KR100922579B1 - 네트워크 공격 탐지 장치 및 방법 - Google Patents
네트워크 공격 탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR100922579B1 KR100922579B1 KR1020070037488A KR20070037488A KR100922579B1 KR 100922579 B1 KR100922579 B1 KR 100922579B1 KR 1020070037488 A KR1020070037488 A KR 1020070037488A KR 20070037488 A KR20070037488 A KR 20070037488A KR 100922579 B1 KR100922579 B1 KR 100922579B1
- Authority
- KR
- South Korea
- Prior art keywords
- code
- executable code
- instructions
- network
- packet
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Abstract
본 발명은 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터링하여, 알려지지 않은 네트워크 공격이라도 신속하고 정확하게 판정할 수 있는 네트워크 공격 탐지 장치 및 방법에 관한 것으로서, 본 발명은 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩한 후, 디코딩된 기계어 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하고, 이후 실행 가능한 코드가 포함된 경우, 해당 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하도록 구현된다.
공격 탐지 시스템(IDS), 공격 방지 시스템(IPS), 실행 코드
Description
도 1은 본 발명에 의한 네트워크 공격 탐지 장치가 적용되는 네트워크 구조를 도시한 블록도,
도 2는 본 발명에 의한 네트워크 공격 탐지 장치의 전체 구성을 나타낸 블록도,
도 3은 본 발명에 의한 네트워크 공격 탐지 장치에 있어서, 바이너리 필터부의 상세 구성을 보인 블록도,
도 4는 본 발명에 의한 네트워크 공격 탐지 장치에 있어서, 코드 분석부의 상세 구성을 보인 블록도,
도 5는 본 발명에 의한 네트워크 공격 탐지 장치의 코드 분석부에서의 코드 분류예를 나타낸 예시도,
도 6은 본 발명에 의한 네트워크 공격 탐지 장치의 상기 코드 분석부의 분류에 따른 실행 가능한 코드가 포함된 경우와 포함되지 않은 경우의 스펙트럼 패턴을 예시한 도면,
도 7은 본 발명에 의한 네트워크 공격 탐지 장치에 있어서, 프로토콜 검토부의 상세 구성을 나타낸 블록도, 그리고
도 8은 본 발명에 의한 네트워크 공격 탐지 방법을 나타낸 순서도이다.
본 발명은 알려지지 않은 네트워크 공격 탐지 장치와 그 방법에 관한 것으로, 더욱 상세하게는 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터하여 알려지지 않은 네트워크 공격까지도 신속하고 정확하게 탐지할 수 있는 장치와 그 방법에 관한 것이다.
현재 침입 탐지 시스템 및 침입 방지 시스템(IDS/IPS)에서 공격을 탐지하기 위해 사용되는 방법은, 비정상 트래픽 탐지를 이용하는 방법과, 공격 패킷이 가지는 고유 패턴을 이용하여 탐지하는 방법으로 분류된다.
전자의 비정상 트래픽 탐지를 이용하는 방법은, 공격에 사용되는 특성(취약성)에 관계없이 공격이 유발하는 트래픽의 특성을 분석하여 탐지하는 방식으로 네트워크 공격에 광범위하게 적용가능하지만 오탐지율이 높다. 이에 현재 대부분의 상용 IDS/IPS에서는 이런 비정상 트래픽 탐지 기능을 비활성화하여 사용하고 있는 것이 현실이다.
반면에 공격 패킷이 가지는 고유패턴을 이용하는 방식은 현재 대부분의 통합형 방화벽과 IDS/IPS에서 사용되는 것으로, 네트워크상의 패킷을 공격 패킷으로부 터 추출한 고유 패턴(Signature)과 비교하여 탐지함으로써, 신속/정확하게 공격을 탐지/차단할 수 있다. 그러나 아직까지는 탐지에 사용되는 패턴을 생성하는 기술 부족으로 인하여 현재 공격 패턴(Signature)의 생성이 수작업으로 이루어지고 있기 때문에, 현재 탐지에 사용되는 패턴(Signature) 생성 지연으로 인하여 변종 웜과 알려지지 않은 공격에 대응하기 위한 효과적인 방어체계가 수립되어 있지 않다고 볼 수 있다.
따라서, 알려지지 않은 네트워크 공격을 탐지할 수 있는 새로운 기술이 요구되고 있다.
특히, 알려지지 않은 공격에 대한 탐지 기능은 탐지 그 자체만으로도 중요할 뿐만 아니라 그 기술을 이용하여 새로운 탐지 규칙(Signature)을 생성할 수 있다는 점에서 더욱 의미가 있다. 따라서 정보 보호 분야의 지속적인 성장을 위해서는 알려지지 않은 공격을 자동으로 실시간 탐지하여 그 결과를 적용하는 기술이 필요이다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로서, 그 목적은, 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터링하여 알려지지 않은 네트워크 공격까지도 신속하고 정확하게 탐지할 수 있는 네트워크 공격 탐지 장치 및 방법을 제공하는 것이다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명은, 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여 의사 기계 코드로 변환하는 바이너리 필터부; 상기 바이너리 필터부에서 디코딩된 의사 기계 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하는 코드 분석부; 및 상기 코드 분석부에서 실행 가능한 코드가 포함된 것으로 판단된 네트워크 패킷에 대하여, 해당하는 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하는 프로토콜 검토부를 포함하는 네트워크 공격 탐지 장치를 제공한다.
더하여, 본 발명은 상기 목적을 구현하기 위한 다른 수단으로서, 네트워크 패킷에 실행 가능한 코드가 포함되어 있는 지를 판별하는 단계; 상기 네트워크 패킷에 정상적으로 실행 가능한 코드가 포함될 가능성을 판별하는 단계; 및 상기 실행 가능한 코드의 포함 여부 및 실행 가능한 코드가 포함될 가능성에 근거하여, 네트워크 패킷의 유해 여부를 판단하는 단계를 포함하는 네트워크 공격 탐지 방법을 제공한다.
기존의 고유 규칙(Signature) 기반 IDS/IPS 시스템에서 탐지할 수 없었던 알려지지 않은 새로운 형태의 공격들 역시 공격이 가질 수 밖에 없는 특징을 포함한다.
더 구체적으로 설명하면, 신종 바이러스, 웜(Worm) 그리고 최근 높은 감염율을 보이고 있는 봇(Bot) 들 역시 다른 알려져 있는 공격들과 마찬가지로 네트워크 패킷 내에 악성 실행 코드를 반드시 포함한다.
따라서 네트워크 패킷 내에 실행 가능한 코드가 포함되어 있는 경우, 해당 패킷이 공격 패킷일 가능성이 충분하며, 이들 중 악성 코드가 가지는 특성을 포함한다면 해당 패킷은 공격 패킷의 한 종류로 간주 될 수 있다.
이를 공격 탐지 기술에 적용하기 위해서는, 모든 네트워크 패킷 내에 포함된 악성 실행 코드를 찾아낼 수 있어야 하며, 특히 기가비트 네트워크에서 전달되는 모든 패킷에 대하여 무손실 검사를 수행하고 실행코드의 존재 유무를 판단할 수 있어야 한다. 이에 본 발명은 이를 가능케 하는 장치 및 방법을 제공한다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성 요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명에 따른 네트워크 공격 탐지 장치가 적용되는 네트워크 구조도이다. 도 1을 참조하면, 두 개의 네트워크(101, 102)가 기가비트 이더넷 인터페이스(103, 104)를 통해 알려지지 않은 네트워크 공격 탐지 장치(이하 공격 탐지 장치라 약칭한다)(200)에 연결된다. 따라서 이들 두 네트워크(101, 102) 사이를 지나는 모든 네트워크 패킷들은 상기 공격 탐지 장치(200)를 경유하게 되며, 상기 공격 탐지 장치(200)는 이들 네트워크 패킷을 실시간으로 모니터링하여 유해 트래픽을 탐지한다. 상기 공격 탐지 장치(200)의 구성 및 작용은 이하에서 상세하게 설명한다.
도 2는 본 발명에 따른 공격 탐지 장치(200)의 상세 구성을 보인 블록도이다.
도시된 바와 같이 알려지지 않은 공격 탐지 장치(200)는 크게 바이너리 필터부(Binary Filter)(210)와, 코드 분석부(Code Analyzer)(220)와, 프로토콜 검토부 (Protocol Checker)(230)와, 메모리부(240)를 포함한다.
바이너리 필터부(210)는 네트워크에 연결되는 외부 기가비트 이더넷 인터페이스와 직접 연결되어 네트워크에서 인입되는 모든 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여 메모리부(240)에 저장한다. 이 과정은 일반적인 수 행 파일들의 바이너리(Binary) 부분에 대하여 디스어셈블(Disassemble)하는 과정과 유사한데, 본 발명에서 상기 바이너리 필터부(210)에 의해 디코딩된 네트워크 패킷의 페이로드 부분들은 2 바이트 이상의 의미 있는 의사 기계 코드(Pseudo-Machine Code)형태로 저장될 수 있다. 실제로 네트워크 패킷의 페이로드 부분이 실행 코드를 포함하고 있든, 포함하고 있지 않든지 이 과정은 오류 없이 수행될 수 있다. 왜냐하면, 기계 코드 값들이 1 바이트 기준으로 256개 모두 의미 있는 인트럭션으로 해석될 수 있고, 일반적인 랜덤 데이터조차도 디스어셈블링하면 어떤 형태의 의사-기계 코드를 생성할 수 있기 때문이다.
즉, 상기 바이너리 필터부(210)는 생성된 의사 기계 코드가 의미가 있는 지 여부에는 관계없이, 인입된 네트워크 패킷의 패이로드부를 의사 기계 코드로 만들어 내는 역할을 수행한다.
다음으로, 코드 분석부(220)는 메모리부(240)에 저장된 의사 기계 코드에 대하여, 코드 스펙트럼 분석 및 명령어들 간의 연관성 분석을 수행하여, 해당 패킷에 실행 가능한 코드가 포함되어 있는 지를 판단한다.
그리고 프로토콜 검토부(230)는 상기 코드 분석부(220)에서 실행 코드가 포함되어 있는 것으로 판단된 네트워크 패킷에 대하여 해당 서비스 및 그 서비스의 특정 트랜잭션(예, HTTP GET)에서 실행 가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 상기 네트워크 패킷이 유해 패킷인지를 최종 판단한다.
즉, 본 발명에 의한 네트워크 공격 탐지 장치는, 일차적으로 네트워크 패킷 내에 실행 가능한 코드가 포함되는 지를 판단하고, 실행 가능한 코드가 포함되어 있는 경우, 기 설정된 통계치를 기반으로 해당 실행 가능한 코드가 악성일 가능성을 확인하여, 유해 패킷을 판별하는 것이다.
이하, 본 발명에 의한 네트워크 공격 탐지 장치의 각 구성 요소의 상세 구성 및 동작을 설명하며, 이를 통하여 본 발명에 의한 네트워크 공격 탐지 과정은 더 명확히 이해될 것이다.
도 3은 상기 바이너리 필터부(210)의 내부 구조를 나타낸 블록도이다.
상기 바이너리 필터부(210)는 외부 네트워크와 연결되는 기가비트 이더넷 인터페이스에 직접 연결되어, 네트워크로부터 고속으로 인입되는 네트워크 패킷의 페이로드부에 대하여 바이너리 실행 코드임을 가정하여 디코딩한다.
이를 위하여, 상기 바이너리 필터부(210)는 OP 코드 집합(211)과, 인스트럭션 패춰(Instruction Fetcher)(212)와, 비교기(213)와, 스키퍼(Skipper)(214)와, 인스트럭션 덤퍼(dumper)(215)를 포함한다.
상기 인스트럭션 패춰(212)는 상기 인입된 네트워크 패킷(207)에 있어서, 페이로드의 시작 부(208)에서부터 하나의 독립된 인스트럭션으로 인식하여 인스트럭션을 패취한다. 상기 인스트럭션 패춰(212)에서 패취한 인스트럭션은 비교부(213) 및 인스트럭션 덤퍼(215)로 전달된다. 상기 인스트럭션 덤퍼(215)는 상기 전달받은 인스트럭션을 메모리부(240)에 저장한다.
상기 비교부(213)는 상기 패취한 인스트럭션과 미리 저장되어 있는 OP 코드 집합(211)에 있는 인스트럭션 데이터를 비교하고, 인스트럭션의 크기와 OP 코드의 사이즈 등을 이용하여 다음 패취할 인스트럭션의 크기를 스키퍼(214)로 통보한다. 더 구체적으로 설명하면, 상기 패취한 인스트럭션이 의미없는 데이터일 경우에는 1 바이트 단위로 스키퍼(214)를 구동하여, 해당 바이트를 버리게 된다.
이에 의하면, 상기 인스트럭션 패춰(212)에서 패춰한 인스트럭션이 의미 있는 데이터일 경우 의사 기계 코드 형태로 인스트럭션 덤퍼(215)를 통해 메모리부(240)에 저장되고, 의미 없는 데이터일 경우에는 1 바이트 단위로 버려진다.
그런데 이렇게 추출된 인스트럭션들을 이용하여 본 발명에서 실행 가능한 코드의 포함 여부를 판단하기 위해서는, 추출된 인스트럭션의 수가 어느 정도 확보되어야 한다.
이에 본 발명은 판단 결과에 대한 정확도를 높이기 위하여, 상기 인스트럭션 덤퍼(215)에 실행 가능 코드의 판단을 위해 필요한 최소한의 인스트럭션 수를 임계값(Threshold)으로 설정하고, 상기 인스트럭션 덤퍼(215)에서 하나의 네트워크 패킷에서 추출된 인스트럭션의 수가 상기 임계값 이상이 될 때에, 패취한 인스트럭션들을 메모리부(240)에 저장하도록 한다.
상기 바이너리 필터부(210)에서 이루어지는 일련의 과정은 네트워크 패킷의 페이로드 부분을 고속으로 디스에셈블하여 메모리부(240)에 저장하는 과정으로 이해할 수 있다.
이 과정에서 메모리부(240)에 저장되는 데이터의 형태는 의사 기계 코드이며, 이는 단순히 기계적으로 디코딩된 명령어 집합이 되며, 특히 실행 가능한 코드인지 아닌지에 대한 판단 근거 없이 단순히 번역된 코드의 집합이라고 할 수 있다.
상기 바이너리 필터부(210)에서 인입된 네트워크 패킷에 대한 일련의 과정이 완료되면, 코드 분석부(220)로 완료 사실이 통지되며, 이에 상기 코드 분석부(220)는 메모리부(240)에 저장된 해당 패킷의 페이로드 부분에 대한 의사 기계 코드를 읽어와 실행 가능한 코드인지의 판단을 수행한다.
도 4는 상기 코드 분석부(220)의 내부 구성을 나타낸 블록도이다.
도 4를 참조하면, 코드 분석부(220)는, OP 코드 매핑 테이블(221)과, 코드 분류기(222)와, 스펙트럼 분석기(223)를 포함하여, 명령어 간의 연관성에 근거하여 상기 메모리부(240)에 단순 디코딩되어 저장된 의사 기계 코드가 실행 가능한 코드 인지를 판단한다.
이를 위하여, 상기 OP 코드 매핑 테이블(221)에는 기계어 코드의 OP 코드 별로 해당하는 의미 집합을 매핑하여 저장한다.
상기 코드 분류기(222)에서는 OP 코드 맵핑 테이블(221)을 참조하여, 수 백개의 기계어 코드를 설정된 수(예를 들어, 9 개)의 의미 집합으로 분류한다. 즉, 명령의 의미별로 분류한다.
예를 들어, 하나의 명령이라도 그 옵션에 따라 다양한 기계어 코드 값들이 존재하는데, 인텔 IA32 기계어인 경우, ADD (0x00, 0x01, 0x02, 0x03..), ADC (0x10, 0x11, 0x12 ...), SUB (0x28, 0x29, 0x2a, 0x2b ...) 등의 수많은 코드 값이 존재한다. 따라서, 이러한 코드값들을 의미있는 그룹별로 분류할 필요가 있다.
도 5는 본 발명에서 설정된 9 개의 의미 집합을 나타낸 도면이다.
도 5를 참조하면, 의미 집합(250)은, 연산 명령과 관련된 코드 집합(251), 논리 명령과 관련된 코드 집합(252), 로딩/저장 명령과 관련된 코드 집합(253), 전송 명령과 관련된 코드 집합(254), 스택 명령과 관련된 코드 집합(254), 입출력 명령과 관련된 코드 집합(256), 제어 명령과 관련된 코드 집합(257), 인터럽트 명령과 관련된 코드 집합(258) 및 그외의 코드로 이루어지는 의미 집합(259)를 포함한다.
상기와 같이 분류함으로써, 의사 기계 코드를 명령어 별로 구분할 수 있으며, 또한, 본 발명은 도 5와 같이 설정된 각 의미 집합 별로 고유의 색상을 설정한다. 그리고 상기 패킷의 의사 기계 코드를 각 분류별 색상을 표시함으로써, 해당 패킷의 코드들을 명령어 간의 연관성을 알 수 있는 코드 스펙트럼 형태로 표현할 수 있다.
일반적인 컴파일러를 통하여 생성되는 기계어 코드를 도 5에 보인 9개의 의미 집합으로 구분하여, 각각의 의미 집합에 부여된 색깔로 표시할 때, 코드 스펙트럼은 도 6에 도시된 바와 같이 나타난다.
즉, 실행 가능한 코드인 경우, 코드 스펙트럼은 여러 색상으로 이루어진 패턴(260)을 가지며, 비 실행 코드의 경우, 동일한 색이 연속되는 패턴(261,262,263)을 갖는다. 즉, 비 실행 코드인 경우, 동일한 명령어로 분류되는 기계 코드가 연속하여 나타날 수 있으나, 실행 코드인 경우, 서로 다른 명령어들이 일정한 형태로 반복된다.
따라서, 상기와 같은 코드 스펙트럼으로부터 명령어 간의 연관성을 쉽게 알 수 있으며, 이로부터 실행 가능한 코드를 쉽게 찾아낼 수 있다. 즉, 상기 디코딩된 기계어 코드를 앞서 도 5와 같이 의미 집합들로 구분하여 색깔로 표현한 후, 그 코 드 스펙트럼의 패턴을 분석함으로써, 실행 가능한 코드의 포함 여부를 판별할 수 있다.
상기 스펙트럼 분석기(223)는 이러한 특성을 이용하여 네트워크 패킷 내에 실행 가능한 코드가 포함되어 있는 지를 판별하는 수단으로서, 특정 시점의 일정 크기의 시간 윈도우 내에서의 상기 코드 분류기(222)로부터 출력된 코드 스펙트럼을 분석하여, 실행 가능 코드의 유무를 판별한다. 더 구체적으로는, 상기 도 6에 보인 바와 같은, 비실행 코드의 코드 스펙트럼의 패턴과, 실행 코드의 코드 스펙트럼의 패턴을 미리 설정하여 두고, 입력된 네트워크 패킷의 코드 스펙트럼을 분석하여, 동일 색상이 연속되는 패턴이 포함되는 경우, 비실행 코드로 판단하고, 서로 다른 색상이 반복하여 나타나는 패턴인 경우에는 실행 코드로 판단한다.
상기 스펙트럼 분석기(223)의 판별 결과는 프로토콜 검토부(230)로 전달된다.
프로토콜 검토부(230)는 상기 코드 분석부(220)에서 실행 가능 코드가 포함된 것으로 판별된 네트워크 패킷에 대하여, 그 헤더 정보를 기반으로 프로토콜을 검토하여 해당하는 서비스 및 해당하는 서비스의 트랜잭션(예, HTTP GET)을 확인하고, 상기 확인된 서비스 및 트랜잭션에 실행 가능 코드가 존재할 가능성에 대한 통계치를 확인하여, 최종적으로 유해 패킷인지를 판단한다. 도 7은 상기 프로토콜 검토부(230)의 내부 구성을 나타낸 블록도이다.
도 7을 참조하면, 상기 프로토콜 검토부(230)는 비정상 패킷 검토부(231)와, 서비스 매핑 테이블(232)을 포함한다.
상기 서비스 매핑 테이블(232)은 각 서비스 및 그 서비스의 트랜잭션별로 실행 코드가 포함되는 통계치를 저장한다.
그리고 상기 비정상 패킷 검토부(231)는 상기 코드 분석부(220)에서 실행 가능한 코드가 포함된 것으로 판별된 네트워크 패킷의 프로토콜을 분석하여, 관련된 서비스 및 트랜잭션을 확인하고, 확인된 서비스 및 트랜잭션의 패킷이 실행 가능한 코드를 포함할 통계치를 상기 서비스 매핑 테이블(232)로부터 읽어오고, 이를 바탕으로부터 상기 네트워크 패킷이 유해 패킷인지를 판단한다.
예를 들어 설명하면, FTP (TCP 21,22)의 PUT, GET 서비스의 패킷은 실행 코드가 패킷 내 포함될 확률이 아주 높지만, FTP 세션 제어 단계의 패킷에서는 실행코드가 존재할 가능성이 없다고 할 수 있다. 또한, HTTP GET 서비스에서 실행코드가 있을 가능성은 없다고 할 수 있지만, HTTP GET 을 이용하는 CodeRed와 같은 인터넷 웜에서는 HTTP GET 서비스에 Exploit 코드를 포함시켜 네트워크 전파를 유발하고 있다.
따라서, 상기 비정상 패킷 검토부(231)는 통계적으로 실행 가능한 코드를 포함할 가능성이 적은 서비스 및 트랜잭션의 패킷에서 실행 가능한 코드를 포함하고 있는 경우, 해당 패킷을 유해 패킷으로 판단한다.
이상 설명한, 본 발명의 공격 탐지 장치(200)에 포함되는 바이너리 필터부(210), 코드 분석부(220)와, 프로토콜 검토부(230)는 모두 FPGA 하드웨어 로직으로 구현 가능하며, 수 기가비트 이더넷 환경에서도 무손실로 모든 패킷을 판단할 수 있다.
도 8은 상술한 네트워크 공격 탐지 장치에서의 네트워크 공격 탐지 방법을 순차적으로 나타낸 흐름도이다.
도 8을 참조하여, 본 발명에 의한 네트워크 공격 탐지 방법을 정리하면 다음과 같다.
본 발명은 두 네트워크 사이에 전달되거나 포트 미러링된 네트워크 패킷이 인입되면(S81), 상기 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여, 의사-기계 코드 형태로 변환한다(S82).
이후 상기 변환된 의사-기계 코드를 기설정된 의미 집합으로 분류하고(S83), 상기 기설정된 의미 집합 별로 설정된 색상으로 각 의사-기계 코드를 표현하여, 상기 네트워크 패킷의 코드 스펙트럼을 추출한다(S84).
그리고 상기 코드 스펙트럼을 미리 확인된 비실행 코드의 코드 스펙트럼 및 실행 코드의 코드 스펙트럼과 비교하여, 상기 네트워크 패킷에 실행 코드가 포함되어 있는 지를 판단한다(S85).
상기 판단 결과 실행 코드가 포함되어 있는 경우(S86), 해당 네트워크 패킷의 헤더 정보에 기초하여 프로토콜을 분석하여, 관련된 서비스 및 트랙잭션을 확인한다(S87).
그리고 상기 확인된 서비스 및 트랜잭션에 정상적으로 실행 가능한 코드가 포함되는 통계치를 확인한다(S88).
상기 확인된 통계치가 기설정된 기준값보다 작으면, 즉, 통계치에서 실행 가능한 코드가 포함될 가능성이 적은 경우, 해당 패킷은 비정상적인 실행 코드를 포함하고 있는 것이므로, 유해 패킷으로 판단한다(S91).
반대로 상기 단계S85의 판단 결과, 실행 코드가 포함되어 있지 않거나, 상기 확인된 통계치가 기설정된 기준값보다 크면(즉, 통계치에서 실행 가능한 코드가 포함될 가능성이 크면), 정상적인 패킷으로 판정한다(S90).
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
상술한 바에 의하면, 본 발명은 네트워크를 통해 흐르는 모든 패킷에 대하여 실행 가능 코드가 포함되었는지를 실시간으로 판단하고, 해당 응용계층 서비스에서 실행 가능 코드가 포함될 확률을 활용하여, 해당 패킷이 유해 트래픽 인지를 판정함으로써, 네트워크 위협의 한 형태인 알려지지 않은 인터넷 공격을 사용자의 개입없이 자동으로 탐지할 수 있는 우수한 효과가 있다.
더하여, 본 발명은 기가비트 이더넷 속도에서도 네트워크 트래픽을 무 손실 전수 검사가 가능하게 하여 공격에 대한 탐지율을 높이고, 실시간 처리가 가능해 짐으로써, 알려지지 않은 네트워크 침입과 공격에 대해 빠른 대응이 가능할 뿐만 아니라, 소프트웨어 모듈 혹은 FPGA 하드웨어 컴포넌트로 쉽게 구현 가능하여 일반적인 보안 시스템에 부가 기능으로 탑재 가능하고, 또한 새로운 공격 탐지 규칙 생성을 위한 핵심 기술로 활용 가능한 우수한 효과가 있다.
Claims (16)
- 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여 의사 기계 코드로 변환하는 바이너리 필터부;상기 바이너리 필터부에서 디코딩된 의사 기계 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하는 코드 분석부; 및상기 코드 분석부에서 실행 가능한 코드가 포함된 것으로 판단된 네트워크 패킷에 대하여, 해당하는 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하는 프로토콜 검토부를 포함하는 네트워크 공격 탐지 장치.
- 제1항에 있어서,상기 바이너리 필터부에서 디코딩된 인스트럭션 단위의 의사 기계 코드를 저장하는 메모리부를 더 포함하는 네트워크 공격 탐지 장치.
- 제2항에 있어서, 상기 바이너리 필터부는인입된 네트워크 패킷의 페이로드부를 바이너리 코드로 가정하여, 인스트럭션을 패취하는 인스트럭션 패춰;상기 인스트럭션 패취에서 패취한 인스트럭션과 미리 저장된 OP 코드 집합의 인스트럭션을 비교하여 의미 있는 인스트럭션인지를 판단하는 비교기;상기 비교기에서 의미있는 인스트럭션으로 판단된 인스트럭션을 의사 기계어 코드 형태로 상기 메모리부에 저장하는 인스트럭션 덤퍼; 및상기 비교기에서 의미 없는 인스트럭션인 경우 저장하지 않고 스킵하도록 하는 스키퍼를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
- 제3항에 있어서, 상기 인스트럭션 덤퍼는하나의 네트워크 패킷의 페이로드부에서 패춰한 인스트럭션의 수가 기 설정된 임계값 이상인 경우에만 메모리부에 저장되도록 하는 네트워크 공격 탐지 장치.
- 제2항에 있어서, 상기 코드 분석부는각 기계어 코드의 OP 코드별로 해당하는 의미 집합을 매핑하여 저장하는 OP 코드 매핑 테이블;상기 바이너리 필터부에서 디코딩된 의사 기계 코드들을 상기 OP 코드 매핑 테이블을 기준으로 설정된 수의 의미 집합으로 분류하는 코드 분류기; 및상기 코드 분류기의 분류 결과를 기준으로, 특정 시점의 일정 크기의 시간 윈도우내에서의 코드 스펙트럼을 확인하여, 실행 가능한 코드의 포함 여부를 판별 하는 스펙트럼 분석기를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
- 제5항에 있어서, 상기 코드 분석부는각 의미 집합별로 서로 다른 색깔을 정의하고, 상기 코드 스펙트럼을 색상 패턴으로 표시하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
- 제5항에 있어서, 상기 의미 집합은,연산 명령과 관련된 코드 집합, 논리 명령과 관련된 코드 집합, 로딩/저장 명령과 관련된 코드 집합, 전송 명령과 관련된 코드 집합, 스택 명령과 관련된 코드 집합, 입출력 명령과 관련된 코드 집합, 제어 명령과 관련된 코드 집합, 인터럽트 명령과 관련된 코드 집합 및 상기 명령을 제외한 코드로 이루어지는 집합을 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
- 제5항 또는 제6항에 있어서, 상기 스펙트럼 분석기는기계어 인스트럭션이 가지는 실행가능 코드의 코드 스펙트럼 패턴과 비실행 코드의 코드 스펙트럼 패턴을 미리 저장하여 두고, 입력된 코드 스펙트럼과 상기 저장된 패턴을 비교하여 실행 가능 코드의 포함 여부를 판별하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
- 제2항에 있어서, 상기 프로토콜 검토부는서비스별 및 그 서비스의 트랜잭션별로 실행 코드가 포함되는 통계치를 저장하는 서비스 매핑 테이블; 및상기 실행 가능한 코드가 포함된 것으로 판별된 네트워크 패킷의 프로토콜을 분석하여, 관련된 서비스 및 트랜잭션을 확인하고, 상기 서비스 매핑 테이블에서 해당 서비스 및 트랜잭션의 패킷이 실행 코드를 포함할 통계치를 확인하여, 유해 패킷인지를 판단하는 비정상 패킷 검토부를 포함하는 것을 특징으로 하는 네트워크 침입 탐지 장치.
- 네트워크 패킷에 실행 가능한 코드가 포함되어 있는 지를 판별하는 단계;상기 네트워크 패킷에 정상적으로 실행 가능한 코드가 포함될 가능성을 판별하는 단계; 및상기 실행 가능한 코드의 포함 여부 및 실행 가능한 코드가 포함될 가능성에 근거하여, 네트워크 패킷의 유해 여부를 판단하는 단계를 포함하는 네트워크 공격 탐지 방법.
- 제10항에 있어서, 상기 네트워크 패킷에 실행 가능한 코드가 포함되어 있는 지를 판별하는 단계는,네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여, 의사-기계 코드 형태로 변환하는 단계;상기 변환된 의사-기계 코드를 기설정된 의미 집합으로 분류하는 단계;상기 분류 결과에 근거하여 상기 네트워크 패킷의 코드 스펙트럼을 추출하는 단계; 및상기 추출된 코드 스펙트럼을 분석하여 실행 가능 코드의 포함 여부를 판별하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
- 제10항에 있어서, 상기 네트워크 패킷에 정상적으로 실행 가능한 코드가 포함될 가능성을 판별하는 단계는,실행 가능한 코드를 포함하는 네트워크 패킷에 대하여, 해당 네트워크 패킷의 프로토콜을 분석하여, 관련된 서비스 및 트랙잭션을 확인하는 단계; 및상기 확인된 서비스 및 트랜잭션에 정상적으로 실행 가능한 코드가 포함되는 통계치를 확인하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
- 제10항에 있어서, 상기 네트워크 패킷의 유해 여부를 판단하는 단계는,상기 실행 가능한 코드가 포함되어 있지 않거나, 상기 실행 가능한 코드가 포함되어 있으나 해당 네트워크 패킷에 실행 가능한 코드가 포함될 가능성이 높으면, 정상 패킷으로 판단하고, 상기 실행 가능한 코드가 포함되어 있으며 해당 네트워크 패킷에 실행 가능한 코드가 포함될 가능성이 적으면 유해 패킷으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
- 제11항에 있어서, 상기 분류 결과에 근거하여 상기 네트워크 패킷의 코드 스펙트럼을 추출하는 단계는,상기 의미 집합별로 서로 다른 색상을 부여하여, 상기 코드 스펙트럼을 부여된 색상으로 표현하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
- 제14항에 있어서, 상기 추출된 코드 스펙트럼을 분석하여 실행 가능 코드의 포함 여부를 판별하는 단계는,상기 기설정된 의미 집합에 근거하여, 비실행 코드에 나타내는 코드 스펙트럼 패턴과, 실행 코드에 나타나는 코드 스펙트럼 패턴을 미리 저장하여 두고, 상기 저장된 코드 스펙트럼 패턴과 상기 추출된 코드 스펙트럼 패턴을 비교하여 실행 가능 코드의 포함 여부를 판별하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
- 제11항에 있어서, 상기 의미 집합은,연산 명령과 관련된 코드 집합, 논리 명령과 관련된 코드 집합, 로딩/저장 명령과 관련된 코드 집합, 전송 명령과 관련된 코드 집합, 스택 명령과 관련된 코드 집합, 입출력 명령과 관련된 코드 집합, 제어 명령과 관련된 코드 집합, 인터럽트 명령과 관련된 코드 집합 및 상기 명령을 제외한 코드로 이루어지는 집합을 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/926,132 US8095973B2 (en) | 2006-11-30 | 2007-10-29 | Apparatus and method for detecting network attack |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060120259 | 2006-11-30 | ||
KR20060120259 | 2006-11-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080049586A KR20080049586A (ko) | 2008-06-04 |
KR100922579B1 true KR100922579B1 (ko) | 2009-10-21 |
Family
ID=39805348
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070037488A KR100922579B1 (ko) | 2006-11-30 | 2007-04-17 | 네트워크 공격 탐지 장치 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8095973B2 (ko) |
KR (1) | KR100922579B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101554914B1 (ko) * | 2014-07-03 | 2015-09-25 | 주식회사 지니테크 | 실시간 인터넷 전화 불법호 검출 장치 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체 |
Families Citing this family (173)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
KR100639969B1 (ko) * | 2004-12-02 | 2006-11-01 | 한국전자통신연구원 | 이상 트래픽 제어 장치 및 그 제어 방법 |
KR100850361B1 (ko) * | 2007-03-14 | 2008-08-04 | 한국전자통신연구원 | 실행 가능한 코드 탐지 방법 및 장치 |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US20110026525A1 (en) * | 2009-08-03 | 2011-02-03 | Ziqiang He | Ethernet Switch and System |
US8832829B2 (en) * | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
KR101377462B1 (ko) * | 2010-08-24 | 2014-03-25 | 한국전자통신연구원 | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 |
US9495541B2 (en) * | 2011-09-15 | 2016-11-15 | The Trustees Of Columbia University In The City Of New York | Detecting return-oriented programming payloads by evaluating data for a gadget address space address and determining whether operations associated with instructions beginning at the address indicate a return-oriented programming payload |
KR20130039175A (ko) * | 2011-10-11 | 2013-04-19 | 한국전자통신연구원 | 내부자 위협 탐지 장치 및 방법 |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
KR101230500B1 (ko) * | 2012-10-31 | 2013-02-25 | 주식회사 베이스인 네트웍스 | 네트워크 자원 통합 관리 시스템 및 그 방법 |
KR101415272B1 (ko) * | 2012-11-07 | 2014-07-04 | 주식회사 시큐아이 | 비정상 트래픽 감지 방법 및 장치 |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US8966074B1 (en) * | 2013-09-13 | 2015-02-24 | Network Kinetix, LLC | System and method for real-time analysis of network traffic |
US9532227B2 (en) * | 2013-09-13 | 2016-12-27 | Network Kinetix, LLC | System and method for an automated system for continuous observation, audit and control of user activities as they occur within a mobile network |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9740857B2 (en) | 2014-01-16 | 2017-08-22 | Fireeye, Inc. | Threat-aware microvisor |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10771495B2 (en) * | 2017-03-02 | 2020-09-08 | General Electric Company | Cyber-attack detection and neutralization |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
US11483318B2 (en) | 2020-01-07 | 2022-10-25 | International Business Machines Corporation | Providing network security through autonomous simulated environments |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040013173A (ko) * | 2002-08-03 | 2004-02-14 | 한국정보보호진흥원 | 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법 |
US20060107055A1 (en) | 2004-11-17 | 2006-05-18 | Nesvis, Networks | Method and system to detect a data pattern of a packet in a communications network |
WO2006069041A2 (en) | 2004-12-21 | 2006-06-29 | Mistletoe Technologies, Inc. | Network interface and firewall device |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100869965B1 (ko) | 2001-11-26 | 2008-11-21 | 주식회사 비즈모델라인 | 바이러스 자동 차단 및 소멸 방법 |
US7941855B2 (en) * | 2003-04-14 | 2011-05-10 | New Mexico Technical Research Foundation | Computationally intelligent agents for distributed intrusion detection system and method of practicing same |
US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
WO2005114951A1 (en) * | 2004-05-20 | 2005-12-01 | Computer Associates Think, Inc. | Systems and methods for detecting denial of service attacks |
WO2007001439A2 (en) * | 2004-11-04 | 2007-01-04 | Telcordia Technologies, Inc. | Detecting exploit code in network flows |
KR100688604B1 (ko) | 2004-11-18 | 2007-03-02 | 고려대학교 산학협력단 | 네트워크 악성실행코드 차단장치 및 방법 |
KR100628869B1 (ko) | 2004-12-14 | 2006-09-27 | 한국전자통신연구원 | 악성 코드가 숨겨진 오피스 문서 탐지장치 및 그 방법 |
-
2007
- 2007-04-17 KR KR1020070037488A patent/KR100922579B1/ko not_active IP Right Cessation
- 2007-10-29 US US11/926,132 patent/US8095973B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040013173A (ko) * | 2002-08-03 | 2004-02-14 | 한국정보보호진흥원 | 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법 |
US20060107055A1 (en) | 2004-11-17 | 2006-05-18 | Nesvis, Networks | Method and system to detect a data pattern of a packet in a communications network |
WO2006069041A2 (en) | 2004-12-21 | 2006-06-29 | Mistletoe Technologies, Inc. | Network interface and firewall device |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101554914B1 (ko) * | 2014-07-03 | 2015-09-25 | 주식회사 지니테크 | 실시간 인터넷 전화 불법호 검출 장치 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체 |
Also Published As
Publication number | Publication date |
---|---|
KR20080049586A (ko) | 2008-06-04 |
US20080134334A1 (en) | 2008-06-05 |
US8095973B2 (en) | 2012-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100922579B1 (ko) | 네트워크 공격 탐지 장치 및 방법 | |
US8220048B2 (en) | Network intrusion detector with combined protocol analyses, normalization and matching | |
US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
JP4676499B2 (ja) | ネットワークフロー内のエクスプロイトコードの検出 | |
Nari et al. | Automated malware classification based on network behavior | |
US9256831B2 (en) | Match engine for detection of multi-pattern rules | |
KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
KR102045468B1 (ko) | 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법 | |
CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
KR101498696B1 (ko) | 유해 트래픽 탐지 시스템 및 방법 | |
US11222115B2 (en) | Data scan system | |
CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
Liu et al. | Loocipher ransomware detection using lightweight packet characteristics | |
JP2004054330A (ja) | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム | |
CN111131180A (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 | |
Maslan et al. | DDoS detection on network protocol using cosine similarity and N-Gram+ Method | |
CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
KR20120037865A (ko) | 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법 | |
Kijewski | Automated extraction of threat signatures from network flows | |
CN111526139A (zh) | 一种网络安全侵入检测系统 | |
Gamper | Towards automated exploit signature generation using honeypots | |
Kang et al. | Design and Implementation of Detection Engine Against IDS Evasion with Unicode |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121011 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20130923 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |