KR100734732B1 - 컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체 - Google Patents

컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체 Download PDF

Info

Publication number
KR100734732B1
KR100734732B1 KR1020057008221A KR20057008221A KR100734732B1 KR 100734732 B1 KR100734732 B1 KR 100734732B1 KR 1020057008221 A KR1020057008221 A KR 1020057008221A KR 20057008221 A KR20057008221 A KR 20057008221A KR 100734732 B1 KR100734732 B1 KR 100734732B1
Authority
KR
South Korea
Prior art keywords
intrusion
current
response
intrusions
computer
Prior art date
Application number
KR1020057008221A
Other languages
English (en)
Other versions
KR20050086445A (ko
Inventor
폴 토마스 바페스
마이클 길픽스
존 마이클 가리슨
알란 수
티론 제로드 스태딩
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20050086445A publication Critical patent/KR20050086445A/ko
Application granted granted Critical
Publication of KR100734732B1 publication Critical patent/KR100734732B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Abstract

공지된 과거 침입의 침입 패턴을 시각적으로 표현하고, 그 공지된 침입의 침입 패턴과 현재의 침입을 비교함으로써 컴퓨터 상에서 침입을 관리하는 방법 및 시스템이 개시된다. 침입 패턴은 침입 타입의 서명을 제공하는 침입의 결과 혹은 행위인 침입 이벤트에 기반을 두거나, 침입 패턴은 그 침입에 의해 영향을 받는 하드웨어 토폴로지에 기반을 둘 수 있다. 침입 패턴은 스크립트 응답과 함께 시각적으로 표현되며, 바람직한 실시예에서, 스크립트 응답은 침입 패턴 내의 각각의 노드에 관련된 팝업 윈도우 내에 제공된다. 대안으로서, 침입에 대한 응답은 공지된 과거의 침입 및 현재의 침입의 사전결정된 퍼센트의 공통의 특징에 기반한 자동 응답일 수 있다.

Description

컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록 매체{METHOD AND SYSTEM FOR RESPONDING TO A COMPUTER INTRUSION}
본 발명은 일반적으로 데이터 처리에 관한 것으로, 특히 개선된 데이터 처리 시스템과 침입 결과의 그래픽 표현을 사용하여 고의적인 침입에 대해 응답하는 방법에 관한 것이다.
대부분의 요즘 기업 네트워크는 원격 사용자가 전형적으로 인터넷을 통해 액세스하기 위한 수단을 포함한다. 이러한 액세스는 승인된 사용자가 전자 거래, 컨텐츠 공유, 다른 전자적 활동과 같은 목적을 위해 네트워크와의 상호 작용을 가능하게 하도록 설계된다. 이러한 네트워크는 승인된 사용자에게는 쉽게 액세스되도록 설계되기 때문에, 그 네트워크는 비승인된 사용자, 특히 네트워크에 액세스하기 위한 악의적인 의도를 가진 사용자에게도 또한 액세스가 용이하다. 이러한 악의는 사용자에 의한 "침입"의 형태로 제공되고 있다. 침입은 네트워크 혹은 네트워크 내의 컴퓨터의 고의적인 전자적 액세스로서 규정된다. 이러한 침입의 예들은 바이러스, 비승인된 데이터 마이닝(unauthorized data mining)(때때로 "파일 해킹 (hacking of files)"으로 지칭됨) 및 배포되는 서비스 거부(distributed denial of service;DDOS) 공격을 포함하며, 컴퓨터 시스템은 실시간 작업이 더 이상 수행되지 않도록 침입에 의해 오버로드된다.
침입 이벤트는 침입의 결과로서 규정된다. 침입 이벤트의 예는 파일이 파괴되거나 불법으로 복사되는 것, 시스템/컴퓨터 크래시(system/computer crash) 및 시스템/컴퓨터 속도 저하 등이다.
침입을 막는 것은 전형적으로 보안 관리자의 작업으로서, 정보 기술 전문가는 리스크 관리 소프트웨어(risk management software)를 보조로 사용하여 컴퓨터 시스템의 침입을 모니터링한다. 침입과 침입 이벤트를 검출하기 위한 공지된 수많은 방법이 존재하지만, 그 침입에 대한 응답을 관리하는 것은 매우 복잡하다. 즉, 이벤트의 검출이 잘 알려지고 그리고 자동일 수 있지만, 관리 및 응답 동작은 전형적으로 수동으로 취해진다. 침입의 복잡한 특성으로 인해, 보안 관리자가 어떠한 타입의 침입이 발생한 것인지 그리고 적절히 응답하는 방법을 추정하는 것은 어렵다.
따라서, 검출된 침입에 대해 자동 혹은 반자동의 방식으로 응답함에 있어 보안 관리자를 보조하는 방법 및 시스템이 요구된다.
본 발명은 공지된 과거의 침입의 침입 패턴을 그래프로 나타내고, 과거의 침입과 현재의 침입의 침입 패턴을 비교함으로써 컴퓨터 상에서 침입을 관리하는 방법 및 시스템에 관한 것이다. 만약 공지된 현재의 침입이 일부 혹은 공통의 모든 결과(침입 이벤트 혹은 통상적으로 영향받는 하드웨어)를 갖는다면, 보안 관리자는 현재의 침입에 의해 야기된 손상을 치료하기 위한 스크립트 응답(scripted response)을 실행할 수 있거나 적어도 현재의 침입이 임의의 또다른 손상을 입히는 것을 막을 수 있다.
침입 패턴은 침입 타입의 서명을 제공하는 침입 혹은 행위의 결과인 침입 이벤트에 기반하거나, 침입에 의해 영향을 받는 하드웨어 토폴로지에 기반할 수 있다.
침입 패턴은 보안 관리자에게 그래프로 디스플레이되며, 상기 보안 관리자는 스크립트 응답을 실행함으로써 응답할 수 있는데, 상기 스크립트 응답은 바람직한 실시예에서 침입 패턴 내의 각각의 노드와 연관된 팝업 윈도우(pop-up windows)에 제공된다. 대안으로, 침입에 대한 응답은 공지된 과거 침입의 침입 패턴과 현재 침입의 침입 패턴에서 사전결정된 퍼센트의 공통 특징에 기반한, 자동일 수 있다.
본 발명의 전술한 것 외에도 추가적인 목적, 특징 및 이점은 후술되는 상세한 설명으로부터 명백해질 것이다.
본 발명의 바람직한 실시예는 후술되는 도면을 참조하여 일예를 통해 상세히 기술될 것이다.
도 1은 본 발명의 바람직한 실시예의 데이터 처리 시스템의 블럭도이다.
도 2a는 본 발명의 바람직한 실시예에서 공지된 과거의 침입을 포함한 여러 상이한 침입의 침입 이벤트에 기반한 침입 패턴을 도시한 도면이다.
도 2b는 본 발명의 바람직한 실시예에서 공지된 과거의 침입의 침입 이벤트와 정합하는 공지되지 않은 현재의 침입의 침입 이벤트에 기반한 침입 패턴을 도시한 도면이다.
도 3은 본 발명의 바람직한 실시예에서 공지되지 않은 현재의 침입에 대한 스크립트 응답을 자동으로 실행하기 위한 본 발명의 바람직한 실시예의 플로우챠트이다.
도 4a는 본 발명의 바람직한 실시예의 공지된 과거 침입을 포함한 여러 상이한 침입의 영향을 받은 하드웨어 토폴로지에 기반한 침입 패턴을 도시한 도면이다.
도 4b는 본 발명의 바람직한 실시예에서 공지된 과거 침입의 침입 패턴과 정합하는 비공지의 현재 침입의 영향받은 하드웨어 토폴로지에 기반한 침입 패턴을 도시한 도면이다.
도면, 특히 도 1을 참조하면, 네트워크(도시안됨)와 통신하는 데이터 처리 시스템(100)이 본 발명의 바람직한 실시예에 따라 도시된다. 데이터 처리 시스템(100)은 가령 뉴욕주 아몬크 소재의 인터내셔널 비지네스 머신즈 코포레이션으로부터 입수가능한 퍼스널 컴퓨터 혹은 서버들 중의 하나의 모델일 수 있다. 데이터 처리 시스템(100)은 단지 하나의 단일 프로세서를 포함할 수 있거나 다수의 프로세 서를 포함하는 멀티프로세서(MP) 시스템일 수 있다. 단일 프로세서 시스템은 도시된 예에 나타난다. 제 2 프로세서(도시안됨)는 별도의 L2 캐시 혹은 프로세서(102)를 갖는 공유 L2 캐시(108)와 함께 도시된 시스템에 부가될 수 있다. 프로세서(102)는 프로세서 내의 별도의 레벨1(L1) 인스트럭션 및 데이터 캐시(104,106)를 포함한 슈퍼스칼라 축약형 인스트럭션 세트 컴퓨팅(RISC) 프로세서일 수 있다.
프로세서(102)는 레벨2(L2) 캐시(108)에 접속된다. L2 캐시(108)는 데이터 처리 시스템(100)용 시스템 버스(110)에 접속된다. 시스템 메모리(112)는 또한 입력/출력(I/O) 버스 브릿지(114)인 시스템 버스(112)에 접속된다. I/O 버스 브릿지(112)는 I/O 버스(118)를 시스템 버스(110)에 연결하여, 하나의 버스로부터 다른 버스로 데이터 트랜잭션을 릴레이하고 변환한다. 다른 장치가 메모리 매핑형 그래픽 어댑터(116)와 같은 시스템 버스(110)에 접속될 수도 있으며, 이 어댑터는 디스플레이(124)에 사용자 인터페이스 정보를 제공한다.
I/O 버스 브릿지(114)는 I/O 버스(118)에 접속되며, 이 버스는 입력 장치(126)와 같은 다양한 장치에 접속될 수 있으며, 이 입력 장치는 종래의 마우스, 트랙볼, 키보드, 등과, 하드드라이브, 컴팩트 디스크 롬(CD-ROM) 드라이브, 디지털 비디오 디스크(DVD) 드라이브, 혹은 유사한 저장 장치 등의 비휘발성 저장장치(122)일 수 있다.
I/O 버스(118)에는 또한 네트워크 어댑터(120)가 연결되는데, 이 어댑터는 논리 인터페이스에 LAN, WAN일 수 있는 네트워크, 인터넷, 혹은 데이터 처리 시스템(100)과 더불어 네트워크 내의 다른 컴퓨터와 통신을 가능하게 하는 다른 네트워 크를 제공한다.
도 1에 도시된 예의 실시예는 단지 본 발명의 바람직한 실시예를 설명할 목적으로 제공되며, 당업자는 형태 및 기능적인 측면에서 다양한 변형이 가능하다는 것을 인식할 것이다. 가령, 데이터 처리 시스템(100)은 사운드카드 및 오디오 스피커, 다른 I/O 장치 및 통신 포트 및 수많은 다른 구성요소를 포함할 수 있다.
도 2a를 참조하면, 여러 상이한 침입들에 의해 야기되는 침입 이벤트가 도시된다. 이 침입 이벤트는 침입에 의해 개시된 결과 혹은 행위로서 규정된다. 트리 방식으로 도시되지만, 이러한 침입 이벤트들은 도시된 침입 이벤트들이 상호연관되어 있다는 것을 인식하게 되면 최상으로 이해될 것이다. 가령, 침입 A에 의해 야기되는 (실선의 원으로 도시된)침입 이벤트를 도시하는 침입 경로를 고려하자. "Code Red"와 같은 바이러스일 수 있는 침입 A는 호스트 컴퓨터(206)에서 배포된 서비스 거부(204)를 생성할 시에 다중 호스트(202)에 영향을 미치는 침입이다. 침입 A는 실시간 트래픽 분석과 IP 네트워크상에서의 패킷 로깅(packet logging)을 수행할 수 있는 일예의 침입 검출 시스템인 스노트(Snort)(208)에 의해 검출중인 것으로 도시된다. 스노트(208)는 프로토콜 분석과 컨텐츠 검색/매칭을 수행할 수 있으며, 버퍼 오버플로우, 스텔스 포트 스캔, 공통 게이트웨이 인터페이스(CGI) 공격, 서버 메시지 블럭(SMB) 프로브, 운영 체제(OS) 지문 채취 시도, 등과 같은 다양한 공격 및 프로브(attack and probes)를 검출하는데 사용될 수 있다.
침입 A는 침입 검출 시스템(IDS)(210)으로부터의 응답을 트리거할 수 있으며, 상기 침입 검출 시스템은 모든 인바운드 및 아웃바운드 네트워크 행위를 조사 하며, 시스템을 파괴하거나 손상시키는 시도를 행하는 누군가로부터의 네트워크 혹은 시스템의 공격을 나타낼 수 있는 의심 패턴을 식별한다. IDS(210)는 네트워크 이벤트(212)를 검출하며, 본 실시예의 경우 네트워크 이벤트(212)는 전체 시스템에 영향을 미치며 그 시스템에 의해 식별되는 침입 이벤트(24)의 한 타입인 침입 A이다.
침입 A는 도시된 바와 같이 컴퓨터 시스템의 다른 부분에 영향을 미친다. 즉, 침입 A는 시스템 레벨(218)에서 메모리 이벤트(220) 뿐만 아니라 허용 이벤트(222)에 영향을 미치는 호스트 이벤트(216)를 생성한다. 또한, 침입 A는, 스캔 이벤트(228)일 뿐만 아니라 데이터의 배드 패킷(230)을 갖는 방화벽(226)에 의해 검출되는 페리미터 이벤트(224)을 생성한다. 배드 패킷(230)은 도시된 바와 같이 TCP 이상 프로토콜 패킷(transmission control protocol malformed protocol packet)(232)이다.
따라서, 실선 경계선을 갖는 침입 경로에 의해 도시된 패턴은 침입 A를 위한 고유의 서명 침입 패턴이다. 도 2b를 참조하면 공지되지 않은 현재의 침입의 침입 이벤트에 기반한 침입 경로(201)를 도시한다. 상기 현재의 침입의 원인은 초기에는 알려지지 않는다. 그러나, 상기 침입 패턴은 도 2a의 침입 A의 패턴과 동일하며, 침입당한 컴퓨터 네트워크 혹은 컴퓨터의 보안 관리자는 그 현재의 침입이 침입 A와 동일하거나 침입 A와 동일한 방식으로 작용한다는 것을 인식할 수 있다.
본 발명의 바람직한 실시예에서, 각각의 노드와 관련된 것은 서비스 거부 이벤트(204)와 관련한 스크립트 응답(204a)과 같은 스크립트 응답이다. 스크립트 응답은 침입 이벤트를 다루기 위한 사전 기술된 코드이다. 가령, 스크립트 응답(204a)은 컴퓨터 시스템을 압도하는 침입을 분리하여 그 침입을 불가능하게 하도록 설계된 프로그램일 수 있다. 스크립트 응답은 노드를 기술하는 각각의 이벤트와 관련하여 도시되며, 바람직하게는 마우스 혹은 유사 포인팅 장치를 통해 액티브 윈도우를 클릭킹함으로써 스크립트 응답을 개시하는 팝업 윈도우와 같은 액티브 윈도우 내에 존재한다. 스크립트 응답이 단일 항목으로서 도시되지만, 대안의 바람직한 실시예에서는 제안된 멀티플 스크립트 응답들의 리스트가 도시되며 침입 경로 내의 하나 혹은 모든 노드들에서 활성적이다. 멀티플 스크립트 응답들은 바람직하게도 랭킹과 함께 도시되며, 스크립트 응답들 중의 하나는 스크립트 응답, 침입의 임계성, 혹은 침입을 평가하기 위한 리스크 관리자 프로그램을 개발할 때 보안 관리자에 의해 결정된 다른 요인들을 사용한 이력 성공에 기반하여 가장 높은 랭킹을 갖는다. 가령, 리스크 관리자 프로그램은 분리가 컴퓨터 시스템의 영향받지 않는 부분을 분해하더라도 특수 임무 데이터를 공격하는 임의의 침입이 분리를 보장하도록 결정할 수 있다. 그러한 경우, 가장 높게 제안된 응답은 컴퓨터 시스템의 여러 부분을 분해할 것이고, 가장 높게 제안된 응답으로서 추천될 것이다.
침입 경로는 침입에 응답하는 방법에 관한 보안 관리자 정보를 제공하기 위해 동일할 필요는 없다. 즉, 공지 및 비공지 침입은 그의 침입 경로 내에서 소정의 개수의 공통성을 갖는다면, 보안 관리자는 현재의 비공지된 침입의 치명적인 영향의 대부분을 치료할 응답을 개시할 수 있다.
본 발명의 일 실시예에서, 각각의 스크립트 응답은 침입 경로에서 각각의 노드에 대한 보안 관리자에 의해 수동으로 선택된다. 대안으로서, 도 3의 플로우챠트에 기술된 바와 같이, 침입에 응답하여 모든 노드에 대한 가장 높은 제안 응답을 자동으로 개시하기 위한 세팅이 선택된다. 블럭 302에서 기술된 바와 같이, 현재의 침입은 바람직하게도 침입의 특성에 따라 침입을 검출할 수 있는 리스크 관리자에 의해 검출된다. 그러한 특성은 공지된 유해한 헤더 정보의 패킷과, 수신된 다른 데이터와, 컴퓨터 시스템 내의 소프트웨어 혹은 하드웨어에 의해 취해지는 특징적인 침입의 동작, 가령 인터넷 프로토콜(IP)의 어드레스에 대하여 네트워크 내의 모든 컴퓨터를 스캐닝하는 것, 갑작스런 컴퓨터 기능 저하, 혹은 CPU 사용과, 유사한 이벤트 혹은 상태들을 포함할 수 있다. 현재의 침입의 침입 이벤트는 블럭 304에 기술된 바와 같이 공지된 침입의 이벤트와 비교된다. 질의 블럭 306에 도시된 바와 같이, 공통의 이벤트 노드들의 사전결정된 퍼센트가 비공지된 현재의 침입과 공지된 이력 침입 내에서 발견되는지에 관한 결정이 행해진다. 즉, 공지된 침입과 현재의 침입의 침입 경로가 비교된다. 공지된 과거 및 비공지된 현재의 침입이 상당한 양의 공통 이벤트 노드를 갖는다면, 모든 노드들에 대한 스크립트 응답이 블럭 310에 도시된 바와 같이 자동으로 실행된다. 만약 공지된 침입과 비공지된 침입 간에 공통의 이벤트 노드가 충분히 존재하지 않는다면, 보안 관리자는 각각의 이벤트 노드에 대한 스크립트 노드를 수동으로 선택하도록 프람프트된다(prompted).
모든 스크립트 응답을 자동으로 실행하기 위한 결정은 자동 응답이 활성화되어야하는지의 여부를 결정하기 위한 침입을 분류하는 컴퓨터 시스템 상에서 리스크 관리 프로그램에 의해 결정될 수 있다. 가령, 리스크 관리 프로그램이, 현재의 침입이 공지된 분류 타입이거나 전체 시스템을 파괴할 수도 있는 공지된 가혹한 타입이라는 것을 결정한다면, 자동 스크립트 응답이 개시될 것이다. 바람직한 실시예에서, 이러한 침입의 중대도는 스크립트 응답의 결과의 중대도와 매칭된다. 즉, 가혹한 침입은 가령 시스템의 부분에 우선적으로 손상을 가하는 것과 같이 시스템에 심각한 영향을 미칠 수도 있는 스크립트 응답에 매칭되지만, 심각한 영향은 침입의 중대도와 침입이 야기할 수도 있는 잠재적인 해악으로 인해 정당화될 수도 있다.
유사하게도, 만약 보안 관리자가 응답할 예상 응답 시간이 너무 길어져 보안 관리자가 응답하기 전에 그 시스템에 중대한 손상이 가해지는 것이 이해되도록 리스크 관리 프로그램이 설계된다면, 자동 스크립트 응답이 개시될 것이다. 마찬가지로, 만약 특정의 침입 경로에 의해 특정 스크립트 응답이 상당한 회수(혹은 단 한번)로 실행되었다면, 리스크 관리 프로그램은 그의 이력에 기반하여 스크립트 응답을 자동으로 실행시킬 수 있다.
도 2a 및 도 2b에 도시된 바와 같이, 공통의 이벤트 패턴에 부가하여, 침입은 또한 하드웨어 토폴로지 내의 어떠한 하드웨어가 영향을 받는지에 관한 서명을 가진다. 도 4a를 참조하면, 침입에 의해 영향을 받을 수 있는 하드웨어가 도시된다. 도면에 도시되는 침입 경로(400)는 도 2a에서 기술되는 바와 같이 침입 A에 의해 영향을 받는 컴퓨터 시스템의 하드웨어 토폴로지를 식별했다. 따라서, 침입 A는 기업 컴퓨터 시스템의 인트라넷(402)에서 비정상을 야기하며, 이 인트라넷은 인트라넷(402) 내의 LAN A(404)에 의해 영향을 받는다. LAN A(404) 내에는 영향받은 서버(406), 퍼스널 컴퓨터(408) 및 침입 검출 시스템(IDS) 하드웨어(410)가 존재한다. 서버(406) 내에는 영향받은 웹 서버(416)가 존재하며, 그 웹 서버의 포털 B(418)는 또한 침입 A에 의해 영향을 받는다. 유사하게도, 모든 PC의 윈도우즈 기반 운영체제는 윈도우즈 기반 PC(414)로서 표시된다. 마찬가지로, 스노트 인에이블형 하드웨어(412)를 실행하는 IDS 하드웨어(410)는 침입 A가 검출되었다는 이벤트를 레지스터한다. 따라서, 하드웨어는 도 2a 및 도 2b와 관련하여 설명한 침입 이벤트 침입 패턴의 것과 유사한 방식으로 서명 침입 패턴을 나타낸다.
도 4b를 참조하여 하드웨어 토폴로지 침입 경로(401)는 침입 A에 의해 야기된 패턴을 도시한다. 하드웨어 토폴로지 침입 경로(401)에 도시된 바와 같은 동일하거나 유사한 패턴을 갖는 현재의 비공지된 침입이 발생할 경우, 보안 관리자는 위에서 침입 이벤트 침입 패턴에 대해 기술된 것과 유사한 방식으로 응답한다. 따라서, 하드웨어 토폴로지 침입 경로(401)에서의 각각의 이벤트 노드는 스크립트 응답을 포함하는 관련된 액티브 윈도우를 포함하며, 상기 스크립트 응답은 도 2a 및 도 2b에서 기술하는 것과 유사하다. 침입 이벤트에 대한 스크립트 응답에서와 같이, 하드웨어 토폴로지 침입 경로(401)에서 기술된 스크립트 응답은 도시된 바와 같이 단일이거나 제안된 스크립트 응답의 리스트일 수 있으며, 이 리스트는 바람직하게는 가장 높은 스크립트 응답이 주장되도록 스코어된다. 이 스크립트 응답은 침입 이벤트 침입 경로에 대해 전술된 바와 같은 유사한 방식으로 수동 혹은 자동으로 개시될 수 있다.
도 2a 및 도 2b와 관련하여 위에서 기술되고 도시된 바와 같은 침입 이벤트의 그래픽 디스플레이에서 같이, 공지 및 비공지된 침입의 침입 경로는 침입에 응답하는 방법에 관해 보안 관리자 정보를 제공하도록 동일할 필요는 없다. 즉, 만약 공지 및 비공지의 침입이 그의 침입 경로에서 소정 개수의 공통성을 가진다면, 보안 관리자는 현재의 비공지의 침입의 유해한 대부분의 영향을 치료할 응답을 개시할 수도 있다.
침입에 대한 스크립트 응답은 통지에 응답하여 국부적으로 혹은 원격적으로 보안 관리자에 의해 개시될 수 있다. 가령, 보안 관리자는 자신에게 침입 이벤트를 알리는 셀룰러 폰 혹은 PDA에 대한 통지를 수신할 수 있다. 보안 관리자는 다음에 PDA내의 인터랙티브 윈도우를 클릭함으로써 스크립트 응답의 일부 혹은 모두를 전자적으로 활성화하고, 그에 따라, 입력은 컴퓨터 시스템의 리스크 관리 프로그램에 의해 인식되어 요청된 스크립트 응답을 개시할 수 있도록 한다.
전술한 바람직한 실시예는 현재의 침입에 대한 비교를 위해 공지의 침입의 침입 패턴을 생성하여 시각적으로 표시하는 방법 및 수단을 제공하는데, 상기 현재의 침입은 컴퓨터 시스템의 리스크 관리 프로그램에 의해 알려지거나 알려지지 않을 수 있다. 그래프로 표시된 서명 침입 경로에 의해 현재의 침입이 식별된 후, 스크립트 응답은 침입에 응답하고 그 침입을 제어하도록 개시된다. 스크립트 응답은 공지된 침입의 이력 데이터에 기반을 둘 수 있다. 공지된 현재의 침입은 동일하거나 상이할 수 있으며, 제안된 스크립트 응답은 현재의 침입에 의해 영향을 받은 침입 경로에서의 일부 혹은 모든 이벤트 혹은 하드웨어 노드와 관련하여 그래픽으로 제안된다. 스크립트 응답은 침입 경로에서 각각의 이벤트/하드웨어 노드에 대한 단일의 선택일 수 있거나 랭크된 제안 스크립트 응답의 리스트로부터 선택될 수 있다.
본 발명의 바람직한 실시예의 기능을 규정하는 프로그램은 제한없이 기록불가능 저장 매체(가령, CD-ROM), 기록가능 저장 매체(가령, 플로피 디스크, 하드 디스크 드라이브, 판독/기록 CD-ROM, 광 매체), 및 통신 매체(가령, 이더넷을 포함하는 컴퓨터 및 전화 네트워크)를 포함하는 다양한 신호 함유 매체를 통해 데이터 저장 시스템 혹은 컴퓨터 시스템에 전달될 수 있다. 그러한 신호 함유 매체는 본 발명의 방법 기능을 감독하는 컴퓨터 판독가능 인스트럭션을 전달하거나 인코딩할 경우 본 발명의 대안의 실시예를 나타낸다.

Claims (10)

  1. 컴퓨터 상에서 침입을 관리하는 방법으로서,
    공지의 침입의 침입 패턴을, 침입 경로의 노드에 있어서의 스크립트 응답을 포함하는 시각적 표현으로 도시하는 단계와,
    상기 컴퓨터의 현재의 침입을, 상기 공지된 침입과 상기 현재의 침입의 침입 경로에서의 적어도 하나의 공통적 특징에 따라, 상기 공지의 침입의 시각적인 표현에 매칭시키는 단계와,
    상기 공지의 침입과 상기 현재의 침입의 매칭에 응답하여, 상기 현재의 침입에 응답할 수 있는 상기 스크립트 응답을 개시하는 단계를 포함하는
    컴퓨터 상에서의 침입 관리 방법.
  2. 제 1 항에 있어서,
    상기 침입 패턴은 침입 이벤트에 기반을 두는 컴퓨터 상에서의 침입 관리 방법.
  3. 제 1 항에 있어서,
    상기 침입 패턴은 상기 공지된 침입에 의해 영향을 받는 하드웨어 토폴로지 에 기반을 두는 컴퓨터 상에서의 침입 관리 방법.
  4. 제 1 항에 있어서,
    상기 현재의 침입에 대한 상기 스크립트 응답은 상기 공지의 침입에 대한 이력 데이터(historical data)에 기반을 두는 컴퓨터 상에서의 침입 관리 방법.
  5. 제 1 항에 있어서,
    상기 스크립트 응답을 수동으로 개시하기 위한 예상 응답 시간과,
    상기 스크립트 응답이 중대도 레벨에 대응하는 상기 현재의 침입의 중대도와,
    상기 현재의 침입의 타입 분류
    중의 하나에 따라 청구항 제 1 항에 기재된 방법을 자동으로 수행하는 단계를 더 포함하는 컴퓨터 상에서의 침입 관리 방법.
  6. 컴퓨터 상에서 침입을 관리하는 시스템으로서,
    제 1 항 내지 제 5 항 중의 어느 한 항에 따른 방법의 각각의 단계를 수행하는 수단을 구비한
    컴퓨터 상에서의 침입 관리 시스템.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 제 1 항 내지 제 5 항 중의 어느 한 항에 따른 방법의 각각의 단계를 수행하는 컴퓨터 프로그램 코드를 포함한 컴퓨터 프로그램을 구비한 컴퓨터 판독가능 기록 매체.
KR1020057008221A 2002-12-05 2003-11-28 컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체 KR100734732B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/313,732 2002-12-05
US10/313,732 US7941854B2 (en) 2002-12-05 2002-12-05 Method and system for responding to a computer intrusion

Publications (2)

Publication Number Publication Date
KR20050086445A KR20050086445A (ko) 2005-08-30
KR100734732B1 true KR100734732B1 (ko) 2007-07-04

Family

ID=32468329

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057008221A KR100734732B1 (ko) 2002-12-05 2003-11-28 컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체

Country Status (10)

Country Link
US (1) US7941854B2 (ko)
EP (1) EP1567926B1 (ko)
JP (1) JP4283228B2 (ko)
KR (1) KR100734732B1 (ko)
CN (1) CN100518174C (ko)
AT (1) ATE341024T1 (ko)
AU (1) AU2003285563A1 (ko)
DE (1) DE60308722T2 (ko)
TW (1) TWI234707B (ko)
WO (1) WO2004051441A2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101190559B1 (ko) 2010-12-24 2012-10-16 한국인터넷진흥원 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법
KR102062718B1 (ko) * 2019-07-29 2020-01-07 주식회사 에프원시큐리티 패킷 가상화를 이용한 IoT 허니넷 시스템

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US8201249B2 (en) * 2003-05-14 2012-06-12 Northrop Grumman Systems Corporation Steady state computer intrusion and misuse detection
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US8347375B2 (en) * 2003-10-03 2013-01-01 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
US20050076236A1 (en) * 2003-10-03 2005-04-07 Bryan Stephenson Method and system for responding to network intrusions
US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US20050198530A1 (en) * 2003-12-12 2005-09-08 Chess David M. Methods and apparatus for adaptive server reprovisioning under security assault
US7225468B2 (en) * 2004-05-07 2007-05-29 Digital Security Networks, Llc Methods and apparatus for computer network security using intrusion detection and prevention
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7882262B2 (en) 2005-08-18 2011-02-01 Cisco Technology, Inc. Method and system for inline top N query computation
US20070195776A1 (en) * 2006-02-23 2007-08-23 Zheng Danyang R System and method for channeling network traffic
US8233388B2 (en) 2006-05-30 2012-07-31 Cisco Technology, Inc. System and method for controlling and tracking network content flow
US20080127343A1 (en) * 2006-11-28 2008-05-29 Avaya Technology Llc Self-Operating Security Platform
CN101286850B (zh) * 2007-04-10 2010-12-15 深圳职业技术学院 路由器安全防御装置及防御系统和方法
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
CN104348795B (zh) * 2013-07-30 2019-09-20 深圳市腾讯计算机系统有限公司 通用网关接口业务入侵防护的方法及装置
US11165812B2 (en) 2014-12-03 2021-11-02 Splunk Inc. Containment of security threats within a computing environment
US20160180078A1 (en) * 2014-12-23 2016-06-23 Jasmeet Chhabra Technologies for enhanced user authentication using advanced sensor monitoring
US10552615B2 (en) 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods
CA3079913A1 (en) * 2017-11-06 2019-05-09 Cyber Defence Qcd Corporation Methods and systems for monitoring cyber-events
FR3104776B1 (fr) 2019-12-17 2023-07-07 Commissariat Energie Atomique Procédé de détermination d’une réaction en réponse à une anomalie dans un réseau informatique
AT523933B1 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5542024A (en) * 1992-07-09 1996-07-30 Johnson & Johnson Graphically used expert system tool background of the invention
JP2501771B2 (ja) * 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
JPH06282527A (ja) 1993-03-29 1994-10-07 Hitachi Software Eng Co Ltd ネットワーク管理システム
US5546507A (en) * 1993-08-20 1996-08-13 Unisys Corporation Apparatus and method for generating a knowledge base
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6144961A (en) * 1995-08-31 2000-11-07 Compuware Corporation Method and system for non-intrusive measurement of transaction response times on a network
US6178509B1 (en) * 1996-06-13 2001-01-23 Intel Corporation Tamper resistant methods and apparatus
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US5850516A (en) * 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
US6618074B1 (en) * 1997-08-01 2003-09-09 Wells Fargo Alarm Systems, Inc. Central alarm computer for video security system
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
WO2000019324A1 (en) * 1998-09-28 2000-04-06 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6609205B1 (en) * 1999-03-18 2003-08-19 Cisco Technology, Inc. Network intrusion detection signature analysis using decision graphs
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7020697B1 (en) * 1999-10-01 2006-03-28 Accenture Llp Architectures for netcentric computing systems
US6678734B1 (en) * 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US20030159070A1 (en) * 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7007301B2 (en) * 2000-06-12 2006-02-28 Hewlett-Packard Development Company, L.P. Computer architecture for an intrusion detection system
JP2002024831A (ja) 2000-07-10 2002-01-25 Casio Comput Co Ltd 指紋認証装置及び指紋認証システム
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
WO2002023808A2 (en) 2000-09-15 2002-03-21 Cymtec Systems, Inc. Network management system
US20020161929A1 (en) * 2001-04-30 2002-10-31 Longerbeam Donald A. Method and apparatus for routing data through a computer network
US6931552B2 (en) * 2001-05-02 2005-08-16 James B. Pritchard Apparatus and method for protecting a computer system against computer viruses and unauthorized access
JP2002342276A (ja) 2001-05-17 2002-11-29 Ntt Data Corp ネットワーク侵入検知システムおよびその方法
US7624444B2 (en) * 2001-06-13 2009-11-24 Mcafee, Inc. Method and apparatus for detecting intrusions on a computer system
US6907430B2 (en) * 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
US6801940B1 (en) * 2002-01-10 2004-10-05 Networks Associates Technology, Inc. Application performance monitoring expert
US20030208616A1 (en) * 2002-05-01 2003-11-06 Blade Software, Inc. System and method for testing computer network access and traffic control systems
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101190559B1 (ko) 2010-12-24 2012-10-16 한국인터넷진흥원 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법
KR102062718B1 (ko) * 2019-07-29 2020-01-07 주식회사 에프원시큐리티 패킷 가상화를 이용한 IoT 허니넷 시스템

Also Published As

Publication number Publication date
JP2006509283A (ja) 2006-03-16
JP4283228B2 (ja) 2009-06-24
US20040111637A1 (en) 2004-06-10
EP1567926A2 (en) 2005-08-31
CN1695365A (zh) 2005-11-09
AU2003285563A8 (en) 2004-06-23
DE60308722T2 (de) 2007-08-16
TWI234707B (en) 2005-06-21
WO2004051441A3 (en) 2004-08-26
DE60308722D1 (de) 2006-11-09
CN100518174C (zh) 2009-07-22
WO2004051441A2 (en) 2004-06-17
AU2003285563A1 (en) 2004-06-23
US7941854B2 (en) 2011-05-10
TW200424845A (en) 2004-11-16
EP1567926B1 (en) 2006-09-27
KR20050086445A (ko) 2005-08-30
ATE341024T1 (de) 2006-10-15

Similar Documents

Publication Publication Date Title
KR100734732B1 (ko) 컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체
JP6863969B2 (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
US9800606B1 (en) Systems and methods for evaluating network security
US10541969B2 (en) System and method for implementing content and network security inside a chip
JP4742144B2 (ja) Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US7424735B2 (en) System and method for computer security using multiple cages
US11206281B2 (en) Validating the use of user credentials in a penetration testing campaign
KR20070065306A (ko) 엔드 유저 위험 관리
Inayat et al. Cloud-based intrusion detection and response system: open research issues, and solutions
WO2002086724A1 (en) System and method for analyzing logfiles
US11924235B2 (en) Leveraging user-behavior analytics for improved security event classification
Sequeira Intrusion prevention systems: security's silver bullet?
US9069964B2 (en) Identification of malicious activities through non-logged-in host usage
KR100241361B1 (ko) 감사 자료의 실시간 분석기 및 분석방법
Bakshi et al. Improving threat detection capabilities in windows endpoints with osquery
US20230098508A1 (en) Dynamic intrusion detection and prevention in computer networks
Shukhratovich Specific Features Of The Structure And Operation Of Network Attack Detection Systems
Shen et al. The Impact of Attacking Windows Using a Backdoor Trojan
WO2023130063A1 (en) Zero trust file integrity protection
Zhang et al. Research on automated rollbackability of intrusion response
Seo et al. PC worm detection system based on the correlation between user interactions and comprehensive network behaviors
TauficEffandi et al. NETWORK INTRUSION DETECTION SYSTEM
Satpute et al. Dual-Guarded Intrusions Detection System
Maneesha et al. Deep Learning Approach For Intelligent Intrusion Detection System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110502

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee