KR100651749B1 - 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치 - Google Patents

알려지지 않은 악성 트래픽 탐지 방법 및 그 장치 Download PDF

Info

Publication number
KR100651749B1
KR100651749B1 KR1020050084659A KR20050084659A KR100651749B1 KR 100651749 B1 KR100651749 B1 KR 100651749B1 KR 1020050084659 A KR1020050084659 A KR 1020050084659A KR 20050084659 A KR20050084659 A KR 20050084659A KR 100651749 B1 KR100651749 B1 KR 100651749B1
Authority
KR
South Korea
Prior art keywords
information
traffic
address
destination
vulnerability
Prior art date
Application number
KR1020050084659A
Other languages
English (en)
Inventor
방효찬
김현주
김건량
김진오
이수형
장범환
김동영
손선경
나중찬
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050084659A priority Critical patent/KR100651749B1/ko
Application granted granted Critical
Publication of KR100651749B1 publication Critical patent/KR100651749B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치를 개시한다.
본 발명에 의하면, 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하고, 침입탐지 경보 데이터 내에 포함된 목적지 주소 및 목적지 포트 정보와 자산 정보 내의 주소 및 취약성 정보 내의 시스템 취약성 정보간의 연관성에 따라 실제 위협이 되는 침입 탐지 경보 데이터를 추출하며, 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하여, 다수의 이벤트 정보간의 연관성을 파악하여 기존의 IDS나 바이러스 월의 오탐지 정보를 정제함으로서 실제 위협이 되는 악성 공격 징후만을 탐지해낼 수 있으며, 네트워크 차원의 로그 정보들만을 분석 대상으로 선택함으로써 탐지 영역을 네트워크 수준으로 확장할 수 있고, 특성이 다른 이벤트 정보간의 다차원 연관성 분석에 의하여 오 탐지율과 미 탐지율을 줄여 유해 트래픽 탐지 성능을 높일 수 있으며, 감염 단계를 가시적으로 표시할 수 있기 때문에 아직 비 활동중인 잠재적인 웜 바이러스의 위협을 쉽게 인지할 수 있다.

Description

알려지지 않은 악성 트래픽 탐지 방법 및 그 장치{Method for detection of unknown malicious traffic and apparatus thereof}
도 1은 본 발명에 따른 알려지지 않은 악성 트래픽 탐지 방법의 흐름을 도시한 것이다.
도 2는 본 발명에 따라 알려지지 않은 악성 트래픽을 탐지하는 장치의 구성을 블록으로 도시한 것이다.
도 3은 본 발명에 따른 분석 결과를 그래프로 작성한 일 예를 나타낸 것이다.
본 발명은 네트워크 보안에 관한 것으로서, 보다 상세하게는 네트워크를 경유하여 시스템의 취약한 포트를 공격함으로서 웜 바이러스를 전파시키는 공격 유형을 갖는 악성 트래픽들을 탐지하는 방법과 그 장치에 관한 것이다.
특히, 웜 바이러스와 같은 악성 트래픽(traffic)으로 인하여 생성되는 다수의 이벤트 정보간의 연관 관계를 분석하고 가시적으로 표현함으로써 정확한 웜 바이러스 출현의 탐지와 전파 현황을 직관적으로 쉽게 파악할 수 있도록 하기 위한 기술이다.
기존의 유해 트래픽 탐지 및 표시 방법들은 주로 단일 이벤트 정보만을 대상으로 하는 탐지 기법을 사용한다. 예를 들면 침입탐지 시스템(IDS : Intrusion Detection System)은 네트워크 상의 패킷정보를, 트래픽 관리 시스템(TMS : Traffic Management System))은 트래픽 플로우(traffic flow) 정보 또는 패킷 통계 정보만을 대상으로 이상 유무를 판단한다. 따라서 이에 대한 분석 결과 및 표시 역시 관찰 대상이 되는 단일 이벤트 정보에 국한된다.
하지만 최근 증가하고 있는 웜 바이러스와 같은 고도의 해킹 공격들은 여러 경로를 우회하거나 복잡한 패턴을 이용하여 시공간적으로 은폐된 공격 기술을 이용하기 때문에 어느 한 지점에서 발생하는 단일 이벤트 정보만으로는 정확한 판단을 하는 것이 힘들다.
특히 이러한 공격을 단일 정보만을 이용하여 탐지한 경우에는 수많은 오탐지 정보를 발생시킬 수 있으며 알려지지 않은 새로운 유형의 공격은 탐지조차 할 수 없는 문제가 있다. 또한 기존의 방식에서는 관리 시스템의 시스템 로그 정보를 분석하여 탐지하는 호스트 기반의 탐지 기술이 주류를 형성하나 이러한 방법은 규모가 큰 네트워크 차원의 보안 관리에는 이용하기가 어렵다는 문제가 있다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 아직 알려지지 않은 미지의 웜 바이러스까지 정확하게 탐지해 내고, 숨겨진 해킹 흔적들을 추출해낼 수 있으며, 네트워크 플로우 정보와 같은 네트워크 기반의 로그 정보만을 분석 대상으로 선택함으로서 네트워크 차원의 탐지 및 보안 관리가 가능하고, 부수적으로는 분석 기술과 그 결과를 관리자가 쉽게 이해할 수 있도록 가시적으로 표현할 수 있도록 하는 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치를 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 알려지지 않은 악성 트래픽 탐지 방법은, (a) 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하는 단계; (b) 상기 침입탐지 경보 데이터 내에 포함된 목적지 주소 및 목적지 포트 정보와 상기 자산 정보 내의 주소 및 상기 취약성 정보 내의 시스템 취약성 정보간의 연관성에 따라 실제 위협이 되는 침입 탐지 경보 데이터를 추출하는 단계; 및 (c) 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 단계;를 포함하는 것을 특징으로 한다.
상기 (b) 단계에서, 상기 목적지 주소는 상기 목적지를 지정하는 IP 주소이며, 상기 자산의 주소는 그 자산을 지정하는 IP 주소임을 바람직하며, 상기 (b) 단계에서, 상기 수집한 침입탐지 경보 데이터 내의 목적지 IP 주소와 그 목적지에 대응되는 상기 자산 정보 내의 자산의 IP 주소가 일치하며 동시에 상기 목적지 IP 주 소의 포트 정보에 일치하는 정보가 상기 취약성 정보에 포함되어 있는 침입탐지 경보 데이터를 실제 위협이 되는 경보 데이터로 추출하는 것이 바람직하다.
그리고 상기 (c) 단계의 침입탐지 경보 데이터 목적지 주소는 그 목적지를 지정하는 IP 주소이며, 그 주소의 접속 현황은 그 주소로의 TCP 접속을 포함하는 것이 바람직하며, 상기 (c) 단계에서, 상기 추출된 목적지 주소로의 TCP 접속에 대한 트래픽 플로우 정보, 트래픽의 방향성(inbound or outbound) 정보, FTP, TFTP를 포함하는 프로토콜에 의한 상기 목적지 주소로부터의 파일 전송에 대한 트래픽 플로우 정보, 상기 추출된 목적지 주소의 트래픽 플로우 정보간의 연관성을 분석하여 트래픽 이상 상태를 추출해 내는 것이 바람직하다.
또한 (d) 상기 (b) 단계 및 (c) 단계에서 추출되고 분석한 정보를 그래픽을 포함하여 표시하는 단계;를 더 포함하는 것이 바람직하며, 상기 (d) 단계에서, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 IP 주소, 그 IP 주소로의 TCP 접속 현황 정보, 그 IP 주소에서 시도한 FTP, TFTP 접속 현황 정보, 그 IP 주소의 취약성 포트에 대한 트래픽 플로우 발생 현황 정보 및 각 트래픽 플로우의 방향성 정보간의 관계성을 표시하는 것이 바람직하다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 알려지지 않은 악성 트래픽 탐지 장치는, 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하는 보안 이벤트 수집부; 및 상기 침입탐지 경보 데이터와 자산 정보 및 취약성 정보를 연관 분석하여 실제 위협이 되는 경보 데이터만을 추출하며, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 보안 이벤트 연관성 분석부;를 포함하는 것을 특징으로 한다.
상기 보안 이벤트 연관성 분석부는, 상기 수집한 침입탐지 경보 데이터 내의 목적지 IP 주소와 그 목적지에 대응되는 상기 자산 정보 내의 자산의 IP 주소가 일치하며 동시에 상기 목적지 IP 주소의 포트 정보에 일치하는 정보가 상기 취약성 정보에 포함되어 있는 침입탐지 경보 데이터를 실제 위협이 되는 경보 데이터로 추출하는 취약성 연관 분석 모듈; 및 상기 취약성 연관 분석 모듈에 의해 실제 위협이 있는 것으로 추출된 목적지 IP 주소로의 TCP 접속에 대한 트래픽 플로우 정보, 트래픽의 방향성(inbound or outbound) 정보, FTP, TFTP를 포함하는 프로토콜에 의한 상기 목적지 주소 IP로부터의 파일 전송에 대한 트래픽 플로우 정보, 상기 추출된 목적지 주소 IP의 트래픽 플로우 정보간의 연관성을 분석하여 트래픽 이상 상태를 추출해 내는 트래픽 연관 분석 모듈;을 포함하는 것이 바람직하다.
이때에 상기 트래픽 연관 분석 모듈은, 악성 트래픽에 의해 취약성을 공격받은 관리 대상인 목적지 주소 IP에 대해 상기 공격을 가한 공격자가 외부로부터의 접속을 유도하거나 외부로의 접속을 시도한 흔적이 있는가를 분석하는 TCP 접속 현황 분석 모듈; 상기 TCP 접속 현황 분석 모듈의 분석에 의해 탐지된 TCP 접속 플로우에 기인하여 외부 또는 내부로의 FTP 또는 TFTP 접속을 수행한 흔적이 있는가를 분석하여 상기 공격으로 인한 유해 파일의 다운로드 현황을 판정하는 파일 전송 현황 분석 모듈; 및 상기 공격받은 관리 대상이 공격받은 포트와 동일한 포트를 통해 상기 다운로드된 유해 파일로 인한 다른 대상으로의 공격으로 발생할 수 있는 이상 트래픽 플로우를 감시하여 다른 대상으로의 취약성 공격을 탐지하는 이상 트래픽 분석 모듈;을 포함하는 것이 바람직하다.
그리고 상기 장치는 상기 보안 이벤트 연관성 분석부가 추출하고 분석한 유해 정보를 그래픽을 포함하여 표시하는 유해 트래픽 상태 표시부;를 더 포함하는 것이 바람직하며, 상기 유해 트랙픽 상태 표시부는 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 IP 주소, 그 IP 주소로의 TCP 접속 현황 정보, 그 IP 주소에서 시도한 FTP, TFTP 접속 현황 정보, 그 IP 주소의 취약성 포트에 대한 트래픽 플로우 발생 현황 정보 및 각 트래픽 플로우의 방향성 정보간의 관계를 표시하는 것이 바람직하며, 또한 상기 유해 트랙픽 상태 표시부는, 정보들간의 관계를 표시할 때에 복수개의 축을 포함하여 표시하며, 상기 복수축들의, 제1축에는 상기 보안 이벤트 연관성 분석부에 의하여 추출된 실제 위협이 있는 경보 데이터의 목적지 IP 주소를 표시하며, 제2축에는 다른 시스템으로부터 상기 실제 위협이 있는 목적지 IP 주소에 대한 TCP 접속 현황을 표시하며, 제3축은 상기 실제 위협이 있는 목적지 IP 주소로부터 시도한 FTP, TFTP 접속 현황을 표시하며, 제4축은 상기 실제 위협이 있는 목적지가 포함된 내부 네트워크의 영역을 표시하고, 제5축은 상기 내부 네트워크에 포함되지 않은 외부 네트워크 영역을 표시하는 것이 바람직하다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
도 1은 본 발명에 따라 알려지지 않은 악성 트래픽을 탐지하는 방법의 흐름을 도시한 것이다.
네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하고(10 단계), 상기 침입탐지 경보 데이터 내에 포함된 목적지 주소 및 목적지 포트 정보와 상기 자산 정보 내의 주소 및 상기 취약성 정보 내의 시스템 취약성 정보간의 연관성에 따라 실제 위협이 되는 침입 탐지 경보 데이터를 추출하며(20 단계), 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성(inbound or outbound) 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출한다(30 단계).
그리고 20 및 30 단계에서 추출되고 분석한 정보를 그래픽을 포함하여 표시한다(40 단계).
도 2는 본 발명에 따라 알려지지 않은 악성 트래픽을 탐지하는 장치의 구성을 블록으로 도시한 것이다.
네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터 로부터 주기적으로 분석 대상 데이터를 수집하는 보안 이벤트 수집부(110) 및 상기 침입탐지 경보 데이터와 자산 정보 및 취약성 정보를 연관 분석하여 실제 위협이 되는 경보 데이터만을 추출하며, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 보안 이벤트 연관성 분석부(120)를 포함한다.
이 장치는 보안 이벤트 연관성 분석부(120)가 추출하고 분석한 유해 정보를 그래픽을 포함하여 표시하는 유해 트랙픽 상태 표시부(130)를 더 포함한다.
보안 이벤트 연관성 분석부(120)는, 실제 위협이 되는 경보 데이터를 추출하는 취약성 연관 분석 모듈(140) 및 트래픽 이상 상태를 추출해 내는 트래픽 연관 분석 모듈(150)을 포함한다.
그리고 트래픽 연관 분석 모듈(150)은, 접속 현황을 확인 및 분석하는 TCP 접속 현황 분석 모듈(151), 공격을 당한 시스템으로부터의 파일 전송 현황을 확인 분석하는 파일 전송 현황 분석 모듈(152) 및 외부로 유해 요인을 전파하는 것을 확인하는 이상 트래픽 분석 모듈(153)을 포함한다.
각 구성 요소들의 기능 및 동작에 대해서는 이하에서 상세하게 설명한다.
보안 이벤트 수집부(110)는 네트워크 침입탐지 시스템(NIDS)에 의해 생성된 침입탐지 경보 데이터 즉, 침입탐지 경보 저장소(101)에 저장되어 있는 경보 데이터와 트래픽 정보 수집기에 의해 수집된 트래픽 플로우 정보 즉, 트래픽 플로우 정보 저장소(102)에 저장되어 있는 트래픽 플로우 정보(Cisco's Netflow)를 주기적으 로 수집한다.
침입탐지 경보 데이터는 관리 대상인 네트워크에 침입이 있는 경우 그 침입을 당한 것으로 파악된 자산의 IP 주소, 포트 번호, 침입 주체의 명칭 등과 같은 정보를 포함한다.
또한, 보안 이벤트 수집부(110)는 자산 관리 시스템에 의해 관리 대상인 네트워크 상에 존재하는 자원에 대한 정보가 저장된 자산 정보 저장소(103)의 데이터도 주기적으로 참조한다. 자산 정보는 네트워크에 존재하는 각 시스템의 IP 주소, 각 시스템의 포트 번호 등의 정보를 포함한다. 이 경우 포트 번호에 따라 제공되는 서비스가 결정되므로 제공 서비스에 대한 것도 자산 정보에 포함된다.
그리고 보안 이벤트 수집부(110)는 네서스(Nessus)나 사라(SARA) 등과 같은 오픈소스 보안 취약 요소 스캐닝 솔루션을 사용하는 취약성 관리 시스템에 의해 얻어지는 분석 결과 데이터인 취약성 정보가 저장된 취약성 정보 저장소(104)의 데이터 역시 참조한다(10 단계).
취약성 정보는 관리 대상인 네트워크 상에 위치하는 자산들 중에서 취약성이 있는 자산의 IP 주소, CVE(Common Vulnerabilities and Exposures)-ID, 취약성 이름, 취약성 레벨, 취약한 포트 번호(portNo) 등의 정보를 포함한다.
이와 같이 수집된 정보들은 보안 이벤트 연관성 분석부(120)의 취약성 연관 분석 모듈(140)과 트래픽 연관 분석 모듈(150)로 전달된다.
일종의 가공되지 않은 로(raw) 데이터를 사용하는 것보다는 상기와 같이 종래의 상용화된 수단들을 사용하여 필요한 자료들을 일차적으로 가공하여 정제된 결 과를 사용하므로 오 탐지율(False Positive)과 미 탐지율(False Negative)의 가능성을 크게 줄일 수 있다.
취약성 연관 분석 모듈(140)은 침입탐지 경보 데이터와 자산 및 취약성 정보를 연관 분석하여 실제 위협이 있는 경보 데이터만을 추출한다(20 단계).
더 구체적으로는 취약성 연관 분석 모듈(140)은 침입탐지 시스템이 생성한 다량의 경보 데이터 내의 목적지 IP 주소가 실제로 관리 대상인 자산 정보(103) 내의 IP 주소가 일치하는 가를 확인하여 실제 침입을 당한 IP 주소를 확인한다. 동시에 그 침입을 당한 IP 주소에서 침입이 일어난 목적지 포트(즉, 서비스)가 실제 취약성 정보(104) 내에 저장된 서비스 취약성 정보와 일치하는 것이 있는 가를 확인한다. 즉, 실제 존재하는 IP 어드레스의 시스템에 취약성 정보로 미리 저장되어 있는 포트가 공격당한 경우만을 실제 위협이 있는 경보 데이터로 추출하는 것이다.
웜 바이러스는 특정 취약성 포트를 공격하기 위하여 무작위로 생성한 다량의 목적지 IP 주소로 유해 패킷을 송신하기 때문에 이를 탐지한 네트워크 침입탐지 경보 데이터에는 많은 오 경보가 존재한다. 따라서 상기 과정을 통해 목적지 IP 주소가 존재하지 않거나 관리 대상이 아닌 비관리 시스템에 대한 침입 시도에 대한 경보 데이터를 분석 대상에서 제외시키고, 이미 패치되어 취약성이 제거된 포트에 대한 공격과 같은 불필요한 탐지 정보도 필터링하여 제거하는 것이다. 그 결과 실제로 피해를 받을 수 있는 침입만을 추출한다.
트래픽 연관 분석 모듈(150)은 취약성 연관 분석 모듈(140)을 통해 추출된 관리 대상인 네트워크 상에 위치하는 시스템들에 대한 다양한 트래픽 플로우 정보 를 상호 연관 분석한다.
일반적으로 웜 바이러스 공격이 성공적으로 이루어지면 트래픽 플로우 정보에는 해커에 의한 TCP 접속 혹은 Telnet 접속 등의 흔적과 방화벽을 우회하기 위하여 호스트로부터 외부로 접속한 의심스러운 TFTP(Trivial File Transfer Protocol) 접속 등의 로그가 남는다. 또한 감염된 웜 바이러스가 실행되면 감염 호스트로부터 불특정 다수의 시스템으로 동일한 취약성 포트를 공격하는 다량의 유해 트래픽이 발생하게 된다. 트래픽 연관 분석 모듈(150)은 트래픽 플로우 정보에 남아있는 이러한 흔적들의 연관성을 분석하고 그 결과를 유해 트래픽 상태 표시부(130)를 통해 즉각적으로 표시한다.
트래픽 연관 분석 모듈(150)은 세부적으로는 TCP 접속 현황 분석 모듈(151), 파일 전송 현황 분석 모듈(152), 이상 트래픽 분석 모듈(153)로 구성된다.
TCP 접속 현황 분석 모듈(151)은 악성 트래픽에 의해 취약성을 공격받은 관리 대상 시스템의 트래픽 플로우 정보 안에 의심스러운 TCP 접속 흔적이 존재하는 가를 분석한다. 즉, 공격에 성공한 웜 바이러스가 외부로부터의 접속을 유도하거나 외부로의 접속을 시도한 흔적을 조사한다.
이와 동시에 파일 전송 현황 분석 모듈(152)은 상기 관리 대상 시스템이 TCP 접속 현황 분석 모듈의 분석에 의해 탐지된 TCP 접속 플로우에 기인하여 외부 또는 내부로의 FTP 또는 TFTP 접속을 수행한 흔적이 있는 가를 분석함으로서 웜 바이러스 파일의 다운로드 현황을 판정한다.
이상 트래픽 분석 모듈(153)은 공격을 당한 시스템에 웜 바이러스가 다운로 드된 후 감염 시스템에서 자동으로 동작됨으로서 타 시스템으로의 취약성 공격을 재 시도하는 웜 바이러스 전파 과정을 탐지하기 위한 분석 모듈이다. 웜 바이러스 감염 시스템에서 유출되는 동일한 취약성 포트를 공격 대상 포트로 하는 유해트래픽 플로우를 감시하고 분석함으로써 웜 바이러스 전파 단계를 감지할 수 있다.
유해 트래픽 상태 표시부(130)는 상기에 설명된 것과 같이 보안 이벤트 연관성 분석부(120)에 의해 탐지되고 분석된 내용을 운용자가 쉽게 파악할 수 있도록 그래프로 표시한다.
도 3은 본 발명에 따른 분석 결과를 그래프로 작성한 일 예를 나타낸 것이다.
도 3의 중앙의 축(131)은 보안 이벤트 연관성 분석부(120)에 의하여 추출된 실제 위협(real threat) 경보 데이터의 목적지 IP 주소, 즉 관리 대상인 시스템의 IP 주소들을 세로축으로 나열 시킨 형태를 나타낸다.
도 3의 좌측 상부의 축(132)은 외부의 다른 시스템으로부터 상기의 관리 대상 시스템의 취약성 포트로의 TCP 접속 현황을 상호간의 선분으로 나타내고, 좌측 하부의 축(133)은 상기의 관리 대상 시스템에서 외부의 시스템으로 시도되는 FTP, TFTP 접속 현황을 나타낸다. 132, 133의 축에 표시된 그래프를 통하여 현재 공격당하고 있는 관리 대상 시스템과 그 공격에 의해 수행되는 해커에 의한 외부 시스템으로부터의 악성 파일 다운로드 전송 현황을 동시에 파악할 수 있다.
두 축(132, 133) 모두 좌측 각각의 일정 영역(136, 137)은 관리 대상 내부 네트워크 영역을 나타내며 이를 통해 공격이 외부로부터인지 내부로부터인지를 파 악할 수 있는 접속 플로우의 방향성과 위치를 인지할 수 있다.
도 3의 우측 상부의 축들(134, 135)은 공격에 의해 감염된 관리 대상 시스템에서 웜 바이러스가 동작하여 유해 트래픽을 발생시키는 현황을 가시화한 것이다. 이때 우측 상단의 축(134)은 내부 네트워크 영역을, 우측 하단의 축(135)은 외부 네트워크 영역을 나타낸다. 감염된 시스템들이 바이러스를 유포하기 위하여 다른 시스템들의 취약성을 공격하는 시점에서 우측에 표현되는 축들(134, 135)의 그래프를 통해 웜 바이러스의 전파 경로가 내부인지 외부인지를 인지할 수 있다.
도 3의 그래프는 웜 바이러스가 동작하는 일련의 행위를 전체적으로 가시화하여 축 131로부터는 현재 공격당하고 있는 취약한 시스템들을, 축 132로부터는 취약성 공격 여부를, 축 133으로부터는 웜 바이러스의 감염여부를 축 134, 135로부터는 웜 바이러스의 동작여부 및 전파경로를 직관적으로 파악할 수 있도록 한다.
상기와 같이 본 발명은 웜 바이러스와 같은 악성 유해 트래픽을 조기에 정확히 감지하고 대응하기 위한 용도로 네트워크 보안 관리 시스템 등의 분야에서 이용될 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다. 상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명 이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 일부 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
본 발명에 의하면, 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하고, 침입탐지 경보 데이터 내에 포함된 목적지 주소 및 목적지 포트 정보와 자산 정보 내의 주소 및 취 약성 정보 내의 시스템 취약성 정보간의 연관성에 따라 실제 위협이 되는 침입 탐지 경보 데이터를 추출하며, 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하여, 다음과 같은 효과를 얻을 수 있다.
첫째, 다수의 이벤트 정보간의 연관성을 파악하여 기존의 IDS나 바이러스 월의 오탐지 정보를 정제함으로서 실제 위협이 되는 악성 공격 징후만을 탐지해낼 수 있다. 둘째, 네트워크 차원의 로그 정보들만을 분석 대상으로 선택함으로써 탐지 영역을 네트워크 수준으로 확장할 수 있다. 셋째, 특성이 다른 이벤트 정보간의 다차원 연관성 분석에 의하여 오탐지율(False Positive)과 미탐지율(False Negative)을 줄여 유해 트래픽 탐지 성능을 높일 수 있다. 넷째, 웜 바이러스의 감염 단계를 가시적으로 표시할 수 있기 때문에 아직 비 활동중인 잠재적인 웜 바이러스의 위협을 쉽게 인지할 수 있다.

Claims (13)

  1. (a) 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하는 단계;
    (b) 상기 침입탐지 경보 데이터 내에 포함된 목적지 주소 및 목적지 포트 정보와 상기 자산 정보 내의 주소 및 상기 취약성 정보 내의 시스템 취약성 정보간의 연관성에 따라 실제 위협이 되는 침입 탐지 경보 데이터를 추출하는 단계; 및
    (c) 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 단계;를 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  2. 제1항에 있어서,
    상기 (b) 단계에서, 상기 목적지 주소는 상기 목적지를 지정하는 IP 주소이며, 상기 자산의 주소는 그 자산을 지정하는 IP 주소임을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 (b) 단계에서, 상기 수집한 침입탐지 경보 데이터 내의 목적지 IP 주소 와 그 목적지에 대응되는 상기 자산 정보 내의 자산의 IP 주소가 일치하며 동시에 상기 목적지 IP 주소의 포트 정보에 일치하는 정보가 상기 취약성 정보에 포함되어 있는 침입탐지 경보 데이터를 실제 위협이 되는 경보 데이터로 추출하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  4. 제1항에 있어서,
    상기 (c) 단계의 침입탐지 경보 데이터 목적지 주소는 그 목적지를 지정하는 IP 주소이며, 그 주소의 접속 현황은 그 주소로의 TCP 접속을 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  5. 제1항 또는 제4항에 있어서,
    상기 (c) 단계에서,
    상기 추출된 목적지 주소로의 TCP 접속에 대한 트래픽 플로우 정보, 트래픽의 방향성(inbound or outbound) 정보, FTP, TFTP를 포함하는 프로토콜에 의한 상기 목적지 주소로부터의 파일 전송에 대한 트래픽 플로우 정보, 상기 추출된 목적지 주소의 트래픽 플로우 정보간의 연관성을 분석하여 트래픽 이상 상태를 추출해 내는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  6. 제1항에 있어서,
    (d) 상기 (b) 단계 및 (c) 단계에서 추출되고 분석한 정보를 그래픽을 포함 하여 표시하는 단계;를 더 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  7. 제6항에 있어서,
    상기 (d) 단계에서, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 IP 주소, 그 IP 주소로의 TCP 접속 현황 정보, 그 IP 주소에서 시도한 FTP, TFTP 접속 현황 정보, 그 IP 주소의 취약성 포트에 대한 트래픽 플로우 발생 현황 정보 및 각 트래픽 플로우의 방향성 정보간의 관계성을 표시하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 방법.
  8. 네트워크를 통한 침입을 탐지한 경보 데이터, 관리 대상인 네트워크의 자산 정보와 취약성 정보, 상기 네트워크에 설치된 장비로부터의 트래픽 플로우 데이터로부터 주기적으로 분석 대상 데이터를 수집하는 보안 이벤트 수집부; 및
    상기 침입탐지 경보 데이터와 자산 정보 및 취약성 정보를 연관 분석하여 실제 위협이 되는 경보 데이터만을 추출하며, 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 주소의 접속 현황, 트래픽 플로우의 방향성 및 파일 전송 트래픽 플로우 현황 그리고 감염 시스템의 트래픽 발생 현황을 감지하여 트래픽 이상 상태를 추출하는 보안 이벤트 연관성 분석부;를 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치.
  9. 제8항에 있어서,
    상기 보안 이벤트 연관성 분석부는,
    상기 수집한 침입탐지 경보 데이터 내의 목적지 IP 주소와 그 목적지에 대응되는 상기 자산 정보 내의 자산의 IP 주소가 일치하며 동시에 상기 목적지 IP 주소의 포트 정보에 일치하는 정보가 상기 취약성 정보에 포함되어 있는 침입탐지 경보 데이터를 실제 위협이 되는 경보 데이터로 추출하는 취약성 연관 분석 모듈; 및
    상기 취약성 연관 분석 모듈에 의해 실제 위협이 있는 것으로 추출된 목적지 IP 주소로의 TCP 접속에 대한 트래픽 플로우 정보, 트래픽의 방향성(inbound or outbound) 정보, FTP, TFTP를 포함하는 프로토콜에 의한 상기 목적지 주소 IP로부터의 파일 전송에 대한 트래픽 플로우 정보, 상기 추출된 목적지 주소 IP의 트래픽 플로우 정보간의 연관성을 분석하여 트래픽 이상 상태를 추출해 내는 트래픽 연관 분석 모듈;을 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치.
  10. 제9항에 있어서,
    상기 트래픽 연관 분석 모듈은,
    악성 트래픽에 의해 취약성을 공격받은 관리 대상인 목적지 주소 IP에 대해 상기 공격을 가한 공격자가 외부로부터의 접속을 유도하거나 외부로의 접속을 시도한 흔적이 있는가를 분석하는 TCP 접속 현황 분석 모듈;
    상기 TCP 접속 현황 분석 모듈의 분석에 의해 탐지된 TCP 접속 플로우에 기인하여 외부 또는 내부로의 FTP 또는 TFTP 접속을 수행한 흔적이 있는가를 분석하 여 상기 공격으로 인한 유해 파일의 다운로드 현황을 판정하는 파일 전송 현황 분석 모듈; 및
    상기 공격받은 관리 대상이 공격받은 포트와 동일한 포트를 통해 상기 다운로드된 유해 파일로 인한 다른 대상으로의 공격으로 발생할 수 있는 이상 트래픽 플로우를 감시하여 다른 대상으로의 취약성 공격을 탐지하는 이상 트래픽 분석 모듈;을 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치.
  11. 제8항 내지 제10항 중의 한 항에 있어서,
    상기 보안 이벤트 연관성 분석부가 추출하고 분석한 유해 정보를 그래픽을 포함하여 표시하는 유해 트래픽 상태 표시부;를 더 포함하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치.
  12. 제11항에 있어서,
    상기 유해 트랙픽 상태 표시부는 상기 실제 위협이 있는 것으로 추출된 침입탐지 경보 데이터 목적지 IP 주소, 그 IP 주소로의 TCP 접속 현황 정보, 그 IP 주소에서 시도한 FTP, TFTP 접속 현황 정보, 그 IP 주소의 취약성 포트에 대한 트래픽 플로우 발생 현황 정보 및 각 트래픽 플로우의 방향성 정보간의 관계를 표시하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치.
  13. 제12항에 있어서,
    상기 유해 트랙픽 상태 표시부는, 정보들간의 관계를 표시할 때에 복수개의 축을 포함하여 표시하며,
    상기 복수축들의, 제1축에는 상기 보안 이벤트 연관성 분석부에 의하여 추출된 실제 위협이 있는 경보 데이터의 목적지 IP 주소를 표시하며,
    제2축에는 다른 시스템으로부터 상기 실제 위협이 있는 목적지 IP 주소에 대한 TCP 접속 현황을 표시하며,
    제3축은 상기 실제 위협이 있는 목적지 IP 주소로부터 시도한 FTP, TFTP 접속 현황을 표시하며,
    제4축은 상기 실제 위협이 있는 목적지가 포함된 내부 네트워크의 영역을 표시하고,
    제5축은 상기 내부 네트워크에 포함되지 않은 외부 네트워크 영역을 표시하는 것을 특징으로 하는 알려지지 않은 악성 트래픽 탐지 장치.
KR1020050084659A 2005-09-12 2005-09-12 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치 KR100651749B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050084659A KR100651749B1 (ko) 2005-09-12 2005-09-12 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050084659A KR100651749B1 (ko) 2005-09-12 2005-09-12 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR100651749B1 true KR100651749B1 (ko) 2006-12-01

Family

ID=37731479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050084659A KR100651749B1 (ko) 2005-09-12 2005-09-12 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR100651749B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100864867B1 (ko) 2007-12-05 2008-10-23 한국전자통신연구원 휴대용 단말기에서의 악성 파일 탐지 장치 및 방법
CN115001789A (zh) * 2022-05-27 2022-09-02 绿盟科技集团股份有限公司 一种失陷设备检测方法、装置、设备及介质
CN115333814A (zh) * 2022-08-02 2022-11-11 哈尔滨工业大学(威海) 一种面向工业控制系统报警数据的分析系统与方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050075950A (ko) * 2004-01-19 2005-07-26 주식회사 케이티 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050075950A (ko) * 2004-01-19 2005-07-26 주식회사 케이티 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100864867B1 (ko) 2007-12-05 2008-10-23 한국전자통신연구원 휴대용 단말기에서의 악성 파일 탐지 장치 및 방법
US8166543B2 (en) 2007-12-05 2012-04-24 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious file in mobile terminal
CN115001789A (zh) * 2022-05-27 2022-09-02 绿盟科技集团股份有限公司 一种失陷设备检测方法、装置、设备及介质
CN115001789B (zh) * 2022-05-27 2024-04-02 绿盟科技集团股份有限公司 一种失陷设备检测方法、装置、设备及介质
CN115333814A (zh) * 2022-08-02 2022-11-11 哈尔滨工业大学(威海) 一种面向工业控制系统报警数据的分析系统与方法

Similar Documents

Publication Publication Date Title
CN107426242B (zh) 网络安全防护方法、装置及存储介质
US9917857B2 (en) Logging attack context data
CN111385236B (zh) 一种基于网络诱骗的动态防御系统
Singh et al. A framework for zero-day vulnerabilities detection and prioritization
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20090178140A1 (en) Network intrusion detection system
CN109995727B (zh) 渗透攻击行为主动防护方法、装置、设备及介质
Nitin et al. Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas)
CN113422779B (zh) 一种基于集中管控的积极的安全防御的系统
CN113783886A (zh) 一种基于情报和数据的电网智慧运维方法及其系统
CN114006722B (zh) 发现威胁的态势感知验证方法、装置及系统
KR100651749B1 (ko) 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치
CN116827674A (zh) 一种基于网络通信安全的防护方法
Coulibaly An overview of intrusion detection and prevention systems
KR20140078329A (ko) 내부망 타겟 공격 대응 장치 및 방법
Resmi et al. Intrusion detection system techniques and tools: A survey
Kijewski ARAKIS-An early warning and attack identification system
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
Anitha Network Security using Linux Intrusion Detection System
KR100879608B1 (ko) 공격지식기반의 네트워크 트래픽 분석 및 감시 방법
KR20100041533A (ko) 네트워크 관리 방법
Agrawal et al. Proposed multi-layers intrusion detection system (MLIDS) model
KR101248601B1 (ko) 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법
Verma Detect Network Threat Using SNORT Intrusion Detection System
Eltom et al. Intrusion detection systems

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee