KR100615080B1 - 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 - Google Patents
컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 Download PDFInfo
- Publication number
- KR100615080B1 KR100615080B1 KR1020050123724A KR20050123724A KR100615080B1 KR 100615080 B1 KR100615080 B1 KR 100615080B1 KR 1020050123724 A KR1020050123724 A KR 1020050123724A KR 20050123724 A KR20050123724 A KR 20050123724A KR 100615080 B1 KR100615080 B1 KR 100615080B1
- Authority
- KR
- South Korea
- Prior art keywords
- detection
- rule
- attack
- data
- worms
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (10)
- 삭제
- 네트워크에 연결되어 다른 컴퓨터와 데이터를 송수신하며 상기 수신되는 데이터가 악성봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하는 탐지패턴생성부를 포함하여 구성되는 컴퓨터에 있어서 상기 탐지패턴생성부가 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법은네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 가공 단계;상기 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성하는 생성 단계;상기 나무모형을 탐지규칙으로 탐지 패턴을 자동 생성하는 정형화단계 및;각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고, 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 포함하여 구성하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 2 항에 있어서,상기 가공 단계는 공격과 정상행위 분포에서 각 척도의 거리를 구하며, 이때 원하는 기준 거리 값에 의해 척도를 선정하는 단계로 이루어진 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 2 항에 있어서,상기 나무모형은 이산적인 척도와 연속적인 척도의 분리에 의해 이루어지며;상기 이산적인 척도는 엔트로피를 계산하고 이를 정보 획득량에 적용하여 엔트로피의 감소에 따라 높은 획득량을 얻는 척도를 상위 노드로 선정하는 방법을 이용하고, 연속적인 척도에 대한 분리는 임계값을 적용하는 방법을 사용하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 2 항에 있어서,상기 실험은 단계별 경우의 수에 의하여 학습 및 실험 데이터의 2가지 구성, 패턴 생성 단계에서의 2가지 방법, 성능 평가를 위한 3가지 탐지 실험 대상 공격, 이들 각각의 조합에 의한 각각의 상태에서의 실험 결과를 분석하고 있는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 5 항에 있어서,모든 원천 데이터의 2/3는 학습데이터에, 나머지 1/3은 실험데이터에 활용한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 6 항에 있어서,상기 학습 데이터(2/3)와 실험 데이터(1/3)의 분할 방법은 공격별 세션 수 단위로 분할한 것으로, 각각의 세부 공격마다 포함되는 세션 개수를 기준으로 분할하며, 학습 데이터와 실험 데이터에 골고루 모든 공격들이 포함한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 7 항에 있어서,부류별 공격 수 단위로 분할하는 방법은 큰 공격 부류마다 포함되는 세부 공격들의 개수를 기준으로 분할하며, 학습 데이터와 실험 데이터가 각각 다른 공격들로 편성한 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 2 항에 있어서,단일 의사결정나무로부터 생성한 규칙패턴을 이용한 봇 탐지, 웜 탐지, 그리고 봇과 웜이 혼재하는 공격에 있어서의 높은 탐지율은 전초적인 공격행위로 유발되는 미소한 특징까지도 정상행위와 구별되는 패턴화에 의해 구현된 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
- 제 2 항에 있어서,최종 노드에 도달하기까지 노드가 확장되어진 경로를 하나의 공격 특징을 규정하는 규칙으로 하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하기 위한 방법
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050123724A KR100615080B1 (ko) | 2005-12-15 | 2005-12-15 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050123724A KR100615080B1 (ko) | 2005-12-15 | 2005-12-15 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100615080B1 true KR100615080B1 (ko) | 2006-08-25 |
Family
ID=37601052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050123724A KR100615080B1 (ko) | 2005-12-15 | 2005-12-15 | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100615080B1 (ko) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100959264B1 (ko) | 2009-08-26 | 2010-05-26 | 에스지에이 주식회사 | 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법 |
KR101045556B1 (ko) | 2008-12-24 | 2011-06-30 | 고려대학교 산학협력단 | 네트워크 기반의 irc 봇넷 탐지 방법 |
KR101045331B1 (ko) | 2008-12-24 | 2011-06-30 | 한국인터넷진흥원 | 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법 |
KR101045330B1 (ko) | 2008-12-24 | 2011-06-30 | 한국인터넷진흥원 | 네트워크 기반의 http 봇넷 탐지 방법 |
KR101143097B1 (ko) | 2008-04-22 | 2012-05-08 | 알까뗄 루슨트 | 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 |
KR101273018B1 (ko) | 2012-09-12 | 2013-06-10 | (주)비즈아이솔루션 | 가상 세션 분석을 통한 이메일 발송제어 규칙 추론 시스템 |
WO2018164701A1 (en) * | 2017-03-10 | 2018-09-13 | Visa International Service Association | Identifying malicious network devices |
US10154067B2 (en) | 2017-02-10 | 2018-12-11 | Edgewise Networks, Inc. | Network application security policy enforcement |
US10348599B2 (en) | 2017-11-10 | 2019-07-09 | Edgewise Networks, Inc. | Automated load balancer discovery |
US10439985B2 (en) | 2017-02-15 | 2019-10-08 | Edgewise Networks, Inc. | Network application security policy generation |
-
2005
- 2005-12-15 KR KR1020050123724A patent/KR100615080B1/ko active IP Right Grant
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101143097B1 (ko) | 2008-04-22 | 2012-05-08 | 알까뗄 루슨트 | 패킷 기반 네트워크 보호 방법, 보호 유닛, 보안 경계 노드 및 패킷 기반 네트워크 |
KR101045556B1 (ko) | 2008-12-24 | 2011-06-30 | 고려대학교 산학협력단 | 네트워크 기반의 irc 봇넷 탐지 방법 |
KR101045331B1 (ko) | 2008-12-24 | 2011-06-30 | 한국인터넷진흥원 | 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법 |
KR101045330B1 (ko) | 2008-12-24 | 2011-06-30 | 한국인터넷진흥원 | 네트워크 기반의 http 봇넷 탐지 방법 |
KR100959264B1 (ko) | 2009-08-26 | 2010-05-26 | 에스지에이 주식회사 | 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법 |
KR101273018B1 (ko) | 2012-09-12 | 2013-06-10 | (주)비즈아이솔루션 | 가상 세션 분석을 통한 이메일 발송제어 규칙 추론 시스템 |
US10154067B2 (en) | 2017-02-10 | 2018-12-11 | Edgewise Networks, Inc. | Network application security policy enforcement |
US10439985B2 (en) | 2017-02-15 | 2019-10-08 | Edgewise Networks, Inc. | Network application security policy generation |
WO2018164701A1 (en) * | 2017-03-10 | 2018-09-13 | Visa International Service Association | Identifying malicious network devices |
US11425148B2 (en) | 2017-03-10 | 2022-08-23 | Visa International Service Association | Identifying malicious network devices |
US10348599B2 (en) | 2017-11-10 | 2019-07-09 | Edgewise Networks, Inc. | Automated load balancer discovery |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
CN111818052B (zh) | 基于cnn-lstm的工控协议同源攻击检测方法 | |
KR100623552B1 (ko) | 자동침입대응시스템에서의 위험수준 분석 방법 | |
Chen et al. | An effective conversation-based botnet detection method | |
Lee et al. | Detection of DDoS attacks using optimized traffic matrix | |
Prasad et al. | DoS and DDoS attacks: defense, detection and traceback mechanisms-a survey | |
Procopiou et al. | ForChaos: Real time application DDoS detection using forecasting and chaos theory in smart home IoT network | |
Yusof et al. | Systematic literature review and taxonomy for DDoS attack detection and prediction | |
Bapat et al. | Identifying malicious botnet traffic using logistic regression | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
Soe et al. | Rule generation for signature based detection systems of cyber attacks in iot environments | |
Li et al. | Early detection of DDoS based on $\varphi $-entropy in SDN networks | |
CN111709034A (zh) | 基于机器学习的工控环境智能安全检测系统与方法 | |
Wang et al. | Detecting flooding DDoS attacks in software defined networks using supervised learning techniques | |
KR101538374B1 (ko) | 사이버 위협 사전 예측 장치 및 방법 | |
Sanjeetha et al. | Detection and mitigation of botnet based DDoS attacks using catboost machine learning algorithm in SDN environment | |
CN110557397A (zh) | 一种基于混沌理论分析的DDoS攻击检测方法 | |
Nair et al. | A study on botnet detection techniques | |
Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
Najafimehr et al. | DDoS attacks and machine‐learning‐based detection methods: A survey and taxonomy | |
Zhai et al. | Distributed denial of service defense in software defined network using openflow | |
Caulkins et al. | A dynamic data mining technique for intrusion detection systems | |
Sun et al. | A rough set approach for automatic key attributes identification of zero-day polymorphic worms | |
Ahmed et al. | Enhancing intrusion detection using statistical functions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
J201 | Request for trial against refusal decision | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130812 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20140703 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20150909 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20160805 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20170711 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190620 Year of fee payment: 14 |