KR100625096B1 - 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 - Google Patents

트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 Download PDF

Info

Publication number
KR100625096B1
KR100625096B1 KR1020060027401A KR20060027401A KR100625096B1 KR 100625096 B1 KR100625096 B1 KR 100625096B1 KR 1020060027401 A KR1020060027401 A KR 1020060027401A KR 20060027401 A KR20060027401 A KR 20060027401A KR 100625096 B1 KR100625096 B1 KR 100625096B1
Authority
KR
South Korea
Prior art keywords
service port
rate
traffic
threat
hacking
Prior art date
Application number
KR1020060027401A
Other languages
English (en)
Inventor
손동식
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020060027401A priority Critical patent/KR100625096B1/ko
Application granted granted Critical
Publication of KR100625096B1 publication Critical patent/KR100625096B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 해킹 위협률 예경보 방법 및 그 시스템에 관한 것이다. 본 발명에 따른 해킹 위협률 예경보 방법은 서비스 포트 트래픽 관련 정보를 수집하는 단계와, 서비스 포트 트래픽 관련 정보를 기초로 특정 익스플로잇에 해당하는 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석 및 산출하는 단계와, 서비스 포트 맵핑률에 따라 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트의 트래픽 점유량이 상위 트래픽 점유량에 미치는 영향을 분석하여 이에 상응하는 가중치를 산출하는 단계와, 특정 익스플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 공격대상에 대한 위험도를 분석 및 산출하는 단계와, 특정 익스플로잇에 대한 최종적인 위협률을 산출하는 단계와, 위협률 관련 정보를 클라이언트에게 실시간 그래프로 제공하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 의하면, 네트워크 상의 트래픽 변화량의 분석 정보를 기초로 하여 특정 익스플로잇에 상응하는 위협률을 명확한 지표를 통해 클라이언트에게 제공하여 비정상적인 위협을 인지시키고 대응 정책의 의사결정 시간을 단축시킬 수 있다.
침입 방지 시스템(IPS), 침입 탐지 시스템(IDS), 위협률(threat rate)

Description

트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 예경보 방법 및 그 시스템{Method and System of Predicting and Alarming Based on Correlation Analysis between Traffic Change Amount and Hacking Threat Rate}
도 1은 본 발명에 의한 해킹 위협률 예경보 시스템을 포함하는 네트워크 구성을 개략적으로 예시하는 참고도이다.
도 2는 본 발명의 일 실시예에 의한 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 예경보 방법을 개략적으로 예시하는 순서도이다.
도 3은 도 2의 특정 익스플로잇에 대한 위험도를 산출하는 단계를 구체적으로 예시한 순서도이다.
도 4는 본 발명의 다른 실시예에 의한 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 해킹 위협률 예경보 시스템을 개략적으로 예시하는 구성도이다.
도 5는 도 4의 트래픽 정보 수집부의 동작을 개략적으로 예시하는 참고도이다.
도 6은 도 4의 정보 제공부가 위협률을 실시간 그래프로 디스플레이하여 제공하는 예를 나타내는 개략적인 참고도이다.
본 발명은 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초하여 실시간 그래프로 해킹 위협률을 예경보하는 방법 및 그 시스템에 관한 것이다.
일반적으로, 사내의 대외비 등과 같은 중요 정보가 유출되는 것을 최대한 탐지하며 방지할 수 있도록 관제 시스템이 네트워크 상에 연결되어 있다. 이러한 관제 시스템은 방화벽, 침입 탐지 시스템, 침입 방지 시스템 또는 ESM(Enterprise Security Manager)를 포함하고 있지만, 잠재적인 위협원을 조기에 예보하거나 경보할 수는 없다. 한편, 침입 탐지 시스템은 네트워크에 연결된 다수의 퍼스널 컴퓨터 및 각 퍼스널 컴퓨터의 상태를 온라인 상에서 감시하는 역할을 수행하며, 방화벽은 인터넷 통신망에서 접근 허용이 인가되지 않은 서비스 포트의 트래픽을 차단하는 역할을 수행한다. 따라서, 이러한 단순한 관제 시스템은 인터넷 통신망을 통해서 네트워크에 연결된 다수의 퍼스널 컴퓨터에 실시간 접근하는 위협원 만을 관리 및 차단하는 역할만 수행하여, 위협원을 조기에 탐지하여 대응할 수 없는 문제점이 있다.
또한, 네트워크 트래픽을 이루는 주된 서비스 포트의 트래픽은 WWW(World Wide Web), SMTP(Simple Mail Transfer Protocol), FTP(File Transfer Protocol) 및 DNS(Domain Name Service)가 주를 이룬다. 이러한 트래픽은 정상적인 네트워크 트래픽이 차지하는 비중이 상당히 높은 반면에 일반적으로 사용되지 않고 IANA(Internet Assigned Numbers Authority)의 정의에 의해서 사용되는 알려지지 않은 서비스 포트, 예컨대 1024 이상의 서비스 포트를 이용하여 네트워크 웜 바이러스와 해킹 공격이 주로 이루어진다. 따라서, 이러한 알려지지 않은 서비스 포트를 이용한 네트워크 트래픽의 변화량을 지속적으로 모니터링할 필요가 있다.
따라서, 본 발명이 이루고자하는 기술적 과제는 트래픽 변화량과 해킹 위협률의 상호 연관성을 분석하여 네트워크상의 위협원을 조기에 탐지함으로써, 이를 클라이언트에게 실시간 그래프로 제공하여 해킹 위협률을 예보 및 경고할 수 있는 예경보 방법 및 그 시스템을 제공하는 데 있다.
상기 문제점을 해결하기 위한 본 발명의 일 실시예에 따른 해킹 위협률 예경보 방법은 a) 해킹 위협률을 예보 및 경보하는 시스템이 네트워크상의 서비스 포트의 트래픽 변화량, 서비스 포트의 트래픽 점유량 및 기 발표된 최신 취약성 관련 서비스 포트 정보를 포함하는 서비스 포트 트래픽 관련 정보를 수집하는 단계와, b) 상기 해킹 위협률 예경보 시스템이 상기 서비스 포트 트래픽 관련 정보를 기초로 잠재적 위협원인 특정 익스플로잇에 해당하는 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석 및 산출하는 단계와, c) 상기 해킹 위협률 예경보 시스템이 상기 서비스 포트 맵핑률에 따라 상기 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트 트래픽에 의해 점유되는 트래픽 점유량이 상위 트래픽 점유량에 미치는 영향을 분석하여 이에 상응하는 가중치를 산출하는 단계와, d) 상기 해킹 위협률 예경보 시스템이 상기 특정 익스 플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 공격대상에 대한 위험도를 분석 및 산출하는 단계와, e) 상기 해킹 위협률 예경보 시스템이 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 기초로 하여 상기 특정 익스플로잇에 대한 최종적인 위협률을 산출하는 단계와, f) 상기 해킹 위협률 예경보 시스템이 상기 산출된 위협률 관련 정보를 클라이언트에게 제공하는 단계를 포함하는 것을 특징으로 한다.
바람직하게, 상기 d) 단계에서, 상기 해킹 위협률 예경보 시스템은 공격대상의 시스템 다운, 서비스 거부, 스위핑 등의 위험요소로 구분하여 상기 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도를 산출하는 것을 특징으로 할 수 있다.
바람직하게, 상기 e) 단계에서, 상기 해킹 위협률 예경보 시스템은 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 합산하여 상기 최종적인 위협률을 산출하는 것을 특징으로 할 수도 있다.
바람직하게, 상기 f) 단계에서, 상기 해킹 위협률 예경보 시스템은 상기 최종 위협률을 실시간 그래프로 상기 클라이언트에게 디스플레이하여 제공하는 것을 특징으로 할 수도 있다.
상기 문제점을 해결하기 위한 본 발명의 다른 실시예에 따른 해킹 위협률 예경보 시스템은 네트워크상의 서비스 포트의 트래픽 변화량, 서비스 포트의 트래픽 점유량 및 기 발표된 최신 취약성 관련 서비스 포트 정보를 포함하는 서비스 포트 트래픽 관련 정보를 수집하는 트래픽 정보 수집부와, 상기 서비스 포트 트래픽 관 련 정보를 기초로 잠재적 위협원인 특정 익스플로잇에 해당하는 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석 및 산출하는 서비스 포트 맵핑률 분석 및 산출부와, 상기 서비스 포트 맵핑률에 따라 상기 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트 트래픽에 의해 점유되는 트래픽 점유량이 상위 트래픽 점유량에 미치는 영향을 분석하여 이에 상응하는 가중치를 산출하는 트래픽 점유량 산출부와, 상기 특정 익스플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도를 분석 및 산출하는 위험도 분석 및 산출부와, 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 기초로 하여 상기 특정 익스플로잇에 대한 최종적인 위협률을 산출하는 위협률 산출부와, 상기 산출된 위협률 관련 정보를 클라이언트에게 제공하는 정보 제공부를 포함하는 것을 특징으로 한다.
바람직하게, 상기 위험도 분석 및 산출부는 공격대상의 시스템 다운, 서비스 거부, 제어권 상실 및 스위핑 순으로 상기 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도를 산출하는 것을 특징으로 할 수 있다.
바람직하게, 상기 위협률 산출부는 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 합산하여 상기 최종적인 위협률을 산출하는 것을 특징으로 할 수도 있다.
바람직하게, 상기 정보 제공부는 상기 최종 위협률을 실시간 그래프로 상기 클라이언트에게 디스플레이하여 제공하는 것을 특징으로 할 수도 있다.
이하, 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명한다.
도 1은 본 발명에 의한 해킹 위협률 예경보 시스템을 포함하는 네트워크 구성을 개략적으로 예시하는 참고도이다.
본 도에 예시된 바와 같이, 클라이언트(140)는 인터넷 통신망에 연결되어 있는 자신의 정보가 허가없이 유출되는 것을 탐지나 방지하기 위해서, 방화벽(firewall)(110), 침입 탐지 시스템(IDS:Intrusion Detection System) 또는 침입 방지 시스템(IPS:Intrusion Prevention System)(130)을 포함하는 관제 시스템을 구축한다. 한편, 클라이언트(140)는, 트래픽 변화량과 해킹 위협률의 상호 연관성에 기초한 분석을 통해서, 웜 바이러스(Worm Virus)와 같은 치명적인 특정 위협원(150)의 위협률 관련 정보를 해킹 위협률 예경보 시스템(160)으로부터 실시간으로 제공받을 수 있다.
이와 같이, 해킹 위협률 예경보 시스템(160)으로부터 위협률 정보를 실시간으로 제공받은 클라이언트(140)는 이에 상응하는 대응 정책을 결정하여 방화벽(110) 및 침입 탐지 시스템이나 침입 방지 시스템(130)을 통해서 위협원(150)을 제거할 수 있고, 위협원(150)의 생성, 활동 및 소멸까지의 시간에 따른 상세한 활동 현황을 관제할 수 있다. 즉, 해킹 위협률 예경보 시스템(160)은 네트워크상의 기 발표된 취약점을 이용하는 위협원(150)을 조기에 탐지하여 제거함으로써, 네트워크 서비스의 연속성을 클라이언트에게 제공할 수 있다.
도 2는 본 발명의 일 실시예에 의한 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 해킹 위협률 예경보 방법을 예시하는 순서도이다.
우선, 해킹 위협률 예경보 시스템은 네트워크상의 모든 서비스 포트의 트래 픽 관련 정보를 수집한다(201). 여기서, 서비스 포트의 트래픽 관련 정보는 서비스 포트의 트래픽 변화량, 서비스 포트의 트래픽 점유량 및 기 발표된 최신 취약성 관련 서비스 포트 정보를 포함하며, 이는 네트워크상에서 발생되는 모든 서비스 포트 0 내지 65535까지의 정보를 로깅(logging)하고 단위시간별로 통계 처리하여 생성된 정보이다. 한편, 수집된 서비스 포트의 트래픽 점유량을 기초로 하여, 전체 네트워크 상에서 차지하는 트래픽 점유량 순으로 순위 테이블을 생성하여 서비스 포트의 트래픽 점유량 정보를 저장할 수 있다.
이후, 해킹 위협률 예경보 시스템은 예경보 서비스에 가입한 클라이언트로부터 잠재적 위협원(threat resource)인 특정 익스플로잇(exploit)에 대한 위협률 관련 정보 제공을 요청받는다(query)(202). 한편, 클라이언트로부터의 위협률 관련 정보 제공 요청 단계(202)는 최종적인 위협률 산출 단계(206) 이후에 이루어질 수도 있다.
이후, 해킹 위협률 예경보 시스템은 수집된 서비스 포트 트래픽 관련 정보를 기초로 특정 익스플로잇의 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석하고 산출한다(203). 즉, 특정 익스플로잇이 활동하는 적어도 하나 이상의 서비스 포트 중 몇 개의 어느 서비스 포트가 기 발표된 최신 취약성 관련 서비스 포트에 해당하는지를 분석하여 맵핑률로 산출하게 된다.
이후, 해킹 위협률 예경보 시스템은 특정 익스플로잇의 서비스 포트 맵핑률에 따라 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트의 트래픽 점유량이 전체 네트워크(global network)의 전체 트래픽 점유량 또는 상위 트래픽 점유량에 미치는 영향력을 분석하고 이에 상응하는 가중치를 산출한다(204). 즉, 특정 익스플로잇이 활동하는 서비스 포트의 트래픽 점유량이 전체 네트워크 트래픽 점유량에서 차지하는 정도에 따라 가중치를 산출하게 된다.
또한, 특정 익스플로잇이 활동하는 서비스 포트가 상위 트래픽 점유량에 미치는 정도나 영향이 클수록 이에 상응하여 가중치를 높게 산출하는 것이 바람직하며, 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트의 수가 둘 이상이면(depth1,depth2,...,depthN) 각 서비스 포트 별 트래픽 점유 순위를 고려하여 특정 익스플로잇에 대한 통합된 가중치를 산출할 수 있다. 한편, 예를 들어, 맵핑되는 서비스 포트의 수가 5개(depth1 내지 depth5)이지만 전체 네트워크 트래픽 점유량이 1%인 익스플로잇의 가중치는, 맵핑되는 서비스 포트의 수가 1개(depth1)이지만 전체 네트워크 트래픽 점유량이 50%인 익스플로잇의 가중치에 비해 상대적으로 낮게 산출될 수 있다.
이후, 해킹 위협률 예경보 시스템은 특정 익스플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도를 분석 및 산출한다(205). 여기서, 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도는 특정 익스플로잇이 공격대상에 미치는 위험 정도를 나타내는 것으로서, 해킹 위협률 예경보 시스템에 자체적으로 구축된 테스트-베드(test-bed)를 이용하여 특정 익스플로잇의 해킹 공격이 공격 대상에 실제로 미치는 영향 정도를 시뮬레이션하여 산출한 값이다. 또한, 그 영향 정도는 공격 대상의 시스템 다운(system down), 서비스 거부(denial of service), 제어권 상실(acquire system control), 및 스캔(scan)이나 스위핑 (sweeping)등으로 구분하여 위험도를 산출한다. 즉, 시스템 다운의 경우 위험도가 가장 높으며 스캔이나 스위핑의 경우는 위험도가 상대적으로 낮게 된다. 한편, 특정 익스플로잇의 해킹 공격이 공격 대상에 실제로 미치는 영향 정도를 분석하는 구체적인 방법에 대해서는 후속하는 도 3을 참조하여 상술하고자 한다.
이후, 해킹 위협률 예경보 시스템은 앞서 산출한 서비스 포트 맵핑률, 트래픽 점유량에 해당하는 가중치 및 위험도를 기초로 하여 특정 익스플로잇에 대한 최종적인 위협률을 산출한다(206). 여기서, 해킹 위협률 예경보 시스템은 서비스 포트 맵핑률, 가중치 및 위험도를 산술적으로 합산하여 최종적인 위협률을 산출할 수 있으나, 이에 한정되지 않고 각 파라미터(서비스 포트 맵핑률, 가중치 및 위험도) 값의 중요도에 따라 비율을 달리 부여하여 합산할 수도 있음은 물론이다.
이후, 해킹 위협률 예경보 시스템은 산출된 위협률을 포함하는 정보를 클라이언트에게 제공한다(207). 여기서, 위협률은 실시간 그래프로 클라이언트에게 디스플레이하여 제공하는 것이 바람직하다. 실시간 그래프에 대해서는 후속하는 도 6에 예시되어 있다.
따라서, 상술한 바와 같이 특정 익스플로잇의 트래픽 변화량과 이를 기초로 산출한 위협률을 분석하여 해킹 공격 가능성을 예보하거나 경고할 수 있으므로, 해킹 위협률 예경보 시스템으로부터 특정 익스플로잇에 대한 해킹 위협률을 제공받은 클라이언트는 사전에 이를 인지하고 이에 조기에 대응하여 잠재적 위협원을 예방할 수 있는 의사 결정과 대응 정책을 신속하게 수립할 수 있어서(208), 네트워크 서비스의 연속성을 보장할 수 있다.
또한, 해킹 위협률 예경보 시스템은 클라이언트로부터 위협률 정보 제공 요청이 있으면 실시간으로 이에 대한 응답으로 위협률 관련 정보를 그래프와 같은 명확한 지표로 클라이언트에게 디스플레이하여 제공할 수 있다.
도 3은 도 2의 특정 익스플로잇에 대한 위험도를 산출하는 단계를 구체적으로 예시한 순서도이다.
앞서 언급한 바와 같이, 위험도는 특정 익스플로잇이 공격 대상에 미치는 영향력으로서 다음과 같은 순서로 분석 및 산출된다.
우선, 테스트하고자 하는 특정 익스플로잇의 해킹 스크립트(script), 코드(code) 또는 바이러스를 분석한다(301).
이후, 해킹 스크립트 또는 코드의 소스를 컴파일하거나, 바이러스를 실행시킨다(302).
이후, 특정 익스플로잇이 공격 대상을 실제 해킹하게 하거나, 감염시키도록 테스트한다(303).
이후, 공격 대상에 대한 해킹 또는 감염 테스트 결과를 분석한다(304).
이후, 분석된 결과, 예컨대, 공격 대상의 시스템 다운, 서비스 거부, 제어권 상실 및 스위핑등의 위험요소에 따라 특정 익스플로잇의 실제 위험도를 상(high), 중(middle) 및 하(low)로 구분한다(305). 즉, 시스템 다운이나 서비스 거부는 높은 단계의 위험도인 상으로 스캔이나 스위핑은 낮은 단계의 위험도인 하로 설정할 수 있다.
도 4는 본 발명의 다른 실시예에 의한 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 해킹 위협률 예경보 시스템을 개략적으로 예시하는 구성도이다. 여기서, 도 2의 해킹 위협률 예경보 방법과 중복되는 설명은 생략하기로 한다.
해킹 위협률 예경보 시스템(410)은 트래픽 정보 수집부(401), 서비스 포트 맵핑률 분석 및 산출부(402), 트래픽 점유량 산출부(403), 위험도 분석 및 산출부(404), 위협률 산출부(405) 및 정보 제공부(406)를 포함한다.
트래픽 정보 수집부(401)는 네트워크상의 서비스 포트의 트래픽 변화량, 서비스 포트의 트래픽 점유량 및 기 발표된 최신 취약성 관련 서비스 포트 정보를 포함하는 서비스 포트 트래픽 관련 정보를 수집하는 역할을 한다.
서비스 포트 맵핑률 분석 및 산출부(402)는 서비스 포트 트래픽 관련 정보를 기초로 잠재적 위협원인 특정 익스플로잇에 해당하는 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석 및 산출하는 역할을 한다.
트래픽 점유량 산출부(403)는 서비스 포트 맵핑률에 따라 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트 트래픽에 의해 점유되는 트래픽 점유량이 상위 트래픽 점유량에 미치는 영향을 분석하여 이에 상응하는 가중치를 산출하는 역할을 한다.
위험도 분석 및 산출부(404)는 특정 익스플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도를 분석 및 산출하는 역할을 한다.
위협률 산출부(405)는 서비스 포트 맵핑률, 가중치 및 위험도를 기초로 하여 특정 익스플로잇에 대한 최종적인 위협률을 산출하는 역할을 한다.
정보 제공부(406)는 산출된 위협률 관련 정보를 클라이언트(420)에게 제공하는 역할을 한다. 한편, 정보 제공부(406)는 최종 위협률을 실시간 그래프로 클라이언트(401)에게 디스플레이하여 제공하는 것이 바람직하다.
도 5는 도 4의 트래픽 정보 수집부의 동작을 예시하는 참고도이다.
앞서 언급한 바와 같이, 트래픽 정보 수집부(501)는 침입 탐지 시스템(IDS)(502), 방화벽(503), 네트워크 디바이스(504), 모니터링 웹사이트(505), 네트워크 관리 시스템(NMS)(506), 시스템 관리 시스템(507) 또는 트래픽 센서(508)를 통해서 네트워크 상의 서비스 포트의 트래픽 관련 정보를 수집할 수 있다. 해킹 위협률 예경보 시스템은 이와 같이 수집된 서비스 포트 트래픽 관련 정보를 이용해서 특정 익스플로잇에 해당하는 서비스 포트 맵핑률, 트래픽 점유량에 상응하는 가중치 및 위험도를 분석하고 산출할 수 있으며, 더 나아가 잠재적 위협원인 특정 익스플로잇의 위협률을 클라이언트에게 실시간 그래프로 디스플레이하여 제공할 수 있다.
도 6은 도 4의 정보 제공부가 해킹 위협률을 실시간 그래프로 디스플레이하여 제공하는 예를 나타내는 참고도이다.
앞서 언급한 바와 같이, 정보 제공부는 특정 대상에 대한 해킹 공격 가능성, 예컨대 해킹 위협률을 실시간으로 1차원의 백분율(%) 그래프로 표시하거나, 시간에 따른 위협률을 2차원 그래프로 디스플레이하여 클라이언트에게 제공할 수 있다. 따라서, 클라이언트는 보다 명확한 지표를 가지고 이미 알려진 최신 취약성 정보의 생성, 활동 및 소멸까지 상세히 모니터링할 수 있으며 시간에 따른 특정 익스플로잇의 활동 현황을 실시간으로 관제할 수 있다.
지금까지 본 발명에 따른 바람직한 실시예를 상세히 살펴보았다. 본 발명의 범위는 위에서 예시한 실시예에 한정되지 않으며 본 발명의 기술적 사상이 적용된 경우라면 모두 본 발명의 범위에 속한다고 할 것이다.
한편, 본 발명에 따른 방법들은 컴퓨터로 실행시킬 수 있는 컴퓨터 프로그램으로 제작하는 것이 가능하며, 상기 컴퓨터 프로그램은 컴퓨터로 읽을 수 있는 기록매체(CD, 하드 및 플로피 디스크, 각종 메모리 장치 등)에 기록되는 것이 가능하다.
본 발명에 의하면, 보안 관제 시스템이 구축되어 있지 않은 네트워크의 네트워크 관리자 또는 보안 관리자에게 외부의 위협원의 활동 상황을 제공하여 조기에 위협원을 해소하고 대응할 수 있어서, 내외부의 위협원을 감지하기 위해 고비용의 보안 에이전트를 네트워크에 설치할 필요없이 최신의 네트워크 상황을 관제할 수 있는 효과가 있다.
또한, 해킹 위협률 예경보 시스템은 보안 관제 시스템이 구축된 네트워크에서도 알려지지 않은 특정 서비스 포트의 비정상적인 활동의 모니터링 시 이와 연관된 최신 취약성 정보와 활동률과 관련된 정보를 전달함으로써, 비정상 트래픽의 발생 원인을 파악하기 위한 추론 도구로서 사용될 수 있으며 신속한 의사결정을 하기 위한 정보원으로서 사용될 수 있는 효과가 있다.
또한, 외부 네트워크의 트래픽 변화량 분석 정보를 통해서 내부 네트워크에서 서비스하지 않는 서비스 포트의 트래픽 변화량에 보다 명확한 지표를 제공하여 비정상적인 위협을 인지 및 이에 따른 의사결정 시간을 단축시킬 수 있는 효과가 있다.
더 나아가, 이미 알려진 최신 취약성 정보의 생성, 활동 및 소멸까지의 모니터링과 시간에 따른 활동 현황을 관제할 수 있는 효과가 있다.

Claims (9)

  1. a) 해킹 위협률을 예보 및 경보하는 시스템이 네트워크상의 서비스 포트의 트래픽 변화량, 서비스 포트의 트래픽 점유량 및 기 발표된 최신 취약성 관련 서비스 포트 정보를 포함하는 서비스 포트 트래픽 관련 정보를 수집하는 단계와,
    b) 상기 해킹 위협률 예경보 시스템이 상기 서비스 포트 트래픽 관련 정보를 기초로 잠재적 위협원인 특정 익스플로잇에 해당하는 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석 및 산출하는 단계와,
    c) 상기 해킹 위협률 예경보 시스템이 상기 서비스 포트 맵핑률에 따라 상기 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트 트래픽에 의해 점유되는 트래픽 점유량이 상위 트래픽 점유량에 미치는 영향을 분석하여 이에 상응하는 가중치를 산출하는 단계와,
    d) 상기 해킹 위협률 예경보 시스템이 공격대상의 시스템 다운, 서비스 거부, 제어권 상실 및 스위핑 등의 위험요소로 구분하여 상기 특정 익스플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 공격대상에 대한 위험도를 분석 및 산출하는 단계와,
    e) 상기 해킹 위협률 예경보 시스템이 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 기초로 하여 상기 특정 익스플로잇에 대한 최종적인 위협률을 산출하는 단계와,
    f) 상기 해킹 위협률 예경보 시스템이 상기 산출된 위협률 관련 정보를 실시간 그래프로 상기 클라이언트에게 디스플레이하여 제공하는 단계를 포함하는 것을 특징으로 하는 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 예경보 방법.
  2. 삭제
  3. 제 1 항에 있어서, 상기 e) 단계에서,
    상기 해킹 위협률 예경보 시스템은 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 합산하여 상기 최종적인 위협률을 산출하는 것을 특징으로 하는 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 예경보 방법.
  4. 삭제
  5. 제 1 항 또는 제 3 항의 방법을 컴퓨터로 실행시킬 수 있는 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  6. 네트워크상의 서비스 포트의 트래픽 변화량, 서비스 포트의 트래픽 점유량 및 기 발표된 최신 취약성 관련 서비스 포트 정보를 포함하는 서비스 포트 트래픽 관련 정보를 수집하는 트래픽 정보 수집부와,
    상기 서비스 포트 트래픽 관련 정보를 기초로 잠재적 위협원인 특정 익스플로잇에 해당하는 서비스 포트와 기 발표된 최신 취약성 관련 서비스 포트와의 서비스 포트 맵핑률을 분석 및 산출하는 서비스 포트 맵핑률 분석 및 산출부와,
    상기 서비스 포트 맵핑률에 따라 상기 특정 익스플로잇에 맵핑되는 기 발표된 최신 취약성 관련 서비스 포트 트래픽에 의해 점유되는 트래픽 점유량이 상위 트래픽 점유량에 미치는 영향을 분석하여 이에 상응하는 가중치를 산출하는 트래픽 점유량 산출부와,
    공격대상의 시스템 다운, 서비스 거부, 제어권 상실 및 스위핑 순으로 상기 특정 익스플로잇에 해당하는 기 발표된 최신 취약성 관련 서비스 포트 트래픽의 위험도를 분석 및 산출하는 위험도 분석 및 산출부와,
    상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 기초로 하여 상기 특정 익스플로잇에 대한 최종적인 위협률을 산출하는 위협률 산출부와,
    상기 산출된 위협률 관련 정보를 실시간 그래프로 상기 클라이언트에게 디스플레이하여 제공하는 정보 제공부를 포함하는 것을 특징으로 하는 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 해킹 위협률 예경보 시스템.
  7. 삭제
  8. 제 6 항에 있어서,
    상기 위협률 산출부는 상기 서비스 포트 맵핑률, 상기 가중치 및 상기 위험도를 합산하여 상기 최종적인 위협률을 산출하는 것을 특징으로 하는 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한 해킹 위협률 예경보 시스템.
  9. 삭제
KR1020060027401A 2006-03-27 2006-03-27 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 KR100625096B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060027401A KR100625096B1 (ko) 2006-03-27 2006-03-27 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060027401A KR100625096B1 (ko) 2006-03-27 2006-03-27 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR100625096B1 true KR100625096B1 (ko) 2006-09-15

Family

ID=37631684

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060027401A KR100625096B1 (ko) 2006-03-27 2006-03-27 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR100625096B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100935861B1 (ko) * 2007-11-12 2010-01-07 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치
CN102163251A (zh) * 2010-02-22 2011-08-24 深圳市腾讯计算机系统有限公司 一种游戏作弊的识别方法和设备
US8191149B2 (en) 2006-11-13 2012-05-29 Electronics And Telecommunications Research Institute System and method for predicting cyber threat
US8800037B2 (en) 2009-07-07 2014-08-05 Electronics And Telecommunications Research Institute System for an engine for forecasting cyber threats and method for forecasting cyber threats using the system
CN106910334A (zh) * 2015-12-22 2017-06-30 阿里巴巴集团控股有限公司 一种基于大数据预测路段状况的方法及装置
KR20170135495A (ko) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 보안 위협 정보 분석 및 관리 시스템
CN115225297A (zh) * 2021-04-16 2022-10-21 中国移动通信集团江苏有限公司 一种阻断网络入侵的方法及装置

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8191149B2 (en) 2006-11-13 2012-05-29 Electronics And Telecommunications Research Institute System and method for predicting cyber threat
KR100935861B1 (ko) * 2007-11-12 2010-01-07 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치
US8839440B2 (en) 2007-11-12 2014-09-16 Electronics And Telecommunications Research Institute Apparatus and method for forecasting security threat level of network
US8800037B2 (en) 2009-07-07 2014-08-05 Electronics And Telecommunications Research Institute System for an engine for forecasting cyber threats and method for forecasting cyber threats using the system
CN102163251A (zh) * 2010-02-22 2011-08-24 深圳市腾讯计算机系统有限公司 一种游戏作弊的识别方法和设备
CN106910334A (zh) * 2015-12-22 2017-06-30 阿里巴巴集团控股有限公司 一种基于大数据预测路段状况的方法及装置
US10977933B2 (en) 2015-12-22 2021-04-13 Alibaba Group Holding Limited Method and apparatus for predicting road conditions based on big data
KR20170135495A (ko) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 보안 위협 정보 분석 및 관리 시스템
CN115225297A (zh) * 2021-04-16 2022-10-21 中国移动通信集团江苏有限公司 一种阻断网络入侵的方法及装置
CN115225297B (zh) * 2021-04-16 2024-05-03 中国移动通信集团江苏有限公司 一种阻断网络入侵的方法及装置

Similar Documents

Publication Publication Date Title
US20230042552A1 (en) Cyber security using one or more models trained on a normal behavior
CN108040493B (zh) 基于低置信度安全事件来检测安全事故的方法和装置
KR100625096B1 (ko) 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
US20080263677A1 (en) Client Health Validation Using Historical Data
Miloslavskaya Security operations centers for information security incident management
Ramaki et al. A survey of IT early warning systems: architectures, challenges, and solutions
JP4500921B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
CN117155625A (zh) 一种计算机网络监控系统
KR101538374B1 (ko) 사이버 위협 사전 예측 장치 및 방법
KR20210109292A (ko) 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
CN114553471A (zh) 一种租户安全管理系统
KR101113615B1 (ko) 네트워크 위험도 종합 분석 시스템 및 그 방법
Ehis Optimization of security information and event management (SIEM) infrastructures, and events correlation/regression analysis for optimal cyber security posture
Qassim et al. Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems.
US11979416B2 (en) Scored threat signature analysis
Vichaidis et al. Analyzing darknet TCP traffic stability at different timescales
US20240134990A1 (en) Monitoring and remediation of cybersecurity risk based on calculation of cyber-risk domain scores
Herwono et al. A Collaborative Tool for Modelling Multi-stage Attacks.
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
US20230315849A1 (en) Threat signature scoring
Bhattacharya et al. Security threat prediction in a local area network using statistical model
Petersen et al. An ideal internet early warning system
KR20100041533A (ko) 네트워크 관리 방법

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120927

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140904

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150909

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160908

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180911

Year of fee payment: 13