KR100922579B1 - 네트워크 공격 탐지 장치 및 방법 - Google Patents

네트워크 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR100922579B1
KR100922579B1 KR1020070037488A KR20070037488A KR100922579B1 KR 100922579 B1 KR100922579 B1 KR 100922579B1 KR 1020070037488 A KR1020070037488 A KR 1020070037488A KR 20070037488 A KR20070037488 A KR 20070037488A KR 100922579 B1 KR100922579 B1 KR 100922579B1
Authority
KR
South Korea
Prior art keywords
code
executable code
instructions
network
packet
Prior art date
Application number
KR1020070037488A
Other languages
English (en)
Other versions
KR20080049586A (ko
Inventor
김익균
최양서
김대원
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US11/926,132 priority Critical patent/US8095973B2/en
Publication of KR20080049586A publication Critical patent/KR20080049586A/ko
Application granted granted Critical
Publication of KR100922579B1 publication Critical patent/KR100922579B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

본 발명은 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터링하여, 알려지지 않은 네트워크 공격이라도 신속하고 정확하게 판정할 수 있는 네트워크 공격 탐지 장치 및 방법에 관한 것으로서, 본 발명은 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩한 후, 디코딩된 기계어 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하고, 이후 실행 가능한 코드가 포함된 경우, 해당 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하도록 구현된다.
공격 탐지 시스템(IDS), 공격 방지 시스템(IPS), 실행 코드

Description

네트워크 공격 탐지 장치 및 방법{Apparatus and method for detecting network attack}
도 1은 본 발명에 의한 네트워크 공격 탐지 장치가 적용되는 네트워크 구조를 도시한 블록도,
도 2는 본 발명에 의한 네트워크 공격 탐지 장치의 전체 구성을 나타낸 블록도,
도 3은 본 발명에 의한 네트워크 공격 탐지 장치에 있어서, 바이너리 필터부의 상세 구성을 보인 블록도,
도 4는 본 발명에 의한 네트워크 공격 탐지 장치에 있어서, 코드 분석부의 상세 구성을 보인 블록도,
도 5는 본 발명에 의한 네트워크 공격 탐지 장치의 코드 분석부에서의 코드 분류예를 나타낸 예시도,
도 6은 본 발명에 의한 네트워크 공격 탐지 장치의 상기 코드 분석부의 분류에 따른 실행 가능한 코드가 포함된 경우와 포함되지 않은 경우의 스펙트럼 패턴을 예시한 도면,
도 7은 본 발명에 의한 네트워크 공격 탐지 장치에 있어서, 프로토콜 검토부의 상세 구성을 나타낸 블록도, 그리고
도 8은 본 발명에 의한 네트워크 공격 탐지 방법을 나타낸 순서도이다.
본 발명은 알려지지 않은 네트워크 공격 탐지 장치와 그 방법에 관한 것으로, 더욱 상세하게는 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터하여 알려지지 않은 네트워크 공격까지도 신속하고 정확하게 탐지할 수 있는 장치와 그 방법에 관한 것이다.
현재 침입 탐지 시스템 및 침입 방지 시스템(IDS/IPS)에서 공격을 탐지하기 위해 사용되는 방법은, 비정상 트래픽 탐지를 이용하는 방법과, 공격 패킷이 가지는 고유 패턴을 이용하여 탐지하는 방법으로 분류된다.
전자의 비정상 트래픽 탐지를 이용하는 방법은, 공격에 사용되는 특성(취약성)에 관계없이 공격이 유발하는 트래픽의 특성을 분석하여 탐지하는 방식으로 네트워크 공격에 광범위하게 적용가능하지만 오탐지율이 높다. 이에 현재 대부분의 상용 IDS/IPS에서는 이런 비정상 트래픽 탐지 기능을 비활성화하여 사용하고 있는 것이 현실이다.
반면에 공격 패킷이 가지는 고유패턴을 이용하는 방식은 현재 대부분의 통합형 방화벽과 IDS/IPS에서 사용되는 것으로, 네트워크상의 패킷을 공격 패킷으로부 터 추출한 고유 패턴(Signature)과 비교하여 탐지함으로써, 신속/정확하게 공격을 탐지/차단할 수 있다. 그러나 아직까지는 탐지에 사용되는 패턴을 생성하는 기술 부족으로 인하여 현재 공격 패턴(Signature)의 생성이 수작업으로 이루어지고 있기 때문에, 현재 탐지에 사용되는 패턴(Signature) 생성 지연으로 인하여 변종 웜과 알려지지 않은 공격에 대응하기 위한 효과적인 방어체계가 수립되어 있지 않다고 볼 수 있다.
따라서, 알려지지 않은 네트워크 공격을 탐지할 수 있는 새로운 기술이 요구되고 있다.
특히, 알려지지 않은 공격에 대한 탐지 기능은 탐지 그 자체만으로도 중요할 뿐만 아니라 그 기술을 이용하여 새로운 탐지 규칙(Signature)을 생성할 수 있다는 점에서 더욱 의미가 있다. 따라서 정보 보호 분야의 지속적인 성장을 위해서는 알려지지 않은 공격을 자동으로 실시간 탐지하여 그 결과를 적용하는 기술이 필요이다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로서, 그 목적은, 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터링하여 알려지지 않은 네트워크 공격까지도 신속하고 정확하게 탐지할 수 있는 네트워크 공격 탐지 장치 및 방법을 제공하는 것이다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명은, 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여 의사 기계 코드로 변환하는 바이너리 필터부; 상기 바이너리 필터부에서 디코딩된 의사 기계 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하는 코드 분석부; 및 상기 코드 분석부에서 실행 가능한 코드가 포함된 것으로 판단된 네트워크 패킷에 대하여, 해당하는 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하는 프로토콜 검토부를 포함하는 네트워크 공격 탐지 장치를 제공한다.
더하여, 본 발명은 상기 목적을 구현하기 위한 다른 수단으로서, 네트워크 패킷에 실행 가능한 코드가 포함되어 있는 지를 판별하는 단계; 상기 네트워크 패킷에 정상적으로 실행 가능한 코드가 포함될 가능성을 판별하는 단계; 및 상기 실행 가능한 코드의 포함 여부 및 실행 가능한 코드가 포함될 가능성에 근거하여, 네트워크 패킷의 유해 여부를 판단하는 단계를 포함하는 네트워크 공격 탐지 방법을 제공한다.
기존의 고유 규칙(Signature) 기반 IDS/IPS 시스템에서 탐지할 수 없었던 알려지지 않은 새로운 형태의 공격들 역시 공격이 가질 수 밖에 없는 특징을 포함한다.
더 구체적으로 설명하면, 신종 바이러스, 웜(Worm) 그리고 최근 높은 감염율을 보이고 있는 봇(Bot) 들 역시 다른 알려져 있는 공격들과 마찬가지로 네트워크 패킷 내에 악성 실행 코드를 반드시 포함한다.
따라서 네트워크 패킷 내에 실행 가능한 코드가 포함되어 있는 경우, 해당 패킷이 공격 패킷일 가능성이 충분하며, 이들 중 악성 코드가 가지는 특성을 포함한다면 해당 패킷은 공격 패킷의 한 종류로 간주 될 수 있다.
이를 공격 탐지 기술에 적용하기 위해서는, 모든 네트워크 패킷 내에 포함된 악성 실행 코드를 찾아낼 수 있어야 하며, 특히 기가비트 네트워크에서 전달되는 모든 패킷에 대하여 무손실 검사를 수행하고 실행코드의 존재 유무를 판단할 수 있어야 한다. 이에 본 발명은 이를 가능케 하는 장치 및 방법을 제공한다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성 요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명에 따른 네트워크 공격 탐지 장치가 적용되는 네트워크 구조도이다. 도 1을 참조하면, 두 개의 네트워크(101, 102)가 기가비트 이더넷 인터페이스(103, 104)를 통해 알려지지 않은 네트워크 공격 탐지 장치(이하 공격 탐지 장치라 약칭한다)(200)에 연결된다. 따라서 이들 두 네트워크(101, 102) 사이를 지나는 모든 네트워크 패킷들은 상기 공격 탐지 장치(200)를 경유하게 되며, 상기 공격 탐지 장치(200)는 이들 네트워크 패킷을 실시간으로 모니터링하여 유해 트래픽을 탐지한다. 상기 공격 탐지 장치(200)의 구성 및 작용은 이하에서 상세하게 설명한다.
도 2는 본 발명에 따른 공격 탐지 장치(200)의 상세 구성을 보인 블록도이다.
도시된 바와 같이 알려지지 않은 공격 탐지 장치(200)는 크게 바이너리 필터부(Binary Filter)(210)와, 코드 분석부(Code Analyzer)(220)와, 프로토콜 검토부 (Protocol Checker)(230)와, 메모리부(240)를 포함한다.
바이너리 필터부(210)는 네트워크에 연결되는 외부 기가비트 이더넷 인터페이스와 직접 연결되어 네트워크에서 인입되는 모든 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여 메모리부(240)에 저장한다. 이 과정은 일반적인 수 행 파일들의 바이너리(Binary) 부분에 대하여 디스어셈블(Disassemble)하는 과정과 유사한데, 본 발명에서 상기 바이너리 필터부(210)에 의해 디코딩된 네트워크 패킷의 페이로드 부분들은 2 바이트 이상의 의미 있는 의사 기계 코드(Pseudo-Machine Code)형태로 저장될 수 있다. 실제로 네트워크 패킷의 페이로드 부분이 실행 코드를 포함하고 있든, 포함하고 있지 않든지 이 과정은 오류 없이 수행될 수 있다. 왜냐하면, 기계 코드 값들이 1 바이트 기준으로 256개 모두 의미 있는 인트럭션으로 해석될 수 있고, 일반적인 랜덤 데이터조차도 디스어셈블링하면 어떤 형태의 의사-기계 코드를 생성할 수 있기 때문이다.
즉, 상기 바이너리 필터부(210)는 생성된 의사 기계 코드가 의미가 있는 지 여부에는 관계없이, 인입된 네트워크 패킷의 패이로드부를 의사 기계 코드로 만들어 내는 역할을 수행한다.
다음으로, 코드 분석부(220)는 메모리부(240)에 저장된 의사 기계 코드에 대하여, 코드 스펙트럼 분석 및 명령어들 간의 연관성 분석을 수행하여, 해당 패킷에 실행 가능한 코드가 포함되어 있는 지를 판단한다.
그리고 프로토콜 검토부(230)는 상기 코드 분석부(220)에서 실행 코드가 포함되어 있는 것으로 판단된 네트워크 패킷에 대하여 해당 서비스 및 그 서비스의 특정 트랜잭션(예, HTTP GET)에서 실행 가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 상기 네트워크 패킷이 유해 패킷인지를 최종 판단한다.
즉, 본 발명에 의한 네트워크 공격 탐지 장치는, 일차적으로 네트워크 패킷 내에 실행 가능한 코드가 포함되는 지를 판단하고, 실행 가능한 코드가 포함되어 있는 경우, 기 설정된 통계치를 기반으로 해당 실행 가능한 코드가 악성일 가능성을 확인하여, 유해 패킷을 판별하는 것이다.
이하, 본 발명에 의한 네트워크 공격 탐지 장치의 각 구성 요소의 상세 구성 및 동작을 설명하며, 이를 통하여 본 발명에 의한 네트워크 공격 탐지 과정은 더 명확히 이해될 것이다.
도 3은 상기 바이너리 필터부(210)의 내부 구조를 나타낸 블록도이다.
상기 바이너리 필터부(210)는 외부 네트워크와 연결되는 기가비트 이더넷 인터페이스에 직접 연결되어, 네트워크로부터 고속으로 인입되는 네트워크 패킷의 페이로드부에 대하여 바이너리 실행 코드임을 가정하여 디코딩한다.
이를 위하여, 상기 바이너리 필터부(210)는 OP 코드 집합(211)과, 인스트럭션 패춰(Instruction Fetcher)(212)와, 비교기(213)와, 스키퍼(Skipper)(214)와, 인스트럭션 덤퍼(dumper)(215)를 포함한다.
상기 인스트럭션 패춰(212)는 상기 인입된 네트워크 패킷(207)에 있어서, 페이로드의 시작 부(208)에서부터 하나의 독립된 인스트럭션으로 인식하여 인스트럭션을 패취한다. 상기 인스트럭션 패춰(212)에서 패취한 인스트럭션은 비교부(213) 및 인스트럭션 덤퍼(215)로 전달된다. 상기 인스트럭션 덤퍼(215)는 상기 전달받은 인스트럭션을 메모리부(240)에 저장한다.
상기 비교부(213)는 상기 패취한 인스트럭션과 미리 저장되어 있는 OP 코드 집합(211)에 있는 인스트럭션 데이터를 비교하고, 인스트럭션의 크기와 OP 코드의 사이즈 등을 이용하여 다음 패취할 인스트럭션의 크기를 스키퍼(214)로 통보한다. 더 구체적으로 설명하면, 상기 패취한 인스트럭션이 의미없는 데이터일 경우에는 1 바이트 단위로 스키퍼(214)를 구동하여, 해당 바이트를 버리게 된다.
이에 의하면, 상기 인스트럭션 패춰(212)에서 패춰한 인스트럭션이 의미 있는 데이터일 경우 의사 기계 코드 형태로 인스트럭션 덤퍼(215)를 통해 메모리부(240)에 저장되고, 의미 없는 데이터일 경우에는 1 바이트 단위로 버려진다.
그런데 이렇게 추출된 인스트럭션들을 이용하여 본 발명에서 실행 가능한 코드의 포함 여부를 판단하기 위해서는, 추출된 인스트럭션의 수가 어느 정도 확보되어야 한다.
이에 본 발명은 판단 결과에 대한 정확도를 높이기 위하여, 상기 인스트럭션 덤퍼(215)에 실행 가능 코드의 판단을 위해 필요한 최소한의 인스트럭션 수를 임계값(Threshold)으로 설정하고, 상기 인스트럭션 덤퍼(215)에서 하나의 네트워크 패킷에서 추출된 인스트럭션의 수가 상기 임계값 이상이 될 때에, 패취한 인스트럭션들을 메모리부(240)에 저장하도록 한다.
상기 바이너리 필터부(210)에서 이루어지는 일련의 과정은 네트워크 패킷의 페이로드 부분을 고속으로 디스에셈블하여 메모리부(240)에 저장하는 과정으로 이해할 수 있다.
이 과정에서 메모리부(240)에 저장되는 데이터의 형태는 의사 기계 코드이며, 이는 단순히 기계적으로 디코딩된 명령어 집합이 되며, 특히 실행 가능한 코드인지 아닌지에 대한 판단 근거 없이 단순히 번역된 코드의 집합이라고 할 수 있다.
상기 바이너리 필터부(210)에서 인입된 네트워크 패킷에 대한 일련의 과정이 완료되면, 코드 분석부(220)로 완료 사실이 통지되며, 이에 상기 코드 분석부(220)는 메모리부(240)에 저장된 해당 패킷의 페이로드 부분에 대한 의사 기계 코드를 읽어와 실행 가능한 코드인지의 판단을 수행한다.
도 4는 상기 코드 분석부(220)의 내부 구성을 나타낸 블록도이다.
도 4를 참조하면, 코드 분석부(220)는, OP 코드 매핑 테이블(221)과, 코드 분류기(222)와, 스펙트럼 분석기(223)를 포함하여, 명령어 간의 연관성에 근거하여 상기 메모리부(240)에 단순 디코딩되어 저장된 의사 기계 코드가 실행 가능한 코드 인지를 판단한다.
이를 위하여, 상기 OP 코드 매핑 테이블(221)에는 기계어 코드의 OP 코드 별로 해당하는 의미 집합을 매핑하여 저장한다.
상기 코드 분류기(222)에서는 OP 코드 맵핑 테이블(221)을 참조하여, 수 백개의 기계어 코드를 설정된 수(예를 들어, 9 개)의 의미 집합으로 분류한다. 즉, 명령의 의미별로 분류한다.
예를 들어, 하나의 명령이라도 그 옵션에 따라 다양한 기계어 코드 값들이 존재하는데, 인텔 IA32 기계어인 경우, ADD (0x00, 0x01, 0x02, 0x03..), ADC (0x10, 0x11, 0x12 ...), SUB (0x28, 0x29, 0x2a, 0x2b ...) 등의 수많은 코드 값이 존재한다. 따라서, 이러한 코드값들을 의미있는 그룹별로 분류할 필요가 있다.
도 5는 본 발명에서 설정된 9 개의 의미 집합을 나타낸 도면이다.
도 5를 참조하면, 의미 집합(250)은, 연산 명령과 관련된 코드 집합(251), 논리 명령과 관련된 코드 집합(252), 로딩/저장 명령과 관련된 코드 집합(253), 전송 명령과 관련된 코드 집합(254), 스택 명령과 관련된 코드 집합(254), 입출력 명령과 관련된 코드 집합(256), 제어 명령과 관련된 코드 집합(257), 인터럽트 명령과 관련된 코드 집합(258) 및 그외의 코드로 이루어지는 의미 집합(259)를 포함한다.
상기와 같이 분류함으로써, 의사 기계 코드를 명령어 별로 구분할 수 있으며, 또한, 본 발명은 도 5와 같이 설정된 각 의미 집합 별로 고유의 색상을 설정한다. 그리고 상기 패킷의 의사 기계 코드를 각 분류별 색상을 표시함으로써, 해당 패킷의 코드들을 명령어 간의 연관성을 알 수 있는 코드 스펙트럼 형태로 표현할 수 있다.
일반적인 컴파일러를 통하여 생성되는 기계어 코드를 도 5에 보인 9개의 의미 집합으로 구분하여, 각각의 의미 집합에 부여된 색깔로 표시할 때, 코드 스펙트럼은 도 6에 도시된 바와 같이 나타난다.
즉, 실행 가능한 코드인 경우, 코드 스펙트럼은 여러 색상으로 이루어진 패턴(260)을 가지며, 비 실행 코드의 경우, 동일한 색이 연속되는 패턴(261,262,263)을 갖는다. 즉, 비 실행 코드인 경우, 동일한 명령어로 분류되는 기계 코드가 연속하여 나타날 수 있으나, 실행 코드인 경우, 서로 다른 명령어들이 일정한 형태로 반복된다.
따라서, 상기와 같은 코드 스펙트럼으로부터 명령어 간의 연관성을 쉽게 알 수 있으며, 이로부터 실행 가능한 코드를 쉽게 찾아낼 수 있다. 즉, 상기 디코딩된 기계어 코드를 앞서 도 5와 같이 의미 집합들로 구분하여 색깔로 표현한 후, 그 코 드 스펙트럼의 패턴을 분석함으로써, 실행 가능한 코드의 포함 여부를 판별할 수 있다.
상기 스펙트럼 분석기(223)는 이러한 특성을 이용하여 네트워크 패킷 내에 실행 가능한 코드가 포함되어 있는 지를 판별하는 수단으로서, 특정 시점의 일정 크기의 시간 윈도우 내에서의 상기 코드 분류기(222)로부터 출력된 코드 스펙트럼을 분석하여, 실행 가능 코드의 유무를 판별한다. 더 구체적으로는, 상기 도 6에 보인 바와 같은, 비실행 코드의 코드 스펙트럼의 패턴과, 실행 코드의 코드 스펙트럼의 패턴을 미리 설정하여 두고, 입력된 네트워크 패킷의 코드 스펙트럼을 분석하여, 동일 색상이 연속되는 패턴이 포함되는 경우, 비실행 코드로 판단하고, 서로 다른 색상이 반복하여 나타나는 패턴인 경우에는 실행 코드로 판단한다.
상기 스펙트럼 분석기(223)의 판별 결과는 프로토콜 검토부(230)로 전달된다.
프로토콜 검토부(230)는 상기 코드 분석부(220)에서 실행 가능 코드가 포함된 것으로 판별된 네트워크 패킷에 대하여, 그 헤더 정보를 기반으로 프로토콜을 검토하여 해당하는 서비스 및 해당하는 서비스의 트랜잭션(예, HTTP GET)을 확인하고, 상기 확인된 서비스 및 트랜잭션에 실행 가능 코드가 존재할 가능성에 대한 통계치를 확인하여, 최종적으로 유해 패킷인지를 판단한다. 도 7은 상기 프로토콜 검토부(230)의 내부 구성을 나타낸 블록도이다.
도 7을 참조하면, 상기 프로토콜 검토부(230)는 비정상 패킷 검토부(231)와, 서비스 매핑 테이블(232)을 포함한다.
상기 서비스 매핑 테이블(232)은 각 서비스 및 그 서비스의 트랜잭션별로 실행 코드가 포함되는 통계치를 저장한다.
그리고 상기 비정상 패킷 검토부(231)는 상기 코드 분석부(220)에서 실행 가능한 코드가 포함된 것으로 판별된 네트워크 패킷의 프로토콜을 분석하여, 관련된 서비스 및 트랜잭션을 확인하고, 확인된 서비스 및 트랜잭션의 패킷이 실행 가능한 코드를 포함할 통계치를 상기 서비스 매핑 테이블(232)로부터 읽어오고, 이를 바탕으로부터 상기 네트워크 패킷이 유해 패킷인지를 판단한다.
예를 들어 설명하면, FTP (TCP 21,22)의 PUT, GET 서비스의 패킷은 실행 코드가 패킷 내 포함될 확률이 아주 높지만, FTP 세션 제어 단계의 패킷에서는 실행코드가 존재할 가능성이 없다고 할 수 있다. 또한, HTTP GET 서비스에서 실행코드가 있을 가능성은 없다고 할 수 있지만, HTTP GET 을 이용하는 CodeRed와 같은 인터넷 웜에서는 HTTP GET 서비스에 Exploit 코드를 포함시켜 네트워크 전파를 유발하고 있다.
따라서, 상기 비정상 패킷 검토부(231)는 통계적으로 실행 가능한 코드를 포함할 가능성이 적은 서비스 및 트랜잭션의 패킷에서 실행 가능한 코드를 포함하고 있는 경우, 해당 패킷을 유해 패킷으로 판단한다.
이상 설명한, 본 발명의 공격 탐지 장치(200)에 포함되는 바이너리 필터부(210), 코드 분석부(220)와, 프로토콜 검토부(230)는 모두 FPGA 하드웨어 로직으로 구현 가능하며, 수 기가비트 이더넷 환경에서도 무손실로 모든 패킷을 판단할 수 있다.
도 8은 상술한 네트워크 공격 탐지 장치에서의 네트워크 공격 탐지 방법을 순차적으로 나타낸 흐름도이다.
도 8을 참조하여, 본 발명에 의한 네트워크 공격 탐지 방법을 정리하면 다음과 같다.
본 발명은 두 네트워크 사이에 전달되거나 포트 미러링된 네트워크 패킷이 인입되면(S81), 상기 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여, 의사-기계 코드 형태로 변환한다(S82).
이후 상기 변환된 의사-기계 코드를 기설정된 의미 집합으로 분류하고(S83), 상기 기설정된 의미 집합 별로 설정된 색상으로 각 의사-기계 코드를 표현하여, 상기 네트워크 패킷의 코드 스펙트럼을 추출한다(S84).
그리고 상기 코드 스펙트럼을 미리 확인된 비실행 코드의 코드 스펙트럼 및 실행 코드의 코드 스펙트럼과 비교하여, 상기 네트워크 패킷에 실행 코드가 포함되어 있는 지를 판단한다(S85).
상기 판단 결과 실행 코드가 포함되어 있는 경우(S86), 해당 네트워크 패킷의 헤더 정보에 기초하여 프로토콜을 분석하여, 관련된 서비스 및 트랙잭션을 확인한다(S87).
그리고 상기 확인된 서비스 및 트랜잭션에 정상적으로 실행 가능한 코드가 포함되는 통계치를 확인한다(S88).
상기 확인된 통계치가 기설정된 기준값보다 작으면, 즉, 통계치에서 실행 가능한 코드가 포함될 가능성이 적은 경우, 해당 패킷은 비정상적인 실행 코드를 포함하고 있는 것이므로, 유해 패킷으로 판단한다(S91).
반대로 상기 단계S85의 판단 결과, 실행 코드가 포함되어 있지 않거나, 상기 확인된 통계치가 기설정된 기준값보다 크면(즉, 통계치에서 실행 가능한 코드가 포함될 가능성이 크면), 정상적인 패킷으로 판정한다(S90).
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
상술한 바에 의하면, 본 발명은 네트워크를 통해 흐르는 모든 패킷에 대하여 실행 가능 코드가 포함되었는지를 실시간으로 판단하고, 해당 응용계층 서비스에서 실행 가능 코드가 포함될 확률을 활용하여, 해당 패킷이 유해 트래픽 인지를 판정함으로써, 네트워크 위협의 한 형태인 알려지지 않은 인터넷 공격을 사용자의 개입없이 자동으로 탐지할 수 있는 우수한 효과가 있다.
더하여, 본 발명은 기가비트 이더넷 속도에서도 네트워크 트래픽을 무 손실 전수 검사가 가능하게 하여 공격에 대한 탐지율을 높이고, 실시간 처리가 가능해 짐으로써, 알려지지 않은 네트워크 침입과 공격에 대해 빠른 대응이 가능할 뿐만 아니라, 소프트웨어 모듈 혹은 FPGA 하드웨어 컴포넌트로 쉽게 구현 가능하여 일반적인 보안 시스템에 부가 기능으로 탑재 가능하고, 또한 새로운 공격 탐지 규칙 생성을 위한 핵심 기술로 활용 가능한 우수한 효과가 있다.

Claims (16)

  1. 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여 의사 기계 코드로 변환하는 바이너리 필터부;
    상기 바이너리 필터부에서 디코딩된 의사 기계 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하는 코드 분석부; 및
    상기 코드 분석부에서 실행 가능한 코드가 포함된 것으로 판단된 네트워크 패킷에 대하여, 해당하는 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하는 프로토콜 검토부를 포함하는 네트워크 공격 탐지 장치.
  2. 제1항에 있어서,
    상기 바이너리 필터부에서 디코딩된 인스트럭션 단위의 의사 기계 코드를 저장하는 메모리부를 더 포함하는 네트워크 공격 탐지 장치.
  3. 제2항에 있어서, 상기 바이너리 필터부는
    인입된 네트워크 패킷의 페이로드부를 바이너리 코드로 가정하여, 인스트럭션을 패취하는 인스트럭션 패춰;
    상기 인스트럭션 패취에서 패취한 인스트럭션과 미리 저장된 OP 코드 집합의 인스트럭션을 비교하여 의미 있는 인스트럭션인지를 판단하는 비교기;
    상기 비교기에서 의미있는 인스트럭션으로 판단된 인스트럭션을 의사 기계어 코드 형태로 상기 메모리부에 저장하는 인스트럭션 덤퍼; 및
    상기 비교기에서 의미 없는 인스트럭션인 경우 저장하지 않고 스킵하도록 하는 스키퍼를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  4. 제3항에 있어서, 상기 인스트럭션 덤퍼는
    하나의 네트워크 패킷의 페이로드부에서 패춰한 인스트럭션의 수가 기 설정된 임계값 이상인 경우에만 메모리부에 저장되도록 하는 네트워크 공격 탐지 장치.
  5. 제2항에 있어서, 상기 코드 분석부는
    각 기계어 코드의 OP 코드별로 해당하는 의미 집합을 매핑하여 저장하는 OP 코드 매핑 테이블;
    상기 바이너리 필터부에서 디코딩된 의사 기계 코드들을 상기 OP 코드 매핑 테이블을 기준으로 설정된 수의 의미 집합으로 분류하는 코드 분류기; 및
    상기 코드 분류기의 분류 결과를 기준으로, 특정 시점의 일정 크기의 시간 윈도우내에서의 코드 스펙트럼을 확인하여, 실행 가능한 코드의 포함 여부를 판별 하는 스펙트럼 분석기를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  6. 제5항에 있어서, 상기 코드 분석부는
    각 의미 집합별로 서로 다른 색깔을 정의하고, 상기 코드 스펙트럼을 색상 패턴으로 표시하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  7. 제5항에 있어서, 상기 의미 집합은,
    연산 명령과 관련된 코드 집합, 논리 명령과 관련된 코드 집합, 로딩/저장 명령과 관련된 코드 집합, 전송 명령과 관련된 코드 집합, 스택 명령과 관련된 코드 집합, 입출력 명령과 관련된 코드 집합, 제어 명령과 관련된 코드 집합, 인터럽트 명령과 관련된 코드 집합 및 상기 명령을 제외한 코드로 이루어지는 집합을 포함하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  8. 제5항 또는 제6항에 있어서, 상기 스펙트럼 분석기는
    기계어 인스트럭션이 가지는 실행가능 코드의 코드 스펙트럼 패턴과 비실행 코드의 코드 스펙트럼 패턴을 미리 저장하여 두고, 입력된 코드 스펙트럼과 상기 저장된 패턴을 비교하여 실행 가능 코드의 포함 여부를 판별하는 것을 특징으로 하는 네트워크 공격 탐지 장치.
  9. 제2항에 있어서, 상기 프로토콜 검토부는
    서비스별 및 그 서비스의 트랜잭션별로 실행 코드가 포함되는 통계치를 저장하는 서비스 매핑 테이블; 및
    상기 실행 가능한 코드가 포함된 것으로 판별된 네트워크 패킷의 프로토콜을 분석하여, 관련된 서비스 및 트랜잭션을 확인하고, 상기 서비스 매핑 테이블에서 해당 서비스 및 트랜잭션의 패킷이 실행 코드를 포함할 통계치를 확인하여, 유해 패킷인지를 판단하는 비정상 패킷 검토부를 포함하는 것을 특징으로 하는 네트워크 침입 탐지 장치.
  10. 네트워크 패킷에 실행 가능한 코드가 포함되어 있는 지를 판별하는 단계;
    상기 네트워크 패킷에 정상적으로 실행 가능한 코드가 포함될 가능성을 판별하는 단계; 및
    상기 실행 가능한 코드의 포함 여부 및 실행 가능한 코드가 포함될 가능성에 근거하여, 네트워크 패킷의 유해 여부를 판단하는 단계를 포함하는 네트워크 공격 탐지 방법.
  11. 제10항에 있어서, 상기 네트워크 패킷에 실행 가능한 코드가 포함되어 있는 지를 판별하는 단계는,
    네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩하여, 의사-기계 코드 형태로 변환하는 단계;
    상기 변환된 의사-기계 코드를 기설정된 의미 집합으로 분류하는 단계;
    상기 분류 결과에 근거하여 상기 네트워크 패킷의 코드 스펙트럼을 추출하는 단계; 및
    상기 추출된 코드 스펙트럼을 분석하여 실행 가능 코드의 포함 여부를 판별하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  12. 제10항에 있어서, 상기 네트워크 패킷에 정상적으로 실행 가능한 코드가 포함될 가능성을 판별하는 단계는,
    실행 가능한 코드를 포함하는 네트워크 패킷에 대하여, 해당 네트워크 패킷의 프로토콜을 분석하여, 관련된 서비스 및 트랙잭션을 확인하는 단계; 및
    상기 확인된 서비스 및 트랜잭션에 정상적으로 실행 가능한 코드가 포함되는 통계치를 확인하는 단계를 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  13. 제10항에 있어서, 상기 네트워크 패킷의 유해 여부를 판단하는 단계는,
    상기 실행 가능한 코드가 포함되어 있지 않거나, 상기 실행 가능한 코드가 포함되어 있으나 해당 네트워크 패킷에 실행 가능한 코드가 포함될 가능성이 높으면, 정상 패킷으로 판단하고, 상기 실행 가능한 코드가 포함되어 있으며 해당 네트워크 패킷에 실행 가능한 코드가 포함될 가능성이 적으면 유해 패킷으로 판단하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  14. 제11항에 있어서, 상기 분류 결과에 근거하여 상기 네트워크 패킷의 코드 스펙트럼을 추출하는 단계는,
    상기 의미 집합별로 서로 다른 색상을 부여하여, 상기 코드 스펙트럼을 부여된 색상으로 표현하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  15. 제14항에 있어서, 상기 추출된 코드 스펙트럼을 분석하여 실행 가능 코드의 포함 여부를 판별하는 단계는,
    상기 기설정된 의미 집합에 근거하여, 비실행 코드에 나타내는 코드 스펙트럼 패턴과, 실행 코드에 나타나는 코드 스펙트럼 패턴을 미리 저장하여 두고, 상기 저장된 코드 스펙트럼 패턴과 상기 추출된 코드 스펙트럼 패턴을 비교하여 실행 가능 코드의 포함 여부를 판별하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
  16. 제11항에 있어서, 상기 의미 집합은,
    연산 명령과 관련된 코드 집합, 논리 명령과 관련된 코드 집합, 로딩/저장 명령과 관련된 코드 집합, 전송 명령과 관련된 코드 집합, 스택 명령과 관련된 코드 집합, 입출력 명령과 관련된 코드 집합, 제어 명령과 관련된 코드 집합, 인터럽트 명령과 관련된 코드 집합 및 상기 명령을 제외한 코드로 이루어지는 집합을 포함하는 것을 특징으로 하는 네트워크 공격 탐지 방법.
KR1020070037488A 2006-11-30 2007-04-17 네트워크 공격 탐지 장치 및 방법 KR100922579B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/926,132 US8095973B2 (en) 2006-11-30 2007-10-29 Apparatus and method for detecting network attack

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020060120259 2006-11-30
KR20060120259 2006-11-30

Publications (2)

Publication Number Publication Date
KR20080049586A KR20080049586A (ko) 2008-06-04
KR100922579B1 true KR100922579B1 (ko) 2009-10-21

Family

ID=39805348

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070037488A KR100922579B1 (ko) 2006-11-30 2007-04-17 네트워크 공격 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US8095973B2 (ko)
KR (1) KR100922579B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101554914B1 (ko) * 2014-07-03 2015-09-25 주식회사 지니테크 실시간 인터넷 전화 불법호 검출 장치 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체

Families Citing this family (173)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
KR100850361B1 (ko) * 2007-03-14 2008-08-04 한국전자통신연구원 실행 가능한 코드 탐지 방법 및 장치
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US20110026525A1 (en) * 2009-08-03 2011-02-03 Ziqiang He Ethernet Switch and System
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
KR101377462B1 (ko) * 2010-08-24 2014-03-25 한국전자통신연구원 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
US9495541B2 (en) * 2011-09-15 2016-11-15 The Trustees Of Columbia University In The City Of New York Detecting return-oriented programming payloads by evaluating data for a gadget address space address and determining whether operations associated with instructions beginning at the address indicate a return-oriented programming payload
KR20130039175A (ko) * 2011-10-11 2013-04-19 한국전자통신연구원 내부자 위협 탐지 장치 및 방법
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
KR101230500B1 (ko) * 2012-10-31 2013-02-25 주식회사 베이스인 네트웍스 네트워크 자원 통합 관리 시스템 및 그 방법
KR101415272B1 (ko) * 2012-11-07 2014-07-04 주식회사 시큐아이 비정상 트래픽 감지 방법 및 장치
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US8966074B1 (en) * 2013-09-13 2015-02-24 Network Kinetix, LLC System and method for real-time analysis of network traffic
US9532227B2 (en) * 2013-09-13 2016-12-27 Network Kinetix, LLC System and method for an automated system for continuous observation, audit and control of user activities as they occur within a mobile network
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9740857B2 (en) 2014-01-16 2017-08-22 Fireeye, Inc. Threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
CN106888196A (zh) * 2015-12-16 2017-06-23 国家电网公司 一种未知威胁检测的协同防御系统
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10771495B2 (en) * 2017-03-02 2020-09-08 General Electric Company Cyber-attack detection and neutralization
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11483318B2 (en) 2020-01-07 2022-10-25 International Business Machines Corporation Providing network security through autonomous simulated environments

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013173A (ko) * 2002-08-03 2004-02-14 한국정보보호진흥원 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법
US20060107055A1 (en) 2004-11-17 2006-05-18 Nesvis, Networks Method and system to detect a data pattern of a packet in a communications network
WO2006069041A2 (en) 2004-12-21 2006-06-29 Mistletoe Technologies, Inc. Network interface and firewall device

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100869965B1 (ko) 2001-11-26 2008-11-21 주식회사 비즈모델라인 바이러스 자동 차단 및 소멸 방법
US7941855B2 (en) * 2003-04-14 2011-05-10 New Mexico Technical Research Foundation Computationally intelligent agents for distributed intrusion detection system and method of practicing same
US7966658B2 (en) * 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
WO2005114951A1 (en) * 2004-05-20 2005-12-01 Computer Associates Think, Inc. Systems and methods for detecting denial of service attacks
WO2007001439A2 (en) * 2004-11-04 2007-01-04 Telcordia Technologies, Inc. Detecting exploit code in network flows
KR100688604B1 (ko) 2004-11-18 2007-03-02 고려대학교 산학협력단 네트워크 악성실행코드 차단장치 및 방법
KR100628869B1 (ko) 2004-12-14 2006-09-27 한국전자통신연구원 악성 코드가 숨겨진 오피스 문서 탐지장치 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013173A (ko) * 2002-08-03 2004-02-14 한국정보보호진흥원 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법
US20060107055A1 (en) 2004-11-17 2006-05-18 Nesvis, Networks Method and system to detect a data pattern of a packet in a communications network
WO2006069041A2 (en) 2004-12-21 2006-06-29 Mistletoe Technologies, Inc. Network interface and firewall device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101554914B1 (ko) * 2014-07-03 2015-09-25 주식회사 지니테크 실시간 인터넷 전화 불법호 검출 장치 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체

Also Published As

Publication number Publication date
KR20080049586A (ko) 2008-06-04
US20080134334A1 (en) 2008-06-05
US8095973B2 (en) 2012-01-10

Similar Documents

Publication Publication Date Title
KR100922579B1 (ko) 네트워크 공격 탐지 장치 및 방법
US8220048B2 (en) Network intrusion detector with combined protocol analyses, normalization and matching
US10176321B2 (en) Leveraging behavior-based rules for malware family classification
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
JP4676499B2 (ja) ネットワークフロー内のエクスプロイトコードの検出
Nari et al. Automated malware classification based on network behavior
US9256831B2 (en) Match engine for detection of multi-pattern rules
KR100910761B1 (ko) 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
KR102045468B1 (ko) 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
CN107209834B (zh) 恶意通信模式提取装置及其系统和方法、记录介质
KR101498696B1 (ko) 유해 트래픽 탐지 시스템 및 방법
US11222115B2 (en) Data scan system
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
Liu et al. Loocipher ransomware detection using lightweight packet characteristics
JP2004054330A (ja) 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム
CN111131180A (zh) 一种大规模云环境中分布式部署的http协议post拦截方法
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
Maslan et al. DDoS detection on network protocol using cosine similarity and N-Gram+ Method
CN117240598B (zh) 攻击检测方法、装置、终端设备及存储介质
KR20120037865A (ko) 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법
Kijewski Automated extraction of threat signatures from network flows
CN111526139A (zh) 一种网络安全侵入检测系统
Gamper Towards automated exploit signature generation using honeypots
Kang et al. Design and Implementation of Detection Engine Against IDS Evasion with Unicode

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121011

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130923

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee