-27 한국전자통신연구원 Apparatus for detecting attacks toward network and method thereof
KR100776828B1 (en) * 2006-08-25 2007-11-19 고려대학교 산학협력단 Method for intrusion detection of ubiquitous home networks environment, recording medium thereof and apparatus for intrusion detection of ubiquitous home networks environment
KR100798923B1 (en) * 2006-09-29 2008-01-29 한국전자통신연구원 An attack taxonomy for computer and network security and storage media for recording program using the same
KR100809422B1 (en) * 2006-09-29 2008-03-05 한국전자통신연구원 Intrusion prevention apparatus based on alert severity of signiture detection and abnormal traffic and method thereof
KR100819049B1 (en) * 2006-12-06 2008-04-02 한국전자통신연구원 Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same
KR102075715B1 (en) * 2018-05-29 2020-02-10 국방과학연구소 Apparatus for classifying attack groups and method therefor
KR102584160B1 (en) * 2023-06-28 2023-10-05 주식회사 이글루코퍼레이션 Network security preemptive automatic response server using mitre attack framework, method and program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19980047277A (en) * 1996-12-14 1998-09-15 양승택 Computer Intrusion Detection Method Using Fuzzy Set
US6269447B1 (en) * 1998-07-21 2001-07-31 Raytheon Company Information security analysis system
KR20010085057A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus for detecting invasion with network stream analysis
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20030051994A (en) * 2001-12-20 2003-06-26 한국전자통신연구원 Efficient attack detection method using log in Intrusion Detection System

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19980047277A (en) * 1996-12-14 1998-09-15 양승택 Computer Intrusion Detection Method Using Fuzzy Set
US6269447B1 (en) * 1998-07-21 2001-07-31 Raytheon Company Information security analysis system
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR20010085057A (en) * 2001-07-27 2001-09-07 김상욱 Apparatus for detecting invasion with network stream analysis
KR20030051994A (en) * 2001-12-20 2003-06-26 한국전자통신연구원 Efficient attack detection method using log in Intrusion Detection System

Also Published As

Publication number Publication date
KR20030052512A (en) 2003-06-27

Similar Documents

Publication Publication Date Title
US20210250372A1 (en) Peer Device Protection
Yu et al. Alert confidence fusion in intrusion detection systems with extended Dempster-Shafer theory
Shen et al. {ATTACK2VEC}: Leveraging temporal word embeddings to understand the evolution of cyberattacks
Sendi et al. Real time intrusion prediction based on optimized alerts with hidden Markov model
Bai et al. Intrusion detection systems: technology and development
Carl et al. Denial-of-service attack-detection techniques
Ghosh et al. A real-time intrusion detection system based on learning program behavior
US11297098B2 (en) DDoS defence in a packet-switched network
Shin et al. Advanced probabilistic approach for network intrusion forecasting and detection
US8087085B2 (en) Wireless intrusion prevention system and method
Mok et al. Random effects logistic regression model for anomaly detection
KR100466214B1 (en) method and recorded media for security grade to measure the network security condition
Gupta et al. Semi-Markov modeling of dependability of VoIP network in the presence of resource degradation and security attacks
US11451563B2 (en) Dynamic detection of HTTP-based DDoS attacks using estimated cardinality
KR100432421B1 (en) method and recorded media for attack correlation analysis
Fachkha et al. On the inference and prediction of DDoS campaigns
JP4500921B2 (en) Log analysis apparatus, log analysis method, and log analysis program
Fu et al. Active traffic analysis attacks and countermeasures
Xu SARR: a cybersecurity metrics and quantification framework (keynote)
Pour et al. Theoretic derivations of scan detection operating on darknet traffic
Jia et al. A lightweight DDoS detection scheme under SDN context
Kim Potential risk analysis method for malware distribution networks
Kati et al. Comprehensive Overview of DDOS Attack in Cloud Computing Environment using different Machine Learning Techniques
Alserhani et al. Detection of coordinated attacks using alert correlation model
US11184369B2 (en) Malicious relay and jump-system detection using behavioral indicators of actors

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120509

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee